绿盟科技：励精图治，继往开来（深度）| 国君计算机

公司深度系列

— 作者：李沐华 —

1. 中国网安行业的技术专家

1.1. 行业黄埔军校，产品、技术布局领先

网络安全行业的黄埔军校。绿盟科技2000年在北京成立，是国内早期的网络安全公司之一，起源于当时的网络安全技术组织“绿色兵团”。作为一家技术型公司，绿盟身上的重要标签是安全技术创新、安全技术研究，成立初期就设立了安全研究院，时至今日，设有八大安全实验室，跟踪前沿的安全攻防技术。公司被称为网安黄埔军校，是因为其为中国网络安全行业培养了大批技术、管理人才，很多已经成为其他网络安全公司的骨干。

核心产品线具有先发优势。绿盟的入侵检测防御系统（IDPS）、Web应用防护系统（WAF）、抗拒绝服务系统（ADS）、远程安全评估系统（RSAS），均具有长期的布局以及市场份额上的优势，如早在2000年就推出了入侵检测系统“冰之眼”。2009年加入了国际云安全联盟，是国内最早开展云安全技术研究的厂商之一。公司的安全产品线齐全，除了传统的安全防护产品外，还有数据安全、工业互联网安全、物联网安全、云安全等新场景下的安全防护产品，以及信创类产品。

主要股东包括沈继业、网安基金、中电基金等。沈继业先生是公司创始人之一，现担任董事长，截至2021年中报，直接持股比例为10.38%。网安基金、中电基金、电科投资在2019年入股公司，为一致行动人，截至2021年中报，合计持有公司15.55%的股份，是第一大股东。中国电科是网信事业的国家队，具有庞大的规模体量，业务范围涵盖电子装备、网信体系、产业基础、网络安全，在央企背景股东的加持下，绿盟迎来了具备业务协同、资源优势的发展新阶段，在一些G端业务资质的获取上也更为容易。

1.2. 财务质量改善，在泛政府行业增速最高

营收增速重归行业前列。从营收体量来看，绿盟在行业内处于较靠前位置，2020年营收为20.10亿元。2018年是公司增长的低谷期，但已顺利走出，2019、2020年营收的同比增长率分别达到了24.24%、20.28%，得益于主要股东置换以及在泛政府行业的突破。2021年上半年，公司营收的同比增速为40.39%，相较于2019年上半年的增速为48.12%。公司归母净利润的增速高于营收，2019、2020年分别为34.77%、32.94%，净利润率由2017年的12.16%逐渐提升至2020年的14.99%，反映出经营效率的优化。

营收构成以安全产品、安全服务为主。安全产品、安全服务在2020年分别实现营收13.41亿元、6.43亿元，占比分别约为六成、三成。从增速来看，安全产品在2019、2020年均超过公司整体，分别为33.25%、22.21%；安全服务增速略低于公司整体。安全产品毛利率近年来有所下滑，应与产品结构变化有关，但70%的毛利率处于行业的中上位置；安全服务的毛利率波动较大。

区别于其他网络安全公司，绿盟收入主要来自金融、电信运营商等行业。在金融行业，客户覆盖银证保；在运营商行业，首批获得通信网络安全服务能力评定证书；在能源行业，服务于电力、石油、煤炭客户。这些行业由于业务的特殊性，对于安全合规、业务保障的需求更为严格，对于安全产品的性能也更加关注。成长性方面，金融、运营商、“政府、事业单位及其他”2020年收入同比增速分别为19.25%、-4.20%、41.22%。泛政府行业将是公司未来的业务重要增长点，原因在于股东结构变化的赋能作用以及战略合作伙伴在G端的投入，2021年上半年，“政府、事业单位及其他”收入同比增长了109.25%。

