一、网络安全行业需求变化

1.1、需求从网关类向内网数据、安全管理、安全服务类产品延伸

目前国内信息安全市场上的主流安全产品还是以硬件形态呈现的网络边界层安全产品。主要 产品包括防火墙、统一威胁管理平台（UTM）、入侵检测和入侵防御（IDP）、虚拟专用网络 （VPN）、安全内容管理（SCM）等。 随着政企上云，服务器等终端设备频繁交互，网络边界开始变得模糊，任何连接到数据中心 的智能终端设备都可能带来潜在威胁。加之数据集中管控，安全攻击事件可能造成潜在危害 大。我们认为，单纯强调网络边界层防护已难以满足需求，用户对数据安全、安全管理、安 全服务等需求或将快速增长。

1.1.1、数据安全

数据安全是以数据为中心的安全体系。数据安全主要产品包括：数据安全治理、分类分、 个人隐私保护、数据库安全、数据脱敏等。同时，《数据安全法》、《个人信息保护法》等法 律的出台也将驱动我国数据安全市场的发展。我们认为，数据安全相关的体系建设与规划、 数据分类分等咨询服务有望迎来黄斤发展期。 数说安全研究院指出，2021 年我国数据安全市场规模约为 53 亿元，同比增长 30.7%。

1.1.2、安全服务

目前，网络安全服务市场主要由安全咨询服务、IT 安全教育与培训服务、托管安全服务、安 全集成服务四个子市场构成。 安全咨询服务：属于专业服务的范畴，主要包括安全战略与规划、合规与审计等多个咨询类 别； IT 安全教育与培训服务：IT 安全教育与培训服务是一套教育活动和过程，主要包括企业 培训服务、教育认证、高校教育等子市场； 安全托管服务（MSS）：安全托管服务指服务提供商通过安全运营中心（SOC）进行全天候 远程管理或监控的 IT 安全服务。目前，除驻场类的安全服务外，远程托管服务效率更高、 成本更低，倍受中小企业青睐。未来，“驻场+远程”的云地结合模式有望成为主流。2021 年，我国托管安全服务市场规模较 2020 年实现了 61.2%的同比增长；

安全集成服务：安全集成服务指服务提供商通过规划、设计、实施、项目管理四个步骤形成 完整安全解决方案的服务，其涉及系统和应用程序的定制化开发、集成企业打包的安全硬件、 软件服务等； 据 IDC 报告显示，2021 年中国 IT 安全服务市场厂商整体收入约 28.61 亿美元（约合 184.6 亿元人民币），厂商收入规模较 2020 年同比增长 41.7%。

1.2、目前以硬件为主，未来软件和服务的规模有望进一步提升

从产品的形态来看，网络安全产品可分为硬件、软件、服务三大类。目前，国内网络安全的 主要产品仍以硬件为主。根据 IDC数据显示，2020 年，安全硬件在中国整体网络安全支出 中仍占据主导地位，占比高达47.2%；安全软件支出占比为 20.8%，安全服务支出占比为 32%。

看未来发展趋势，伴随云计算的快速发展，我国网络安全市场的软件化趋势在不断增强。据 IDC 预测，2021-2026 年期间，安全软件市场规模将以 25%的复合增速快速增长，安全软 件子市场中的信息和数据安全软件（Information and Data Security Software），网络安全软 件（Network Security Software），安全分析、情报、响应和编排（SAIRO）有望成为高速增长的主要技术领域，其中信息和数据安全软件作为软件x大的子市场，将以 29.9%的五年 CAGR 引领软件市场增长；安全硬件市场规模将保持 17.0%的复合增速；安全服务市场将 保持 21.6%的复合增速，其中托管安全服务（MSS）将达到 34.0%的五年复合增速。据 IDC 预测，2026 年安全软件市场将占国内网络安全市场总支出的 40%。

