【原创研究】从幕后到台前:信息安全行业投资框架再梳理
来源: 合伙人 陈天伦日期:2023-08-07浏览量:1315
鲲鹏变化三十载,中国的信息安全行业正在从幕后走向台前。站在时代的关键窗口,安全产业被赋予全新的战略使命:外有中美大国博弈,内有中国产业数字化;大到AI大模型创造“奇点时刻”,小到工业、汽车场景深刻变革——信息安全不只是全球地缘竞争的防线,更是万千产业数字化转型的底座。行业拐点将至,信息安全的“老树”是否能开出“新花”?如何认知和把握信息安全产业的投资逻辑?
信息安全产业的最大特征,是产品高度碎片化、细分化,且覆盖产业链相对冗长。什么是信息安全产业的本质?所谓“乱花渐欲迷人眼”,纷繁复杂的产品体系,创造了排列组合的巨大可能性。为了更好地自上而下认知产业,我们通过防护对象和周期两大维度,建立信息安全产业的“产品地图”。
图 - 基于对象和周期的信息安全产业图谱
所谓“万变不离其宗”,信息安全产业的底层逻辑无外乎有二:作为“次生产业”,信息安全的价值需要通过防护对象而呈现。根据对象的不同,信息安全被分解为端安全、边界安全、数据安全。其中,“端”是静态的“点概念”,包括物理硬件终端,以及相应的设备、仪器和微观介质;而“边界”是动态的“线概念”,包括点到点、端到端、边到边的传输过程,在一定程度上等同于我们常讨论的“网络安全”。数据安全是动态的“体概念”,既覆盖了数据在不同生命周期的发生阶段,又涵盖了数据的不同形式、不同场景。“数据”是安全产业的灵魂。根据不同的发生周期,信息安全产业囊括了采集、传输、存储和处理的全过程。这也符合ICT产业“感知—决策—执行”的宏观逻辑。信息安全产业的本质是“防护对象”和“技术周期”的相乘。因此,围绕上述两者的演进趋势,信息安全产业在不同场景呈现出不同产品的排列组合;通过对不同场景细分产业的持续Mapping,方能“守得云开见月明”。
经历30年风雨,中国信息安全产业的繁荣主要来自于两大因素,即合规驱动和数字化驱动。外有政策强制催化,内有中国企业信息化、数字化、智能化的长期演进趋势,信息安全产业得以在相当长的时间内稳健增长。中国特色体制下的政策环境为本土信息安全产业的增长提供了强制性的“设定”。这种设定既清晰地描绘了产业的天花板,也为行业增长指明路径。自2007年底“等保1.0”正式实施以来,中国安全产业进入第一波“井喷期”:结合互联网对企业信息化的改造,第一批信息安全上市公司开启资本化之路。在这一阶段,端安全、边界安全是绝对的行业主题。
图 – 需求侧:信息安全产业进入合规驱动的兑现期
合规驱动在近5-10年更为显著,产业已进入业绩兑现期。中国企业有限的数字化基础,决定了信息安全产业增长存在短板。事实上,大部分企业仍然将安全产品和服务的投入,视作必要的“成本项”,而忽略了安全对于数字化本身的价值。这是由中国企业数字化的发展阶段所决定的,也意味着短期内需求以政策催化为主。自2019年底“等保2.0”正式实施以来,安全产业在合规驱动下开始新一轮增长,但仍没有跳脱出政策的“外部设定”。数字化进程决定了信息安全的发展阶段,两者存在3-5年的时间差。中国信息安全产业的增长与企业数字化的进程是大体匹配的:当基础设施发展到一定阶段后,企业将在政策指导下产生安全投入的需求,两者一般存在3-5年的gap。换言之,中国企业在21世纪初启动信息化进程,而规模化的安全投入普遍发生在07年以后;而2010年起中国开始被“移动互联网”所重塑,但安全产业真正的业绩兑现也普遍在2015年以后。
图 - 新场景、新技术是信息安全产业增长的主线
2013年后,新场景、新技术是安全产业增长的主线。在早期信息化阶段,企业主要考虑的是计算机和网络安全,这也是信息安全所附着最早的“端”和“边界”;在2013年后,伴随移动互联网的接棒,企业基础设施开始从本地部署向“云-管-端”迁移,逐渐催生了移动终端、Web应用和云的安全需求。因此,2018年前后开启的第二批信息安全上市公司,大多跳脱了传统的技术和场景框架。过去30年,信息安全产业的增长没有跳脱端和边界的框架。围绕现有的技术和场景,信息安全产业出现了增长的“悖论”:不同场景和技术的催化,本质上对应了不同产品的排列组合。安全产业附着于不同的“端”和“边界”,对应了从PC到智能手机、从互联网到移动互联网、从本地化到云边协同的转变。当我们将立体的场景“对号入座”,不难发现产业整体的框架仍然受到“端”和“边界”的局限。
图 – 对号入座:信息安全产业发展的产品演进
数据安全是中国信息安全产业的“处女地”。信息安全产业图谱的立体轴线是“场景变化”,叠加平面的“防护对象”和“生命周期”,我们围绕不同场景进行Mapping,最终构建了安全产业的立体框架。显然,数据安全是立体框架下的最薄弱环节。中国大部分企业在信息化的基础上,已经或即将进入“数字化”和“智能化”的阶段,这将导致安全产业发生颠覆性变革:当数据成为第五大生产要素,底层生产力发生重构,由此导致全新的安全需求。
为了寻找未来的信息安全第三批上市公司,我们需要回答:
(1)数据安全的价值在什么场景能够最大化?
