国华网安(000004)
公司经营评述
- 2023-06-30
- 2022-12-31
- 2022-06-30
- 2021-12-31
- 2021-06-30
- 2020-12-31
- 2020-06-30
一、报告期内公司从事的主要业务
近年来,国家高度重视安全行业建设,习近平总书记指出,“没有网络安全就没有国家安全”,并陆续发表了“共同构建网络空间命运共同体”、“积极推进我国应急管理体系和能力现代化”等重要论述。而在最新发布的《“十四五”规划和2035年远景目标纲要》中,网络安全、应急安全也成为国家持续关注的重要领域。国家层面已陆续出台了多项政策推动安全行业发展,企业在应对国家监管及外部威胁的同时,迫切需要更加先进和多元的安全产品和服务。
公司作为国内移动应用安全头部企业,积极响应国家“数字经济”的发展战略,认真钻研各类移动应用安全技术,研讨和分析各种互联网移动应用场景,经过多年的精耕细作,初步形成了独有的业务生态体系,从满足单项安全或合规需求的工具类产品,到集成多种功能的平台类产品,公司能够为客户提供全方位、一站式的移动安全全生命周期解决方案,打造和谐、强大、高度安全的万物互联生态环境。
(一)移动应用安全工具类产品和服务
爱加密移动应用安全工具类产品和服务能力贯穿了移动应用设计指引、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期,并拥有丰富的产品形态和高度的业务适配性,用户遍及金融、运营商、政府、电商、能源、教育、游戏等多个行业。
1、安全检测产品:适用于移动应用的开发者客户及各类移动应用持续监督管理者,能够全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,并出具专业的安全检测报告,对发现的问题给予详细的解决建议,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险,同时使得检测整改后的移动应用能够满足国家移动应用安全相关法律法规和监管要求。产品采用静态检测、动态检测、个人信息检测、内容检测等技术,包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、鸿蒙APP检测、固件检测等系列。
2、安全加固产品:适用于移动应用的开发者和运营者客户,能够解决移动应用本身存在的脆弱性问题,有效防止移动应用被破解和篡改等风险发生,保障应用开发者和运营者的合法权益,并在保证安全性的同时兼顾性能,把加固行为对应用安装和运行的用户体验影响降到最低。产品综合采用AndroidDex加固、SO加固、SDK加固、输入输出信息保护、密钥白盒、C/C++/OC/swift源码混淆保护、Java2CPP保护以及SOLinker等技术,通过领先的第八代All-InVMP加固技术,为用户提供全面的移动应用加固和攻击防范工具及安全套件。
3、个人信息保护产品+服务套件:公司紧密结合个人信息保护法律体系监管要求和企业端的业务需求,推出移动应用个人信息安全检测平台和个人信息安全合规测评服务,其中:个人信息安全检测平台主要针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,能够帮助监管机构准确、有效地提供行政执法依据,帮助测评机构出具专业的个人信息测评报告,帮助应用市场实现应用上架前的合规风险扫描与控制,帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。此外,公司提供个人信息合规测评服务,着力解决APP违规收集使用个人信息、过度索权等用户关心的信息安全问题,对标监管机构的通报执行范围、应用市场的合规风险扫描范围、竞品企业的违规测评认定范围等制定合规差距评估模型,提供测评与整改咨询的服务推进APP合规运营,为移动应用用户的个人信息安全保驾护航。
4、移动应用深度安全-人工服务:利用人工手段协助国家和区域安全监管机构、测评机构、重要行业用户,对现有安全体系和技术手段进行有效补充和完善,服务内容涵盖攻防渗透、隐私合规测评、源代码审计、安全培训、兼容性测试、等级保护安全咨询等,为行业高端用户提供全方位治理服务。一是提供人工渗透服务,在合法且取得用户授权的前提下,通过模拟黑客攻击对整个应用系统进行全面的漏洞检测与分析,输出专业的渗透测试报告,并提出漏洞修复建议与修复指导方案;二是提供高端定制化隐私合规测评服务,帮助企业快速满足国家、监管机构及企业自身的合规政策和标准要求;三是提供源代码审计服务,全面挖掘出应用系统源代码中存在的安全漏洞、性能缺陷、编码规范缺陷等问题,避免因软件代码存在安全漏洞导致的安全事故及风险;四是提供安全培训服务,为客户定制个性化的安全培训课程方案,通过新颖、专业、详细的安全课程培训、安全事件解读与实操实训,帮助企业人员了解并掌握相关安全知识、安全技能;五是提供兼容性测试服务,对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(安装、启动耗时、内存占用、CPU占用、流量消耗量)和业务功能正确性进行测试;六是提供等级保护安全咨询服务,结合行业特点对业务信息系统提供定级参考建议,协助客户完成定级备案工作,提供等级保护和安全意识的培训服务。5、其他产品情况:为满足客户业务需求,公司配套研发了相关的系统和产品,其中:API安全网关是适用于移动应用业务复杂度高、多业务系统协同工作等复杂应用场景以及前后端业务交互访问频繁等问题的移动应用高级防护产品,其通过自研流式大数据平台进行驱动,能够关联前端风险和后端流量进行综合分析,具备自动化的API资产发现与管理、API访问终端环境风险检测、规则及模型流量风险分析、API数据泄漏分析、风险溯源及处置、灵活的系统部署交付及扩展等多种能力;软件供应链管理平台主要面向需要管理规模数量较多、拥有自有以及第三方开发软件系统的用户,能够协助软件资产所有者用于对所拥有的软件产品中的第三方开源组件实施安全管控,帮助企业建立开源技术应用管理制度体系和标准化软件资产台账,实时预警开源组件安全及合规问题,并通过全面可视化统计能力有效提升企业对软件供应链的安全管理能力;RASPWeb应用攻击自免疫解决方案则主要针对Web应用的运营者客户,采用业内前沿防护理念(RuntimeApplicationSelf-protectionRASP),安装过程无需修改任何应用程序自身代码,将Web防护检测引擎注入到应用程序里,与应用程序融为一体,在应用程序运行时可对访问请求做精准分析,实现自我安全保护,减少了传统防护技术分析流量数据带来的误报,识别并拦截新型Web攻击,为应用系统的安全防护提供了创新解决方案,为预防未知移动应用安全风险漏洞提供新型防护手段。源代码审计系统提供对目标软件代码语法、语义的分析,辅以数据流分析、控制流分析和特有的缺陷分析,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷,并准确定位告警,从而有效的帮助开发人员消除代码中的缺陷、减少安全隐患。
(二)移动应用安全平台类产品
1、移动应用安全大数据平台:面向移动应用发布运营后移动应用安全问题的平台级产品,其客户覆盖行业监管、业务运营和各级执法单位。平台利用强大的网络爬虫能力采集各渠道发布的应用,运用内置AI机器智能学习模型自动对海量数据进行规则清洗打标,通过调用平台内置各类监测引擎将公司移动应用基础安全防护和检测能力进行有效整合,内置安全评估模型定性、定量客观呈现移动应用安全运行状态和水平,对各种类型移动应用提供主动、持续、动态的风险业务识别、侦测和分析,能够提供指定移动应用运行安全状态监测服务,辅助监管单位对辖区内移动应用进行监测与管理,为移动应用运营单位提供移动应用安全、平稳、合规运行的安全风险分析和能力支撑,并提供必要的决策分析支撑,同时能够根据行业用户需求分别针对企业用户和终端用户推送多种形式的移动应用安全监测数据。
2、移动安全管理平台:客户群体多为行业用户及安全管理部门,平台以企业移动业务安全为核心,结合企业安全策略动态调配自有或第三方安全工具和防护措施,针对监管合规、安全建设、风险管控等业务场景,提供应用检测、应用加固、态势感知、个人隐私检测、内容检测、源代码审计、EMM在内的多种安全能力,基于规划、设计、开发、测试、上线、运营全生命周期,实现移动业务的事前安全管控、事中威胁监测、事后安全管理,帮助企业构建完整的移动安全管理体系,满足企业移动安全体系化建设需求。
3、移动应用渠道监测平台:为企业客户和监管机构识别、下架应用市场中盗版、仿冒应用,分析应用发布有效性、运营数据全面性而推出的大数据类产品,实时监测超过800个主要应用分发渠道,可自定义新增监控渠道从而全面覆盖监控范围;能够帮助开发企业及时了解掌握盗版、仿冒应用及自身运营数据情况,防止出现冒充企业应用,误导用户下载并窃取用户信息的不法行为,避免公司信誉受损;帮助监管机构全面对管辖范围内移动应用的盗版、仿冒状况进行摸底、监测、整改,并具备持续性监督能力。
4、安全开发管理平台:为软件开发团队提供的可持续性贯彻安全策略的辅助平台,以SDL(SecurityDevelopmentLifecycle安全开发周期)为设计理念,构建覆盖应用开发各环节、工具统一运行调度的管理系统,从立项开始进行安全管理的全程介入,实现了安全左移的管理效果。平台包含了各阶段流程的梳理、相关安全知识库的建设、评审机制的建立,能够兼容多种开发模式,包括自适应瀑布开发模型、敏捷开发模型、DevOps模型等,可针对不同的安全治理诉求,有效地帮助客户建立定制化的安全管理体系,从而推动安全管理流程落地,为各类软件开发企业提供安全赋能。
5、移动威胁态势感知平台:针对关注移动应用上线后运行状况和各类安全攻击突发事件的行业客户提供的安全事件监测平台,具备移动应用安全持续监控能力,能够及时发现各种攻击威胁、异常行为、环境风险,实时收集移动应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,进行有效的安全决策和响应,并建立安全预警机制和生成威胁风险报告,从而帮助企业安全管理人员掌握移动业务的整体安全态势。
6、防人脸识别攻击解决方案:适用于在移动业务应用中使用人脸识别技术进行登录、验证和防伪识别的用户,涵盖运行环境攻击防护和算法攻击防护两大模块,能够在移动应用调用人脸识别业务环节避免环境攻击、数据篡改、算法欺骗等安全风险,帮助企业客户提高移动应用人脸识别业务的安全性,保障用户的个人信息及资产安全。其中:环境攻击防护通过系统环境检测、HOOK框架检测、调试攻击检测、注入攻击检测、数据防篡改、数据加密等技术,一是防止在移动APP端做人脸识别检测时通过注入攻击、HOOK攻击等攻击方式替换人脸识别图片和视频,二是防止在APP与服务器通信时通过劫持数据提交接口、数据传输接口、网络抓包等攻击方式替换人脸识别图片和视频,绕过活体检测;算法攻击防护则是对传入人脸视频和身份信息进行算法识别和检测分析,先通过活体检测技术判断视频中是否为真人,再将视频中人脸以及身份信息与权威库的证件照进行人脸比对,从而验证需认证人员是真人且为本人,测评准确度高达99.80%,可以有效防止静态仿冒、AI换脸、T型面具、动态视频等算法攻击风险。
(三)移动应用安全生态环境建设
在数字科技的产业政策推动下,各行业都在积极探索新IT业态下的顶层业务逻辑。如何将移动应用安全纳入到原有的安全防御体系中,是未来互联网生态下各行各业都需要解决的问题。为此,公司积极参与国家、行业主管部门和检测测评机构针对移动应用安全发起的专项课题研究、标准编制、新业务试点工作,推动国内移动应用安全生态环境的良性发展,形成政府、企业和用户于一体的互联网安全生态。作为移动应用安全的引领者,公司将通过领先行业的移动安全技术,推动产业互联网、政府互联网、消费互联网的移动应用安全生态的发展,以业务创新实现产业共赢。
(四)业务拓展
基于在移动安全方面的技术沉淀,通过加强与合作伙伴的合作,报告期内公司进一步向数据安全、智慧车联、物联网等方向进行拓展。
1、数据安全治理
(1)数据安全分类分级系统是面向企业数据发掘并进行自动化数据分类分级分析的产品。该系统致力于梳理并标识数据,实现在复杂环境下自动化扫描并识别其中的敏感数据信息,在数据的分类分级梳理过程中搭建数据标准,实现数据口径的统一。通过优质且智能化的数据服务扫描能力和敏感数据自动化识别能力,该系统可对海量的数据资产进行扫描和自动化分类分级,实现在基础零业务打扰的情况下,在扫描的同时完成对数据资产的自动化标识。该系统的智能分析引擎以多维度的规则匹配与机器学习能力深度学习企业的数据资产业务场景,形成一套贴合客户实际业务场景的算法模型,使自动化分类分级更精准。同时系统将分类分级结果以多个维度进行可视化呈现,可提供数据清单维度的分级结果、标签分类维度的分级结果、数据分级维度的识别结果。
(2)针对非移动应用数据,提供范围更广的数据出境合规治理服务,适用于被判定为数据出境的管辖对象、希望对出境业务进行安全评估的企业、希望对出境行为进行持续监控的企业和不清楚业务数据是否涉及境外流动,希望进行出境安全检测的企业等。该平台以敏感数据出境治理为核心,帮助企业持续有序地治理出境业务,提供数据出境评估和监测能力,规范数据出境活动以满足合规监管要求。平台遵循“事前评估、事中监测、事后留档”的治理思路,事前对出境资产进行合规风险评估,事中对出境行为变化进行实时监测并将风险事件纳入处置中心,事后可依据实际情况决定是否采纳治理或再次进行评估,生成报告存档以便后期进行对比分析和整改。
2、智慧车联
智慧车联产品主要包括汽车电子智能终端、车联网及智能网联V2X(VehicletoEverything)等产品。汽车电子智能终端包括智能行车记录仪、智能360环视、车载智慧屏等后装产品以及无线360环视、(行人和碰撞检测)双预警方案等前装产品;车联网产品目前主要应用于行业平台客户,通过摄像头感知、AI算法、大数据,为平台客户提供监管监控服务,优化运营效率;智能网联V2X包括智能网联终端和集成解决方案,其中智能网联终端集成了V2X、高精度定位、地图集成、4G/5G通信、车辆CAN数据、AI算法(DMS、ADAS、OMS等)等车辆智能网联相关的基础能力,实现新一代智能网联与传统车联网的兼容;智能网联集成解决方案则为客户提供智能网联、智慧交通综合一体化解决方案,为智能驾驶、交通综合治理等服务。
3、物联网安全
物联网安全产品主要包括边缘计算算力网关以及物联网终端安全检测平台应用等产品和服务,基于安全鉴权和加密算法的研发,与运营商深度合作,通过安全网络通道的数据传输,实现物联网设备的安全运营、有效防劫持等。
二、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全工具、服务和解决方案,以及以移动安全为核心驱动的安全集成业务。经过多年的耕耘,公司已经成为国内移动应用安全细分领域的头部企业,凭借丰富的项目经验及优质的服务能力,在诸多方面占据优势地位,形成了较强的市场竞争力。
(一)核心技术优势
公司核心品牌爱加密坚持以移动应用安全专项防护和检测技术作为核心竞争力,组建国内专业的移动二进制逆向分析团队,持续对核心能力及产品做更新迭代,不断满足各类移动应用及场景的安全需求,其研究成果适用于通用的各类移动应用对象(如:安卓、IOS、SDK、小程序、鸿蒙、公众号、IOT等)。在研发过程中,公司坚持技术创新发展战略,紧跟移动应用发展趋势和用户需求,累计已获得计算机软件著作权170项、专利技术41项,技术范围涉及移动应用安全、个人信息安全、5G、工业互联网方向,初步形成了以自主知识产权为核心的技术群及知识产权体系,其中多项核心技术具备国内先进水平。
1、聚焦国家“数字经济”发展战略,认真钻研各类移动应用安全技术,研讨和分析各种移动互联网应用场景,深耕新型反编译、反调试技术,不断优化应用虚拟化保护、混淆、加密、反调试等多维度加固防护方案。其中:JAVA、C/C++层代码防护,利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,且支持最新的鸿蒙应用,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,新增了小程序安全渗透检测、软件供应链安全核心能力。
