千亿网安市场,龙头能赚多少?
前几天,脉脉热搜又“捧红”了一家赛道龙头:奇安信官宣全员无年终奖,全员绩效为0。
网安一哥,出乎意料;年终奖金,风雨飘摇。
不过,取消年终奖是以“员工激励计划”的名义进行的,到底如何激励呢?据外传“关于启动业绩优良员工激励计划的通知”,奇安信2024将施行“划小核算单元、激发组织活力、落实三权三责”。
也就是说,公司内部各事业部、项目小组等不同组织有了“考核权、用人权、分配权”,每个小组织都有自己的责任田。难道说,奇安信,要开始来一场网安行业的“承包责任制”了?
奇安信搞的是网安行业的“小岗村”变革
网安行业的承包责任制,当然是一句比喻,并不完全符合奇安信想做的变革,但也有异曲同工之处。
所谓承包责任制,大家最熟悉的就是发轫于小岗村的家庭联产承包责任制,将田地包产到户、包干到户,发展至今,家庭联产承包责任制依然比较稳定。
但另外一种包干制就没有那么稳定了。1980年开始实行的“财政包干制”(类似承包责任制),也是地方上约定好每年上交中央一个固定额度的税收,剩下的归自己。不过财政包干制下,地方财政宽裕中央财政却紧张了,直到1994年后分税制取代财政包干制才有所缓解。
回到奇安信身上,奇安信在激励计划中表示,管理层集体讨论一致认为,落实好责任田、责任制、责任人之后,2024年就能够100%完成目标。但耕地与财政相关的制度变革也告诉我们,新制度或许会在初期起到很大的激励作用,但制度发展过程中的很多问题,也是管理层之前推演所预测不到的。
任何公司都不可能对事业部、项目实现完全的“承包责任制”,因为这一定会带来不同部门之间的“贫富差距”拉大,而下面事业部权限过大之后,公司层面的收入反而被固定住无法再增长,或者增幅要小于各事业部增幅之和。但不如此,所谓的落实好责任制就能足够激励大家完成目标,恐怕就过于乐观了。
奇安信要在内部搞“事业部联产承包责任制”,真的就能100%完成目标吗?
在回答这一问题之前,我们更想追问一个问题:安全赛道还是一个好赛道吗?网安一哥缺钱,是一家公司缺钱还是整个行业下行?奇安信想在2024年业绩远超2023,如果网安行业整体趋势在下行,一家企业又如何逆势而行?
网安整个行业,到底如何
从云安全、工控安全、数据安全(隐私计算)到身份安全、安全攻防,网络安全行业拥有众多细分赛道,每个细分赛道又有更多细分技术领域。如数据安全就主要有18个细分技术领域,包括数据安全治理、API安全、数据库防火墙、数据库审计、数据脱敏、数据备份/恢复/销毁、隐私计算等。
而且,每个赛道甚至每个细分技术领域也都有代表公司。一个一个去划分细分赛道与细分领域的话,美国Momentum Cyber发布的2023年全球网络安全行业全景图,就将网安行业分为一级安全分类18个,二级安全子分类39个。
但网安行业看似纷繁复杂,实则内在联系紧密,共同组成了一个千亿级别的大市场。
那么,市场到底有多大呢?
据嘶吼梳理,2023年国内网络安全招投标市场全年项目数达95153件,市场规模为404亿元(涉密和其他非公开招标不包含在内)。其中,2023年网络安全招投标市场TOP10供应商(金额视角)为奇安信、深信服、中国移动、启明星辰、天融信、联通数科、中国电信、新华三、安恒信息和绿盟科技。
当然,公开招标信息不能覆盖所有成交订单,而公开招标订单到底占网安市场总订单的多少比例也没有准确信息。因此,也有数据指出当前网安市场规模或在几千亿元。
但我们认为这或许有所夸大,毕竟看市场规模,根据市场集中度及头部厂商营收,即可做出大致估测。
据中国网络安全产业联盟(CCIA)数据,2022年,奇安信以10.4%的市占率居于国内网安市场行业第一。当年奇安信营收62.23亿元,CCIA也以此估算,2022年我国网络安全市场规模约为633 亿元。
数据来源不同,大家统计出现差异也属正常,但也能够看出,网络安全是一个600亿元以上总规模或在千亿左右的市场。还有观点认为,广义上网络安全产业规模总体已经达到2200亿元以上。
市场规模不重要,重要的是增速,有没有更多的增量市场。否则,存量市场上,随着运营商、IT厂商、互联网巨头、集成商也纷纷进入网络安全业务板块,如中国电信成立天翼安全、中移资本投资启明星辰等,赛道正越来越卷,价格战也不可避免。
安全行业的价格战,或许是整个行业利润微薄的一个原因?
