积极关注信息安全行业投资机会。疫情虽然对当前安全产业产生负面影响，但 是等保 2.0 的第一年实施，对于整个产业仍有较大提振作用。安全公司密集资 本化，也是当前信息安全产业最好的投资机会。奇安信作为安全行业新玩法、 新技术的代表，也带来产业新的变化。

野蛮生长的奇安信，流血下的超速发展（略）

出身于 360，网络安全新巨头现真身

360 孵化的综合网络安全厂商。奇安信成立于 2014 年 6 月，原为三六零集团 所控制公司，也曾是 360 企业安全的核心。2019 年 4 月，奇安信与 360 签署 《终止协议》后，奇安信开始独立运作。奇安信成立较晚，发展迅速；虽然仍 在亏损中，但是 2019 年营收超过 31 亿元，体量已进入国内安全行业第一梯队。 奇安信也并非完全从零开始，公司收购的网康和网神为传统软硬件网络安全产 品业务打下基本盘。同时，在 360 助力以及公司较为激进的发展战略下，奇安 信迅速成为党政军企的重要安全供应商，也为国家多次重大活动提供网络安全 保障，是名副其实的网安新巨头。

奇安信产品线广泛，云网端及新兴领域覆盖全面。公司的产品体系包括三大类 别：基础架构安全产品、新一代 IT 基础设施防护产品以及大数据智能安全检 测与管控产品。基础架构产品包括最前沿的零信任产品，以及日志审计类。新 一代 IT 基础产品包括具备差异化竞争优势的终端安全产品、市场份额较高的下 一代防火墙等。大数据智能产品包括时下最为蓝海的态势感知平台等。奇安信 在云网端安全领域均具备较好的产品布局和竞争优势，同时辅以完善的安全服 务体系，形成了最为丰富的产品矩阵。公司致力打造“三位一体”的新一代网 络安全防御体系，即低位（设备和软件防御能力）、中位（大数据人工智能分析 态势感知能力）和高位（威胁情报收集与分析能力）全面协同联动的防御能力， 让客户由被动合规进阶到主动安全。

新玩法：奇安信互联网战略的 B 端进阶

奇安信的超速成长具备鲜明的互联网特色，比如超高的人员增速；政府、企业、教 育等多行业高举高打的战略合作；非常注重品牌建设等。公司注重市场和销售，但 同时也大力投入研发，因此多项产品在行业中迅速取得了市场前三的位置。从近年 来增速较快的安全厂商来看，深信服、安恒信息与奇安信有相似的战略打法，也证 明了该战略的可行性。

人员快速扩张，人海战术以服务为突破口

大力招兵买马，人才资源成为一大优势。公司高速发展离不开人员的高增长，17-19 年公司人员复合增速达到 47%，根据最新招股书披露，公司人员已超过 7000 人， 是国内人员最多的安全厂商。其中，研发人员占比 38%，技术支持和安全服务人 员占比高达 37%。

奇安信成立绵阳基地，内生造血解决人才缺口问题。信息安全人才在全球范围均 是稀缺资源，据统计 2017 年人才缺口达到 70 万，预计 2020 年缺口达到 140 万。 高端攻防人才稀缺性最高，但是大量基层的“安全运维”人才依然是最大缺口，因 此公司在 2018 年成立绵阳安全培训基地和运维中心。公司一方面从行业内吸取人 才，一方面也通过绵阳培训基地为公司不断输送安全人才。目前绵阳基地已经形成 了完整的课程培训体系，面向产品、运维、攻防等多个维度。绵阳基地也与多所高 校展开合作，个人也可以直接报名，目前特训营现已开至 22 期，学习完毕后可以 直接参加奇安信入职考试。绵阳基地成为奇安信重要的人才库，通过遍布全国的安 全运维驻场员工，公司用服务将客户绑定。

奇安信组建国内最大的安全服务团队。公司已经打造了一支覆盖全国的大规模的具 有实战能力的应急响应团队和安全服务团队，随着近年来网络攻防演练的常态化， 在政企客户需求出现时，公司能迅速满足和解决客户问题，因此也获得了客户的广 泛信任。强大的安全服务能力，极大地提升了公司的品牌价值和认同度，进而增加 了老客户的复购概率，形成了公司的竞争优势之一。庞大的安全服务团队团队成为 公司开展业务的基石，例如，公司专门成立冬奥网络安全运营中心，承诺超过 3000 人提供现场安全运维服务。2019 年公司安全服务业务营收达到 3.67 亿元，复合增 速高达 81%，市场份额为国内第一。

高举高打强化品牌战略

积极与各地方和行业开展战略合作，为业务开展打下坚实基础。除了通过大量的安 全服务人员在客户侧形成天然广告效应之外，公司也积极开展战略合作，19 年就 有 20 个以上的战略合作签署。在政务端，公司为业务开展打下基础；教育端，公 司为安全人才培训蓄力；企业端，公司积极开展技术合作。