费用控制能力强，促进净利润率提升。公司销售费用、管理费用近年来逐步得到控制，2020年销售费用率、管理费用率分别为30.39%、6.84%，核心构成为职工薪酬、业务招待费等。2020年研发投入资本化的部分占比为22.28%，研发费用同比增长14.75%，低于营收增速，研发费用率为17.77%。

经营净现金流大幅改善，位居行业前列。以“经营净现金流/归母净利润*100”计算净利润现金含量，2016至2018年位于50%左右，2019、2020年大幅提升至150%左右，主要得益于经营净现金流的改善，体现出公司在2019、2020年营收重返高增长的同时，收款情况也明显优化，比如应收账款周转率由2018年的1.67次分别提升至2.13次、3.00次。

资本结构优化，偿债能力夯实。公司2020年资产负债率为20.07%，而行业平均水平为30%左右，表明资本结构相对稳健，对外部负债的依赖较少。公司速动资产是流动负债的3.76倍，体现出较强的流动性、偿债能力，流动比率与速动比率接近也反映出网络安全行业相对轻资产的特征，即存货较少。

1.3. 股权激励绑定骨干员工

2020年员工增长461人。头部网络安全公司近年来持续招兵买马，扩大员工队伍，绿盟至2020年底员工总数超过了3400人，在行业中处于中间位置。员工构成中，以技术人员、销售人员为主，分别为2271人、729人。人均创收、人均薪酬这些指标在近几年来也保持稳步增长，表明公司在人员扩张上的质量较高。

2021年再度推行限制性股票激励计划。本次向192名激励对象，授予336.2万股限制性股票，授予价格为8.952元/股，预计的激励成本为2236.40万元。在公司层面，业绩考核以2020年营收为基数，对于目标值、区间值、触发值，后面3年的营收复合增速分别为20%、10%与5%，对应的归属比例分别为100%、80%与50%。此前，公司在2014、2015、2016、2017年，曾推出了股票期权或限制性股票的激励计划。2021年再度进行，表明对员工利益、核心技术/业务人员激励的重视。

2. 产品技术实力突出

2.1. 在基础安全领域推出多款爆品

2.1.1. 入侵检测与防御市场的头部玩家

入侵防御系统是防火墙与入侵检测系统的综合体。防火墙是网络安全的第一道防线，局限性在于仅对已知的协议进行访问控制，入侵检测系统能检测攻击但不能阻止，所以技术性能更高的入侵防御系统就诞生了。入侵检测、入侵防御是网络安全硬件市场的重要组成，根据IDC的统计，2020年市场规模约为26亿元人民币。

绿盟IDS/IPS产品曾连续6年进入Gartner魔力象限。从竞争格局来看，入侵检测与防御硬件的市场集中度高，启明星辰、绿盟是第一梯队，两家的市场份额接近，随后是新华三、天融信。根据绿盟的招股书，市场的参与者在2012年前后主要有启明星辰、绿盟、新华三、天融信、东软、思科、安氏领信等，总体来说变化不大。绿盟在2017年Gartner的魔力象限中首次进入到了“挑战者”象限，在亚太市场是唯一的，而且之前绿盟以及国内其他安全厂商都是在“特定领域者”象限。

2.1.2. Web应用防火墙获得ICSA Labs认证

Web应用包括门户网站、业务系统、交易平台、应用程序等。针对Web应用的攻击事件带来的数据泄露、内容篡改问题层出不穷。Web应用防火墙是针对于此开发的专门安全工具，根据IDC的统计，2020年国内市场规模约为8.5亿元人民币，同比增长了17.4%。从竞争格局来看， 2011年前后市场参与者还有Imperva、安恒、Barracuda Networks和F5，而目前的头部玩家都是国内厂商，市场集中度适中。

