网络安全行业七大核心赛道全面梳理_浏览器插件

本文来自方正证券研究所于2021年7月14日发布的报告《网络安全行业七大核心赛道全面梳理》，欲了解具体内容，请阅读报告原文。方闻千S1220517040005 / 18717854750。

核心观点

国内网络安全产业即将迈入千亿规模，是计算机板块增速最快的子行业之一。目前，网络安全已经成为网络、计算、存储外的第四大IT基础设施，根据Gartner的数据统计，2020年全球安全市场规模达1238亿美元。而国内安全市场，从2013年开始，随着国家对网络安全重视程度的不断提升，行业基本保持在年均20%以上的中高速增长，且能够预见到未来5年也将大概率延续这一高景气度，市场规模即将达到千亿量级。但与此同时，中国的安全支出占IT支出的比重仍远低于美国以及全球平均水平，根据IDC的数据，我国安全支出占IT支出比重仅为1.84%，相较于美国的4.78%还有很大差距。从中长期看，随着安全意识乃至安全采购需求的不断转变，国内网络安全占IT支出比重仍有很大的提升空间。

在网络安全行业持续保持高速增长同时，行业竞争格局上仍呈现出产品碎片化、集中度偏低的特点。根据第三方机构安全牛的分类，网络安全行业可划分为14项一级安全分类，106项二级子行业，以及近300家安全企业和相关机构。产业格局的碎片化导致了行业集中度偏低，同时也限制了安全厂商成长的上限，因此无论是在全球市场还是国内市场，一直都没有诞生真正意义上的“安全巨头”。历史上规模最大的安全厂商，包括全球市场的赛门铁克、IBM，以及国内市场的奇安信、启明星辰，其市占率基本处于5%-10%这一区间，行业前五大厂商合计占比约为20-30%。

什么因素导致了网络安全产业格局的碎片化？网络安全涉及到众多的细分领域，从网络、终端、身份、数据、应用的安全，再延伸到云、工控、物联网等不同场景下安全，解决的问题不同，所涉及的安全产品和安全技术也会有所差异。并且用户在采购安全工具之后，还需要在安全团队、安全策略、安全培训、安全体系等方面进行持续投入，因此用户需求的多样化直接导致了安全产业格局的碎片化，而网络安全的两个特性又进一步加剧了行业碎片化的格局：1）网络安全的木桶原理：即信息系统整体安全水平是由安全级别最低的部分所决定的，这意味着构建一个成熟的安全体系，必须要进行全方位的投入，方方面面都要涉及到，不能有明显的短板；2）网络安全的本质是攻防对抗：即安全威胁和攻击方式是在不断演进的，从动态视角来看，“绝对安全”并不存在，因此用户必须对新的安全技术和工具保持足够的敏感，并且长期持续在新的安全技术上进行投入。

如何对安全赛道进行有效划分？我们认为应该基于底层技术协同和应用场景协同，即将解决同类问题，应用同类场景的产品纳入到一个统一的视角。而且从一个安全公司的成长路径来看，基本上都是从单一产品出发，然后复用底层技术来扩张产品线，最后再进行跨赛道跨领域的横向扩张，这样的划分方式也符合网络安全厂商的发展规律。因此我们从技术栈和安全域的视角出发，将网络安全行业分为网络边界安全、终端安全、身份安全、安全管理、数据安全、应用安全及安全服务7大方向。

一大传统赛道：网络边界安全。边界安全作为网络安全行业规模最大的赛道，包含防火墙、IDPS、上网行为管理、VPN、抗D等多个“重量级”产品，整体市场规模在200亿以上，而且单看防火墙就有百亿以上的市场规模。因此对于国内的头部安全厂商而言，网络边界安全无疑是“兵家必争之地”。从赛道整体的成长性来看，虽然防火墙、上网行为管理、VPN等已经是安全行业的“老产品”，但作为政企用户安全建设的刚需，近年来也一直保持在不错的景气度。

两大高成长赛道：安全管理、安全服务。安全管理和安全服务是近年来国内网络安全行业最热门的两大赛道。其中，安全管理的主要推动力来自于态势感知的建设，并且目前的建设方向正在从监管侧转向行业级用户，此外AI/ML、UEBA及SOAR等技术的成熟也提升了安全管理平台的可用性，加速了安全管理平台的落地。而安全服务市场则是受政策合规和产业升级两大因素的共同驱动，近年来的增速在不断提升。目前头部安全厂商正在通过安全顶层设计、安全平台建设、安全运营服务的组合，持续卡位政企用户的安全预算，因此安全管理和安全服务两大赛道不仅具备很高的景气度，而且其战略价值也在不断的凸显。

三大重点关注赛道：终端安全、身份安全、数据安全。1）终端安全是国内网络安全市场最受益国产化的赛道之一，包括奇安信、亚信安全、深信服等国产终端安全龙头厂商的份额近年来都在持续提升，而且未来对外资厂商的替代仍有一定的空间；2）数据安全在今年是业界关注度最高的方向，伴随《数据安全法》的出台和滴滴事件的催化，政企用户在数据分级、数据治理，以及数据全流程管理、数据保护体系的建设将成为安全支出的重点，进而带动整个赛道的景气度的提升；3）身份安全包含的细分子领域较多，过去行业整体增长较为平稳，但是随着近年来身份安全重要性的不断提升，以及零信任在国内头部政企用户中的落地，正在牵引网络安全架构从过去的“网络中心化”逐步走向“身份中心化”。

如何理解“新安全”和“传统安全”的关系？“新安全”是否会对“传统安全”的研究框架造成破坏？通常情况下“新安全”可分为三大类，即新安全场景（如云安全、工控安全、移动安全等）、新安全技术（如EDR、UEBA、SOAR、零信任等）和新安全模式（主要为安全SaaS）。我们认为，新安全场景和新安全技术，很难超出网络、终端、身份等安全赛道的基本逻辑框架，而新安全模式，即安全SaaS目前已经对网络安全的产业逻辑产生了重大影响，

安全SaaS已经成为了全球网络安全市场的重要趋势，安全SaaS厂商竞争壁垒的提高，提升了安全厂商成长的天花板，并且已经带来了行业竞争格局的显著变化。安全SaaS厂商竞争壁垒的提高体现在以下三个方面，分别为：基于轻量化部署所带来的边际成本的显著降低，基于数据在线所带来的网络效应，以及基于云原生架构所带来的安全能力的动态迭代。随着全球范围内安全SaaS渗透率的不断提升，网络安全的产业结构和竞争要素正在发生重大变化，在未来千亿美金规模的全球网络安全市场，将有很大概率能够跑出收入规模超百亿美金的安全巨头。

投资策略：网络安全行业将持续受益行业景气度提升和竞争格局改善，是计算机行业最具投资价值的板块之一。未来网络安全投资重点关注以下几条主线：1）产品侧我们看好中高位安全能力布局，包括在安全管理、安全服务领域具备领先优势的厂商；2）市场侧我们看好具备强渠道销售能力以及渠道销售能力持续提升的厂商。建议关注标的：深信服、奇安信、安恒信息、启明星辰、天融信、绿盟科技、山石网科、迪普科技。

风险提示：宏观经济整体下行；行业竞争加剧；政策落地不达预期；政府网络安全预算缩减。

报告目录

一、网络安全行业研究框架思考

1.1 行业驱动因素框架

1.2 竞争格局与七大赛道

1.3 “新安全”与“传统安全”