订阅模式的安全云服务的占比提升是趋势。相较于传统一次性收费的方式，订阅模式通常采 取按一定时间收费的模式（通常按每月/每年）。在订阅模式下，客户可减少一次性高额付费， 取而代之的是较为温和的平均支出；相应的，对于厂商来说，有助于企业改善现金流、提升 客户粘性。网安厂商都在尽可能多的提供 SaaS 化的安全服务，以安恒信息为例，安恒信息 基于云安全，为客户提供包括云 Web 应用防火墙、云主机安全、云堡垒机、云网站检测、 云漏洞扫描等 SaaS 订阅服务。我们认为，随着虚拟化、云化理念的渗透，客户未来安全软件及服务的占比有望持续提升； 同时，随着安全厂商 SaaS 化服务能力的增强，订阅模式收入有望增长。相较于传统以硬件 销售为主的业务模式，软件化、服务化、订阅化的业务模式有望改善安全厂商的现金流及毛 利率。

二.国内网安市场：行业增速快，天花板高，网安厂商利润弹性高

2.1、国内网安市场：预计2026年规模达318.6亿美元，期间CAGR达21.2%

中国网络安全市场增速持续领跑全球，行业增速快，且天花板高。据 IDC 发布的《全球网 络安全支出指南》，2021 年全球网络安全 IT 总投资规模为 1687.7 亿美元，并有望在 2026 年增至 2875.7 亿美元，五年 CAGR 为 11.3%。聚焦中国市场，随着《网络安全法》、《数 据安全法》、《个人信息保护法》等法律法规悉数落地、《数据出境安全评估办法》、《网络安 全审查办法》等条例颁布实施，我国网络安全法律法规体系化、纵深化态势明显，叠加数 字化需求攀升，网络安全市场持续扩大，2026 年中国网络安全 IT 支出规模将达到 318.6 亿美元，全球占比约为 11.1%，五年 CAGR 约为 21.2%，接近全球平均 CAGR 的两倍。

2.2、目前行业竞争格局较为分散，后续有望逐渐向头部集中

整体来看，目前网安行业竞争格局仍较为分散，我们认为，主要原因是：1.网安产品类型 较多，产品线复杂；2.从下游客户来看，各行业客户都有网安需求，客户市场较为分散。 不过，从趋势来看，近几年集中度有所提升。根据 CCIA 统计，2021 年，我国网络安全市 场 CR1/CR4/CR8 分别为 9.5%/28.07%/43.96%，与前几年相比，行业集中度呈逐渐上升 势头，形成低集中寡占型格局。

我们认为，未来我国网安市场集中度或将持续向头部靠 拢，主要原因有以下几点： （1）研发体系壁垒：网安行业的技术积累是通解决各种攻击手段不断积累而来的，过去 的攻击手段还会再现，所以相应的技术积累是有效积累。 在网安行业能看到很多公司基于新的技术创新生存，但是很难成长，原因就在于这些公司 需要把以前的技术点补齐，还需要投入大量人员精力做产品研发，需要时间以根据实际使 用反馈进行持续调优。反过来，这些就是头部公司研发上的壁垒。

（2）解决方案壁垒：我国当前的网安市场还是以硬件为主，主要集中在网络边界层的防 护上，随着攻击的日益复杂以及用户对安全的重视程度日益提升，以往仅购买点状的安全 产品已经难以满足用户需求，需要公司形成一整套智能、全面的安全防护方案。客户会愈 加看重安全厂商的综合技术实力、解决各种安全问题的能力。相比尾部公司，头部公司在 提供全套解决方案的能力上具有一定竞争优势。（3）销售渠道壁垒：网安行业的下游客户以XXX或 B 端客户为主，需要通过直销或者分 销渠道触及客户，渠道的建立需要时间。

三.网安行业下游客户以XXX、央国企为主，该类客户受政策驱动影响较大

3.1、网安行业下游客户以XXX、关基行业央国企为主

从下游客户分布来看，据 IDC 预测，中国网络安全终端行业客户结构相对稳定，其中XXX、 金融和电信行业占比x大；预计到 2026 年，三者合计支出规模将超 192.2 亿美元，占比超 中国网络安全总支出的 60%。我们认为，中国网安行业客户主要分布在XXX、金融、电信 等关键领域，该类型客户受政策驱动因素影响相对较大。近年来，XXX对于网络安全重视程 度显著提升，行业整体投入有望逐渐加大。