硬件Web应用防火墙国内份额第一。WAF产品不仅仅要满足最基本的合规需求，还要有实实在在的检测防御能力、性能。公司在2008年推出商用WAF。此后，不断实现对多样化防护能力、多场景的扩充。多场景比如SaaS交付模式的云WAF、多虚拟化平台支持的虚拟化WAF以及传统硬件盒子。云WAF可以为政府网站提供安全方案，应对诸如暴力破解、爬虫攻击、扫描攻击这样的Web威胁。2020年，绿盟获得了ICSA Labs的Web应用防火墙认证，是国内唯一一家入选的Web应用防护产品。

2.1.3. 国内抗DDoS的开创者

DDoS攻击就是分布式拒绝服务，将多台计算机联合起来进行恶意远程连接，消耗服务器性能。DDoS攻击的经济影响是巨大的，比如电商平台被攻击时，可能出现网站无法访问的问题，用户不能正常网购，游戏平台、在线教育等也是DDoS攻击的重灾区。甚至有的DDoS攻击意在窃取核心业务数据。由于传统的防火墙、入侵检测系统未涵盖DDoS防护，专门的抗拒绝服务系统也就被研发出来。

公司抗拒绝服务系统市占率长期领先，客户包括运营商、大型企业等。产品“黑洞”在2002年就已发布，是抗D领域开创者，此后才有思科、Arbor等的进入。2010年时，公司在国内份额是30%左右。到2020年，根据IDC统计，抗DDoS硬件的国内市场规模是4.5亿元人民币，同比增长13.5%，参与者更多是国内厂商。公有云厂商也为云上的客户提供抗D服务，且市场增速更高，比如阿里云就根据带宽、IP数量按年收费。不过“本地+云端”的混合抗D方案为安全厂商提供了一定机会。

2.1.4. 远程漏洞扫描的技术大拿

远程安全评估系统用于信息系统、应用系统中的漏洞管理。在网络安全事件中，攻击者常常利用系统漏洞发起攻击，发现并解决漏洞问题，是这类产品的出发点。在互联网时代，主要是解决软件中的漏洞，比如操作系统、应用软件、浏览器、Flash、开源软件等。网络环境的变化是产品升级的一大驱动力，比如对云计算、物联网这些场景的漏洞扫描有着新的技术要求，政企组织总部对跨地区的分支机构也有着集中漏洞管理的需求。赛迪预计，2017年，漏洞评估与管理产品市场规模为9.5亿元，2020年将达到18.3亿元。

绿盟的远程安全评估系统拥有20余年历史。2001年，在一批安全技术大咖们的努力下，公司推出了漏洞扫描器“极光”，由一款个人使用工具进化为企业级产品，离不开公司对产品技术的严苛要求，后续不断有V2、V3、V4、V5等新的版本推出，在这过程中代码被不断打磨修改。2008年，“极光”升级为远程安全评估系统RSAS，并提供了安全配置核查能力，2010年销售额就过亿元，是绿盟的爆款产品。RSAS长期位居国内市场占有率第一名，根据IDC的跟踪数据，早在2012年，公司在国内安全性与漏洞管理市场的份额为23.6%，至2020年在响应和编排软件（即漏洞扫描和管理软件）市场的份额为23.3%，体现竞争格局的稳定。

作为一款成熟的安全产品，RSAS的核心优势在于实现了系统漏洞扫描、Web应用漏洞扫描以及安全配置核查的三合一。RSAS 内置了16万条系统漏洞扫描插件，在安全配置核查方面拥有117个通用系统安全配置核查模板。RSAS还提出漏洞管理左移的概念，即前置漏洞扫描过程，在系统开发阶段和上线部署环节就进行漏洞检查。从产品未来演进的角度来看，RSAS的目标是从漏洞管理向IT资产风险管理进化，对漏洞、配置风险做更综合的管理。

