【华创计算机王文龙团队】奇安信（688561）深度研究报告：全局思维重塑行业土壤，以创新为翼加速起飞

新浪财经

新浪财经官方账号 2021.01.1910:51

关注

来源：蚊子搞科研

华创证券研究所定位为面向专业投资者的研究团队，本资料仅适用于经认可的专业投资者，仅供在新媒体背景下研究观点的及时交流。华创证券不因任何订阅本资料的行为而将订阅人视为公司的客户。普通投资者若使用本资料，有可能因缺乏解读服务而对报告中的关键假设、评级、目标价等内容产生理解上的歧义，进而造成投资损失。

本资料来自华创证券研究所已经发布的研究报告，若对报告的摘编产生歧义，应以报告发布当日的完整内容为准。须注意的是，本资料仅代表报告发布当日的判断，相关的分析意见及推测可能会根据华创证券研究所后续发布的研究报告在不发出通知的情形下做出更改。华创证券的其他业务部门或附属机构可能独立做出与本资料的意见或建议不一致的投资决策。本资料所指的证券或金融工具的价格、价值及收入可涨可跌，以往的表现不应作为日后表现的显示及担保。本资料仅供订阅人参考之用，不是或不应被视为出售、购买或认购证券或其它金融工具的要约或要约邀请。订阅人不应单纯依靠本资料的信息而取代自身的独立判断，应自主作出投资决策并自行承担投资风险。华创证券不对使用本资料涉及的信息所产生的任何直接或间接损失或与此有关的其他损失承担任何责任。

本资料所载的证券市场研究信息通常基于特定的假设条件，提供中长期的价值判断，或者依据“相对指数表现”给出投资建议，并不涉及对具体证券或金融工具在具体价位、具体时点、具体市场表现的判断，因此不能够等同于带有针对性的、指导具体投资的操作意见。普通个人投资者如需使用本资料，须寻求专业投资顾问的指导及相关的后续解读服务。若因不当使用相关信息而造成任何直接或间接损失，华创证券对此不承担任何形式的责任。

未经华创证券事先书面授权，任何机构或个人不得以任何方式修改、发送或者复制本资料的内容。华创证券未曾对任何网络、平面媒体做出过允许转载的日常授权。除经华创证券认可的媒体约稿等情况外，其他一切转载行为均属违法。如因侵权行为给华创证券造成任何直接或间接的损失，华创证券保留追究相关法律责任的权利。

订阅人若有任何疑问，或欲获得完整报告内容，敬请联系华创证券的机构销售部门，或者发送邮件至jiedu@hcyjs.com。

核心观点

✔ 深入安全规划扩大产业规模，构建四大研发平台提升产品研发效率。参考IDC统计数据，我国网络安全投入占信息化投入比重仅为1.84%，远低于全球平均水平（3.74%）、美国平均水平（4.78%），且传统网络安全建设方案多为被动防御，依靠单款产品且不成体系，很难满足以攻防实战化效果为核心的客户需求。为此，公司深度参与客户的网络安全建设规划中，与客户共同规划未来安全投资与建设，从全局角度增大了网安市场的投入规模。针对网安新产品研发中可能存在的功能或模块重复研发问题，公司加大研发投入构建出鲲鹏、诺亚、雷尔、锡安四大研发平台，提取产品共性从而提升新产品研发效率，或将新产品研发周期最短缩至数周，这将极大提升公司布局新赛道产品速度。

✔ 我国网安向主动防御体系化建设阶段过渡，公司积极布局主动安全体系化建设能力，并得到市场认可。此前网安建设所部署的安全设备缺乏有效联动，无法进行完整的安全防护。等保2.0出台，攻防实战化演习成为常态化检测手段，将客户的防护思路从零散的被动防御转变为体系化的主动防御建设，而主动防御体系化的方案交付能力是公司的核心竞争力。公司主动防御产品线已形成体系，且在终端安全、安全分析与威胁情报、态势感知等细分领域市场份额领先，并且超过2500人的技术支持及安全服务人员能够为客户提供快速有效的应急响应支持。公司的态势感知平台基本已经实现全国政府监管部门与行业主管部门全覆盖，下游客户的广泛使用显示出公司的技术与市场能力，在数世咨询的调查中，公司态势感知能力行业第一。此外，公司牵头我国零信任领域首个国家标准的制定、云安全管理平台市场份额第一，大力开拓新兴赛道提升公司成长天花板。

✔ 美国网安已发展到积极反制阶段，转云、高研发为美国网安公司的共同特点。美国网安行业已发展到积极进攻与反制阶段，2017年开始网安政策进攻色彩愈加浓厚。我们分析了Palo Alto Networks、FireEye和Palantir三家公司，发现：1）目前来看，云化是安全公司的必经之路，且在转换初期带来较高的估值溢价；2）云化对网安公司现金流有明显改善，但由于高比例研发、人员扩张等因素使得对盈利的影响判断较难；3）收入体量和增长水平是网安公司估值的核心因子，且离大数据越近估值溢价可能更高。

✔ 对于国内网安公司而言，为保持长期竞争力，需保持：1）持续扩张人数，保持高比例研发；2）积极转云，拓展大数据相关业务；3）保持融资能力以缓解现金流压力；4）内部应强化收入考核，弱化利润考核。

✔ 盈利预测、估值及投资评级。国内网安行业维持高景气度，公司为国内网安龙头，积极开拓新赛道、提升服务能力抬升发展天花板。我们预计公司2020-2022年营业收入为42.46亿元、63.13亿元、96.51亿元，对应增速为35%、49%、53%。参考美国网安公司Palo Alto Networks的估值水平，给予公司2021年20倍PS，对应市值约1263亿元，对应目标价约为189元/股，首次覆盖，给予“强推”评级。