但哪个行业没有价格战,从云服务到新能源汽车,从工业机器人到各类,可以说,除了垄断行业、奢侈品行业,价格战无处不在。
而且,随着全球化过程中的各类地缘冲突,各国的重要基础设施、企业均成为主要攻击目标,损失额也随之快速增加。在避险与保护需求下,网安行业依然处于上升趋势。
据统计,以Palo Alto为代表的美国头部网络安全企业,以及细分领域的头部企业CrowdStrike、Okta、Zscaler等在2023年仍然保持了较高的营收增速。2023前三季度美国网络安全上市企业的营收达到282.53亿美元,同比增长20.95%;不过,净利依然是亏损的,只是亏损同比缩减87.4%,由去年同期的23.58亿元美元减少至2.97亿美元。
而中国网安市场同样受到全球形势的影响,一方面,市场整体还在增长,截至2023 年第三季度,网络安全公开招投标项目的数量已超过18 万个,同比增长12%;另一方面,整体来看,专项采购预算价格和中标价格中位数都呈现明显的下降趋势。
先以低价成交,满足客户需求之后再期待后续订阅付费逐渐提高利润率的模式没有奏效,反倒是低价成交之后,不仅没有实现正价订阅,反而依然要提供高成本的定制化服务。随着众多客户提出五花八门的各式需求,各项目代码版本过多,甚至同一种安全服务,不管是入侵威胁服务、应用层检测服务还是安全监控服务,往往都迭代数百种不同项目的代码,后期代码维护成本指数级提高,但服务费却并不能同步提高。
这就不只是价格战,还是由于行业不能以标准化产品实现降本增效、网络安全市场成熟度较低困局下,所带来的净利润下滑甚至亏损。网安行业的困境,远不止价格战。
网安市场,龙头难成巨头
谈论网络安全这个赛道,离不开360与奇安信这两家企业。尽管两家“分手”之后,约定一个做B端一个做C端,但市场显然不是那么泾渭分明的。而且,即使360不去和奇安信争抢生意,但客户需求的多样化也意味着B端市场的碎片化,龙头难以占据更高的市场份额,甚至为了维持相对领先的市场份额,龙头还得不断砸钱去抢市场。
龙头难成巨头,奇安信又如何不焦虑。
况且,在前几年亏损之下,前期失血过多,奇安信的造血能力依然有待加强。2022、2023年尽管奇安信归母净利润为正,分别为5701.12万、7130.65万元,但扣非净利润依然分别亏损3.06亿元、9673.36万元。归母净利润实际上并不完全反映企业的赚钱能力,扣除非经常性损益后才是企业的赚钱能力。因为非经常性损益可能是由于偶然事件或非正常经营活动产生的,即扣除非正常因素后的利润,才更能体现企业主营业务的盈利水平和持续盈利能力。
对于网络安全,无论一家企业在软硬件、培训和人员方面投入多大,也无论是否保护隔离核心系统,只要系统以某种形式与外部网络相连,就存在受攻击的威胁。最高级的网络安全是建立完全与外网隔绝的内网。
不过,即使是内网,同样会被U盘或者因局域网节点感染而被入侵。2010 年,伊朗核设施使用的西门子工业控制软件被“震网”(Stuxnet)病毒入侵,就直接报废了大量离心机。而病毒最初只是被植入一个水泵中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞等逐层穿透,实现内网主机之间的传播,最终一剑封喉攻击核心设备。震网病毒因此也成为全球首个武器化的工控系统病毒。
所以,网络安全至关重要,其不仅保护着软件层面的数据、系统,同样在保护硬件层面的关键基础设施,如石油运输管道、发电厂、大型通信设施、机场等等。网络战的效果甚至可以和一场热战相比拼。
不过,对于大部分企业来说,封闭内网完全没有必要。企业业务还是需要与外网相连接,更要保护好自己繁杂的信息化系统。
怎么办?
一方面,奇安信连续多年主推自己的内生安全框架概念,试图稳住自己的存量市场。
奇安信认为网络安全已经落后于以体系化发展的信息化,要解决网络安全发展问题,不能依靠单个产品创新,更不能要求客户无限制地增加预算。
所以,就要从过去局部整改为主的外挂式建设模式走向深度融合的体系化建设模式,使之能够输出体系化、全局化、实战化的网络安全能力,以内生安全理念建立数字化环境内部无处不在的“免疫力”,构建出动态综合的网络安全防御体系。
但网络安全是一种伴生性技术,很难成为IT基础设施中的主要部分。作为附加部分,我国网络安全投入占信息化的比重一直低于世界平均水平,低比例的投入又如何建设成综合的防御体系?