对于标准化程度高的通用 IT 产品，品牌建设理应得到足够的重视。传统安全产 业以直销为主，行业并未在意品牌的建设。但是随着信息安全市场逐步扩大， 通过渠道来触达更广泛的商业市场成为行业新洼地，而品牌则是渠道建设的最 强助推器。对于通用 IT 产品，在广泛的中低端应用场景下同质化竞争较为严重， 因此品牌力将大幅助力客户侧的判断和选择。从信息安全行业来看，深信服曾 经请世界冠军谌龙、邹市明代言其云计算和信息安全业务，19 年也和公安部一 块全国做等保 2.0 的贯宣会活动；安恒信息也连续主办和承办“西湖论剑”网 络安全大会。双方在行业内外均形成了一定的品牌力。

奇安信赞助冬奥会，大力投入品牌建设。2018 年韩国平昌冬奥会遭到大规模网 络安全事件，奥会开幕式当天奥组委服务器遭遇黑客攻击，引发一片混乱。黑 客对于全球重大事件的攻击预谋已久，北京冬奥会也是首次设立网络安全赞助 商。奥运会对品牌的推广和宣传力度全球无出其右，奇安信以成为全球网络安全领导者为目标，再脱离 360 品牌后，通过赞助冬奥运，将迅速重建其标杆品 牌价值。公司客户以政企居多，“国家级”的品牌形象讲助力公司在政府端客户 的持续开拓；同时，“路人皆知”的品牌知名度，也将大幅减轻其渠道在商业市 场的销售难度。奇安信赞助冬奥会与深信服、安恒信息有异曲同工之妙；但奥 运会的力度显然更大。

激进战略收效明显，奇安信快速进入市场第一梯队

奇安信开启政企安全战略的 B 端升级。奇安信核心创始人齐向东，也是 360 核心 创始人之一。360 凭借免费策略迅速统治了国内杀毒软件市场，齐向东领导的奇安 信的发展历程也能看到 360 的影子。在坚定 B 端安全市场风口已来之后，奇安信 采取一系列较激进的方法，让公司保持远高于行业的增速成长，如上文分析的人海 战术、战略合作、建设品牌等。但追求高增速的同时，公司依然不遗余力投入技术 研发，甚至在较为前沿的零信任领域，重兵投入下已初步形成收入。市场和研发端 同步进取的战略，让公司前期忍受亏损，但也迅速赢的市场。

奇安信在云、网、端多项产品占据国内市场前二的位置。从当前企业 IT 资源划分， 公司均占住了核心产品的优势地位，云安全产品、网络端的防火墙、终端的安全软 件、安全服务均位于市场前列。公司已经成为国内综合能力最为全面的安全厂商之 一，且从收入体量来看，也进入第一梯队。

奇安信在政军客户中优势明显。公司产品已覆盖 90%以上的中央政府部门、中央 企业和大型银行。客户结构中政府、公检法司、军队军工近三年占比均在 50%以 上，与公司高举高打的市场战略相匹配。随着中国电子成为公司的第二大股东，国 家队的身份有望继续巩固公司在政企领域的优势。

新技术：零信任是当前最重要的安全方向

奇安信在前沿技术领域大力投入，零信任概念被带到大众视野。零信任技术顺应了 当前网络边界逐步模糊的趋势，有望对传统网络安全产品产生较大的变革，比如取 代 VPN 产品等。国内包括奇安信、山石网科等多家技术创新型厂商已经形成一定 产品和收入。零信任是安全行业重要发展方向之一，成为兵家必争之地。

零信任成为网络安全的新基石

云和移动互联网的兴起，传统边界防御逐渐瓦解。传统企业 IT 架构中，企业把自 己的 IT 资源部署在本地，再围绕数据中心的边界部署防御设备来进行保护。因为 传统的安全哲学以边界隔离为核心理念，通过防火墙、IPS 等设备，广铸“围墙” 保护内网，默认内部是安全可信任的。但是随着云应用的兴起，原企业“围墙内” 的部分应用被搬到云上；同时，随着移动办公的普及，原在企业内部办公的员工也 逐步走到“围墙外”。边界安全被打破后，黑客可以通过多种手段渗透到企业内部 的设备。因此通过在边界“筑墙”的方式，已经越来越无力，“无边界”时代迫切 需要新的保护方法。

零信任革新边界安全理念，已从概念走向落地。零信任概念最早由 Forrester 分析 师在 2010 年提出，其核心思想就是：默认情况下不应该信任网络内部和外部的任 何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。目前对于零信任 模型的探索，主要在软件定义边界（SDP）和微隔离等方向上。以 SDP 为例，其 为各种 IT 资源搭建了一个虚拟边界，利用基于身份的访问控制技术，让每个应用 的访问都进行身份验证和最细粒度的授权，而未授权的部分则犹如隐形。零信任的 模型取消了传统边界概念，当前已经初步得以应用。

