南洋股份（002212.SZ）：防火墙龙头，迎拐点

作者：方正电子陈杭

来源：半导体风向标

核心观点

公司基本面迎来重大变化，推动公司业务发展再上新台阶：

1）中电科入股5%成为公司第三大股东，将实现客户覆盖及业务拓展上的深度协同，且后续与腾讯的战略合作也有望持续发酵；

2）剥离电线电缆相关资产，全面聚焦网络安全主业，将实现从业务发展、股权结构及公司治理的全面理顺；

3）作为国内网络边界安全头部厂商，公司的国产化防火墙及网络安全产品有望放量。

天融信是国内防火墙市场行业龙头，连续多年在防火墙市场份额保持第一，在UTM、VPN、IDPS等网络边界安全设备市场均排名靠前。

防火墙市场持续保持高景气度。天融信凭借在政府及关键行业的深厚客户基础持续保持国内防火墙市场份额排名第一，根据IDC的数据，2018年天融信在防火墙市场份额为22.4%，2019Q3份额达31.4%。同时公司通过不断完善产品线，包括推出超融合系统以不断加强私有云等新场景下提供整体解决方案的能力。公司近年通过加强安全服务，包括安全集成业务以及渠道体系的建设，推动公司安全业务增速显著提升。

政策提速、政企上云及安全威胁三大因素带动网络安全行业景气度持续上行：

1）政策提速，叠加了等保2.0、关键基础设施保护条例，护网、国产替代，十四五开局等一系列影响；

2）网络安全作为IT产业的伴生性需求，目前行业正处于在云计算浪潮带动下的第二轮加速成长期中期，未来仍将保持高速成长；

3）全球安全威胁的复杂化，攻击方式多样化催生网络安全新需求。

投资逻辑：公司作为国内网安龙头，预计20/21年实现归母净利润6.9/9.1亿元，对应PE45X/34X，维持“强烈推荐”评级。

风险提示：行业竞争加剧的风险；渠道拓展不达预期的风险；政策落地不达预期的风险。

盈利预测

1.网络安全国家队即将全面起航

1.1 剥离电缆资产，聚焦网络安全

南洋股份拟剥离旗下全部电线电缆相关资产。公司于2019年12月15日公告，拟将体内电线电缆业务所涉全部资产及相关权益和负债剥离，出售给公司控股股东郑钟南或其指定关联方。涉及标的资产包括：

1）广州南洋电缆有限公司100%股权；

2）南洋电缆（天津）有限公司100%股权；

3）广东南洋电缆股份有限公司95%股权；

4）广州南洋新能源有限公司100%股权；

5）除上述外的、涉及电线电缆业务的资产、权益和负债。

电缆资产剥离后，公司将全面聚焦网络安全业务。南洋股份创建于1985年，专业生产电线电缆以及配套生产电线电缆用PVC料等产品，是我国华南地区最大的电线电缆生产厂商。2017年，南洋股份通过发行股份及支付现金购买资产并募集配套资金共57亿收购国内安全龙头厂商天融信。在收购完成后，公司成为兼具电缆电线制造与网络安全业务的双主业公司。我们预计公司剥离电缆相关资产，将有助于公司聚焦主业，实现从业务发展、股权结构及公司治理的全面理顺，推动公司安全业务发展再上新台阶。

1.2 电科战略入股，业务深度协同

ZDK入股，成为公司第三大股东。公司于2019年12月13日公告：2019年11月17日分别与中电科（天津）网络信息科技合伙企业（电科网信）签署了《股份转让协议》。公司第一大股东郑钟南先生拟将其持有的占公司总股本的2.85%的无限售流通股协议转让给电科网信，明泰资本拟将其持有的占公司总股本的 2.1580%的无限售流通股协议转让给电科网信。转让后，电科网信持股5.01%，成为公司第三大股东。

