原创李虹洁 袁佳妮 钱凯

网络安全在产业信息化中起到保驾护航的作用，防护网络环境中的软硬件及数据遭受攻击，数字化时代的网络安全需求加速释放。放眼海外，美国等成熟市场的安全厂商向安全即服务（SECaaS）模式转型；国内网安行业格局仍然分散，竞争激烈，在企业数字化转型、政策推动下，机遇与挑战并存，我们看好国内安全市场顺应产业数字化发展规律实现商业模式的突破。

摘要

国内网络安全行业所处阶段？网安产业发展的驱动因素由单一合规向合规+产业内生需求过渡，技术与商业模式迎来新的变革。技术层面，以数据驱动的态势感知、EDR等逐渐成为主流；商业模式角度，企业上云、IT架构复杂化带动了安全即服务SECaaS发展。面对海内外频发的网络攻击事件与国内政策催化等多重因素，我们认为国内网络安全市场具有高景气上量空间。

网络安全行业路在何方？目前国内行业格局碎片化，网安厂商百舸争流，在不同产品线各有优势。供给侧，厂商收入仍以硬件为主，软件与安全服务占比逐渐提升；需求侧，总体而言，大型政企机构更看重服务，中小企业更看重产品性价比，客户需求分化影响了厂商的技术和产品布局，导致了成长曲线的差异。我们认为随着客户对产品模块的完备度和性能的要求提升，对高质量服务的诉求增强，具备更强的产品力和安全服务能力、高效的研发体系和同步匹配的销售能力的厂商有望受益于行业集中度的提升。

如何把握对不同安全公司的认知？短期维度，我们认为收入成长性、份额提升度、业务结构、增长确定性是关注要点。中期维度，基于行业整体的景气度，各公司仍处在成长阶段，我们认为提升研发效率与销售能力、打磨商业模式是重要的战略。长期视角下，我们认为随着头部公司的产品、销售能力趋于完善，具有战略高度、把握产业数字化发展规律和痛点、聚焦新赛道产品布局和能力建设是网络安全公司维持长期竞争力的要素。

风险

新技术落地不及预期；渠道拓展不及预期；宏观环境波动。

正文

投资亮点：行业长景气，需求高增长，格局正优化

政策发力，长期利好行业发展。2019年，工信部发布《关于促进网络安全产业发展的指导意见》，指出2025年形成若干具备国际竞争力的网络安全龙头企业，网络安全产业规模超2，000亿元。2021年7月，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》（以下简称《行动计划》），要求2023年我国网络安全产业规模达到2，500亿元，将目标产业规模提升500亿元，实现时间提前两年，同时要求电信等重点行业网络安全支出占IT总支出不低于10%。根据IDC，2020年我国网络安全支出占IT总支出为1.8%，低于美国平均4.8%的水平，电信等重点行业是我国网络安全主要需求来源，我们认为政策支持有望带动其他细分行业安全投入，放大市场长期空间。

政企数字化转型窗口期，网络安全需求快速迭代。数字化进程加速与新场景新技术落地，导致网络安全攻击面也快速扩大，传统的被动响应策略逐渐向主动防御理念过渡。云计算、物联网、大数据、工业互联网场景下的数据资产价值不断放大，网络安全运营与服务的量级和复杂度迈上新台阶，亟需数据驱动、多端联动的立体防御模式。

市场格局优化，龙头企业成长性有望跑赢行业。2016-2020年我国网安行业CR8从36.6%提升至41.8%，2020年CR4为26.4%，竞争格局仍较分散。我们认为随着客户对产品模块的完备度和性能的要求提升，对高质量服务的诉求增强，具备更强的产品力和安全服务能力、高效的研发体系和同步匹配的销售能力的厂商有望受益于行业集中度的提升综合型网络安全厂商凭借齐全的产品线、过硬的安全服务能力以及高效的研发销售能力有望优先受益。

我们从收入成长性，研发和销售能力，商业模式，产品布局四个维度建立了网络安全分析框架，衡量网络安全厂商的持续增长潜力。我们看好国内安全头部厂商，凭借过硬的产品力、持续迭代的商业模式、新赛道产品的领先布局实现高质量发展。

► 收入成长性直接反映网安厂商市场份额提升的能力及竞争力的强弱。目前网络安全行业仍处于“春秋”时代，市场格局较为分散，各厂商间竞争激烈。收入增速反映了公司各产品线市占率的提升能力，产品市场份额越高越有利于公司获取客户更多业务数据，反哺自身产品性能，提升产品口碑，形成飞轮效应。奇安信、深信服、安恒信息等在头部厂商中呈现了更快的收入增速。

► 销售和研发能力是奠定公司持续发展的内核。销售+研发双轮驱动构建了公司健康的内生增长能力。奇安信通过打造八大研发平台实现了产品前端组件复用，前端研发效能提升20%，开发成本降低10%；深信服作为渠道销售龙头，构筑了较高的渠道壁垒；启明、绿盟等传统安全龙头也在发力渠道改革，重视新赛道产品的储备。我们认为，随着研发效率提升与销售机制的完善，厂商将依托杠杆效应实现盈利能力的持续提升。

