1、 请参阅最后一页的重要声明 证券证券研究报告研究报告行业深度报告行业深度报告 安全服务安全服务市场高增长,市场高增长,成为成为行业龙头行业龙头竞争焦点竞争焦点 我国安全服务占比远低于世界平均水平,过去政企安全防护理念我国安全服务占比远低于世界平均水平,过去政企安全防护理念落后,安全服务投入过低,未来三年需要补齐安服短板,落后,安全服务投入过低,未来三年需要补齐安服短板,2021年安全服务占网络安全市场结构占比有望超过年安全服务占网络安全市场结构占比有望超过 20%。根据 IDC预计到 2023 年,预计全球网络安全支出规模将达到 1512 亿美元,保持 9.4%的年复合增长率持续增长。从安全硬
2、件、软件、服务的分类来看,在欧美市场安全服务化理念深入人心,2019 年安全服务支出规模占比第一,占比达到 64%。中国目前是除美国以外网络安全支出最多的国家,中国网络安全投入在整体 IT 投入中的占比也一直保持稳步提升,由于过去政企安全防护理念落后,安全服务投入过低,因此安全服务只占整个网络安全市场的 13.8%,未来三年将是政企迅速补齐安服短板的三年。根据中国信通院预计,2021 年安全服务市场规模将达到 183.5 亿元,未来三年复合增长率为 39%,2021 年安全服务占网络安全市场结构占比有望超过 20%。安全服务细分种类众多,安全运营安全服务细分种类众多,安全运营、安全演练和数据分
3、析、安全演练和数据分析成为发成为发展热点。展热点。我国安全服务人才需求在我国安全服务人才需求在 2019 年获得极高增长,人口年获得极高增长,人口缺口较大。缺口较大。目前网络安全服务主要分为六大类即:咨询规划、安全运营服务、专业技术服务、安全演练、安全数据分析以及考试与培训。由于安全运营可以协助企业了解自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,逐步形成适合企业自身的安全运营体系,因此运营服务是过去几年安全服务增长最快的一个类目,因为增长快且能更加了解客户的网络安全状况并增强客户粘性,得到各大安全厂商的重视。而安全演练、数据分析也在国家关键基础设施保护和发现潜在威胁中发挥越来越
4、重要作用,成为发展热点。我国目前网络安全运营人才需求较大,无论是企业还是政府对网络安全人才需求都呈现快速增长趋势。根据网易调查显示,2019 年安全运营与服务类的岗位需求大幅增长,成为政企机构招聘最多的岗位类型,占比高达 32.7%,首次超过研发测试岗位。而我国安全服务高级工程师和安全运营人员缺口较大,安全厂商对安服人才争夺也进入白热化。政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,对安全服务需求将保持高增长。对安全服务需求将保持高增长。根据奇安信发布的 2019 上半年网络安全应急响应分析报告可以看出,2019 上半年针对
5、政企机构、大中型企业的攻击从未间断过,3 月份是攻击的高峰。2019年上半年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中医疗卫生行业上半年被攻击者攻 维持维持 买入买入 石泽蕤石泽蕤 18616092669 执业证书编号:S1440517030001 发布日期:2019 年 11 月 28 日 市场市场表现表现 相关研究报告相关研究报告 -7%13%33%53%2018/11/72018/12/72019/1/72019/2/72019/3/72019/4/72019/5/72019/6/72019/7/72019/8/72019/9/72019/10/7计算机
6、应用上证指数计算机应用计算机应用 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 击次数最多,其次为公检法、事业单位、政府机构、交通运输等重要行业。为了提升政府和关键基础设施所覆盖的行业对安全的重视,公安部也将“净网行动”“护网行动”两大行动成为常态化措施保卫国家关键信息基础设施安全。一方面未来央企、党政客户自身会加大在网络安全重视和投入,一方面由于网络安全人才缺乏、传统技术和产品脱节,央企和政府会更多依靠网络安全第三方厂商提供的服务,采用“人+系统”运营服务方法,更好的防御安全威胁。安全服务高速发展将带动安全服务平台类、终端安全、检测类工具、威胁情报、应急响应工具等产品快速
