第一节 重要提示
1 本年度报告摘要来自年度报告全文,为全面了解本公司的经营成果、财务状况及未来发展规划,投资者应当到www.sse.com.cn网站仔细阅读年度报告全文。
2 重大风险提示
公司已在本报告中详细阐述公司在经营过程中可能面临的各种风险,敬请查阅本报告第三节 “管理层讨论与分析”中“风险因素”相关的内容。
3 本公司董事会、监事会及董事、监事、高级管理人员保证年度报告内容的真实性、准确性、完整性,不存在虚假记载、误导性陈述或重大遗漏,并承担个别和连带的法律责任。
4 公司全体董事出席董事会会议。
5 天健会计师事务所(特殊普通合伙)为本公司出具了标准无保留意见的审计报告。
6 公司上市时未盈利且尚未实现盈利
□是 √否
7 董事会决议通过的本报告期利润分配预案或公积金转增股本预案
公司2022年度利润分配预案为:拟以实施权益分派股权登记日登记的总股本为基数分配利润,向全体股东每10股派发现金红利3.30元(含税),同时以资本公积金向全体股东每10股转增4.8股,不送红股。截至2022年12月31日,公司总股本为46,831,303股,以此计算合计拟派发现金红利15,454,329.99元(含税),占公司2022年度合并报表归属于上市公司股东净利润的30.42%;计算合计拟转增22,479,025股,本次转增后,公司的总股本增加至69,310,328股(最终转增股数以中国证券登记结算有限公司上海分公司实际转增结果为准)。
公司2022年度利润分配预案已经公司第三届董事会第十三次会议审议通过,尚需公司2022年年度股东大会审议通过。
8 是否存在公司治理特殊安排等重要事项
□适用 √不适用
第二节 公司基本情况
1 公司简介
公司股票简况
√适用 □不适用
■
公司存托凭证简况
□适用 √不适用
联系人和联系方式
■
2 报告期公司主要业务简介
(一) 主要业务、主要产品或服务情况
1、主营业务基本情况
永信至诚是一家聚焦网络和数据安全的科技创新企业,在网络靶场和人才建设领域位于业界领军地位。公司首创“数字风洞”产品体系,跃迁式创新推动安全测试评估专业赛道发展。公司致力于为数字中国和网络强国建设提供高能效的安全保障和专有人才支撑,实现“带给世界安全感”的愿景。
公司经过多年的研发和实践,形成了网络空间平行仿真技术和网络空间攻防对抗技术两大类核心技术,并推出网络靶场系列产品、安全管控与蜜罐系列产品、安全工具类产品、安全防护系列服务、网络安全竞赛服务和其他服务,其他服务主要包括线上线下培训服务。
2、主要产品和服务
(1)网络靶场系列产品
网络靶场是数字化建设过程中安全性测试的重要基础设施,是检验和评估安全防御体系有效性的重要技术系统,是国家对重大网络安全风险和趋势进行推演和论证研判的重要科学装置,是防范化解重大网络安全风险的重要手段,也是政企、院校、科研机构等单位网络安全人才培养的重要支撑平台。
春秋云境网络靶场平台基于永信至诚多年研发实践的平行仿真技术体系构建而成,该平台融合了主机虚拟化、网络虚拟化、软件定义网络、多维数据采集、3D展示引擎和高可用云端架构等多种前沿技术,支持多种角色以不同权限和资源访问能力在同一靶场场景中进行联合交互和测试。实验和测试过程安全可控,数据采集准确详实,效能展示科学直观。经多位院士、专家评审,该平台具有大规模、多层次、高仿真、高柔性和全场景的特点,荣获北京市科学技术奖(科学技术进步奖)一等奖。永信至诚通过春秋云境网络靶场平台连续三届为“网鼎杯”网络安全大赛提供专业支持,持续在大赛规则、赛制赛题设计、技术平台支持、赛事运营保障等方面树立国家级竞赛标准。
经过连续多年持续迭代和运营,永信至诚已经成为网络靶场领军者。特别是在测试评估领域,基于大量网络靶场核心技术和实践经验积累,总结出3×3×3×(产品×服务)安全感公式,构建了面向安全测试评估赛道的“数字风洞”产品体系,打造面向全场景、全要素、全生命周期的安全测试评估解决方案,助力政企用户网络安全工作实现合规的保障、风险的预控、标准的践行和投入的回报。
目前,永信至诚春秋云境网络靶场平台已支撑国家多个部委主办的数十场网络安全演练活动及多个行业的靶场建设工程,实现赛事演练、人才培养、智慧城市安全测试、案件线索追踪实战、业务模拟仿真、人工智能攻防、复杂业务安全推演及综合应用等“7+1”应用场景落地。网络靶场“7+1”应用场景具体如下:
1. 赛事演练靶场
“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”网络安全赛事可通过网络对抗的模式检验参赛队伍的实战攻防能力和应急协作水平,整个过程需要在专门搭建的、符合行业特征的、安全可控的演练环境中进行,通过竞技形式有效训练选拔网络安全人员。
赛事演练靶场平台提供完备的赛前、赛中、赛后管理功能,支持多种可选的比赛模式、积分计算模式以及配套的多种大屏展示效果。赛事组织方可利用靶场平台自定义赛题或从已有题库和场景库中选择赛题一键下发竞赛,靶场依据策略自动化完成资源管理、数据记录和分析等各类操作。
2. 人才培养靶场
网络安全人才培养需要体系化的课程安排及大量的训练和实践,还需要进行高强度的学习考核计划安排。人才培养靶场是网络靶场的典型应用之一,是为人才实践训练和体系化的培养训练专门打造的培训平台。网络安全攻防对抗具有其特殊性,技能能力的提升必须依赖反复的动手实践才能完成。网络安全的各类漏洞和攻防技战法等对技能要求的多样性非常高,网络靶场能够利用虚拟化和云技术,使各种典型或特定的场景以虚拟机和场景快照模板的方式留存下来,可以快速的为人才培养提供各种演练的场景和环境。
3. 智慧城市安全测试靶场
数字化城市建设过程中,存在大量的网络安全风险,在用传统手段发现隐患的同时,通过网络安全测试可以发现更多风险隐患。而在进行安全测试时,测试人员的操作违规会给系统带来严重的风险隐患,所以参与测试的人员需要在可控的环境中进行操作。
4. 案件线索追踪实战靶场
重点行业在进行案件侦办过程中存在两个比较突出的问题,一是任务人员的工具类型和使用不规范影响任务完成效率。二是任务人员自我保护意识和能力不足,影响任务效果。靶场为任务人员提供了专业规范的工具库,并赋予每个人员独立安全的空间,用于存放自己习惯的个性化工具,还会为每个人员下发任务专属的靶场机,在靶场机中自动加载了相关隐蔽保护功能,确保完成效率。靶场还提供完善的任务过程监测和取证功能,支持任务成果安全独立存储。
5. 业务模拟仿真靶场
工业环境对生产系统连续性要求极高,当遭遇网络安全风险时几乎不可能停机进行检修,开展安全测试、技术验证、病毒样本采集分析、模拟风险预警演练等工作,需要在模拟仿真环境中进行。用户可以登陆靶场,在靶场中制作生成仿真试验场景,分配不同任务和角色。不同角色的人员接到任务后,在靶场仿真的环境中执行对应的网络安全测试或验证任务。同时,在靶场平台会记录任务的数据、过程和结果。
6. 人工智能攻防靶场
人工智能攻防研究是网络安全领域比较前沿的研究方向,需要对人工智能网络攻防对抗可行性、可用性进行研究验证。由于是程序进行自动攻防验证,对于测试目标的资源消耗较大,且会极大影响目标网络性能,甚至会对测试目标的网络造成破坏,需要在安全可控的环境中完成自动测试。靶场提供了安全可靠和灵活的测试环境,还可以自动记录测试参数判断是否达到研制预期效果。
7. 复杂业务安全推演靶场
在真实的网络空间中,影响国家安全的网络安全问题通常由多种行为或风险叠加形成,为了预判和风险化解,需要在复杂的大规模推演靶场中利用数字模型和模拟仿真技术等进行仿真推演。在推演的过程中,靶场会记录测试过程数据,进行业务模型推演并形成测试结论。
8. 综合场景应用靶场
综合场景应用靶场是网络靶场多种应用场景融合的业务形态,永信至诚基于公司多项关键技术及核心产品构建了虚拟网络仿真场景,结合提炼和总结的国内外重大网络安全事件、众多前沿安全技术及各领域主流网络安全产品等内容,融合多项核心技术形成了多种形态的靶场模块。通过沉浸式和高交互的体验模式,满足各类用户利用网络靶场进行情景式安全教育、实战式人才培养和考核、主流安全产品体验、网络安全演习、重大网络安全事件演练复盘等需求。
(2)安全管控与蜜罐产品
公司安全管控与蜜罐类产品主要包括春秋云阵新一代蜜罐系统、春秋云势网络安全态势感知与处置平台以及蜜罐及态势感知整合安全管控三种形态的产品类别。
1. 春秋云阵新一代蜜罐系统