(2)这也意味着,哪些技术、哪些场景可能跳脱出原有的产业框架?
资本市场对于信息安全产业发生价值重估。过去3年,我们见证了二级市场对于信息安全产业的价值重估:无论是第一批在信息化过程中孕育的行业老兵,还是伴随新场景、新技术而兴起的后起之秀,清一色迎来估值回归:行业估值从平均15x PS回归至5x PS,绝大部分公司惨遭“估值腰斩”。安全赛道从市场“皇冠上的明珠”跌落,实则是产业发展迎来了关键分水岭。
图 – 泡沫破裂:二级市场信息安全产业价值重估
为什么二级市场开始不买账了?安全行业的运行逻辑,发生了什么样的变化?信息安全产业估值泡沫破裂的根源,在于产品同质化下的盈利窘境。所有信息安全上市公司都有实质性的毛利率下降问题。在同质化竞争的市场逻辑下,Margin是评价信息安全公司护城河的最重要指标。我们统计了信息安全上市公司过去10年的毛利率变化:几乎所有信息安全行业的上市公司,综合毛利率从平均75%下降到平均55%,无一幸免。传统信息安全具有高标准化、高同质化特征。现有安全行业的上市公司,大多没有跳脱“端”和“边界”的框架;而传统信息安全产品和服务往往同质化明显。对于大部分安全行业的玩家,核心产品线重合度高,核心客户群重合度高,这直接导致了产品上市后的“价格战”,也直接导致了盈利能力的回归和产品毛利率下降。传统安全的竞争门槛在渠道和成本,初创公司难以突出重围。传统信息安全产品的高度同质化,决定了企业竞争的壁垒正在快速上升:高度标准化的安全产品和服务,更适合于渠道销售模式,而渠道的跑马圈地需要时间。同理,先发优势决定了规模优势,而规模效应决定了边际成本。这也意味着,在传统“端”和“边界”安全的框架下,很难有新的创业公司能够突出重围。渠道模式下的费用模型:以规模换利润。囿于传统安全产品的渠道销售模式,大部分安全上市公司的销售费用率在35%以上,部分甚至超过50%;这是由安全产业的竞争门槛所决定的:谁有更大的渠道规模,谁有更充分的服务网络,谁就最先有规模和边际成本优势。但渠道养护的费用成为了盈利的重要拖累。A股最高的研发占比,安全行业“太卷了”。2023上半年,信息安全行业平均研发费用率高达48%。基于有限的样本统计,我们认为畸高的研发投入水平已成为A股研发占比最高的细分行业;但令人遗憾的是,大部分新兴安全上市公司却迟迟没有盈利产出——上市公司研发投入最高的新业务,无外乎工控安全、工业互联网安全、车联网安全和通用数据安全;但显然,新场景的产品和渠道建设非一蹴而就,产业需求的规模化仍为时尚早。显然,二级市场安全行业上市公司的价值重估,本质上反映了产业“青黄不接”的尴尬。一头是传统业务的盈利门槛持续式微,另一头是新业务产出为时尚早,究竟未来的安全产业将何去何从?安全产业正处于20年以来的分水岭。信息安全上市公司投入的收效甚微,本质上源于新兴安全业务与传统安全业务的逻辑有本质差别:传统安全限制在“端”和“边界”的框架,且大多发生在针对企业基础设施的通用场景(包括云和云原生);但新兴安全作用对象是“数据”,不同下游行业、不同企业用户的数据规模、类型、构成和价值诉求都有显著差异,造成了“数据安全”产品和业务的非标化、定制化、个性化。
表 – 重构安全产业的发展逻辑
数据安全的本质,是基于业务的场景安全。中国当下的数据安全产业,往往存在“大产品、小需求”的问题,企业的需求高度定制化,对应了较重的商业模式。一方面,从需求侧来看,下游以头部大型企业为主,尚缺乏长尾需求,存在高度非标特征;另一方面,从供给侧来看,数据安全的技术和产品成熟度欠佳,在客户需求的匹配上存在断层。因此,在行业发展的初级阶段,数据安全赛道的增长依赖于两点:(1)需求侧:下游场景数字化的进程。这直接决定了企业对于数据安全的内在需求。(2)供给侧:安全企业对于场景数字化的理解。企业用户的数据是流动的、差异的,数据安全需要在场景数字化中配套测试和实施,导致了数据安全的核心门槛在于“垂直场景know-how”;换言之,足够充分的场景理解有助于标准化的产品打磨。哪些下游场景的数字化进程领先?哪些场景的理解,是传统上市公司难以在短期获得的?寻找安全产业的新增长极,需要跳脱原有的场景和技术框架。