7、安全服务高速发展将带动安全服务平台类、终端安全、检测类工具、威胁情报、应急响应工具等产品快速增长增长。安全服务过程中“工具+数据+人”缺一不可,因此安全服务市场高增长除了对网络安全人才需求高增长外,也将明显带动如安全运营和检测中要用到的各类产品增长包括:威胁情报产品、态势感知平台、流量威胁监测工具、终端安全、APT 检测工具、勒索病毒检测和解密工具等快速增长。行业龙头加大安全服务投入,安全服务市场高增长助力龙头长期发展。行业龙头加大安全服务投入,安全服务市场高增长助力龙头长期发展。过去 3 年国内网络安全龙头厂商都在加大安全服务投入,尤其是 2019 年,由于在安全演练中发现了较多问题,政府和
8、央企对安服需求进一步提升,因此 2019 年下半年龙头厂商对安服投入力度进一步加大。目前国内龙头厂商在安服领域都有自己的特色:(1)启明星辰:作为国内网络安全领军企业,公司走在智慧城市安全建设队伍的前沿,2016 年开始在全国范围布局智慧城市的独立安全运营中心建设,首次提出了以“第三方独立安全运营”作为保障网络安全的重要手段,作为集团公司的战略新业务,。2018 年公司实现安全运营中心业务订单 1.5 亿,预计 20192020 年仍然将保持高增长。目前公司在全国运营体系已基本形成北京、成都、广州、杭州四个运营业务支撑中心及二十余个城市级运营中心,并已形成成熟的标准化运营体系,未来运营中心业务
9、将向其他二三级城市拓展,目标 35 个运营中心。(2)奇安信:根据赛迪咨询,公司目前安服人员人数和安服收入排名全国第一,且安服产品种类最齐全。公司的攻防安全能力和攻防渗透人员规模目前均处于国内第一,公司目前约有 1000 人从事攻防渗透工作,约有 300人从事情报分析和情报检测,全球第一,约有 200 人专门从事 APT 防护国内第一。公司目前拥有国内最大的漏洞响应平台“补天”,服务的监管体系覆盖了 9000 多家网络安全重点保障单位,预计未来安全服务人员规模仍然将保持快速扩张。(3)深信服:安全服务上升到战略高度,2019 年发力安全服务市场,人员扩张较快且主打“人机共智”安全理念。2018
10、Q3 公司发布“人机共智”的安全运营服务,依靠 AI 和大数据技术不断完善人+自动化运营服务。且过去两年公司加大安全运营中心建设,已经积累了超过 20 个智慧城市安全运营平台建设经验,并在最近河北新龙科技集团合作在河北 11 个地市建设安全运营中心,安全服务有助于公司深入服务政府、央企和大型企业,进一步拓展高端客户群。(4)安恒信息:在政府、公安等重大活动保障方面一直是领导企业,顶级安全服务能力多次受到国家部委和机关认可,2018 年公司网络安全服务业务实现收入 1.63 亿元,同比增长77.1%,近两年复合增长率为 55.3%,保持快速增长。同时公司重视新一代网络安全产品的研发和技术投入,云
11、安全、大数据安全、态势感知和服务产品具有领先优势。投资建议:投资建议:目前我国安全服务占比远低于世界平均水平,过去政企安全防护理念落后,安全服务投入过低,未来三年需要补齐安服短板,预计 2021 年安全服务市场规模将达到 183.5 亿元,未来三年复合增长率为 39%。政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,对安全服务需求将保持高增长,因此在安服领域领先的综合解决方案提供商更有可能在党政军、央企和大企业市场获得长期领先优势,因此 2019 年安全龙头公司都进一步加大了安全服务投入,且未来也将持续高速扩张。我们持续看好未来三年网络安全市场的高增我们持续看好未来三年网络安全市场的
12、高增长,并持续重点推荐在安全服务领域有超前布局的龙头安全公司:启明星辰、奇安信、深信服和安恒信息。长,并持续重点推荐在安全服务领域有超前布局的龙头安全公司:启明星辰、奇安信、深信服和安恒信息。1 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 目录目录 一、中国网络安全服务市场增长迅速,细分领域众多且需求旺盛.2 1.1 中国网络安全市场中安全服务目前占比较低,相比全球平均水平,未来增长潜力巨大.2 1.2 北美网络安全服务市场在 20112015 年迅速扩大,带动了以 Fireeye 为代表的网络安全公司高增长.3 1.3 我国网络安全应急响应法律法规陆续出台,并在逐步建立
