在即将过去的2019年,网络安全在中美贸易战的大背景下,格外引发关注。2019年,国家也出台了多项网络安全相关的条例、法律法规等,随着国家监管力度的持续加强和重点行业安全规范不断完善,企业也越来越认识到网络安全的重要性以及对企业业务、品牌和声誉的重大影响。
美亚柏科是一家厦门本土诞生的电子数据取证行业上市企业。2015年美亚柏科与前海梧桐并购基金共同出资设立了美亚梧桐产业并购基金,关注大数据、人工智能、网络安全领域,投资了大数据公司中科金审、恒扬数据、天舟科技,网络安全公司志翔科技等公司。在“科技和企业服务投资人投研社”第33期,美亚基金轮值董事杨天蔚分享了网络安全投资心得。
杨天蔚,香港公开大学MBA,曾在戴尔、三星等公司从事产品管理、市场管理工作,短暂创业后,加入了中科招商负责TMT相关领域的早期投资,现在为美亚基金的轮值董事。
从行业内涵来讲,网络安全行业分三类:一是公共安全、安防类,是面向社会活动的环境安全,比如雪亮工程、城市公共安全的平台建设;二是信息安全,是面向信息系统的安全保障;三是网络安全,是面向网络空间的网络安全。
从行业价值链分析,有顶层设计、垂直产业链和信息安全市场。现在网络空间安全行业本质上还是一个合规牵引、合规驱动的行业,所以有信通院、公安部一所三所、保密局的分保信工所等等一系列行业组织。由于网络安全行业的碎片化及各种技术应用场景的复杂性,缺乏统一的名词定义,所以网络安全的产品与服务的分类也有多个维度:比如根据保护对象可分为网络通信、终端设备、数据安全等;从需求领域的维度上又可划分为公共安全、办公安全、业务安全等;从IT技术框架的维度,则可分为基础建设、金融安全、移动安全。另外,一旦某个细分领域的市场规模足够大,会自成一个品类,如防火墙、漏洞扫描、态势感知等。
从国内网络安全行业的商业模式来讲,无非是三类:
一, 集成型。这类毛利率较低,交付周期长,应收账款周转慢。上游是网络安全的产品厂商,供应成熟的网络安全产品,集成服务商以“整体解决方案+服务”的形式交付,一般是直销为主。
二, 产品型。这类毛利率较高,交付周期短,应收账款周期也短。上游是硬件供应商、供应硬件平台,也可能有软件供应商、供应基础软件及模块,下游主要是代理商或客户,销售模式是直销和渠道相混合。
三, 综合型。这类毛利率居中,企业规模较大,产品线长。一般这类企业会有完善的网络,有一定的品牌影响力。在供给端还会以OEM的形式扩充产品线,加强细分市场的覆盖。销售模式是直销和渠道相混合。
集成型或产品型,是大部分网络安全公司的起点,但这二者都面临无法做大的问题。主要受制于市场规模是否刚需,也受制于技术通用性,所以当达到一定体量后都会转型为综合型,提供产品+服务,也就是说综合型企业是集成型和产品型企业的发展方向。当然有人会说,产品型公司也不错,因为交付周期短、毛利率高,但产品型公司大部分的产品都会比较单一,这就受制于细分市场的规模有多大,细分需求增速是否持续,比如态势感知。
从国内网络安全的产业链结构来看,信息安全产业链主要包括信息安全产品或服务的供货商,以及信息安全的系统集成商。产品提供商又可分为硬件和软件产品以及服务提供商,一方面直接将产品和服务通过直销或分销的形式给到最终客户,另一方面也将产品销售给信息安全的系统集成商。
上图可以非常清楚的看到毛利率和成本结构是强相关的。在钛资本“科技和企业服务投资人投研社”第32期上,投资人分享了“未来占领AI的制高点还是靠硬件”的观点,对于劳动及技术双密集型的网络安全行业来说,也许更需要AI软件加上硬件,并通过升级成为综合型的业务形态做大规模,提升整体利润。
衡量网络安全厂商的成长性的核心维度,按顺序来讲,应该是市场规模上升速度加上政策落地、技术成熟、人才供给。比如,大数据基础建设的业务,从井喷到现在的线性发展就是可以参照这个顺序的。
网络安全行业的一些最新动态值得关注:
第一,网络攻击加剧网络安全形势的恶化,这已经变成了一个常态;