二、网络边界安全

2.1 防火墙

2.2 IDPS

2.3 上网行为管理

2.4 抗D

2.5 VPN

三、终端安全

四、身份安全

五、安全管理

六、安全服务

6.1 安全咨询服务

6.2 安全运营服务

七、数据安全

八、应用安全

九、投资策略

十、风险提示

正文如下

1. 网络安全行业研究框架思考

1.1 行业驱动因素框架

从安全行业的驱动因素框架来看，我们认为网络安全行业的驱动力主要来自于三个方面，分别是政策合规驱动、IT基础架构驱动和安全攻防驱动。三大驱动因素在短期、中期、长期，对于行业在总量以及结构上，都会产生不同程度的影响。

第一个驱动因素是政策合规，无论在全球还是在国内，政策合规都是安全行业最直接的驱动力，能够在短期内直接刺激行业景气度的显著提升。从2017年的《网络安全法》到2019年的“等保2.0”，再到今年出台的《数据安全法》和工信部《网络安全行动计划》，政策频出叠加近年来常态化开展的HW行动，都通过直接或间接的方式带动了下游政企安全支出的不断增加。从全球市场来看，政策与合规同样也是安全采购的核心驱动力，最典型的就是2018年欧盟出台的通用数据保护条例GDPR，GDPR在全球范围内拥有广泛的影响力，所有涉及在欧洲用户及相关业务的企业都会受到GDPR的限制。对于违反GDPR条例的公司，最高处罚金额达到年度营业额的4%或2000万欧元，包括万豪、英国航空、谷歌等全球知名企业都曾被处以巨额罚款。GDPR直接带动了相关机构安全支出的快速增长，包括德勤、毕马威、IBM、埃森哲等全球顶尖的咨询公司的安全咨询业务在2017-2018年的增长都非常的亮眼。

第二个驱动因素是IT基础架构的演进，每一轮IT产业浪潮的背后，都会伴随网络安全行业的快速发展。网络安全产业的第一轮快速发展期从1990年前后开始到2000年代中期，信息化和网络基础设施的建设带动了安全产业从0到1的发展；第二轮加速成长期从2010年开始，本质上是云计算、移动互联网、物联网、工业互联网等新一轮IT基础设施的驱动，目前我们仍处在第二轮加速成长期的中期；展望未来，5G、AI、万物互联以及企业的数字化转型有望驱动网络安全产业进入第三轮快速成长期。

第三个驱动因素是安全攻防的驱动，不同的时期存在不同的安全威胁，而不同的安全威胁又会催生出不同形式的安全需求和安全技术。在2000年前后，病毒、木马、蠕虫是主要的安全威胁，带来对防火墙、防病毒等安全工具的需求；到了2007年，应用层安全攻击包括网页入侵、网站钓鱼等开始变得频繁，带来了web应用防火墙等web安全产品的需求，包括主打应用层安全的下一代防火墙也是在这一时期诞生；到了2010年前后，网络流量攻击开始流行，催生出抗D的需求；到了2013年前后，APT威胁迅速升级，催生了高级威胁检测的需求；近年来供应链攻击、勒索病毒等新的安全威胁又带来了新的安全需求。由于安全威胁和安全攻击的长期存在，安全技术和安全工具也会随之不断的更新迭代。

图表1：网络安全驱动因素框架

资料来源：方正证券研究所绘制

从我国的安全行业的发展历史来看，国内安全产业从1995年前后开始萌芽，到现在一共经历了两轮大的加速成长期。从1995年开始到2005年前后，在上网工程和信息化建设的驱动下，国内安全产业从0到1实现了跨越式发展，而在信息化渗透率提升到一定程度以后，行业增速在2008年后开始逐渐放缓；从2013年开始，在云计算、移动互联网等新一轮IT基础设施的驱动下，同时叠加棱镜门事件后国家对网络安全重视程度的显著提升，具体包括国家网络安全小组的成立，以及网络安全法，公安部151号令，等保2.0，数据安全法等政策的频繁出台，行业整体增速又重新提升到了20%以上。

图表2：网络安全行业发展历程复盘

资料来源：IDC、方正证券研究所绘制（单位：亿美元）

1.2 竞争格局与七大赛道

在网络安全行业持续保持高速增长同时，行业竞争格局上仍呈现出产品碎片化、集中度偏低的特点。根据第三方机构安全牛的分类，网络安全行业可划分为14项一级安全分类，106项二级子行业，以及近300家安全企业和相关机构。而由于产业格局的碎片化导致了行业集中度偏低，这也限制了安全厂商成长的上限，因此无论是在全球市场还是国内市场，一直都没有诞生真正意义上的“安全巨头”。历史上规模最大的安全厂商，包括全球市场的赛门铁克、IBM，以及国内市场的奇安信、启明星辰，其市占率基本处于5%-10%这一区间，行业前五大厂商合计占比约为20-30%。

图表3：安全牛网络安全全景图

资料来源：安全牛、方正证券研究所绘制

图表4：企业网络安全建设发展阶段

资料来源：方正证券研究所绘制

行业的碎片化显著加大了网络安全公司的研究难度。过去对网络安全公司的研究，特别是一些产品线较完整的综合性的安全厂商，很难对其产品线做到非常细致的拆分，更多时候是对政策、渠道、订单、业绩等进行动态跟踪，并且结合管理层、公司治理、企业文化等因素来综合判断公司的竞争力。而对于产品线的研究，我们认为需要建立一个更加有效的视角，通过对各个赛道的合理划分，基于“抓大放小”的思路去进行研究。

1）网络边界安全：针对网络边界进行防护的安全产品，主要产品包括防火墙、入侵检测与防御IDPS、虚拟专用网VPN、上网行为管理和抗DDoS等产品；

2）终端安全：针对PC、服务器、Iot、云工作负载等端点进行安全防护的安全产品，主要产品包括终端防病毒、终端准入控制、端点保护平台EPP和终端检测与响应EDR等产品；

3）身份安全：身份安全指用于管理用户的身份和访问权限的一类软硬件产品，以确保正确的个体，包括人、服务器、设备、API、应用，能够以正确的原因在正确的时间访问正确的资源。主要产品包括统一管理平台/4A平台、访问控制/单点登录、特权账号管理/堡垒机、密码/令牌/生物识别和零信任等产品；

4）安全管理：企业安全管理人员进行安全运营、威胁检测乃至应急响应的平台工具产品，主要包含SIEM/SOC（安全管理平台）、态势感知、高级威胁检测、日志审计和漏洞管理等产品；

5）数据安全：保护IT系统和数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全产品，主要产品有数据防泄漏DLP、数据库审计、文档加密，数据分级、数据治理和容灾备份等产品；

6）应用安全：狭义上应用安全主要指针对Web进行防护的安全产品，主要产品包括Web应用防火墙、Web扫描器和网页防篡改等产品；

7）安全服务：指为增强和完善用户网络信息系统所提供的一系列的服务，通常情况下，安全服务由安全咨询、安全运营、安全集成三大部分构成。

图表5：网络安全行业赛道划分

资料来源：方正证券研究所绘制

从7大赛道的市场规模、成长性、以及竞争格局综合来看：

三大重点关注赛道：终端安全、身份安全、数据安全。1）终端安全是国内网络安全市场最受益国产化的赛道之一，包括奇安信、亚信安全、深信服等国产终端安全龙头厂商的份额近年来都在持续提升，而且未来对外资厂商的替代仍有一定的空间；2）数据安全在今年是业界关注度最高的方向，伴随《数据安全法》的出台以及滴滴事件的催化，未来政企用户在数据分级、数据治理，以及数据全流程管理、数据保护体系的建设将成为安全支出的重点，进而带动整个赛道的景气度的提升；3）身份安全包含的细分子领域较多，过去行业整体增长较为平稳，但是随着近年来身份安全重要性的不断提升，以及零信任在国内头部政企用户中的落地，正在牵引网络安全架构从过去的“网络中心化”逐步走向“身份中心化”。