2、聚焦个人信息保护、小程序检测、数据治理等技术热点问题,开拓移动应用漏洞自动挖掘技术,探索新型应用漏洞检测利用方法,不断增强移动应用安全检测能力。其中:智能化静态检测和动态沙箱检测技术,对移动应用在代码文件安全、权限违规使用、恶意行为、通用安全漏洞、数据安全、个人信息安全、内容违规等方面进行全维度安全分析并给出最佳实践建议,移动应用自动化检测技术涵盖了主流的应用形态,包括Android、iOS、H5、公众号、小程序、SDK、IOT等;小程序加固/检测通过自研检测沙箱能够对小程序进行分析检测,识别小程序在的风险,同时采用多种加固技术对微信、抖音、支付宝等小程序进行加固保护,有效降低被破解的风险;合规检测能力覆盖目前国内最新个人隐私安全相关法律法规,通过自主研发的合规检测产品支持自动化遍历APP功能并监控其后台行为,可结合静态分析、OCR识别、智能法规库判断等方式检测应用的合规问题,并配备人工专家团队,可为企业提供咨询、培训、深度检测等专业服务。
3、深入研究移动应用中使用到的新技术,例如针对移动应用场景中大量使用的人脸识别技术,从人脸识别安全防护、人脸识别算法安全、人脸识别业务逻辑分析等维度进行深入研究,通过内嵌SDK、算法检测、业务逻辑渗透等技术手段打造全方位人脸识别防护综合解决方案。
4、主动融入国家战略发展布局,积极参与各类移动应用安全课题研究和标准制定工作,以自身技术能力为国内网络空间安全保障奉献力量。公司近年来积累了移动应用在设计、开发、测试等各阶段的安全知识库,并对移动应用全生命周期安全治理有深厚经验,依托平台级解决方案实现企业安全设计、安全开发、安全测试、安全整改、安全运营等维度的安全治理,为企业接入各类第三方安全工具、定制工单流程、安全数据报表等内容,助力众多大型集团用户建设整体、全生命周期的移动安全能力。
(二)移动应用资产储备优势
1、依托业务资源和技术优势,加强数据收集汇总能力。一方面,公司累计已服务企业及开发者用户50万+,保护移动应用100万+,监测互联网应用1500万+,累计覆盖10亿移动终端,从中积累了广泛的移动应用运行数据;另一方面,在确保符合国家法律政策规范的前提下,公司突破业内技术限制,收集和存储的国内移动应用样本库超过3300万个,获取渠道包含应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等,包含Android、iOS、嵌入式系统、微信小程序、微信公众号等移动应用数据信息,覆盖国内主要地区、行业。
2、加强数据分析监测能力,搭建移动应用安全大数据平台。公司依托广泛的数据积累和强大的数据整合能力,通过1600余个应用渠道,进一步搭建移动应用安全大数据平台,收集AndroidApp约441万款、iOSApp约292万款、公众号约599万个、微信小程序约286万个、SDK约6000个,收录行业权限库近400个、IP近2亿条。此外,平台还内置了20余个安全检测引擎,能够对国内互联网应用做实时监测,监测内容包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等,目前监测到恶意应用约44万个,盗版应用约13万个,具有高危漏洞的Android应用占比监测总数的77.50%。
3、积极履行社会责任,为国家和主管部门提供决策支撑。公司移动应用数据的积累和移动大数据应用平台的建设运营,推动公司成为具备实时监测国内移动应用生态环境实力的企业之一,通过对移动应用运行数据的实时监控,可以及时发现其中潜在的风险和问题,为移动应用的健康发展提供能力支撑。
(三)品牌优势
公司旗下核心品牌“爱加密”在国内移动应用市场具有较高的知名度,技术优势及专业能力获得国内多家机构的广泛认可、在多个领域榜上有名,展现出领先的技术优势、优质的服务体系以及高度的市场客户认可度。此外,公司广泛参与了国家、行业的移动应用安全顶层设计,针对重点行业客户提供移动应用安全咨询,进而提供移动应用安全全生命周期解决方案,为用户移动应用发展提供长期的产品、技术、服务支撑。
1、公司荣誉(2023年节选)
入选中国软件评测中心2022年度移动互联网APP产品安全漏洞治理十大优秀案例;
入选2023年广州市网络安全应急联动机构;
入选《嘶吼2023网络安全产业图谱》;
入选中关村网络安全与信息化产业联盟“2023网络安全企业高价值专利数量百强”、“2023网络安全企业有效专利数量百强”;
入选2023安在新榜-中国市场网络安全“大众点评”百强榜;
入选数说安全2023年中国网络安全市场全景图;
入选安全牛网络安全行业全景图;
入选2022北京软件核心竞争力企业(创新型);
入选中国信通院“联合产品创新计划”支撑单位;
入选中国网络安全产业联盟2023年网络安全服务阳光行动”成员单位;
荣获中国信通院泰尔终端实验室“移动互联网应用程序(APP)用户权益保护测试能力验证计划”满意结果;
荣获大数据协同安全技术国家工程研究中心优秀数据安全技术与产品实践案例”奖。
2、市场认可度
公司长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了丰富的产品、交付和服务经验,良好的品牌和口碑为公司市场营销战略奠定了深厚的基础,有效增强了综合竞争力,行业客户遍及政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业,在企业级市场拥有广泛而优质的用户群体。2023年,公司在运营商移动应用安全服务领域进一步稳固市场份额。
(四)行业引领优势
公司高度重视移动应用安全产品和服务的标准化工作,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草了《移动互联网应用程序安全加固能力评估要求与测试方法》《移动信息化可信选型认证评估方法第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息合规及安全检测的研究及实践工作,包括:《移动互联网应用程序安全监测指标及评价指南》《移动互联网应用程序(APP)数据安全测评能力要求》《信息安全技术移动互联网应用程序(App)生命周期安全管理指南》《信息安全技术电子政务移动办公系统安全技术规范》《全国SDK违法违规检测报告》《车载网络设备信息安全技术要求(征求意见稿)》《移动APP安全规范》《新型城域物联专网建设导则》《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》《MHT0068-2018民用航空移动应用程序安全测评指南》《移动互联网应用程序安全规范》《贵州移动应用程序(APP)安全要求》《移动应用程序等级保护安全测评规范》《信息安全技术移动互联网应用程序安全开发和生命周期管理指南》《工业APP安全防护要求》《中国智能家电信息安全发展白皮书》《信息安全技术智能门锁安全技术要求和测试评价方法》《信息安全技术移动智能终端的App个人信息处理活动管理指南》等。标准工作的广泛参与使得公司能够长期保持行业战略领先地位,充分理解行业发展趋势,同时将最精准的移动应用安全要求融入到产品技术中,在新技术、新产品的布局上抢占先机。2022年公司在持续跟进上述标准工作的基础上,又参加了《不良移动应用程序分类及判定方法》《应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》《电信和互联网用户个人信息保护规定》《网联消费电器信息安全通用技术要求》《互联网企业未成年人网络保护管理体系》《认知数字疗法网络安全指南》《车联网服务平台网络安全防护要求》《车联网App安全防护要求》《车联网风险评估规范》《车联网数据跨境安全规范》《车联网个人信息安全保护》《车联网数据跨境安全管理规范》《电信网和互联网数据加密技术要求与测试方法》《基于人脸识别的智能防疫门禁系统基础能力要求及评估方法》《电子政务移动办公系统安全技术规范》《云南省个人信息安全规范》《软件供应链安全管理规范》《轨道交通网络安全移动应用规范》《移动应用商店安全合规规范》等标准编写工作,从参编标准的范围上不断向行业应用、深度治理和互联网领域延展。同时,公司还参与了《中国网信联盟数据安全桔皮书》等国家行业标杆技术指导文献的编写,并获得中国网信联盟突出贡献奖。2023年上半年公司参编的由中关村网络安全与信息化产业联盟、数据安全治理专业委员会联合编著的《数据安全治理白皮书5.0》、中国电子标准研究院主导的《移动互联网应用程序安全开发和生命周期管理指南》正式发布。
(五)信创优势
公司深度参与我国信创生态体系的建设,通过强大的技术优势、业务资质优势、产品方案优势等,不断扩大产品生态群,提升产品与信创产业的适配兼容能力。公司多款产品已实现中标麒麟、银河麒麟、统信主流操作系统;中科可控、中科曙光服务器;南大通用国产数据库;海光、兆芯等国产信创平台的全面兼容适配。
作为国家工业信息安全发展研究中心“久安计划”首批合作伙伴,公司将持续通过自身技术力量助力我国信创安全服务水平能力的提升。未来,公司仍将持续赋能信创产业,开拓创新、解决需求,为更多不同领域、行业的用户提供更加全面、优质、周到的产品和服务。
目前,随着公司对移动应用安全业务的持续推进,结合现有用户需求,公司积极拓展以移动应用安全操作系统为核心竞争力的边缘计算设备,该设备完全采用国产硬件,内置安全操作系统,并自带移动应用安全防护解决方案,满足国内行业用户对安全移动应用设备的业务需求。
(六)专业资质优势
在网络安全行业,企业获取经营资质或许可的多少是衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质、许可较全的企业之一。凭借领先的技术优势及服务能力,公司取得了管理体系认证(6类)、能力评估认证(4类)、行业能力认证(7项)、业务支撑等行业认可(10项)。
(七)产品和服务优势
近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、移动安全运营管理、移动应用监管、5G、工业互联网安全、人脸识别安全等新领域,公司对现有产品和解决方案进行了有效整合,以生态合作为理念,对产品、服务和解决方案做了层次化分类。
针对移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;针对移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品、服务和专项治理能力;针对需要长期关注移动应用安全的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。同时,针对公共安全应急行业用户,公司提供面向行业应用的全方位安全体系建设方案。
为满足用户快速获取移动应用安全服务能力,公司推出全新的安全云平台,该平台采用SaaS方式,主要针对微信小程序、抖音小程序、支付宝小程序,为各类移动应用提供一站式安全加固、漏洞检测、合规检测等服务,快读满足企业移动应用全方位安全治理需求,防范多类安全风险,助力企业安全运营。
三、公司面临的风险和应对措施
1、宏观经济环境风险
公司从事的信息安全、应急安全及智慧城市等是国家鼓励发展的产业,但与此同时,上述行业受经济增速放缓的影响较大,其中互联网企业、中小企业、小微企业尤其受到较大影响,市场的恢复尚需时间。宏观经济下行和财政预算支出调整等变化可能通过客户预算下降、业务订单和项目实施延后等途径对公司经营产生负面影响,导致公司存在业务开展不达预期的风险。为此,公司将通过政策深挖、行业研究、技术创新和产品迭代为客户提供更为优质、更具价值的服务,在保持监管要求和企业需求平衡的同时加大创新力度,为客户提供优秀的解决方案,增加客户粘性;同时坚持开源节流、提质增效,提高公司内部管理水平和综合实力,积极应对外部环境中的不利因素。
2、市场竞争风险
移动互联网的发展以及政府和社会对移动应用安全合规要求的提升,是移动应用安全市场发展的重要动力,我国移动网络安全及数据安全市场当前正处于高速发展期,相关法规政策的完善以及行业规范性的提升催生出新的增长动能。同时市场的快速发展也加剧了市场竞争,现有的市场参与者在同质化产品上展开价格战,新进入者不断在细分领域寻找突破,行业内卷程度逐步提高。为此,公司将结合前期积累的经验,继续发挥核心技术优势和资产储备优势,提升管理效能和运营能力,加大专项人才建设力度、行业研究力度、研发投入力度,以增强市场竞争力,同时在细分领域中积极挖掘新的业务增长点。
3、核心技术泄密及核心人员流失风险
安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司报告期内存在一定比例的技术人员流动,公司将继续加强对员工的关怀,并围绕核心技术积极申请知识产权,同时不断完善员工薪酬绩效考核体系、保密制度、技术防护措施以作保障。
4、技术孕育期的不确定性风险
在移动安全领域,每项新技术的研究开发需要较长的市场需求调研、技术路线验证、代码开发、用户场景融合和功能效果验证。在层层递进的技术发展路径上,每一步都需要各方相关人员进行确认,技术成果的功能实现和技术应用具有不确定性。为此,公司将继续做好新技术开发的前期研判,慎重选择技术方向,并加强研发的过程把控,提前发现可能存在的技术缺陷,同时紧密关注行业发展动态和落地场景的最新变化,确保研发技术能够顺利落地应用。
5、技术需求实现方式变化风险
移动应用中新技术、新场景层出不穷,现有移动应用安全防护技术和产品在满足用户需求时,需要在技术细节、场景融合、实施方式上不断变化,对于新的安全风险点,需要辅助人工方式不断摸索,逐步形成成熟解决方案,同时又因为安全多为突发性事件,技术措施的时效性要求日益明显,导致公司在资金和人员有限的情况下,技术研发和产品开发投入上容易出现“计划赶不上变化”的现象。为此,公司在非标准安全服务支持过程中,注重过程管理,尽可能沉淀通用标准能力,快速转换为产品和标准服务产品,加快现有产品和服务的功能迭代速度,努力适应快速多变的安全需求。
6、应收账款回收风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,叠加经济增速放缓的影响,应收账款回收难度加大,存在回收周期过长甚至逾期的情况。而在公司收购智游网安股权的交易中,公司虽与交易对方彭瀛、郭训平和郑州众合网安信息科技有限公司约定了与应收账款回收相关的考核及股份锁定期安排,但截至本报告出具之日,上述三方并未按照约定履行应收账款补偿义务。
为了加强应收账款的管理,公司在《应收账款管理制度》中结合公司所处行业特点,对应收账款的全程管理进行了详细规定,从事前建立客户档案和确认应收账款账期,到事中的对账、开票和催收,再到事后的逾期应收账款催收,均一一进行了明确规定,同时明确了对应收账款管理负责人的奖惩标准,对内提高公司人员对应收账款的重视及管理积极性,对外加强应收账款的跟踪回收,以保护公司经营成果,防范经营风险。
收起▲
一、报告期内公司所处行业情况
公司需遵守《深圳证券交易所上市公司自律监管指引第3号——行业信息披露》中软件与信息技术服务业的披露要求近年来,国家高度重视安全行业建设,习近平总书记指出,“没有网络安全就没有国家安全”,并陆续发表了“共同构建网络空间命运共同体”、“积极推进我国应急管理体系和能力现代化”等重要论述。而在最新发布的《“十四五”规划和2035年远景目标纲要》中,网络安全、应急安全也成为国家持续关注的重要领域。国家层面已陆续出台了多项政策推动安全行业发展,企业在应对国家监管及外部威胁的同时,迫切需要更加先进和多元的安全产品和服务。
(一)安全行业发展前景
1、信息安全领域
中国网络安全产业联盟发布的《中国网络安全产业分析报告(2022年)》显示,2021年我国网络安全市场规模约为614亿元,同比增长率为15.4%。近三年网络安全行业总体保持增长态势,随着《网络安全审查办法》《互联网信息服务算法推荐管理规定》《数据出境安全评估办法》等颁布实施,网络安全法律法规体系化、纵深化态势更加明显,政策法规红利持续释放,叠加企业和个人数字化需求不断攀升,网络安全市场持续扩大,预计未来两年增速仍将保持在 15%以上,到2024年市场规模预计将超过1000亿元。
2023年 3月,中国互联网络信息中心(CNNIC)发布第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国手机网民规模达10.65亿,较2021年12月增长3636万,网民使用手机上网的比例高达99.8%。2022年,我国移动互联网接入流量达2618亿GB,同比增长18.1%。移动APP作为移动互联网流量的载体,相关安全及合规服务的市场空间巨大。
2、应急安全领域
应急产业是国民经济重要的战略性新兴产业和科技先导产业。进入高质量发展新阶段,安全应急产业地位更为重要、更为凸显。在“十四五”时期经济社会发展主要目标中,“防范化解重大风险体制机制不断健全,突发公共事件应急处置能力显著增强,自然灾害防御水平明显提升,发展安全保障更加有力”,是“国家治理效能得到新提升”目标中的一项内容。