► 商业模式助推公司价值重估。海外网安厂商采用SECaaS（安全即服务）模式趋于成熟，通过将产品和解决方案迁移至公有云，用户根据自身业务特点订阅不同模块，厂商逐步向订阅制转型，现金流改善明显。目前我国网安重点客户更倾向于选择私有云，SECaaS模式在我国仍处于萌芽期，我们认为随着客户对安全服务诉求多元化，厂商有望通过提供订阅制安全服务，发展类SECaaS模式，奇安信、深信服、启明星辰、安恒信息等厂商对SECaaS化模式都有了初步布局。

► 产品布局反映公司长期愿景。网络安全作为支持产业信息化的基础，一定程度上受信息化进程的影响，网安厂商很难过早在某项技术成熟前布局产品，一旦场景、数据口径发生变化，原有的产品可能无法适配。因此，我们认为网安厂商对于新赛道产品的布局反映了其战略的前瞻性和未来扩张重点。

图表：中美部分网络安全公司对比

资料来源：公司公告，IDC，中金公司研究部；

注：美股公司数据采用2021财年，A股公司数据采用2020财年；Palo Alto Networks、Fortinet、CrowdStrike、安恒信息采用彭博一致预期；美元采用当期汇率

行业：黄金年代正当时

国内网络安全产业已由单一政策驱动向合规+产业内生需求双轮驱动进阶。1995-2005年，我国启动上网工程与信息化建设，网络安全经历了从0到1的发展，由于网络攻击手段相对单一，网络安全需求不高，信息化渗透率到达一定程度后，行业增速逐渐放缓。2013年，云计算等新技术催生了IT架构变革，从产业侧加快了安全需求释放，行业驱动因素由单一合规向合规+产业内生需求过渡，逐步在技术和商业模式上迎来新变革。技术层面，以数据驱动的态势感知、EDR等逐渐成为主流；商业模式角度，企业上云、IT架构复杂化带动了安全即服务SECaaS发展。

图表：网络安全行业发展复盘

资料来源：国务院官网，网信办官网，工信部官网，公安部官网，中金公司研究部

产品角度：防御理念升级，产品线持续迭代

如何划分网络安全赛道？

网络安全逐渐从单一工具产品升级为产品+服务生态建设。安全主要防止网络环境中的软硬件及数据遭受破坏、更改或泄露，存在短板效应与持续更新性，系统的安全性由安全级别最低的部分决定，网络威胁形式不断进化，防御思路也在不断升级。纵观网络安全厂商发展路线，基本都从单一优势产品出发，通过技术复用，布局多产品线，不断加强产品间关联度与联动性，逐渐形成贯通事前预警、事中防御与事后溯源分析的防御生态。结合IDC分类口径、网络安全技术及应用场景，我们将网络安全赛道划分为：边界安全、终端安全、身份安全、安全管理、数据安全、应用安全、安全服务七大类。

图表：网络安全产品全景图

资料来源：IDC，中金公司研究部

边界安全市场存量规模最大。边界安全产品包含防火墙、入侵检测与防御、VPN等，也是各大网安厂商最早布局的产品，市场较为成熟，边界安全是大型机构安全系统的刚需，未来数据驱动的安全也需要边界侧产品进行流量采集和挖掘，我们认为边界安全赛道仍将保持稳定增长。

终端安全、身份安全、数据安全、应用安全发展迅速。1）万物互联趋势下，终端设备的形态、端点数量快速增长，终端安全需求不断放大；2）以零信任为代表的新安全理念重塑身份安全市场，传统的身份安全包括动态口令、生物识别、单点登录等产品，当用户身份通过一次认证后即可访问大部分资源，而零信任秉承“普遍不可信”，需要对访问者身份进行持续检测。目前国内以奇安信为代表的厂商正在大力推动零信任架构，尽管目前阶段落地尚不成熟，我们认为零信任是身份安全的重点发展方向；3）《数据安全法》于2021年9月1日正式施行，数据收集、处理与使用等环节正逐步被纳入监管，数据安全法的落地进一步提升了行业景气度和产品落地的确定性；4）Web应用防火墙（WAF）是应用安全核心产品之一，WAF正逐渐成为云化程度最高的网安产品之一。我们认为随着云计算发展，云WAF有望持续带动应用安全赛道增长。

安全管理与安全服务具备高成长性。1）态势感知是安全管理的重要一环，态势感知能够发现网络安全数据在时间、空间上的关系，并结合资产维度、漏洞维度数据，对攻击事件进行复盘，出具攻击溯源报告，提升安全管理便捷度，推动管理平台落地。2）安全服务驱动因素来自于合规需求与产业升级需求，企业客户面临攻防演习，需要网安厂商提供持续性安全服务，此外，日益复杂的攻击形式要求网安厂商具备专业的安全产品结构规划、安全平台建设与安全运营能力，我们认为安全服务与安全管理融合度逐渐提升，价值也更加被认可。