✔ 风险提示：行业竞争加剧；下游客户需求释放不及预期；新技术落地存在不确定性；政策推进进程存在不确定性。

报告目录

报告正文

深入安全规划扩大产业规模，体系化布局主动防御把握先发优势

(一) 布局安全咨询规划到安全运行能力支撑的全链条安服能力，四大研发平台提升新产品研发效率

1、从安全规划入手提升网安投入规模，注重网安人才培养强化安服能力

安全关口前移至安全咨询规划，从需求侧出发扩大产业盘子。针对国内信息化建设过程中安全投入不足的现状，公司深度参与到客户的安全部署规划中，从扩大安全需求的角度出发，将被动参与客户项目招标转化为与客户信息化建设进行同步规划、同步建设、同步运营，提升客户对安全的重视程度，从而扩大整体安全市场需求侧规模。

公司注重网安人才赋能，应急响应、服务团队完善。针对国内网安人才需求旺盛（目前网络安全人才缺口近百万），而国内网安人才培养力量极为薄弱的问题，公司在绵阳成立了人才培训中心，预计每年培养千名左右网络安全工程师，部分人才进入奇安信工作，这是全国首个能够培养具备实战能力的网络安全工程师并且在人才培养与用人单位之间形成闭环的网安人才培养基地（资料来源：公司官网、新浪网）。截至2019年12月，公司已培养网安安全人才超过1500人，为集团输送了近千名网安运营服务工程师（资料来源：公司官网）。基于完善的人才培养计划，公司建立了覆盖全国31个省市自治区的应急响应中心，技术支持及安全服务人员数量超过2500人（资料来源：公司公告），通过“人+工具+数据+平台”的模式中长期对安全人员进行赋能，逐步降低安全服务对人的依赖，既能够为客户提供快速有效的应急响应，又能慢慢提升盈利能力。

2、四大研发平台提取产品研发共性需求，推进产品模块化、平台化，提升研发效率

网络安全新产品研发依赖一些基础性技术。网络安全威胁与日俱增，由于新型攻击手段层出不穷、客户需求及使用场景差异较大，使得网安公司需要一定程度定制化开发新产品。虽然开发的新产品具体功能和应用场景等有差异，但底层都依赖一些基础性技术，比如设备流量解析、流量产生的数据解析、可视化分析、基于多种引擎对大数据关联分析等。这四种基础性技术对于每一个安全产品都是必不可少的，传统产品研发中每一款产品都要从头到尾将四种技术研发一遍，使得产品开发周期较长，基本为6个月（资料来源：中新网）。

公司打造四大研发平台，实现平台化输出，提高新产品研发效率。针对产品研发中的共性需求，公司打造了鲲鹏、诺亚、雷尔、锡安四大研发平台。通过四大研发平台能够避免不同产品的通用性功能或模块的重复开发，能够提高新产品研发效率，提高新赛道产品的布局速度，帮助公司赢得先发优势。2019年底，四大研发平台建设基本完成，已在多个产品（项目）开发中逐步使用，目前针对新产品模块化复用率还具备很大提升空间，中长期助力提升新品研发效率。参考中新网报道，传统网安公司新产品研发周期大致为6个月，四大研发平台预计或使公司新产品的研发周期缩至最短数周。

(二) 全面布局主动防御体系建设，重点发力态势感知、零信任、云安全等新赛道，开拓新增长点

1、主动防御关键是体系化防护，公司全线产品联动构筑完整安全防护体系

主动安全防护需要体系化建设、产品联动及上层大数据能力支持。网络安全本质是攻防实力的较量。在网络安全中，攻守双方地位天然不对等，攻方只需单点击破就算渗透成功，而守方则需进行全线防护。因而，网络安全中也存在木桶理论，即守方的实际防护水平是由防护最短板决定的。因此，安全防护需要体系化建设。云计算、移动互联网的发展模糊、外延了网络边界，使得以防火墙、IDS等强调在网络出入口位置对攻击进行封堵的传统安全防护存在瓶颈。并且，传统安全防护中各个单品比较独立，看似部署了全套安全设备，实际上却未能在数据等层面进行联动，不能由点到面形成联动的安全防护网。联动的安全防护网会产生海量数据、攻击者的攻击技术与手段越来越多样与隐秘，对应网络安全防护必须充分利用大数据、人工智能等相关技术对海量数据进行挖掘分析，以帮助管理者进行决策。

公司深度布局开发安全、云边端一体化防护以及大数据能力，实现主动防御时代真正的体系化防护。前文提到公司深度参与客户安全规划，保证了最初的安全规划就能实现体系化，这是后续安全体系化建设的基础与关键。在产品层面，公司深度布局：

✔ 开发安全：两款产品代码卫士、开源卫士应用于客户的软件开发部门，在最初软件开发阶段与开源软件使用中管控风险，帮助客户从源头减少风险暴露。

✔ 云边端一体化防护：公司新一代IT基础设施防护产品覆盖泛终端设备防护（如：移动终端、PC、服务器、工业主机等）、新边界安全防护（新一代防火墙、SD-WAN等）、云计算安全防护（云安全管理平台等），并且可以进行智慧协同，实现产品联动。例如，在云端形成的威胁情报后对攻击行为报警的同时，会实时发送给新一代防火墙，防火墙会联动天擎终端管理系统进行分析阻断攻击行为（资料来源：公司官网）。

✔ 大数据能力：态势感知、大数据情报分析等运用威胁情报及安全产品产生的安全数据进行关联分析，提升客户决策有效性。

公司产品布局完善且在众多赛道市场份额第一。安全牛调查显示，公司入选网络安全全部15个一类安全领域、71个二级细分领域，入选细分领域最多。并且，公司在终端安全、安全服务等众多细分赛道市场份额第一（资料来源：赛迪顾问）。