图表6：网络安全行业7大赛道

资料来源：方正证券研究所绘制（部分数据结合IDC、安全牛等第三方机构数据估算）

1.3 “新安全”与“传统安全”

如何理解“新安全”和“传统安全”的关系？“新安全”是否会对“传统安全”的研究框架造成破坏？通常情况下“新安全”可分为三大类，即新安全场景（如云安全、工控安全、移动安全等）、新安全技术（如EDR、UEBA、SOAR、零信任等）和新安全模式（主要为安全SaaS）。我们认为，新安全场景和新安全技术，很难超出网络、终端、身份等安全赛道的基本逻辑框架，而安全SaaS目前已经对网络安全的产业逻辑产生了重大影响，并带来了行业竞争格局的重大变化。

安全新场景：新的安全场景一般包括云安全、移动安全、工业安全、物联网安全、区块链安全等领域，虽然在场景上和传统安全场景存在一定差异，但在这些新场景下应用的很多安全工具从底层技术上看并没有超过“传统安全”的范畴，比较典型的就是云安全场景中虚拟化防火墙和工业安全领域的工控防火墙，即可以概括为“用老方法解决新问题”。可以看到虽然近年来诞生了很多专注在新场景下的新兴安全厂商，但是头部安全厂商依然在很多新场景下占据主导地位，并且由于很多新场景的市场空间有限，专注在单一赛道的新兴安全厂商也会很快面临成长天花板的问题。总而言之，新场景安全给行业带来了一定增量，但并未真正改变安全行业的竞争格局。

图表7：网络安全行业的技术和场景在不断进化

资料来源：方正证券研究所绘制

安全新技术：网络安全作为一个技术快速迭代的行业，每年都会有许多新的安全概念出现和新的安全技术诞生，但是真正像下一代防火墙和端点检测与响应EDR这样能够对产业格局产生重大影响的新技术少之又少，绝大部分的新技术最后并没有形成独立赛道和独立产品，而是最终融入到了“传统”的安全产品中，即以“新技术融入老产品”的方式带来了安全产业的不断进化。而且即使像下一代防火墙和EDR这样的“重磅产品”，最终也是逐渐融入到了防火墙和终端安全这两大“传统赛道”之中。

图表8：网络安全行业技术演进路径

资料来源：方正证券研究所绘制（部分关键技术）

安全新模式：安全SaaS作为一种新兴的安全模式，与传统安全方案相比，最大的不同在于安全SaaS能够通过云服务的形式将安全能力交付给用户。相较于传统的本地部署的模式，安全SaaS厂商在敏捷性、易用性、可扩展性等方面相较于传统安全厂商具备明显的优势，目前安全SaaS已经成为了全球网络安全市场的重要趋势，安全SaaS厂商竞争壁垒的提高，提升了安全厂商成长的天花板，并且已经带来了行业竞争格局的显著变化。

图表9：美股安全公司收入增速

资料来源：Wind、方正证券研究所

安全SaaS厂商竞争壁垒的提高体现在以下三个方面，分别为：基于轻量化部署所带来的边际成本的显著降低，基于数据在线所带来的网络效应，以及基于云原生架构所带来的安全能力的动态迭代。以全球安全SaaS龙头Crowdstrike为例，我们认为，Crowdstrike相比传统安全厂商拥有更深的护城河，具体体现在：

1）基于轻量化部署所带来的边际成本的显著降低：安全SaaS作为轻量化的安全方案，用户在安装、部署、实施、运维的总成本（TCO）要远低于传统本地部署的安全方案，因此Crowdstrike能够显著缩短交付和部署的周期，而且Crowdstrike的用户一旦订阅了某个模块后，在订阅其他功能模块时，不需要任何额外的部署成本，而且用户能够在云上对Crowdstrike的多个业务模块进行统一的安全管理，显著降低了管理和运维的复杂度。因此根据Crowdstrike的测算，传统安全厂商的方案的TCO高达Crowdstrike的7.5倍；

2）基于数据在线所带来的网络效应：Crowdstrike在云上的威胁情报网络具备很强的网络效应，只要Crowdstrike在其所覆盖的单个端点上检测到了某个未知威胁，云端的威胁库将实时更新，进而CrowdStrike所覆盖的所有用户的所有端点能够实时提升应对未知威胁的能力。Crowdstrike覆盖的用户和端点数量越多，其威胁情报网络的能力就越强。这也是CrowdStrike作为一家新兴安全厂商能够在安全能力上快速超越传统安全厂商的重要原因；

3）基于云原生架构所带来的安全能力的动态迭代：对于在网络安全这类技术变化非常快速的行业，我们认为，安全厂商在安全能力和安全技术上的静态领先很难形成绝对的竞争壁垒。而Crowdstrike作为云原生的安全SaaS厂商，能够基于云原生架构实现安全功能的快速开发测试及运维，并且能够将安全能力快速迭代到用户侧，而非像传统安全厂商需要将管理和组织能力发挥到极致来推动技术创新和动态迭代。

图表10：传统产品的TCO为CRWD的7.5倍

资料来源：CrowdStrike、方正证券研究所

图表11：CrowdStrike的威胁情报网络

资料来源：CrowdStrike、方正证券研究所

Crowdstrike业务边界正在持续扩展，预计2025年CrowdStrike的TAM将超过千亿美元。CrowdStrike在2013年前后的产品线仅有威胁情报和EDR，在2017年前后，公司开始基于单一的EDR产品向多SKU多产品模块的体系发展，到2019年底已经推出了IT资产管理、漏洞管理、下一代防病毒等十个彼此高度协同的云模块。目前Crowdstrike的Falcon平台上已经包含了19个模块，跨越端点安全，托管安全服务，威胁情报和身份安全（通过收购PreemptSecurity）、IT运维等领域，已经远远超出了单纯的端点安全的范畴，当前TAM达到了360亿美金（端点安全市场TAM仅为84亿美金）。特别是在今年，Crowdstrike收购了日志管理平台Humio，并将其作为一个功能模块，在云平台上集成了日志管理、应用及基础架构监控的功能，业务布局超出了网络安全的范畴，开始进入到了Datadog的领域。目前Crowdstrike已经具备强大的XDR能力，能够将所有安全产品集成到单一安全管理平台上，来帮助用户获取对自身安全态势的全局视角。

图表12：CrowdStrike的TAM预计在2025年超过千亿美元

资料来源：CrowdStrike、方正证券研究所

通过对网络安全行业近40年发展历史的复盘能够看到，多赛道多安全域多技术栈的特点限制了安全厂商的横向扩张，加上传统安全厂商难以单纯依靠技术优势来建立竞争壁垒，限制了安全厂商成长的天花板。随着全球范围内安全SaaS渗透率的不断提升，网络安全的产业结构和竞争要素正在发生重大变化，在未来千亿美金规模的全球网络安全市场，将有很大概率能够跑出收入规模超百亿美金的安全巨头。而目前国内安全SaaS产业尚处在萌芽期，安全SaaS在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到1%，在未来3-5年，随着IT基础架构的不断演变，以及头部安全厂商开始在安全SaaS领域展开布局，安全产业云化的进程未来有望加速。