ZDK入股有望与公司实现深度协同。借助关键行业的业务布局，公司网络安全业务覆盖面将进一步扩大，同时也将对公司国产网络安全产品的销售起到强力支撑。

1.3 激励计划推出，强化增长动力 

公司推出激励计划，包含股票期权激励和限制性股票两部分，占总股本的5.21%。其中股票期权激励计划标拟向激励对象授予3000万份股票期权，占总股本2.62%，覆盖核心业务技术人员1054人，限制性股票激励计划股票公司拟向激励对象授予2,980万股公司限制性股票，通过从二级市场回购的本公司A股普通股和向激励对象定向发行，约占总股本的的2.60%，覆盖公司核心管理人员、核心业务和技术人员共996人。此次激励计划覆盖了公司近30%的员工，主要包括管理人员和核心技术人员，覆盖范围广，强化了公司中高层员工的工作动力，彰显了公司对未来发展的信心。

公司激励计划制定严格的收入及业绩考核目标，明确未来增长预期。公司激励计划的行权考核年度为 2019-2021 年三个会计年度，每个会计年度考核一次，各年度业绩考核目标以2018 年营业收入为基数：

1）2019年营业收入增长率不低于10%；2019年净利润不低于 5.5亿元；

2）2020年营业收入增长率不低于20%；2020年净利润不低于6.5亿元；

3）2021年营业收入增长率不低于30%；2021年净利润不低于7.5亿元。

2. 安全业务发展再上新台阶 

2.1 防火墙行业龙头持续高增长

天融信成立于1995年，是国产防火墙先驱，曾推出我国第一套自主版权的防火墙系统，第一款自主知识产权的ASIC防火墙，并持续多年保持国内防火墙市场绝对龙头地位。同时公司不断丰富自身的网络安全产品线，从防火墙厂商逐渐成长为网络安全整体解决方案提供商。根据安全牛《网络安全100强》矩阵，公司综合实力位于网络安全行业头部位置。

以防火墙为主的网络安全边界市场是国内网络安全市场规模体量最大，同时也是景气度最高的细分子行业之一，是网络安全头部厂商的“兵家必争之地”。

根据赛迪顾问的统计，国内防火墙/VPN市场2018年市场规模达125.4亿元，将UTM纳入的话，整体防火墙市场超过150亿元（防火墙与统一威胁管理（UTM）、下一代防火墙（NGFW）市场已深入融合）。而18年国内以防火墙、UTM、IDPS等网络边界安全产品为主的安全硬件市场整体规模为241.5亿元，占比48.8%，占据了网络安全市场的半壁江山。以防火墙为代表的网络边界安全市场的技术趋势以及景气度的变化对行业整体竞争格局有着巨大的影响。

安全政策以及产业趋势推动防火墙持续保持高景气度。根据赛迪顾问的统计，国内防火墙/VPN市场2018年增速达22.5%，高于行业平均增速20.9%；同时根据IDC的统计，2018年中国防火墙市场规模达到10.68亿美元（不包含UTM，且口径与赛迪有所差异），较2017年同比增长30.8%，同样超出行业平均增速。

我们认为，防火墙市场保持高景气度的主要原因在于：一方面，随着我国安全政策的不断提速，以及政务云、行业云建设的持续落地，防火墙作为政企安全建设的“标配”，将率先受益下游用户IT安全支出不断提升的行业红利；另一方面，随着“All-in-One”的安全设备受到企业用户特别是中小企业用户认可度的不断提升，UTM以及NGFW的进一步渗透，以及在深度集成更多安全功能之后，独立IDPS、VPN等产品的应用场景受到一定程度的挤压，整体的增长要慢于行业平均。全球市场同样契合这一趋势，根据Gartner统计数据，2018年全球市场防火墙收入增长15.9%，显著高于行业平均增速。

防火墙市场竞争格局变化：天融信作为行业龙头份额稳居第一，18年市场份额为22.4%，华为和新华三凭借私有云厂商整体解决方案的优势带动了防火墙产品份额的提升。

天融信凭借在关键行业的深厚客户基础持续保持国内防火墙市场份额排名第一，同时公司通过不断完善产品线的方式，包括推出超融合系统以不断加强私有云等新场景下提供整体解决方案的能力。公司主要竞争对手华为和新华三作为国内私有云头部厂商，受益于近年政务云、行业云市场的快速发展，将网络安全产品纳入到自身云整体解决方案中，带动了市场份额的快速提升。根据IDC的数据，公司主要竞争对手华为及新华三2018年防火墙市场份额分列第二及第三，份额分别为21.4%及19.3%。市场排名前三的厂商总体份额在不断提升，对其他竞争对手的份额造成一定的替代。（公司19H1和19Q3的份额分别为15.7%和31.4%，分别排名第三和第一，与18年同期相比维持平稳，考虑行业季节性因素，全年份额需观察）。