图表：我国边界安全市场存量规模最大，身份安全、安全服务等增长迅速

资料来源：赛迪咨询，中金公司研究部

从技术和商业模式两个维度理解“传统安全”与“新安全”

►技术维度

从技术维度而言，新安全可分为面向新场景的安全产品与新安全技术。新安全场景通常指云计算、物联网、大数据、工业互联网等，这类场景下的应用发展快、数据交互频繁，用户的服务器、网站与业务系统等安全设备的部署变得多样，用户可以从自己的设备通过云端访问企业数据，边界概念逐渐模糊。新场景下的安全产品本质上是基于场景进行适配，底层技术并没有发生太多变化（如针对工业互联网的工控防火墙是在传统防火墙的基础上内置了工业通讯协议的过滤模块）。而EDR、SOAR等都是通过新技术增强了产品有效性，但解决的安全问题并没有产生太大变化。在不变的核心问题与变化的技术、场景和需求面前，如何构建好自身的安全产品生态成为网络安全厂商的成功关键。我们通过拆解下一代防火墙、EDR、态势感知三类产品进行分析：

1）下一代防火墙（NGFW）

NGFW的本质为网安产品一揽子工程。网络安全产品线的布局方向是决定安全厂商长期竞争力的关键。作为传统网络安全产品，防火墙只能被动响应已发生的威胁，下一代防火墙通过将流量分析、信息分析等功能整合至传统防火墙，对网络环境数据包深度检测，实现基于应用层构建安全、主动防御、多威胁检测机制智能融合。

2）终端安全响应系统（EDR）

现有EDR产品本质上是EPP（终端防护平台）与EDR理念的结合。在EDR概念提出前，基于机器学习、行为分析的EPP已被应用，能够有效检测、阻止勒索病毒活动，通常包括防病毒、防火墙、端口与设备控制等功能。但EPP主要针对的还是已知威胁，如想要单纯通过EPP“看清无文件攻击”存在难度。2013年，Garter提出了EDR理念，要求持续检测端点，并进行事后的响应补救、攻击原因分析、回溯查询、影响范围评估。Gartner对EDR提出了四种基本功能：检测、遏制、调查、修复，实现安全闭环。

EDR有望成为未来终端市场增长的重要推动产品。根据IDC，2017年全球企业级终端安全市场规模达61.5亿美元，预计2022年将超过92亿美元，年复合增速8.6%，传统终端安全防护平台（EPP）相对EDR产品的增速已明显偏低，我们认为EDR将成为未来终端安全市场持续增长的重要推力，类似于下一代防火墙在边界安全市场的推动作用。

图表：全球传统终端安全市场增速低于网安产品平均增速

资料来源：IDC，中金公司研究部

本土网安厂商EDR市场空间扩大，安全防护统一性与整体性成为重要评判指标。

图表：国内厂商EDR产品市占率逐步提升

资料来源：IDC，中金公司研究部

3）态势感知

态势感知是以大数据分析为支撑，赋能网络安全的新应用。态势感知强调网络安全解决方案基于当前网络环境中各类特征要素，通过大数据分析，叠加人工智能对潜在威胁进行预测与诊断，准确理解、量化与预测当前网络空间安全态势。

态势感知对于网安厂商数据融合能力有高要求。总体而言，态势感知更类似于深度学习领域在网络安全行业的迁移应用。就纯技术层面而言，态势感知设计的技术并不复杂，主要以层次分析、神经网络模型为主；就数据层而言，态势感知需要整合设备资产维度数据（主要包含企业硬件、软件与信息资产）、漏洞维度数据、威胁维度数据，三类数据具备不同的数据结构与口径，标准化难度高，且不易收集。因此，我们认为通过传统网安产品收集流量数据成为网安厂商开发态势感知的优先切入点。

►商业模式

商业模式维度，新安全可以理解为新服务模式。安全即服务（SECaaS）是云计算时代下的新型服务模式，将安全产品功能模块部署在公有云，以订阅制方式向用户提供安全能力。SECaaS在敏捷性、可扩展性与收入持续性上具有优势，成为海外网安厂商的主流模式。

SECaaS模式可以从收入与成本两个角度进行分析。收入上，SECaaS本质为通过订阅化方式为厂商带来可持续性收入；成本上，基于轻量化部署的SECaaS能够降低厂商的边际成本。对标海外，我国主要网安客户仍以私有云为主，网安产品SaaS化仍处于萌芽期，但大多厂商如奇安信、启明星辰、安恒信息、深信服等已开始布局订阅制安全服务方式，逐渐发展出具有中国特色的SECaaS。奇安信安全服务采用订阅制，用户按年订阅管家式服务，订阅期内奇安信负责保障用户攻防演习等需求，启明星辰建设了城市级安全运营中心，为用户提供7*24小时全天候、全方位安全检测、安全响应服务，深信服在行为管理、EDR等产品线重点发力SaaS化模式。