13、自上而下的网络安全应急响应协调与通报机构.7 二、网络安全服务种类众多,人、数据、工具、流程形成完整解决方案,目前安全服务人才缺口较大.8 三、党政军、央企对安全服务和运营需求增长迅速,同时催生出对新一代安全工具和平台产品需求.13 四、行业龙头加大安全服务投入,安全服务市场高增长助力龙头长期发展,得安全服务者得天下.16 4.1 启明星辰:首提第三方独立运营,城市安全运营服务中心业务将促进公司智慧城市大数据发展,为公司提供长期发展动力.16 4.2 奇安信:国内安全服务市场引领者和培育者,先进安全服务理念践行者,安全服务规模目前国内第一,预计未来仍然将持续快速扩张安服规模.19 4.3 深信
14、服:20182019 年发力安全服务,安全服务能力和人员规模增长迅速,有助于公司拓展大企业和政府市场.22 4.4 安恒信息:顶级安全服务能力多次受到国家部委和机关认可,新一代网络安全产品具有领先优势.23 2 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 一、一、中国网络安全服务中国网络安全服务市市场场增长迅速,增长迅速,细分领域众多且需求旺盛细分领域众多且需求旺盛 1.1 中国网络安全市场中安全服务目前占比较低,相比全球平均水平,未来增长潜力巨大 全球网络安全全球网络安全保持保持 9.4%的年复合增速,网络安全服务支出占比第一。的年复合增速,网络安全服务支出占比第一。I
15、DC全球半年度网络安全支出指南2018H2显示,2019 年全球网络安全支出将达到 1066.3 亿美元,同比增长 10.7%,到 2023 年,预计全球网络安全支出规模将达到 1512 亿美元,保持 9.4%的年复合增长率持续增长。从安全硬件、软件、服务的分类来看,在欧美市场安全服务化理念深入人心,2019 年安全服务支出规模占比第一,占比达到 64%。网络安全服务市场由咨询服务、集成服务、IT 教育与培训以及托管安全服务(MSS)四个子市场构成。其中托管安全服务(MSS)作为安全服务的子市场将以 210 亿美元的投资规模成为 2019 年网络安全产品与服务市场中的最大子市场。图表图表1:2
16、018 年全球网络信息安全市场产品结构年全球网络信息安全市场产品结构(单位:亿(单位:亿美元)美元)图表图表2:2019 年全球年全球预计预计 IT 安全产品与服务市场份额安全产品与服务市场份额 资料来源:赛迪咨询,中信建投证券研究发展部 资料来源:IDC,中信建投证券研究发展部 我国我国安全安全服务市场近年保持高速增长,市场占比将逐步提升,服务市场近年保持高速增长,市场占比将逐步提升,2021 年安全服务占网络安全市场结构占比有年安全服务占网络安全市场结构占比有望达到望达到 20%。中国目前是除美国以外网络安全支出最多的国家,中国网络安全投入在整体 IT 投入中的占比也一直保持稳步提升,随着
17、网络安全法、等级保护 2.0、国家关键信息基础设施安全保护条例等相关法律法规监管和审查趋严,中国网络安全相关硬件、软件和服务市场保持高增长。根据 IDC 预测,2019 年中国网络安全市场总体支出将达到 73.5 亿美元,2019-2023 年 CAGR 为 25.1%,增速领跑全球市场。相比欧美市场,目前中国信息安全市场仍是以硬件为主,2018 年国内信息安全硬件市场占比达到 48.1%,安全服务只占整个网络安全市场的 13.8%。随着中国信息产业和网络技术的发展,传统的信息安全产品难以满足日益变化的复杂的网络空间,中国的信息安全行业必将向国际看齐,未来中国安全市场将由硬件为主转换为服务为主
18、。目前国内信息安全领域的重要企业,均在开展行业解决方案策划和推广工作,从产品导向型企业向服务导向型企业转变,以适应未来用户定制化服务和细分市场等发展趋势。未来三年,随着云计算、大数据与智慧城市的快速发展,更多的大型企业趋向于定制化安全服务,安全服务市场将持续增长,基于软件及服务的安全产品市场将是下一个爆发点。根据中国信通院预估,2021 年安全服务市场规模将达到 183.5 亿元,未来三年复合增长率为 39%,安全服务市场占比也将达到 20%。118.4330.1811.302004006008001000硬件软件服务 3 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表
19、图表3:中国网络安全市场规模中国网络安全市场规模(单位:亿元)(单位:亿元)图表图表4:中国市场安全服务占比将逐步提升,安全硬件增速中国市场安全服务占比将逐步提升,安全硬件增速将逐步放缓将逐步放缓,2020 年安全服务将达到市场占比年安全服务将达到市场占比 20%资料来源:中国信通院,中信建投证券研究发展部 资料来源:中国信通院,中信建投证券研究发展部 1.2 北美网络安全服务市场在 20112015 年迅速扩大,带动了以 Fireeye 为代表的网络安全公司高增长 回顾北美网络安全服务市场在回顾北美网络安全服务市场在 20102015 年迎来高峰,年迎来高峰,网络安全服务市场增速高于网络安全
