方法论系列
— 作者:李沐华 —
本文主要从股票投资者的角度去探讨对网络安全公司的研究,目的是为了做好投资,行业内的朋友可以绕道。此外,本文不堆砌数据,只谈对行业的认知,想看各种数据的人也可以绕道。
一、理解网络安全行业:产品核心价值、商业模式以及增长前景
网络安全公司到底做什么?顾名思义,网络安全公司是为客户提供网络安全产品和服务,保证客户的数据资产不受到侵犯。
这个很好理解,但是我们如果再深入一层思考,在中国丢失数据会有什么后果呢?有两种情况,第一种情况——个人数据泄露,目前看到后果并不严重,可能罚款几十万元,甚至没有任何后果(比如前几年某连锁快捷酒店泄露了客人的开房记录),在欧洲因为GDPR这种法规类似情况可能会罚款几千万;第二种情况——数据被删除导致业务无法进行,比如近年某IT公司被雇员删库导致客户业务无法开展,后果很严重,赔款上亿。但这个更多的是权限管理的问题,跟真正的黑客攻防还有一定距离。所以目前的现状就是,to B的数据出问题远比to C的数据出问题要严重,因为带来的经济损失不一样。
网络安全公司的产品到底提供了什么价值?过去和现在并不一样。首先我们要思考一个问题,网络安全公司的核心能力是什么,是攻防,但是过去客户并不需要你的攻防能力,他们首当其冲需要满足的是合规的需求(比如等级保护),所以我们经常听行业内的朋友说,安全厂商的产品功能都差不多,客户也不在意质量,尤其是G端客户,可能一个防火墙买过来就是应付一下检查,检查完扔在那里就等着落灰。在这个阶段,网络安全公司的产品提供的并不是安全能力,而是一张合规的门票。所以竞争的核心点在于商务能力,要让客户买你提供的门票而不是他提供的门票,尽管大家的门票都差不多。
但是近几年的HW行动(全国范围的网络安全攻防演习)给行业带来了一些重要变化。第一,客户开始重视产品的真实防护效果了 ,这给一些技术型的公司带来了机会(尤其是创业型的小公司,得以在大公司的压迫下获得喘息之机);其次,安全服务变得更加重要,尽管在这个阶段还是以重人力的安全服务为主,需要派人去客户现场协助攻防演习。攻防演习活动让网络安全行业更像那么回事了,真正能够提供一些安全能力,而不是像过去那样浮于表面(对于国家而言其实很危险)。
网络安全行业的商业模式到底好还是不好?我们认为还不错,但客观而言不是最好的。我们在之前的文章当中就谈过,计算机行业(IT行业)有几种商业模式,最差的是人头外包(没有规模效应),然后是项目制(有一定的定制开发),再然后是产品化公司(标准化程度高,规模效应明显),最好的是订阅制(实施交付都省了,而且客户每年续费,利润率逐渐提升)。网络安全属于产品化程度很高的一个行业,不管是硬件盒子还是安全软件,不会为某个客户单独写代码,就算是定制化也是改改硬件设备的接口型号或者某个零件型号等等,很方便。
现在还有一些投资者YY网安行业能够转型成订阅制的商业模式,因为美国很多估值高的网安公司是真正的云安全,订阅费占比很高。但是在中国,因为IT产业阶段不一样,目前大型政企客户依然优先选择私有云,跟过去买产品商业模式没有太大变化,而中小客户会优先选择阿里云安全或者腾讯云安全的产品(他们营收都很高),这部分业务基本上与网络安全上市公司无关。多插一句,这也是为什么深信服是网络公司里面第一个做云计算(私有云)的,因为公司的基础客户来自长尾市场,这些客户正是阿里云和腾讯云吞噬的目标。
网络安全行业到底应该采用什么销售方式?直销好还是渠道好。每次参加网安公司的投资者交流会,就会听到有人问,你们家渠道做得咋样了,跟深信服还有多大差距,这个问题没有意义。首先,网络安全大部分的需求在G端和大B端,孕育了如此多的上市公司,这些客户是适合用直销的,不适合用渠道(渠道意味着把商务和售后都交给合作伙伴,可以去调研一下安全渠道商的人员素质和学历水平,他们很难服务大客户)。而长尾市场仅诞生了一家上市公司深信服,这是一种靠渠道聚沙成塔的模式(客单价就5万-10万),而且深信服的渠道体系非常牛逼,已经覆盖了中国超过85%的客户,简单来讲沙子已经被它聚完了,没有太多空间给别人。其次,直销和渠道的基因完全不一样,这里面值得细谈的东西很多,这里不多讲了。总而言之,直销公司去建设渠道做增量没有问题,但是想建立另外一个主战场是自寻死路。
网络安全行业的增速到底如何?发展空间还大不大?某某BUWEI每年都会出来放一次卫星——网络安全行业几年内要达到2000亿(或者几千亿),这个是属于无脑唱多,我们可以理解,毕竟每一个产业都需要鼓励。但是如果把网络安全上市公司的收入加总,你会发现体量并没有那么大,大概也就三五百亿的规模。这个行业经过二十余年的发展,已经进入了一个稳定期,每年20%左右的一个稳定增长。
如何理解这个稳定增长?
