报告摘要
RSAC:信息安全行业风向标
RSAC 2020于今年2月24日至28日在美国旧金山举办,主题定为“Human Element”(以人为本),共有7家中国厂商参会,包括360、绿盟科技(21.270,0.27, 1.29%)、山石网科(43.940, 0.45, 1.03%)、在线身份验证提供商ExcelSecu、与两家台湾厂商。大会议题主要包括:(1)海外信息安全行业中,合规也是相当重要的因素。欧盟通用数据保护条例(GDPR)、加州消费者隐私法案(CCPA)相继推出,大会中较多厂商提出满足两项政策要求的解决方案。(2)从今年的RSA Conference中我们看到,信息安全正与云计算、自动驾驶、AI等技术或场景加速融合。
业绩总结:19Q4略超预期,2020年关注新兴安全标的
总体来看,信息安全板块2019年业绩略超预期,关注Q4营收明显提速标的。截至2020年2月底,17家信息安全行业公司披露2019年业绩快报,15家公司均实现盈利。从业绩增速上来看,相较前三季度,Q4增长提速的标的:深信服(171.990, 0.02,0.01%)、启明星辰(37.190, 0.14, 0.38%)、中新赛克(155.180, -2.34, -1.49%)、美亚柏科(21.390, 0.49, 2.34%)、迪普科技(49.720, -0.38, -0.76%)。从季度收入增速的角度,行业需求有望处于拐点向上的阶段。我们选取17Q1-19Q4披露了季度收入增速的9家公司,19Q4整体收入增速超过第三季度5pct,但不及Q2。我们认为,随着政企上云、5G、车联网加速,有望拉动相应安全需求,建议关注收入增速较快的新兴安全领域标的。
展望2020:政府或加大投入力度、安全与云计算/5G的加速融合
1)目前市场预期货币与财政政策或将加大宽松力度,以刺激全年经济。往年,信息安全行业受下游客户预算影响较大,安全投入无论是绝对数还是占IT总投入的比例都有较大提升空间。根据IDC,2017年我国安全支出仅占IT总支出的1.87%,而美国的占比达到4.78%,如果根据2018年OMB(美国公共与预算管理办公室),公共部门的安全投入占比接近15%。我们认为,在政府财政刺激与“十三五”最后一年的影响下,安全预算投入或超预期。2)我们认为,政企客户上云、5G、物联网、自动驾驶在2020年的加速落地,都将带动安全需求进一步扩容。
建议关注
随着信息安全与新兴技术及场景的加速融合,我们建议关注与云计算、5G、车联网等新兴领域有一定业务相关度的标的。重点推荐:深信服(云计算):Q4超预期;美亚柏科:5G潜在受益标的;启明星辰:20年城市运营进一步落地。建议关注:安恒信息(219.750, 3.74, 1.73%)(云计算)、山石网科(云计算)、格尔软件(43.690, 2.36,5.71%)(智能驾驶)、恒为科技(23.780, 0.09, 0.38%)(5G)、中新赛克(5G)。
风险提示:信息安全行业政策不及预期;政企客户信息安全支出受限
信息安全:19Q4略超预期,2020高景气度或继续
总体来看,信息安全板块2019年业绩略超预期,关注Q4营收明显提速标的。截至2020年2月底,17家信息安全行业公司披露2019年业绩快报。除蓝盾股份(4.860,-0.03, -0.61%)与任子行(7.420, -0.06, -0.80%)(维权)外,其余15家公司均实现盈利。在披露了业绩预告的10家公司中,中孚信息(85.890, 1.09, 1.29%)、数字认证(40.550, 0.37, 0.92%)、蓝盾股份快报净利润超出了预告净利润上限,任子行低于快报净利润下限,其余六家公司符合预告净利润区间。从业绩增速上来看,相较前三季度,Q4增长提速标的:深信服、启明星辰、中新赛克、美亚柏科、迪普科技。
图表1:截至2020年2月底,17家信息安全行业公司披露2019年业绩快报