2、态势感知是主动防御体系重点产品之一，公司态势感知平台基本已实现全国政府监管部门与行业主管部门全覆盖

态势感知（Situation Awareness）诞生于20世纪80年代，是美国空军为提升空中作战能力而提出的概念，强调能够分析空中作战环境信息、迅速判断目前及未来形势并做出正确反应（资料来源：神州云科官网）。1999年，Leopold等提出基于多传感器数据融合的态势感知功能模型，态势感知被逐渐引入到信息安全技术领域（资料来源：《网络安全态势感知研究现状与发展趋势》）。

态势感知是主动防御体系的重点产品之一，以安全大数据为基础，集安全可视、检测、预警及响应于一体。数世咨询认为网络安全态势感知是一种由内外部多维数据驱动的，综合性的安全管理与运营体系，该体系对网络安全态势相关的所有安全要素进行收集并处理，结合大数据平台进行智能化关联分析，以实现对网络安全态势的全面感知、主动防护、风险预测和联动响应。数世咨询的调研数据显示，2019年国内态势感知市场规模为32亿元，预计2021年将达到54亿元，CAGR为30%。

态势感知最终目的是从全局视角审视系统可能存在的风险，并进行响应处理，大致可分为几个环节：数据采集与聚合、安全大数据的分析、可视化呈现、及时响应处置，这四个环节环环相扣，考验的是公司体系性规划、产品、技术、平台、服务的综合能力，但归结到最终要看客户的使用效果，能否真正帮助客户实现安全防护。

公司态势感知产品收入高速增长，客户群体高覆盖彰显公司技术与市场能力。公司态势感知相关产品有三款：网络空间安全态势感知与通报处置平台、政企态势感知与安全运营管理平台（NGSOC）、新一代威胁态势感知与响应系统平台，2017-2019年，三款产品营收复合增速均超过80%。目前，奇安信态势感知平台基本已经实现全国政府监管部门与行业主管部门全覆盖，包括29个省、59个地市、15个行业客户，并为国家各级监管部门建立了近百套真正大数据体系的网络安全态势感知平台，监管了上万家单位的关键信息基础设施（资料来源：安全牛）。数世咨询数据显示，态势感知领域，从技术创新力与市场执行力两大维度，公司均处于第一。

3、零信任颠覆传统网络安全架构，公司引领零信任在中国发展

内外网边界模糊、内网存在的安全隐患使得基于边界的安全架构失效。传统的基于边界的网络安全架构以防火墙为基础划分出内网和外网，利用边界安全产品对网络安全边界进行防护，这种安全防护的有效性建立在两个基础之上：

1）网络安全边界能够被清晰界定；

2）内网为可信区间。

但事实上，

1）云计算、移动设备、物联网的快速发展模糊了传统的内外网边界；

2）黑客在发起攻击之前甚至之后会长期潜伏于内网，利用内部系统漏洞不断获得高级权限；也存在内部人员的误操作和恶意攻击。因此，多种原因使得基于边界的安全架构的安全性受到了挑战。

零信任安全颠覆传统边界模型，以身份为中心，“从不信任，始终验证”。Evan Gilman在《零信任网络》中提出了零信任安全的五个基本假设：

✔ 网络无时无刻不处于危险的环境中；

✔ 网络自始至终存在外部或内部威胁；

✔ 网络位置不足以决定网络的可信程度；

✔ 所有的设备、用户和网络流量都应当经过认证和授权；

✔ 安全策略必须是动态的，并基于尽可能多的数据源计算而来。

零信任受美国国防部高度重视，并且已有国家层面的零信任架构标准体系，零信任市场已进入规范化、规模化发展阶段。美国国防创新委员会（DIB）2019年7月发布DIB零信任架构白皮书《零信任安全之路》，同年10月又发布《零信任架构（ZTA）建议（Zero Trust Architecture (ZTA) Recommendations）》，报告的首条建议就是“国防部应将零信任实施列为最高优先事项，并在国防部内迅速采取行动”，并明确建议全网统一零信任架构（涉及非密网（NIPRNET，非机密互联网协议路由器网络）和机密网（SIPRNET，机密互联网协议路由器网络）），从中可以看出美国国防部对零信任高度重视。具体到市场层面，传统优秀网安公司Cisco、Palo Alto Networks、Fortinet等均是零信任解决方案市场的重要参与者。Markets and Markets预测，全球零信任市场规模将从2019年的156亿美元增长到2024年的386亿美元。

奇安信引领零信任在中国生根发芽。公司联合中国信通院、Gartner分别发布了《零信任技术（Zero Trust）（2020）》和《零信任架构及解决方案》，助力零信任架构在国内的普及及落地。并且，2020年8月，由奇安信牵头的我国零信任领域首个国家标准《信息安全技术零信任参考体系架构》正式获得立项，这是全球第二个国家层面的零信任标准，2020年10月22日该项目正式启动（资料来源：公司官网）。

公司零信任安全解决方案已在部委级客户、能源企业、金融行业等进行正式的部署建设或POC试点。产品层面，公司推出零信任身份安全产品，实现动态、细粒度访问控制技术，公司零信任架构有四大关键能力：以身份为基石、业务安全访问、持续信任评估和动态访问控制（资料来源：公司公告、公司官网、搜狐网）。目前，公司零信任安全解决方案已在部委级客户、能源企业、金融行业等进行正式的部署建设或POC试点（资料来源：公司公告）。

4、云安全2021年规模将超100亿，公司云安全管理平台市占率第一

2019年为云安全市场规模为55亿。受益于云计算的高速增长，云安全市场规模2019年达到55亿，预计2021年规模将超100亿（资料来源：赛迪顾问）。在我国云安全市场中，参与者主要有阿里云等云平台服务提供商、光通天下等专注云安全细分赛道解决方案供应商以及奇安信、启明星辰等综合性IT安全解决方案供应商（资料来源：前瞻产业研究院）。