零信任技术架构趋于成熟。零信任的关键能力主要有 4 点：以身份为基石、业务安 全访问、持续信任评估、动态访问控制。这些关键能力映射到一组相互交互的核心 组件中，包括可信代理（确保业务安全访问的第一道口，动态访问控制能力的策略 执行点）；动态访问控制引擎（与可信代理联动，对访问请求认证和授权，是策略 判定点）；信任评估引擎（与动态访问控制引擎联动，为信任等级提供判定依据）； 身份安全基础设施（支撑身份和权限管理）。在场景上，零信任也可以支持业务访 问、数据交换、服务网格等多种场景。全球范围来看，零信任架构已经逐步走向应 用，如 Google 针对内部应用安全访问实施的 BeyondCorp 架构，可以实现员工随 时随地访问公司应用具备同样的体验，且不再需要 VPN。

零信任成为安全领域确定方向，企业将逐步采用零信任架构。根据 Cybersecurity Insiders 和 Zscaler 发布的《2019 零信任安全市场普及行业报告》，对于当前最大 的应用程序安全挑战，62%的受访者表示是确保对分布在数据中心和云环境中的私 有应用程序的访问安全。具体来看，主要有身份和访问管理、数据丢失预防 DLP、 BYOD/移动安全、保护在公共云上运行的私有应用程序的访问。这些均是零信任重 点解决的问题。报告也说明，目前 78%的 IT 安全团队希望在未来实现零信任网络 访问，其中 15%的企业已经实施了零信任。同时，在接下来的 12 个月内， 59% 的 IT 安全团队计划采用零信任网络访问（ZTNA）服务。零信任已经是 RSA 连续 多年关键词，全球范围内落地在加快。

零信任将逐步取代 VPN 市场。传统模型下，边界外的员工通过 VPN 访问企业内 网，且一旦进入，则默认该访问者是被广泛信任的，但真实情况未必如此。零信任 网络（ZTNA）可以实现 VPN 相同的功能，且零信任以纯软件形式部署，用户体 验、安全性、可见性、控制力均优于 VPN。Gartner 预测，到 2022 年，面向生态 系统合作伙伴开放的 80%的新数字业务应用程序将通过 ZTNA 进行访问。到 2023 年，60%的企业将淘汰大部分远程访问虚拟专用网络(VPN)，转而使用 ZTNA。当 前零信任的主要应用场景是取代 VPN，但其理念将逐步成为企业 IT 服务的基本元 素，未来应用空间十分广泛。

零信任成为信息安全发展必争之地，奇安信已率先取得突破

零信任技术的发展被全球高度重视。早在 2007 年，美国军方已经对一个叫 BlackCore 的项目研究多年，而软件定义边界 SDP 正是其产物之一。根据美国国 防创新委员会于 2019 年 10 月 24 日发布报告《 零信任架构（ZTA）建议》，明确 表示，国防部应将零信任实施列为最高优先事项，并迅速采取行动，零信任架构是 美国国防部网络安全架构的必然演进方向。

全球安全巨头重点布局，新兴创业者也不断进入。根据 Forrester Wave 的评估， 当前零信任主要领导者有思科、Palo Alto Networks、Akamai、Okta。思科和 Palo Alto 是传统边界网络安全巨头，通过收购的方式布局零信任。Akamai 和 Google一样，也是内部践行零信任的忠实信徒。Okta 是身份识别的明星，对零信任的布 局也通过了收购，并和自身能力整合，是以用户为中心的解决方案。除了巨头之外， 零信任领域创业者不断，如 2013 年成立的 Illumio，估值已超 10 亿美金；2012 年 成立的 Netskope，估值也在 10 亿美金之上。

国内零信任热潮渐起，奇安信发力最猛。目前零信任技术也引起了国内的高度政府 重视：工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》 的意见，零信任安全首次被列入网络安全需要突破的关键技术；中国信息通信研究 院发布《中国网络安全产业白皮书(2019 年)》，也首次将零信任安全技术和 5G、 云安全等并列列为我国网络安全重点细分领域技术。零信任的前景毋庸置疑，国内 安全厂商也已经有所实践。腾讯正式发布自研零信任安全管理系统 iOA5.0 版本， 同时联合零信任领域共 16 家机构企业，共同成立国内首个“零信任产业标准工作 组”。山石网科的云·格产品以微隔离方式实现对工作流级别的细粒度隔离和可视 化管理。奇安信拥有完整的零信任身份安全解决方案，并联合 Gartner 发布了《零 信任架构及解决方案》白皮书，目前募资 3.14 亿元投入零信任领域。

奇安信率先掘金零信任。奇安信研发投入极高，在新兴安全技术领域也不遗余力， 为其未来赛道打下基础。公司在 2019 年正式发布了“零信任安全参考架构 V1.0”和“零信任安全访问平台解决方案”，案覆盖了政企行业用户的典型应用场景。产 品在 2019 年实现销售收入 1253.55 万元，销售数量为 42 套，平均单价为 29.85 万元/套，已率先取得突破，预计将保持较高的增速。在零信任领域，奇安信集团 的张泽洲荣获国内首位 Forrester 零信任战略专家认证。公司已经成为国内零信任 技术的领导者之一。