第二,国家对基础建设保护的重视日益提升,从基于国家安全战略的网络立法体系就可以看到了,网络安全的立法体系是日趋完善的,包括之前的《网络安全法》、等保2.0标准的推出。等保2.0所带动的安全需求是扩大到全社会的,所以合规要求是有一定驱动力的,把市场又往上提升了一大截;
第三,红蓝对抗促进从合规到效果并重的转变,这已经日益变成了一种明确的发展趋势。特别是像美亚百科的实控公司国科资本这类的央企,都会被选做攻击的对象,采用背靠背的形式做相关攻击,每个月排名,如果安全等级、防护手段或防护水平排在末班车,那么信息中心的负责人和主任都需要“挨板子”。安全,逐渐从原来的合规需求变成了基础需求。
技术热点有这么几个:
一,频繁的数据泄露事件让数据安全的问题备受关注,这是一个非常常规化的问题。随着大数据技术基础建设到了一定的程度,人工智能的通用化也到了一定程度,数据库安全、数据防泄露方向、数据加密方向、数据合规与治理方向等都是目前的热点;
二,从攻击视角出发的威胁管理框架是显著提升防御有效性的手段,以前传统安全的产品多是防御,不会自己攻击自己,所以从攻击视角出发的产品有大的发展空间;
三,大、物、移、云带来终端安全技术的复兴一直是热点,这个市场一直都在,技术也一直在提升;
四,技术驱动安全运营升级并有望孕育新型商业模式,这是目前所看到的一个网络空间安全行业新增长点,从原来的安全管理到安全运营,这不仅是技术的升级也是理念的升级。就是说从原来的辅助介入到业务运营,保证业务运营的顺利和准确进行,非常重要;
五,工控的厂商这几年过得都不好,感觉工控市场已经成为红海;
六,云安全进入了应用阶段,但安全厂商参与感较弱,云安全大多由云厂商自己做,比如阿里云、华为云等等,但这块也是非常强的刚需性市场。
国内的网络安全市场到底有多大?根据信通院给出来市场规模的预测,2018年是393.25亿,2019年预测是464.51亿,2020年是555.65亿,2021年是668亿。
上图是用目前A股市场上14家信息安全企业的总营收形成的饼图。
另一组数据,发达国家在网络安全市场上IT的总投入是12%、中国仅是2%,如果按照Gartner的推断,2018年全球IT支出是3.7万亿美元,中国大概是2.6万亿人民币。按2%来讲,在2018年中国网络安全市场的规模就应该是520亿。
再举个例子,在2013年时,国家发改委核准的13个现代煤化工示范项目总投资3000亿,同时要求部署过程控制系统信息安全的整套解决方案。这么一个解决方案在2015年贡献的产值是多少呢?很难记录。主要原因,一个是难以剥离的大项目合同,比如信息化工程、大型系统集成项目、大型工控系统集成项目,另一个是难以统计到位的公司结构,比如软件信息化公司及云计算公司的安全部门是非独立核算的,或者科研院所以及军工研究机构所承接的信息安全项目,所以有一部分的网络安全收入就没有统计进来。所以,网络空间安全的市场规模应该会更大一些。
从主要竞争格局上来看,无非是分为三类型:一,上市企业、大型头部企业,像启明星辰、深信服、奇安信、天融信、绿盟等,均为综合型的网络安全厂商,头部企业之间的竞争会更加激烈,竞争将会从业务和资本两个维度展开,未来三到五年将会出现一到三家具备一定领先优势的龙头企业;二,年收入过亿、中等规模企业,由于科创板快速落地开板,未来两三年中等规模以上的网络安全公司会进入上市潮,包括科创板、创业板的改革,比如安博通、安核信息。上市之后由于资本加持,这些企业会进入一个高速发展期,同时也会向头部企业发起冲击。在这个过程中,少数企业是有希望成为大型头部企业的,其他企业就会进入较为平稳的成熟期。有个大胆预测,在未来一些估值在50亿左右的小市值公司,也有可能成为大型头部企业的并购对象;三,小规模初创企业,业务比较单一,由于市场过于细分,导致单一细分领域天花板较低,但是行业竞争壁垒较高,所以是一个非常不错的被并购标的。当然也有些独立发展少数优秀的团队,是可以突围变成一个中等规模市场玩家。比如在这种类型初创规模企业里,大部分以产品型为主,另外一部分就是以集成型为主,大概六四开。