2. 网络边界安全

网络边界安全指针对网络边界进行安全防护的安全软硬件，包含了防火墙、IDPS、上网行为管理、VPN、抗D等多个“重量级”产品。网络边界安全是网络安全行业规模最大的赛道，整体市场规模在200亿以上。

2.1 防火墙

防火墙是企业网络边界防护的基础工具，通过在可信任内部网络与不可信任的外部网络（如互联网）之间建立了一道屏障，以达到隔离和保护企业内部网络，并阻断外部安全威胁的目的。

图表13：防火墙产品架构图

资料来源：方正证券研究所绘制

防火墙这个术语最初是用来描述用于抵御火灾的物理形态的墙，在20世纪80年代末防火墙技术首次引入了计算机网络，发展至今已经有30多年的历史，其历史演变过程大致可分为以下三个阶段：

1）防火墙的诞生：防火墙技术出现于20世纪80年代末，并在90年代开始逐渐分为包过滤防火墙和代理防火墙两大分支。1994年以色列网络安全厂商CheckPoint开发出了第一个商业版本的状态检测防火墙，正式开启了防火墙商业化的浪潮。继CheckPoint之后，Cisco及Netscreen等厂商后来也成为了防火墙市场的重要参与者。在90年代末，Netscreen推出了基于ASIC架构的硬件防火墙。

2）统一威胁管理（UTM）：随着新型应用发展及攻击方式逐渐多样化，安全威胁从网络层扩展到应用层，催生了用户对多功能安全网关的需求。2004年IDC首度提出“统一威胁管理”的概念，指在防火墙基础功能之上，提供包括IPS、反病毒、VPN等多项安全功能，将多种安全特性集成于一个硬件设备，代表厂商为Fortinet。UTM作为“All-in-One”的安全设备在一定程度上解决了用户在进行安全规划时需要采购和部署多个安全设备的痛点。

3）下一代防火墙（NGFW）：由于UTM是多个安全引擎的简单叠加及其串行处理机制，导致了用户在开启多个功能时系统性能会出现较大损耗。因此随着UTM在性能和功能上的矛盾逐渐显著，下一代防火墙技术诞生。Gartner在2009年首次定义了下一代防火墙（NGFW），代表厂商为Palo Alto Networks。下一代防火墙采用一体化引擎，能够对数据流进行一次性的识别和扫描，进而降低了防火墙性能的损耗。此外下一代防火墙在应用识别与可视化、细粒度控制等方面也要优于UTM，因此在2010年后，下一代防火墙在全球范围内的渗透率开始迅速提升。

图表14：防火墙的演变历史

资料来源：方正证券研究所绘制

目前来看，防火墙市场仍然是国内网络安全大厂的“兵家必争之地”，主要原因在于：1）规模大：防火墙是国内网络安全行业最大的赛道，也是唯一一个超过百亿体量的赛道；2）利润率高：得益于赛道的规模以及产品化程度，防火墙市场的利润率是网络安全行业最高的细分赛道之一。其中最典型的就是全球防火墙龙头厂商Checkpoint，其净利率和ROE能持续多年分别保持在40%和20%以上；3）成长性好：与普遍认知有所不同，防火墙虽然是最基础的安全工具，但是近年来一直保持着行业平均甚至略高于行业平均水平的增速，主要得益于一方面防火墙作为政企安全建设的“标配”，将直接受益上云带来的行业景气度提升，另一方面，防火墙对多个安全功能的集成，间接替代了IPS、VPN等独立安全产品的空间。

目前在国内防火墙市场占据主导的是以天融信、启明星辰、深信服、奇安信为代表的安全厂商和以华为、新华三为代表的数通厂商，总体来看，防火墙市场近年来竞争格局较为稳定。以华为和新华三为代表的数通厂商的防火墙具备端口密度大、性能高、价格便宜等特性，主要应用在运营商及数据中心网络出入口等场景，突出防火墙的包过滤、NAT、访问控制等基础功能。同时，随着过去几年华为和新华三将防火墙整合到自身的云计算整体解决方案中，其在防火墙市场的份额有所提升。相较于数通厂商，安全厂商的防火墙产品更加强调防火墙的安全功能，功能更加全面，能够快速跟上安全形势的变化，在企业办公网络、中小企业及分支机构等场景则更具优势。

图表15：国内防火墙市场竞争格局演进趋势

资料来源：IDC、方正证券研究所

2.2 IDPS

IDPS（入侵检测与防御）由IDS（入侵检测系统）与IPS（入侵防御系统）两类产品构成。IDS指根据一定的安全策略，对网络和系统的运行状况进行监控，以发现各种安全攻击的安全设备；而IPS则在IDS的基础上，具备即时阻断或隔离网络入侵行为的功能。IDS与IPS在产品功能、部署方式等方面均存在一定差异，从产品功能角度看，IDS注重的是网络安全状况的监控，IPS则侧重于对入侵行为的阻断，虽然IPS能够实施安全防御策略，但由于其实时性要求较高，对设备性能也有较高的要求，因此IDS及IPS均有各自的应用场景。如果用户只需要监控网络安全的状况，则只需部署IDS即可，如果用户计划构建完整的安全解决方案，即可在全网部署IDS，同时在网络边界部署IPS。

图表16： IDPS产品架构图

资料来源：PURPLESEC、方正证券研究所

在IDPS市场启明星辰和绿盟科技保持行业前二位置，二者分别在IDS和IPS市场保持领先。启明星辰作为国内IDS市场的先驱，拥有IPS和IDS两条独立的产品线，在IDPS市场持续多年保持行业第一。而绿盟科技作为国内最早推出IPS产品的厂商，在IPS市场也具备很强的竞争力。同时排名第三的新华三近年来市场份额也在不断提升，总体来看前三家头部厂商的市场份额差距不大。近年全球IDPS的市场规模呈现逐年下滑的趋势，一方面在于全球范围内随着下一代防火墙、统一威胁管理等“All-In-One”的安全设备的渗透率在不断提升，独立IDPS设备的应用场景受到挤压，另一方面，高级威胁检测相关产品的兴起，对IDPS的市场造成了一定冲击。

图表17：2020年中国入侵检测与防御硬件市场份额

资料来源：IDC、方正证券研究所

2.3 上网行为管理

上网行为管理主要针对企业员工的上网行为进行安全管控，主要功能包括网页过滤、内容审计、流量控制、防内网泄密等。上网行为管理的诞生一方面来自于用户日益增长的上网需要和有限带宽之间的矛盾，网络管理员需要对网络带宽资源进行分配、调节、优化，来提升用户网络访问的速度，另一方面则是对员工上网行为进行管控，防止与工作无关的网络访问影响工作效率、防止带宽资源滥用、管控外发信息以降低泄密风险、记录上网轨迹以满足合规要求等。上网行为管理作为具备较强本土特色的网络安全产品，其需求也受到相关法律及政策制度的较大影响，包括近年来网络安全法、等保2.0等相关法律法规的出台对于企业内部上网行为审计提出了更高的要求，推动了上网行为管理市场持续稳健的增长。