从季度收入增速的角度,行业需求有望处于拐点向上的阶段。我们选取17Q1-19Q4披露了季度收入增速的9家公司,19Q4整体收入增速超过第三季度5pct,但不及Q2。
图表2:样本公司季度营收增速

政府或加大投入&安全与云计算/5G加速融合,关注新兴安全领域
一、政府客户或加大预算投入力度
目前市场预期货币与财政政策或将加大宽松力度,以刺激全年经济。往年,信息安全行业受下游客户预算影响较大,安全投入无论是绝对数还是占IT总投入的比例都有较大提升空间,根据IDC的数据,2017年我国信息安全支出仅占IT总支出的1.87%,而美国的占比达到4.78%,如果根据2018年OMB(美国公共与预算管理办公室),公共部门的信息安全投入占比接近15%。我们认为,在政府财政刺激与“十三五”最后一年的影响下,安全预算投入或超预期。
从合规角度来看,随着等级保护、护网行动常态化与信创进程不断深入,客户合规需求日益紧迫,安全行业下游需求力度有望进一步加大。
二、产业趋势加速,安全重要性凸显:政企客户上云、5G、物联网、自动驾驶
从今年的RSA Conference中我们看到,信息安全正与云计算、5G、物联网、自动驾驶等技术或场景加速融合。
在云计算领域,政企上云加速或将拉动私有云及政务云安全需求;5G建设加速,带宽与流量增长,利好流量侧网络可视化子行业;自动驾驶领域,网络攻击防护厂商360与PKI厂商已开始将解决方案逐步渗透;AI技术赋能安全自动化。
我们认为,政企客户上云、5G、物联网、自动驾驶在2020年的加速落地,都将带动安全需求进一步扩容。
RSA大会有哪些关注点
RSA大会是当今信息安全行业风向标。RSAC 2020于今年2月24日至28日在美国旧金山举办。从最初的1991 年的小型密码学论坛,到如今的全球信息安全大会,RSAC的主题一年一变,从单一的技术探讨转变为多方位多领域融合的安全保护解决方案展示。随着近些年新技术新事物如云计算、物联网、人工智能技术的成熟,以及网络安全威胁风险越来越大,损失越来越高,手段越来越复杂,网络安全防护面临的新的挑战,2020年RSAC主题定为“Human Element”,象征着以人为本,人将在安全行业中发挥着不可或缺的作用。
7家国内安全厂商出席。本次安全大会共有超过700家参展商,其中中国参会厂商包括360集团、绿盟科技、山石网科、在线身份验证的国内解决方案提供商excelsecu、区块链证据保存和数据取证的应用程序提供商BlockChain Security(中国台湾)以及IBASE Technology Taiwan(中国台湾)。
关注点一:保护用户隐私
近年来,在全面数字化的背景下,出现了诸多影响面较大的隐私和数据泄露事件,企业和用户对于隐私和数据安全的关注日益增加。随着欧盟通用数据保护条例(GDPR)、加州消费者隐私法案(CCPA)的推出,我国也在近年陆续发布《数据安全管理办法》(征求意见稿)、《个人信息安全规范》等法规标准,如今个人信息和敏感数据的合规性要求已经非常强,个人隐私保护形势严峻。
2020 RSAC创新沙盒(信息安全技术)冠军是专注隐私保护的 SECURITI.ai。SECURITI.ai作为成立于2018年,最高融资额8000万美元的公司。基于面向人的知识图谱的构建,实现个人敏感信息发现为模型提供支持并实现智能交互;基于隐私数据分布广泛难以统一管理的特点,SECURITI.ai 也提供了运营平台 Privacy Ops,根据数据安全法律的合规性要求,特别是数据权利请求、第三方风险评估、许可生命周期管理等,通过技术的手段,自动化、程序化地进行监控、处理,从前端而言,整体感觉用户友好,可视化、易用性较好,解决客户隐私数据管理的问题。
图表3:利用PrivacyOps批量式响应用户隐私数据操作请求

关注点二:与云计算、AI等多种技术相互融合
1、DevSecOps