3.2、XXX对信息安全重视程度显著提升

近年来，XXX对信息安全的重视程度、战略定位大幅提升。先后于 2017 年 6 月实施《网络 安全法》（首次立法）、于 2017 年 7 月发布《关键信息基础设施安全保护条例》，于 2019 年 5 月发布《信息安全技术网络安全等保护基本要求》（等保 2.0）。未来几年，由于《网络 安全法》及相关法律法规落地、等保 2.0 的实施，客户对安全愈加重视，行业投入有望持续 加大。

主要体现在： 《XXX企业负责人经营业绩考核办法》于19年4月1日实施，将网络安全纳入央企负 责人考核内容，可以理解成安全责任从信息部主任提升到央企一把手，重视程度提 升会带来相关投入的增加。 等保 2.0 于 19 年 12 月 1 日实施，有望带来较大的整改投入，行业景气度有望进一 步提升，头部公司业绩提速确定性较强； 《关键信息基础设施安全保护条例》于2021年7月开始实施，该条例明晰了关键信 息基础设施的定义，明确了保护工作部门的职责，强化了运营者的安全管理主体责 任，规定了XXX保障和促进措施，确立了监督管理体制。该条例是对《网络安全 法》确立的关键信息基础设施安全保护制度的细化完善，有助于构建多方尽责，共 同协作的关键信息基础设施安全防护体系，更好地应对网络安全风险挑战。

《中华人民共和国数据安全法》于2021年9月开始实施，该法律规定，开展数据活 动，应当遵守法律、法规、尊重社会公德和伦理，遵守商业道德和职业道德，诚实 守信，旅行数据安全保护义务，承担社会责任，不得危害XXX安全、公共利益，不 得损害个人、组织的合法权益。该法律为我国数据安全领域的基础性法律，其完善 了XXX数据安全工作体制机制，标志着我国在数据安全领域有法可依，为各行业数 据安全提供监管依据。

3.3、行业重要规范等保2.0有望带来投入增加

相比等保1.0（GB/T 22239-2008 《信息安全技术 信息系统安全等保护基本要求》），等 保2.0中高标准的覆盖范围更广、增加对新场景的安全要求、本身法规性更强，下游客户或 将加大投入： （1）等保2.0针对新技术新增扩展要求 等保2.0在等保1.0资产防护的基础上，就云计算、物联网、移动互联网和工业控制系统提 出安全防护要求。可以理解成监管对象从传统的XXX、事业单位、国企，延伸到“有数据 的民企”，我们预计会带来可观市场。扩展要求就新技术领域提出针对性要求，深信服、 启明星辰等领先公司积布局云安全、移动互联网安全及工控安全领域，并与阿里、腾讯 等云计算厂商就云安全开展技术合作。预计深信服、启明星辰等公司有望受益于等保2.0。

（2）等保2.0三对象覆盖范围增加，三安全防范要求显著多于二 等保2.0根据等保护对象受到破坏时所侵害的客体和对客体造成侵害的程度，将信息系统 的安全保护等分为5个等。相比等保1.0，等保2.0三覆盖范围大幅扩展，“受到破坏会 对相关公民、法人和其他组织的合法权益造成特别严重损害的重要网络”从二上升到三 对象。相比二对象，等保2.0对三监管对象有定期开展测评的要求，被监管对象的重视 程度更高，会有更多安全投入。

3.4、2022年网安公司业绩普遍承压，未来两年利润弹性大

从头部公司的收入增速来看，2022 年收入端短期承压。网安厂商 2022 年收入增速相较于 2020 年、2021 年明显放缓。2022 年大部分网安公司收入与利润均表现不佳的主要原因： 1.受外部环境不佳致使下游客户需求侧紧缩、客户短期内采购需求减少等原因，网安公司 收入侧增速放缓。 2.同时，网安厂商维持高投入，导致盈利能力显著下降。 分析深信服、启明星辰、安恒信息等网络安全龙头公司的费用投入，可以看到大部分网安公 司于 2022 年开始实施降本增效，进入控费周期。展望 2023 年，2023 年是“十四五”规划的 第三年，XXX开支有望一定程度改善；2023 年也是x政信创向八大关键行业拓展的关键年。 我们认为，随着XXX及重点行业央国企加大投入力度，网安公司收入侧有望得到改善，叠加 网安公司开始实施降本增效，未来两年网安企业业绩向上弹性较大。