新市场：被忽视的终端和朝阳的态势感知

奇安信与其他厂商区别较为显著的业务是终端安全和态势感知。终端安全以最传统 的杀毒为代表，但是以 EDR 为代表的下一代终端安全为市场带来新的机会，当前 海量的物联网终端将奠定庞大的市场基数。传统安全厂商更关注网络边界，但近两 年也迅速推出自身的终端安全产品，如深信服和安恒信息。态势感知是发展最旺盛 的新兴赛道，实现了安全建设从点（单产品的修修补补），到面（业务的解决方案）， 最终到立体（主动防御的安全体系）的跨越，是更高维度的安全理念。态势感知如 同基于广泛摄像头建设监控室，网络世界的“雪亮工程”仍在快速发展期。奇安信 与安恒信息均保持着极高的市场增速。

被忽视的终端安全，优质赛道有望诞生巨头

安全的本质是攻防的较量。网络攻击有造成网络端崩溃的（如 DDoS 攻击），也有 窃取机密数据或勒索的（如 WannaCry 病毒）。当边界防御被攻击突破后，终端自 身的防御系统则成为关键，需要及时排查恶意软件。另一方面，内网本身存在攻击 风险，如企业 PC 上插一个 U 盘，直接就从内部开始感染。因此终端自身需要具备 防御能力。

终端安全是三大核心能力之一。根据 IT 资源安全建设来划分，可以分为网络安全、 终端安全、云安全。传统安全的做法以“老三件”为主：防火墙和 IPS（网络安全 代表），以及杀毒软件（终端安全代表）。云端有自身的安全需求，同时也成为安全 行业的新武器，无论边界还是终端安全都在融合云的能力。全球市场来看，老一代 杀软厂商面临升级；边界安全巨头通过并购开始进入终端安全市场。

终端和身份是当前安全的建设重点。与零信任技术的发展背景类似，边界被打破后， 组织的分散化推动了终端安全和身份管理的建设需求。根据国外 CIO 调查数据， 端点，身份管理和网络安全三类支出总计仅占安全软件支出（不包括服务）的 55％ 以上，Identity 和 Endpoint 持续被列为投资的重中之重，尤其在当前全球疫情的推 动下，这两个领域有望迎来加速投资。当前身份管理的技术以零信任为代表，而终 端安全正经历新一代升级。

终端安全正处于变革期，下一代杀毒和终端安全响应成为新方向。以国外 McAfee、 国内 360 为代表的传统杀毒软件，主要通过升级静态病毒库来与恶意软件进行匹 配。该方法在面对如“无文件攻击”时会失效。而以 APT 为代表的高级持续性攻 击，隐秘性极强，迫使传统终端安全引入新的技术，如人工智能、大数据、行为分 析等技术，产品形态有终端检测响应 EDR、威胁情报、沙箱技术等。

下一代杀毒 NGAV：。基于签名的防病毒产品，依然是当前的主流，但是攻击的复 杂性提升，导致传统杀毒软件越来越力不从心。2019 年 Ponemon Institute 的一项 调查发现，防病毒产品平均错过了 60％的攻击。因此也诞生出下一代杀毒软件 NGAV，利用人工智能来识别和防止恶意行为。

终端安全响应 EDR：。EDR 核心为记录，收集和存储来自端点设备活动的大量数 据，从而使安全专业人员可以识别潜在威胁，调查和补救任何潜在攻击。重要的是， EDR 为安全团队提供了可视性，其中包含大量数据，可以对其进行分析以磨练恶 意或异常行为，并检测端点保护技术遗漏的攻击。EDR 在 2016～2019 年连续进 入 Gartner 的 10 大技术之列，成为当前终端领域最热门产品。

终端安全厂商众多，竞争较为激烈。传统终端安全领域巨头均以杀毒软件为代表， 如耳熟能详的微软、赛门铁克、趋势科技、McAfee、ESET（诺顿）、卡巴斯基等。 传统厂商具备较深的客户积累，主要将原产品向新方向升级为主。在意识到终端是 云网端一体化安全的重要一环之后，边界安全龙头 Palo Alto 和 Fortinet 等，也通 过收购进入终端安全领域，并将终端产品与防火墙进行联动。但是边界安全厂商以防火墙为重心，终端思路与传统终端厂商有所不同。

技术更替诞生新巨头。终端安全新贵当属 Crowdstrike，凭借其轻量级代理和云端 动态威胁数据库，以威胁情报起家，再切入终端安全领域，以云的方式提供多种安 全服务。目前 Crowdstrike 营收才 4.8 亿美元，但市值已经达到 230 亿美金，超过 了 Palo Alto 和 Fortinet，成为安全产业最耀眼明星之一。Crowdstrike 由 McAfee 两位高管于 2011 年创立，在索尼影业被黑客入侵、“特朗普通俄门”事件中名声 大噪，证明了自身卓越的攻防技术能力。凭借公司掌握的众多企业级终端，除了终 端安全和威胁情报之外，公司也进一步深入非安全业务，如 IT 运营等，且均是通 过订阅来交付。Crowdstrike 为终端安全的发展提供了极好的发展参考模型。

