“数字经济+自主可控”稳预期,具备长期成长大逻辑 行业报告:网络安全 2022年10月27日 行业评级:增持 中航证券研究所发布证券研究报告请务必阅读正文后的免责条款部分 分析师:邹润芳 证券执业证书号:S0640521040001 分析师:卢正羽 证券执业证书号:S0640521060001 研究助理:唐保威 证券执业证书号:S0640121040023 研究助理:闫智 证券执业证书号:S0640122070030 股市有风险入市需谨慎 网络安全——投资观点 近年来政府监管力度持续加强,潜在安全威胁驱动真实市场需求增加。2021年以来系列重量级网络安全法律法规、规章制度相继发布,仅2022年上半年就发布网络安全领域相关国家法律法规、行业规章、地方政策、技术标准和产业报告等近150项。我国网络安全相关法律法规体系基本建立完善,政府监管力度持续加强。Imperva相关报告显示,自2017年以来,全球网络攻击泄漏数据记录的数量平均每年增长高达224%。IDC发布的2021年勒索软件研究报告显示,全球大约37%的企业均遭受过某种形式的勒索软件攻击。根据IBM一项安全研究报告,2021年企业平均每起数据泄露事件成本为424万美元。各类数据安全事件在全球范围内愈演愈烈,更是驱动对网络安全防护的真实市场需求增加。 数字经济、自主可控稳定市场预期,行业保持稳增长、快增长态势。党的二十大报告明确提出,加快建设“网络强国、数字中国“。2022年1月12日国务院发布《“十四五”数字经济发展规划》,在数字经济安全体系方面提出了“增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险”三方面要求。网络安全作为数字经济的“安全底座”,在我国大力发展数字经济、加强自主可控等国家战略的助推下,具备长期稳增长、快增长的大逻辑。根据工信部数据,我国网络安全产业总规模“十三五”时期年均增长率达15%。根据中国网络安全产业联盟(CCIA)数据,2021年我国网络安全市场规模约为614亿元,同比+15.4%,预计未来三年行业将保持15%+增速。此外,IDC数据显示,中国网络安全IT支出预计在2026年将达到318.6亿美元,约占全球网安IT支出的11.1%,五年CAGR将达到21.2%。 市场结构优化、集中度提升,综合厂商具备竞争优势。根据《网络安全服务产业研究综述》,我国网络安全支出中,安全硬件占比仍然超过40%。但是可以明显看出,硬件占比逐年降低,软件和服务占比在逐年提升,结构持续优化。2021年我国网络安全市场CR1为9.5%,CR4为28.07%,CR8为43.96%,整体市场集中度进一步提升。云计算、大数据、AI、万物互联等信息技术的快速发展,使网络安全建设成为系统工程,原有的单纯卖产品模式已经不再适合,市场需求向一体化防护能力或方案过渡。网络安全市场进入快速增长期后,布局早、客户资源好、具备(安全产品+安全服务)均衡发展能力的传统综合性领导厂商更具竞争优势,云安全、数据安全、安全服务、整体解决方案可能维持更快的成长增速,预计未来我国网络安全市场集中度将持续提升。 关注国内网络安全领域相关投资机会。1)建议关注综合性领导厂商:奇安信、天融信、启明星辰;2)在细分领域具有相对竞争优势的安恒信息、 深信服、美亚柏科。 1.政府监管力度持续加强,潜在威胁驱动真实市场需求增加 2.“数字经济、自主可控”稳定预期,行业保持稳增长、快增长态势 3.市场结构优化、集中度提升,综合厂商具备竞争优势 4.相关公司梳理 1.近年来政府监管力度持续加强,潜在威胁驱动真实市场需求增加 1.1网络安全法修订大幅提高经营性机构违法成本 1.2近年来政府网络安全监管力度持续加强 1.3潜在安全威胁驱动真实市场需求增加 国家拟修改网络安全法,征求意见稿拟对网络安全法作出四方面修改。9月,国家网信办发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,并向社会公开征求意见。本次修订,是为做好网络安全法与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。结合去年9月正式施行的《关键信息基础设施安全保护条例》,相关法律法规进一步强化关键信息基础设施安全保护责任,完善关键信息基础设施运营者有关违法行为行政处罚规定。本次修订拟对网络安全法作出四方面修改: 1.改变“一刀切”处罚方式。调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。 2.调整行政处罚幅度和从业禁止措施。对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行 政法规没有规定的有关违法行为的法律责任规定。 3.关键信息基础设施运营者违法行为罚则增加。两种行为增加罚则,一是使用未经安全审查或者安全审查未通过的网络产品或者服务的行为;二是在境外存储网络数据或者向境外提供网络数据的行为。 4.有关个人信息保护法律责任拟改为转致性规定。鉴于个人信息保护法规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律 责任修改为转致性规定。 本次拟修改的主要内容之一,是对违法相关规定、义务的行政处罚幅度进行调整和加入了从业禁止措施。增添了“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”,对直接负责的主管人员和其他直接责任人员“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”等规定,显著加大了对经营性企业的监管、处罚力度。网络安全产业的市场需求和法律赋予信息所有者的责任成正相关关系,即网络安全责任越大,网络安全市场需求也就越大。