政策角度：网络安全上升为国家级战略

2014年是我国网安黄金时代元年。2014年，我国成立年中央网络安全和信息化工作小组，将网络安全上升至国家战略。2016年11月，《中华人民共和国网络安全法》的出台正式将网络安全等级保护提升至法律层面，同年公安部也首次组织开展全国网络安全攻防演练行动。

政策持续加码，行业利好逐步落地。2016年以来，我国政府出台多项网络安全政策条例，在明确网络安全治理目标的基础上着重强调了基于云计算、大数据等新场景下的网络安全问题，并将上述新场景中产生的企业/个人数据列为关键信息基础设施。2019年出台的等级保护2.0制度对云计算、物联网、移动互联网、工业控制、大数据等新场景提出了新的安全拓展要求，2020年的《数据安全法（草案）》、《个人信息保护法（草案）》也推动信息保护步入新阶段，实现了企业数据、个人信息等关键信息保密有法可依。2021年7月的《三年行动计划》明确了2023年我国网络安全市场规模达到2，500亿元，电信等行业网络安全支出占IT总支出比重不低于10%。根据我们梳理，近5年来就数据安全问题，国家、地方及各行业监管部门已颁布50余部相关法规，在政策驱动与新场景需求带动下，我国网络安全行业处在黄金时代。

网络安全等级保护2.0进一步增强监管力度及范围

网络安全等级保护2.0提出主动防御要求。随着信息化程度提升，等级保护1.0时代的被动防御已无法满足各行业用户的安全需求，2019年5月13日，国家市场监督管理总局正式发布网络信息安全等级保护2.0版本，2019年12月1日正式实施。等级保护2.0从法律法规、标准要求、安全体系、实施环节等方面对网络安全进行了重新定义。

图表：等级保护2.0较等级保护1.0更为严格细致

资料来源：国家市场监督管理总局官网，中金公司研究部

政企机构网络安全系统亟需升级，等级保护2.0有望推动网络安全千亿元市场。等保1.0时期，政企信息安全意识相对薄弱，采购网络安全产品品类也较为单一，主要是“防火墙+杀毒软件”。2019年后，政企机构陆续按照等级保护2.0标准加固、升级、新建网络安全系统。通过对等级保护2.0有关订单梳理，我们发现等级保护2.0下的网络安全采购主要有以下几个特点：

1）多数机构的网络安全系统较为老旧，且长时间没有升级，产品授权维保时限已过期。

2）等级保护三级系统至少需要6款及以上网络安全产品，预算百万元以上较为常见；二级系统产品数量多为4-6款，预算10万元-100万元不等，30万元-50万元区间较为常见。

3）采购产品主要集中在防火墙、日志审计、堡垒机等20种常见的网络安全产品，不同的订单是对这类产品的排列组合。

4）下一代防火墙需求还有较大空间。下游用户网络安全需求从合规驱动走向需求驱动仍需要一定的过渡。从现有订单来看，合规仍是主要驱动因素，因此下一代防火墙等集成类产品需求旺盛。此外，等级保护二级特意提到了系统审计保护级，为日志审计、数据库审计类产品带来了增量。

图表：等级保护2.0潜在市场有望稳步释放

资料来源：工信部官网，中国信通院《中国网络安全产业白皮书（2020年）》，中金公司研究部

应用角度：数字化转型对网络安全提出新需求和新挑战

云计算安全

海内外企业上云率差异大，映射至网络安全市场呈现不同产品模式。海外云计算起步较早，且细分领域SaaS市场发展成熟，海内外上云率的差异也映射不同的网络安全产品模式。我国企业数字化进程、上云率较美国还有差距，企业安全意识较为薄弱（大部分预算用于采购应付合规检查的安全产品），针对云计算场景下的安全产品比重不大。但随着我国企业IT架构完善，数字化进程加快，越来越多政企机构选择上云，我们认为云安全产品有着广阔的发展空间。

图表：新场景下网络安全市场规模

资料来源：赛迪咨询，中金公司研究部

图表：我国云安全市场规模较全球仍有一定差距

资料来源：赛迪咨询，Gartner，中金公司研究部

以云化交付方式解决云安全问题趋于普及。在云环境下，传统边界安全原则逐渐失效，应更加重视纵深防御与多点协同。我们认为，云安全场景下，会有更多的安全产品软件化、虚拟化，并支持可编程式控制。我们认为以态势感知为代表的安全态势分析产品能够基于流量分析动态地核查云服务及应用服务的相关配置，持续地对安全配置变更及威胁进行监控。