公司作为网络安全市场的龙头厂商，除了防火墙外，在IDPS、VPN等其他安全产品市场也占据头部位置。公司目前产品线主要集中在防火墙、IDPS、VPN等网络边界安全设备市场，防火墙产品在公司收入中占据较大比重，其次为IDPS、VPN等产品，公司在防火墙市场的领先优势带动了公司在网络安全硬件设备市场持续多年保持行业领先。

从天融信近年的收入表现来看，公司从2018年到2019年H1安全业务收入持续保持高速增长，收入增速远超行业平均。天融信2018年实现收入17.32亿元，同比增长49.38%，2019H1实现收入6.86亿元，同比63.73%，彰显了公司业务层面良好的发展态势。同时天融信的毛利率出现了一定程度的下滑，主要为公司从战略层面加大了毛利率相对较低的安全集成等业务的拓展力度。

公司未来主要增长点：

1）强化安全服务及集成业务：天融信作为国内最早重点布局安全服务的厂商，在2004年就在国内率先推出了MSS（安全托管服务）业务，目前具备成熟的安全服务能力，公司近年加大了集成业务和安全服务的拓展力度，通过整体解决方案和安全服务来带动安全产品的销售，契合公司作为综合性安全厂商的定位；

2）加强渠道体系建设：公司过去的销售模式以直销和大客户为主，从19开始公司加大了渠道投入力度，通过发展渠道合作伙伴以增加对于三四线城市和中小企业客户的覆盖面；

3）国产化产品的持续推进：公司与飞腾、兆芯等国产芯片厂商均达成合作，已推出一系列基于国产芯片的安全产品，未来将持续受益行业国产替代趋势；

4）产品线横向扩张：拓展网络安全其他细分领域以及其他行业。

2.2 产品线横向扩张开拓新市场

天融信目前产品线分为网络安全、大数据、安全云服务三大方向，包含了安全防护、安全检测、安全接入、数据安全、云安全、大数据安全、安全云服务及全行业安全解决方案，同时公司正在加强企业网络，云计算和IT基础架构方向的拓展。

公司一方面继续沿“云、大、物、智”的趋势开拓安全行业新市场，推出了云安全、工控安全、物联网安全、大数据安全相关的产品线，同时除了纯安全领域之外，公司在2018年和2019年分别推出的了企业级WLAN和超融合产品，切入云基础设施和企业网络市场。公司新产品的布局一方面是增强了公司原有的安全方案在云等新场景下的能力，另一方面也打开了公司的成长空间。

公司于2019年4月发布了下一代超融合系统（TopHCS），深度集成了计算、存储、网络和安全等基础设施，为客户建设私有云数据中心提供一站式解决方案，同时可以支持与公有云对接形成混合云架构。

公司下一代超融合系统（TopHCS）简单易用，汇聚了公司整体安全能力：通过分布式防火墙通过微隔离技术实现平台级零信任网络安全，服务器主机安全保护系统提供系统及应用安全，以及等保安全产品套餐快速满足客户等保2级和3级要求。公司下一代超融合系统（TopHCS）在办公业务、开发测试、核心应用、容灾备份、等保建设、行业云等多个场景均能够得到深入应用。

公司于2018年正式推出企业级WLAN产品，将实现网络与安全，有线与无线整体解决方案的深入融合。公司的企业级WLAN产品采用软件定义无线（SDW，Software Defined Wlan）的部署方案，以虚拟化部署方式，将具备软件特性的无线控制器部署在“企业内部”或“云服务商“的网络上，具备更大的弹性，可广泛适用于各行业。目前公司的WLAN产品已经在高普教、政府、金融、工业等行业实现了落地部署。