对网络安全行业竞争格局的关键影响因素有以下几点:第一,时间窗口,科创板、创业板的引领,包括目前大数据、信息化成熟度的井喷,所留给创业者的时间窗口是不多的,也就是未来三到五年;第二,大型互联网公司竞合关系,就是一系列大型互联网公司都有些不错的信息安全部门,原来都是非独立核算的,当网络空间安全市场大到一定程度时,一定是会独立出来,类似平安科技,慢慢就变成一种竞争和合作的关系了;第三,产业链结构和价值分配机制体系的变化,就是从原来的产品型变成综合型;第四,国有资本,因为网络安全行业是依托数据,并且是一个非常核心的行业,类似于美亚柏科,从取证设备制造商到供核心应用的服务商,再到大数据基础建设商,这个发展路线就是顺应趋势而产生的,而国投的参与也给美亚柏科的快速成长提供了更雄厚的基础。我本人长期很看好这类发展逻辑和趋势。所以大部分综合型的网络安全公司,都还是需要国有资本的介入,国有资本也希望参与到这类型企业的发展中来,这是一个非常好的助推力;第五,行业内的并购重组。
上图收集了14家网络安全样本企业的信息,2018年总营收是231.24亿,同比增长20%。2018年净利润合计为28.41亿,同比增长29%。总体净利润率13.42%,同比上升了1.2%。但平均营收增长率17.6%,相比上一年下降了11.73%,增速放缓。营销费用平均值是25%,研发费用占比20.89%。所以,这个行业还是研发和销售双轮驱动的。
网络安全行业的上市公司和市场主要指数的估值水平对比来看,网络安全行业估值水平是明显高于创业板指数,也高于沪深300指数,可见资本市场对于网络安全概念的青睐,资本也更愿意给予网络安全公司较高的溢价,比如安博通现在PE有150以上。当前网络安全公司的估值总体是处于历史的中位水平。另外,还可以看到网络安全公司估值的中枢波动与行业主要指数几乎同步,说明网络安全公司市值与资本市场热度关系紧密。
从一级市场来看, 2018年安全投融合并事件71起,亿元以上的融资20起,2018年千万级融资超过50起。其中数据安全领域热度最高,其它热度领域包括工控安全、身份认证、云安全等类型。
可以回过来看,上市公司市值除360以外最高的就是深信服500亿估值,估值在100亿左右是网络安全行业上市公司的平均水平。所以网络安全行业的市场规模就算把蓝翼统计进来的这部分去掉,也可能是一个500亿级别的市场。在这个500亿级别的市场里,网络安全行业的独角兽们能够长多大,大部分上市即巅峰的公司市值还能涨到什么地步,这是可以一起探讨的问题,毕竟二级市场和一级市场是一个绝对的联动关系。
从网络安全行业供求关系的驱动力而言,现在“合规”大于“事件”大于“业务”。传统网络安全产品及服务对业务的提升是比较有限的,无法为企业或个人的刚性需求买单。其它本质原因是什么呢?中国网络安全法律法规的长期缺失,犯罪成本极低,更本质的原因在于中国传统文化天然对网络安全持续冷淡,认为只要活着,什么都能妥协。中美有个强烈的对比,按照最近的Facebook大型数据泄露事件来看,扎克伯格接受了什么样的聆询?Facebook的股价跌成什么样?而华住500万个人数据的丢失,又有什么影响?所以目前网络安全行业最大的驱动力还是合规。
在供给侧,网络安全行业的产品技术种类繁多,细分领域同质化严重,行业集中度较低。本质原因是网络空间结构比较复杂,对象也繁多,单一企业难以掌握全部技术,国内行业客户间的业务壁垒极高,烟囱式的管理是长期存在的。其关键点是在于合规驱动导致的两种类型:第一,客户关系、监管资源倾斜成为业务发展的首要门槛,远高于技术门槛;第二,细分领域价格战惨烈,行业毛利率极低,比如App加固、上网行为管理、运营商DPI。
网络安全行业的市场机会在哪里?与业务安全市场相比,合规市场只能算一个小市场。合规市场所有的打法是从上到下的,而业务安全的打法像病毒复制、口碑传播等等,是围绕着类似金融征信反欺诈、政府反黑产的业务产生的,都是围绕着业务、业务的安全保障产生的。