20、服务市场增速高于网络安全网络安全行业整体增速行业整体增速。2015 年美国网络安全市场规模约 370 亿美元,2011-2015 年复合增长率为 9%,而安全服务中典型代表托管安全服务市场同期复合增速则达到 17.6%,增速远高于网络安全市场整体增速。根据 Statista 分析当网络攻击行为变得复杂的情况下,传统网络安全设备如防火墙、IDS 并不能完全阻挡网络攻击,构建全面的安全防护体系和安全管理策略更适应网络安全发展,同时,用户自身安全知识有限,也需要专业人员协助维护,这些都使得北美安全服务市场增速高于行业整体增速。336.2 409.6 495.2 608.1 749.2 926.821
21、.5%21.8%20.9%22.8%23.2%23.7%20%20%21%21%22%22%23%23%24%24%01002003004005006007008009001,0002016 2017 2018 2019E 2020E 2021E网络安全信息市场规模(亿元)增速51.5%49.6%48.1%45.9%43.6%41.3%37.4%37.6%38.1%38.5%38.7%38.9%11.1%12.8%13.8%15.6%17.7%19.8%0%10%20%30%40%50%60%70%80%90%100%2016201720182019E2020E2021E硬件软件服务 4 行业
22、深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表图表5:北美网络安全市场规模北美网络安全市场规模 图表图表6:北美托管安全服务与网络安全市场增速对比北美托管安全服务与网络安全市场增速对比 资料来源:CyberFort,中信建投证券研究发展部 资料来源:CyberFort,Statista,中信建投证券研究发展部 Fireeye 是是成立于成立于 2004 年的安全服务厂商,年的安全服务厂商,成立之初成立之初专注专注提供提供 APT 检测和攻击检测和攻击产品和服务产品和服务。Fireeye 于 2004年成立,2013 年在美国纳斯达克上市,Fireeye 核心技术为 MVX
23、技术,能把 APT 等威胁放在虚拟环境中并加速时间,从而在较短的时间内安全观察到攻击行为。当时 Fireeye 包括产品、订阅和服务两大业务,产品包括网络安全 NX、邮件安全 EX、端点安全 HX、文件安全 FX、移动安全 MX 等安全设备,以及由上述设备构建的中央管理系统 CMS 的 APT 检测与防御网络。产品类还包括安全分析、安全取证产品,包括威胁分析平台 TAP、恶意软件分析系统 AX、网络取证平台(PX Series)和调查分析系统(AI Series)等等。订阅和服务主要分为订阅产品以及客户咨询服务,其中订阅产品主要为火眼即服务 FaaS 以及威胁情报等服务,其中,威胁情报订阅产品
24、包括动态威胁情报云(DTI)、高级威胁情报(ATI)以及邮件防护的相关订阅服务。图表图表7:Fireeye 2015 年产品和服务一览年产品和服务一览 产品分类产品分类 产品名称产品名称 产品简介产品简介 Products 产品 Threat Prevention Platform 威胁预防平台 Network Threat Prevention Platform 网络威胁防御平台(NX Series)Network Security NX 系列设备可从 10 Mbps 扩展到多个吞吐量千兆位,并在企业 Internet 访问点上在线部署,以分析所有 Web 流量。Email Threat P
25、revention Platform 电子邮件威胁防护平台(EX Series 和 ETP)电子邮件威胁防护设备(EX 系列)和基于云的解决方案(ETP)可检测和阻止利用未知操作系统,浏览器和应用程序漏洞以及电子邮件中包含的恶意代码和附件的高级攻击。Endpoint Threat Prevention Platform 端点威胁防御平台(HX Series)端点威胁防御平台是一个设备和端点代理系统,它使安全组织能够使用 MVX 引擎的威胁检测算法检测,分析和解决台式机,笔记本电脑和其他最终用户设备上的安全事件。File Content Security 文件内容安全(FX Series)FX