2.3 安全服务业务有望厚积薄发 

天融信作为在2004年国内首先推出安全托管服务（MSS）的行业龙头厂商，在安全服务领域有深厚的能力积奠，未来将持续受益安全服务市场的放量，同时公司作为行业头部厂商，在安服的品牌及整体解决方案上也具备较强的竞争优势。

天融信安全运营中心除了拥有一支专业化的安全运营团队，同时与中国电信、中国联通，以及国家计算机网络应急技术处理协调中心（CNCERT/CC）等权威单位合作，利用国家级监管单位及电信运营商独有的网络资源，为用户提供更高级别的服务。公司的安全服务能够为政企事业单位客户的互联网接入和重要应用系统设备提供安全事件实时监控管理、安全威胁分析处理等安全服务，为客户实现统一安全管理。

天融信网络安全服务系统（安全检测、安全运营）由四个部分组成：数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统：

1）数据采集子系统部署在用户网络端，负责从客户网络上采集日志数据，并将预处理后的数据信息以加密方式发送至“网络安全专家服务”核心平台进行分析；

2）运营服务核心平台子系统部署在电信IDC机房，对采集到的日志信息进行智能分析，以安全风险管理为核心，实现安全对象管理、安全事件管理、系统脆弱性管理，将发现的高危安全事件生成预警信息通知到客户服务支撑系统；

3）客户服务支撑子系统定期向用户报送安全报表和安全通告，在发生高危安全事件时向用户提供预警，为用户提供专家级的安全解决方案和安全响应、安全咨询服务；

4）安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析，帮助用户发现真正有威胁的安全事件。

3. 行业景气度将持续上行 

政策提速、政企上云及安全威胁三大因素带动网络安全行业景气度持续上行：

1）政策合规驱动：政策提速，叠加了等保2.0、关键基础设施保护条例，护网、国产替代，十四五开局等一系列影响；

2）基础架构驱动：网络安全作为IT产业的伴生性需求，目前行业正处于在云计算浪潮带动下的第二轮加速成长期中期，未来仍将保持高速成长；

3）安全事件驱动：全球安全威胁的复杂化，攻击方式多样化催生网络安全新需求。

3.1 政策提速，等保 2.0、关基驱动行业高速增长

政策层面来看，2020-2021年叠加了包括等保2.0的正式实施、关键基础设施保护条例的出台，护网的持续升级、国产替代，十四五开局等一系列影响，行业将迎来景气高点，且我们预计网络安全行业在未来3-5年都将维持高景气度的趋势上。

其中最大的两个政策变量是等保2.0和关键基础设施保利条例，等保2.0在去年12月1号正式实施之后，今年下游政企用户在IT安全方面的支出将会有明显的提升；同时关键基础设施保护条例预计会在今年出台，对于关键基础设施保护条例涉及的行业包括运营商、金融、能源、交通等会有额外的IT安全相关的支出。

等级保护制度贯穿着我国信息化及信息安全的发展历程，从1994年开始提出，到2007年等级保护制度的正式确立，再到2016年网络安全法的发布，2018年等保2.0的发布以及2019年的正式实施，我国等保制度经历了三个不同的发展阶段。

1）1994年国务院发布了147号令，首次提出了国家信息安全工作信息系统是分等级实施保护的。随着我国信息化建设的逐渐起步，2003年国信办在27号文强调加紧制定网络安全等级制度的保护工作，再次强调重申了要实施等级保护。2004年公安部在66号文给出实施意见，大致拟定了一个具体的工作路线；

2）到2007年，《网络安全管理办法》正式发布，明确下来等级保护所有的相关的工作以及各种参与决策的职责分工等等。从此确立了等级保护这项工作就正式开始实施。随后国家各部委相继出台了相关领域具体实施的意见或者管理的标准；

3）到2016年，《网络安全法》正式发布以及2018年公安部发布《网络安全等级保护条例（征求意见稿）》，再到2019年正式实施，网络安全等级保护逐渐进入2.0时代。