公司云安全产品收入高速增长，云安全管理平台市场份额第一。公司云安全产品中，云安全管理平台营收2019年达到约6700万，为2017年的近50倍；虚拟化安全管理系统2019年收入达到约8100万，为2017年的3倍以上。公司的云安全管理平台解决方案已在政务云市场占据领先地位，与多家运营商联合，为吉林省政务云、河南省政务云、湖北省政务云、云上扬州、苏州市政务云、绍兴市政务云、成都市政务云、衡阳市政务云等几十朵政务云提供云安全解决方案，得到客户的广泛认可（资料来源：人民邮电报）。IDC数据显示，2019年奇安信的云安全管理平台市场份额高达18.1%，位列国内第一名。

5、十大技术团队布局实战攻防、漏洞挖掘与威胁情报

从威胁情报与漏洞挖掘出发提前预防网络攻击。网络安全本质是攻防实力的较量。网络攻击可以理解为攻击者通过信息搜集获取目标系统信息，利用系统存在的漏洞实施攻击行为。公司威胁情报中心以及盘古实验室等漏洞挖掘实验室发现并跟踪藏匿的潜在攻击者、深度挖掘系统尚存漏洞减少攻击者可以利用的系统弱点，在攻击者实施网络攻击之前防患于未然，保护客户系统安全。

1）漏洞挖掘方面，公司代码安全实验室多次向国家信息安全漏洞库（CNNVD）和国家信息安全漏洞共享平台（CNVD）报送原创通用型漏洞信息；帮助微软、阿里云、华为等大型厂商的产品发现了 100 多个安全漏洞（资料来源：公司招股说明书）；并且，公司打造漏洞挖掘生态，构建了补天漏洞响应平台，目前汇聚白帽专家（从事网络、计算机技术防御）超过7万人，报告漏洞总数超过57万，入驻企业数量超过5900家（资料来源：补天漏洞响应平台官网）。

2）威胁情报方面，除了拥有IP、DNS、URL、文件黑白名单四大信誉数据库，公司建立了安全威胁情报中心，已累计首发9个国内外APT组织，监测到的针对国内发动 APT 攻击的黑客组织达到42个（资料来源：公司招股书明书、IDC）。

6、依托“威胁情报”+“大数据分析”，“天眼”在注重实战化效果的威胁检测与响应市场优势明显

攻防演练注重安全防护实战水平，催生威胁检测与响应解决方案需求。威胁检测与响应解决方案（TDR）是以全流量检测与分析技术为核心，结合威胁情报、EDR、专家服务等功能模块的一体化解决方案，且以网络攻防对抗为主要场景。目前，安全形势日益严峻，由于注重实战化效果，政企客户对威胁检测与响应解决方案需求旺盛，预计2021年TDR市场规模将达39亿元。（资料来源：数世咨询）

凭借自身更强性能以及全线产品、服务联动，“天眼“在TDR市场第一。性能层面，公司威胁检测与响应产品“天眼”凭借高准确性、更强的恶意文件检测能力等，有一定技术性能优势（资料来源：数世咨询）。并且，依托于公司强大的威胁情报能力、完善的产品体系以及安全服务团队支持，“天眼”能够与其他产品进行联动，形成云网端一体化防护体系，从而有更佳的防护表现。在数世咨询调查中，公司威胁检测与响应实力领先。公司“天眼”产品收入从2017年不足两千万增长到2019年的超2亿元。

(三) 我国正处于被动防御向主动防御的过渡阶段，网安市场规模有望从目前600亿发展到2025年2000亿

1、等保2.0促进防护思路向主动防御转变

传统安全产品的简单部署较难进行完整的安全防护。之前的网络安全建设更注重架构安全和被动防御能力，部署的安全设备比较孤立缺乏有效联动。FireEye此前调查数据显示，尽管企业广泛部署防火墙、IPS等产品，97%的被调查企业依然被黑客入侵，说明简单通过购买安全设备来提升安全能力存在瓶颈。

政策层面，等保2.0加速主动防御安全构建。随着云计算、物联网等新技术的发展，等保1.0只针对通用系统环境，缺乏针对新技术平台的定级流程规范和相关技术要求，因此，2019年5月，网络安全等级保护制度2.0（等保2.0）应运而生，于2019年12月1日起正式执行。等保2.0提出网络安全防护思路要变被动防御为主动防御、纵深防御，全面实现对传统信息系统、基础信息网络、云计算、大数据、物联网等级保护对象的覆盖。（资料来源：《信息安全技术网络安全等级保护安全设计技术要求》、绿盟科技《等级保护2.0解决方案》）

2、2025年网安产业规模有望突破2000亿元

我国网络安全市场规模2025年有望突破2000亿元，结构或将得到优化。网络安全与信息化建设应为伴生关系，但中国网安市场起步较晚，与中国信息化发展水平不匹配。2019年，我国网络安全投入占信息化投入的比重仅为2%，而全球同期水平为3.2%（资料来源：Gartner、赛迪顾问、华创证券计算）。对于安全占信息化投入比例，IDC2017年底统计显示，我国网络安全市场占IT市场的比重为1.84%，美国是4.78%，全球平均是3.74%。多方数据均显示，我国网安投入占比明显偏低。2019年，我国网安市场规模规模为608亿，接下来两年将保持23%以上的增速增长，远超全球9%的增长水平，2021年预计将达927亿（资料来源：赛迪顾问）。2019年9月，工信部就《关于促进网络安全产业发展的指导意见》公开征求意见，明确指出到2025年，要形成培育形成一批年营收超过20亿的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过2000亿。此外，随着新技术的演进和发展，催生出的云安全、物联网安全、工业互联网安全等新兴领域有望迅速发展。同时，随着主动防御的深入推进，我国网安市场呈现硬件占比过高的情况有望缓解，服务等占比有望提高，相比于硬件，软件和服务的毛利率更高，因此，我国网安公司的盈利能力料将随着市场结构的优化而提升。