《“十四五”规划和2035年远景目标纲要》指出,要加强国家综合性消防救援队伍建设,增强全灾种救援能力;加强和完善航空应急救援体系与能力;科学调整应急物资储备品类、规模和结构,提高快速调配和紧急运输能力;构建应急指挥信息和综合监测预警网络体系,加强极端条件应急救援通信保障能力建设;进一步提高数字化政务服务效能,强化数字技术在公共卫生、自然灾害、事故灾难、社会安全等突发公共事件应对中的运用,全面提升预警和应急处置能力。
在应急处置能力配置方面,要求建设6个区域应急救援中心和综合应急实训演练基地;推动救援装备现代化,升级完善中央和地方综合应急物资储备库,建设一批应急物资物流基地;建设3座区域核与辐射应急监测物资储备库;增强公共设施应对风暴、干旱和地质灾害的能力,完善公共设施和建筑应急避难功能。
(二)安全行业发展阶段
1、信息安全领域
工信部《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》明确提出,到2023年网络安全技术创新能力明显提高,产品和服务水平不断提升,网络安全产业规模超过2500亿元,年复合增长率超过15%。
2023年1月3日,工业和信息化部等十六部门关于促进数据安全产业发展的指导意见指出:发展目标是到2025年,数据安全产业基础能力和综合实力明显增强;产业规模迅速扩大,数据安全产业规模超过1500亿元,年复合增长率超过30%;产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成;建立数据安全检测评估体系,加强与网络安全等级保护评测等相关体系衔接;到2035年,数据安全产业进入繁荣成熟期;产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高。
在数据安全得到进一步重视的同时,移动端作为数据收集的重要入口,数据在收集、存储、传输等关键环节的安全将面临更复杂的管理要求,专业性的移动端数据安全防护技术将发挥更重要的作用。具体到移动安全场景,数据安全包括了移动应用的本地数据安全、内存数据安全、传输数据加密等。公司核心品牌爱加密在这些关键环节拥有强大的技术积累,如:使用白盒密钥解决方案有效保护用户的本地密钥,方案支持一次一密,并保障整个加解密环节本地数据及内存中均不暴露原始密钥及原始密钥碎片。
2、应急安全领域
当前我国仍处于安全生产爬坡过坎期,积累和新增的安全隐患大量存在,极端天气进入多发期,防灾减灾基础薄弱,应急救援力量建设处于打基础、攻难关、上水平的关键阶段,发展不平衡不充分问题仍然突出。
2022年2月14日国务院印发《“十四五”国家应急体系规划》,立足协同和辅助的目标定位,理清了专业应急救援力量、社会应急力量、基层应急救援力量等3类救援力量与消防救援队伍主力军的关系,提出了补短板、强弱项的建设方向,明确了加强资源统筹、形成战斗合力的实施方式。
《规划》强调,“十四五”期间,要以有效应对重特大灾害事故为主线,以提高应急救援能力为牵引,整合利用各类优质资源,建强关键应急救援力量,补齐短板弱项,全面推进应急救援能力现代化建设,形成对国家综合性消防救援队伍的有力支撑、有效协同。
《规划》提出,到2025年,基本建成规模适度、布局科学、结构合理、专长突出的应急救援力量体系,实现专业应急救援力量各有所长、社会应急力量有效辅助、基层应急救援力量有效覆盖的建设目标,为人民群众生命财产安全和社会稳定提供坚实保障。
(三)公司所处行业地位
1、信息安全领域
公司核心品牌爱加密是国内移动应用安全领域的先行者和领导者,能够充分发挥核心技术优势、行业引领优势、安全服务优势,加强与各监管机构、企业单位的合作,助力移动应用安全能力的稳步提升和产业的健康发展,为国家、企业和广大用户保驾护航。
上游:为国家监管单位提供可靠的能力支撑,依据出台的法律、法规、标准、规范等对APP安全、隐私合规、安全评估、备案管理、内容合规监管执法提供产品及服务,帮助监管执法的高效落地;
中游:覆盖行业协会和大型检测机构,输出网络空间移动应用安全监测与分析、海量移动应用安全评估与合规检测、应用加固与整改等产品服务;
下游:为广大企业客户提供安全开发管理、源码安全审计、隐私合规检测、移动应用安全检测、安全评估、安全加固、渠道监测、移动威胁感知等合规与安全防护的能力。
2022年,爱加密在监管服务支撑方面,入选国家信息安全漏洞共享平台(CNVD)技术支撑单位、中国信通院“数据安全共同体计划”首批成员单位和“数据安全推进计划”名单、“网络安全能力评价工作组”首批成员单位。
在网络安全领域权威机构评比中,爱加密上榜中国市场网络安全“大众点评”百强榜,入选了数世咨询《2022年中国数字安全百强报告》、数说安全《2022年中国网络安全市场全景图》、安全牛《中国网络安全行业全景图》多个领域、嘶吼2022网络安全产业图谱多个领域、CCSIP 2022中国网络安全产业全景图多个领域。
2、应急安全领域
应急安全是公司近年来拓展的业务,公司目前正在逐步打造应急业务专业团队,整合自身产品和周边产品,开发有核心技术的应急软硬件产品和装备,加强与运营商、集成商等的合作力度,逐步打开应急安全业务市场。
(四)行业政策及影响
中国信通院发布的2022年《网络立法白皮书》表明,2022年我国网络立法围绕数据、网络基础设施、数字技术、网络平台等方面持续推进。
1、网络安全相关法律法规、政策文件密集出台,凸显出网络安全在国家发展和数字经济建设的地位
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出:“加快推动数字产业化;培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业”,“加强网络安全保护;加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力”。网络安全是数字产业发展不可或缺的一部分,随着新兴数字产业的发展壮大,网络安全的需求也在同步增加,移动安全将迎来更广阔的市场空间。
2、《网络安全法》将与相关法律建立衔接
2022年 9月,国家互联网信息办公室发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,拟对《网络安全法》作出部分修改;本次修改有利于做好《网络安全法》与相关法律的衔接协调,进一步完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。网络安全法的修订,对网络安全领域是一种完善,表明了国家对网络安全持续重视的基调;其中进一步重视个人、组织在网络空间的合法权益,将对公司的个人信息安全检测产品及相关服务带来更多商机。
3、数据是我国网络立法建设中的重点规范领域
随着《网络安全法》《数据安全法》《个人信息保护法》的出台实施,数据领域的顶层制度设计初步形成,2022年,为进一步落实立法要求,相关配套加速制定,尤其在数据跨境流动领域表现突出,《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》等文件相继公布或出台,规定了更加明确的数据出境路径。同时,工业和信息化领域贯彻顶层制度设计,制定出台该领域数据安全管理办法。
2022年 7月,国家互联网信息办公室公布《数据出境安全评估办法》,秉持安全和发展并重的基本原则,进一步明确了数据出境安全评估的具体流程和要求,确定安全评估结果的有效期为两年。
2022年12月,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》,围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求;明确开展数据安全监测、认证、评估的相关要求。
国家对数据安全的进一步重视已迈出实质性的步伐,工业和信息化部等十六部门关于促进数据安全产业发展的指导意见中明确了发展目标;公司在发挥好移动端应用安全产品和服务优势的前提下,将进一步利用自身技术优势拓展移动端数据安全业务,包括数据安全评估、防护等。
4、多部委相继发布移动互联网应用程序信息服务和关键信息基础设施安全保护规章管理制度
2022年 6月,国家互联网信息办公室修订发布《移动互联网应用程序信息服务管理规定》,要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任;应用程序提供者应进行实名认证、符合业务许可、开展信息内容生态治理、禁止不正当竞争、保障应用程序安全、保障数据安全、保护个人信息、保护未成年人、开展新技术新应用安全评估、进行账号管理;应用程序分发平台应履行备案义务、建立分类管理制度、管理应用程序提供者、制定并公开管理规则及签订服务协议。
2022年9月,国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》,要求互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,加强互联网弹窗信息内容审核,不得推送违法及不良信息;建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。证券、电力、公路水路、医疗卫生等领域进一步明确关键信息基础设施安全保护责任;2022年4月,中国证券监督管理委员会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见;2022年8月,交通运输部就《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》公开征求意见;2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》,对关键信息基础设施提出重点保障要求;2022年 12月,国家能源局印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》,对电力行业网络安全进行了细化规定。国家监管层面紧跟市场网络安全风险趋势,不断优化网络安全的管理办法及细则,各行各业均在加强行业网络安全的管理和建设。移动终端作为用户的主要参与渠道之一,移动应用的安全显得尤为重要,公司将积极履行社会责任,继续提升和完善移动安全相关技术和解决方案,为国家监管部门和各行业用户提供优质的服务。
二、报告期内公司从事的主要业务
报告期内,公司主要从事移动应用安全、应急安全及智慧城市业务。
一、信息安全领域
公司作为国内移动应用安全头部企业,积极响应国家“数字经济”的发展战略,认真钻研各类移动应用安全技术,研讨和分析各种互联网移动应用场景,经过多年的精耕细作,初步形成了独有的业务生态体系,从满足单项安全或合规需求的工具类产品,到集成多种功能的平台类产品,公司能够为客户提供全方位、一站式的移动安全全生命周期解决方案,打造和谐、强大、高度安全的万物互联生态环境。
(一)移动应用安全工具类产品和服务
爱加密移动应用安全工具类产品和服务能力贯穿了移动应用设计指引、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期,并拥有丰富的产品形态和高度的业务适配性,用户遍及金融、运营商、政府、电商、能源、教育、游戏等多个行业。
1、安全检测产品:适用于移动应用的开发者客户及各类移动应用持续监督管理者,能够全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,并出具专业的安全检测报告,对发现的问题给予详细的解决建议,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险,同时使得检测整改后的移动应用能够满足国家移动应用安全相关法律法规和监管要求。产品采用静态检测、动态检测、个人信息检测、内容检测等技术,包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、鸿蒙APP检测、固件检测等系列。
2、安全加固产品:适用于移动应用的开发者和运营者客户,能够解决移动应用本身存在的脆弱性问题,有效防止移动应用被破解和篡改等风险发生,保障应用开发者和运营者的合法权益,并在保证安全性的同时兼顾性能,把加固行为对应用安装和运行的用户体验影响降到最低。产品综合采用Android Dex加固、SO加固、SDK加固、输入输出信息保护、密钥白盒、C/C++/OC/swift源码混淆保护、Java2CPP保护以及SO Linker等技术,通过领先的第八代All-In VMP加固技术,为用户提供全面的移动应用加固和攻击防范工具及安全套件。
3、个人信息保护产品+服务套件:公司紧密结合个人信息保护法律体系监管要求和企业端的业务需求,推出移动应用个人信息安全检测平台和个人信息安全合规测评服务,其中:个人信息安全检测平台主要针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,能够帮助监管机构准确、有效地提供行政执法依据,帮助测评机构出具专业的个人信息测评报告,帮助应用市场实现应用上架前的合规风险扫描与控制,帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。此外,公司提供个人信息合规测评服务,着力解决APP违规收集使用个人信息、过度索权等用户关心的信息安全问题,对标监管机构的通报执行范围、应用市场的合规风险扫描范围、竞品企业的违规测评认定范围等制定合规差距评估模型,提供测评与整改咨询的服务推进APP合规运营,为移动应用用户的个人信息安全保驾护航。
4、移动应用深度安全-人工服务:利用人工手段协助国家和区域安全监管机构、测评机构、重要行业用户,对现有安全体系和技术手段进行有效补充和完善,服务内容涵盖攻防渗透、隐私合规测评、源代码审计、安全培训、兼容性测试、等级保护安全咨询等,为行业高端用户提供全方位治理服务。一是提供人工渗透服务,在合法且取得用户授权的前提下,通过模拟黑客攻击对整个应用系统进行全面的漏洞检测与分析,输出专业的渗透测试报告,并提出漏洞修复建议与修复指导方案;二是提供高端定制化隐私合规测评服务,帮助企业快速满足国家、监管机构及企业自身的合规政策和标准要求;三是提供源代码审计服务,全面挖掘出应用系统源代码中存在的安全漏洞、性能缺陷、编码规范缺陷等问题,避免因软件代码存在安全漏洞导致的安全事故及风险;四是提供安全培训服务,为客户定制个性化的安全培训课程方案,通过新颖、专业、详细的安全课程培训、安全事件解读与实操实训,帮助企业人员了解并掌握相关安全知识、安全技能;五是提供兼容性测试服务,对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(安装、启动耗时、内存占用、CPU占用、流量消耗量)和业务功能正确性进行测试;六是提供等级保护安全咨询服务,结合行业特点对业务信息系统提供定级参考建议,协助客户完成定级备案工作,提供等级保护和安全意识的培训服务。
5、其他产品情况:为满足客户业务需求,公司配套研发了相关的系统和产品,其中:API安全网关是适用于移动应用业务复杂度高、多业务系统协同工作等复杂应用场景以及前后端业务交互访问频繁等问题的移动应用高级防护产品,其通过自研流式大数据平台进行驱动,能够关联前端风险和后端流量进行综合分析,具备自动化的API资产发现与管理、API访问终端环境风险检测、规则及模型流量风险分析、API数据泄漏分析、风险溯源及处置、灵活的系统部署交付及扩展等多种能力;供应链管理系统主要面向需要管理规模数量较多、拥有自有以及第三方开发软件系统的用户,能够协助软件资产所有者用于对所拥有的软件产品中的第三方开源组件实施安全管控,帮助企业建立开源技术应用管理制度体系和标准化软件资产台账,实时预警开源组件安全及合规问题,并通过全面可视化统计能力有效提升企业对软件供应链的安全管理能力;RASP Web应用攻击自免疫解决方案则主要针对 Web应用的运营者客户,采用业内前沿防护理念(Runtime Application Self-protection RASP),安装过程无需修改任何应用程序自身代码,将Web防护检测引擎注入到应用程序里,与应用程序融为一体,在应用程序运行时可对访问请求做精准分析,实现自我安全保护,减少了传统防护技术分析流量数据带来的误报,识别并拦截新型Web攻击,为应用系统的安全防护提供了创新解决方案,为预防未知移动应用安全风险漏洞提供新型防护手段。
(二)移动应用安全平台类产品