“军费”有限,防线无限,这是摆在中国网络安全行业的一道难题。
而据美国白宫公布的2021财年预算,其2021财年IT总预算为922亿美元,其中网络安全领域总预算188亿美元,网络安全预算占IT预算的20.4%。而IDC 数据显示,2020年我国网络安全市场占信息市场的比重为1.87%,和美国20.4%的比重相差超10倍,同时也低于全球3.74%的平均水平。
齐向东也曾据此在2021年提出建议,在北京的重大信息化项目和关键信息基础设施中,将网络安全的占比提高至15%,并制定可落地、可衡量的措施,以逐步推向全国市场;并建议建立以“重点单位防御体系”和“网络空间监管与网空对抗体系”为核心的“双能力”保障体系。
全国政协委员、全国工商联副主席、奇安信集团董事长齐向东
齐向东认为,要实现‘双能力’体系的高效协同,就需要利用内生安全框架,在统一的框架下,形成两个体系之间的支援与帮扶、反向的协同。
而工信部印发的《网络安全产业高质量发展三年行动计划(2021-2023年)》中,也提出到2023年,电信等重点行业网络安全投入占信息化投入比例达到10%,网络安全产业规模超过2500亿元。
不过,有些时候还是计划没有变化快。
另一方面,在爆出全员无年终奖的同时,奇安信还发布了最新的大模型产品,大力发展AI+安全,试图以此发掘增量市场。
在4月9日,奇安信上线了基于QAX-GPT安全大模型的知识问答服务体验中心,由奇安信QAX-GPT安全机器人担任“虚拟安全专家”,帮助安全团队快速获取威胁情报信息、漏洞情报信息、代码片段解读、样本分析报告解读、Web日志分析等,从而快速决策。
毕竟,大模型在网络安全行业,既是矛,也是盾。大模型可以帮助黑客更高效率地创造新的病毒,也可以帮助网安人士去抵御新病毒。
而作为巨头,同样要面临网安行业的矛与盾:新型威胁层出不穷,友商抢单“喋喋不休”,龙头难以进一步壮大变成绝对龙头,而眨眼间排名在自己身后的企业已经追赶到了眼前。
写在最后
“360 退出奇安信是一个双赢的局面。奇安信长大成人可以自己去闯世界,360 也可以放开手脚,做自己想做的事情。我和老齐这么‘狡猾’的两位老同志,怎么会做出一个‘双输’的决定呢?”周鸿祎曾在2019年4月,两家分手时的媒体会说表示。
此后,360集团和奇安信终止了合作,360集团以37.3亿元出售所持的全部约22.59%的股份,并收回品牌授权。
但“分家”之后,奇安信扣非净利润持续亏损,哪怕2023年还在亏损。
而同行业绩表现至少尚可:
启明星辰2023年度业绩快报显示,营收约为45.29亿元,同比增加2.07%;归属于上市公司股东的净利润约7.35亿元,同比增加17.44%。深信服2023年度业绩预告显示,当年营收75.68亿元-76.91亿元,增长2.09%-3.75%,净利润1.8亿元-2.02亿元
当然,相比其他行业,这些净利润也不算什么。网络安全公司为何不如安防公司挣钱?
因为有实体设备、安装在真实世界中的安防,至少感觉更加切实有用,谁干了什么坏事,监控摄影头看得清清楚楚。网络安全行业,对很多客户来说,过于虚拟,看不见摸不着,安防企业好歹坏人做坏事能留下直观的记录,而病毒的攻击,被网安设施拦截之后,客户并不清楚或者只是知道拦截了。客户当然知道其重要性,但客户没有更加直观的刺激感。
病毒如果不厉害,客户就认知不到网络安全公司的重要性。但随着国家层面对域外病毒的抵御,能够通过国家队的攻防进入普通企业内网的勒索病毒,也有所减少。国家队拦截了最难缠的,那么一些普通的DDoS攻击,企业自身的网络管理、运维人员加上比较低比例的网安外部采购预算,基本就够了。
国家级网络安全基础设施当然不能替代企业层面的网络安全。毕竟,某些国家的网络安全战略表明,其网络攻击活动将不限于国家级网络攻防较量,任何具备攻击价值的目标如高校、先进企业、科研机构等都会成为网络攻击的对象。
所以,网安行业长期看,依然会江水“浪奔,浪流”,行业站稳千亿规模之后,肯定还是会有更大的前途。刚刚过去的4月15日,是第九个国家安全日,黄宇因为“涉嫌泄露国家机密”,以“间谍罪”被执行死刑、原单位29人受处分的典型新闻,更是震慑了很多人。
在国家安全日等宣传教育活动以及多项政策的推动下,越来越多的企业和机构,也会更加重视网络安全问题,并愿意投入更多的资源来保障自身的信息安全。
不要着急,龙头也赚不到钱的案例,在2023年各行各业的财报季里,也不是网安一个行业的孤例。不过,网安行业波涛汹涌的江水,未必只为龙头而流。奇安信能不能吃到增量市场?
或许,没有那么高的胜率。