云安全责任边界呈现共同承担模式。从安全责任角度分类，云安全又可以分为云平台安全与云上租户或业务系统安全。在实际项目建设中，需要对云平台与云上租户/业务系统分别定级，并应进行等级保护测评。云平台安全通常由云厂商负责，而云上租户/业务系统通常由建设方委托第三方安全厂商负责，网络安全厂商从第三方角度，对云平台上租户或业务系统进行监管，从而形成建设方、云服务商、网络安全厂商“三权分立”的关系。

头部网安厂商与云厂商开展战略合作，并非零和博弈。接入第三方网安厂商产品能够有效保证平台安全性。通过让用户自主选择安全产品能够打消用户对云平台“安全中立性”的疑虑，从而吸引更多用户，提升黏性。在阿里云、腾讯云平台上可以找到很多第三方网络安全厂商的产品。我们预计随着公有云市场的进一步扩大，网络安全厂商与公有云厂商间的合作会更加紧密。

物联网安全

物联网安全主要包括云平台安全、设备终端安全、移动终端安全。进入万物互联时代，终端及应用场景能够借助各类传感器拓宽至汽车、机器人、家居等多种形态，数据结构也逐渐包含如生物特征数据等复杂、非标准的数据。物联网架构的实现流程为：用户移动端下载对应App，连接智能设备供应商的云平台，再由云平台发送相关指令至设备终端。云平台面临的安全威胁同云计算下的安全威胁相类似；设备终端威胁主要包括芯片漏洞、无线及有线通信接口攻击。对于不同的接入设备，所涉及的通讯协议、芯片架构存在差异，无法标准化的终端接口为网络安全攻击留下了后门。

图表：工控漏洞数量近年持续攀升

资料来源：国家信息安全漏洞共享平台，中金公司研究部

图表：数据安全成为工业互联网安全的重点

资料来源：《工业互联网安全百问百答》[1]，中金公司研究部

数据安全

数据生命周期由单链条逐渐演变为多链条形态。日益放大的数据价值促使数据衍生出了数据共享、数据交易等环节，数据应用场景与参与角色均发生了变化。大数据平台汇聚了海量数据源，一个数据资源池可同时服务于多个数据提供者与使用者，数据分级、数据隔离与访问控制，实现数据“可用不可见”是大数据安全新需求。

数据字段关联分析、零信任等架构能够有效保护数据资产。数据字段关联分析能够自动发现数据库中敏感信息，直观展现敏感信息分布情况，实现数据分级保护。零信任能够实现基于访问主体、数据安全及环境安全等属性的细粒度动态访问控制，最小化设置资源访问权限，防止违规、越权、恶意操作。零信任等新技术逐渐融入数据库防火墙、数据库审计、数据库漏洞扫描等产品，增强了传统网安产品在大数据新场景下的可用性。

产业链：上中下游革故鼎新

上游：国产替代浪潮推动上游市场

软硬件供应商是上游市场的主要参与者。网络安全上游主要负责网络安全的核心零部件及应用程序的开发，包括基础硬件，如芯片、内存、存储设备、网卡等；软件，如操作系统、数据库、组件/中间件等；基础能力，如引擎、算法、规则库等。网安上游的芯片、服务器应用范围广，不仅应用于网安、还应用于云计算、消费电子等诸多网络安全下游行业领域。本质来看，网络安全产业链并非传统“线性”结构，而是“三角”结构。

图表：网络安全产业链呈“三角”结构而非“直线”结构

资料来源：IDC，中金公司研究部

从网络安全产业链角度，上游同时赋能中游网络安全与下游行业应用，网络安全是支持产业信息化的基础，产业信息化的进程对网络安全发展起到重要的作用。上游芯片、操作系统对产业信息化具有卡位效应，也影响到网络安全的同步发展。过去我国信息化进程中，用户所用的芯片、操作系统及数据库主要向国外采购，自主创新将改变现状。2020年中央经济工作会议提出“增强产业链供应链创新能力”，明确着力补齐产业链供应链短板，在关系国家安全的领域构建创新、安全的国内供应体系。多家网安上游企业的自主创新业务均取得增长，对于国产技术的关键部分，我们认为业界已经基本具备了国产化可用能力，应用条件相对成熟。

中游：网安市场向头部企业集中

整体产业规模增长迅速

我国网络安全市场稳步增长。根据信通院发布的《中国网络安全产业白皮书（2020年）》，我国网络安全产业规模在过去五年中达到15%的年复合增长率，从2015年898亿元增长至2019年1，564亿元。根据工信部《行动计划》，2023年我国网络安全产业规模达到2，500亿元，年复合增长率超过15%。

图表：我国网络安全产业规模稳步上升

资料来源：中国信通院《中国网络安全产业白皮书（2020年）》，工信部官网，中金公司研究部

图表：全球网络安全产业规模

资料来源：中国信通院《中国网络安全产业白皮书（2020年）》，中金公司研究部

行业碎片化，各家厂商专注于不同领域

我国网络安全厂商主要包括综合型安全厂商、专业型厂商、云厂商。综合型厂商整体实力较强，云计算厂商在公有云市场优势大，专业技术型厂商专精于某一技术领域，在细分赛道具有优势。