2.2. 新兴安全领域成绩显现

2.2.1. 亿赛通数据安全积累深厚

全资子公司亿赛通在传统的数据安全领域有较多积累。亿赛通2003年成立，最初做文档加密，后来把能力圈扩展到数据安全防护，绿盟2014年全资收购了亿赛通，后来派驻了管理层。数据泄露防护这块市场已经有相当的体量，2020年是10.3亿元的规模，同比增长8.3%，增速不高，预计2023年将达到15.9亿元，未来三年的复合增长率为15.6%。近几年来在国家政策的推动下，玩家逐渐增多，老牌厂商的份额有一定稀释。亿赛通拥有先发优势，根据赛迪的统计，2020年中国数据泄露防护市场的CR3为32.5%，亿赛通的份额是15.5%，排名第一。

完善在数据安全领域的解决方案。绿盟新推出的产品包括用于数据分级分类的扫描工具、数据脱敏产品等，以及数据安全中的态势感知平台ISOP-DS。ISOP-DS与其他数据安全产品联动，能够对数据的流转过程进行监控，比如办公网络的数据进出、API接口数据情况、数据库操作等；在数据访问权限上，ISOP-DS做到了统一管控，智能向防护设备下发防护策略，拦截异常行为。

2.2.2. 容器安全、SASE服务面世

累计服务10余个省级和40余个市级政务云。绿盟的政务云安全解决方案可以概括为建立1个安全运营中心，保护云平台和信息系统2个对象，建立安全管理、技术、运营等3个体系，覆盖决策规划、纵深防护、监测预警、应急处置和评价提升等5个阶段。同时，实现了对主流国产平台的兼容适配和性能调优。

云计算由虚拟机向容器、微服务方向发展，公司推出了容器安全产品。容器技术的优势在于架构比虚拟机更轻量级、更具备敏捷性，但由于应用更颗粒化，安全管理难以下手。绿盟容器安全管理系统是面向容器的云工作负载保护平台（CWPP）产品，采用了微服务设计+容器镜像的方式部署，将安全前置到容器构建阶段，持续对容器镜像、基础设施、微服务和网络进行安全检测，保障容器在构建、部署和运行等整个生命周期的安全。

2021年推出SASE的两大核心SaaS服务——私有应用访问和互联网安全访问。前者在远程办公场景应用，利用零信任解决用户的私有网络/应用的访问安全问题，收敛了资产暴露面；后者解决企业在互联网访问时外部网络造成的安全问题，即云上安全网关，基于防火墙、IPS、沙箱等安全技术提供针对Web和Internet威胁的保护。

2.2.3. 横向、纵向安全运营中心建设并行

安全运营2020年实现收入近亿元，增长70%。绿盟已经在8个城市开展了安全运营中心的建设，包括宁波、成都、广州、沈阳、长沙、南京、天津、鹰潭，这些安全运营中心与智慧城市是密切相关的。行业/企业安全运营中心也初见成效，主要面向制造业、运营商等。安全运营中心的建设意义在于，通过全天候、实时化、集约化的运营服务，带动客户安全体系建设，对安全产品销售也是正向的促进作用。

2021年发布智慧安全3.0理念体系。绿盟在2015年提出了智慧安全2.0，后来的几年时间里，从传统产品销售走到了解决方案、安全运营模式，也就是公司经常提到的P2SO战略。这次提出3.0，强调了构建“全场景、可信任、实战化”的安全运营能力，达到“全面防护、智能分析、自动响应”的效果。一方面，这意味着绿盟对安全运营的重视程度再度提高，跳出了安全合规的要求，走向了体系化安全实战能力的建设。另一方面，也与公司的渠道布局相呼应，安全产品全场景的覆盖要通过自研+生态的方式予以实现。

2.2.4. 轻量化态势感知产品覆盖中小用户

智能安全运营平台ISOP在运营商、教育、政府、金融和医疗等行业客户部署。比如在某市网信系统的态势感知预警平台项目中，做到了对全市关键信息基础设施的安全风险把控；在某省级运营商的态势感知项目中，平台接入了多家厂商的安全设备，做集中分析，降低了运营商安全运维的难度、工作量；某金融机构的态势感知数据接入上报项目，主要是向人行态势感知平台报送安全攻击数据。