四、人工智能发展为网安行业带来新机遇

生成式人工智能（AIGC）是指基于算法、模型、规则生成文本、图片、声音、视频、代码等 内容的技术，作为一种前沿技术，该机器学习方法从其数据中学习内容或对象，并通过原始 数据生成全新、原创的实际工件。 人工智能对网安行业的影响在于，一方面，若将人工智能应用于网络攻击，将降低网络攻击 的门槛、增加网络威胁的数量，同时提升网络攻击的复杂程度，客户对网络安全的需求也将 随之增加。另一方面，若将人工智能赋能于网络安全，有助于提升安全工具的使用效率以及 安全监测的准确率。

4.1、若将人工智能运用于网络攻击，将带来新型威胁场景

就网络安全领域而言，人工智能的恶意使用可以创建更复杂的攻击，比如用于恶意代码威胁、 DDoS 攻击、生成虚假数据、恶意软件威胁等。 （1）自主化、规模化的拒绝服务攻击威胁：人工智能技术扩大了恶意软件同时攻击多个目 标的能力，并且利用自我学习能力，以的规模对脆弱系统实施自主攻击，发动大规 模 DDoS 攻击并造成网络阻塞和瘫痪。（2）智能化、高仿真的社会工程学攻击威胁：随着人工智能的发展，社会工程学攻击逐渐 呈现智能化、高仿真的特征。人工智能使攻击者利用社交媒体等个人隐私数据，自动学习并 构造虚假信息，让受攻击目标在无意间上钩。

（3）智能化、精准化的恶意代码威胁：攻击者倾向于针对恶意代码攻击链的各个攻击环节 进行赋能，增强攻击的精准性，提升攻击的效率与成功率，突破网络安全防护体系。 （4）自主化、复杂化的恶意软件威胁：基于人工智能的自适应恶意软件将具有一种态势感 知技术，可以识别网络空间环境，并对下一步做出慎重的决定，它搜索目标、识别目标、选 择渗透路线并自动避开智能检测。 我们认为，随着人工智能技术的突飞猛进，未来或将带来数量更多、模式更复杂的网络攻击， 因此，网络安全的需求有望随着各类技术的发展而增长，技术发展的越快，网络安全需求增 长的越快。

4.2、人工智能为安全防御赋能，将提升安全工具使用效率

人工智能作为一把“双刃剑”，若将其应用于安全防御领域，有助于提升安全运营效率、反 制其带来的不良影响，通过“魔法”打败“魔法”。 （1）Microsoft Security Copilot 美国微软公司于 2023 年 3 月发布其新一代安全产品 Microsoft Security Copilot。Microsoft Security Copilot 将大语言模型（LLM）于微软专用的安全模型结合，成为一款让安全人员能 够以 AI 的速度和规模做出相应的安全产品。该产品具有持续增长的安全技能，并获得由微 软独特的全球威胁情报和每天超过 65 万亿个信号所提供的信息支持。通过 Security Copilot，使用者将： a.简化工作，提升效率。

安全注重时效性，往往需要在短时间内做出相应。借助 Security Copilot，安全人员可以在 几分钟内响应安全事件，无需像过去一样花费数小时或数天。 b.提前发现网络安全威胁 网络安全攻击者往往会隐匿在各种噪音（Noise）后面，通过 Security Copilot，安全人员可 以发现那些原本可能未被发现的恶意行为和威胁。 c.缓解专业人才紧缺的问题 据微软预测，全球安全领域约有 340 万个职位空缺，而专业的安全运营人员需要大量的成 本投入。Security Copilot 能够回答与安全相关的问题，提高安全人员的技能。同时，Security Copilot 将不断从用户交互中学习，适应企业偏好，并就x佳行动方案向安全人员提供建议， 以实现更安全的结果。

