自从网络安全上升到国家安全的高度后,法律法规密集出台,催生了对网络安全行业的庞大需求。
普通用户熟知的网络安全产品,包括360安全卫士、金山毒霸等,这是一个非常饱和的市场,他们提供免费产品,然后靠广告和流量变现。
而面向政企安全的领域,网络安全的需求已经经历了几年的高速增长期。根据国内上市的安全公司财报,2021年,29家上市企业的安全业务收入总计超过389亿元,同比增长近20%。不过,这个狭小的赛道里挤满了竞争者,而且大家的产品同质化越来越严重。
“政企安全业务现在是个红海。”一位信通院人士对数智前线说。
01 不差钱的赛道
网络安全产业非常依赖政府和国企买单。
“一季度来看,今年网络安全行业不差钱,不缺钱。”奇安信创始人齐向东说,他算了一笔账:我国省级直属的国有企业,每个省差不多有30到40家,体量都很大,每个企业销售收入基本在千亿左右的规模,全国范围内的央企体量更大,有几千亿元收入。
齐向东这么乐观的一个重要原因是政策利好。2021年9月,《关键信息基础设施安全保护条例》正式实施,央企和地方国企是关键基础设施的主要运营部门。而条例内很重要的一条是实行“一把手负责制”,明确运营者主要负责人负总责。
以往在大型企业里,网络安全属于公司IT部门的运维部门负责,从层级就能看出重要性不高。但现在提升了好几个级别,变成了一把手工程,“预算肯定会往上增加”。
工信部就明确提出电信等重点行业网络安全投入占信息化投入比例不低于10%,上海也提出引导公共部门和重点企事业单位网络安全投入占信息化总投入不低于10%。
政策与行业的利好最终在企业财报中得到了直观体现。
2021年,网络安全公司基本实现了同比百分之二三十的增长。比如奇安信营收58亿元,同比增39.6%,启明星辰营收43.8亿元,同比增长20.2%,安恒信息营收18.2亿元,同比增37.5%营收,深信服的营收68亿元,同比增长24.6%。
今年一季度,这种增速依然在保持,比如奇安信的新增订单超过9亿元,同比增长超65%,天融信的同比也增加了42.8%。
“国企去年没掉链子,已经让人觉得很好了。”赛博英杰董事长谭晓生告诉数智前线,大型国企在去年底还做了不少大型网络安全项目的招标,而政府的预算有所缩减。
但国盛证券认为,“重要行业及政府仍处于建设达标阶段,商业企业客户网安建设需求市场空间广阔,不宜对大环境下的行业需求过度担忧。”
源源不断的大项目让政企市场成了网安企业的必争之地。反观深耕网络安全多年的深信服,由于其重心一直在服务中小企业,而非政企市场,卖的也是标准产品,其增速相比之下就慢了很多。
2022年一季度,深信服的增长只有4.76%,而净利润创上市以来新低。此前深信服在面对投资机构调研时,提到了原材料缺货和创新业务投入过大的问题,但也提到了“公司对行业客户需求的市场洞察不够准确”。
02 要利润还是要规模
政企赛道看似热闹,但里面的企业却未必能赚到钱。在营收大幅增长的同时,很多头部企业的净利润却在不同幅度下滑,比如2021年深信服同比减少了66%,奇安信亏损了5.55亿元,天融信同比下滑了42%,中国长城同比减少了35%。
“安全市场现在属于卖人头。”一位网络安全行业的创业者对数智前线说。这个行业表面看技术含量高,但从前期的招投标,到后期交付都依赖人的服务。根据上市公司的财报数据不难发现,网络安全企业的人均产值只有五六十万元,并不算高。
人均产值不高的同时,人力成本却不低。一位网络安全厂商的人士告诉数智前线,互联网大厂都是薪资翻倍来挖人,“没有办法跟互联网公司比”。而360做政企安全业务时,没有选传统厂商那条路,除了创始人的经营理念不同之外,另一个很重要的原因是360的安全人才成本较高,按照传统安全厂商的路子难以盈利。如今,为了留住人心,安全公司不得不花更高的代价留住人才,从而也导致公司成本快速上涨。
研发投入的大额增加也加剧了净利润下滑。网络安全领域虽然重要,但涉及的产品非常广泛,市场呈碎片化。比如奇安信的官网里就有一百多种产品,这对研发资金是个非常大的考验。
目前,国内已上市的29家网络安全公司,去年总共在研发上投入了近百亿元,增长率超过35%。“这个行业属于政策和形势很好,发展得很快。”网络安全专家王晨光对数智前线说,抢地盘的过程中,大家就不太在意利润了。
除了研发投入导致净利润下滑,还有一个重要因素是定制化太多。ToB和ToG的赛道无法像互联网公司那样做一个通用软件,大家都能使用。
模式的不同从网络安全内部的毛利率就能看得出来。2021年,奇安信的毛利率为60.01%,启明星辰为65.99%,而深信服的网络安全产品毛利率高达80.64%。众所周知,深信服是卖标品起家,客单价低,渠道发达,好处是毛利率高。
但政企业务是项目制,需要定制化服务。甚至经常需要把人放到甲方去实时沟通对接,然后反馈给后台研发,不能闷在家里做产品。
最近的情况也导致人员成本增加。“很多时候客户说要招标,但人刚过去,又停了,要下次再招。”AA投资创始合伙人王浩泽对数智前线说,他们最近也投资了一些网络安全项目,不过现在这个赛道还是国家队关注得多一些。
即便是已经中标的项目,在交付时也会遇到麻烦。首先是人员因为出行不便,很多项目没办法实施;其次是项目堆积造成集中交付的情况非常普遍,安全厂商不得不雇佣外包或者第三方来辅助,这种情况下企业的运营成本必然会提升。
