2019年一季度中国信息安全行业营收情况分析及未来发展前景分析[图]

   信息安全行业拐点出现，期待等保2.0提振增速。信息安全在IT基础设施中增速最快，行业内生增速就达到20%；同时，我国信息安全投入占IT投入比与欧美仍有数倍差距，我国信息安全市场仍有广阔空间。等保2.0有望复制1.0政策红利，信息安全行业将大幅受益。2007年等保1.0时期，信息安全公司营收增速中位数大幅提升，而等保2.0加强了法律地位（由规范升级为法律），拓宽了监管范围（由传统信息系统升级为云、大数据、物联网等），规范了定级标准（公众等组织在特别严重情况下等级由二级升为三级），信息安全行业有望再次迎来高增长。 

    行业整体来看，我们构建了以启明星辰、绿盟科技、深信服、南洋股份等十多只代表性股票的组合进行总结。虽然行业内生增速有20%，但是上市公司整体并没有跑赢行业。营收方面，16\17\18年增速为16.42%、22.37%、11.31%，19Q1为9.39%；扣非净利润方面，16\17\18年增速为45.49%、26.62%、1.18%，19Q1为-190.29%，呈现下滑趋势。主要原因部分是一些公司业绩下滑，包括子公司剥离、商誉减值、一些特殊行业订单推迟等，另一部分是行业格局依然较为分散，同时奇安信（原360企业安全）激进竞争策略对行业产生一定的冲击。信息安全市场企业和产品众多，市场集中度较低，龙头厂商启明星辰全市场占有率也不到6%。

信息安全行业营业收入（亿元）

数据来源：公开资料整理

信息安全行业扣非归母净利润（亿元）

数据来源：公开资料整理

    毛利率和费用率均呈现提升状态。信息安全属于技术壁垒较高的行业，毛利率普遍较高，随着技术研发的不断投入，整体呈现上升的趋势。18年行业毛利率达到47.47%，净利率下降为11.01%。净利率下降主要是费用上升，信息安全市场以2B和2G为主，销售费用率较高，18年为15.71%，管理费用（扣除研发）较为平稳。除此之外，研发投入上升较为明显。信息安全行业季节性尤其明显，一季度数据波动较大属于正常。

信息安全行业平均毛利率和净利率（%）

数据来源：公开资料整理

信息安全行业费用率（%）

数据来源：公开资料整理

    研发投入持续提升，现金流保持平稳上升。信息安全行业研发投入在各细分行业中是最高的，18年已经达到15.27%。安全领域新兴需求众多，技术创新不断，如工控安全、云安全、大数据安全等，信息世界每一个角落其实都需要安全投入进行保护，因此各细分产品众多，研发需要持续不断的投入。经验活动现金流基本保持稳定，近三年呈现逐步上升的状态。

信息安全行业研发投入（亿元）

数据来源：公开资料整理

信息安全行业经营活动现金净利率（亿元）

数据来源：公开资料整理

    等保2.0发布在即，行业竞争格局改善。2019年工业安全大会上，公安部十一局祝国邦处长提前透漏等级保护2.0标准将于5月13日正式发布的消息，等保2.0工作最重要的标准依据即将落地执行。我们认为等保2.0会对行业有一个显著的刺激作用。另一方面，随着以启明为代表的龙头厂商推出安全运营中心的服务，该业务能参与的玩家大幅减少，市场竞争激烈程度减缓。同时，奇安信与360分家后，对其品牌影响力有所削弱，产品能力与360的协同也会下降，其对传统安全市场的冲击也会减弱，市场竞争格局出现改善。

    等级保护是我国网络安全方面的基本制度。1994年我国就确定了等级保护制度，当年发布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2007-2017年是等级保护1.0时代。2008年四部门发布的《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》及其配套政策文件和标准统称为等保1.0。这十年，公安部重点开展了等级保护的定级、备案、测评、整改和监督检查五项工作，制定等级保护的政策、标准，引领各行业部门贯彻落实等级保护制度。

我国信息安全政策梳理

数据来源：公开资料整理

    由于新技术、新应用、新业务形态的大量出现，安全趋势和形势的急速变化，等保1.0已经不再适用于当前安全要求，具体问题包括：（1）无法有效应对风险。大部分单位只为合规而开展等保，通过对标和设备堆叠达到合规的效果，但缺少体系性考虑和真正有效的风险处置能力，无法真正提升安全防护水平。（2）无法建立主动保障。传统等保要求以被动防御为主，对事前、事中和事后的闭环安全保障能力要求较少，大部分等保合规系统遭受攻击后，难以主动分析、及时响应、快速发现。（3）无法有效应对新技术。信息技术的快速发展和迭代，导致等级保护缺少对新技术的安全要求，使云计算、大数据、物联网等一系列新技术应用缺乏有效安全要求和管控措施。（4）无法有效防护新风险。APT、邮件钓鱼、虚拟机逃逸、物联感知设备挟持等新的安全威胁和新的攻击手段带来了很多新的安全风险，等级保护要求中缺乏相应的安全措施要求。