26、系列设备可以分析网络文件服务器,通过绕过传统安全解决方案的技术(如在线文件共享和相关协作工具)来检测和隔离带入网络的恶意软件。Mobile Threat Prevention 移动威胁防御(MX Series)移动威胁防护产品允许组织识别恶意移动应用程序并评估 Android和 Apple 设备的其他应用程序的风险级别。Security Central Management System 中央管理系统(CMS)统一了报告,配置和威胁情报共享,并管理2629313437051015202530354020112012201320142015北美网络安全市场规模(十亿美元)12%7%10%9%18
27、%17%19%18%0%5%10%15%20%2012201320142015北美网络安全市场增速北美托管安全服务市场增速 5 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 Management Products 安全管理产品 中央管理系统 威胁防御平台组件的整体部署。Security Analysis Products 安全分析产品 Threat Analytics Platform 威胁分析平台(TAP)威胁分析平台(TAP)是一种基于云的解决方案,通过将来自任何安全产品的企业生成的安全事件数据与 FireEye 的实时威胁情报相关联,使安全团队能够识别并有效地响应网络
28、威胁。Malware Analysis System 恶意软件分析系统(AX Series)AX 系列设备通过允许安全团队手动执行和检查嵌入在文件,电子邮件附件和文件中的高级恶意软件,零日和其他高级网络攻击,提供安全的环境来测试,重放,表征和记录高级恶意活动。Security Forensics Products 安全取证产品 Network Forensics Platform 网络取证平台(PX Series)网络取证平台设备通过以极快的速度捕获和索引完整数据包来补充我们的威胁防御平台,以便组织调查和解决安全事件。Investigation Analysis System 调查分析系统(A
29、I Series)调查分析系统为网络取证平台提供了一个集中的,易于使用的分析界面,可在单个集中式仪表板中为安全分析人员提供数据可视化和深入分析。Mandiant Intelligent Response Mandiant 智能响应(MIR)MIR 端点取证产品可以对端点进行远程调查,并允许安全团队收集目标取证数据,以识别攻击者的行为,工具和技术。Subscription and Services 订阅和服务 Product Subscriptions 产品订阅 Threat Intelligence Subscriptions 威胁情报订阅 Dynamic Threat Intelligenc
30、e Cloud 动态威胁情报云(DTI)将部署在全球客户网络,技术合作伙伴网络和服务提供商中的FireEye 设备互连,以收集和共享实时威胁情报。Advanced Threat Intelligence 高级威胁情报(ATI)通过威胁和威胁参与者的上下文信息增强了我们的动态威胁情报,包括有关攻击者身份的信息,可能的动机以及攻击模式的详细信息。Advanced Threat Intelligence Plus 高级威胁情报+(ATI+)ATI+增加了有关高级网络威胁组的全面档案,趋势,新闻和分析,以及目标行业的概况以及有关数据威胁组所针对的类型的信息。Email Threat Preventio
31、n Attachment/URL Engine电子邮件威胁防护附件/URL 引擎 可分析电子邮件中嵌入的电子邮件附件和 URL 以查找威胁。购买Email Threat Prevention 设备的客户还需要购买一年或三年订购我们的 DTI 云和 Email Threat Prevention 附件/URL 引擎。Email Threat Prevention Cloud(ETP)电子邮件威胁防御云 是一种软件即服务(SaaS)产品,可使用我们的 MVX 引擎保护基于云的邮箱免受高级威胁,并提供反垃圾邮件和防病毒保护。Mobile Threat Prevention(MTP)移动威胁防护订阅