针对医疗、教育、企业等中小用户，绿盟推出了轻量级的态势感知平台ESP-H。主要具备几个功能：1）对内处理漏洞：资产漏洞的发现和管理；2）日志采集：采集日志是为了统一分析、集中存储，给用户推小态势感知产品可以当日志审计用；3）发现威胁：发现内部哪些主机可能存在问题；4）态势感知：大屏展示现在的安全态势。

3. 渠道建设正带来乘法效应

3.1. 新任总裁行业经验丰富

胡忠华先生2019年加入绿盟，2020年开始担任总裁。此前的1996年至2016年，胡忠华在华为任职，工作过的岗位包括研发、市场，并曾经担任华为企业BG中国区副总裁，负责解决方案销售等工作，是华为“蓝血十杰”获得者。“蓝血十杰”是指“对华为管理体系建设和完善做出突出贡献的、创造出重大价值的优秀管理人才”。此外，曾担任华为西欧企业业务服务部部长的欧阳闽泽也加入公司，担任副总裁。

公司这两年的新战略可以从年报中探寻。在销售上，重塑渠道体系，具体的抓手包括客户分层分级、组织横纵结合、行业上下拉通、考核机制等，渠道在绿盟中的意义已十分明显，“让渠道真正成为公司业务增长的放大器”。营销方面，一是巩固绿盟技术领先的品牌形象，二是提升在地方区域的活跃度。在员工队伍建设上，2021年发布了股权激励计划，还将启动公司第一期合伙人计划，绑定好公司利益与员工利益。

3.2. 把握四大要素重塑渠道

网络安全公司在近几年密集启动渠道建设，向中小型客户延伸。从下游行业的渗透率来看，由于政府、金融、特殊行业等安全合规建设起步早，渗透率已经比较高，而教育、制造、公共事业、交通、医疗等行业潜力巨大，但由于客户更为分散，安全厂商需要与合作伙伴一起拓展。

网络安全厂商的渠道建设有四要素：渠道体系、产品投放、利益分配、生态建设。渠道体系就是分成几个层级，不同客户怎么在直销、渠道之间分配。产品投放要考虑到最终客户的实际需求，比如SMB客户和大型政企的产品需求是不一样的，要考虑做一定的优化。利益分配在于要平衡好公司自身、原厂销售和渠道商的利益关系，因为渠道商代理的可能不仅仅是一家厂商。最后就是生态建设。

难点在于利益分配，华为、深信服做得好。这里以华为为例，华为最早做运营商的直销大项目，后来把各省相对小型的项目交由渠道，1998年成立了渠道拓展部。在借鉴思科的做法以后，华为提出的模式是“准直销”，资源丰富的直销团队可以去打项目，但不直接供货，而是交给渠道去签单，这样就充分保障了渠道商的利益，华为的渠道体系也就逐渐完善起来了。深信服是网络安全公司中渠道做得很好的代表，起步早，而且制定了很多规章制度，来维护渠道秩序。

绿盟开始重塑渠道体系、管理机制，成效显著。2019年，启动了渠道合作伙伴的认证签约。2020年，渠道销售收入占比已经达到60%。根据公司微信公众号的介绍，2020年的渠道订单额接近15亿，1/3是渠道自产单，2/3是绿盟让出的单子，签约渠道的数量增长了162%。公司在未来还会加强渠道战略，渠道销售的占比将有进一步提升的空间。

渠道体系上，绿盟构建了两级渠道架构。一级渠道包括总代、战略/生态合作伙伴、一级经销商，二级渠道包括行业（钻石、金牌、认证）经销商、商业金牌经销商。绿盟把客户分成T、A、B、C、D五级，前三级是原厂销售主导、渠道辅助，后两级全部开放给渠道，比如运营商行业强制要求直签，公司就去直签。