图表18：上网行为管理产品架构图

资料来源：方正证券研究所绘制

国内上网行为管理市场竞争格局较为稳定，深信服作为行业龙头持续多年稳居行业第一，奇安信则排名第二。深信服是国内最早推出上网行为管理产品的厂商，并且定义了 “上网行为管理”这一新的品类。深信服一方面拥有完善的应用识别特征库和千万级的URL库，另一方面通过不断研发投入持续紧跟下游用户对上网行为管理的需求，在产品易用性以及功能丰富性上持续保持领先。根据IDC的数据，深信服2020年市场份额占比达21.3%。奇安信在收购了国内第二大上网行为管理厂商网康后，在这一赛道上也持续保持第二的位置，2020年占比为11.1%。此外这一赛道的头部厂商还有新华三、绿盟科技、安恒信息等。

图表19： 2020年中国安全内容管理硬件市场份额

资料来源：IDC、方正证券研究所

2.4 抗D

DDoS（Distributed Denial of Service，分布式拒绝服务攻击）作为一种常见的网络攻击方式，指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，通过消耗攻击目标的网络带宽或系统资源，导致网络或系统瘫痪而无法提供正常的网络服务。而抗DDoS则指为了阻断DDoS所使用的设备或服务。抗D市场主要由抗D硬件设备和抗D云服务两部分组成，根据安全牛的数据统计，二者各占抗D市场一半左右的份额。其中抗D硬件设备的客户主要以运营商、IDC为主，占硬件采购市场的90%以上，抗D云服务主要集中在大型互联网公司及游戏公司，大约可占抗D云服务采购市场的70%以上，剩余30%的抗D云服务市场大致集中在金融行业、政府及消费级市场。

图表20：抗DDOS产品架构图

资料来源：方正证券研究所绘制

抗D市场的主要参与者可分为以华为、绿盟、迪普科技为代表的硬件设备厂商和以阿里云、腾讯云、电信云堤为代表的云服务厂商。DDoS的实施成本较低，技术手段容易实现，因此目前已经成为了最为常见的网络攻击方式。随着DDOS攻击流量和频率越来越大，全球许多大型企业都饱受DDoS攻击，对于抗DDOS的需求也越来越强。虽然抗D硬件设备和抗D云服务各有其目标用户和应用场景，但总体来看，由于抗D云服务厂商大多为运营商以及公有云厂商，能够依托自身的网络资源来对抗大流量攻击，因此相较于抗D硬件设备，抗D云服务近年来的占比在不断提升。

图表21：抗DDoS矩阵（云服务）

资料来源：安全牛（2018）、方正证券研究所

图表22：抗DDoS矩阵（硬件）

资料来源：安全牛（2018）、方正证券研究所

2.5 VPN

VPN（虚拟专用网）作为常见的网络安全和网络访问工具，基本功能主要是通过在公共网络上建立专用网络进行加密通讯，让远程或异地员工能够实现对公司内网资源的安全访问。VPN在大型跨国跨区域企业及异地办公、远程办公等场景已经了得到广泛应用，近年来一方面移动设备的快速增加推动了VPN市场的增长，另一方面远程办公也成为了VPN增长的主要动力，特别是在疫情期间远程办公用户对于VPN的需求激增。在VPN的需求持续增长的同时，防火墙/UTM/下一代防火墙等安全产品越来越多的集成了VPN的功能，独立VPN产品的市场空间也受到了一定程度的挤压。

图表23：VPN产品架构图

资料来源：方正证券研究所绘制

国内VPN市场竞争格局较为稳定，深信服持续占据行业头部位置。深信服作为国内最早推出VPN的厂商，近10余年稳居VPN市场行业龙头位置，在VPN产品市场具备非常强的竞争力，根据IDC的数据，2020年深信服的市场份额为24.2%，遥遥领先于其他竞争对手。其次启明星辰、天融信也是VPN市场的头部厂商，市场份额均在10%以内。

图表24：2020年中国虚拟专用网硬件市场份额

资料来源：IDC、方正证券研究所

3. 终端安全

终端安全指针对企业终端设备进行安全防护的工具，最主要的产品是终端反病毒，此外还包括了终端设备控制、终端检测与响应（EDR）、主机加固、终端漏洞评估等产品。终端安全防护的对象涉及两大类终端，一类是PC、笔记本电脑、移动设备，IOT等终端，另一类是服务器，包括物理机、虚拟机、容器和云工作负载。近年来全球终端安全市场总体保持平稳，一方面，用户对病毒扫描、磁盘加密、设备控制等终端安全的部分需求被操作系统本身内置的功能所替代，另一方面包括EDR和CWPP等新兴技术的应用也正在带动终端安全市场的增长。从市场规模来看，终端安全在全球范围内是一个百亿美金级的大赛道，和防火墙在规模上处在同等量级。而在国内，由于消费级终端安全市场商业模式的特殊性，其市场规模要远小于防火墙，规模仅在防火墙的三分之一到四分之一。

图表25：端点安全可分为EPP、EDR、CWPP三大领域

资料来源：方正证券研究所绘制

终端安全拥有比网络边界安全市场更“悠久”的发展历史，在互联网诞生之前的上世纪80年代，病毒就已经开始通过一些硬件介质在计算机终端之间传播，而在80年代末，全球防病毒产业开始萌芽。由于传统防病毒产品是基于签名来识别恶意软件和恶意进程的，因此随着近年来未知威胁的不断增加，防病毒对于病毒检测的效果开始逐渐下降。以EDR为代表的新兴终端安全技术通过融合AI、机器学习、行为分析等技术，在检测未知威胁，以及针对安全威胁进行快速响应等方面，对传统防病毒产品进行了有效的补充和优化。而在全球范围，以Crowdstrike为代表的下一代终端安全厂商等凭借基于云端的轻量化的终端安全解决方案及EDR、威胁情报等技术，实现了对赛门铁克等传统终端安全厂商的快速替代。

图表26：端点安全产业的演进

资料来源：方正证券研究所绘制

终端安全产品具备较高的技术门槛，市场的主要参与者历史上看大多为专业的反病毒厂商。由于反病毒引擎本身有一定的专利和技术的壁垒，同时病毒库的更新维护需要大量的人力及其他资源的投入，因此从历史上看少有跨界的厂商进入到终端安全市场。从国内来看，在2010年前，终端安全市场的参与者主要包括国产杀毒软件厂商金山、江民、瑞星、冠群等以及国外终端安全巨头Symantec、Trend Micro、Kaspersky、McAfee等。而在360凭借免费模式进入到杀毒软件市场后，消费级终端安全市场的商业模式随之颠覆，360也成为了国内消费级终端安全市场的绝对龙头。近年来，金山、江民、瑞星等老牌厂商的份额显著缩小，外资厂商包括Symantec以及McAfee等虽仍占据一定的市场份额，但也呈现出逐渐下滑的趋势。

目前国内企业级终端安全市场的竞争格局已经比较明确，以奇安信、亚信安全、深信服为代表的国产厂商的份额有望进一步提升。根据IDC的数据，2020年奇安信、亚信安全、深信服在终端安全市场的份额分别为24.4%、12.8%、7.4%。1）奇安信（原360企业安全）从2015年开始发力终端安全市场，凭借360在技术、数据、品牌等方面的积累，并通过自主研发，仅3年时间就成为了终端安全市场的行业龙头，而且目前市场份额要明显领先于其他竞争对手。2）亚信在2015年收购了国际知名防病毒厂商趋势科技的中国业务后，目前保持终端安全市场排名第二的位置；3）深信服在2018年以EDR切入终端安全市场后，目前围绕EDR构建了集成防病毒、EPP、EDR三位一体的终端安全整体方案。深信服虽然切入终端安全市场的时间较晚，但是份额及排名在近两年在迅速提升。此外外资厂商McAFee和Broadcom（原赛门铁克）仍占据国内终端安全市场一定的份额，未来随着信创的落地，以奇安信、亚信、深信服为代表的国产终端安全厂商的份额有望得到进一步提升。