主动防御的推进对基于安全大数据分析的上层能力要求提升，将利于头部网安公司份额提升。网络安全细分领域众多，中小型企业凭借在某几个细分领域的优势产品即可获得不错的发展，使得整个网安市场较为分散，2019年网安行业CR4仅为24.2%（资料来源：中国网络安全产业联盟《中国网络安全产业分析报告 (2020年)》）。随着网络安全朝着体系化、主动防御方向建设，对厂商的整体交付能力、基于人工智能和大数据等的分析能力要求提升，将利于产品布局较为全面、技术实力领先的综合头部公司获得超额增长。

美国网安已进入积极进攻反制阶段，持续高研发投入为网安公司的发展要义

(一) 美国网安已发展到积极进攻反制阶段

回顾美国网络安全的发展历程，可大致分为三个阶段：被动防御、主动防御、积极进攻反制。

被动防御（-2008年）：从关键基础设施入手进行基础防御设施铺设；

主动防御（2008年-2017年）：基于安全大数据，构建安全数据实时分析能力与态势感知能力；

积极进攻反制（2017年-至今）：网安政策中进攻色彩浓厚，强调“防御前置”。

美国的网络安全发展主要驱动力之一为重大安全事件。911事件促进美国政府将信息安全提升到新高度。2003年，由美国政府主导的爱因斯坦计划 (正式名称为国家网络空间安全保护系统National Cybersecurity Protection System，简称NCPS）)开始实施。2005年3月，美国就发布了《国防战略》报告，明确将网络空间定义为与陆、海、空、天同等重要的五大空间之一（资料来源：CISA官网、新华网）。

爱因斯坦计划的实施进程展现从网络安全建设从被动防御到主动防御。爱因斯坦计划分为三个阶段：

✔ 爱因斯坦1：2003年开始实施，主要是在政府机构铺设网络安全基础设施，监控分析联邦政府机构进出流量，进行事后取证分析；

✔ 爱因斯坦2：2008年首次部署，为爱因斯坦1的增强版，在异常行为分析的基础之上增加对恶意行为的分析能力，使得US-CERT（美国国家互联网应急中心）具备一定态势感知能力；

✔ 爱因斯坦3：爱因斯坦3的第一阶段“爱因斯坦3A”始于2012年，在网络威胁进入联邦机构网络之前就进行分析和阻断，提高网络安全分析、态势感知与安全响应能力。（资料来源：CISA官网、安全村、东软网络安全）

2017年开始，美国网络安全政策体现进攻色彩。2017年8月美国政府将美军网络司令部升级为一级联合作战司令部，意味着网络空间正式与海、陆、空、天并列成为美军的五维战场，这在人类战争史上实属首次（资料来源：新华网）。随后，《国家安全战略》、《国家网络战略》等顶层文件发布，网络空间的竞争性、“防御前置”等多次被强调。美国逐步发展到网络安全的第三阶段，开始强调网络进攻与反制。

(二) Palo Alto Networks:下一代防火墙领导者，云化铸就高增长

1、布局企业安全、云安全与安全运营

Palo Alto Networks成立于2005年，发展15年已成为全球领先的网络安全厂商。Palo Alto Networks的发展有三个关键阶段：第一是革新防火墙，打造下一代安全平台；第二是随着移动应用和云端需求的增加，大力发展高级端点防护和云端防护；第三阶段推出云应用框架，实现对下一代安全平台的功能扩展，打造安全生态（资料来源：网络安全频道：Palo Alto Networks 大中华区总裁和技术总监分享）。公司目前业务分为三大条线：企业安全、云安全、安全运营。

2、前瞻性研发创新提升公司安全设备市占率至第二

公司2007年提出下一代防火墙概念，对防火墙乃至传统安全产品产生革命性影响。传统防火墙基于三、四层工作，无法有效控制应用，无法识别病毒等应用层威胁，下一代防火墙基于应用层构建安全，能够有效应对应用层威胁，同时友好的可视化界面能够提供一定智能分析和建议的能力；与UTM对比，UTM是各功能的简单叠加，开启安全功能后性能下降极快,下一代防火墙可以智能挖掘分析提前预警未知威胁且性能衰减可控制在50%左右。因此，下一代防火墙凭借更优性能可以替代传统防火墙、传统UTM（资料来源：网康科技《NGFW十万个为什么》）。公司的下一代防火墙具有优势地位，连续8年获得Gartner网络防火墙领导者地位（资料来源：公司官网）。凭借在防火墙领域的优势，公司安全设备领域的市场份额近年大幅提升，2020Q2市占率仅次于Cisco（资料来源：Statista）。

上市以来，研发投入高速增长，研发投入占营收比例稳定在20%左右。为维持高创新能力，公司研发人员处于高增长状态，2020年达到1821人，同比增长20%，占总员工数的比例超过22%。公司不断加大研发投入，2020年研发投入为7.68亿美元，同比增长42.37%，研发投入占营业收入的比例不断增长，近些年维持在20%左右（资料来源：公司公告）。

3、通过收购快速扩充云安全、物联网安全等能力

多次收购加强公司安全综合实力。公司传统优势为安全网关产品，应对美国公有云市场的高速发展，公司通过收购云安全创业企业快速加强自身在云安全领域综合实力。据我们不完全统计，2018-2019年是公司收购云安全公司的高峰时段。除了云安全，端点防护、物联网安全也是公司近些年重点布局领域。2020年以来，公司已进行3次并购，其中2020年11月花费8亿美元收购Expanse，是公司迄今为止最大金额的收购事件，此次收购将利用Expanse攻击面管理解决方案来加强Cortex的产品组合（资料来源：公司公告、公司官网、维基百科）。