32、移动威胁防护解决方案使用 MVX 引擎分析语义,动态和行为特征的组合,为 Apple iOS 和 Android 设备提供移动应用程序的全面风险评估,并包括 MTP 应用程序,MTP 管理和 MTP 分析。Security-as-a-Service Offerings 安全及服务产品 FireEye-as-a-Service FireEye-as-a-Service 产品包括我们的网络安全平台和我们的端点安 6 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 全平台解决方案,由我们的安全专家通过我们遍布全球的安全运营中心进行管理。Customer Support and Co
33、nsulting Services 客户支持和咨询服务 Incident response,compromise assessments and related consulting services 我们拥有一支网络安全专家团队,能够快速响应遭遇破坏的客户,帮助他们了解事件的范围并快速修复攻击。Training and professional services培训和专业服务 我们通过培训部门和授权培训合作伙伴为我们的客户和渠道合作伙伴提供培训服务。这些服务旨在提供有关我们产品的实施,使用和功能以及维护和支持的培训。Customer Support and Maintenance Servi
34、ces 客户支持和维护服务 我们为我们的产品和订阅提供技术支持。资料来源:公司公告,中信建投证券研究发展部 2011-2015 年年 Fireeye 安全服务安全服务营收快速增长营收快速增长,2011-2013 年高速增长主要为年高速增长主要为基于云的动态威胁情报和电子基于云的动态威胁情报和电子邮件附件邮件附件威胁威胁防护防护两款产品推动增长两款产品推动增长。2013 年 Fireeye 收购 Mandiant 之前,订阅和服务收入一直呈现快速增长的态势,2010 年-2013 年营收复合增长率达到 208.6%,在总收入中的占比也从 2010 年的 21%提升到 45%。其中,订阅和服务收入
35、快速增长主要来自于两款订阅产品,一是基于云的动态威胁情报服务(DTI),DTI 将部署在客户、技术合作伙伴和服务提供商中的 FireEye 设备互连,以收集和共享实时威胁情报,购买设备时必须订阅DTI,周期可以为一年或三年,价格为设备成本的 20%。另一款订阅产品是基于云的电子邮件附件威胁防护/URL引擎,它使用 FireEye 的无签名 MVX 引擎来扫描电子邮件附件,检测威胁并阻止 APT 攻击。购买电子邮件威胁防护设备的客户需要购买为期一年或三年的电子邮件威胁防护附件/URL 引擎订阅,如果没有与该订阅相关的功能,该设备将无法运行。图表图表8:Mandiant 被收购之前收入情况(单位:
36、百万美元)被收购之前收入情况(单位:百万美元)图表图表9:随着安全服务需求爆发,随着安全服务需求爆发,Fireeye 20112015 年营收年营收构成和增长,安全服务和安全产品都保持高增长构成和增长,安全服务和安全产品都保持高增长 资料来源:Bloombergt,中信建投证券研究发展部 资料来源:CyberFort,Statista,中信建投证券研究发展部 46.72 71.56 6.72 10.75 010203040506070809020112012服务收入产品收入53.4189.8072.10111.23121.91205.302.508.7731.0573.309.2724.895
37、2.2788.25178.25216.630100200300400500600700201020112012201320142015支持和维护服务专业服务产品订阅订阅和服务产品 7 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 客户规模快速增长以及高续订率,使得订阅产品客户规模快速增长以及高续订率,使得订阅产品服务服务长期保持高增速长期保持高增速。2011-2015 年,FireEye 的客户规模从 450 家快速增长到 4400 家(2013 年底为 1900 家),年复合增长率高达 76.83%,由于公司云订阅产品与设备深度绑定,其续订率长期保持在 90%以上。因此随