传统的边界安全防护设备主要依赖于在信息系统的边界通过鉴权等策略进行防护,而对于通过身份冒用或漏洞利用等方式绕过了防护规则,进入网络系统内部之后的高隐蔽性攻击者缺乏防护手段。攻击者往往将自身的行为伪装成合法的用户进行长期的潜伏和持续数据窃取。在这种情况下,具备“欺骗防御”能力的蜜罐系统成为了极佳的防御手段,可很大程度上弥补当前的防御体系短板。
春秋云阵新一代蜜罐系统基于“欺骗式防御”理念,利用永信至诚特有的平行仿真技术和全量行为捕获技术,构建高甜度的蜜罐环境,诱捕攻击者进入仿真网络环境中,大大延缓攻击者对实际业务网络的攻击。同时,不再依赖特征库对流量层的威胁行为进行甄别,“触碰蜜罐即报警”“深入蜜罐即攻击”,保证蜜罐系统对所有攻击的“零误报”特征。全程记录的攻击轨迹和攻击行为,实现了对攻击者的快速取证和溯源。在不影响现有网络的安全架构下,利用其低成本、易部署、零误报的特性,简化网络安全运维工作的复杂程度,有效增强实际业务网络的安全防护能力。该平台已获评数说安全“中国网络安全蜜罐顶级供应商”。
该产品主要用户为政府部门、能源、电力、交通等国家关键信息基础设施运营单位。
2. 春秋云势网络安全态势感知与处置平台
网络态势即网络的状态和趋势。一般泛指全网络环境下所有网络设备的运行状况、动态变化、报警信息、安全事件和用户行为等因素。态势感知是指在网络环境下,通过收集、分析和理解网络环境要素信息,对网络环境的短期及长期变化趋势做出预测和推演。
春秋云势态势感知平台是基于大数据技术框架,综合全维度安全因素,从整体上动态监管网络安全状况,提升风险发现、决策分析、响应处置能力的网络空间安全综合治理体系。该体系具有“精准预警、高效处置”的特点,能够合理调配安全专家,在预定义的处置场景下,及时、高效处置网络安全事件,从而帮助监管部门和重点用户从总体把握网络安全态势,研判网络安全趋势和解决网络安全问题,最终实现“可感知、可研判、可处置”的网络态势安全闭环。
态势感知主要面向政府、公安、行业主管机构、关键信息基础设施及企事业单位等用户。
3. 蜜罐及态势感知整合安全管控
蜜罐及态势感知系统可以组合使用,也可以分别单独使用。组合使用,可以发挥良好的协同效应,达成产品的最佳效能,对网络空间环境形成整体的安全管控。
蜜罐主要部署于边界安全产品之后,其主要部署在被保护网络内部,与内部网络形成一体。态势感知平台利用其卓越的大数据汇聚、存储和分析处理能力,形成对非法入侵等网络威胁的感知能力,并依托公司网络安全处置能力,协助管理部门处置各类安全事件,为用户实现了全场景、高精度、高处置的“全天候、全方位感知网络安全态势”能力。
(3)安全工具类产品
随着国家政策法规对网络安全要求的提升以及信息技术的高速发展,国家监管部门在新的业务场景和垂直领域中的需求不断更新,公司开发并快速迭代了一系列行业创新应用类产品,满足监管部门的特定需求,维护国家网络安全。安全工具类产品包括:流量监测类产品、数据分析类产品、业务支撑类产品、安全辅助类产品等。
1. 流量监测类产品:流量监测类产品是针对流量数据进行捕获分析和监测预警的系列产品,以“发现-分析-还原-定位”为整体解决思路,对网络流量数据进行实时捕获分析,依托于多样化的协议的破解与解析技术,为监管类用户提供高效的监测预警平台,帮助监管类用户及时发现网络犯罪分子的不法行动,为监管部门维护国家网络安全、建设稳定的网络安全环境提供有力的支持。
2. 数据分析类产品:数据分析类产品基于数据处理与计算分析的自动化关联技术,利用集合分析、人脉分析、碰撞分析等大数据分析技术,保证各种数据处理的准确性。通过预先设定的事件处理拓扑,可以快速搭建事件处理流程。数据分析产品使用实时关联规则引擎,所有事件处理完成后将汇总进入规则引擎入口,结合日志数据、流量数据等分析数据流中的异常,及时发现网络违法线索,为监管类用户进一步打击网络违法活动提供价值分析。
3. 业务支撑类产品:业务支撑类产品是结合监管类用户的需求定制开发而成。该产品可以帮助业务部门实现对日常业务的综合性管理,实现对工作任务流程管理、知识库管理、工作目标安全管理、业务资源管理、业务态势管理等功能支持,提高业务部门的工作效率和监管水平。
4. 安全辅助类产品:安全辅助类产品是结合监管类用户的需求定制开发而成,该类产品可为监管部门开展信息采集、网络调查、业务分析、网络取证提供支撑和保障,为监管部门提供全方位、体系化的安全辅助支撑。