本次修订将大福提高经营性机构的违法成本,尤其是提升互联网企业及医疗、金融等重要数据运营商对网络安全的重视程度,或刺激相关网络安全产品及服务的潜在市场需求。 2021年以来系列重量级网络安全法律法规、规章制度相继发布。仅2022年上半年就发布网络安全领域相关国家法律法规、行业规章、地方政策、技术标准和产业报告等近150项。加上之前已发布实施的《网络安全法》、《密码法》等,我国网络安全相关法律法规体系基本建立完善,政府监管力度持续加强。 图表:我国网络安全行业政策文件去年集中发布 发布时间 文件名称 发布部门 重点内容 2021.06 《中华人民共和国数据安全法》 全国人大常委会 我国数据安全领域的基础性法律,其完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。标志着我国在数据安全领域有法可依,为各行业数据安全提供监管依据。 2021.07 《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》 工信部 到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。提升中小企业、重点行业和关键行业基础设施网络安全防护水平,电信等重点行业网络安全投入占信息化投入比例达10%。网络安全关键核心技术实现突破,加快新兴技术与网络安全的融合创新,增强网络安全产品和服务创新能力,初步形成具有网络安全生态引领能力的领航企业。 2021.08 《中华人民共和国个人信息保护法》 全国人大会常委会 对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确和可操作的规定。 2021.08 《关键信息基础设施安全保护条例》 国务院 明晰了关键信息基础设施的定义,明确了保护工作部门的职责,强化了运营者的安全管理主体责任,规定了国家保障和促进措施,确立了监督管理体制。《条例》是对《网络安全法》确立的关键信息基础设施安全保护制度的细化完善,有助于构建多方尽责、共同协作的关键信息基础设施安全防护体系,更好地应对网络安全风险挑战。 2021.10 《数据出境安全评估办法(征求意见稿)》 网信办 指出数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据应当进行安全评估,且数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 2021.11 《网络数据安全管理条例(征求意见稿)》 网信办 规定了国家建立数据分类分级保护制度。明确了在中华人民共和国境内利用网络开展数据处理活动的一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理及法律责任等安全管理要求。 2021.12 《网络安全审查办法》 网信办、发改委、工信部等十三部门 将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。 图表:2022年上半年网络安全和数据安全政策一览 近年来,网络安全威胁持续快速增长。随着数字经济建设的持续深入,大数据、云计算、物联网、人工智能等加速融入工业、能源、医疗、交通、教育、农业等行业。近年来随着网络信息安全边界不断拓展,网络攻击、勒索事件呈迅速增长态势。Imperva相关报告显示,自2017年以来,全球网络攻击泄漏数据记录的数量平均每年增长高达224%。IDC发布的2021年勒索软件研究报告显示,全球大约37%的企业均遭受过某种形式的勒索软件攻击。根据IBM一项安全研究报告,2021年企业平均每起数据泄露事件成本为424万美元。网络空间安全威胁已经成为数字经济面临的共同挑战,维护网络安全已经是现代社会需要承担的共同责任。 各类网络攻击事件在全球范围内愈演愈烈,严重影响社会、经济稳定、国家安全。近两年全球范围内几例典型重大网络攻击事件:1、2021年5月7日,美国最大燃油管道运营商科洛尼尔管道运输公司遭遇黑客攻击,被迫关闭整个管道系统。受管道关闭影响,美国多地出现燃油短缺和恐慌性购买,导致燃油价格飙升。5月9日,美国宣布进入国家紧急状态,原因是当地最大燃油管道运营商遭网络攻击下线。5月10日,美国总统拜登称,攻击输油管道“是一种犯罪行为”。直到5月13日下午,科洛尼尔管道运输公司才宣布,重启了该公司的整个燃油运输系统并全面恢复运营。2、《华尔街日报》2021年6月9日报道,全球最大肉类加工商世界肉类加工企业巨头JBS股份有限公司美国分部JBS美国食品加工公司的首席执行官说,该公司向网络犯罪分子支付了1100万美元的赎金。该公司上周遭遇网络攻击,旗下所有美国牛肉加工厂一度全线停产,影响整个美国市场 约五分之一的肉类供应。3、今年3月1日,日本丰田汽车公司因零部件供应商受到“勒索软件”攻击,决定停止日本全国所有工厂运行。据了解,3月1日丰田关闭所有日本国内工厂后,将影响约1万辆汽车的生产,约占丰田在日本国内月产量的5%。4、今年9月27日,中国国家计算机病毒 应急处理中心发布西北工业大学遭美国国家安全局网络攻击事件调查报告(之二)。详细披露了美国家安全局“特定入侵行动办公室”以日本、德国、韩国等为跳板,在荷兰、丹麦等国设置相关网络武器托管,控制中国相关关键基础设施,向西北工业大学内部网络深度渗透,窃取大量账号口令、身份验证、系统日志、访问权限、文档资料、网络配置等关键敏感数据和敏感人员信息。 安全威胁驱动实战性需求。业务驱动的实战性需求,是政府和企业因为安全事件频发而主动进行的网络安全建设,并且在系统架构的设计过程中 自发添加相关的网络安全部分。各类网络攻击事件在全球范围内愈演愈烈,潜在威胁驱动对网络安全防护的真实市场需求增加。 图表:2022上半年十大网络攻击事件 时间 国家/地区 事件 2022.01 美国 专门提供劳动力与人力资本管理解决方案的美国克罗诺斯(Kronos)