38、着公司客户规模快速增长,上述两款订阅产品保持了较快增速。在收入高速增长的推动下,Fireeye 股价也迎来一波快速增长,股价自 2014 年初的 40 美元左右涨至最高 95.6美元。2013 年年并购专业安全服务商并购专业安全服务商 Mandiant,2014-2015 继续高增长,并购之后继续高增长,并购之后协同效应较好协同效应较好。2013 年底公司以10 亿美元收购了端点安全产品和安全应急响应管理解决方案提供商 Mandiant,Mandiant 被收购之前 2012 年收入约为 8231 万美元,其中 7156 万为服务收入,1075 万为产品收入。公司 2014 年订阅和服务收入增
39、长至 2.47亿美元,同比增长 1.74 亿美元,其中订阅收入同比增加 7890 万,专业服务收入同比增加 6870 万,支持和维护收入同比增加 2650 万。专业服务收入增长主要来源于并购的 Mandiant,订阅、支持和维护收入大幅增长(同比+151%)一方面来自于 Mandiant 并购,另一方面 FireEye 的全流量检测产品和 Mandiant 的安全服务产生了良好的协同效应,增速进一步提高。1.3 我国网络安全应急响应法律法规陆续出台,并在逐步建立自上而下的网络安全应急响应协调与通报机构 2017 年颁布的网络安全法对政府和企业网络安全预警监测和应急响应做了明确规定年颁布的网络安
40、全法对政府和企业网络安全预警监测和应急响应做了明确规定。网络安全法第五章共八条的篇幅规定国家网信部门及其他政府相关部门国家网信部门及其他政府相关部门“监测预警与应急处置”的制度及措施。第二十五条、第二十九条、第三十四条规定网络运营者网络运营者及关键信息基础设施的运营者关键信息基础设施的运营者针对网络安全事件应急处置的安全保护义务(对不同对象的规定)。负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。同时应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。而省级以上人民政府有关部门在履行网络安全监督管
41、理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。2017 年年 6 月月国家国家网络安全事件应急预案网络安全事件应急预案推出推出,初步,初步形成国家网络安全应急响应形成国家网络安全应急响应自上而下统筹协调和统自上而下统筹协调和统一指挥一指挥体系。体系。网络安全事件和公共安全事件不同,一旦发生扩散速度快,影响范围大。级联效应明显,国民经济各行业之间有很强的相互依懒性,尤其依赖电力、通信为甚,必须跨部门、跨行业协同处置。且网络安全事件战时与平时没有清晰界限,有可能一
42、些事件是他国网络战部队发起的攻击,这类攻击常见于电网、通信等民用设施,因此必须国家统筹协调和统一指挥。因此国家目前形成的网络安全应急响应协调和通报体系为中央统一领导指挥,国家地方部门分级负责,网络运营者、专业队伍和社会力量共同参与,原则是:“统一指挥、分级负责、密切协同、快速反应”。在中央网络安全和信息化领导小组的领导下,中国网络安全和信息化领导小组办公室统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。国家网络安全应急办公室设在中央网信办,具体工作由中央网信办网络安全协调局承担。中央和国家机
43、关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。8 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 图表图表10:中国网络安全应急响应组织体系图中国网络安全应急响应组织体系图 资料来源:奇安信官网,中信建投证券研究发展部 二、二、网络安全服务种类众多,网络安全服务种类众多,人、数据、工具、流程人、数据、工具、流程形成完整解决方形成完整解决方案案,目前安全服务人才缺口较大,目前安
44、全服务人才缺口较大 目前网络安全服务主要分为六大类即:咨询规划、安全运营服务、专业技术服务、安全演练、安全数据分目前网络安全服务主要分为六大类即:咨询规划、安全运营服务、专业技术服务、安全演练、安全数据分析以及考试与培训。析以及考试与培训。1.咨询规划咨询规划,从,从满足满足合规到“关口前移”,让安全成为真正的信息系统内生安全合规到“关口前移”,让安全成为真正的信息系统内生安全:咨询规划是安全服务最基本内容,过去大部分安全厂商等级保护咨询服务遵循国家等级保护各级要求,帮助客户进行信息系统达标建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,导致网络安全厂商形成以合规思路设计产品