综合型网络安全厂商覆盖细分领域多，综合实力强。综合型厂商不仅能够达成各类产品协同作用，打造一体化平台，更能积累深厚的行业、场景经验，提供更优质的解决方案和服务。

云厂商在公有云安全领域优势大。对于云安全业务，供应商主要分为两大类，云厂商与其他第三方厂商，第三方厂商又可细分为综合型安全厂商与专业云安全厂商。由于公有云价格相对低廉，其付费用户通常为中小型企业，接受云服务供应商提供标准化部署的门槛低。云安全解决方案也通常由云厂商一并提供；私有云通常是为特定单一客户构建的，用户多为政府、大型企业客户，对数据安全性要求高，往往愿意选择第三方网络安全厂商部署本地云安全解决方案。

公有云厂商理念影响云安全发展格局。根据Forrester预测，海外云安全服务商在公有云安全市占率约70%，第三方合作伙伴的安全产品能够在公有云平台销售。以AWS为例，AWS云平台开放了API接口，使更多第三方云安全厂商能够利用接口开发和推广安全产品。

图表：头部网络安全供应商布局云安全产品

资料来源：各公司官网，中金公司研究部

看好市场集中度提升逻辑

我国网安市场集中度较低，较美国市场格局更为分散。我国网安市场较为分散，根据Gartner与中国网络安全产业联盟统计，2020年美国网安公司Palo Alto Networks占据美国市场份额约为10.8%，2019年为9.5%。中国市场方面，2020年市占率第一的奇安信市场份额为7.8%。

图表：中国网络安全行业集中度较低

资料来源：《2020年中国网络安全产业统计报告》，中金公司研究部

图表：2020年中国网络安全市占率

资料来源：中国网络安全产业联盟《中国网络安全产业分析报告（2020年）》，中金公司研究部

图表：美国网络安全市场格局

资料来源：Gartner，各公司公告，中金公司研究部

产品多元化、各细分赛道均有龙头是造成网安市场格局分散的原因之一。头部安全厂商的战略重点是通过拓宽销售渠道与并购的方式发展客户与完善自身产品线，打造平台型解决方案服务商，我们认为头部厂商将推动和受益于市场集中度提升。

图表：主流网络安全产品市场格局

资料来源：IDC，中金公司研究部

收费模式仍以硬件为主，软件和服务占比逐步提高

国内硬件产品收入占比最高，安全服务提升最快。2020年我国网络安全市场结构中，硬件产品收入占比43%，软件产品39%，安全服务18%，过去我国网安支出以合规需求驱动，在政府与大企业预算体制下，硬件产品易核算，导致网安硬件产品占比高于软件、安全服务总量。2020年，软件与安全服务占比较2016年分别提升1.3/6.6个百分点，随着国内网安市场驱动因素由合规逐渐转为需求驱动，企业越来越需要主动监测产品，软件及安全服务的收入占比有望进一步提升。

图表：海内外网络安全收入结构存在较大差异

资料来源：赛迪咨询，Frost&Sullivan，中金公司研究部

头部厂商纷纷覆盖安全服务领域。据CCIA统计，2020年上半年我国共有3，589家公司开展网络安全业务，同比增长17.3%。产品型企业数量减少，而服务型企业数量显著增加，说明了近两年网络安全服务需求增长，国内网络安全市场过去“重产品，轻服务”的情况在发生变化。

图表：我国头部网络安全厂商纷纷布局网络安全服务

资料来源：各公司公告，各公司官网，中金公司研究部

下游：需求分化成为新常态

需求分化是新常态

各行业对网安整体需求差异不大，行业内细分需求存在差异。客户主要分为政府客户（主要包含党政部委及特殊行业）、企业客户及个人客户。根据IDC，2020年全球网安市场中政府需求占23%，医疗行业2020年份额同比提升12个百分点至16%，我们认为主要由于快速发展的数字化医疗增加了网络攻击风险。网络安全主要防范客户数据资产不受侵犯，而政企机构数据资产泄露带来的经济损失通常高于个人数据资产泄露后果，网络安全的商业化需求主要源于政企客户。在数字化转型趋势下，数据频繁交互、数据结构日益复杂带来的安全诉求升级。

图表：2019年全球网络安全市场下游用户结构

资料来源：IDC，中金公司研究部

图表：2020年全球重点行业用户需求占比

资料来源：IDC，中金公司研究部

公司：探究网络安全公司的成长密码

如何看一家网络安全公司的成长性？

网络安全产品碎片化、场景复杂化导致市场格局较为分散，不同厂商难以有统一的衡量维度。根据保护对象不同，网络安全可分为网关安全、终端设备安全、数据安全等；根据需求维度，可分为公共安全、办公安全、业务安全等；如果某个细分领域存在足够大的市场规模，产品又会“聚合”成一个新的品类如下一代防火墙、态势感知等。各网络安全公司根据自身产品特点和需求变化逐渐形成不同的商业模式。