(4)安全防护系列服务
随着网络安全形势愈发严峻,政府、企业用户对网络安全保障需求不断提升,我国网络安全市场正从产品市场不断向服务市场扩展,安全服务是网络安全市场一个重要分支。网络安全相关法规对政府、企业等关键信息基础设施运营单位明确提出了开展安全检测、安全测评、安全演练的相关要求,规定了等级保护制度安全措施的基线要求并赋予强制力。随着法规和标准的实施,网络安全服务市场快速增长,成为网络安全产业中一个重要的细分领域。
公司基于自身对网络攻防和各行业网络安全风险场景的深刻理解,以高效、实效提升用户安全防御水平为目标,向用户提供安全检测与评估、安全咨询、安全运维与分析处置以及安全能力建设与评估等方面服务,具体内容如下:
■
(5)网络安全竞赛服务
网络安全技术是一项注重实战的技术,在国家各行各业网络安全人才严重紧缺的今天,如何高效完成网络空间安全人才的培养和考核成为一个急需解决的问题。2019年5月,美国总统签署了一项行政令,要求举办新总统杯网络安全竞赛,为政府选拔出国家顶级网络安全人才。近年来我国相关部门也出台了有关政策,支持和规范网络安全竞赛发展。
永信至诚自2014年开始一直致力于国内网络安全赛事运营,推动了安全赛事从小到大,从企业到集团,从集团到行业,从地区到全国的发展,并带动不同产业网络安全人才选拔、训练、评价体系的建立。公司网络安全赛事运营服务包括竞赛平台开发、竞赛题目定制开发、竞赛效果呈现、赛事组织管理、竞赛裁判服务、赛事方案设计等;竞赛平台包括线上竞赛平台和线下竞赛平台,支持个人赛和团体赛,除了支持目前国际主流的夺旗赛(CTF)、攻防赛(AWD)外,还开创性发展了靶场赛(ISW)、人工智能网络安全竞赛(RHG)、共同防御、实景防御赛(RDG)等多种竞技模式。
随着公司多年来对国家主管单位和各部委进行的网络安全赛事市场普及教育和推广,自2019年起,赛事从一个网络安全盛会中可有可无的配套活动,变成了重大网络安全活动中的重点项目,行业人才培养、选拔、评价的重要手段,高校学科教育和人才评价的重要配套,以及地方政府招商引资、产业建设的重点工程。并伴随着比赛,衍生出赛前培训、赛后复盘、实践人才培养体系、等级化能力考核、日常实训、靶场建设、仿真场景演练、产品测试、公务员选拔等多场景需求,逐渐形成广泛而增长迅速的市场。
(6)其他服务
其他服务主要包括线上安全培训、线下安全培训。
1. 线上安全培训
公司线上安全培训服务主要通过i春秋实训平台开展,该平台是自主研发的服务平台,其主要功能是为政企用户、个人用户提供在线网络安全实验环境。针对网络安全学习需要进行实践的特点,设计了“知识讲解-实验模拟-在线测试-效能评估”的整套网络安全实训体系,积极构建了“培训-选拔-认证-输送四位一体,线上线下相结合”的实战型网络安全人才培养体系,为学习者提供有效成长路径。
i春秋实训平台以互联网门户网站形式展现,目前其注册用户超过80万名,课程超过300门。此外,平台建立了包含百度、阿里、腾讯、京东等八十多家互联网公司入驻的自有品牌SRC部落,形成了国内有重要影响力的网络安全社区,提升了公司在网络安全领域的影响力、知名度。
2. 线下安全培训
线下安全培训分为线下培训就业班、线下培训定制班和国家网络安全技术认证班三种类型。线下培训就业班以渗透测试工程和网络安全攻防工程师培训为主,培训周期各16周。
线下培训定制班主要服务于政府部门、各大企事业单位、学校等,针对于网络安全技术和网络安全大赛技术为主要培训方向,培训周期从3天至30天均可定制。并可以根据用户的技术人员水平、技术方向、技术层次等重要指标来定制化课程,满足各技术业务岗,各技术层次人员的培训需求。网络安全技术认证班主要以培训及考取国家网络安全技术人员认证为主,是中国信息安全测评中心、网络安全技术审查与认证中心和公安部授权的培训机构。
(二) 主要经营模式
1、盈利模式
公司盈利主要来源于向客户销售自主研发的网络安全产品,以及向客户提供网络安全服务。网络靶场系列产品、安全管控与蜜罐产品、安全防护系列服务和网络安全竞赛服务主要面向政企类客户,安全工具类产品主要面向政府监管部门,其他服务主要面向个人和企事业单位。公司为客户提供网络安全产品和网络安全服务的形式一般体现出项目制特征。