（2）深信服安全 GPT。 深信服于 2023 年 5 月 18 日举行产品发布会，发布深信服安全 GPT。该产品为安全行业垂 直领域大模型，且不依赖其他开源模型，由深信服自主训练，并部署于深信服托管云，实现 完全自主可控。 深信服安全 GPT 基于“大模型算法+威胁情报+安全知识”训练而成，目前可应用于高威胁 检测、安全监测调查、热门漏洞排查等场景。

高威胁检测场景：目前，已经出现攻击者利用 AI 大模型快速发动攻击，经测试，主流传 统安全产品难以识别该类攻击。深信服 XDR 通过安全 GPT 技术，可以直接在安全事件页 面，精准识别出利用 AI 大模型生成的攻击告警，并形成近乎一致的攻击 Payload。通过使 用 5kw 样本集、500w 混淆类的攻击手法，将安全 GPT 的能力和传统产品进行对比，检测 率上升至 95.7%，误报率下降至 4.3%。经过公司测试，安全 GPT 对安全攻击的理解已经达 到 5 年从业经验安全砖家的水平。

安全监测调查场景：当前大部分传统产品对安全攻击的理解都是初的，但安全 GPT 能够 图文显示监测结果，在海量信息中筛选有价值的报警信息，解读复杂的数据包内容，确定具 体的风险以及事件受害者资产的责任人，并提供攻击者信息、攻击意图，给出解决方案。在 过去，需要花费 3-6 个小时才能完成检测任务。资产定位、影响面排查、查询 CMDB（配置管理数据库）、手动关联数据等流程需要耗费大量时间。现在，使用安全 GPT 只需要进行几 次简单对话，花费 5-10 分钟即可完成同样任务，实现了生产力的飞跃。 热门漏洞排查场景：进行漏洞排查，需要知道其原理和目的，安全 GPT 能显示 CVSS 评分、 漏洞潜在威胁、并且显示过去被攻击的次数，详细给出风险资产名称，并以表格形式输出， 本来需要进行多步骤才能查询到的结果，现在通过安全 GPT 可以在较短时间内完成。

（3）除安全垂直领域大模型外，国内网安厂商也在积布局人工智能与网络安全结合的相 关技术。以启明星辰为例，公司针对 LiveAction 的加密分析（Cryptanalysis）技术展开研究， 围绕采用加密的 DNS 隧道、HTTP 隧道及 HTTPS 隧道通信的攻击流量，设计出高效的 AI 检测技术，并在 NFT 及 TAR 等产品中实现落地应用；除此之外，基于 AI 赋能的 AIOps 平 台，启明星辰自主研发的人工智能安全建模和赋能平台，将 AIOps 自动化运营的能力加持 到 AI 安全建模的全过程中，全面提升数据获取、数据处理、算法配置、模型训练、模型部 署等步骤的效率，让 AI 检测分析模型更加触手可及。

4.3、AI反诈催生新的安全需求

4.3.1、深度伪造技术带来的安全威胁

深度合成和生成式 AI 技术作为人工智能领域的创新应用技术，因其具备应用门槛较低、娱 乐属性较强、应用场景丰富等特征而备受关注。随着深度合成和生成式 AI 技术逐渐开放开 源，相关产品和服务增多。通过深度合成和生成式 AI 技术伪造文本、音频、视频，进行诈 骗、勒索、诽谤等违法犯罪的行为已屡见不鲜。据哈尔滨网警官方百家号报道，2021 年 6 月，某位受害人遭受欺诈，诈骗人员不仅拦截了受害人的手机验证码，还攻破了银行人脸识 别系统，在受害者没有参与操作的情况下，远程 6 次“扫脸”验证成功。无独有偶，据包头 市XXX局官微报道，2023 年 4 月，福州市某科技公司法人郭先生遭受 AI 诈骗，诈骗人员利 用 AI 换脸技术，通过微信视频的方式佯装受害人的好友，并对其实施诈骗，涉案金额高达 430 万元。