微观：从财务指标分析

收入端：从产品与销售两个维度衡量

安全厂商的收入与下游客户需求和自身产品结构密切相关。2020年奇安信收入体量位列行业第一，2017-2020年收入复合增速达71.8%，安恒信息与深信服分别为45.4%/30.2%。

图表：综合型网络安全公司收入高增速快

资料来源：各公司公告，中金公司研究部；

注，深信服、天融信、美亚柏科仅统计网络安全业务

成本端：产品结构和业务模式决定毛利率差异

综合毛利率的提升取决于新老赛道产品结构、服务交付形态、厂商自身议价权、集成业务模式。

产品云化交付与数据驱动服务是降本增效的手段之一。一般而言，安全软件类产品标准化程度高可复制性强，交付的边际成本较低，提升软件产品占比有助于提升整体毛利率，增强产品间联动性能够减少开发冗余成本；另一方面，利用数据中台协同调度的数据驱动安全服务能够帮助减少人工成本。

图表：各网安公司综合毛利率

资料来源：各公司公告，中金公司研究部；注：其中深信服仅统计网络安全业务

图表：各网安公司安全服务毛利率

资料来源：各公司公告，中金公司研究部

费用端：映射公司发展方式

头部厂商在技术和成熟产品的性能差异不大的背景下，比拼的更多是渠道开拓、销售的能力，销售费用率是安全厂商发展模式的一项映射指标。

渠道型网络安全公司销售费用率普遍较高。海外安全厂商尤其以SECaaS（安全即服务）为主要模式的公司，订阅制下仍需要不断拓宽渠道、推动客户复购增购提升留存率，而国内安全公司主要以直销模式为主，从结果看销售费用率略低于海外。

国内安全厂商研发费用率相差不大。我们发现，近两年国内外头部厂商研发费用率基本保持在20%-30%区间，基于新的技术、场景进行持续的安全产品研发，是全球厂商共同面临的挑战。

图表：国内外相似模式的公司销售费用率接近

资料来源：各公司公告，中金公司研究部

图表：国内外相似产品结构的公司研发费用率相当

资料来源：各公司公告，中金公司研究部

从高投入期到高质量成长期，需平衡增长和盈利能力。海外网安厂商近年来向SECaaS商业模式转型，市场通过SaaS相关运营指标能够把握公司业务发展情形，对未来现金流可见度更高，对于尚未盈利的公司如Crowdstrike，也能接受基于现金流折现的远期估值和市销率估值体系，同时公司盈利能力的改善、净亏损的收窄、到利润的释放能够进一步提振估值。

图表：理想状态下，网络安全公司不同阶段成本费用假设

资料来源：IDC《全球网络安全支出指南》，中金公司研究部

中观：组织架构、资源禀赋是网络安全公司发展的关键变量

网络安全公司的增长差异主要来源于客户结构和产品结构的差异，各厂商新赛道产品普遍处于早期探索阶段，短期的竞争力一定程度依托内外在资源禀赋和运营管理效率。

人才储备是核心生产力

安全产品力的提升来自于持续的攻防训练迭代，攻防本质上比拼的是攻击能力与防御能力，体现在人员综合能力的较量。

研发人员普遍占比较高；销售人员占比与销售模式相关。网络安全具有“技术+销售”双轮驱动的特点，研发与销售人员是公司能力核心。由于客户所在地域、行业分布均较为分散，产品竞争激烈，需要销售人员同经销商培训、互动、推广相关产品，导致的结果是以渠道为主的厂商销售人员占比较高；而直销为主的客户多为大型政企机构，安全产品替换成本较大，合作关系更为稳定，销售人员占比较低。销售人员占比存在差异的另一原因在于安全运维人员数量的区别。

图表：网络安全公司人员规模呈两极分化

资料来源：各公司公告，中金公司研究部

直销模式下人均创收高于渠道模式。对比头部网络安全公司，我们发现以直销为主的网安公司销售人均创收高于以渠道为主的公司，由于直销主要发展行业内大型客户，订单额通常较大，产品定制化程度较高；而渠道销售主要针对中小企业，一方面合同单价相对较小，另一方面渠道模式为主的厂商通常需要给销售人员更高的薪酬激励。