网络安全竞赛服务及线上线下培训服务是公司业务的流量入口,不仅能够积累行业化经验、储备安全人才,同时提升了公司影响力及行业地位。公司i春秋实训平台是国内著名的网络安全实训平台,累计注册人数超过80万。目前公司已与国内多所大学、高等职业教育院校在网络安全教学与实践方面建立合作。公司通过450+场、十余个行业的竞赛服务不断完善及迭代网络靶场,积累了具有行业特性的网络场景,逐步建立起公司网络靶场产品的技术壁垒及行业场景壁垒,增强公司产品的核心竞争力。
网络靶场是公司的核心,是网络安全人才培养不可或缺的产品体系。网络靶场是用户网络安全保障重要的基础设施,其核心技术还为蜜罐产品奠定了技术基础,创造了技术壁垒。蜜罐产品是对传统网络安全产品的有效补充,并结合欺骗式防御能力及网络攻防对抗能力,推动了公司态势感知产品的发展,进而形成了公司安全管控与蜜罐产品体系。
安全管控与蜜罐平台发现的大量网络安全事件需要处置,网络安全人才、网络安全工具以及专业安全防护服务为事件处置提供运营和支持。
网络安全竞赛服务、线上线下培训服务、网络靶场系列产品、安全管控与蜜罐产品、网络安全工具、安全防护系列服务,形成了公司网络安全产品服务体系生态链条。在业务上既可独立销售,又相互补充、相互促进、相互带动,在技术上同根同源、模块共用、交互迭代。
2、研发模式
公司采取的是“标品化研发+定向二次研发”的模式,公司始终坚持自主研发的研发模式,核心产品、核心技术通过自主研发取得。公司产品的底层技术为网络空间平行仿真和网络攻防对抗技术,公司自建研发体系持续进行网络空间平行仿真和网络攻防对抗等技术的研发,形成了标准化的产品体系和功能模块,并取得了相关的发明专利、软件著作权等自主知识产权。
公司产品研发以客户为中心,以市场需求为导向,公司主要产品线均有相应的研发团队支持,确保了研发方向符合客户和市场需求。通过销售部门、市场部门、研发部门、质量部门的整体协作,形成了技术储备、产品定义、技术攻关、验收测试、推广应用、产品迭代的全生命周期的研发架构。
公司在大的产品研发控制上采用项目管理开发模式,利用项目生命周期方法论,结合公司项目执行的实际情况,从项目的启动过程、计划过程、执行过程、控制过程以及收尾过程出发,以项目各过程组的成果输出为导向,制定了《项目管理规范》并持续运行、迭代。
公司在研发团队内部推行IPD开发模式,明确地划分为概念、计划、开发、验证、发布、生命周期管理等六个阶段,并且在流程中有定义清晰的决策评审点,立足于产品的市场定位及盈利情况,动态调整产品开发策略。研制过程中,结合公司内部的项目管理流程,从项目的启动、计划、执行、控制以及收尾等维度保障产品价值的持续输出,在保证产品成果交付质量的同时,运用各种工具和激励策略,实现整个产品研发过程的可视化和精准可控。
3、采购模式
公司对外采购范围包括硬件、软件、服务三大类。对外采购的硬件主要用于公司软件的载体,包括服务器、计算机、网络设备等。对外采购的软件主要包含操作系统、数据库及专用软件产品等项目中非公司核心技术的软件。对外采购的服务主要用于为客户提供公司非关键岗位和环节的相关服务。由于公司业务一般体现为项目制特征,公司采购通常亦是跟随不同项目的具体需求进行采购。
公司制定了采购相关管理制度等规范采购行为,需求部门提出采购申请后,由商务部负责采购的执行。商务部负责建立合格供应商名录,定期对供应商的货物品质、交货期限、价格、服务、信誉等进行评价,为公司采购业务优选供应商。最终公司主要通过招标、询比价、议价谈判等市场化方式进行采购。针对部分项目采购,如果客户有明确要求,则会根据客户的要求进行采购。
4、生产模式
公司网络安全产品主要形态是纯软件或软硬件结合产品。硬件为服务器、计算机、网络设备等,通过对外采购方式获得。软件分为定制开发软件和标准化软件产品。公司软件产品生产的具体情况如下:
(1)标准化软件产品
公司市场部门根据市场中的热点方向,以及在为客户服务过程中发现新的客户需求,形成市场需求报告。研发部门在此基础上判断技术可行性。如技术上可行,则形成内部业务需求,经公司管理层审核通过后,确定产品研发需求,并对研发部门提出研发任务。研发部门则根据产品需求文档和设计文档进行产品研发,并最终形成标准化软件产品。