“大环境对网络安全业务的影响更多是因为人员没办法去客户那边,好多项目延迟了。”上述信通院人士说,“并不是说需求没了”。
另外,每年的“护网行动”都是用人高峰期,周期在一个月左右。但各地的护网行动经常集中在一个时间段,也导致用人紧张。“北京这边的护网行动经常是全年随时抽查,这种就还好。但有些地方都是集中式抽查,对企业成本也是一种考验。”王浩泽说。
奇安信在试图减少亏损,齐向东今年提出要高质量发展,争取扭亏为盈。
其中一个方向是把基础模块平台化,做到能像乐高一样组合到一起,既能满足定制化需求,又可以避免重复劳动,“这个事完成的话,成本就大幅下降。”一位知情人士对数智前线说,但他预计整体过程需要三五年时间。
“现在对安全企业来说,谁能够解决定制化生产的高成本问题,那么未来谁就能更快地实现盈利。”上述人士说。传统的安全公司都是卖标品,成本很低,能盈利。但现在的赛道,标品的优势越来越小。
华为的军团模式也在被网络安全企业借鉴。启明星辰成立了运营商、金融、电力和央企军团,奇安信也成立了央企军团、运营商军团、车联网军团等,每个军团都有硬性要求,定下了翻倍的目标。不难发现,这些军团所盯住的行业都是对网络安全有着强烈需求的赛道。
03 合规之外,创新才是出路
“在很长一段时间,网络安全行业依赖的是满足合规要求。”王晨光说。这几年行业增速快,一方面是政策推动,另一方面是数字化进程加速。
安全市场的推动力主要有三种:一是合规性的需求,这是规定动作,不管效果怎么样,必须得搞,就像盖房子必须要满足消防需求。包括《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》和网络安全等级保护2.0国家标准(等保2.0)等法律法规都对网络安全有硬性要求。
2019年,等保2.0开始实施。相比于等保1.0的形式合规,“现在等保2.0,要以实战效果为准。”王晨光说,比如态势感知以前是个花架子,做点好看的可视化系统就行了,但现在要看到实际效果,得真正能够监控,一点事都不能出。
二是刚性需求,要是不做,遭到攻击自己会遭受损失。像金融、电信行业,即使没有政策合规的要求,自身也要做很多安全防护建设。还有是互联网公司,被黑客攻击导致的损失商誉同样无法承受。
“很多企业买网络安全产品和买保险的心理一样的,不出事谁愿意花大点钱去买保险?”王浩泽说。中小企业做数字化转型,网络安全的威胁感受的并不算太多,这也在一定程度上影响了对网络安全的投入意愿。
这一点从客户的投入就可见一斑。深信服高级副总裁邓文俊今年曾表示,深圳市企事业单位网络安全预算占企业年产值仅达0.2%,网络安全企业数量仅是北京的1/3等。
而在谭晓生看来,网络安全还有一个特征是,发不发生安全事故,和投入多少做安全是一个概率问题,非因果关系,有运气好的企业,没有被针对,不花钱也没有出现安全问题。但也有花了很多钱,但运气不好,被高手盯上了,照样被弄得很惨。这也影响到了客户的投资心理,导致有部分企业博运气,选择事后修补的策略,出了事再花钱平事儿。
三是IT基础架构设施变化带来的需求,最典型的是千行百业都往云上迁移。
这两年,深信服的战略方向转向云服务,减少对硬件盒子的依赖,从卖标品到卖“SASE和MSS服务”,试图靠订阅收费不是靠卖硬件,这种做法在欧美国家已经很成熟,这被认为是一种性价比更高的方式。
“但这个市场才刚起步,规模还并不是很大。”谭晓生说。订阅式做法和云服务在海外安全市场已经非常成熟,但在国内,MSS服务是从中小企业市场开始,由于管理责任等问题,除了暴露在互联网上的Web服务等才会采购数字资产发现、Web云防护等云安全服务外,对规模更大的内网很少采用云安全服务。付费订阅的习惯还在逐渐养成中,订阅模式成为主流还需要时间。”
但在政策推动的庞大需求下,网络安全赛道却常常被认为同质化严重。
“两三年前,一个网络安全企业靠卖防火墙能占企业一半的收入。”王晨光说,现在的情况完全不一样了,这种标准品的竞争已经白热化,“哪有靠防火墙来挣钱的了?”。像漏洞扫描、堡垒机、防火墙这些成熟的产品,安全厂商之间早已拉不开差距。
“全国安全公司有三四千家,这个行业同质化比较严重,虽然这几年国家比较重视。”一位网络安全领域创业者告诉数智前线,但因为创新不足,大家做的事情都以攻防为主。
上述信通院人士也发现,网络安全行业一个概念出来了,会有一众厂商模仿,比如XDR(扩展的检测与响应)、EDR(终端防护中心)这些新的概念出来后,很多厂商用现有技术团队做了一些改造,然后直接就去宣传售卖。可能后续达不到客户要求,最后又得铺人弥补这个问题。
但这对于一些真正想积累技术的企业而言并不友好,“你现在不去推广,市场就没了”。这也是行业的一种劣币驱逐良币。
而且,绝大部分安全企业的产品和业务都在围绕监管的需求,“只有放到监管里边,你才能卖得上价钱。”王浩泽说,但监管往往都有滞后性,不能有效地跟上新技术和新市场,这也使得做创新产品的厂商太少。
从国家对网络安全的决心来看,这个市场必然还会快速增长,尤其是与网络安全密切相关的关键基础设施。只不过,在行业高速发展和跑马圈地的背后,安全公司也面临着自身的不少问题和挑战。
(文中王晨光为化名)