国内终端安全市场期待崛起。虽然国内消费级终端安全市场被 360 的免费杀毒战 略打的几乎归零，但是企业级终端安全依然是一片蓝海。根据 IDC 数据，当前我 国终端安全市场仅为 20 亿人民币左右，规模仍非常小。预计到达 2022 年国内终 端安全市场将达到 4.09 亿美元，复合增速为 13.8%。目前国内终端安全市场主要 聚焦在政府国企等合规性要求较高的场景，广泛的企业级市场仍待挖掘。国内终多 安全厂商近年来纷纷布局终端安全，也是嗅到了市场机遇。

奇安信是终端安全领域龙头。奇安信与 360 合作时期，终端安全产品曾连续三年 入围 Gartner《终端防护平台(EPP)魔力象限》。目前奇安信在国内终端安全市场占 有率第一，产品也已经完全取代了 360 的技术。公司终端安全管理系统是集防病 毒、终端安全管控、终端准入、终端审计等功能于一体的平台化管理系统，包括 Windows XP 系统和 Windows 7 系统专用防护、EDR、终端准入等多个功能模 块，可以在各种操作系统中运行。

国内传统安全厂商纷纷布局终端安全。终端安全的能力，正成为完整防御体系的必 备一环，各家以网络边界为主阵地的安全厂商也开始加码终端。深信服于 2018 年 9 月推出下一代终端安全产品 EDR，方案由轻量级的端点安全软件和管理平台软 件共同组成，采用独创的 SAVE 安全智能检测引擎。深信服 EDR 并迅速迭代至 3.0，获得了赛可达实验室的认证，2019 年也进入了市场前列。除此之外，安恒和 天融信也推出了自己的 EDR 产品。资本合作方面，天融信在 2017 年还完成了对 终端安全厂商火绒的 1500 万元人民币的 Pre-A 轮投资，火绒以反病毒引擎著称， 已经与业内奇安信、联想、深信服、迪普等多家厂商展开合作。绿盟科技于 2018 年完成了对国内领先的 EDR 厂商杰思安全的战略投资。

态势感知是安全高纬度升级，蓝海市场发展迅猛

态势感知是一种高纬度的安全理念。早在 20 世纪 80 年代，美国空军就提出了态 势感知的概念，覆盖感知、理解和预测三个层次。90 年代随着网络的兴起，该概 念升级为“网络态势感知（Cyberspace Situation Awareness，CSA）”，指在大规 模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及 最近发展趋势的顺延性预测，而最终的目的是要进行决策与行动。近年来，我国对 信息安全重视程度与日俱增，习近平总书记在 2016 年提出“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势， 增强网络安全防御能力和威慑能力”，为我国态势感知的建设拉开序幕。

传统安全做法均是单点解决问题，态势感知形成主动安全体系。传统的安全主要是 通过产品去解决已发生的问题，是单兵作战的模式。态势感知则是以数据驱动，在 企业 IT 系统中布置探针设备，汇聚已有的和新增的各种安全设备的日志信息、攻 击信息等，通过大数据和 AI 分析，对当前网络安全态势进行分析和判断，并通过 可视化的方式进行展示。态势感知将多种设备联动起来，形成一个集检测、预警、 响应、处置的大数据安全分析平台。核心技术除了 AI 和大数据之外，还包括全流 量分析、威胁情报、行为分析建模、图关联分析、可视化等。态势感知是一套系统 的解决方案，具备多个功能模块，态势感知模块包括图形化感知，威胁情报，周报 日报等；分析模块包括日志归并，关联分析，图像刻画，攻击链分析，情报关联， 预警等；传感模块包括探针，与其他安全产品的接口等。态势感知将原来被动的、 黑匣子的安全，变革为主动的、可视化的安全，收到了市场的广泛认可。

态势感知市场迅速增长，2020 年有望达到 50 亿。近年来，政府部门监管侧态势 感知平台发展迅速，《“十三五”国家信息化规划》明确将“全天候全方位感知网络 安全态势”列为健全网络安全保障体系要求。态势感知整体技术架构主要涉及大数 据、云计算等，目前大数据安全将保持 30%以上的增速；云安全预计持续保持 40% 以上的增速。2017 年国内态势感知市场规模约计 20 亿，占整个安全市场的 5% 左右，预计 2020 年态势感知整体市场规模将超过 50 亿。

奇安信在云安全市场也处于领先。云安全资源池是将厂商原有的安全产品和能力虚 拟化，并搬迁到云端，能够实现弹性扩展、灵活部署、智能编排等功能。云安全是前沿安全技术的集中地，也是态势感知必不可少的能力。根据 IDC 于 2020 年 7 月 发布的《中国安全资源池市场份额》，2019 年中国安全资源池市场的规模达到了 7960 万美元，同比增长 78.3%，前五大厂商均保持 40%以上的增速。态势感知是 云、网、端一体的综合解决方案，奇安信证明自身在三项能力中均占据市场前列的 位置（云和端均是第一），成为态势感知的领导者是理所当然。

