大家好!
“数说安全”是专注于网络安全细分领域,用“数据+模式”的方法做行业研究和企业分析的自媒体。通过模式分析判断财务指标合理性,通过数据分析验证商业模式有效性。这个是在做行业研究和企业分析时的思考框架。这套框架比较完整,但有一些反人性的,过去按照种方式做研究效率非常低。现在有了自然语言处理和大数据分析技术辅助,让复杂的研究工作成为了可能。
今天从上面框架中挑选了三个重要话题与大家聊聊。先来说说网络安全行业现状及未来发展趋势。
大家可以想一下这个问题:“网络安全有没有终极解决方案?“ 我不知道答案。但这个问题引发了很多思考,网络安全问题的本质是什么?是技术问题?是经济问题?还是人的问题?最近几十年,信息技术极大地促进了生产力发展,生产关系也会随之发生变化,人类正式进入了信息时代。这种变化来的太快,我们好像还没有准备好。进入新千年后,大物移云的高速发展激化了聚变与适应之间的矛盾。长期以来,人们习惯了享受信息技术带来的便利,似乎忘记了事物的两面性,网络安全就是硬币的另一面。尤瓦尔赫拉利在《未来简史》中提到:“政府法律法规存在严重滞后性,等落实的时候科技不知道已经迭代多少次。”这句话也同样适用于网络安全领域。近年来,网络安全问题对世界秩序、政治经济和人们生产生活的影响越来越大,而且有失控的趋势。在2017年伯克希尔哈撒韦公司股东大会上巴菲特也说:“人类所面临的最大的威胁是网络攻击。”网络安全不仅是技术问题,还是经济问题,更是哲学问题。网络安全将是信息时代的永恒话题,因此这个行业具备长期投资价值。
回到数据上。一直以来,中国网络安全行业市场规模众说纷纭,有说三四百亿的,有说近千亿的。研究了多家机构发布的数据,综合来看,2018年中国狭义网络安全市场规模在四百多亿,近三年市场增长率在20%左右。前段时间看到个新闻,说中国小龙虾市场规模已超千亿元,这是个很好玩的对比。网络安全问题这么多?影响这么大?为何市场规模还不及小龙虾? “我们知道如何正确评估加州地震和佛罗里达飓风造成的损失,但对网络攻击却无能为力。”巴菲特一句话道出了“安全价值的衡量难题”。一直以来,国内安全产业主要靠合规驱动,免责成为了国内很多客户的核心需求。安全企业交付给客户产品和服务,客户基本上很难感受到安全的价值,只有在遇到问题的时候会感觉原来花的钱好像也没什么用,所以更倾向于把钱花在业务上。2018年欧盟颁布了《通用数据保护条例》明确对不合规的惩罚做了量化:年营业收入4%或2000万欧元取其高。看来,安全价值衡量确实需要政府政策窗口指导,未来安全企业将从交付产品和服务逐渐转变为交付安全价值。
网络安全法的颁布及后续落地执行有望量化安全价值,等保2.0新规或将成为行业市场空间引爆点,会驱动网络安全行业从二维商业关系向三维商业生态过渡。云计算、移动互联和物联网的普及应用让安全技术有了更多的应用场景。大数据、人工智能和区块链等技术的逐渐成熟带动了安全产品的升级革新。相信大家也有这样的感受,近年国内创投市场上安全企业的创业基础要么聚焦在新场景下的新机会或是应用新技术来进行产品升级。等保2.0新规对云计算、移动互联、工控和物联网领域提出了具体、明确的安全要求。随着新规的落地执行将会催生新的细分市场并放大整体市场空间,同时也会对行业竞争格局和商业模式带来一定影响,可以说中国网络安全行业进入了变革期。
通过产业链分析,能够了解从原材料到最终交付给客户产品的演变路径,同时也能反映行业内的交易结构。传统网络安全主要有三种商业模式。
第一种商业模式:产品型。主要特点:毛利率较高,交付周期短、应收账款周转快。上游是硬件供应商,供应硬件平台。也可能会有软件供应商,供应基础软件及模块。下游主要是代理商或客户。销售模式直销和渠道混合,有的企业以直销为主,有的企业以渠道为主。
第二种商业模式:集成服务型。主要特点:毛利率较低、交付周期长,应收账款周转慢。上游为安全产品厂商,供应成熟网络安全产品。集成服务型公司整合多方产品并以整体解决方案+服务的形式交付给客户,销售模式以直销为主。