沿着信息安全产业的立体框架,我们渴望找到传统安全行业上市公司无法在现有的基础上快速突破,进而为初创企业留有发展空间的市场,这通常意味着:初创公司的生存空间往往伴随着技术的“跨越式发展”,或者说颠覆性的技术革命。在全新的技术路径面前,安全行业上市公司通常存在“船大难掉头”的问题;或者说,绝大部分上市公司难以在最短的时间内发生技术响应,并且全身心地拥抱技术革命。For example,大模型技术是区别于原有AI框架的新技术,这对于所有传统框架内的技术路径而言是一种颠覆。我们需要在“场景安全”的基础上,找到最有“场景价值门槛”的“新场景”;换言之,这种场景是现有上市公司难以在短期内快速覆盖,比如:难以建立足够成熟的渠道网络,抑或是难以在短时间内建立深度的场景认知。For example,工业的场景门槛显著高于消费。
图 – 寻找增长极:跳脱传统场景和技术的框架
事实上是否如此呢?我们选取了行业内最有标杆性的4家上市公司,分别代表了传统安全和新兴安全;并整理了上述玩家现有的“新业务布局”。
图 – 寻找增长极:传统上市公司无法突破的市场
云原生、软件供应链成为布局最广泛的新业务,在很大程度上来自于技术框架的粘连。从本质上看,云原生安全仍然是“云安全”在容器时代的延续;而软件供应链安全仍然依赖于底层代码库检测和漏洞防御。与之不同的是,AI大模型相较于传统的判别式AI技术,存在显著的技术差异,属于颠覆性的技术革命成果;而以Llama2的开源为标志,大幅降低了AI开发者的算力和训练成本,使得新时代的人工智能“飞入寻常百姓家”成为可能。大模型在底层训练和推理技术的创新变革,也为现有安全上市公司的能力提出了新的挑战;开源框架下大模型的安全治理与防护,将成为未来10年乃至更长时间内,企业数字化不得不考虑的通用基础设施问题。显然,行业巨头拿捏不了的业务,通常是“场景价值门槛”最高的业务。为什么这些场景,上市公司做不进去?表面原因:渠道和决策体系的差异化。相较于金融、政府等一般行业,汽车(以整车厂为客户代表)、工业(以制造业为客户代表)是两大相对封闭的场景。从表面上看,汽车、工业的行业渠道与原有客群不重合,决策体系由传统的企业CIO/政府采购部门转向了负责企业实际业务决策的部门。这直接导致了现有上市公司的进入门槛。本质原因:场景数字化进程和认知门槛。回到场景数字化本身,在过去10年的发展过程中,汽车、工业的“数据”尚未有充分的互联;相关需求的催化也是在2019年“等保2.0”正式实施后才有实质性释放。未来3-5年,车联网、工业互联网的发展趋势相对确定;而汽车、工业本身的场景价值门槛又显著高于其他行业,意味着:安全公司不只要“懂销售”,还要“懂行业、懂场景、懂业务”。因此,站在信息安全产业的关键分水岭,我们的投资逻辑也逐渐清晰:结论1:端和边界安全相当成熟,碎片化特征以并购整合为主要逻辑过去20年,中国信息安全产业的发展主要集中于端和边界安全,而合规驱动贡献了行业的主要增长。传统安全具有产品线细碎、高标准化、高同质化的特征,这决定了上市公司集体陷入价格战的盈利窘境;核心竞争门槛是渠道、规模和边际成本,初创公司难以突出重围,产业逻辑将进入大规模的并购整合阶段。结论2:通用数据安全独木难支,关注业务和场景价值高的垂直行业数据安全产业“大产品、小需求”,供给侧存在明显的技术代差,需求侧以大型企业或集团为主,不同行业、不同企业的数据存在显著差异,导致需求高度非标,商业模式较重;这一现象将伴随下游场景数字化的进程而逐步好转。数据安全的本质是场景安全,需要关注场景价值门槛高或存在显著技术代差的细分行业。结论3:汽车、工业互联网是最能长成新一代安全巨头的主要场景汽车和工业互联网的场景数字化趋势确定,且上市公司难以在短期内建立对于下游场景业务流程的深度认知,为初创企业留有空白。从客户角度看,下游行业相对封闭,渠道和客户群与原有安全行业不同,采购决策体系存在显著差异,导致现有上市公司的进入门槛。结论4:AI安全有望成为跳脱原有技术框架的“卖水人”,值得长期关注预训练大模型掀开AI产业化的新纪元,跳脱原有技术框架,导致现有上市公司在短期内很难发生快速的技术响应;但从长期看,开源框架下大模型的安全治理与防护,将成为未来10年乃至更长时间内,企业数字化不得不考虑的通用基础设施问题。趋势确定,技术代差明显,有可能成为下一个时代的“卖水人”,值得长期重点跟踪。