1、移动应用安全大数据平台:面向移动应用发布运营后移动应用安全问题的平台级产品,其客户覆盖行业监管、业务运营和各级执法单位。平台利用强大的网络爬虫能力采集各渠道发布的应用,运用内置AI机器智能学习模型自动对海量数据进行规则清洗打标,通过调用平台内置各类监测引擎将公司移动应用基础安全防护和检测能力进行有效整合,内置安全评估模型定性、定量客观呈现移动应用安全运行状态和水平,对各种类型移动应用提供主动、持续、动态的风险业务识别、侦测和分析,能够提供指定移动应用运行安全状态监测服务,辅助监管单位对辖区内移动应用进行监测与管理,为移动应用运营单位提供移动应用安全、平稳、合规运行的安全风险分析和能力支撑,并提供必要的决策分析支撑,同时能够根据行业用户需求分别针对企业用户和终端用户推送多种形式的移动应用安全监测数据。
2、移动安全管理平台:客户群体多为行业用户及安全管理部门,平台以企业移动业务安全为核心,结合企业安全策略动态调配自有或第三方安全工具和防护措施,针对监管合规、安全建设、风险管控等业务场景,提供应用检测、应用加固、态势感知、个人隐私检测、内容检测、源代码审计、EMM在内的多种安全能力,基于规划、设计、开发、测试、上线、运营全生命周期,实现移动业务的事前安全管控、事中威胁监测、事后安全管理,帮助企业构建完整的移动安全管理体系,满足企业移动安全体系化建设需求。
3、移动应用渠道监测平台:为企业客户和监管机构识别、下架应用市场中盗版、仿冒应用,分析应用发布有效性、运营数据全面性而推出的大数据类产品,实时监测超过800个主要应用分发渠道,可自定义新增监控渠道从而全面覆盖监控范围;能够帮助开发企业及时了解掌握盗版、仿冒应用及自身运营数据情况,防止出现冒充企业应用,误导用户下载并窃取用户信息的不法行为,避免公司信誉受损;帮助监管机构全面对管辖范围内移动应用的盗版、仿冒状况进行摸底、监测、整改,并具备持续性监督能力。
4、安全开发管理平台:为软件开发团队提供的可持续性贯彻安全策略的辅助平台,以 SDL(Security Development Lifecycle安全开发周期)为设计理念,构建覆盖应用开发各环节、工具统一运行调度的管理系统,从立项开始进行安全管理的全程介入,实现了安全左移的管理效果。平台包含了各阶段流程的梳理、相关安全知识库的建设、评审机制的建立,能够兼容多种开发模式,包括自适应瀑布开发模型、敏捷开发模型、DevOps模型等,可针对不同的安全治理诉求,有效地帮助客户建立定制化的安全管理体系,从而推动安全管理流程落地,为各类软件开发企业提供安全赋能。
5、移动威胁态势感知平台:针对关注移动应用上线后运行状况和各类安全攻击突发事件的行业客户提供的安全事件监测平台,具备移动应用安全持续监控能力,能够及时发现各种攻击威胁、异常行为、环境风险,实时收集移动应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,进行有效的安全决策和响应,并建立安全预警机制和生成威胁风险报告,从而帮助企业安全管理人员掌握移动业务的整体安全态势。
6、防人脸识别攻击解决方案:适用于在移动业务应用中使用人脸识别技术进行登录、验证和防伪识别的用户,涵盖运行环境攻击防护和算法攻击防护两大模块,能够在移动应用调用人脸识别业务环节避免环境攻击、数据篡改、算法欺骗等安全风险,帮助企业客户提高移动应用人脸识别业务的安全性,保障用户的个人信息及资产安全。其中:环境攻击防护通过系统环境检测、HOOK框架检测、调试攻击检测、注入攻击检测、数据防篡改、数据加密等技术,一是防止在移动APP端做人脸识别检测时通过注入攻击、HOOK攻击等攻击方式替换人脸识别图片和视频,二是防止在APP与服务器通信时通过劫持数据提交接口、数据传输接口、网络抓包等攻击方式替换人脸识别图片和视频,绕过活体检测;算法攻击防护则是对传入人脸视频和身份信息进行算法识别和检测分析,先通过活体检测技术判断视频中是否为真人,再将视频中人脸以及身份信息与权威库的证件照进行人脸比对,从而验证需认证人员是真人且为本人,测评准确度高达99.80%,可以有效防止静态仿冒、AI换脸、T型面具、动态视频等算法攻击风险。
(三)移动应用安全生态环境建设
在数字科技的产业政策推动下,各行业都在积极探索新IT业态下的顶层业务逻辑。如何将移动应用安全纳入到原有的安全防御体系中,是未来互联网生态下各行各业都需要解决的问题。为此,公司积极参与国家、行业主管部门和检测测评机构针对移动应用安全发起的专项课题研究、标准编制、新业务试点工作,推动国内移动应用安全生态环境的良性发展,形成政府、企业和用户于一体的互联网安全生态。作为移动应用安全的引领者,公司将通过领先行业的移动安全技术,推动产业互联网、政府互联网、消费互联网的移动应用安全生态的发展,以业务创新实现产业共赢。
二、应急安全及智慧城市领域
公司应急安全及智慧城市业务侧重于城市安全风险评估服务、应急安全解决方案和以应急安全为核心驱动的安全集成业务。2022年,公司应急安全及智慧城市项目陆续在山东落地实施,其中:
(一)系统平台技术集成服务类
参与服务项目:智慧海防综合预警平台系统、视商会议系统、货车智能呼叫系统、湿地公园远程视频监测监控系统、方舱集中隔离点信息化系统、视频扩容治理平台、桓台县新时代文明实践中心展厅运维服务等。
(二)园区设施设备集成服务类
参与服务项目:区县应急管理局应急救援指挥中心建设、园区监控配套设施建设等。
(三)智能信息化工程实施服务类
参与服务项目:园区智能化工程项目、应急局智慧应急扩建、区县委办公室保密网络改造、区县智慧城市运转中心一期建设等。
三、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全工具、服务和解决方案,以及以移动安全为核心驱动的安全集成业务。经过多年的耕耘,公司已经成为国内移动应用安全细分领域的头部企业,凭借丰富的项目经验及优质的服务能力,在诸多方面占据优势地位,形成了较强的市场竞争力。
(一)核心技术优势
1、信息安全领域
公司核心品牌爱加密坚持以移动应用安全专项防护和检测技术作为核心竞争力,组建国内专业的移动二进制逆向分析团队,持续对核心能力及产品做更新迭代,不断满足各类移动应用及场景的安全需求,其研究成果适用于通用的各类移动应用对象(如:安卓、IOS、SDK、小程序、鸿蒙、公众号、IOT等)。在研发过程中,公司坚持技术创新发展战略,紧跟移动应用发展趋势和用户需求,累计已获得计算机软件著作权102项、专利技术32项,技术范围涉及移动应用安全、个人信息安全、5G、工业互联网方向,初步形成了以自主知识产权为核心的技术群及知识产权体系,其中多项核心技术具备国内先进水平。
①聚焦国家“数字经济”发展战略,认真钻研各类移动应用安全技术,研讨和分析各种移动互联网应用场景,深耕新型反编译、反调试技术,不断优化应用虚拟化保护、混淆、加密、反调试等多维度加固防护方案。其中:JAVA、C/C++层代码防护,利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,且支持最新的鸿蒙应用,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过80%的代码,远超业内平均水平。
②聚焦个人信息保护、小程序检测、数据治理等技术热点问题,开拓移动应用漏洞自动挖掘技术,探索新型应用漏洞检测利用方法,不断增强移动应用安全检测能力。其中:智能化静态检测和动态沙箱检测技术,对移动应用在代码文件安全、权限违规使用、恶意行为、通用安全漏洞、数据安全、个人信息安全、内容违规等方面进行全维度安全分析并给出最佳实践建议,移动应用自动化检测技术涵盖了主流的应用形态,包括 Android、iOS、H5、公众号、小程序、SDK、IOT等;小程序加固/检测通过自研检测沙箱能够对小程序进行分析检测,识别小程序在的风险,同时采用多种加固技术对微信、抖音、支付宝等小程序进行加固保护,有效降低被破解的风险;合规检测能力覆盖目前国内最新个人隐私安全相关法律法规,通过自主研发的合规检测产品支持自动化遍历APP功能并监控其后台行为,可结合静态分析、OCR识别、智能法规库判断等方式检测应用的合规问题,并配备人工专家团队,可为企业提供咨询、培训、深度检测等专业服务。③主动融入国家战略发展布局,积极参与各类移动应用安全课题研究和标准制定工作,以自身技术能力为国内网络空间安全保障奉献力量。公司近年来积累了移动应用在设计、开发、测试等各阶段的安全知识库,并对移动应用全生命周期安全治理有深厚经验,依托平台级解决方案实现企业安全设计、安全开发、安全测试、安全整改、安全运营等维度的安全治理,为企业接入各类第三方安全工具、定制工单流程、安全数据报表等内容,助力众多大型集团用户建设整体、全生命周期的移动安全能力。
2、应急安全和智慧城市领域
公司应急安全及智慧城市业务侧重于城市安全风险评估服务、应急安全解决方案和以应急安全为核心驱动的安全集成业务。在应急安全应用细分领域,公司与国家应急部大数据中心、北方工业大学新兴风险研究院广泛开展合作,积极参与国内应急安全课题研究和标准制定工作;同时,与运营商、集成商等合作伙伴开展项目合作,积累了丰富的产品、交付和服务经验。
(二)移动应用资产储备优势
1、依托业务资源和技术优势,加强数据收集汇总能力。一方面,公司累计已服务企业及开发者用户50万+,保护移动应用100万+,监测互联网应用1500万+,累计覆盖10亿移动终端,从中积累了广泛的移动应用运行数据;另一方面,在确保符合国家法律政策规范的前提下,公司突破业内技术限制,收集和存储的国内移动应用样本库超过2100万个,获取渠道包含应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等,包含Android、iOS、嵌入式系统、微信小程序、微信公众号等移动应用数据信息,覆盖国内主要地区、行业。
2、加强数据分析监测能力,搭建移动应用安全大数据平台。公司依托广泛的数据积累和强大的数据整合能力,通过1300余个应用渠道,进一步搭建移动应用安全大数据平台,收集Android App约418万款、iOS App约249万款、公众号约584万个、微信小程序约184万个、SDK约9000个,收录行业权限库近400个、IP近2亿条。此外,平台还内置了20余个安全检测引擎,能够对国内互联网应用做实时监测,监测内容包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等,目前监测到恶意应用约24万个,盗版应用约12万个,具有高危漏洞的Android应用占比监测总数的76.32%。
3、积极履行社会责任,为国家和主管部门提供决策支撑。公司移动应用数据的积累和移动大数据应用平台的建设运营,推动公司成为具备实时监测国内移动应用生态环境实力的企业之一,通过对移动应用运行数据的实时监控,可以及时发现其中潜在的风险和问题,为移动应用的健康发展提供能力支撑。
(三)品牌优势
公司旗下核心品牌“爱加密”在国内移动应用市场具有较高的知名度,技术优势及专业能力获得国内多家机构的广泛认可、在多个领域榜上有名,展现出领先的技术优势、优质的服务体系以及高度的市场客户认可度。此外,公司广泛参与了国家、行业的移动应用安全顶层设计,针对重点行业客户提供移动应用安全咨询,进而提供移动应用安全全生命周期解决方案,为用户移动应用发展提供长期的产品、技术、服务支撑。
荣获国家信息安全漏洞共享平台(CNVD)技术支撑单位;
成为中国信通院“数据安全共同体计划”首批成员单位;
荣获中国网络安全产业联盟优秀会员单位;
荣获《个人信息保护创新实践案例》奖;
上榜中国市场网络安全“大众点评”百强榜;
入选中国信通院“数据安全推进计划”名单;
入选CCSIP 2022中国网络安全产业全景图多个领域;
入选嘶吼2022中国网络安全产业势能榜金融篇;
入选嘶吼2022网络安全产业图谱多个领域;
入选安全牛《中国网络安全行业全景图》多个领域;
入选数说安全《2022年中国网络安全市场全景图》;
入选《2022年中国数字安全百强报告》;
入选中国信通院安全所“网络安全能力评价工作组”首批成员单位;
连续多年入选安全牛“中国网络安全企业100强”榜单,并获得移动安全细分领域代表性企业推荐。
2、市场认可度
公司长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了丰富的产品、交付和服务经验,良好的品牌和口碑为公司市场营销战略奠定了深厚的基础,有效增强了综合竞争力,行业客户遍及政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业,在企业级市场拥有广泛而优质的用户群体。2022年,公司在稳定保持原有重要合作伙伴的同时,还新增新闻媒体、医疗、物联网等行业的头部企业为重要合作伙伴。
(四)行业引领优势
公司高度重视移动应用安全产品和服务的标准化工作,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草了《移动互联网应用程序安全加固能力评估要求与测试方法》《移动信息化可信选型认证评估方法 第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息合规及安全检测的研究及实践工作,包括:《移动互联网应用程序安全监测指标及评价指南》《移动互联网应用程序(APP)数据安全测评能力要求》《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》《信息安全技术 电子政务移动办公系统安全技术规范》《全国SDK违法违规检测报告》《车载网络设备信息安全技术要求(征求意见稿)》《移动APP安全规范》《新型城域物联专网建设导则》《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》《MHT 0068-2018民用航空移动应用程序安全测评指南》《移动互联网应用程序安全规范》《贵州移动应用程序(APP)安全要求》《移动应用程序等级保护安全测评规范》《信息安全技术 移动互联网应用程序安全开发和生命周期管理指南》《工业 APP安全防护要求》《中国智能家电信息安全发展白皮书》《信息安全技术 智能门锁安全技术要求和测试评价方法》《信息安全技术 移动智能终端的App个人信息处理活动管理指南》等。标准工作的广泛参与使得公司能够长期保持行业战略领先地位,充分理解行业发展趋势,同时将最精准的移动应用安全要求融入到产品技术中,在新技术、新产品的布局上抢占先机。
2022年公司在持续跟进上述标准工作的基础上,又参加了《不良移动应用程序分类及判定方法》《应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》《电信和互联网用户个人信息保护规定》《网联消费电器信息安全通用技术要求》《互联网企业未成年人网络保护管理体系》《认知数字疗法网络安全指南》《车联网服务平台网络安全防护要求》《车联网App安全防护要求》《车联网风险评估规范》《车联网数据跨境安全规范》《车联网个人信息安全保护》《车联网数据跨境安全管理规范》《电信网和互联网数据加密技术要求与测试方法》《基于人脸识别的智能防疫门禁系统基础能力要求及评估方法》《电子政务移动办公系统安全技术规范》等标准编写工作,从参编标准的范围上不断向行业应用、深度治理和互联网领域延展。同时,公司还参与了《中国网信联盟数据安全桔皮书》等国家行业标杆技术指导文献的编写,并获得中国网信联盟突出贡献奖。
(五)信创优势
公司深度参与我国信创生态体系的建设,通过强大的技术优势、业务资质优势、产品方案优势等,不断扩大产品生态群,提升产品与信创产业的适配兼容能力。如今,公司多款产品已实现中标麒麟、银河麒麟、统信主流操作系统;中科可控、中科曙光服务器;南大通用国产数据库;海光、兆芯等国产信创平台的全面兼容适配。
作为国家工业信息安全发展研究中心“久安计划”首批合作伙伴,公司将持续通过自身技术力量助力我国信创安全服务水平能力的提升。未来,公司仍将持续赋能信创产业,开拓创新、解决需求,为更多不同领域、行业的用户提供更加全面、优质、周到的产品和服务。
(六)专业资质优势
在网络安全行业,企业获取经营资质或许可的多少是衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质、许可较全的企业之一。凭借领先的技术优势及服务能力,公司取得了管理体系认证(6类)、能力评估认证(4类)、行业能力认证(7项)、业务支撑等行业认可(10项)。其中,2022年公司在企业内控和业务支撑方面加大资质认证力度,新增和升级了管理体系个人隐私和业务连续性认证等资质证书。
(七)产品和服务优势