4.3.2、针对深度伪造与生成式AI的应对措施

美亚柏科作为国内电子数据取证龙头，公司 2017 年就成立了 AI 研发中心，相关技术布局 较早，为了应对人工智能可能带来的安全问题，公司于 2019 年专门针对深度合成等技术成 立了专项研究团队。通过对深度合成和生成式 AI 技术的深入研究，美亚柏科推出针对视频 图像检测鉴定的一体化装备“AI-3300 慧眼视频图像鉴真工作站”，以及针对人工智能（如 ChatGPT）生成文本内容的检测工具“AIGC 内容检测平台”。

AI-3300″慧眼”视频图像鉴真工作站是一款以人工智能技术为核心的视频图像检验鉴定设备， 配备了美亚柏科人工智能团队自主研发的核心 AI 智能检测引擎，支持当前绝大部分深伪视 频图像篡改方法的检测，检测精度处于国内领先水平。同时，“慧眼”涵盖了 40 余种视频图 像真伪鉴定算法，近 10 种深伪鉴定算法，同时具有智能鉴定和专业鉴定两种鉴定模式，支 持卷宗管理和三种鉴定文书生成，为司法鉴定人员提供一站式视频图像检验鉴定服务。针对生成式 AI 鉴真，美亚柏科基于在电子数据取证和公共安全大数据多年的行业积累，研 究推出的针对人工智能（如 ChatGPT）生成文本内容的检测工具。该工具对中文生成文本 检测的准确率超过 90%。

五、国内安全厂商对比分析

5.1、头部网安公司对比分析

（1）头部公司主打产品都涉及网关类安全产品 主要有：防火墙、统一威胁管理平台（UTM）、入侵检测和入侵防御（IDP）、虚拟专用网络 （VPN），安全内容管理（SCM）。可以看到各细分领域的厂商基本都是深信服、启明星辰、 绿盟科技、天融信等头部公司，以及华为、新华三两大数通厂商。

（2）选择好赛道是公司迅速成长的前提条件 。这些头部公司之所以能长大，从产品选择角度来看，此前均重点在市场容量较大的细分领域 发力，如防火墙、UTM（含下一代防火墙）、入侵检测、上网行为管理领域。但各家侧重点 和优势产品又有所区别。 （3）下游客户占比 这些头部网安公司的下游客户类别差异不大，主要是XXX及事业单位、运营商、金融、能源 等行业，从各行业客户的占比来看，各网安公司之间存在一定差异。其中x主要的区别在于：相较于其他网安厂商，在深信服的下游客户中，以企业为代表的中小客户占比较大，而其他 网安厂商的下游客户以XXX、央国企等大客户为主。

（3）销售模式 。深信服以渠道销售为主，2022 年渠道销售收入占总收入的 96.32%。相比其他安全公司，深 信服面向的客户体量相对较小，近年来公司着力进行行业纵深，拓展XXX部委、银行等大客 户。 绿盟科技近年来实施渠道战略转型，截至 2022 年末，绿盟科技共签约超 3500 家合作伙伴， 其中战略合作伙伴与生态合作伙伴超过 30 家，并累计服务超过 50000 家的全国客户。 安恒信息采用渠道销售和直销相结合的方式，直销和渠道占比相对均衡。主要原因是因为公 司产品的目标用户群多、用户的地域及行业分布广，采用渠道与直销结合的方式能够x大程 度实现市场覆盖、x高效率为客户提供网络信息安全产品及服务。

亚信安全采取渠道与直销相结合的方式，对于电信运营商、金融、能源等领域的头部大型客 户，公司一般采用直销的方式，安排专门的销售及业务团队为其进行服务。对于其他客户， 公司一般采取渠道代理销售的方式。 迪普科技、山石网科采用渠道销售和直销相结合的方式，并以渠道销售为主。截至 2022 年 末，迪普科技在全国设立了 28 个办事处并根据各地情况增设二办事处，有效渠道合作伙 伴 2,500 余家；山石网科代理商签约数量约 1932 家。 启明星辰、天融信、奇安信、安博通以直销为主，面向的客户体量相对较大，由于行业景气 度提升、地方性客户需求增加，也开始强化渠道建设，拓展中小客户。 两种销售模式是在面向不同体量客户下的适应性选择，无明显优劣，未来是否能在对方领域 取得突破性进展还需持续关注。