——两个视角,第一个视角是供给端。做投资的人看一个行业,要去理解它的渗透率阶段,这个在之前的研究框架里面已经说过(详情请参考拙作《国君计算机行业研究框架和投资框架解密!| 特刊》),此处不再赘述。但是网络安全行业是一个非常特殊的行业,它的产品线非常多,所以这个行业的渗透率曲线是上百条渗透率曲线叠加的一个结果。最大的单品是防火墙(大概100亿人民币规模),其余的小单品每个大概也就二三十亿的样子。随着曲线的不断叠加,又没有大的超级单品出现,行业就走向了成熟期,增速自然保持平稳。
——第二个视角是需求端。目前中国网络安全产业的主要需求端来自政府、jundui、金融、能源这些行业,他们每年的IT预算是有限制的,不会爆发式增长,而且他们的安全建设也是最成熟的,因为这些客户对合规最敏感。近年来我们观察到,教育、医疗、交通等行业的安全增速很快,因为他们在补短板,过去没怎么进行网络安全建设,甚至基础的防火墙都没有,等保2.0落地之后就补了一些,但他们的IT预算毕竟小。从整个行业的视角来看需求还是相对稳定的。
投资网络安全行业最大的优点是没有衰退期,不管是二级市场还是一级市场都是极度繁荣。按照企业生命周期,成熟期之后就是衰退期。但是网络安全行业有一个好处,就是IT技术在不断进步,会有各种各样新的需求出来。比如智能汽车产业正在加速渗透,智能汽车的安全也在提上日程;C端互联网坚定,产业互联网起来以后,工业互联网安全也有新的需求。我觉得网络安全行业自有其内在生命力,是一个可以看长的行业,这也是为什么我们认为这个行业有一些类似于消费品的属性。有很多投资者,乐观的时候觉得网络安全行业会爆发式增长,悲观的时候觉得行业永远不会增长了,这些想法都是错误的。我有很多网安上市公司的朋友都出去创业了,我相信他们的未来是美好的,这个行业会一直欣欣向荣。
如何对网络安全公司估值?到底是PE还是PS?关于估值,我最近在做一个计算机公司估值的课题,到时候再详细谈谈。网络安全公司的股票给投资人最大的困惑是为什么有些公司可以用PE(启明、绿盟、天融信),有些公司可以用PS(奇安信、深信服、安恒),我觉得其实很简单,这个行业稳态净利润率是很高的(20%-25%),现在达到了这个指标的公司就可以用PE定价了,因为盈利能力不会有太大的变化。而像深信服、奇安信、安恒等公司选择了先猛投人员占市场的策略,目前利润率偏低,用PE定价可能会低估,所以大家就用PS定价(PS=PE*净利率,把这个公式里面的净利率换成了行业的稳态净利润率),用PS定价背后的隐含假设就是这些公司未来能够达到行业正常的盈利能力,这个前提就是行业能够有足够长的时间给这些公司成长,前文已经阐述了这个行业的长逻辑,不再赘述了。美国很多网络安全公司都是PS定价,尽管他们大部分有公有云安全业务,跟中国的产业特点不太一样,但是PS估值背后的隐含逻辑没有区别。
二、选择网络安全公司:产品布局、公司文化以及企业家精神
前面已经谈完了行业的基本情况,再来讲选股。投资者对于网络安全行业的最大困惑就是上市公司太多,不知道怎么选股票,本文尝试对这一问题进行解答,谈谈我个人的理解。
为什么网安公司产品布局如此重要?还是回到我们的研究框架,单个产品的渗透率曲线总有走平的时候,唯有扩充产品线才能保持公司的持续高增长。此外,从总量视角看,单品的市场空间有限,即使做到市占率第一名,收入也很难超过十个亿,唯有把产品线补全,才能够占领更多市场份额,成为头部公司。
举个简单例子,比如近年来较火的态势感知产品,其实早在2016年大大讲话以后就开始萌芽,对政策敏感,提前布局态势感知的公司(安恒、奇安信等),近年来才享受了行业高速成长的红利。所以要选择未来三到五年甚至更长时间还能够保持高速增长的网安公司,就要看它现在在布局哪些新产品。有些网络安全公司只是聚焦单品,这样的公司可能利润率很高,现金流很好,活得很滋润,但是很难做成数百亿市值甚至千亿市值的公司。