近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、移动安全运营管理、移动应用监管、5G、工业互联网安全、人脸识别安全等新领域,公司对现有产品和解决方案进行了有效整合,以生态合作为理念,对产品、服务和解决方案做了层次化分类。
针对移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;针对移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品、服务和专项治理能力;针对需要长期关注移动应用安全的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。同时,针对公共安全应急行业用户,公司提供面向行业应用的全方位安全体系建设方案。
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。公司始终坚持以用户需求为中心,业务需求与监管要求双导航,针对用户移动安全痛点提供专项产品和服务,并凭借全方位的移动应用安全能力、客户至上的服务理念和快速高效的响应质量,得到了广大用户的检验和认可。2022年,公司的人工服务团队在渗透测试、隐私测评、安全攻防、安全重保、安全培训、监管支撑等服务中获得了国家计算机病毒中心、中国信息通信研究院、上海通管局、广东CERT、大商所飞泰测试有限公司等监管及测评机构的认可与表扬。
四、主营业务分析
1、概述
报告期内,公司主要从事移动应用安全服务业务。随着数字经济的崛起以及互联网应用的蓬勃发展,公司作为专业移动应用安全综合服务提供商,在移动应用安全领域不断精耕细作,围绕公司核心竞争力积极构建移动应用安全生态,建设覆盖移动应用开发、测试、发布和运行全生命周期的产品、服务和解决方案。报告期内,公司持续优化产品线,强化设计、运营、工程、场景解决方案能力等形成行业竞争优势,紧密结合国家、行业在移动应用安全领域的法律法规和行业规定,从代码安全、用户权限、数据安全、个人隐私、应用安全多维度匹配市场需求,匹配移动用开发者、所有者、运营者、监管者和使用者多维度、多视角移动应用安全诉求。结合公司长期发展规划,公司基于业务对产品做了层次化分类。对于移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;对于移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品和服务;对于需要对移动应用安全长期关注的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。目前公司移动应用客户已经覆盖金融、运营商、政府、电商、能源、教育、医卫、互联网企业、游戏等多个行业。
在应急产业方面,报告期内公司参与实施了应急管理局应急救援指挥中心建设、园区智能化工程、智慧城市运转中心一期建设等项目
1、移动网络安全业务:公司完成营业收入8,494.58万元,占营业总收入的51.03%,同比减少55.70%。
2、应急业务营业收入8,062.90万,占营业总收入的 48.44%,同比增加13.65%。
五、公司未来发展的展望
(一)行业发展趋势
1、信息安全领域
2022年,全球重大网络安全事件频发,北美天然气巨头SuperiorPlus遭受勒索软件攻击、黑客组织DomesticKitten使用新版FurBallAndroid伪装翻译应用程序监视伊朗公民;北京健康宝使用高峰期遭受境外网络攻击;红十字国际委员会(ICRC)遭遇高级网络攻击,泄露了超过50万人的个人和机密数据;乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据;随着网络攻击的敏捷化和产业化,网络攻击成本在不断降低,攻击方式也更加先进,网络安全形势日趋严峻,对国家安全造成严重威胁。
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的发布,进一步表明了国家对数据安全和个人信息保护的重视。为保障互联网应用的顺利发展,推进“数字中国”战略的实现,国家层面陆续出台了大量信息安全相关政策法规,政府和金融、医疗、电力、能源等行业纷纷出台数据监管要求,建立和完善网络安全、数据安全、个人信息保护等制度。
从近几年产业发展趋势来看,各个行业的信息化建设都在关注互联网+、大数据、人工智能等新兴技术应用及衍生出的新安全问题。数据价值被社会普遍认同的同时,“数据治理”的概念也进一步被提到新的高度,数据需要在获取、存放、使用和废弃过程中,均得到合理管控,特别是移动应用数据,除在资产管理上解决碎片化问题外,更多的关注点聚焦到了内容安全上。
《关于促进数据安全产业发展的指导意见》提出,数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态,目标到2025年,数据安全产业基础能力和综合实力明显增强,数据安全产业规模超过1500亿元,年复合增长率超过30%。
在数字化战略中,新的基础设施和技术架构为移动应用安全业务开辟出一个巨大发展空间,行业顶层设计凸显了对移动端应用的统筹和主动监管思想,移动应用安全作为网络安全的重要组成部分以及数字经济发展的重要前提之一,将迎来一个快速发展时期。
2、应急安全领域
近年来,随着安全事故及自然灾害多发,政府对事故灾难救援处置装备及服务需求增强,企业对安全技术装备升级不断加速,民众对安全应急消费需求增加,应急安全产业服务对象更加广泛。
随着《中华人民共和国安全生产法》等法律法规、行业标准规范的发布,安全管理要求日趋严格,面向能源、交通、矿山、化工等高危和传统行业的监测预警产品、防护产品、智能化无人化产品将呈现快速增长;面向城市的监测预警和应急救援处置产品,包括水、电、燃气等管网的城市生命线监测、城市消防装备配套等产品需求骤增;面向个人和家庭的消防器械、逃生装备等小型、轻量化产品需求增多。
应急救援产业规模不断扩大,应急产业已形成较为成熟的技术和产业链,部分关键共性技术已实现产业化。今后一段时期,受各种传统的和非传统的、自然的和社会的风险、矛盾影响,食品安全、生产安全、环境安全、信息安全、社会安全、卫生安全等领域突发事件防控和处置难度日益加大,全社会对应急产业的需求更加迫切,市场潜力巨大。
(二)公司未来的发展战略及计划
1、加强技术研发,优化现有产品组合和服务能力。一是持续深化移动二进制逆向分析技术,针对通用的各类移动应用对象(如:安卓、IOS、SDK、小程序、鸿蒙、公众号、IOT等),不断研究新型反编译、反调试技术,提供应用虚拟化保护、混淆、加密、反调试等多维度安全防护方案;二是强化移动应用加固、检测、数据合规、行业解决方案四大类产品线,打通产品线间底层技术的协同,加快产品线功能迭代,满足不同行业的精细化需求;三是聚焦行业用户需求,加强技术支持,优化项目管理,为用户提供全程跟随式贴身服务和全方位一站式服务,提升用户满意度。
2、紧抓市场机遇,发掘多元业务增长点。一是增设数据合规和安全业务部门,深挖产业数字化转型中出现的安全问题,开发更具针对性的安全产品和服务;二是发力数据合规业务,强化技术实现手段,提高产品的自动化水平,覆盖各类移动应用合规政策解读,增强检测报告的可读性和易用性;三是继续延展信创领域的产品研发和解决方案,报告期内公司积极拥抱信创产业,全系列产品对国内各主流信创平台进行适配,取得了良好效果,现有产品可以无缝应用于信创环境,未来将继续加大投入,为企业数字化转型提供安全可信的APP运行环境。
3、紧跟国家战略,积极参与移动安全生态建设。一是积极参与国家和其他行业主管部门在移动应用安全领域的标准制定、课题研究和专项治理工作,力争将移动应用安全防护能力尽快融入各类应用场景;二是加大对国家、行业主管部门、监管部门的技术支撑,解读相关法律法规、政策指导意见,积极寻求可落地的技术监测手段,并形成最佳实践,围绕移动应用市场需求,面向企业用户和个人终端用户,依托移动应用安全大数据平台、移动应用安全个人信息合规检测平台满足监管部门多维度移动应用安全监管诉求;三是强化监管业务,配合国家各级监管机构通过有效技术手段强化国家移动应用安全监管措施,在各种互联网执法、证据取证、课题研究中提供技术、工具和服务的能力支撑。
4、加强资源整合,积极拓展安全集成服务。一是积极启动应急安全和智慧城市业务的技术和产品研发布局,专注安全生产管理新技术、新方法、新产品研发,争取将技术和产品融入到地方信息化项目规划,不断提升公司在应急安全领域的核心竞争力;二是探索从原有移动安全产品向安全集成方向发展,在安全概念中以自身产品为核心,进一步打造安全规划能力、安全设计能力、安全集成能力,通过集成项目带动信息安全、应急安全等全链条产品销售,打开公司成长空间。
(三)公司可能面临的风险及应对措施
1、宏观经济环境风险
公司所处的移动互联网安全行业以及新开拓的应急产业及智慧城市是国家鼓励发展的新兴产业,但与此同时,上述行业受经济增速放缓的影响较大,其中互联网企业、中小企业、小微企业尤其受到较大影响,市场的恢复尚需时间。宏观经济下行和财政预算支出调整等变化可能通过客户预算下降、业务订单和项目实施延后等途径对公司经营产生负面影响,导致公司存在业务开展不达预期的风险。为此,公司将通过政策深挖、行业研究、技术创新和产品迭代为客户提供更为优质、更具价值的服务,在保持监管要求和企业需求平衡的同时加大创新力度,为客户提供优秀的解决方案,增加客户粘性;同时坚持开源节流、提质增效,提高公司内部管理水平和综合实力,积极应对外部环境中的不利因素。
2、市场竞争风险
移动互联网的发展以及政府和社会对移动应用安全合规要求的提升,是移动应用安全市场发展的重要动力,我国移动网络安全及数据安全市场当前正处于高速发展期,相关法规政策的完善以及行业规范性的提升催生出新的增长动能。同时市场的快速发展也加剧了市场竞争,现有的市场参与者在同质化产品上展开价格战,新进入者不断在细分领域寻找突破,行业内卷程度逐步提高。为此,公司将结合前期积累的经验,继续发挥核心技术优势和资产储备优势,提升管理效能和运营能力,加大专项人才建设力度、行业研究力度、研发投入力度,以增强市场竞争力,同时在细分领域中积极挖掘新的业务增长点。
3、核心技术泄密及核心人员流失风险
安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司报告期内存在一定比例的技术人员流动,公司将继续加强对员工的关怀,并围绕核心技术积极申请知识产权,同时不断完善员工薪酬绩效考核体系、保密制度、技术防护措施以作保障。
4、技术孕育期的不确定性风险
在移动安全领域,每项新技术的研究开发需要较长的市场需求调研、技术路线验证、代码开发、用户场景融合和功能效果验证。在层层递进的技术发展路径上,每一步都需要各方相关人员进行确认,技术成果的功能实现和技术应用具有不确定性。为此,公司将继续做好新技术开发的前期研判,慎重选择技术方向,并加强研发的过程把控,提前发现可能存在的技术缺陷,同时紧密关注行业发展动态和落地场景的最新变化,确保研发技术能够顺利落地应用。
5、应收账款回收风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,叠加经济增速放缓的影响,应收账款回收难度加大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合网安信息科技有限公司约定了与应收账款回收相关的考核及股份锁定期安排,以完善前期应收账款回收的保障措施;另一方面,公司通过制定《应收账款管理制度》,结合公司所处行业特点,对应收账款的全程管理进行了详细规定,从事前建立客户档案和确认应收账款账期,到事中的对账、开票和催收,再到事后的逾期应收账款催收,均一一进行了明确规定,同时明确了对应收账款管理负责人的奖惩标准,对内提高公司人员对应收账款的重视及管理积极性,对外加强应收账款的跟踪回收,以保护公司经营成果,防范经营风险。
收起▲
一、报告期内公司从事的主要业务
报告期内,公司主要从事移动应用安全服务业务,立足于自身移动应用安全产品,积极拓展行业用户的安全规划、安全设计和安全集成业务,以及以公共安全为代表的安全应急行业解决方案。公司作为国内移动应用安全头部企业,不断夯实公司核心技术和产品,同时积极响应国家“数字经济”的发展战略,投身到互联网安全应用的产业大潮中。
目前公司移动应用客户已经覆盖金融、运营商、政府、电商、能源、教育、医卫、互联网企业等多个行业。2022年,公司在原有业务方向的基础上,围绕移动应用安全核心竞争力,优化业务类型,积极进行移动应用安全生态布局。
1、移动APP生态赋能
随着互联网技术和应用的飞速发展,越来越多的应用软件以移动客户端的方式推送给广大用户,移动互联网应用作为互联网的服务入口,在系统安全、应用渠道安全、个人信息收集使用、数据安全等方面,受到的威胁越来越高。在利益驱动及监管不严的情况下,移动互联网应用可能会出现被不法分子篡改、恶意代码植入、用户隐私泄露等问题,威胁到用户的生命财产安全。这些问题不仅影响了互联网产业的健康发展,也降低了用户的使用和消费信心。
公司作为产品丰富的移动应用安全厂商,为移动应用开发和使用者提供全面的移动应用安全基本防护类工具产品,主要包括安全防护和安全检测类工具和安全套件,通过工具类产品,用户可以一次性解决移动安全代码和使用过程中面临的主要安全风险。公司为用户移动应用做安全赋能,为其建立起第一道安全防线。
①安全防护:综合采用AndroidDex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SOLinker技术等,通过领先的第八代All-InVMP加固技术,为用户提供全面的移动应用加固和攻击防范工具及安全套件。安全防护产品包括Android应用加固、iOS应用加固、鸿蒙应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等;实现对移动应用资产(App/H5/小程序/So/SDK)的全方位综合防护。
②安全检测:采用静态检测、动态检测、个人信息检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险,并出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、工业APP检测、固件检测等。其中个人信息安全检测产品为重点产品体系,紧密结合监管要求和企业端的业务需求开发此产品;相关标准包括:《中华人民共和国网络安全法》、《个人信息保护法(草案)》、《信息安全技术个人信息安全规范》(GB/T35273-2020)、《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南》、《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》、《移动互联网应用程序(APP)系统权限申请使用指南》、《App违法违规收集使用个人信息自评估指南》、《App申请安卓系统权限机制分析与建议》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》、《个人信息出境安全评估办法(征求意见稿)》、《儿童个人信息网络保护规定》。
2、移动应用运行安全监测
移动互联网应用一旦上线运行,将面临来自开放网络上持续、不间断的安全风险,因此国家在互联网安全运行方面给与了持续关注,相关行业主管密集发布了移动应用安全标准、管理规范和指导意见。
公司依托多年来对移动应用渠道发布和使用状态跟踪等能力积淀,构建了移动应用大数据平台,该平台利用强大的网络爬虫能力采集各渠道发布的应用,着力于应用市场的全覆盖,运用内置AI机器智能学习模型自动对海量数据进行规则清洗打标,通过调用平台内置各类监测引擎将公司移动应用基础安全防护和检测能力进行有效整合,内置安全评估模型定性、定量客观呈现移动应用安全运行状态和水平,针对各种类型互联网移动应用提供主动、持续、动态的风险业务识别、侦测和分析。
公司依托移动应用大数据平台为监管部门、大型行业用户以及终端用户提供指定移动应用运行安全状态监测服务,根据行业用户需求,分别针对企业用户和终端用户推送多种形式的移动应用安全监测数据。
平台以“产品+服务”的模式,将各类移动应用软件代码和应用与安全基线匹配,实现移动应用风险早识别、早预警、早处置的风控闭环控制,实现提升移动应用服务质量的目标,积极应对移动应用因技术迭代速度快、应用分散、用户庞大等原因导致的动态变化的安全问题。辅助监管单位对应用的监测与管理,为移动应用运营单位提供移动互联网应用安全、平稳、合规运行的安全风险分析和能力支撑,并提供必要的决策分析支撑。