奇安信建立多层次态势感知系统。公司是最早推动态势感知发展的厂商之一，2014 年就提出了“数据驱动安全”的技术理念，着手采用大数据技术针对攻击行为进行 检测和响应。公司态势感知平台是是集感知、管理、预防、控制、打击、反制能力 为一体的大数据体系，功能架构完整，拥有云地结合的安全大数据能力，数据量业 界第一。奇安信进一步细化三类态势感知系统：第一、网络空间安全态势感知与通 报处置平台（主要场景为公安、网信、工信等网络安全监管机构）；第二、政企态 势感知与安全运营管理平台 NGSOC（主要场景为大型企事业单位的总部）；第三、 新一代威胁态势感知与响应系统（主要场景为大型企事业单位）。除此之外，公司 还具备威胁情报平台、大数据情报分析系统等。

抓住蓝海赛道，奇安信态势感知发展迅猛。态势感知是近年来安全产业需求旺盛的 新兴领域，公司营收也呈现快速增长。第一和第二类态势感知，公司 2019 年合计 收入为 2.90 亿元，17-19 年复合增速为 104%；第三类态势感知，公司 2019 年营 收为 5.72 亿元，17-19 年复合增速为 110%。同样以态势感知为代表的安恒信息， 其平台类业务近年来也保持高速增长，复合增速也超过 100%。除此之外，多家厂 商也推出了态势感知类产品和方案。

奇安信和安恒信息成为态势感知代表厂商。根据 IDC 对 2019 年国内态势感知厂商 的评估，奇安信和安恒信息是主要领导者，启明星辰、绿盟科技、深信服等上市公 司也位居前列。奇安信已经为监管部门建立了近百套真正大数据体系的态势感知平 台，监管了上万家单位的关键信息基础设施。目前国内 85%以上的千万级态势感 知项目均由奇安信建设和运营，在真正以网络空间安全治理为定位的大型解决方案 类态势感知市场中，占有率遥遥领先。

新格局：网康、网神和 360 为班底，奇安信云网端多 项产品占据位居前列

奇安信的迅速发展，让市场担忧行业壁垒低，还会有新玩家冲击格局，但实际 上新格局也是老玩家。奇安信虽然成立较晚，但是其通过收购网康、网神，也 迅速打造了企业级安全产品阵容，同时 360 在终端安全领域也有所助力。再凭 借奇安信大力的市场和研发投入，多项产品传承并发扬了原来的优势，均取得了市场前列的成绩。另一方面，奇安信的发展也证明了 B 端安全市场需要底蕴， 行业壁垒并不低，从零开始发展到数十亿的规模并没有市场误解的这么快。在 主流的安全产品中，主要厂商依然占据着稳定的份额。

传统安全领域并非新玩家不断，网神和网康也是老牌厂商

无需担心持续的新进入者，传统安全格局已趋于稳定。在一定规模的信息安全 厂商中，奇安信是成立最晚的、发展速度最快的公司。市场疑惑传统网络安全 行业门槛较低，持续涌入新的高成长玩家。但实际上，奇安信并不是从 0 开始 新玩家，公司收购和参股了较多的信息安全厂商，其中收购的网康和网神均是 发展多年的老牌厂商，其优势产品和市场地位也由奇安信一并继承。因此，传 统安全市场整体的竞争格局依然保持稳定。

网康科技 2016 年被奇安信收购，主打上网行为管理产品。网康成立于 2004 年， 是国内上网行为管理理念的缔造者，自 2005 年推出上网行为管理产品（ICG） 以来，陆续推出下一代防火墙、智能流控等产品，成为一家综合网络应用管理 和安全厂商。经过 10 多年发展，公司已经超过千人的规模，客户数量超过 20000 家。奇安信于 2016 年底，以 1.05 亿美金将网康收购。

网康营收下滑导致商誉减值。网康被收购后，奇安信将其定位为上网行为管理 等产品品类的研发和销售主体。但由于该品类较为单一，市场开拓不理想，未 达到预期目标；2017-2018 年网康营收显著下降，且持续亏损。2019 年奇安信 对网康的产品和市场规划进行了调整，营收也恢复至 1.59 亿元，同比增长 81%； 净利润转正为 1537 万。网康在收购时形成了约 6.74 亿的商誉，17 和 18 年业 绩下滑导致共计商誉减值 2.23 亿元，19 年业绩恢复不再减值。

网康上网行为管理市场保持第二。网康上网行为管理是中国第一款专业的硬件上网 行为管理产品，因此该产品一直是公司的名片。随后也发展了下一代防火墙、VPN等一系列产品，业务发展趋势和深信服相似。在上网行为管理产品也一度有“北网 康、南信服”的局面，但目前份额上已与深信服产生较大差距。随着奇安信对网康 的定位变化，与网神存在一定重叠的其他产品线可能进行了相应的调整，因此网康 目前主打上网行为管理。