(2)定制化软件产品
公司在开发客户或服务客户过程中,如果客户对公司现有产品提出新的技术要求或功能要求的,业务部门则根据客户需求形成业务需求,经公司管理层审批后,由研发部门进行实施。实施过程中,研发部门、业务部门与客户不断进行沟通和互动,获得及时反馈,并不断对产品进行优化,最终形成定制产品。在定制化产品研发过程中,加强与客户的沟通和互动,获得及时反馈,把控定制化产品需求和目标,控制需求变更和可能发生的各类风险。
(3)安全服务
公司安全服务部门从技术和业务需求两个生产维度设定安全防护类服务的产品设计。首先依托对攻防技术的积累,根据网络空间安全的技术类型设定和市场共性需求,初步设计出安全防护类服务的服务类型;在为客户提供服务的过程中,根据行业客户的共性需求和自身技术积累,提交需求说明,进行产品设计优化,进行细分服务类型的二次开发和升级;在服务实施过程中,收集客户反馈和建议,对于服务质量和流程进行管控。在安全防护类服务的生产过程中,公司始终以客户需求为核心,以自身技术优势为基础,打造有市场、高能效的安全服务产品。
5、销售模式
公司为客户提供网络安全产品和网络安全服务一般体现为项目制特征。公司产品销售和服务以直销为主,非直接销售为辅,非直接销售指通过集成商等销售给终端用户,集成商通过招投标、竞争性谈判或单一来源等方式获取最终客户的商业机会后,向公司采购安全产品或服务并交付给终端用户。
公司将客户按行业分布及地域分布进行分类,公司总部或各地子公司、分支机构,通过销售人员直接接触客户,了解客户需求,根据客户实际情况引导和推荐相应解决方案,为客户直接提供产品或服务。
公司通常以“项目制”形式为客户提供产品和服务,公司主要通过参与客户组织的招投标、竞争性谈判或客户的单一来源采购等方式取得项目合同,公司获取项目合同后实施合同,经客户验收通过后出具验收文件。此外,为进一步拓展新客户和新市场,对于部分成熟产品,公司还采用试用推广模式,即先将成熟产品提供给最终客户试用,通过产品试用发展新客户。
(三) 所处行业情况
1. 行业的发展阶段、基本特点、主要技术门槛
(1)全球网络安全行业发展概况
1. 全球网络安全形势复杂严峻,发达国家强化技术产业布局
近年来,全球重大网络安全事件频繁发生,严重威胁各国的经济发展和社会的安全稳定,“棱镜门”、RSA后门、Intel芯片安全漏洞、WannaCry勒索软件、Facebook用户数据泄漏等安全事件引起了全球各界对网络安全的高度重视。此外,随着网络空间安全形势快速变化,国家级博弈更为突出、攻防对抗更为激烈、数字经济安全保障要求不断提升。
主要发达国家均加大网络安全领域的投入力度、细化和调整网络安全相关政策和法规要求,在网络空间主导权、话语权方面争夺更加激烈。2017年6月,在联合国信息安全政府专家组会议上,美国及其盟友力图将《武装冲突法》引入网络空间,与其他国家分歧严重。2017年,根据美国总统指示,美国国防部将网络司令部升级为一级联合作战司令部,成为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部持平。2018年以来,美国在国土安全部设立一个新的网络安全机构“网络安全与基础设施保护局”,将网络安全预算大幅增加至300亿美元,并通过了《提升关键基础设施网络安全的框架》《网络安全战略》等一系列文件;英国《国家网络安全战略》(2016-2021)提出,英国政府将投入19亿英镑强化网络安全能力;2018年9月,德国宣布未来五年投入2亿欧元组建网络安全与关键技术创新局,机构定位类似于DARPA(美国国防部先进研究项目局),主要致力于推动网络安全技术创新。
2. 全球各国网络靶场建设情况
根据2015年4月人民网转发的中国军网的文章《美国网络“曼哈顿计划”》,早在2008年,美军就启动了被称为新世纪网络安全 “曼哈顿计划”的国家网络靶场建设,为美国国防部模拟真实的网络攻防作战提供虚拟环境。
2021年7月,据美国国防部网站消息,美国已授权价值24.10亿美元的网络靶场相关合同。在未来的10年中,赢得订单的公司将为军方网络任务部队提供事件规划和执行、场地安全、信息技术管理以及靶场现代化和作战支持,同时通过测试、规划和系列活动来支持国家网络靶场综合设施的运行。总体上,该合同的主要目标是为其国家网络靶场综合设施提供IT服务。