4、云化加速拉动收入提升、现金流水平改善，渠道能力提升销售人员人均创收至60万美元

云服务订阅收入高速增长为公司收入增长提供动力，改善公司现金流水平，但盈利水平未明显好转。公司收入分为产品、订阅及支持两部分。产品收入主要来自设备的销售（主要为下一代防火墙）以及软件许可证的销售（Panorama 和VMSeries）；订阅及支持收入为云化后的订阅服务和技术支持（资料来源：Palo Alto Networks官网、公告）。订阅和支持收入的快速增长拉动整体营收增长，2016年开始订阅和支持收入占比超过50%。2019年，公司产品收入略微下滑，订阅及支持收入同比增长30%使得整体营收同比增长17%；同时，云化加深改善了公司的经营性现金净流量水平。从平均客户带来收入来看，在客户数量不断增长的情况下，单个客户带来的营业收入从2013年的不到3万美元提升到2020年的4.5万美元，客户粘性不断提升（资料来源：公司公告）。

渠道能力极强，销售效率不断提升。公司完全采用渠道合作伙伴进行业务拓展，推出NextWave渠道合作伙伴计划，对合作伙伴进行认证和分级，合作伙伴在达到相应的认证级别后会被授为银、金、铂金、钻石四个级别，不同等级对应技术培训、样机支持、账期、收入等方面不同的政策（资料来源：cbinews）。在公司产品平台化的基础之上，公司渠道能力极强使得公司销售人员效率逐年提升，销售人员人均创收呈现明显增长趋势，从2015年的人均27万美元提升到2020年的近60万美元（资料来源：公司公告）。

5、高营收增长对应高估值，目前PS为6-10X

营收高增拉动估值抬升。因公司至今仍未实现盈利，所以通常使用PS估值。并且，高营收增长可给高估值：2015年及以前，全球网络安全市场增速在10%左右，而公司营收增速保持在50%以上（资料来源：赛迪顾问、公司公告），呈现极高的增长潜力，此阶段PS（TTM）抬升至15-20X；2016年后，公司营收增速稳定到30%左右带来PS估值中枢下滑，目前稳定在6-10X。

(三)FireEye：靠技术创新起家，后实现从产品到服务模式转变

1、云化收入占比高，但营收增长乏力

FireEye成立于2004年，于2013年在美国纳斯达克上市。目前，公司的主要业务有：威胁检测与防御、安全验证与运营管理、专业服务，能够为下游大中小企业及政府客户提供从本地部署到云端部署的安全防护解决方案（资料来源：公司公告、公司官网）。

早期营收高速增长，订阅与服务占比不断提升。公司的收入分为两大类：产品订阅和支持、专业服务。随着云化转型持续，公司来自云化订阅和服务的收入占比持续提升，2014年占比超过50%，2017年占比超过83%（资料来源：公司公告）。

2、技术领先，从APT攻击、0day威胁中奠定初始地位

面对0day漏洞、APT攻击频发，公司凭借MVX技术脱颖而出。0day是漏洞产品原开发商尚未修复（甚至还不知道）的漏洞；APT攻击（高级持续性威胁，Advanced persistent threats）是指利用先进的攻击手段对特定目标进行长期持续性网络攻击（资料来源：FreeBuf、CSDN）。由于0day漏洞具有尚未被修复的特性，APT攻击具有隐蔽性、针对性、长期性的特征，APT攻击中采用的关键技术配合之后能够有效绕过防火墙、入侵检测、安全网关等，使得常规性安全防护失效（资料来源：安全牛）。Fireeye对APT攻击检测的核心技术是MVX技术（多向量虚拟执行，Multi-Vector Virtual Execution），MVX使得公司的产品能够在虚拟化环境中执行和检测攻击（资料来源：CDSN），凭借当时在APT攻击领域的优势，公司获得了较快发展。

公司长期保持高研发投入。2015年至今，公司研发投入绝对规模保持相对稳定，但由于营收增长放缓，公司每年研发投入占营收比例均保持在30%以上，2014年曾高达近50%。

3、收购快速拓展安全咨询、威胁情报等安全服务能力

多项收购，实现从产品走向服务。2012年，McAfee前总裁兼CEO Dave DeWalt加入公司被任命为CEO，2013年开始，公司开始了从提供本地部署的APT防护到可基于本地部署、云端部署为客户提供一系列产品与服务的转变（资料来源：公司公告、安全客）。除了自研，公司多次借助外部力量，收购的对象业务主要涉及安全咨询、威胁情报等，帮助公司在安全服务领域快速拓展。

4、增长放缓，目前PS在3-4X

规模高增叠加云化转型早期获极高估值，后期收入动力不足估值回落。由于公司早期在APT防护领域构建的巨大先发优势以及2013年后积极向云化服务转型，不断拓宽业务边界与服务模式创新，这期间虽然公司仍处于亏损状态，但2013/2014年公司营收增速分别为94%和163%，因此公司发展潜力巨大，PS估值曾一度高达100X。2015年之后,整体收入端增速大幅下滑，增长动力明显不足，由于2016Q2营收增长不及预期，公司当时计划裁员300-400人，因此人员规模缩窄（资料来源：公司公告、安全客）。在此情况下，公司盈利能力也未能快速提升，2019年归母净利润仍为亏损2.47亿美元。因此公司估值快速回落，2020年PS估值稳定在3-4X。

(四)Palantir：深耕大数据领域，获极高估值溢价

1、创始人为明星团队，产品从政府切入逐步拓展至商业客户

创始人技术、投资经历兼具。Palantir成立于2003年，创始人为Peter Thiel, Alex Karp, Joe Lonsdale, Stephen Cohen和Nathan Gettings。Peter Thiel曾为Paypal联合创始人兼CEO，职业生涯中曾投资过Facebook、Quora、LinkedIn等公司，除了Palantir，Peter Thiel还创立了Founders Fund，投资过SpaceX、Spotify、Airbnb等众多优秀公司。创始团队中多人技术出身，Stephen Cohen曾师从人工智能和机器学习权威学者吴恩达(资料来源：公司公告、腾讯云云+社区、新浪科技)。

