文/国泰君安 李沐华

1 前世今生

城市安全运营脱胎于智慧城市运营,曙光、浪潮是先驱,三六零企业安全、启明星辰将其发扬光大。二级市场最早提出要做城市安全运营的公司是启明星辰,但是这个城市运营模式的发明者不是启明,而是曙光、浪潮这种做城市云的公司。那么我们思考一个问题,智慧城市运营的本质是什么?就是数据资源的获取和整合分析,向外输出结果。城市安全运营也一样,本质是获取用户的安全数据,通过大数据分析输出安全能力。启明星辰成都安全运营中心2017年12月份开始运营,三六零企业安全安全运营服务总部2018年3月份落地绵阳,这种商业模式开始启动。要注意,城市安全运营是单独的一块业务,而不是智慧城市的分包。之前跟启明星辰领导交流过,如果作为智慧城市网络安全的分包商,拿到的份额会很小,基本是按人头的安全外包服务,利润空间不大,他宁愿选择拒绝这种单子。

2 城市安全运营跟传统安全产品/服务之间的关系

二者之间不存在左手打右手的关系。我路演的时候经常有人问,有了城市安全运营,原来委办局采购的产品是不是就不需要了,以前的安全服务是不是也没有了?目前来看并没有这种情况,我仔细询问了启明星辰成都分公司的财务情况,2018年应该增长不错,成都运营中心2018全年都在运营,没有造成业绩下滑,这是一个依据;第二个依据就是启明的城市安全运营服务跟传统安全服务(渗透测试,漏洞扫描,网站监测,源代码审计,应急响应等)是并行的两个团队,销售在卖的时候,可以推销传统服务,也可以销售运营中心的服务,二者功能有差异性。比如前端时间启明星辰的一个教育客户,拥有200个网站,安全预算120万,找到启明想买200个网站的安全服务,这个时候销售就面临一个问题,到底是找传统安全服务还是找安全运营中心。最后结果是各自做各自适合的,比如网站的24小时监控由安全运营中心去做,还有一些现场服务由传统服务人员去做。

城市安全运营服务的核心是数据分析服务。路演的时候经常有人问SOC(安全管理中心)跟城市安全运营中心什么关系。本质上说,SOC是产品,城市安全运营是服务。城市安全运营中心的数据分析能力远在SOC之上,举个例子,SOC每天报警可以达到十万条,入侵检测一天也可以报警一千条,一个普通单位的安全运维人员数量极为有限,不可能处理这么多报警,最终只能选择放弃,这样SOC就变成了一个日志搜集工具,只能事后追溯的时候用,无法起到提前发现问题的作用。如果能够把SOC和IDS报警,以及主机流量做一个统一分析,可以发现很多安全问题。

本质上说,城市安全运营中心卖的服务包括数据分析和结果处理两部分,处理环节对人力有要求。之前的公众号文章里面也介绍过安恒信息的大数据分析平台产品,功能就是数据采集+数据分析+可视化展现。能否用这个替代城市安全运营呢?大数据分析功能只是城市安全运营中心的一部分,分析出来的结果需要人工去处理,因此对于人员就提出了要求。城市安全运营中心的人才需求分为三层:

——高端人才做安全服务的时间很久,攻防经验很丰富,对数据处理和安全防护都有很多经验,这是高端人才。此外,精通数据处理的也是高端人才。

——中端人才。有一定的数据处理能力,比如100万件安全事件过滤成1000件,剩下的验证就靠中层人员去做判断,如果安全事件我判断不了,看是否上报。

——低端人才。最底层的是做监控的,比如看流量是否正常。这类人甚至不需要大学文凭,接受过职业院校教育就可以了。

按照我今天跟蒋军杰的讨论,全国300多个地市,安全运营中心铺到最后,人力数量可能会成为一个问题,尤其是前面提到的高端人才,因为安全产品有规模效应,但是网络安全事件的人力处理是没有规模效应的。在人才方面奇安信布局较早,一方面疯狂挖人,一方面在绵阳搞了人才培养基地,每年生产安全从业人员。

数据所有权和使用权的问题。安全运营的最佳状态是很多客户愿意把安全数据和网络数据、业务数据做综合分析,如果能够直接拿到当地安全运营中心处理是最完美的,节省成本,但是很多客户会担心数据隐私,所以要求在自己的机房做安全运营,这样就需要网络安全公司在客户机房里面放置服务器。这就是我为什么对UCloud的安全屋产品很感兴趣,因为应用场景太广泛了。

3 客单价和市场空间测算

未来单价有提升空间。按照启明星辰公开交流的数据,省级城市年费800-900万,地级市400-500万。付费方要看哪个部门采购的,如果省信息中心主导的,就是它来付费,也可能是经信委、发改委、大数据局。目前一半委办局上了云(上云了也不愿意把数据都共享),还有一半不愿意上云。未来如果全部上云,还有央企国企都做安全运营,单价还有提升空间,预计未来省级城市能做到3000万一年,地级市1000万一年。

市场空间测算。按照现在省级城市年费800-900万,地级市400-500万标准计算,中国省级城市15个,地级城市293个,市场空间12.92-16亿。按照省级城市3000万,地级市1000万计算,市场空间33.8亿元。这块看起来小,但是纯粹的新增市场空间。

4 利润率有提升空间

成都安全运营中心毛利率50%左右,未来房屋装修折旧完以后会有一定提升安全运营和产品核算方法不一样,安全产品毛利率比如说60%,需要安装人员实施,还要各种成本摊进去,净利率会比较低(20%左右)。但是安全服务就是人员成本(如果不采购产品的话),净利率比较高(30%左右)。以成都运营中心为例,总投入2500万,包括基础装修+人员投入(20万一个人)+产品。这三项里面,人员工资每年都要投入,设备三到五年更新一次,永远在折旧(此处感谢刘越女神的idea),只有装修折旧完以后可以提升利润率。

5 渗透率仍低,当前不考虑竞争

目前头部公司占的城市不超过10%,市场在拓展阶段。蓝海市场,跑马圈地,现在智慧城市安全运营还没有明显的竞争,往往是直接签单,并且一个城市也可以有多个网络安全公司的运营中心,比如杭州就有启明和安恒。在这个阶段,还不需要考虑市占率。

注:本文部分内容来自与启明星辰城市安全运营业务线领导的交流。

声明:本文来自蛀书狐狸,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。