美国建设国家网络靶场引起了各国高度重视。英、德、俄、日、韩等国借鉴美国经验,建设了同类项目,作为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。
(2)我国网络安全行业发展概况
1. 我国网络安全产业规模快速增长
《IDC Market Forecast:中国网络安全市场预测,2022-2026》报告显示,2021年,中国网络安全市场总投资规模为122亿美元,其中安全硬件产品投入达到47亿美元,占总体投入的 39%;安全软件产品投入达到42.4亿美元,占总体投入的35%;安全服务产品投入达到32.4亿美元,占总体投入的26%。IDC最新数据显示,到2026年,我国网络安全支出规模预计接近288.6亿美元,五年复合增长率将达到18.8%,增速位列全球第一。从行业维度来看,到2026年,政府、金融、运营商仍将引领整体网络安全行业支出。
■
根据工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提出,到2023年,电信等重点行业网络安全投入占信息化投入比例达10%。2023年网络安全产业规模超过2,500亿元。
2. 我国网络靶场建设情况
我国互联网规模和用户规模均居世界第一,但核心技术与关键资源依赖国外产品情况严重,勒索病毒、网络攻击、信息窃取等事件呈多发态势,我国面临的境外网络攻击和威胁越发严重,网络靶场是保障网络安全的重要基础设施。我国网络靶场建设目前处于起步阶段。在国家网络靶场建设方面,无论从靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,与欧美国家相比,我国都还存在着一定差距。
2023年1月30日,国家能源局综合司印发《2023年电力安全监管重点任务》(以下简称“重点任务”),面向全国电力单位,对2023年度电力安全工作进行详细部署,旨在确保电力系统安全稳定运行和电力可靠供应。在重点任务中,明确要求“推进国家级电力网络安全靶场建设”,并强调安全风险评估、攻防演练、教育培训等内容。
随着国家和社会不断加大对网络靶场的投入,贵阳启动大数据网络安全靶场建设、鹏城实验室成立、公司作为第一完成人的“基于平行仿真的大规模网络靶场构建技术及应用”项目荣获2019年度北京市科学技术奖(科学技术进步奖)一等奖,以及“网鼎杯”、“强网杯”等国家级重要赛事的持续成功举办,推动网络靶场行业迅速发展。
2. 公司所处的行业地位分析及其变化情况
公司核心团队主要成员是国内最早的一批网络安全技术专家,均拥有多年的专业网络安全从业经历。公司拥有自主知识产权的网络安全产品以及专业的安全技术研究和服务团队。公司参与起草或修订三项网络安全国家标准。
作为网络靶场领军者,公司自主研发的网络安全实验室靶场平台获得国家计算机网络应急技术处理协调中心2018年网络安全创新产品(技术)一等奖,同时获得中国信息安全测评中心2018年度中国信息安全产业优秀创新型产品解决方案。2018年10月25日,中科合创(北京)科技成果评价中心组织院士等专家对公司的“城市网络靶场构建技术及应用”进行集中评定,认定“该项目达到国内领先水平”。公司作为第一完成人的“基于平行仿真的大规模网络靶场构建技术及应用”项目荣获2019年度北京市科学技术奖(科学技术进步奖)一等奖。2022年9月支撑了某头部电力企业国家级电力网络安全靶场建设。2022年9月与合肥高新区就“建设网络空间安全数字风洞研发运营中心”进行合作,助力“中国安全谷”建设。2022年11月,公司“数字风洞”产品体系战略发布,开启网络安全测试评估专业赛道。
公司拥有专业的攻防技术团队。KRLab团队专注于网络安全创新技术及攻防技术研究,研究内容覆盖操作系统安全技术研究、机器学习与自动化技术研究、Web安全与渗透测试、移动端恶意软件分析、网络蜜罐捕获技术研究等方向。2016年至今,公司团队连续多年参加由公安部主办的国家级网络安全实战攻防演习,曾连续三年荣获企业队第一名。