45、和客户网络安全方案的惰性思维,也造成了过去行业多年的同质化竞争、低价竞标。习总书记在 2018 年 4 月的全国网络安全和信息化工作会议上提出,要“加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然”,因此网络安全要和信息化系统建设同步,真正让安全成为“内生”。安全企业也需要与集成商、研究院和设计院一起,基于动态综合防御体系进行规划,实现信息化和安全同步规划、同步建设和同步运营。咨询规划又可以分为三类:安全规划、合规咨询、专项咨询咨询规划又可以分为三类:安全规划、合规咨询、专项咨询。其中安全规划又可以分为安全规划和行业咨询;在合规咨询中又包括等级保护和分级保护的咨
46、询、RT001、内服外省、热点事件的合规咨询等;9 行业深度报告报告 计算机应用计算机应用 请参阅最后一页的重要声明 专项咨询又包括:业务应用的安全咨询、数据安全的咨询服务、工业安全、安全研究报告等。2.运营服务运营服务,人、数据、工具、流程,共同构成了安全运营的基本元素,以威胁发现为基础,以分析以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。不管是基于流量、日志、资产的关联分析,还是部署各类安全设备,安全运营最终目标是了解企业自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,提升安
47、全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。运营服务是过去几年安全服务增长最快的一个类目,因为增长快且能更加了解客户的网络安全状况并增强客户粘性,得到各大安全厂商的重视。运营服务内容又运营服务内容又分三大类:基础运维服务、安全监察服务、巡查服务分三大类:基础运维服务、安全监察服务、巡查服务。目前全国多地在智慧城市中会设立一些安全运营中心,其中的核心服务就是安全运营服务。企业信息安全建设初期,在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维,并确保其稳定运行。安全运营的核心是安全运维框架,承载安全运维框架的
48、是安全运营的核心是安全运维框架,承载安全运维框架的是 SIEM 平台或平台或 SOC 平台平台。传统 SOC 平台缺乏安全攻防对抗能力,因为以安全日志和时间采集为基础对事件被动进行分析和响应;缺乏大量数据处理能力,因为传统 SOC 以关系型数据库为底层数据架构,处理能力相当有限,在海量数据、异构数据、多维数据的情况下,采集、分析和处理、存储数据都遇到很大困难。同时传统 SOC 平台缺乏安全智能分析能力、缺乏有效协同能力,因此安全龙头企业都纷纷推出了新一代威胁感知系统,再结合专家级的安全分析服务,为政企客户提供优质体验的安全运营服务。图表图表11:安恒信息安全运营分析平台安恒信息安全运营分析平台
49、 资料来源:安恒信息官网,中信建投证券研究发展部 3.专业技术服务专业技术服务,通常包括攻防渗透、评估加固、应急响应攻防渗透、评估加固、应急响应。以奇安信对运营商提供的专业安全服务解决方案为例,对运营商指定业务系统提供渗透测试、代码审计、新系统上线安全评估、移动 APP 加固等服务等安全服 务,并提供应急响应服务。Web 应用系统的渗透测试主要对操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试,APP 应用系统还需要对 APP 客户端漏洞进行针对性测试。源代码审计服务的目的在于充分挖掘当前源代码中存在的安全缺陷以及规范 10 行业深度报告报告 计算机应用计算机应用
50、 请参阅最后一页的重要声明 性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷,通过对系统开发框架、应用程序、客户端程序(包含 APP 应用程序、C/S 客户端等)、接口及第三方组件和应用配置这五个方面进行深入的安全分析,从而发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。同时新系统上线前进行渗透测试及源代码审计等安全服务,从黑盒测试和白盒评估两个层面发现系统可能存在的安全风险,最大限度的解决安全问题,减小了系统投产后的安全风险。而应急响应服务一般是机构、企业的网站、办公区终端、核心重要业务服务器或邮件服务器遭到了攻击,影响了系统运行