图表：2020年网络安全公司员工结构

资料来源：各公司公告，中金公司研究部

图表：2020年网安公司销售人员人均创收

资料来源：各公司公告，中金公司研究部

图表：2020年网安公司研发人员人均创收

资料来源：各公司公告，中金公司研究部

图表：网安公司人均创收

资料来源：各公司公告，中金公司研究部

图表：网安公司人均毛利

资料来源：各公司公告，中金公司研究部

宏观：技术革新驱动应用场景迭代

网安行业较新场景发展的滞后周期正逐渐缩短。我们将云计算、大数据、工业互联网、车联网等新领域的199家A股上市公司收入增速同22家网络安全A股上市公司收入增速进行对比，我们发现，较云计算等新场景，网络安全行业收入增速呈一定滞后性，产业信息化发展程度影响安全行业发展，但滞后周期也在同步缩短。据我们统计，过去网络安全滞后期约为4年，2016年后滞后期缩短为1年，我们认为主要由于2016年后，云计算、大数据等新技术发展迅速，场景迭代本身较快，下游需求提升带动了安全行业收入增速，不断缩短的滞后期反映了精准布局新赛道产品的迫切性与必要性。

估值框架：短期看增速，中期看模式，长期看产品力

全球视角下的安全公司估值体系

市销率是新兴网络安全公司主要估值方法。国内同海外上市公司间的差异性导致不能简单套用海外公司的估值方法，主要由于：1）海外安全厂商产品标准化程度较高，而国内厂商受下游客户及销售方式影响，多提供定制化产品；2）海外厂商主要通过订阅制提供服务，基于云的方式交付安全的收入占比在提升，国内由于企业使用习惯、企业上云仍在发展初期等因素，还没有真正的SECaaS厂商出现，且由于下游客户多为大型政企机构，仍以提供硬件产品、或基于私有云提供定制化方案的模式为主。3）订阅模式提升了未来现金流的可见度，市场更易接受现金流折现的远期估值，但由于我国多数网安公司仍未采用订阅模式，且存在部分未盈利公司，我们认为收入增速更能反映国内网安公司对于细分赛道的布局与建设能力，P/S估值逐渐成为新趋势。

短期看增长

全球网络安全行业整体仍处于成长期，很多公司暂未实现盈利，如奇安信、CrowdStrike、Zscaler等，市销率是评估网络安全公司的主流方法。收入增速及收入结构直接反映了市场份额提升程度以及竞争力的强弱。收入增长来源为增量市场（云计算、大数据、物联网等新场景下的网络安全）与存量市场（网安公司通过打造集成化产品占据友商的市场份额）。对于存量市场而言，我国大部分客户采购产品主要为防火墙、入侵检测、日志审计等产品，产品较为成熟，客户对产品本身的理解也较为深刻，网安厂商议价权有限，存量市场竞争本质是厂商在不断缩小的空间内抢占对方市场份额。我们认为未来安全行业增长点在于新赛道产品，新产品的收入增速反映安全公司对于行业发展趋势、新赛道把握的认知能力以及研发效率、销售能力。

中期看模式

我国网络安全行业仍未形成清晰的商业模式。我国信息化起步较晚，行业用户未形成业务上公有云的习惯，厂商的商业模式较为传统。部分产品型公司也会承担少量集成与服务业务，服务型网安厂商也提供自研产品，国内网安厂商应对激烈的竞争，主要通过扩大产品覆盖面与扩充销售人员规模以挖掘更多业务机会，且国内客户对网络安全认知仍不完备，选择网安产品或解决方案主要为了合规要求，竞争中销售能力成为赢单的关键因素。

海外网安公司的商业模式转向SECaaS。随着企业逐渐将业务迁移至云端，海外厂商也逐步以云化的形式交付安全能力（SECaaS）。用户根据自己的业务特点线上自助选择不同形态的产品或服务，厂商可以借助产品间的协同效应打造平台化产品，降低边际成本同时提升开发效率。市场对CrowdStrike、Okta、Zscaler等代表性的SECaaS公司给予较高估值。但商业模式仅仅是一方面，企业自身产品力和业绩同样重要，以同样是SECaaS模式的Carbon Black为例，2018财年起收入增速持续下行，估值回撤，低于竞争对手CrowdStrike。

图表：SECaaS将“离散型”收入转变为“连续型”收入

资料来源：中国网络安全产业联盟，中金公司研究部

长期看产品力

随着场景间交集扩大，各赛道间的边界也逐渐消失，工业互联网也会逐渐上云，保障云安全的同时也需要关注数据安全。产品仅仅聚焦于单一安全赛道已无法满足用户日益复杂的安全需求，产品的综合性能力成为用户关注重点。海外网安厂商针对用户需求打造了集成化产品，能够应用于多种场景，如Palo Alto Networks的下一代防火墙、CrowdStrike的Falcon平台、Zscaler的SASE平台。增强产品间关联程度，通过数据驱动，在新场景下实现各产品间的协同防御是不可能三角的可行解。我们认为，成功的网络安全公司需要提升产品间的协同度，一方面在新场景下快速迭代，带来增量市场收入；另一方面，高内聚、低耦合的产品能够降低研发费用率，减少冗余开发。

图表：提高产品关联度能够解决“不可能三角”

资料来源：中国网络安全产业联盟《中国网络安全产业分析报告（2020年）》，中金公司研究部

[1] 工业控制系统安全国家地方联合工程实验室， 2020年