现有的移动应用大数据平台监测内容主要包括:恶意监测、漏洞监测、境外传输监测、个人信息监测、内容监测、盗版监测、近似应用监测、应用信息监测和通报应用监测等内容。
3、移动应用安全深度支撑服务
结合公司长期发展规划,公司基于业务对客户需求做了层次化分类。对于移动应用安全深度需求用户,例如国家、区域安全监管机构,测评机构,以及重要行业用户,依托成熟移动应用安全产品依然无法满足其应对安全突发事件,因某些特定因素才能动态触发的安全事件,以及重要安保事件等情况,公司推出了移动应用安全深度安全服务,为高端用户提供移动应用安全专项治理能力,协助其利用人工手段对现有安全体系和技术手段进行有效补充和完善,服务内容涵盖攻防渗透、隐私检测、合规治理、重保运维等。
公司提供的移动应用安全服务严格遵循《网络安全法》、《数据安全法》、《个人信息保护法》,依据《信息安全技术个人信息安全规范》(GB/T35273-2020)、《信息安全技术个人信息去标识化指南》(GB/T37964-2019)、《信息安全技术移动智能终端安全技术要求及测试评价方法》(GB/T39720-2020)等国家标准,面向行业高端用户提供移动应用安全兼容性测试、人工渗透和个人信息合规性高级安全服务。
①兼容性测试包含针对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(安装、启动耗时、内存占用、CPU占用、流量消耗量)和业务功能正确性测试。
②人工渗透是针对Android、iOS两类移动应用由专业软件工程师从黑客思维和调试角度出发,多方面对移动应用的程序安全、数据安全、业务逻辑安全、系统环境安全等内容进行静、动态的人工分析,以获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。
③个人信息合规检测则是针对APP违法违规收集使用个人信息进行合规测评服务,着力解决APP违规收集使用个人信息、过度索权等用户关心的信息安全问题,避免由此引发的营销推送、广告骚扰甚至精准诈骗等严重后果,全力维护用户权益和财产安全,用实际行动深入推进APP合规安全使用,树立良好企业形象,营造良好的营商环境。
4、移动应用顶层规划设计
在数字科技的产业政策推动下,各行业都在积极探索新IT业态下的顶层业务逻辑,将移动应用安全纳入到原有的安全防御体系中,这在等保2.0和国家四部委联合发起的移动应用安全治理专项工作中均有明确体现。尤其是重点头部行业用户则明确提出针对移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期需要进行顶层设计规划,建立配套完整的技术防御体系和管理体系。
作为移动应用安全的引领者,公司积极参与国家、行业主管部门和检测测评机构针对移动应用安全发起的专项课题研究、标准编制、新业务试点工作,并通过上述相关工作推动国内移动应用安全生态环境的良性发展,形成融政府、企业和用户于一体的互联网安全生态,最终达到以下业务诉求:
①构建政府监管、行业自律、机构自治的三重安全防线;
②为用户建设移动应用安全风险防控体系,为行业安全提供基础保障;
③持续优化安全技术标准,满足国家和行业监管要求;
④构建新技术防范滥用机制,确保安全可控。
5、移动应用延展业务
将公共安全应急业务作为公司新的业务增长点,针对公共安全业务领域精耕细作,依托核心移动安全产品和能力,向安全集成方向发展,打造安全规划能力、安全设计能力、安全集成能力。针对特定行业用户建立“一站式”安全服务响应,组建安全企业生态联盟,利用产品互补、方案互补的思路,通过战略联盟伙伴关系,提供整体安全解决方案。
6、新业务拓展
新兴技术在移动互联网应用中扮演着极其重要的角色,但是新技术的使用不当也会引发相应的安全风险。因此,公司在业务拓展中聚焦于现有互联网业务场景中新技术带来的衍生风险,并提供响应的解决方案。目前看新技术带来的安全风险主要集中在隐私数据泄露、算法歧视、技术滥用等方面。
①web应用攻击自免疫解决方案
本方案采用业内前沿防护理念(RuntimeApplicationSelf-protectionRASP),安装过程无需修改任何应用程序自身代码,将WEB防护检测引擎注入到应用程序里,与应用程序融为一体,在应用程序运行时对访问请求可做精准分析,实现自我安全保护。该解决方案减少了传统防护技术分析流量数据带来的误报,可识别并拦截新型web攻击,弥补当前边界防护技术体系的不足,为应用系统的安全防护提供了创新解决方案,并对防御能力带来本质提升。
②SDL安全开发管理解决方案
安全开发管理平台以SDL(SecurityDevelopmentLifecycle安全开发周期)为设计理念,以安全开发流程、安全基线为准绳,以安全需求与行业标准为驱动,构建覆盖应用开发各环节、工具统一运行调度的管理系统。平台从立项开始安全管理全程介入,力争及早发现和解决安全问题,实现了安全左移的管理效果。平台包含了各阶段流程的梳理、相关安全知识库的建设、评审机制的建立,打造覆盖应用开发安全建设的智能安全管控平台。方案秉持着先进的设计理念,顺应软件开发时代潮流,适合多种开发模式,包括自适应瀑布开发模型、敏捷开发模型、DevOps模型等,可为各类软件开发企业提供安全赋能。
③防人脸识别攻击解决方案
本方案涵盖运行环境攻击防护和算法攻击防护两个方面的人脸识别安全风险。环境攻击防护是通过系统环境检测、HOOK框架检测、调试攻击检测、注入攻击检测、数据防篡改、数据加密等技术,达到防止移动APP端做人脸识别检测时通过注入攻击、HOOK攻击等攻击方式替换人脸识别图片、视频,绕过活体检测;防止在APP与服务器通信时通过劫持数据提交接口、数据传输接口、网络抓包等攻击方式替换人脸识别图片、视频,绕过活体检测。算法攻击防护是对传入人脸视频和身份信息进行算法识别和检测分析,先通过活体检测技术判断视频中是否为真人,再将视频中人脸以及身份信息与权威库的证件照进行人脸比对,从而验证需认证人员是真人且为本人。测评准确度高达99.80%,可以有效防止静态仿冒、AI换脸、T型面具、动态视频等算法攻击风险。
二、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全工具、服务和解决方案,以及以移动安全为核心驱动的安全集成业务。经过在移动应用安全细分领域多年的耕耘,公司已经成为国内移动应用安全领域头部企业,凭借丰富的项目经验及优质的服务能力,在诸多方面占据优势地位,形成了较强的市场竞争力。
1、核心技术优势
公司坚持以移动应用安全专项防护和检测技术作为核心竞争力,并持续对核心能力及产品做更新迭代,使之能够不断满足各类移动应用及场景的安全需求。在研发过程中,公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,截至目前共拥有88项计算机软件著作权,24项专利技术,技术范围涉及移动应用安全、个人信息安全、5G、工业互联网方向,初步形成了以自主知识产权为核心的技术群及知识产权体系,其中多项核心技术具备国内先进水平。
其中,最核心的专项技术包含:
①智能化静态检测和动态沙箱检测技术,对移动应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,公司检测平台的静态和动态技术能够检测超过107个检测项。
②JAVA、C/C++层代码防护,利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,且支持最新的鸿蒙应用加固,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,业内普遍仅能防护5%以下的代码,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过20%的代码,远超业内平均水平。
③合规检测能力,覆盖目前国内GB/T35273-2020《信息安全技术个人信息安全规范》、工信部191号文《App违法违规收集使用个人信息行为认定方法》、工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知〈工信部信管函〔2020〕164号〉、《工信部APP侵害用户权益专项整治8项要求》(337号文)、《APP违法违规收集使用个人信息自评估指南》等最新个人隐私安全相关法律法规。
2、移动应用资产储备优势
公司在多年业务服务过程中,积累了数以万计的移动应用与企业客户,持续积累广泛的移动应用运行数据,在确保符合国家法律政策规范的前提下,突破业内技术限制,收集和存储的国内移动应用样本库超过2000万个。获取渠道包含应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等,包含Android、iOS、嵌入式系统、微信小程序、微信公众号等移动应用数据信息,覆盖国内主要地区、行业。
公司基于此项优势,搭建了移动应用安全大数据平台,通过1100个以上的应用渠道,收集了AndroidApp约380万款,iOSApp约250万款,公众号约560万个,微信小程序约125万个,SDK约8000个。收录了行业权限库近400个,违规内容检测数据100多万,盗版检测约11万个,IP收录1亿多条。平台内置二十余个安全检测引擎,能够对国内互联网应用做实时监测,监测内容包含通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等。
该平台的建设和运营,使得公司成为具备实时监测国内移动应用生态环境的企业之一,并通过各类移动应用安全分析报告提供给国家、行业主管部门和企业用户,移动应用运行数据的实时监控,可以及时发现其中潜在的风险和问题,为移动应用的健康发展提供能力支撑,同时为国家和主管部门提供必要的决策支撑。
3、品牌优势
公司长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了丰富的产品、交付和服务经验。在政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业以及广大企业级市场拥有广泛而优质的用户群体。旗下品牌爱加密在国内移动应用市场具有较好的知名度。鉴于此,公司广泛参与了国家、行业的移动应用安全顶层设计,针对重点行业客户提供移动应用安全咨询,进而提供移动应用安全全生命周期解决方案,为用户移动应用发展提供长期的产品、技术、服务支撑。良好的品牌和口碑为公司市场营销战略奠定了深厚的基础,有效增强了综合竞争力。
4、行业引领优势
公司高度重视移动应用安全产品和服务的标准化工作,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草了《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息安全检测的研究及实践工作,包括:《全国SDK违法违规检测报告》、《车载网络设备信息安全技术要求(征求意见稿)》、《移动APP安全规范》、《新型城域物联专网建设导则》、《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》、《MHT0068-2018民用航空移动应用程序安全测评指南》、《移动互联网应用程序安全规范》、《贵州移动应用程序(APP)安全要求》、《移动应用程序等级保护安全测评规范》、《信息安全技术移动互联网应用程序安全开发和生命周期管理指南》、《信息安全技术电子政务移动办公系统安全技术规范》、《工业APP安全防护要求》、《中国智能家电信息安全发展白皮书》、《信息安全技术智能门锁安全技术要求和测试评价方法》、《信息安全技术移动智能终端的App个人信息处理活动管理指南》等标准规范的参编工作。标准工作的广泛参与使得公司能够长期保持行业战略领先地位,充分理解行业发展趋势,同时将最精准的移动应用安全要求融入到产品技术中,在新技术、新产品的布局上抢占先机。
5、专业资质优势
在网络安全行业,企业获取经营资质或许可的多少是衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质、许可较全的企业之一。凭借领先的技术优势及服务能力,公司取得了ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、软件企业证书、信用等级(AAA)证书、CMMI3级资质证书、高新技术企业、中关村高新技术企业、国家信息安全漏洞库技术漏洞支撑单位(CNNVD)三级、CCRC信息安全服务资质认证证书:信息安全风险评估服务资质(一级)、CCRC信息安全服务资质认证证书:软件安全开发服务资质(二级)、CCRC信息安全服务资质认证证书:信息系统安全集成服务资质(二级)、通信网络安全服务能力评定证书风险评估一级、CNVD原创漏洞证明(CNCERT)、信息安全等级保护安全建设服务机构能力评估合格证书、网络安全应急服务支撑单位证书(省级)、通信网络安全服务能力评定证书安全设计与集成一级、工业和信息化部网络安全威胁信息共享平台合作单位、CCRC信息安全服务资质认证证书:CCRC信息系统安全运维三级、CCRC信息安全服务资质认证证书:CCRC信息安全应急处理二级、中国通信企业协会通信网络安全服务能力评定证书风险评估一级、江西省通信管理局网络安全技术支撑单位、厦门网络与信息安全信息通报机制技术支撑单位、网络安全支撑单位(二级)、2021北京软件企业核心竞争力评价(创新创业型)、国家信息安全漏洞共享平台支撑单位证书(CNVD)、企业行业信用等级证(网络安全领域AA级信用企业)、企业信用等级证书AA、工业和信息化部移动互联网产品漏洞库特设组支撑单位、国家计算机网络应急技术处理协调中心浙江分中心第二届合作支撑单位(网络安全方向)、福建省网络与信息安全信息通报中心技术支撑单位、工业和信息化部移动互联网APP产品安全漏洞库-技术支撑单位证书等多项经营资质和许可。
6、产品和服务优势
近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、移动安全运营管理、移动应用监管、5G、工业互联网安全、人脸识别安全等新领域,公司对现有产品和解决方案进行了有效整合,以生态合作为理念,对产品、服务和解决方案做了层次化分类。对于移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;对于移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品、服务和专项治理能力;对于需要对移动应用安全长期关注的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。同时针对对于公共安全应急行业用户,公司提供面向行业应用的全方位安全体系建设方案。
公司的移动应用安全产品、服务和解决方案覆盖移动应用开发、测试发布、运维等各个阶段。立足移动应用安全加固类、移动应用检测类、移动应用合规类三大核心能力,依托移动应用大数据平台,针对瞬息万变的移动应用市场和用户场景,提供形式各异的解决方案。同时,公司积极营造移动安全生态联盟,通过战略联盟伙伴补充能力短板,以更好的满足多层次多维度的用户需求。
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。公司始终坚持以用户需求为中心,业务需求与监管要求双导航,努力提供针对用户移动安全痛点,有针对性的专项产品和服务,全方位的移动应用安全能力、客户至上的服务理念、快速高效的响应质量已经得到了广大用户的检验和认可。
三、公司面临的风险和应对措施
1、市场环境变化的风险
移动互联网的发展以及政府和社会对移动应用安全要求的提升,是移动应用安全市场发展的重要动力,但与此同时,移动应用安全市场也面临着新冠疫情等因素以及整体经济下行的压力,其中互联网企业、中小企业、小微企业尤其受到较大影响,导致这类企业在安全方面的预算下降甚至削减。此外,工信部监测数据显示,截至2022年5月底,国内市场上监测到的APP数量为232万款,较2021年12月末减少20万款,APP数量出现下滑趋势。为此,公司将通过行业研究、政策深挖、技术创新和产品迭代为客户提供更为优质的、更具价值的服务,保持监管要求和企业需求的平衡的同时加大创新力度,为企业提供优秀的解决方案,避免经营业绩下滑、市场地位下降等风险。
2、行业监管政策变动风险
近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策调整导致市场需求下降的风险。公司通过参与行业标准的制定,同时加强对监管机构的技术支持,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最新政策及时调整经营思路并积极展开行业研究,在新技术、新产品的创新和布局方面抢占先机,有效降低行业政策变动可能带来的风险。