公司承担了一系列重要国家级的网络安全保障工作,包括:“二十大”、全国两会、建党百年、世界互联网大会乌镇峰会、“一带一路”国际合作高峰论坛、博鳌亚洲论坛、G20杭州峰会等。同时公司还建成了网络空间安全智能仿真和众测关键技术与服务北京市工程实验室。此外,公司也是国家网络与信息安全信息通报机制技术支持单位、国家重大活动网络安全保卫技术支持单位、国家信息安全漏洞库技术支撑单位、中国工程院咨询研究项目依托单位。
公司自成立以来,支撑中央网信办、工信部、公安部、科技部、教育部、卫健委、国税总局等部委和单位主办或指导的超过450+场网络安全演练,超过58万人次。公司支持了国内一系列具有巨大影响力的网络安全赛事:如国家行业主管部门级的 “网鼎杯”网络安全大赛(公安部)、“强网杯”全国网络安全挑战赛(中央网信办、信息工程大学)、“护网杯”中国工业互联网技术技能大赛(工信部)、“陇剑杯”网络安全大赛(公安部)、“全国大学生信息安全竞赛”(教育部)、全国卫生健康行业网络安全技能大赛(卫健委)以及聚焦数据安全领域的国家级赛事“首届数据安全大赛”等;地方知名赛事品牌:“巅峰极客”网络安全技能挑战赛(成都网信办)、红帽杯(广东省)、东华杯(上海市)、祥云杯(吉林省),以及世界级网络安全竞赛“DEF CON CHINA”中的BCTF国际网络安全技术对抗赛、RHG国际机器人网络安全大赛等。
根据IDC《中国网络安全实训演练测试平台市场份额,2021:高歌猛进,快速发展》研究报告显示,永信至诚凭借春秋云境网络靶场产品,以20.4%的市场份额位居第一名;数世咨询发布《数字靶场能力点阵图2022》显示,永信至诚春秋云境网络靶场在应用创新力和市场执行力维度均位列行业第一。
公司行业地位连续多年处于领先水平,预计未来一段时间,公司行业地位仍不会发生重大变化。
3. 报告期内新技术、新产业、新业态、新模式的发展情况和未来发展趋势
作为数字经济时代的基础及战略性资源,数据安全得到国家及各行业的关注。近年来,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》和《数据出境安全评估办法》等数据安全相关法律法规相继出台、实施。与此同时,中共中央、国务院印发《数字中国建设整体布局规划》,强调要增强数据安全保障能力。十四届全国人大一次会议表决通过了组建国家数据局的决定,再次肯定了数据资源在国家发展战略中的重要地位。
随着数字经济的高速发展,网络和数据安全作为经济发展的关键基座,迎来了前所未见的机遇与挑战。一方面,近年来我国网络安全、数据安全相关法律法规陆续推出,对网络和数据安全建设工作提出了诸多标准和要求;另一方面,勒索病毒、国家级攻击等网络安全威胁层出不穷,严重威胁国家安全和社会经济发展。在此情势下,网络和数据安全行业开始由“形式合规”向“实质合规”加强。
在此背景下,2022年11月19日,永信至诚召开“数字风洞”产品体系战略发布会,发布了面向网络安全测试评估领域的“数字风洞”产品体系,永信至诚作为网络靶场和人才建设领军企业,再次以“产品乘服务”的价值体系,开启网络安全测试评估专业赛道。
对于网络和数据安全领域来说,需要基于“数字风洞”进行持续性的测试评估。数字风洞强调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,通过对人、系统、数据、方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现安全并消除隐患,直到证明没有问题,解决数据安全最后一公里问题,让用户获得真正的安全感。
公司将持续助力网络和数据安全由“形式合规”向“实质合规”加强,为公司带来高质量增长机会,进一步夯实永信至诚网络靶场和人才建设领域的领军地位,跃迁式创新推动安全测试评估专业赛道发展,为公司整体迈入规模化发展奠定坚实基础。公司致力于成为中国网络空间与数字时代安全基础设施关键建设者,为我国数字经济安全稳健发展保驾护航。
3 公司主要会计数据和财务指标
3.1 近3年的主要会计数据和财务指标
单位:元 币种:人民币
■
3.2 报告期分季度的主要会计数据
单位:元 币种:人民币
公司代码:688244 公司简称:永信至诚
北京永信至诚科技股份有限公司
上一期 下一期
+1