所以,网络安全行业估值成长的问题:一,和业务绑定有多紧,估值的含金量就有多高;二,客户思维的重要性。如果缺乏站在客户角度分析市场需求,分析创业团队能力的视角,过份强调科技投资就是投资科技,客户思维是有缺失的,脱离销售和盈利的创业都不可取;三,从网络安全行业的估值成长曲线来讲,早期项目估值增长加速主要是因为企业还比较小,协同比较容易出效果。从美亚基金的角度看到,5000万营收是个门槛,由于2G或2B的市场特性,如果过了5000万营收之后没有转变成综合型的网络安全厂商,那后续的营收和毛利率净利润并不会很快体现出来,甚至会有下降的风险,后期的项目估值和成长会变缓;四,判断销售能力的难度,并不低于判断技术能力;五,对一些网络空间安全企业,做大再做强还是做强再做大的问题是早期可以探讨的,所以如果投网络空间安全行业的企业或技术尽量投早期。
总结一下:
第一,伴生需求转变为基础需求,是个非常明显的趋势。因为国家层面,有网络安全法、等保2.0、关基条例、密码法、网络安全审核办法、数据安全管理办法等各种重要的政策法规及草案的出台。网络安全企业方面内生安全、本质安全、主动安全、动态安全、整体安全、自安全、安全可控等理念开始落地。需求方面,智能制造、智慧城市、数字化转型、工业互联网、云计算、大数据等平台的建设均将在网络安全的态势感知等方面,把同步规划、同步建设、同步运营的三同步原则考虑在内。可以预期,随着全社会数字化程度的提高,网络安全一定会成为一个基础需求,只有基础需求才能够支撑一个上万亿的市场出现。
第二,安全从业人员的供给。网络安全的伴生性和服务性决定了安全人员不仅要懂得安全专业知识,还需要了解其依托的各种相关技术知识和服务对象的行业特色知识。两者决定了安全专家一定是紧缺的,这种紧缺状态会始终持续下去,直至产业变得非常成熟。比如说20年前,全社会都意识到律师和保险分析师、医生等人员的紧缺性,但在保险和医疗都已经过万亿市场规模的当下,这类专业服务人员还没有饱和。所以说这方面只有用人单位和全社会,再加上院校教育、机构的培训等等的合力推动下,才有可能跟得上行业发展对人才的需求。
第三,合规与事件驱动转向威胁与风险驱动。当下的网络安全需求更多是靠合规与事件驱动的,从根本上制约着产业的发展。目前国内大部分的企业或组织还停留在事件与部分威胁防御的阶段,只有当这些企业或组织从思想和理念上转变到全面的威胁防御和主动风险控制,并予以行动实施时,对网络安全的需求才会爆发。随着数字化的普及和对数字化技术依赖程度的提高,对数字安全的保卫、数字威胁的防御、数字风险的管控将会成为国家、社会、企业的常态。网络安全行业也从现阶段的加速期进入到全面爆发期,最终网络安全行业会成为一个真正的大产业。
关于中国网络安全市场及其未来的讨论,已经是2019年创投界最热的话题之一。毫无疑问,网络安全相关标的是非常值得关注的投资资产。在本次分享中,美亚梧桐产业并购基金轮值董事杨天蔚提出了合规是中国网络安全市场发展的一大指导原则,这也为寻找相关标的以及评估其后续发展空间提出了合理的逻辑。
而网络市场更广阔的空间来自于产业的数字化,这包括智慧城市、智慧物流、智慧零售、智慧金融等。以智慧城市来看,IDC预计2023年中国智慧城市技术相关投资将达到389.2亿美元,而在智慧城市的建设过程中,网络安全是必不可少的重要组成部分。而对于智慧城市来说,除了相关网络安全技术和产品的项目性投入外,网络安全运营是一个更长期的专业性服务,具有着长期的投资价值。
实际上,到2018年和2019年的中国网络安全市场,硬件技术和产品仍然占据了主流,而软件技术、产品和服务处于增长态势中。对于科技投资者来说,更具有长期战略性投资价值的标的来自于软件服务领域,特别是对网络安全的大数据分析、人工智能分析、预防和预测性服务、知识图谱等新兴服务,这些数字化新兴网络安全服务也将受到一级市场和二级市场的青睐,对于投资人来说具有较大的增值空间。