图表27：国内终端安全市场竞争格局演进趋势

资料来源：IDC、方正证券研究所

4. 身份安全

身份安全指用于管理用户的身份和访问权限的一类软硬件产品，以确保正确的个体，包括人、服务器、设备、API、应用，能够以正确的原因在正确的时间访问正确的资源。身份安全一般又可称为身份与访问管理（IAM），根据Gartner的分类，IAM包含了身份管理、访问管理、特权账号管理以及身份认证四个部分。而国内身份安全市场可以大致分为两个大类：一类为认证类软硬件产品，包括公钥基础设施（PKI），动态口令，数字证书，生物识别，硬件认证等产品，属于身份安全的基础设施；另一类为集成账号、认证、授权、审计的集中管理平台产品，一般包含4A平台，单点登录（SSO）等产品。而堡垒机（运维审计系统）作为本土特色的安全产品，广义上属于特权账号管理（PAM）的范畴，也可纳入身份安全的范畴。此外，零信任作为新兴的身份安全架构，正在成为身份安全市场的重要组成部分。

图表28： Gartner的IAM包含了身份管理、访问管理、特权账号管理以及身份认证四个部分

资料来源：Gartner、方正证券研究所

身份安全的基础设施类产品包含了传统硬件设备以及新兴的身份认证技术，包括吉大正元、格尔软件、数字认证、飞天诚信等都是这一赛道上的老牌厂商，市场竞争格局相对稳定。身份认证硬件设备主要以设备认证、令牌和密钥Key为主，应用于政府、银行等重点行业，占整个身份认证市场的绝大部分。新兴身份认证技术指生物识别、行为分析等新兴技术，大多应用于互联网相关行业，虽然占比较小但应用场景正在不断拓宽。身份认证基础设施类产品非常碎片化，大部分情况是嵌入到其他产品及服务中。

身份安全的平台类产品即以4A（认证Authentication、授权Authorization、账号Account、审计Audit）平台为代表的统一安全管理平台解决方案，代表厂商为亚信安全。在国内市场4A平台主要应用于业务系统比较复杂和信息化水平比较高的行业，包括运营商、金融及部分企业事业单位。目前这一赛道的龙头厂商亚信在2007年就发布了国内第一个4A产品，并在2015年整合了趋势科技（中国）后，结合自身在运营商市场的业务优势，在电信等行业的身份安全市场占据了很高的份额。根据IDC的数据，亚信安全2019年在身份安全的市场份额达16%，行业排名第一。此外包括启明、华为、绿盟等综合型安全厂商以及吉大正元等身份安全基础设施厂商也都有统一安全管理平台相关的产品线，但从份额来看要低于亚信安全。

图表29：国内身份安全管理软件市场竞争格局演进趋势

资料来源：IDC、方正证券研究所

堡垒机（运维审计系统）作为一类特殊的身份安全产品，主要功能是对运维人员的运维操作权限进行控制和行为审计，启明星辰、安恒信息、齐治科技、绿盟科技、圣博润等厂商是这一赛道的头部厂商。堡垒机通过单点登录、实时监控、全程录像和指令查询等技术，不仅可以明确每一个运维人员的访问路径，还可以将每一次访问过程变得可审计，实现事前的授权、事中的监控、事后的审计。随着近几年运维安全事故的频发，越来越多的政企用户意识到组织内部人员以及第三方运维人员的违规操作将给组织带来巨大甚至难以逆转的经济利益损失，因此政企运维过程中的安全也成为了近年客户所关注的重点，运维安全管理市场因此整体呈现出快速发展的态势。

图表30：2019年中国运维安全管理硬件产品厂商市场份额

资料来源：IDC、方正证券研究所

除了传统身份安全产品之外，零信任作为一种新兴的安全范式，其本质是以身份为中心进行动态访问控制，牵引网络安全架构从过去的“网络中心化”走向“身份中心化”。目前国内主流安全厂商都已经推出了零信任相关产品或解决方案，而以奇安信为代表的头部安全厂商已经开始推动零信任架构在国内头部政企用户的落地，未来零信任将有望成为国内安全行业的重要方向。

5. 安全管理

安全管理类主要应用于企业安全运营中心，是企业安全管理人员进行安全运营、威胁检测乃至应急响应的平台工具产品，主要包含SIEM/SOC（安全管理平台）、态势感知、高级威胁检测、日志审计、漏洞管理等产品。如果说边界安全、终端安全和身份安全是网络安全的“底座”，那么安全管理就是网络安全的“皇冠”。

安全管理类产品中最核心的产品就是安全管理平台，安全管理平台在国外一般称为SIEM(安全信息和事件管理)，而在国内更习惯性的称SIEM为SOC或安全管理平台，实际上这也更加突出了SOC或安管平台作为企业安全运营中心（Serurity Operation Center）的技术支撑平台的功能。SIEM是SIM（安全信息管理）和SEM（安全事件管理）的融合体，主要功能是通过搜集来自异构数据源（通常包括路由器或交换机等网络设备、防火墙或IDPS等安全设备、Web或邮件服务器、以及各类应用程序等）的相关信息（日志，事件，流量），对数据进行关联和分析，以检测事件、发现威胁、识别异常行为和模式，以供后续使用（报告，审查、取证）。而最近几年在国内热度很高的态势感知，由于其底层平台大多也是SIEM或SOC，因此也属于安全管理平台的范畴。

图表31：SIEM的基本架构

资料来源：方正证券研究所绘制

随着政企用户安全建设的重心的转变，安全管理成为了近年国内网络安全行业景气度最高的赛道。虽然SOC在2005年前后就进入了国内市场，但与防火墙、反病毒等自动化程度较高的安全工具不同，安管平台对于企业用户自身的安全运维能力有较高的要求。而早期国内用户由于安全预算的不足，以及国内安全服务生态的不成熟，安管平台在国内并没有实现很好的落地。最近几年随着AI、大数据、UEBA(用户及实体行为分析）及SOAR（安全编排及自动化响应）等相关技术的成熟，降低了安全管理平台的使用门槛，因此安管平台在国内的落地效果开始出现显著的提升。具体体现在：

1）态势感知平台的兴起：在2015年公安部开始率先推进态势感知和通报预警平台的建设，随后态势感知逐渐向电子政务、网信、金融等行业扩散，态势感知通过可视化的监控大屏等方式，让安全管理平台的应用效果能够被更加清晰的感知，也间接促进了安管平台的采购，目前来看泛行业态势感知的建设仍有很大的潜在空间。

2）高级威胁检测需求的持续提升：随着安全形势日趋严峻，对于大中型机构而言，建立面向实战化的威胁检测与响应能力已成为网络安全体系建设的重中之重。且近几年攻防演练活动中，以攻防为主要场景的高级威胁检测产品已经成为众多企业用户的核心需求。

3）安全管理能力平台的轻量化落地：过去来看SIEM/SOC类产品涉及到较多的定制化，一般的采购方主要为安全预算充足的大型企业和机构。目前以NDR+EDR+SOAR+安全分析等多种能力形式的XDR解决方案开始在中型机构中快速落地。XDR作为SIEM/SOC的替代，方案简单、轻量、易用，且标准化程度更高，未来将成为国内安全市场的重要趋势。