第三种商业模式:综合型,是前两种商业模式的混合。主要特点:毛利率居中、企业规模大、产品线长。一般这类企业会有完善营销网络和一定的品牌影响力,在供给端还会以oem形式扩充产品线,加强细分市场覆盖。销售模式也是直销渠道混合。
以上几种商业模式的界限并不是很清晰,有的产品型公司也会做少量集成服务业务,服务型的厂商也会有少量的自研产品。按照这种方法分析企业时,毛利率是一项重要参考指标。上游代表供应,反映了企业成本结构;下游代表收入来源,到客户的渠道通路才是现阶段市场竞争的关键。由于整体行业市场空间有限,单一细分市场规模小,难以满足企业增长需求,我们发现业内越来越多的企业向综合型安全厂商转型。大家的战略选择也比较趋同,就是产品线扩张,争取覆盖更多的细分领域。也有一些企业的战略选择是向产业链上下游延伸。我们以深信服为例,利用商业画布来解读一下他们商业模式变化。
深信服的价值主张“让it更简单,更安全,更有价值”,这说明了深信服的定位没有局限于安全领域。在2016年发布“云it+智安全“新战略后,商业画布中的收入来源、成本结构、关键活动、重要伙伴等几个要素发生了变化,商业模式升级。深信服的云计算产品与安全产品目标客户高度重合,这样可以充分发挥品牌知名度、营销网络和渠道管理体系等方面的积累和优势。最近几年云计算业务一直保持高速增长,从14年不足千万到17年营收5.4亿元,云计算业务在总体收入构成中占比持续升高。由于云和安全紧密相关,未来两个主营业务很可能会产生协同效应。用一句话总结深信服的战略转型:过去五年,安全带云;未来五年,云带安全。
商业模式中包含的关键要素有很多,只要改变其中的任何一个环节,商业模式就会产生变化或升级。网络安全行业变革也在孕育新的商业模式,ppp模式、网络安全保险、管理安全服务和威胁情报等在商业模式上就显著有别于行业内传统的商业模式。
借用户画像的思路,数据对网络安全行业和企业进行画像,看看有什么特征。我们选取了a股和新三板上所有安全公司的财务数据(剔除了安全为非主营业务的企业),对三张表的数据进行了汇总。按照年份汇总利润表得到左侧这张图,2017年营业收入总计223.2亿元,营业总成本203.8亿元,实现净利润32亿元。行业总体营收规模较小,盈利能力尚可但不突出。再将这些数据变换为比率,大家不难发现行业各项比率波动较小,行业财务特征明显。近两年行业资产减值损失率有上升趋势,需要重点关注。2017年营业利润率相比前几年增长约4%,主要是受会计准则变化的影响,增值税退税从营业外收入调整到其他收益中进而影响了营业利润,行业总体盈利能力无明显变化。
再来看看企业画像。将企业历年利润表进行汇总,这样能够排除跨期调节的影响,还原企业真实盈利能力。各项比率是企业商业模式的数据表现,商业模式发生变化必然对收入结构及成本结构产生影响。我们以两家企业为例:启明星辰,汇总数据范围2007-2017,累计营收102.2亿元,实现净利润15.98亿元,毛利率65.6%,三项费用率53.6%,净利润率15.6%;深信服,汇总数据范围2014-2017,累计营收64.9亿元,实现净利润14.3亿元,毛利率78.7%,三项费用率62.6%,净利润率21.99%。
资产负债表,比利润表更重要。从左侧的两张图我们可以看到,行业总体资产和负债规模平稳增长,波动较小。资产端货币资金充裕,存货基本正常,但应收账款占比偏高;负债端总体负债率较低,流动比率2.56,速动比率2.19,无偿债风险,安全性高,但也说明流动资产未能有效利用。 中间和右侧列示了两家企业的资产负债结构可视化数据,可见资产负债结构个体差异比较大,需要具体标的具体分析。建议重点关注资产端,上市公司利润调节90%与资产有关。
现金流关乎企业的生死存亡,如何强调都不过分。连续五年经营、投资和筹资活动现金流量净额为“正、负、正”,也就是说行业内企业把经营赚来的钱和筹来的钱都用于投资。有的企业把钱用于购买理财产品,有的企业把钱用于构建经营性资产或是用于投资或并购其他企业,这是有区别的。行业自由现金流已连续两年为负值,也说明了行业进入变革期,业内企业主动或被迫加大投入,构建经营性资产。2017年行业应收账款和存货合计近140亿,周转缓慢严重影响了行业的自由现金流。