    等级保护即将进入2.0时代。2016年11月7日，《中华人民共和国网络安全法》正式公布，并于2017年6月1日起施行，其中第21条明确指出，国家实行网络安全等级保护制度，要按照网络安全等级保护的要求履行网络安全的义务。该法的施行把网络安全等级保护制度提升至法律保障层面，标志着我国对于整个国家网络安全的投入和建设进入了一个新的历史阶段。2018年6月，《网络安全等级保护条例（征求意见稿）》发布，延续了1.0所确立的五级安全保护等级体系，但进一步强化了对公民、法人和其他组织合法权益的保护。根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、毁损后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。

信息安全等级划分为五级

数据来源：公开资料整理

    在5月9日“2019工业安全大会”上，公安部十一局祝国邦处长透露，网络安全等级保护技术2.0版本即将发布。等保2.0标准，除通用要求外还新增了云计算安全、移动互联网安全、物联网安全、工业控制系统安全和大数据安全5个安全扩展要求，以应对新技术和新应用。我们认为等保2.0有望带来信息安全行业空间释放，从量和质两方面全面影响行业发展。目前，等保2.0已于2019年5月13日正式发布，实施日期为今年12月1日。

    量的角度，等保2.0的监管范围更加广泛。监管对象上，不再只是党政机关重要部门及央企国企，所有网络运营者都被纳入等级保护管理。监管内容上，等保1.0主要是对传统信息系统进行保护，等保2.0对新技术新应用风险管控提出要求，将云计算、大数据、人工智能、物联网、工控系统和移动互联网等纳入等级保护监管，由单一标准演变为一个系列标准（包括安全通用、云计算、移动互联、物联网、工业控制）。

    质的角度，等保2.0下安全体系向全方面主动防御转变。信息安全等级保护工作包括定级、备案、安全建设整改、信息安全等级测评、信息安全检查五个阶段。而进入等保2.0时代，等保的内涵已大为丰富和完善。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施，由被动防御为主转到包含事前、事中、事后的全方面主动防御。

等保2.0安全框架核心内容

数据来源：公开资料整理

    云计算、V2X车联网、工业互联网的发展为IT系统安全带来新的挑战。云环境既面临传统IT的所有安全隐患，数据安全问题更是云计算服务的重中之重。V2X网络安全直接威胁交通安全。网络攻击与潜在威胁将影响V2X通信的整体功能与完整性，从而威胁行车安全。随着物联网的发展，工业安全、智能制造等相关规范和标准的出台，工控安全的重要性日渐提升。工控安全产品对计算资源的消耗量要最小，同时对适应恶劣环境要求最高。工业领域的用户在安全管理也有很强的诉求，包括日志的收集与联动分析，威胁或异常事件的溯源等等。

    新应用的出现为网络安全市场提供了新的空间。以云计算为例，2017年我国云计算整体市场规模达691.6亿元，同比增长34.32%。其中，公有云云市场规模达到264.8亿元，相比2016年增长55.7%，预计2018-2021年仍将保持快速增长态势，到2021年市场规模将达到902.6亿元。云安全的市场规模随着云计算市场规模的增长而迅速崛起，2018年中国云安全市场规模达到37.8亿元，增长率达44.8%，预计未来2年内预计仍将保持每年40%的高速增长。

2016-2021年中国云安全市场有望保持40%的高速增长

数据来源：公开资料整理

    网络安全首度纳入央企业绩考核指标。国资委新修订的《中央企业负责人经营业绩考核办法》从2019年4月1日开始施行。《办法》增加了一个全新的业绩考核指标——网络安全事件,以建立重大事项报告制度等为表现。这意味着央企从价值管理进入网络安全管理的新阶段,利润不再是央企考核的唯一标准。发生网络安全事件惩罚严厉，体现国家对网络安全的高度重视。《办法》第六章规定，网络安全考核的直接对象就是企业负责人，如果发生网络安全事件造成国有资产流失，给予降级或者扣分处理,情节严重的,给予纪律处分或者对企业负责人进行调整等。我们认为网络安全纳入央企业绩考核指标，并与负责人奖惩直接挂钩，有望切实提升央企网络安全投入，拉动网络安全产业景气提升。

    相关报告：智研咨询发布的《2019-2025年中国信息安全芯片行业市场分析预测及投资方向研究报告》