奇安信、启明星辰和安恒信息目前占据了国内安全管理平台的前三位置，其他头部安全厂商也已经把这一赛道作为重点发力方向。前三大厂商均具备较强的竞争优势：1）奇安信的安全管理类产品主要包括了NGSOC、态势感知和威胁感知系统天眼，奇安信作为国内最早布局态势感知市场的安全厂商之一，目前在态势感知市场的份额排名第一，同时凭借在安全大数据以及高级威胁检测方面的能力，公司NGSOC和威胁感知系统天眼也是近年来的爆款产品，综合来看公司在安全管理类产品在国内市场占据龙头地位；2）启明星辰作为国内最早开发安全管理平台产品的厂商，在2005年前后就推出了国内第一代安全管理平台“泰合”，同时在2017年启明作为首家中国厂商进入了GartnerSIEM魔力象限，在安管平台领域有非常深厚的技术沉淀；3）安恒信息作为新兴安全厂商，在2014年前后开始将态势感知及安全管理平台作为重要发展方向。安恒从公安态势感知平台切入，在打造标杆效应后，目前在重要行业成功落地态势感知案例200余个，在监管侧态势感知市场排名第一。同时，安恒的大数据安全平台在多源异构数据采集、海量数据存储、安全事件溯源分析等核心技术上也具备一定的领先优势。除了前三大厂商之外，深信服作为安全管理赛道的新进入者，凭借成熟的渠道体系，目前市场份额也正在迅速提升，也进入到了前五的位置。

图表32：2020年中国安全分析和威胁情报市场份额

资料来源：IDC、方正证券研究所

6. 安全服务

网络安全服务指为增强和完善用户网络信息系统所提供的一系列的服务，通常情况下，安全服务由安全咨询、安全运营、安全集成三大部分构成。从Gartner和IDC两大机构的统计口径来看：IDC认为安全服务包括安全咨询、安全运营（MSS）、安全集成、安全教育及培训四个部分，而Gartner认为安全服务主要由安全咨询、安全外包（含MSS及驻场服务）、安全集成、硬件维护与支持四部分构成。虽然两家机构在统计口径上存在一定差异，但无论是在Gartner还是IDC的口径下，安全咨询、安全运营、安全集成都是最主要的三个部分，占据了安全服务市场90%以上的份额。

图表33：IDC安全行业分类

资料来源：IDC、方正证券研究所

国内安全服务市场无论从市场总规模，还是从市场结构来看，跟欧美市场相比，都存在非常明显的差距。首先在市场规模上，根据IDC、赛迪股份等机构的统计数据，目前国内安全服务市场总规模远低于全球平均水平。同时在国内安全服务市场，安全咨询和安全运营等附加值较高的安全服务占比较低，安全实施和系统集成占据了大部分的市场份额，体现出了国内外安全服务市场在产业成熟度上的差距。

图表34： 2020年中国IT安全投资分布（IDC）

资料来源：IDC、方正证券研究所

图表35： 2020年全球IT安全投资分布（Gartner）

资料来源：Gartner、方正证券研究所

我们认为，国内外安全服务市场存在差异的主要原因在于：1）缺乏安全意识：国内许多政企客户过去网络安全预算非常有限，绝大部分的预算都用于采购安全工具，以应付合规和审查，没有主动提升安全能力的诉求；2）没有付费意愿：在国内安全咨询、安全运营等专业服务经常被安全厂商作为采购安全设备的附赠品，企业用户甚至不需要向安全服务单独付费，而实际上单独的咨询规划和运营服务的价格并不低于设备采购；3）产业生态不成熟：国内安全服务市场从起点上就跟欧美市场存在天然的差距，缺少类似IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育，导致国内政企用户对安全服务的接受度普遍偏低。

安全服务的行业景气度以及安服对安全厂商的战略价值均在快速提升：1）在政策合规和产业升级两大因素的驱动下，政企用户对安全服务的需求正在迅速提升。安全服务目前已经成为网络安全市场热度最高，潜在空间最大的赛道，是安全厂商的重要增长点。2）除了直接采购在持续增加之外，安全服务能够有效提升用户粘性，对安全厂商而言具备极大的战略价值。头部安全厂商也正在通过顶层设计、平台建设以及运营服务的组合，持续卡位政企用户的安全预算。

6.1 安全咨询服务

安全咨询作为安全服务的重要组成部分，所涉及的内容非常广泛，最常见的安全咨询服务包括安全战略规划，安全架构设计、安全测评（等保）及合规审计等，此外技术类服务，包括渗透测试、漏洞评估、调查取证、应急响应、攻防演练等一般也属于安全咨询的范畴。

图表36：安全咨询业务分类

资料来源：方正证券研究所绘制

安全咨询市场近年来在政策驱动下正处于快速增长期。新的安全法规条例近年来的不断出台直接提升了用户对安全咨询的需求，包括等保2.0、关键基础设施保护条例、密码法、网络安全审查办法以及在2021年即将落地的个人信息保护法、数据安全法等法规条例的相继出台，使得政企用户对安全评估、安全测试、安全战略、安全规划的需求得以迅速提升。同时HW行动及重大活动网络安保驱动了应急常态化和防护实战化，相关企事业单位对于攻防演练、安全评估的需求也正在持续增加。

目前国内安全咨询市场以奇安信、启明星辰、天融信、绿盟科技、安恒信息等安全厂商占主导。根据IDC的数据，2020年奇安信以7.2%的市占率在国内安全咨询市场位居第一，启明星辰以5.7%的市场份额排名第二，天融信、绿盟科技及新华三的市占率分别为5.6%、4.7%及2.6%。随着网络安全在政府和企业内部的战略层级正在不断提升，用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评估等专项建设向顶层设计升级，安全咨询服务的战略地位也在不断提升，包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂商都将安全咨询能力的建设作为重点发力的方向。

图表37：2020年中国IT安全咨询服务市场份额

资料来源：IDC、方正证券研究所

6.2 安全运营服务

托管安全服务（MSS）指通过第三方安全服务厂商的远程安全运营中心(SOC)交付的事件监控、分析、预警、响应等一系列服务。通常情况下MSS包括：1）远程24/7小时对客户侧的安全事件和相关数据源（包括日志、流量等）进行安全监控和威胁检测（Threat Detection）；2）漏洞（弱点）评估与管理（Vulnerability Management）服务，包括漏洞扫描，分析和补救；3）对客户的IT安全设备和工具，包括防火墙、IDPS、SIEM、端点安全等进行管理；4）对客户的安全事件进行响应。目前许多新兴的MSS服务已经超出了传统MSS的边界，包括威胁情报服务，托管检测和响应（MDR）服务等。此外，通过驻场人员现场交付的安全运营服务一般被称为安全外包或安全驻场服务。

图表38：MSS的典型运行机制

资料来源：Gartner、方正证券研究所

托管安全服务市场最大的驱动力是安全产业成熟度的提升。随着产业成熟度的持续提升，政企用户的安全重心，将逐渐从采购安全产品以满足合规要求，转移到采购安全服务以提升安全能力，这是产业发展的必然规律。对于国内许多头部企业而言，在经过多年的安全建设后，继续堆设备所带来的提升已经相当有限，当前的主要问题在于如何构建一套更为有效的安全体系，并且如何让这套体系持续高效运作，这也将直接带来对专业安全服务厂商的安全运营服务的需求。中长期来看，政企用户出于降低人力成本（安全厂商通过体系化管理实现规模效应），以及应对复杂威胁和管理复杂架构的需要（专业的人做专业的事），都将持续增加对专业安全服务的采购。