换个角度,从人均绩效和人力成本角度来解读安全行业。以15家a股企业及30家新三板企业作为样本,对行业人均绩效进行了研究。不同的商业模式的企业人均产值有显著差异。样本企业人均产值中位数53万元,聚集区间为40-80万元;人均产值80万以上的企业有9家,普遍以集成业务为主。集成服务型公司普遍合同额较大,项目中大量使用第三方产品,综合毛利率偏低。产品型公司毛利率普遍比较高,一般在70%以上,订单具有额度小、数量多的特点。因此,集成型公司的人均产值显著高于产品型公司。更近一步,剔除刚性成本因素的影响来看看人均毛利。人均毛利是企业的商业模式、技术能力、管理效率等软性竞争力的综合体现,更具有参考价值。列入统计的45家企业人均毛利中位数为38万元,聚集区间为25-45万元。一般来说,人均毛利指标越高,企业综合竞争力越强。同等收入规模的两家企业,人均毛利高的企业管理效率更好。也可以进行纵向比较,对一家公司历年来的人均毛利数据进行可视化,通过人均毛利波动来判断企业的竞争力及管理效率的变化。人均毛利高才有吸引人才的筹码,能够付得起高薪。对于人才依赖性较强的网络安全行业来说,有筹码才有人才,有人才才有技术,有技术才有产品竞争力,这是良性循环。
人均薪酬福利支出是网络安全企业最重要的成本支出,2017年样本企业人均薪酬福利支出中位数约15万元,占人均毛利比率近50%。也就是说企业当年赚回来的毛利一半用在了养人。在争夺人才方面,互联网公司和传统安全公司是非对称性竞争。传统安全企业受限于商业模式,总体薪酬空间有限,这是高端网络安全人才会向互联网公司流动的主要原因。最近热议的话题,社保由税务部门统一征收将会进一步提高用工成本,尤其对中小企业来说影响较大。
画了两张图,一张是二级市场网络安全企业市值十年来的变化。另一张是一级市场网络安全企业披露的融资事件数统计。十年之前,a股仅有1家网络安全公司,市值不足20亿元;今天,a股已有15家网络安全公司,市值已超过1500亿元。十年之前,一级市场网络安全公司年度融资事件数仅有4起,今天,一级市场网络安全公司年度融资事件数已有七八十起。过去十年间,网络安全企业开始拥抱资本。
从这张图我们可以看出,网络安全行业估值水平一直高于信息技术、创业板、中小板和沪深300这些主要指数。高成长、标的稀缺和国家战略加持,让网络安全享有较高的估值水平。在牛市时,市场也愿意给出更高的定价。今年二级市场网络安全行业估值指标继续下行,列入统计的15家网络安全公司ps-ttm中位数5.77,是三年以来的新低。
用分位点法绘制了企业的ps band图。在2015年以后,经过了三年时间的调整,增长已逐渐消化估值泡沫,行业整体估值水平已回归到牛市前,逐渐进机会区间。这里需要强调一点,由于网络安全企业普遍上市时间短,数据积累有限。分位点法只能作为估值参考,建议结合商业模式和财务数据进行综合判断。
资本对安全行业的影响还不止市值的变化,对产业格局也产生了一定影响。2012年启明星辰成功并购网御星云,2014-2015年间360先后并购了网神和网康,后整合为360企业安全集团。这两起并购成为了改变行业竞争格局的标志性事件。14年以后安全领域创业企业数量明显增多,资本涌入让行业热度越来越高,融资规模过亿的项目有很多。这两年一些明星创投项目逐渐进入中期,“向市场要营收”将成为这个阶段的关键问题。二级市场行业估值水平下行,加之近期国家对创投基金的税收政策调整,未来创业企业融资和估值都将会受到一定影响。安全企业从创立到ipo的时间周期比较长,未来三五年,并购将会成为资本退出的主要途径。多家上市公司在战略章节中提到,希望通过并购、资产重组和投资等资本手段构建产业生态圈。并购也会改变行业竞争格局,行业集中度有望提升。
比尔盖茨说:“人们总是高估了未来一到两年的变化,而低估了未来十年的变革。” 独立思考,理性投资。祝各位在中国网络安全行业高速发展的黄金时期,充分享受行业投资的红利。谢谢!