DevOps解决IT运维与开发的一体化问题,在云计算、分布式架构中已较为成熟,如今逐渐应用于信息安全行业,我们称之为DevSecOps。DevOps用于促进应用程序或软件开发、技术运营和质量保障(QA)部门之间的沟通、协作与整合,让开发、运维和QA可以高效协作的流程。过去安全防护只是特定团队的责任,在开发的最后阶段才会介入。但是随着软件或应用程序的开发速度的不断加快,安全措施的滞后会拖累开发速度。
较传统的DevOps,DevSecOps将安全的因素纳入考虑,将安全前置,甚至要求在代码开发之前就将安全因素纳入考虑范畴之中,而不是在后期不停去打补丁或者在外围增添安全设备。这种将IT 安全防护融入应用的整个生命周期中,从一开始就要考虑应用和基础架构的安全性;同时还要让某些安全网关实现自动化,以防止 DevOps 工作流程变慢。选择合适的工具来持续集成安全防护(比如在集成开发环境(IDE)中集成安全防护功能)有助于实现这些目标。
图表4:DevSecOps概念图

本次RSAC大会,ForAllSecure聚焦在DevSecOps,通过“下一代”模糊测试技术结合使用“符号执行”技术和“导向型模糊测试”技术,能够针对测试发现的安全漏洞自动化生成概念性验证(PoC)和补丁,在一定程度上降低了传统白盒测试的高误报和黑盒测试的盲目性。
2、人工智能
AI为内容治理、数据隐私、合规及工作流程自动化提供了统一的方法。结合机器学习和AI技术,帮助用户对其内容资产进行有效的监控和管理。平台也能很好地处理内容复杂的工作流,并且即使远程也能快速访问大型文件。
3、云计算
无论在国内还是国外,云计算已经成为了普遍的IT基础设施,云安全已经成为了信息安全中不可忽视的问题,例如云上配置、访问控制、检测响应等。
随着各种云上安全事件频繁,SaaS、PaaS的数据泄露已经成为这两年很热的话题,Gartner将该细分市场称为CSPM(Cloud Security Posture Management),目前大部分公司的配置核查主要是对如存储资源的访问凭证进行检查,避免弱口令或无口令拖库的事件。会上被提出的解决方案是,既然攻击者能够无凭证或获取弱凭证,那就需要监控云端服务的访问行为,聚焦在看似合法的访问,而非以往关注恶意攻击,有点像前几年内网持续遭到渗透后,业界开始聚焦在合法用户的异常行为,所以出现了UEBA。总体而言,这个方向的技术难度不大,借鉴的现有技术不少,创新不多,但市场空间大,所以创业公司的前景还不错。
4、车联网安全
360参展,提出智能驾驶安全方案,已落地。2月28日, 360携手梅赛德斯-奔驰亮相RSA 2020 “Security Strategy & Architecture”(安全策略与架构)会议。
汽车在引入智能化和网联化之后,也引入了信息安全风险,攻击者可通过应用漏洞、系统漏洞、网络攻击、OTA攻击等方式对汽车发起攻击,严重甚至可影响汽车的动力系统,导致车辆被远程控制,影响到个人安全。
为了保护智能驾驶时代的汽车网络安全,解决汽车车联网及智能网联汽车的联网安全、通信安全、控车安全、应用安全等问题,360推出了汽车信息安全解决方案——360汽车安全大脑。该方案包括加装终端防护软件、车载联网防火墙、汽车专用安全芯片等,不仅能对车联网状态进行实时的可视化呈现,还可以结合安全大数据,对各种安全事件进行告警、预测、处置和记录,同时进行取证、溯源、分析、复盘。360汽车安全大脑可从芯片到云端进行汽车全面防护,实现实时动态防御,减少残余风险,保证出行安全。
目前,根据360公司官网,360汽车安全大脑已接入超30万辆汽车,共拦截攻击35000余次,累积发现车联网超500多个安全问题,影响了约450万辆智能汽车。
5、其他物联网领域
IT和OT融合的安全。随着物理世界和网络安全的不断融合,安全职能的角色和责任也在不断演变。很多首席安全官的职责跨越物理和逻辑安全,关于工控系统的对话越来越多,这在一定程度上要归功于NotPetya勒索病毒。