——插播一个小话题,网络安全产品这么多?炒股票的人怎么研究?这个也是我和投资者交流的时候大家普遍关注的一个问题。网络安全的产品线的确非常繁琐,我觉得化繁为简的方式就是记住一条:只有防火墙是百亿级别的大市场,其余的产品不会超过三五十亿的空间。所以我们会看到,防火墙一个单品就支撑了天融信一家上市公司,其他的单品都做不到。
公司文化对财务表现有至关重要的影响。公司文化是一种玄之又玄的东西,它能够提升公司的向心力,不同的公司文化会使得财务报表呈现出不一样的特征。比如有的公司文化讲究平和中正,发展就会非常稳定,不用担心公司出什么幺蛾子,财务报表各项指标也非常稳定。有的公司讲究技术基因,对于销售端没有那么重视,最终结果是在业内口碑很好,尤其受到金融、运营商等高端客户的认可,但收入增速会比同行略低。又有的公司校招为主,平均年龄才26岁,中高层领导大部分是自己公司培养的三十出头的年青人,拼劲很足,财务报表上的体现就是很有韧劲,回顾历史上宏观经济不好的年份依然保持了高速增长。还有公司脱胎自互联网公司,对于流量变现的玩法非常精通,收入保持了远超行业的高速增长,利润暂时为负。公司的文化就像一个人的性格,没有好坏之分,但是很难改变,作为投资者,应当尝试去理解一家公司的文化,然后选择跟自己投资策略相匹配的股票配置进组合。
最后是企业家精神,也是听起来最虚的一个东西,一句话可以总结,如果老板干不动了,就全完了。按照德鲁克的说法,“企业家精神是企业家在经济上的冒险行为,企业就是企业家工作的组织。”企业家精神核心在于创新和冒险,是企业核心竞争力的来源。一个公司的老板是否积极的扩充产品线,节假日是否也在积极跑客户做单子,是评价一个公司的重要依据。有的公司老板减持不想干了,有的公司老板年纪大了想养老了,这种企业家精神的折损最终都会反映在股票的收益率上面,投资者需要保持谨慎。
三、财务数据只是结果,应当像观察一个人一样去观察一家企业
前面写了几千字,尝试对过去一段时间对网络安全行业的研究工作做一个总结,所有观点都来自已经发布的一系列研究报告。看财务报表炒股票是很危险的一件事情,因为财务数据都是树上的花,心里的花会不会开,取决于更多企业内在的东西。当你选择同行朋友的时候,绝不会只看他的身高、体重、学习成绩,会更多关注他的性格,品行,价值观,对未来的规划和想法,这个道理用在炒网安股票上面同样适合。
合规声明:本文节选自国泰君安正式研究报告《计算机行业周报》,如需报告原文PDF请后台留言。
网络安全相关报告
3. 海外网络安全和云计算大厂发展趋势(百页PPT) | 国君计算机
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
12. 绿盟科技:有一种上车机会叫低于预期(深度)| 国君计算机
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)| 国君计算机
18. 奇安信基本面及虎符生态战略解密(30页PPT)| 国君计算机
19. 迪普科技:中国应用交付产业的希望(深度)| 国君计算机
20. 为什么网络安全公司纷纷布局EDR(深度)| 国君计算机
22. Zscaler:云安全服务与接入领头羊(30页PPT)| 计算机文艺复兴
25.深信服:SASE蓝海中的耀眼新星(深度)| 国君计算机
26.奇安信:高增长的背后,探究网安龙头的成长密码(深度)| 国君计算机
– end –
欢迎加入行业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的行业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
原文始发于微信公众号(计算机文艺复兴):如何研究一家网络安全公司?| 国君计算机