两大产品布局政府与商业客户，潜在市场空间巨大。公司主营业务为向政府及金融、能源、交通等行业公司提供基于大数据的分析的解决方案，将海量信息转换为可用的知识帮助客户解决实际问题。公司目前主要产品是两个软件平台Gotham 和 Foundry。Gotham服务政府，最早发布于2008年，主要面向政府机构，最初用于政府情报机构，现已在美国陆军、美国海军、美国空军等得到广泛使用；Foundry发布于2016年，公司借此进入商业行业市场，Foundry不仅可以用于单个公司，也可成为行业数据中央操作系统。公司的软件产品可部署在Palantir Cloud、客户本地，采用订阅方式提供服务。公司测算其软件全球潜在市场空间大约1190亿美元，其中仅美国政府的潜在市场空间为260亿美元，未来潜在市场空间巨大（资料来源：Palantir招股说明书）。

2、疫情催生数据分析需求，公司2020H1营收高增

协助多个国家分析疫情数据，2020H1营收增速近50%。2019年，公司营收为7.43亿美元，同比增长25%，2020H1由于疫情影响，公司帮助十几个国家政府分析疫情数据，营收实现近50%高增长。在具体收入来源分类中，2019年商业领域收入占比为53%；同时，公司业务不断全球化，2019年60%的营收来自美国以外的市场，尤其欧洲和亚洲市场增速较快（资料来源：Palantir招股说明书）。

客户覆盖行业广泛，且大客户粘性提升。2020H1，公司拥有客户125家，覆盖36个行业（如航空、能源、金融等）。同时，2020H1，前20大客户平均贡献收入为1500万美元，同比增长36%（资料来源：Palantir招股说明书）。

3、研发投入占营业收入比例常年保持40%以上，实际效果与客户认可彰显公司价值

持续高强度研发投入筑造护城河。技术优势为公司的核心竞争力，公司注重研发投入，2008-2019年累计研发投入15亿美元，2012年至今每年研发投入占营收比重超过40%（资料来源：Palantir招股说明书），以高投入的研发打磨产品、树立竞争壁垒。

实际效果与客户认可体现公司技术与产品优越性。公司软件产品已被用于各行各业，Airbus、花旗银行等均为公司客户。其中，公司与Airbus的合作从最初的A350生产拓展到了与空客合作推出skywise，成为航空行业的数据中央处理系统（资料来源：Palantir招股说明书）。

4、PS攀升，目前在55X左右

Crunchbase数据显示，Palantir上市之前一共经历了29轮融资，募集资金总金额为26亿美元，公司IPO定价为220亿美元。上市后，公司PS估值一直攀升，目前在55X左右（资料来源：WIND）。

(五)美国对标公司的发展结果分析

1）安全公司云化目前看是必经之路，转换初期的几年，带来较高的估值溢价。

2）转云对于安全公司的现金流水平确实有明显改善，尤其是达到收入规模高占比时。

3）转云目前并未帮助安全公司有明显的盈利改善，原因可能是：

安全需要持续高比例的研发投入，产品的云化对边际成本的改善呈弱效应；

案例公司采用了不同的人员扩张规划，增加的盈利判断的复杂度，比如：Palo alto快速增长期快速扩张人数有明显的成本放大阻碍盈利释放、Fireeye人数下降伴随着收入增长失速同样影响了盈利。

4）安全公司在收入高增长的时期保持较高的PS估值15-20倍，当增速放缓，PS估值回归到6-10倍的稳定区间，而增长遇到瓶颈，利润亏损依旧的情况下，PS估值回归到5倍以内水平。公司的收入体量和增长水平是估值的核心影响因子。

5）安全产品距离大数据越近，估值溢价的可能性越高，原因主要是数据安全拓宽了传统安全的业务边界，需求更加旺盛，匹配未来大国竞争。

网络安全公司，转云是技术发展的需要，但由于安全业务的扩张即使在转云情况下对人员的需求仍然较大，因此，远期能够改善现金流，但利润存在不确定性。而安全公司的规模与人数扩张息息相关。因此，结合大环境来看，国内的安全企业处于加速发展期，为了保持长期的竞争力，目前仍需保持的发展规划（或有较大投资价值特征）：

持续扩张人数，持续高比例研发；

产品转云，增加大数据分析业务比例；

保持自己的融资能力，补充阶段现金流压力；

对内部弱化利润考核，强化收入考核。

网安龙头体系建设完整、股权架构合理有效

(一)构建完善产品和服务体系

收购网神、网康快速布局网络安全传统领域。网络安全细分产品众多，而公司所主攻的政府、企业级客户更加喜欢体系化交付，因此拥有完善的产品矩阵能够增强公司的综合竞争力。公司2014年完成对网神股份的收购。网神股份成立于2006年，拥有基于完全自主知识产权的统一架构多核并行操作系统SecOS和全线安全产品硬件设计能力，旗下有十七大产品线三百多款安全产品，可覆盖传输安全、网关安全、主机和应用安全各类需求，是国内信息安全老牌厂商，赛迪顾问数据显示，2012年网神在中国信息安全市场品牌排名第三，在各项安全产品细分市场中，2012年网神SOC市场国内排名领军，防火墙/VPN排名第二，UTM，IDS/IPS和安全服务均位列前茅。公司2016年收购网康科技，网康科技成立于2004年，业务覆盖内容安全、大数据安全和网络安全，在上网行为管理和下一代防火墙领域领域具有领先地位。（资料来源：网神官网、网康官网、公司公告、公司官网）公司通过收购网络安全老牌厂商网神、网康快速布局、形成联动，构建出安全生态。

基础之上持续研发，可提供全面网络安全解决方案。在延续网神、网康产品等方面的基础优势以之后，公司持续加大研发创新，目前产品体系能够覆盖政企行业网络安全细分领域，具体产品包括大数据智能安全监测与控制、新一代IT基础设施防护等，能够为政企客户提供全面、有效的网络安全解决方案。公司产品有软硬一体和纯软件两种形态（资料来源：公司官网、公司招股说明书）。