相比等保1.0，等级保护2.0在标准名称、标准内容、控制措施分类结构、安全控制项等多方面内容发生了较大变化。等保2.0与1.0在合规要求上的诸多差异直接带来政企用户增加对于第三方安全厂商的安全合规投入，包括启明星辰、奇安信、深信服等多家国内安全龙头厂商目前均推出了针对等保2.0的安全解决方案。

等保2.0一方面是信息安全等级保护制度在面临新的网络安全形势下的一次重大升级，另一方面也是对《网络安全法》21条，31条等涉及等保条例的具体落地。其中《网络安全法》第21条规定是国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求履行相应义务，第31条规定国家对关键信息基础设施，在网络安全等级保护制度的基础上实行重点保护。

等保2.0和等保1.0对比，最重大的变化在于扩展了评级对象的范围至云计算平台、工控、物联网、移动设备等，以及增加了评级的工作内容，加大了安全合规的广度与深度。

1）在评级对象上：除了有传统的信息系统以外，等保2.0将云计算平台、工控、物联网、移动设备等相关系统都纳入到等级保护的评级范围；

2）在工作内容上：传统的等级保护的5个规定动作主要包括定级、备案、建设整改、等级测评和监督检查，等保2.0新增了风险评估、安全检测、通报预警，案事件调查等方面的工作内容，等级保护的工作内容明显增多。

3.2 政企上云等IT 基础设施升级驱动网络安全新需求 

云成为全球网络安全产业的重要驱动力。IT基础架构建设是网络安全行业的重要驱动力，网络安全作为IT产业的伴生性需求，每一波大的IT基础架构建设的浪潮，背后都将伴随安全行业的快速发展。第一波安全行业的快速发展从90年年代到2000年代的中期，本质是信息化建设和网络建设的驱动，第二波的安全产业加速期是从13前后年开始启动，本质是以云计算为代表新一轮IT基础架构建设的驱动。

产业演进路径：从加密（crypto）与商业化（commerce），到云（cloud）与网络空间安全（cyber）。RSA大会作为全球网络安全技术的风向标，每年对安全议题的讨论其对于安全行业有非常强的前瞻价值，RSA会议4个关键“commerce（商业）”、“crypto（加密）”、“cloud（云）”和“cyber（网络空间）”的频率在上世纪90年代以及2010年代这两个时期发生了显著变化：其中“commerce（商业）”和“crypto（加密）代表着上世纪90年代开始网络安全正在从一种技术工具逐渐走向商业化，而最早的安全技术就是通信加密技术。从 2010年之后,“cloud（云）”和“cyber（网络空间）”在RSA的关注度快速提升，代表云以及网络空间安全成为了网络安全行业的重要趋势。

我国云计算产业发展态势迅猛，政策持续加码助推云计算产业快速发展。随着政策引导持续加码，政务云以及企业上云的速度正在显著加快。根据信通院的统计，2018年我国云计算整体市场规模达962.8 亿元，增速39.2%。其中公有云市场规模达到 437亿元，相比2017年增长65.2%; 私有云市场规模达525亿元，较2017年增长23.1%。预计未来几年将保持稳定增长，到2022年市场规模将达到1172亿元。

政企上云带动了云安全市场的快速发展，预计2018国内云计算市场总量达千亿元，按云安全占整体IT投入5%简单估算，目前国内云安全市场体量已经达50亿元。

云计算环境下，网络安全面临的风险点发生了重大变化，导致云安全产品在产品架构上与传统的网络安全产品存在较大差异。

1）传统安全边界消失：虚拟化技术使得安全边界概念消失，基于物理安全边界的防护机制难以在云计算环境中得到有效的应用，无法简单利用防火墙、入侵防御等手段有效阻挡攻击。

2）用户具有动态性：云计算环境下，用户的数量和分类变化频率高，具有动态性和移动性强的特点，静态的安全防护手段作用被削弱，安全防护措施需要进行动态调整；

3）更高的数据安全保护要求：云计算将资源和数据的所有权、管理权和使用权进行了分离，不能像传统信息系统那样通过物理控制、逻辑控制、人员控制等手段对数据的访问进行控制。

