信息安全行業拐點出現，期待等保2.0提振增速。信息安全在IT基礎設施中增速最快，行業內生增速就達到20%；同時，我國信息安全投入占IT投入比與歐美仍有數倍差距，我國信息安全市場仍有廣闊空間。等保2.0有望復制1.0政策紅利，信息安全行業將大幅受益。2007年等保1.0時期，信息安全公司營收增速中位數大幅提升，而等保2.0加強了法律地位（由規范升級為法律），拓寬了監管范圍（由傳統信息系統升級為云、大數據、物聯網等），規范了定級標準（公眾等組織在特別嚴重情況下等級由二級升為三級），信息安全行業有望再次迎來高增長。 

    行業整體來看，我們構建了以啟明星辰、綠盟科技、深信服、南洋股份等十多只代表性股票的組合進行總結。雖然行業內生增速有20%，但是上市公司整體并沒有跑贏行業。營收方面，16\17\18年增速為16.42%、22.37%、11.31%，19Q1為9.39%；扣非凈利潤方面，16\17\18年增速為45.49%、26.62%、1.18%，19Q1為-190.29%，呈現下滑趨勢。主要原因部分是一些公司業績下滑，包括子公司剝離、商譽減值、一些特殊行業訂單推遲等，另一部分是行業格局依然較為分散，同時奇安信（原360企業安全）激進競爭策略對行業產生一定的沖擊。信息安全市場企業和產品眾多，市場集中度較低，龍頭廠商啟明星辰全市場占有率也不到6%。

信息安全行業營業收入（億元）

數據來源：公開資料整理

信息安全行業扣非歸母凈利潤（億元）

數據來源：公開資料整理

    毛利率和費用率均呈現提升狀態。信息安全屬于技術壁壘較高的行業，毛利率普遍較高，隨著技術研發的不斷投入，整體呈現上升的趨勢。18年行業毛利率達到47.47%，凈利率下降為11.01%。凈利率下降主要是費用上升，信息安全市場以2B和2G為主，銷售費用率較高，18年為15.71%，管理費用（扣除研發）較為平穩。除此之外，研發投入上升較為明顯。信息安全行業季節性尤其明顯，一季度數據波動較大屬于正常。

信息安全行業平均毛利率和凈利率（%）

數據來源：公開資料整理

信息安全行業費用率（%）

數據來源：公開資料整理

    研發投入持續提升，現金流保持平穩上升。信息安全行業研發投入在各細分行業中是最高的，18年已經達到15.27%。安全領域新興需求眾多，技術創新不斷，如工控安全、云安全、大數據安全等，信息世界每一個角落其實都需要安全投入進行保護，因此各細分產品眾多，研發需要持續不斷的投入。經驗活動現金流基本保持穩定，近三年呈現逐步上升的狀態。

信息安全行業研發投入（億元）

數據來源：公開資料整理

信息安全行業經營活動現金凈利率（億元）

數據來源：公開資料整理

    等保2.0發布在即，行業競爭格局改善。2019年工業安全大會上，公安部十一局祝國邦處長提前透漏等級保護2.0標準將于5月13日正式發布的消息，等保2.0工作最重要的標準依據即將落地執行。我們認為等保2.0會對行業有一個顯著的刺激作用。另一方面，隨著以啟明為代表的龍頭廠商推出安全運營中心的服務，該業務能參與的玩家大幅減少，市場競爭激烈程度減緩。同時，奇安信與360分家后，對其品牌影響力有所削弱，產品能力與360的協同也會下降，其對傳統安全市場的沖擊也會減弱，市場競爭格局出現改善。

    等級保護是我國網絡安全方面的基本制度。1994年我國就確定了等級保護制度，當年發布的《中華人民共和國計算機信息系統安全保護條例》規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。2007-2017年是等級保護1.0時代。2008年四部門發布的《GB/T22239-2008信息安全技術信息系統安全等級保護基本要求》及其配套政策文件和標準統稱為等保1.0。這十年，公安部重點開展了等級保護的定級、備案、測評、整改和監督檢查五項工作，制定等級保護的政策、標準，引領各行業部門貫徹落實等級保護制度。

我國信息安全政策梳理

數據來源：公開資料整理

    由于新技術、新應用、新業務形態的大量出現，安全趨勢和形勢的急速變化，等保1.0已經不再適用于當前安全要求，具體問題包括：（1）無法有效應對風險。大部分單位只為合規而開展等保，通過對標和設備堆疊達到合規的效果，但缺少體系性考慮和真正有效的風險處置能力，無法真正提升安全防護水平。（2）無法建立主動保障。傳統等保要求以被動防御為主，對事前、事中和事后的閉環安全保障能力要求較少，大部分等保合規系統遭受攻擊后，難以主動分析、及時響應、快速發現。（3）無法有效應對新技術。信息技術的快速發展和迭代，導致等級保護缺少對新技術的安全要求，使云計算、大數據、物聯網等一系列新技術應用缺乏有效安全要求和管控措施。（4）無法有效防護新風險。APT、郵件釣魚、虛擬機逃逸、物聯感知設備挾持等新的安全威脅和新的攻擊手段帶來了很多新的安全風險，等級保護要求中缺乏相應的安全措施要求。