网神于 2014 年被奇安信收购，是一家综合型网络安全厂商。网神成立于 2006 年， 初创时主要人员来自联想亚信，与启明星辰收购的联想网御有较深的渊源。网神以 防火墙\VPN 类产品见长，现在已经覆盖边界安全、安全检测、安全隔离、主机安 全及安全管理 5 大领域，17 大类产品。网神除了产品体系较全外，也具备军工资 质和保密资质，因此客户在政府机构，国企央企较多。奇安信 2014 年以 8 亿元将 网神收购，迅速扩大了自身的体量，也取得了众多关键行业资质。

网神是奇安信的核心支柱，快速成长利润已经转正。网神产品覆盖最为广泛，近三 年营收增速极快，2019 年达到 28.21 亿元，同比增长 114%，占奇安信全部营收 的 89%；利润在 19 年也实现扭亏为盈，达到 0.34 亿元。网神是奇安信最重要的 组成部分，其总资产为 30.17 亿，占奇安信 42.17%。奇安信将网神定位为主要网 络安全产品的研发和销售主体，为了实现快速占领市场的战略，公司加大了产品、 人力、市场、销售的投入力度，收入规模快速增长的同时，17-18 年也形成了一定 亏损。虽然奇安信对网神的收购形成了 5.98 亿商誉，但公司的快速成长并没有引 发商誉减值。

网神主要产品常年保持市场领先地位。网神在被并购之前，防火墙、安全管理平台、 安全服务也是位居市场前三，因此在传统网络安全产品上，奇安信继承和巩固了原 来的优势。根据 IDC 统计的 2019 年市场份额，奇安信 UTM 防火墙排名第三（赛 迪的统计排名第二），防火墙占整体安全行业市场在 30%以上，是最大的细分市场。 根据赛迪的统计，奇安信安全管理平台 SoC 和启明星辰并列市场份额第一。赛迪 认为，随着智慧城市的快速建设，安全管理平台的建设需求旺盛，预计 21 年达到 40 亿元的市场规模，近三年复合增速近 30%。另一方面，奇安信安全服务市场份 额为 6%，也是排名第一。

网康和网神是与深信服、安恒信息、山石网科同时代成立的安全厂商，集中在 2001 到 2007 年，到目前也是有十多年的行业经验。从奇安信的根源来看，其依然保持 和加强了原来网康和网神的产品优势。因此，传统网络安全市场依然需要较长的技 术和产品积累，短期从 0 开始打造出一家数十亿规模的安全公司并不现实。当前的 网络安全竞争格局，虽然有奇安信市场排名的持续提升，但主流玩家依然在核心阵 营内，并没有因为奇安信的加入而恶化，主流厂商格局相对稳定。

奇安信终端安全完成自我进化，360 已重新进入政企安全

360 曾助力奇安信打造终端安全“天擎”。奇安信对三六零集团技术的使用主要集 中于面向政企客户与面向个人用户端技术有一定重合度的终端安全领域，具体就是 终端管理天擎产品。终端安全是奇安信区别与其他信息安全厂商的重要产品，也是 奇安信真正做到“云网端”安全一体化的关键一环。“天擎”是一整套面向终端安 全的产品集合和方案，主要有防病毒、终端安全管控、终端准入、终端审计、外设 管控、EDR 等功能，相比传统杀毒软件具备更丰富的一体化终端管控能力。

奇安信终端安全快速成长，占据市场第一。终端安全的核心能力主要是病毒查杀和 防护，杀毒引擎、云端平台、特征库是关键。而 360 在这一方面积累多年，技术 优势明显。天擎也借助了 360 的 AVE、QVM 引擎来进行病毒扫描，使用了 360 的功能驱动和云端支持平台；但是终端安全响应（EDR）、数据防泄漏（DLP）等 产品，自始至终都是奇安信自主的技术。因此，在双方的共同努力下，天擎在企业 级终端安全市场迅速发展，2019 年收入达到 4.22 亿元，同比增长 122%，占奇安 信营收比为 13%；市场份额进一步扩大，达到 23%。目前奇安信天擎已广泛部署 于国内超 5 万家政企客户，管理和保护着超 4000 万台终端的安全。在政企客户的 市场覆盖率超过 90%，受到市场广泛的认可。

脱离 360 后，奇安信终端安全能力依然保持一流水平。在奇安信和 360《终止协 议》之后，奇安信于 2019 年 7 月推出了自主研发的终端安全产品，对曾经 360 的 技术进行了替换：如自主研发了“基于权限的行为管理引擎-天狗”；自主研发 QOWL、 QDE 杀毒引擎；自主研发功能驱动；自主研发的云端支持平台。奇安信预计在 2020 年第四季度停止批量销售存量的老版一体化终端管理（天擎）产品，逐步替换成新 版的奇安信产品。