（4）头部公司财务指标。 营业收入： 尽管 22 年网安行业受外部因素影响较大，普遍表现不佳；拉长时间看，18-22 年头部公司 的安全业务复合收入增速大部分在 20%左右。 经营性净现金流： 深信服采用渠道销售模式，渠道垫资形成预收款，相比直销形成应付款为主，有更好的经营 性净现金流表现。 毛利率： 渠道模式的深信服安全业务毛利率较高，直销为主的公司毛利率较低。

我们认为，其主要原 因为：（1）深信服销售产品后的实施、调参等工作交由渠道完成，在直销模式下这类人工计 入成本项使得毛利率相对略低；（2）深信服产品在中小客户领域或享有一定品牌溢价。 长期来看，我们认为网安公司长期毛利率有望保持稳定，其主要原因是： （1）网安公司的研发、销售支出刚性，合理的毛利率水平是企业生存的必要条件。（2）对于网安厂商来说持续绑定客户的关键在于优质的产品和服务，若持续打价格战，难 以保证提供比竞争对手更好的技术和服务。技术和服务若不能保证，则难以持久占据市场， 因此，我们认为网安厂商之间打价格战的意义不大。

收入季节性强： 信息安全公司收入有较明显的季节性，由于下游客户主要包括XXX、运营商等客户，上述客 户通常实行预算管理制度和集中采购制度，在上半年审批当年的年度预算和固定资产投资计 划，在年中或下半年安排设备采购招标，设备交货、安装、调试和验收则集中在下半年尤其 是第四季度，所以行业公司普遍存在季节性销售特征；下半年尤其是第四季度收入在全年收 入中占比较高。研发投入： 各家公司普遍重视研发投入，研发费用率普遍在 22%以上。

销售费用率： 深信服、绿盟科技、迪普科技三家公司销售费用率较高，我们推测，是由于这三家公司以渠 道销售为主，相比于直销需要指出更多营销费用所致。类比国内其他大 B 端软件行业，可以 预见，国内网安公司销售费用率长期看或有下降趋势。如 ERP 也是面向全行业的 b 端客户， 且以大 B 客户为主，ERP 龙头公司用友网络（成立时间是 1988 年，较启明星辰、绿盟科 技、深信服等网安头部公司成立早 10 年左右时间），随着用友网络收入体量增加、客户覆盖 度变高，销售费用率从早期 2003 年的 41%降到 2020 年的 18%。一定程度上可借鉴用友网 络的销售费用率变化趋势，前瞻网安头部公司的销售费用率变化趋势。相比 ERP 行业，网 安公司高度产品化的销售模式，更有利于毛利率稳定，在销售费用率得到控制的情况下，更 容易看到合理的净利率表现。

5.2、头部网安公司盈利指标有望回归合理区间

（1）受外部因素影响，下游客户需求侧紧缩，2022 年大部分网安公司收入增速不达预期， 同时费用支出较高，因此导致 22 年行业大部分公司净利率偏低。我们认为，在宏观环境逐 渐改善的大环境下，下游客户需求侧有望改善，叠加网安厂商逐步进入控费周期，网安公司 盈利能力有望恢复。 （2）我们认为，网安行业的净利率有望维持在 10-20%的合理区间。网安行业由于产品种 类多，单一公司难以在全产品线上都超越同行；且需要根据攻击不断持续进行技术产品升，难以在研发上拉开代际差距。这些行业特性，使得一家公司想通过进行持续高强度的投入， 以实现与其他头部公司在市占率、产品、技术上都拉开差距是比较困难的。想要拉开差距需 要打持久战，打持久战长期来看需要有健康的财务回报和可以满足发展的现金流。因此，长 期来看网安公司还是会选择追求合理的利润回报。