    等級保護即將進入2.0時代。2016年11月7日，《中華人民共和國網絡安全法》正式公布，并于2017年6月1日起施行，其中第21條明確指出，國家實行網絡安全等級保護制度，要按照網絡安全等級保護的要求履行網絡安全的義務。該法的施行把網絡安全等級保護制度提升至法律保障層面，標志著我國對于整個國家網絡安全的投入和建設進入了一個新的歷史階段。2018年6月，《網絡安全等級保護條例（征求意見稿）》發布，延續了1.0所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。根據網絡在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、毀損后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網絡分為五個安全保護等級。

信息安全等級劃分為五級

數據來源：公開資料整理

    在5月9日“2019工業安全大會”上，公安部十一局祝國邦處長透露，網絡安全等級保護技術2.0版本即將發布。等保2.0標準，除通用要求外還新增了云計算安全、移動互聯網安全、物聯網安全、工業控制系統安全和大數據安全5個安全擴展要求，以應對新技術和新應用。我們認為等保2.0有望帶來信息安全行業空間釋放，從量和質兩方面全面影響行業發展。目前，等保2.0已于2019年5月13日正式發布，實施日期為今年12月1日。

    量的角度，等保2.0的監管范圍更加廣泛。監管對象上，不再只是黨政機關重要部門及央企國企，所有網絡運營者都被納入等級保護管理。監管內容上，等保1.0主要是對傳統信息系統進行保護，等保2.0對新技術新應用風險管控提出要求，將云計算、大數據、人工智能、物聯網、工控系統和移動互聯網等納入等級保護監管，由單一標準演變為一個系列標準（包括安全通用、云計算、移動互聯、物聯網、工業控制）。

    質的角度，等保2.0下安全體系向全方面主動防御轉變。信息安全等級保護工作包括定級、備案、安全建設整改、信息安全等級測評、信息安全檢查五個階段。而進入等保2.0時代，等保的內涵已大為豐富和完善。風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等這些與網絡安全密切相關的措施都將全部納入等級保護制度并加以實施，由被動防御為主轉到包含事前、事中、事后的全方面主動防御。

等保2.0安全框架核心內容

數據來源：公開資料整理

    云計算、V2X車聯網、工業互聯網的發展為IT系統安全帶來新的挑戰。云環境既面臨傳統IT的所有安全隱患，數據安全問題更是云計算服務的重中之重。V2X網絡安全直接威脅交通安全。網絡攻擊與潛在威脅將影響V2X通信的整體功能與完整性，從而威脅行車安全。隨著物聯網的發展，工業安全、智能制造等相關規范和標準的出臺，工控安全的重要性日漸提升。工控安全產品對計算資源的消耗量要最小，同時對適應惡劣環境要求最高。工業領域的用戶在安全管理也有很強的訴求，包括日志的收集與聯動分析，威脅或異常事件的溯源等等。

    新應用的出現為網絡安全市場提供了新的空間。以云計算為例，2017年我國云計算整體市場規模達691.6億元，同比增長34.32%。其中，公有云云市場規模達到264.8億元，相比2016年增長55.7%，預計2018-2021年仍將保持快速增長態勢，到2021年市場規模將達到902.6億元。云安全的市場規模隨著云計算市場規模的增長而迅速崛起，2018年中國云安全市場規模達到37.8億元，增長率達44.8%，預計未來2年內預計仍將保持每年40%的高速增長。

2016-2021年中國云安全市場有望保持40%的高速增長

數據來源：公開資料整理

    網絡安全首度納入央企業績考核指標。國資委新修訂的《中央企業負責人經營業績考核辦法》從2019年4月1日開始施行。《辦法》增加了一個全新的業績考核指標——網絡安全事件,以建立重大事項報告制度等為表現。這意味著央企從價值管理進入網絡安全管理的新階段,利潤不再是央企考核的唯一標準。發生網絡安全事件懲罰嚴厲，體現國家對網絡安全的高度重視。《辦法》第六章規定，網絡安全考核的直接對象就是企業負責人，如果發生網絡安全事件造成國有資產流失，給予降級或者扣分處理,情節嚴重的,給予紀律處分或者對企業負責人進行調整等。我們認為網絡安全納入央企業績考核指標，并與負責人獎懲直接掛鉤，有望切實提升央企網絡安全投入，拉動網絡安全產業景氣提升。

    相關報告：智研咨詢發布的《2019-2025年中國信息安全芯片行業市場分析預測及投資方向研究報告》