3.3 安全威胁复杂化驱动政企安全支出持续增加 

全球范围来看，IT安全风险（安全威胁）是大多数组织增加安全支出的主要驱动因素。根据2017年Gartner对于最终用户安全支出行为调查，51％的企业表示安全风险是整体安全支出的主要驱动因素，其次是业务需求（31％）和行业变化（17％）。

黑客攻击专业化、攻击目的商业化导致网络安全形势复杂化，新型网络攻击方式层出不穷：

1）黑客攻击专业化：体现在创新思维、组织化运作和成熟技术，黑客攻击从过去单点作战演进到了分工明确的黑客团队合伙作案，同时攻击技术更加先进，攻击方法更加多样，Hacking as a Service（攻击即服务）式的服务出现，导致攻击者技术门槛大幅降低，只要价格合适就能获得行业内先进的云端攻击服务；

2）攻击目的商业化：黑客不再以兴趣驱动展示技术实力和自我价值，而是以利益为驱动：包括敏感信息转化为黑产直接变现，DDoS攻击转化为敲诈勒索提现，信息篡改以改变资产所有权等。

3）新型攻击方式导致传统防御体系失效：企业上云，以及工控、物联网、区块链等的最大短板是安全，对大数据的窃取和逐利攻击会成为未来安全攻击的常态。落后的边界隔离理念和灵活多变的攻击技术产生剧烈冲突。

近年全球各类新型网络安全威胁呈现迅速提升的趋势。根据赛门铁克 2018 年年度《互联网安全威胁报告》深入研究了全球最大规模的民用威胁情报网络，结果发现：

1）目标性攻击总量持续增长，其中针对物联网攻击的增长率更是高达 600%；

2）挖矿劫持爆炸式增长，增长率高达 8,500%；

3）勒索软件威胁方面，我国成为亚太区受到勒索软件影响最严重的国家，增长比例达到10.1%，2017年我国在全球排名第2，而2016年全球排名仅在16名；

4）恶意软件入侵的发生率增长了 200%，主要针对软件供应链；

5）移动端恶意软件持续蔓延，其变种数量增加了54%。

网络威胁的复杂化与应用场景的不断拓展催生了网络安全行业的新需求。网络安全行业从最初的“老三样”升级为覆盖端点、网络、应用、数据等领域的及针对云、移动、大数据、工控等场景的数百种安全产品与服务。

1）阶段一：“老三样”防病毒、防火墙、入侵检测以及4A、密码产品覆盖了绝大多数用户信息安全需求；

2）阶段二：防火墙、防病毒、入侵检测、4A、UTM、VPN、SOC、漏扫、安全审计等10余种不同安全架构或针对不同领域的安全产品得以广泛应用；

3）阶段三：创新应用不断出现，形成覆盖端点、网络、应用、数据等领域及针对云、移动、大数据、工控、物联网等多个场景下的数百种安全产品与服务。

4. 投资策略

我们预计公司 2019-2021 年收入分别为61.8、69.4、78.7亿元，同比-1.9%、12.4%、13.4 %，其中安全业务收入为22.7、29.6、38.2亿元，净利润分别为4.6、6.9、9.1 亿元，同比-6.1%、51.1%、32.0%。对应2020/2021年PE为45X/34X，我们看好公司作为国内网络安全行业龙头，在行业整体保持高景气度的同时竞争优势不断凸显。给予公司“强烈推荐”评级。

5. 风险提示

行业竞争持续加剧的风险。目前网络行业竞争逐渐加剧，一方面包括奇安信、新华三、华为等公司在安全领域持续发力，另一方面在云安全、工控安全等领域，新兴安全公司也正在迅速成长。行业竞争若持续加剧，将对公司的市场份额产生一定冲击。

政策落地不达预期的风险。未来两年包括等保2.0以及关键基础设施保护等政策的落地是行业增长的主要驱动力，若政策落地时间延后，或落地效果不达预期，将对公司业务开展产生一定的负面影响。

渠道拓展不达预期的风险：过去天融信的销售模式以直销和大客户为主，公司2019年开始大幅增强了渠道建设及安全服务拓展的力度，若渠道竞争加剧或公司渠道体系构建效果不达预期，将对公司业务增长产生负面影响。