国内托管安全服务市场以启明星辰、奇安信、安恒信息、绿盟科技等头部安全厂商占据主导。根据IDC的数据，2020年，启明星辰以13.7%的份额排名第一，奇安信和安恒信息分别排名第二和第三。国内安全厂商近年来将托管安全服务作为重点布局方向，而且和海外市场更为流行MSS的模式所有不同，国内安全龙头厂商正在探索更加适应于本土市场的安全运营服务，比较典型的有启明星辰和安恒信息的城市安全运营中心，360的城市安全大脑，奇安信的应急响应中心，以及深信服“人机共智”MSS服务等。

图表39：2020年中国托管安全服务市场份额

资料来源：IDC、方正证券研究所

7. 数据安全

数据安全产品指保护IT系统和数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全产品，主要包括数据防泄漏DLP、数据库审计、文档加密，数据分级、数据治理和容灾备份等产品。数据安全所包含的细分赛道较多，其中数据防泄漏DLP和数据库安全是数据安全领域最大的两个子市场，市场规模均在10亿以上。由于数据安全整体框架的实施需要前期做好数据摸底和数据分级，因此目前主要应用在企业信息化水平和对保密要求较高的行业。随着《数据安全法》的出台以及滴滴事件的催化，数据安全在今年成为网络安全行业关注度最高的细分方向之一，政企用户在数据分级、数据治理，以及数据全流程管理、数据保护体系的建设预计将成为安全支出的重点，包括在金融、政府等关键部门，以及电信、能源、医疗等行业都有着迫切的数据安全建设需求。

图表40：Gartner定义的数据安全治理框架

资料来源：方正证券研究所绘制

数据安全市场目前还是呈现出比较碎片化的特点，参与者既包括启明星辰、绿盟科技等综合性的安全厂商，也包括许多垂直的数据安全厂商，尚未形成绝对意义上的行业龙头。但未来随着下游用户对于数据安全体系化建设重视程度的不断提升，头部厂商的优势将更加明显。

数据库安全是数据安全的重要子市场，包含了数据库审计、数据库防火墙、数据库加密、数据脱敏等多种安全产品，其中数据库审计是最主要的产品。数据库审计的主要功能在于对数据库的访问行为进行监管，通过镜像或探针的方式采集所有数据库的访问流量，记录下数据库的所有访问和操作行为，在发生数据库安全事件（例如数据篡改或泄露）后为事件的追责提供依据，并针对数据库操作的风险行为进行告警。

数据库安全审计市场的前两大厂商为启明星辰和安恒信息。启明星辰持续多年保持数据库审计市场排名第一的位置，而安恒信息的市场份额近年来持续提升，2017年至今排名第二。同时以IBM、Imperva、Oracle等为代表的国外厂商在银行等高端市场仍具备较强的竞争优势，未来国产厂商在数据库安全市场仍存在一定的国产替代空间。

数据防泄漏DLP指通过加密、隔离、内容识别、用户行为分析等，防止敏感及重要数据在存储、传输及使用等各种具体应用场景的下被丢失或滥用。除了DLP之外，数据安全还包含文档安全、磁盘加密、数据库安全、容灾备份等产品。目前DLP已经在政府及军工等保密机构、科研及制造业等知识产权保护程度较高的企业得到了广泛应用。除了DLP整体解决方案之外，部分数据泄露防护技术也可以作为功能组件包含在终端安全、Web安全相关产品中。根据赛迪顾问的数据，亿赛通（绿盟科技子公司）以17.1%的份额连续多年在DLP市场排名第一。此外DLP市场的头部厂商还有明朝万达、北信源、联软科技等。

8. 应用安全

应用安全指针对应用程序进行防护的安全工具，而Web作为最重要的一类应用，是应用安全的重要组成部分。Web安全包含了Web应用防火墙（WAF）、网页防篡改、Web反恶意软件、Web内容过滤、Web扫描器等在内的多个产品，其中Web应用防火墙（WAF）是最重要的产品。和防火墙不同，WAF主要工作在应用层，通过对非法请求进行拦截，对非法连接进行阻断，从而使网站能够抵御各类如DDOS、SQL注入、Webshell等攻击，对Web服务器进行保护。

图表41：WAF产品架构图

资料来源：方正证券研究所绘制

WAF市场目前也主要分为传统的软硬件WAF及云WAF。目前WAF已经成为网络安全市场云化程度最高的赛道之一，根据安全牛的数据，目前国内WAF市场的云化比例已经超过30%，且这一占比还在不断提升，软硬件形态的WAF的市场空间则受到了一定程度的挤压。

绿盟科技、安恒信息、启明星辰占据软硬件WAF市场前三位置，云WAF市场阿里云占据近一半份额。绿盟和安恒信息作为国内最早进入Web应用安全的厂商，目前依然保持明显的头部优势，且安恒信息的份额近年来仍在持续提升。而在云WAF市场，根据Frost& Sullivan发布的《2017年亚太区Web应用防火墙市场报告》，阿里云凭借45.8%的市场占有率以绝对优势连续两年领跑大中华区云WAF市场，包括金融、保险以及电商等多个行业都开始选择云WAF对其业务进行防护。以阿里云为代表的公有云厂商能够结合云抗D、云安全托管、CDN等多种云上服务向用户进行交付，相较于软硬件WAF，云WAF厂商的优势正在逐渐凸显。

图表42：2019年中国Web应用防火墙市场厂商市场份额

资料来源：IDC、方正证券研究所

9. 投资策略

网络安全行业将持续受益行业景气度提升和竞争格局改善，是计算机行业最具投资价值的板块之一。网络安全行业未来5年将大概率保持在20%以上的中高速增长。网络安全的高景气度一方面来自于政策的延续，包括等保2.0、个人信息保护法、数据安全法、HW行动等驱动政企用户合规采购的增加，特别在当前的国际政治经济环境下，政府、国企及关键基础设施对网络安全的预算和投入仍将持续加大；另一方面在云计算、物联网等新的IT基础架构驱动安全技术的迭代和安全场景的扩容，进而带来网络安全市场空间的不断增长。从中长期看，随着安全意识乃至安全采购需求的不断转变，国内网络安全占IT支出比重仍有很大的提升空间。

未来网络安全投资重点关注以下几条主线：1）产品侧我们看好中高位安全能力布局，包括在安全管理、安全服务领域具备领先优势的厂商。国内安全行业向“体系化”和“实战驱动”演变，政府、央企及关键行业对整体框架、技术整合到运营服务的需求在快速增加，头部厂商能够通过“战略卡位”持续提升在政企用户安全预算中的份额；2）市场侧我们看好具备强渠道销售能力以及渠道销售能力持续提升的厂商，网络安全行业自身的特性决定了安全厂商的下游用户非常分散，渠道作为放大器，能够帮助厂商更快速、更广泛的覆盖到下沉市场和中小企业客户。同时，许多大型渠道商自身掌握了很多核心客户资源，能够为厂商实现很好的资源导入。

建议关注标的：深信服、奇安信、安恒信息、启明星辰、天融信、绿盟科技、山石网科、迪普科技。

网络安全相关标的：三六零、国华网安、中孚信息、任子行、安博通、格尔软件、左江科技、飞天诚信、吉大正元、信安世纪、蓝盾股份、云涌科技。

图表43：网络安全公司估值比较（PS，亿元）