公司也积极对新产品进行验证，奇安信“新版天擎”在 2020 年 4 月首次参加国际 杀毒软件评测机构 Virus Bulletin 最新的 VB100 测评，以零误报、100%多样化样 本检出率通过 VB100 测试，标志着奇安信正式加入全球顶级反病毒厂商俱乐部。 同时，奇安信“天擎 EDR”也于 2020 年通过赛可达实验室威胁检测能力测试，成 为国内唯一通过该项测评的 EDR 产品。这款新版天擎，就搭载了奇安信自研的 QOWL 反病毒引擎，证明公司依然保持着一流的终端安全能力。因此即使失去 360的品牌号召力，奇安信依然有望持续保持终端安全的龙头地位。

360 与奇安信分割后，也大举进入政企安全市场。2015 年 5 月，360 企业安全集 团成立，全面布局政企安全业务，当时主要以奇安信为主体去参与市场。2018 年 5 月，360 发布 360 企业安全大脑。2019 年 9 月，360 与奇安信分割后，也将政 企安全升级至 3.0 时代，以“共建、赋能、投资、培训”的全新战略，着力构建大 安全生态。360 安全大脑利用数以亿计的智能终端，采集数据和信息；然后以安全 大数据分析为基础，形成威胁情报、知识库、安全专家等关键能力；最终实现感知、 学习、推理、预测、决策共五项核心功能。凭借 360 安全大脑，以及海量的威胁 情报和安全数据，360 希望成为安全行业技术和数据的赋能者，带动国内网络安全 行业共同成长。

360 攻防技术国际一流，是安全市场不容忽视的角色。传统 360 以互联网安全为 主，PC 安全产品的市场渗透率为 97.84%，平均月活跃用户数保持在 5 亿以上， 安全市场持续排名第一。360 在终端安全领域积累依然深厚，360 积累了海量的攻 击行为数据，收集了约 280 亿全量样本库，具备业内领先的威胁情报、攻击样本 知识库，在与黑客攻防方面积累了深厚的技术能力，拥有 20 多项国际领先技术。 在最近一次 2019 年 The Pwnie Awards 大奖榜单中，360 公司荣膺中国首个该奖 项，打破连续 12 无国人获奖记录；其中 360 两个安全团队包揽前两名，共有 10 人荣耀登榜，其中 7 人皆在榜单前 50。在政企安全领域，360 已经布局了多条产 品线，涉及终端安全、移动安全、云安全、工业互联网安全、靶场平台、安全运营 及服务等多项产品。

360 在政企安全发力迅速。软硬件网络安全设备依然是当前最基本和传统的市场， 360 失去奇安信后，发展重心将以为政企建立攻防平台为主。同时，360 也积极投 资布局，参股新兴下一代防火墙厂商山石网科，收购大数据安全厂商瀚思科技。凭 借 360 的技术优势和品牌积累，以 360 企业安全的形象，公司动作不断，如与公 安部第三研究所签署战略合作协议，成为奔驰全球首个科技合作伙伴等。在政务市 场，360 持续中标大单，其中重庆 360 网络安全协同创新产业基地已于 2019 年 11 月正式启用。360 在政企安全市场 2019 年营收 4.73 亿，同比增长 75%，成为市 场的又一重要力量。

充分发挥攻防技术优势，360 与传统的安全运营中心是差异化竞争。近年来城市安 全运营中心建设火热，该领域由传统网络安全厂商主导，更多的是帮当地政企客户 做安全运维和服务，角色类似于“保安”。360 的安全大脑更侧重为政企建立攻防 对抗平台，追踪黑客组织，角色类似与“警察”；同时，360 也积极培育安全人才。 但二者仍有一定的相似性，因此存在一定的竞争关系。

投资建议（详见报告原文）

信息安全产业当前受到高度重视，等保 2.0 的推出将带来至少三年的高景气周期。 疫情虽然对当前发展有所影响，但下半年才是行业真正的重点，且各厂商均未下调 全年业绩目标，对行业增速依然由信心。2020 年是等保 2.0 第一年，下半年各细 分政策逐步落地开始步入正轨。教育部科技司对教育 app 等保备案要求，7 月 1 日 起，将对未按时完成备案的教育 APP 提供者进行通报，并限时 1 个月整改。上海 市公安局浦东分局从 5 月底起至 10 月 31 日，开展浦东新区网络空间专项治理工 作；在全区组织网络资产排查；推进全区联网单位等保工作；落实各单位网络安全 主体责任。上海市通信管理局关于开展 2020 年电信和互联网行业网络安全检查工 作。细化政策逐步落地，将推动行业下半年大幅回暖。

安全公司密集资本化，也是当前信息安全产业最好的投资机会。从奇安信的野蛮成 长中，我们可以发现其先进市场打法（注重渠道、人海战术、高举高打、强化品牌）， 前瞻性技术投入（零信任等具备变革传统产品潜力的技术），新市场的开拓（终端 安全新一代升级，态势感知的蓝海市场），新格局的稳定（也是老格局的继承，主 流网安领域难再有新玩家）。