产品投放上，绿盟选择了轻量化产品，并针对中小客户进行适配、优化。这些产品过去得到了客户认可，共14类、28款，包括安全防护、安全审计、安全管理、检查评估等。渠道的安全服务力量相对薄弱，绿盟在2021年成立了渠道服务部，推出了智慧安全服务工具箱，希望为渠道打造一定的安全服务能力，基础的服务交给渠道做。

提供激励、返点、资金、培训等支持。绿盟的丰收计划就是给渠道让利，比如通过春风政策、阳光激励、雨露赋能、沃土营销，大家一起把蛋糕做大，形成长期的合作关系。对销售主管同时考核收入和毛利；内部成立内审部，保障渠道利益。绿盟也建立了严格的渠道管理制度，比如同一个项目如何决定经销商，窜货的违规处罚等。绿盟2019年启动了黄埔培训项目，一期为售前、销售提供培训，2020年又加入售后培训内容。

生态建设上，2020年推出了星空计划。星空计划就是挖掘行业的深层次需求，打造行业级的解决方案以及样板案例，合作伙伴包括大型的SI、ISV等。比如绿盟与医疗IT公司东华医为一起推出了智慧医疗解决方案，在武汉人民医院落地；与太极合作打造了智慧公安解决方案等等。

合规声明：本文节选自已经入库的正式研究报告，如需报告原文PDF请后台留言。

网络安全相关报告

1. 为什么网络安全公司很难把渠道做好？| 产业调研

2. 甲方怎么看网络安全行业？| 产业调研

3. 海外网络安全和云计算大厂发展趋势（百页PPT） 

4. 专家眼中疫情对网络安全行业的影响 | 产业调研

5. 网络安全公司的渠道战争已经打响

6. 为什么教育和医疗行业未来两年是网安公司必争之地？| 产业调研

7. 从网安龙头公司看渠道建设细节 | 产业调研

8. 一文读懂城市安全运营 | 产业调研

9. 读完此文，你还觉得启明星辰佛系吗？

10. 安恒信息：我们心目中的未来大白马

11. 安恒信息：高质量的高增长，难能可贵 

12. 绿盟科技：有一种上车机会叫低于预期（深度）

13. 态势感知行业还能高速增长多久？

14. 南洋股份：防火墙之王，战略股东引发质变

15. 中国网络安全行业细分领域IDC数据大汇总

16.网络安全产品从入门到精通

17.海外专题：寻找中国网络安全公司中的Palo Alto（深度）

18. 奇安信基本面及虎符生态战略解密（30页PPT）

19. 迪普科技：中国应用交付产业的希望（深度）

20. 为什么网络安全公司纷纷布局EDR（深度）

21. 奇安信：六年磨剑，登顶江湖（深度）

22. Zscaler：云安全服务与接入领头羊（30页PPT）

23. Okta：身份认证独角兽（深度）

24.产业调研：寻找中国OKTA

25.深信服：SASE蓝海中的耀眼新星（深度）

26.奇安信：高增长的背后，探究网安龙头的成长密码（深度）

27.如何理解深信服的核心竞争力？

28.如何研究一家网络安全公司？

29.拥抱网络安全的小波段和大时代

30.奇安信：创新业务实力强大，助推公司成为全球网安龙头（深度）

31.产业调研：飞塔是个神奇的公司

32.产业调研：海外专家怎么看云计算和网络安全？

33.数据安全法带来的一些变化

34.产业调研：等保测评升级，网安行业需求大提升

35.产业调研：甲方视角下的网安行业边际变化

36.产业调研：解密传说中的长亭科技

37.亚信安全：懂网又懂云的网络安全公司（60页PPT）

38.从奇安信中报看新赛道布局的重要性

39. 《个人信息保护法》落地，网安行业变天了

  - end -  

欢迎加入产业交流群！

欢迎所有对计算机产业研究和投资感兴趣的盆友（包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等）后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架，提高整个A股的IT行业研究水平，减少韭菜数量，普度众生。