网络安全：“数字经济+自主可控”稳预期，具备长期成长大逻辑

行业报告：网络安全2022年10月27日中航证券研究所发布证券研究报告请务必阅读正文后的免责条款部分行业评级：增持“数字经济+自主可控”稳预期，具备长期成长大逻辑分析师：邹润芳证券执业证书号：S0640521040001分析师：卢正羽证券执业证书号：S0640521060001研究助理：唐保威证券执业证书号：S0640121040023研究助理：闫智证券执业证书号：S0640122070030股市有风险 入市需谨慎◼近年来政府监管力度持续加强，潜在安全威胁驱动真实市场需求增加。2021年以来系列重量级网络安全法律法规、规章制度相继发布，仅2022年上半年就发布网络安全领域相关国家法律法规、行业规章、地方政策、技术标准和产业报告等近150项。我国网络安全相关法律法规体系基本建立完善，政府监管力度持续加强。Imperva相关报告显示，自2017年以来，全球网络攻击泄漏数据记录的数量平均每年增长高达224%。IDC发布的2021年勒索软件研究报告显示，全球大约37%的企业均遭受过某种形式的勒索软件攻击。根据IBM一项安全研究报告，2021年企业平均每起数据泄露事件成本为424万美元。各类数据安全事件在全球范围内愈演愈烈，更是驱动对网络安全防护的真实市场需求增加。◼数字经济、自主可控稳定市场预期，行业保持稳增长、快增长态势。党的二十大报告明确提出，加快建设“网络强国、数字中国“。2022 年 1 月12 日国务院发布《“十四五”数字经济发展规划》，在数字经济安全体系方面提出了“增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险”三方面要求。网络安全作为数字经济的“安全底座”，在我国大力发展数字经济、加强自主可控等国家战略的助推下，具备长期稳增长、快增长的大逻辑。根据工信部数据，我国网络安全产业总规模“十三五”时期年均增长率达15%。根据中国网络安全产业联盟（CCIA）数据，2021年我国网络安全市场规模约为614亿元，同比+15.4%，预计未来三年行业将保持15%+增速。此外，IDC数据显示，中国网络安全IT支出预计在2026年将达到 318.6 亿美元，约占全球网安 IT 支出的 11.1%，五年 CAGR 将达到 21.2%。◼市场结构优化、集中度提升，综合厂商具备竞争优势。根据《网络安全服务产业研究综述》，我国网络安全支出中，安全硬件占比仍然超过40%。但是可以明显看出，硬件占比逐年降低，软件和服务占比在逐年提升，结构持续优化。2021年我国网络安全市场CR1为9.5%，CR4为28.07%，CR8为43.96%，整体市场集中度进一步提升。云计算、大数据、AI、万物互联等信息技术的快速发展，使网络安全建设成为系统工程，原有的单纯卖产品模式已经不再适合，市场需求向一体化防护能力或方案过渡。网络安全市场进入快速增长期后，布局早、客户资源好、具备（安全产品+安全服务）均衡发展能力的传统综合性领导厂商更具竞争优势，云安全、数据安全、安全服务、整体解决方案可能维持更快的成长增速，预计未来我国网络安全市场集中度将持续提升。◼关注国内网络安全领域相关投资机会。1）建议关注综合性领导厂商：奇安信、天融信、启明星辰；2）在细分领域具有相对竞争优势的安恒信息、深信服、美亚柏科。网络安全——投资观点目录1.政府监管力度持续加强，潜在威胁驱动真实市场需求增加2.“数字经济、自主可控”稳定预期，行业保持稳增长、快增长态势3.市场结构优化、集中度提升，综合厂商具备竞争优势4.相关公司梳理目录1.近年来政府监管力度持续加强，潜在威胁驱动真实市场需求增加1.1 网络安全法修订大幅提高经营性机构违法成本1.2 近年来政府网络安全监管力度持续加强1.3 潜在安全威胁驱动真实市场需求增加资料来源：新华网，中航证券研究所1.1 网络安全法修订大幅提高经营性机构违法成本5◼国家拟修改网络安全法，征求意见稿拟对网络安全法作出四方面修改。9月，国家网信办发布了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，并向社会公开征求意见。本次修订，是为做好网络安全法与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益。结合去年9月正式施行的《关键信息基础设施安全保护条例》，相关法律法规进一步强化关键信息基础设施安全保护责任，完善关键信息基础设施运营者有关违法行为行政处罚规定。本次修订拟对网络安全法作出四方面修改：1.改变“一刀切”处罚方式。调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。2.调整行政处罚幅度和从业禁止措施。对违反网络信息安全义务行为的法律责任进行整合，调整了行政处罚幅度和从业禁止措施，新增对法律、行政法规没有规定的有关违法行为的法律责任规定。3.关键信息基础设施运营者违法行为罚则增加。两种行为增加罚则，一是使用未经安全审查或者安全审查未通过的网络产品或者服务的行为；二是在境外存储网络数据或者向境外提供网络数据的行为。4.有关个人信息保护法律责任拟改为转致性规定。鉴于个人信息保护法规定了全面的个人信息保护法律责任制度，拟将原有关个人信息保护的法律责任修改为转致性规定。◼本次拟修改的主要内容之一，是对违法相关规定、义务的行政处罚幅度进行调整和加入了从业禁止措施。增添了“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”，对直接负责的主管人员和其他直接责任人员“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”等规定，显著加大了对经营性企业的监管、处罚力度。网络安全产业的市场需求和法律赋予信息所有者的责任成正相关关系，即网络安全责任越大，网络安全市场需求也就越大。本次修订将大福提高经营性机构的违法成本，尤其是提升互联网企业及医疗、金融等重要数据运营商对网络安全的重视程度，或刺激相关网络安全产品及服务的潜在市场需求。资料来源：天融信公众号，中航证券研究所1.2 近年来政府网络安全监管力度持续加强6◼2021年以来系列重量级网络安全法律法规、规章制度相继发布。仅2022年上半年就发布网络安全领域相关国家法律法规、行业规章、地方政策、技术标准和产业报告等近150项。加上之前已发布实施的《网络安全法》、《密码法》等，我国网络安全相关法律法规体系基本建立完善，政府监管力度持续加强。图表：我国网络安全行业政策文件去年集中发布发布时间文件名称发布部门重点内容2021.06《中华人民共和国数据安全法》全国人大常委会我国数据安全领域的基础性法律，其完善了国家数据安全工作体制机制，规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责，并提出建立国家数据安全工作协调机制。标志着我国在数据安全领域有法可依，为各行业数据安全提供监管依据。2021.07《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》工信部到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。提升中小企业、重点行业和关键行业基础设施网络安全防护水平，电信等重点行业网络安全投入占信息化投入比例达10%。网络安全关键核心技术实现突破，加快新兴技术与网络安全的