(二) 2017-2019营收复合增速高达近96%，规模与效率齐升

1、直销加渠道，快速扩大经营规模

采用直销+渠道模式满足不同客户群体需求。公司下游客户群体主要是政府、企业、金融机构等。对于大中型的政企客户，为满足其特殊安全需求，公司采用直销方式，安排专门的销售及业务团队服务；对于其他客户，则通过渠道销售，最大效率覆盖更多客户。具体渠道模式中，公司采取区域与行业相结合的模式。（资料来源：公司招股说明书）

营收规模快速上量，网络安全产品占比高。公司全力向网安市场冲击，快速扩大经营规模，2017年-2019年公司分别实现营业收入8亿、18亿、31亿，年均复合增长率高达近96%，规模快速上量。并且，2020年由于疫情影响公司第一季度营收出现下滑，但第二季度快速恢复实现增长，第三季度营收同比增长超过80%。公司营业收入来自三部分：网络安全产品、网络安全服务、硬件及其他，其中网络安全产品占比高（产品分为基础架构安全类产品、新一代IT基础设施防护产品、大数据智能安全检测与管控产品三大类），2019年占比为66.51%。公司营收的客户结构中，来自政府的比例最大。（资料来源：公司公告）

2、人均创收、人均毛利显著提升

销售净利率亏损缩窄，人均创收实现大幅跨越。公司加大投入构建从产品到服务的综合能力，为之后加速发展提供支持，因此至今公司尚未实现净利润转正，但公司2017-2019销售净利率呈现亏损缩窄趋势，2020Q1-Q3由于疫情影响净利率出现一些下滑。在快速扩张的情况下，人均创收、人均毛利获得显著增长，人均创收从2017年25.6万提升至2019年的45.7万；人均毛利从2017年的19万提升至2019年的26万。公司创新研发方式，采用合适的销售模式，219年研发人员人均创收125万，同比提升54.4%，研发人员人均毛利为71万，同比增长58.7%；销售人员人均创收323万，同比提升27%，销售人员人均毛利达到13万，同比增长31%。（资料来源：WIND、公司招股说明书）

(三)中国电子战略入股，本质安全+过程安全强强联合

中国电子战略入股，公司获“国家队”身份。齐向东为公司实际控制人，直接和间接控制公司股份32.59%。2019年5月，中国电子宣布以人民币37.31亿元战略入股奇安信，目前中国电子控制奇安信20.26%股份，为公司第二大股东（资料来源：新浪新闻、WIND）。中国电子是国务院认定的唯一以网信产业为核心主业的央企，此次战略入股使得奇安信跻身“国家队”，对公司未来业务发展具有重要影响。

“本质安全”+“过程安全”有望深度融合，产业链不断打通。美国网络安全发展领先，首先是因为底层拥有以思科为代表的“八大金刚”（思科、IBM、谷歌、高通、英特尔、苹果、Oracle、微软），能够牢牢把持操作系统、核心芯片、数据库等关键IT环节，并在此基础之上构建网络安全能力。中国电子拥有从操作系统、中间件、数据库、安全产品到应用系统的信创软件产业链，其打造的“PK体系”（飞腾CPU+麒麟OS操作系统）是中国本质安全的领军者。奇安信具有较为完善的产品体系，以网络攻防、大数据、人工智能、安全运营服务为核心打造的新一代安全体系成为过程安全的领军企业。本质安全和过程安全的强强联合能够不断加厚我国网络安全防护体系。

盈利预测与估值

(一) 收入预测

网络安全内外形势严峻，国家出台政策大力发展网安产业，未来3-5年行业增速有望保持20%以上。公司产品体系完善，且积极开拓新兴领域抬升发展天花板，深度参与客户安全规划、建设与运行，行业龙头地位有望稳固。

✔ 网络安全产品：公司产品布局完善，且近年来产品收入快速增长，我们预计2020-2022年公司网络安全产品收入增速将达30%、50%、55%，对应毛利率水平为75%、77%、78%。

✔ 网络安全服务：我国网络安全服务占比不足，由于安全形势愈加严峻，客户对安全服务的需求将不断增加，我们预计2020-2022年公司网络安全服务收入增速将达70%、70%、70%，对应毛利率水平为65%、67%、70%。

✔ 硬件及其他：硬件及其他业务是公司在网络安全性质的系统集成项目中为客户提供的第三方硬件采购、实施等业务。我们预计2020-2022年公司硬件及其他收入增速将达30%、30%、30%，对应毛利率水平为3%、3%、3%。

✔ 其他业务：我们预计2020-2022年收入规模和毛利率维持2019年水平。

综合下来，我们预计公司2020-2022年营业收入为42.46亿元、63.13亿元、96.51亿元，对应增速为35%、49%、53%，毛利率分别为58%、62%、65%。

(二) 费用预测

公司已完成“上规模”的第一阶段，接下来将开启高质量发展阶段，我们预计公司2020-2022年费用率分别为：销售费用率为33%、30%、27%；管理费用率为14%、11%、10%；研发费用率为30%、26.5%、26%；财务费用率为0.5%、0.3%、0.2%。

(三) 估值

我们在第二章对美国案例网安公司讨论时，发现收入体量和增长水平是网安公司估值的核心因子，且离大数据越近估值溢价可能更高。2015年及以前，Palo Alto Networks营收增速保持在50%以上，呈现极高的增长潜力，此阶段PS（TTM）为15-20X（中枢约17X）；Palantir在大数据领域极具优势，目前PS（TTM）在55X左右。

2017-2019年，公司营收复合增速超过90%，我们预计未来仍将保持高速增长，并且公司积极发展安全大数据相关业务。因此，我们参考Palo Alto Networks的估值水平，并给予公司一定积极发展安全大数据业务的估值溢价。我们预计2021年公司营业收入为63.13亿元，给予20倍PS，对应市值1263亿元。

风险提示

行业竞争加剧；下游客户需求释放不及预期；新技术落地存在不确定性；政策推进进程存在不确定性。

财务附录