3、成长性风险
公司所处的移动互联网安全行业以及新开拓的应急产业及智慧城市处于较快发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到产业政策、行业竞争态势、技术研发、市场环境等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下降或者业务开展不达预期的风险。同样,宏观经济下行、财政预算支出调整、国内疫情以及相应管控措施等潜在变化也可能通过客户预算下降、业务订单和项目实施延后等途径对公司经营产生不利影响。为此,公司将继续提升管理效能和运营能力,加大人才队伍建设力度、行业研究力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。
4、核心技术泄密及核心人员流失风险
网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司报告期内存在一定比例的技术人员流动,公司将继续加强对员工的关怀,并围绕核心技术积极申请知识产权,同时不断完善员工薪酬绩效考核体系、保密制度、技术防护措施以作保障。
5、应收账款持续增长及发生坏账的风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合网安信息科技有限公司约定了与应收账款回收相关的考核及股份锁定期安排,以完善应收账款回收的保障措施;另一方面,公司通过制定《应收账款管理制度》,结合公司所处行业特点,对应收账款的全程管理进行了详细规定,从事前建立客户档案和确认应收账款账期,到事中的对账、开票和催收,再到事后的逾期应收账款催收,均一一进行了明确规定,同时明确了对应收账款管理负责人的奖惩标准,对内提高公司人员对应收账款的重视及管理积极性,对外加强应收账款的跟踪回收,保护公司经营成果,防范经营风险。
6、商誉减值的风险
公司2019年末以发行股份方式收购智游网安100%股权,在公司合并资产负债表中形成较大金额的商誉,根据《企业会计准则》规定,企业合并所形成的商誉不作摊销处理,但应当在每年年度终了进行减值测试。截至2021年末,公司计提商誉减值准备55,657.85万元,商誉金额已大幅减少,但公司合并资产负债表中仍有商誉43,082.52万元,若智游网安未来因市场竞争加剧、市场开拓未达预期、产业政策变化等因素出现业绩下滑,仍可能出现进一步商誉减值的风险,商誉减值将直接增加资产减值损失并计入当期损益,进而对公司即期净利润产生不利影响。为此,公司将加强对子公司的管控及资源整合,同时积极拓展应急安全等新业务,努力降低潜在的商誉减值对公司的影响。
收起▲
一、报告期内公司所处的行业情况
公司需遵守《深圳证券交易所上市公司自律监管指引第3号——行业信息披露》中软件与信息技术服务业的披露要求移动互联网经过多年发展,数字化应用、数字化场景迅速融入生活和生产中,全国两会期间,数字经济多次被提及,数字经济上升为国家发展战略。数字经济创新性高、渗透强、覆盖广,迅速发展过程中,对网络安全的需求旺盛。互联网诞生至今,从企业到个人受到的威胁有增无减,网络安全已属不可或缺。国家“十四五”规划中也强调需要加强网络安全建设。在国家层面,国家陆续出台了多项政策,推动网络安全行业发展,在企业层面,企业应对国家监管及外部威胁,迫切需要强大的网络安全产品和服务。
行业基本情况:
根据中国网络安全产业联盟发布的《中国网络安全产业分析报告(2021 年)》显示,2020 年我国网络安全市场规模约为 532 亿元。由于受疫情影响,2020年网络安全市场规模增速放缓,同比增长率为 11.3%。根据“十四五”规划和多个政策法规颁布施行,市场需求激增,预计2021年至2023年市场增速将达到15%,到2023年市场规模将超过800亿元。
中国信通院发布的2021年《中国网络安全产业白皮书》表明,2020年全球网络安全市场规模受疫情影响仍同比增长8.2%,亚太地区中国增速最高。美国、欧盟、澳大利亚等多个国家和地区颁布网络安全相关政策和发展战略,中国乃至全球网络安全建设刻不容缓,国家政策扶持与市场需求并驾齐驱。
行业政策及发展趋势:
网络安全相关法律法规、政策文件的密集出台,凸显出网络安全在国家发展和数字经济建设的地位。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出:“加快推动数字产业化;培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业”,“加强网络安全保护;加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力”。
2021年6月,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法于2021年9月1日起正式施行,标志着我国在数据安全领域具有了拥有法律效力支撑的文件,数据安全被提升至前所未有的法律高度。
2021年7月,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,明确提出发展目标,到2023年网络安全技术创新能力明显提高,产品和服务水平不断提升,网络安全产业规模超过2500亿元,年复合增长率超过15%。
2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。根据中国互联网络信息中心(CNNIC)发布的第49次《中国互联网络发展状况统计报告》,截至2021年12月,我国手机网民规模达10.29亿,国内市场上监测到的APP数量达到252万款。在APP的使用过程中,个人信息的收集、使用更为广泛。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。
此外,还有《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》、《网络安全审查办法》等多个文件的发布和施行,均表明我国正逐渐完善网络安全的监管体系,提升行业规范,保护个人信息安全,加速产业发展。国家政策、市场需求、数字化社会建设及技术革新不断推动网络安全产业的发展,移动应用安全作为网络安全的重要组成部分也将面临广阔的发展空间。
公司所处行业地位:
作为移动应用安全领域的先行者和领导者,公司持续关注、紧跟国家政策,上游为国家监管单位提供可靠的支撑能力,依据出台的法律法规对APP安全、隐私合规、备案管理、内容合规监管执法提供产品+服务,帮助监管执法的高效落地;中游覆盖行业协会和大型检测机构,输出网络空间移动应用安全的监测与分析、海量移动应用安全与合规检测、应用加固与整改等产品服务;下游为广大企业客户提供安全开发管理、源码安全审计、隐私合规检测、移动应用安全检测、安全加固、动态威胁感知等响应合规与安全防护的能力。公司将进一步发挥核心技术优势、行业权威优势、安全服务优势,加强与各监管机构、企业单位的合作,帮助实现移动应用安全能力的稳步提升和产业的健康发展,为国家、为企业、为广大用户移动应用安全保驾护航。
二、报告期内公司从事的主要业务
报告期内,公司主要从事移动应用安全服务业务。随着数字经济的崛起以及互联网应用的蓬勃发展,公司作为专业移动应用安全综合服务提供商,在移动应用安全领域不断精耕细作,围绕公司核心竞争力积极构建移动应用安全生态,建设覆盖移动应用开发、测试、发布和运行全生命周期的产品、服务和解决方案。报告期内,公司持续优化产品线,紧密结合国家、行业在移动应用安全领域的法律法规和行业规定,从代码安全、用户权限、数据安全、个人隐私、应用安全多维度匹配市场需求,匹配移动用开发者、所有者、运营者、监管者和使用者多维度、多视角移动应用安全诉求。结合公司长期发展规划,公司基于业务对产品做了层次化分类。对于移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;对于移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品和服务;对于需要对移动应用安全长期关注的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。目前公司移动应用客户已经覆盖金融、运营商、政府、电商、能源、教育、医卫、互联网企业、游戏等多个行业。
1、基础工具类产品和服务
公司为移动应用开发和使用者提供移动应用安全基本防护类工具产品,主要包括安全防护和安全检测类工具和安全套件,通过工具类产品,用户可以一次性解决移动安全代码和使用过程中面临的主要安全风险。
① 安全防护:综合采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等,通过领先的第八代All-In VMP加固技术,为用户提供全面的移动应用加固和攻击防范工具及安全套件。安全防护产品包括Android应用加固、iOS应用加固、鸿蒙应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等;实现对移动应用资产(App/H5/小程序/So/SDK)的全方位综合防护。
② 安全检测:采用静态检测、动态检测、个人信息检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险,并出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、工业APP检测、固件检测等。其中个人信息安全检测产品为重点产品体系,紧密结合监管要求和企业端的业务需求开发此产品;相关标准包括:《中华人民共和国网络安全法》、《个人信息保护法(草案)》、《GB/T 35273-2020-信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南》、《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》、《移动互联网应用程序(APP)系统权限申请使用指南》、《App 违法违规收集使用个人信息自评估指南》、《App 申请安卓系统权限机制分析与建议》、《App 违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》、《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164 号)》、《个人信息出境安全评估办法(征求意见稿)》、《儿童个人信息网络保护规定》。
2、移动应用安全行业产品和服务
公司为满足行业用户移动应用使用需求,在移动应用工具类产品之上提供与行业应用紧密度更高的深度移动应用安全解决方案,着重解决行业用户在移动应用开发、测试、发布和运行等阶段需要解决的系统性移动安全管理问题。
① 安全管理:以企业移动业务安全为核心,针对监管合规、安全建设、风险管控等业务场景,提供从规划、设计、开发、测试、上线、运营全生命周期的安全管理能力,满足企业在移动安全上的体系化建设需求。安全管理产品包括移动应用安全综合实训平台、安全开发全生命周期管理平台、移动应用备案平台;平台基于企业用户统一管理安全业务工具、应用与业务全方位风险感知与安全维护的核心需求,在移动安全加密类产品的基础上,自主设计开发了移动安全平台类产品,整合管理单一产品方案和业务运行数据,解决企业用户数据管理、智能终端应用监管管理、企业安全工具管理存在的问题。
② 业务运营:InfoBeat智能数据平台,通过全面的数据采集、丰富的运营分析模型和便捷的数据应用技术,为企业提供基于移动应用的业务运营分析与数据应用能力,帮助企业实现持续智能运营。
③ 威胁感知:移动威胁态势感知平台,可对移动应用进行实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,从而帮助企业安全管理人员掌握移动业务的整体安全态势。移动威胁态势感知平台具备移动应用产品安全持续监控能力,能够及时发现各种攻击威胁、行为异常、环境风险等;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,并进行有效的安全决策和响应;能够建立安全预警机制和生成威胁风险报告,帮助安全管理人员及时掌握移动应用产品的整体安全态势。
④ 安全服务:针对客户提供覆盖移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安全服务,协助客户建立信息安全管理体系,满足安全合规要求,通过个人信息检测服务、源代码审计、渗透测试、合规测评、等保咨询和安全培训等安全服务,全面守护客户移动业务安全,确保移动业务的安全合规。安全服务产品包括个人信息安全检测服务、源代码审计服务、渗透测试服务、合规测评服务、安全培训服务、重保服务、移动应用安全定制服务、信息安全管理体系咨询服务、信息安全等级保护咨询服务。个人信息检测服务作为本报告期内的安全服务业务重点,紧跟监管要求和市场需求,对个人信息安全检测的服务能力和服务业务大幅提升。相关执行标准见第2项业务中相关标准。
3、监管平台和服务
随着国家在互联网安全运行方面的持续关注,国家和相关行业主管密集发布了相关标准、管理规范和指导意见,移动应用运营单位需要满足相关规定才能保证移动互联网应用安全、平稳、合规运行。公司依托多年来对移动应用渠道发布和使用状态跟踪等能力积淀,通过移动应用大数据平台为监管部门、大型行业用户以及终端用户提供移动应用运行安全状态监测服务,积极应对移动应用因技术迭代速度快,应用分散,用户庞大等原因导致的动态变化的安全问题。
① 移动应用大数据监测平台:面向互联网移动应用,依据国家/行业监管机构的监管要求,综合利用大数据、移动应用安全检测、身份认证等技术,针对各种类型互联网移动应用提供主动、持续、动态的风险业务识别、侦测和分析。平台通过能力引擎调用方式将公司移动应用基础安全防护和检测能力进行有效整合,通过内置安全评估模型定性、定量客观呈现移动应用安全运行状态和水平,以“产品+服务”的模式,将各类移动应用软件代码和应用与安全基线匹配,实现移动应用风险早识别、早预警、早处置的风控闭环控制,实现提升移动应用服务质量的目标。平台可以根据行业用户需求,分别针对企业用户和终端用户以多种信息发布形式推送相关移动应用安全监测数据。
② 移动应用安全高级人工服务:遵循《网络安全法》、《数据安全法》、《个人信息保护法》,依据《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)、《信息安全技术 移动智能终端安全技术要求及测试评价方法》(GB/T 39720-2020)等国家标准,面向行业高端用户提供移动应用安全兼容性测试、人工渗透和合规性高级安全服务。兼容性测试包含针对移动应用原包及加固包的兼容性(安装、启动、运行、卸载成功率及失败率)、性能(安装、启动耗时、内存占用、CPU占用、流量消耗量)和业务功能正确性测试。人工渗透是针对Android、iOS两类移动应用由专业软件工程师从黑客思维和调试角度出发,多方面对移动应用的程序安全、数据安全、业务逻辑安全、系统环境安全等内容进行静、动态的人工分析,以获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。合规检测则是针对APP违法违规收集使用个人信息进行合规测评服务,着力解决APP违规收集使用个人信息、过度索权等用户关心的信息安全问题,避免由此引发的营销推送、广告骚扰甚至精准诈骗等严重后果,全力维护用户权益和财产安全,用实际行动深入推进APP合规安全使用,树立良好企业形象,营造良好的营商环境。此外,公司积极开拓应急产业及智慧城市业务,在应急产业方面,报告期内公司参与实施了应急指挥中心建设、安全发展示范城市建设安全风险评估、校园消防升级改造等项目;在智慧城市方面,公司参与实施了智慧校园相关项目。公司的应急产业及智慧城市业务目前处于起步阶段,但发展空间广阔,将是公司未来发展的重点领域。
三、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全、安全大数据及物联网安全。通过服务数以万计的移动应用与企业客户,公司持续积累广泛的移动威胁数据,并利用大数据和人工智能技术实现移动安全技术与市场安全需求的价值耦合,向企业客户提供全生命周期移动安全解决方案。根据企业信息化、数字化过程中的安全需求和规划,具有较强竞争优势的相关业务主要包括:
风险检测业务:以APP为核心的安全检测业务包括对APP的通用漏洞风险、源代码风险、个人信息安全风险、数据风险、恶意程序风险、内容违规风险等多维度的检测能力。风险检测业务能够给企业客户提供合规的风险前瞻性发现和针对性防护,同时能够为国家监管机构和政府提供针对移动应用市场的全貌安全监管技术支撑和服务能力;
加固防御业务:为APP提供全面的防护能力,包括防止代码逆向、二次打包非法篡改、动态调试、数据安全保护和业务安全防护等,平台覆盖Android、iOS、鸿蒙、H5小程序、公众号、IoT终端嵌入式系统等;
风险管理业务:《中华人民共和国网络安全法》和网络安全等级保护2.0标准体系明确提出了针对国家的关键基础设施,要进行安全威胁的监控和响应。APP有其特殊性,企业对APP的使用环境、使用人员和使用行为不可控。针对及时发现APP的使用中威胁,公司提供独有的态势感知产品,能够从系统、硬件、网络、应用和业务等不同层面感知智能终端中针对APP的攻击行为,及时预警和提供防护响应;同时,公司渠道监测服务能够发现互联网上的盗版、钓鱼和仿冒APP,防止因此导致的用户数据泄露和声誉影响;MSSP则作为移动应用安全的全生命周期管理平台,能够有效的集成其他业务线的解决方案,通过数据驱动的自动化方式实现对安全风险和威胁的闭环响应和管理;
安全服务业务:安全服务业务能够为企业在进行移动信息化、数据化发展中提供法律法规合规和风险评估、安全渗透、个人信息安全检测等相关服务。公司在移动安全方向尤其具有领先的安全服务能力,能够为企业提供移动安全等保、安全咨询、个人信息安全、安全开发、安全渗透、合规、培训等全面的一条龙安全服务;
移动安全大数据业务:移动安全大数据业务收集和存储了国内全面的移动应用样本库,数量超过2000万个。通过二十余个安全检测引擎,能够提供基于国内地区、行业、种类等多维度的移动应用安全统计报告,统计依据包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等。移动数据服务能够提供对移动应用市场的全面管理监控,及时发现其中潜在的风险和问题,做到宏观的管理和净化。
基于如上业务,公司构架了移动应用全生命周期安全建设业务体系,主要包括移动应用安全检测、移动应用安全加固为主的加密类产品系列和移动应用安全感知、移动应用安全管理平台为主的平台类产品以及个人信息安全检测服务、渗透测试等安全服务。全生命周期安全建设覆盖应用设计评估、开发安全测试、应用合规、应用优化、应用安全发布及应用上线运营阶段。核心技术包括如下:
1、核心智能AI爬虫获取泛在应用安全大数据。在确保符合国家法律政策规范的前提下,能够突破业内技术限制,获取应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等全渠道中Android、iOS、嵌入式系统、微信小程序、微信公众号数据信息,构建业内规模较大,覆盖较广的泛在应用安全大数据平台。公司的安全数据库中包括Android App约370万款, Android应用包约2500万个,iOS App约250万款,公众号约550万个,微信小程序约106万个,SDK约6000个,行业权限库近400个,违规内容检测数据100多万,盗版检测约11万个,IP收录1亿多条,处于业内的领先水平。
2、智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,公司检测平台的静态和动态技术能够检测超过107个检测项。
3、JAVA、C/C++层代码防护。公司不仅仅针对JAVA,同时深入到了C/C++层的代码进行防护。利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,业内普遍仅能防护5%以下的代码,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过20%的代码,远超业内平均水平。
4、独有的双线推送。此技术集应用级推送和系统级推送于一体,在确保资源效率低、体积小的前提下,无论APP处于前台、后台运行还是被关闭状态,都可进行推送的下发。同时兼容市场上主流的手机厂商,经过实际测试和客户反馈,到达率高达99%以上。
经过在移动应用安全细分行业多年的耕耘,凭借丰富的解决方案经验及优质的服务能力,公司在移动应用安全领域中已形成较强的市场竞争力和较高市场地位。
1、研发与技术优势
公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断更新迭代现有产品和解决方案;公司拥有多项计算机软件著作权(88项)及发明专利(14项),涉及移动应用安全、个人信息安全、5G、工业互联网、威胁感知等,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术已具备一定的先进水平。近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、威胁感知、移动安全运营管理、移动应用监管、5G、工业互联网安全等新领域,在相关领域的技术研发水平已处于国内领先。
2、客户资源优势
长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了较深厚的产品、交付和服务经验,具备为用户提供最优移动应用安全解决方案的能力,在政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业以及广大企业级市场拥有了广泛而优质的用户群体。客户的良好积累也为深入实施市场营销战略奠定了深厚的基础,有效增强了综合竞争力。
3、参与行业标准制定优势
公司重视推进移动应用安全产品和服务的标准化,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法 第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息安全检测的研究及实践工作,包括:《全国SDK违法违规检测报告》、《车载网络设备信息安全技术要求(征求意见稿)》、《移动APP安全规范》、《新型城域物联专网建设导则》、《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》、MHT 0068-2018民用航空移动应用程序安全测评指南、《移动互联网应用程序安全规范》、《贵州移动应用程序(APP)安全要求》、《移动应用程序等级保护安全测评规范》、《信息安全技术 移动互联网应用程序安全开发和生命周期管理指南》、《信息安全技术 电子政务移动办公系统安全技术规范》、《工业APP安全防护要求》、《中国智能家电信息安全发展白皮书》、《信息安全技术 智能门锁安全技术要求和测试评价方法》、《信息安全技术 移动智能终端的App个人信息处理活动管理指南》等,公司对行业态势及发展趋势具有深刻理解,对产品技术条件、试验方法等能够精准把握,在新技术、新产品的布局中抢占先机。
4、专业资质优势
在网络安全行业,企业获取经营资质或许可的多少是衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质、许可较全的企业之一。凭借领先的技术优势及服务能力,公司取得了ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、软件企业证书、信用等级(AAA)证书、CMMI3级资质证书、高新技术企业、中关村高新技术企业、国家信息安全漏洞库技术漏洞支撑单位(CNNVD)三级、CCRC信息安全服务资质认证证书:信息安全风险评估服务资质(一级)、CCRC信息安全服务资质认证证书:软件安全开发服务资质(二级)、CCRC信息安全服务资质认证证书:信息系统安全集成服务资质(二级)、通信网络安全服务能力评定证书 风险评估一级、CNVD原创漏洞证明(CNCERT)、信息安全等级保护安全建设服务机构能力评估合格证书、网络安全应急服务支撑单位证书(省级)、通信网络安全服务能力评定证书 安全设计与集成一级、工业和信息化部网络安全威胁信息共享平台 合作单位、CCRC信息安全服务资质认证证书:CCRC信息系统安全运维三级、CCRC信息安全服务资质认证证书:CCRC信息安全应急处理二级、江西省通信管理局网络安全技术支撑单位、厦门网络与信息安全信息通报机制技术支撑单位、网络安全支撑单位(二级)、2021北京软件企业核心竞争力评价(创新创业型)、国家信息安全漏洞共享平台支撑单位证书(CNVD)、企业行业信用等级证(网络安全领域AA级信用企业)、企业信用等级证书 AA、工业和信息化部移动互联网产品漏洞库特设组支撑单位、国家计算机网络应急技术处理协调中心浙江分中心第二届合作支撑单位(网络安全方向)、福建省网络与信息安全信息通报中心技术支撑单位、工业和信息化部移动互联网APP产品安全漏洞库-技术支撑单位证书等多项经营资质或许可。
5、产品和服务优势
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。始终坚持以用户需求为中心,业务需求与监管要求双导航,凭借丰富的监管支撑经验以及具有市场竞争力的产品和解决方案、快速响应的客户服务赢得了市场份额,产品性能及服务质量已得到广大用户的检验。通过针对监管要求和客户需求的汇总、分析梳理和总结,不断进行产品升级和服务优化,通过对市场及行业的分析,在保障安全产品研发计划的同时加大安全服务的投入力度和服务体系建设,有力保证了产品和服务在竞争市场上的优势和用户服务粘性。
四、主营业务分析
1、概述
报告期内,公司主要从事移动应用安全服务业务。随着数字经济的崛起以及互联网应用的蓬勃发展,公司作为专业移动应用安全综合服务提供商,在移动应用安全领域不断精耕细作,围绕公司核心竞争力积极构建移动应用安全生态,建设覆盖移动应用开发、测试、发布和运行全生命周期的产品、服务和解决方案。报告期内,公司持续优化产品线,紧密结合国家、行业在移动应用安全领域的法律法规和行业规定,从代码安全、用户权限、数据安全、个人隐私、应用安全多维度匹配市场需求,匹配移动用开发者、所有者、运营者、监管者和使用者多维度、多视角移动应用安全诉求。结合公司长期发展规划,公司基于业务对产品做了层次化分类。对于移动应用安全基础需求客户,公司主要提供安全加固、安全检测等基础工具类产品和服务;对于移动应用安全深度需求用户,公司主要提供安全咨询、安全管理和深度安全服务等产品和服务;对于需要对移动应用安全长期关注的行业用户,公司则主要提供移动应用安全大数据监管和合规测评等平台级产品服务。目前公司移动应用客户已经覆盖金融、运营商、政府、电商、能源、教育、医卫、互联网企业、游戏等多个行业。
此外,公司积极开拓应急产业及智慧城市业务,在应急产业方面,报告期内公司参与实施了应急指挥中心建设、安全发展示范城市建设安全风险评估、校园消防升级改造等项目;在智慧城市方面,公司参与实施了智慧校园相关项目。公司的应急产业及智慧城市业务目前处于起步阶段,但发展空间广阔,将是公司未来发展的重点领域。
1. 移动网络安全业务:公司完成营业收入19,176.91万元,同比减少31.47%。
2. 应急业务和智慧业务,报告期,公司新增应急和智慧业务,应急业务贡献营业收入7,094.63万,占营业总收入的24.55%,智慧业务贡献营业收入2,089.91万元,占营业总收入的7.23%, 公司积极拓展新业务板块为公司后续增长提供助力。
五、公司未来发展的展望
(一)网络安全行业发展趋势
1、移动应用安全行业发展政策驱动
2021年3月13日,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》正式发布,此后,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,把基础能力、战略前沿、民生保障等摆在了优先位置,确定了全民数字素养与技能提升、企业数字能力提升、前沿数字技术突破、数字贸易开放合作、基层智慧治理能力提升、绿色智慧生态文明建设、数字乡村发展、数字普惠金融服务、公共卫生应急数字化建设、智慧养老服务拓展等10项优先行动。作为数字经济发展的必备要素,信息安全被提到了史无前例的高度。国家层面各项信息安全相关政策法规密集发布,包括《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《GB/T39335-2020信息安全技术个人信息安全影响评估指南》、《GB/T39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法》、国务院办公厅关于印发全国一体化政务服务平台移动端建设指南的通知(国办函〔2021〕105号)、《移动互联网应用程序个人信息保护管理暂行规定》等一列法律法规和相关标准,其目的就是使互联网应用高效、安全地服务于各类信息化业务应用,保证网络世界的有序性。因此,作为网络安全的重要组成部分以及数字经济发展的重要前提之一,移动应用安全将迎来一个快速发展时期。
网信办、工信部、公安部和各行业主管部门在2021年大力推动移动应用开发建设指导规范,强化各类监管措施,力争在互联网移动应用合规性、个人信息数据隐私防护等方面改善移动应用环境,提升安全防御水平。相关主管部门也在数据安全法和个人信息保护法的基础上积极探索移动应用安全实施细则,采取安全通报、移动应用整改、强化监管等方式营造积极健康的互联网应用环境。公司作为移动应用安全厂商,也在持续、密切关注行业动态,积极参与国家和行业移动应用安全顶层设计。
2、移动互联网安全事件频发
持续两年多的新冠疫情不但对社会产生了巨大的影响,也极大改变了人们的行为模式,移动应用在各行各业中快速发展,因移动应用而衍生出的信息安全问题也日益凸显。2021年,因移动应用侵害用户合法权益,导致敏感个人信息泄漏和WEB攻击事件持续增多,严重影响了行业健康发展。2021年12月下旬,比利时国防部承认遭受严重的网络攻击,该攻击基于ApacheLog4j2相关漏洞,导致比利时国防部包括邮件系统在内的一些业务瘫痪。早在2021年11月24日,阿里云安全团队便已向阿帕奇官方具体报告了此次阿帕奇Log4j2漏洞,随后工信部于12月上旬获知该漏洞消息,而在此期间国内金融、医疗、政府、互联网等等行业中许多耳熟能详的互联网公司都在使用该框架,因此该事件在国内影响范围极大。在技术快速发展、业务快速迭代的当下,移动应用安全在网络安全中担任着越来越重要的角色。
3、新兴技术带来的移动应用安全需求
随着云计算、大数据、人工智能等新技术在IT领域的广泛使用,使得移动应用深度融合到传统IT领域,极大拓展了信息技术在各行各业的应用场景,但是移动应用在为传统信息应用赋能的同时,也改变了原有IT服务生态环境,给现有的IT防护体系带来了巨大挑战。新技术的应用打破了原有的物理网络边界,使得信息逻辑性越发复杂,加之使用人员成爆发式增长,导致安全风险愈发错综复杂,同时新技术的滥用,也增加了安全风险防范的难度。例如云计算技术应用安全措施不足可能导致云上的移动互联网应用存在数据泄露风险;大数据技术使用不完善,如未对隐私数据在应用时进行去标识化处理,则可能导致个人隐私泄露;人工智能应用过程中对技术和数据的滥用,如AI欺骗、有违意愿的广告推送、人工智能“杀熟”,会损害公众的合法权益。
综上所述,新技术、服务模式应用到移动互联网领域,改变了原有的IT服务生态环境,对原有的网络安全防护体系提出了严峻的挑战。近年来频繁发生的安全事件充分说明了移动应用面临诸多新型攻击方式和手段,移动应用安全问题的解决迫在眉睫。
4、行业用户移动应用业务驱动
目前,我国政府、金融、电信、能源、教育、医疗、制造等行业都在进行“互联网+”的业务模式升级,加之5G移动网络、大数据、人工智能、物联网、云计算等新技术的应用,现有的行业用户亟需在行业生态建设、服务体系建设、新技术应用和人才队伍建设上加大投入,同时自上而下完善现有安全防护体系,增加移动应用安全考量,以抵御日益频繁的网络攻击和监管需求。业务模式的升级改变了行业用户被动防御的安全防护体系建设逻辑,需要增加更多的主动防御策略、防护手段和决策支撑。
5、新兴领域打造新的蓝海市场
新基建是智慧经济时代贯彻新发展理念,吸收新科技革命成果,实现国家生态化、数字化、智能化、高速化、新旧动能转换与经济结构对称态,建立现代化经济体系的国家基本建设与基础设施建设。新型基础设施建设,主要包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网七大领域,涉及诸多产业链,是以新发展为理念,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系;在新基建的大背景下,移动安全将是重要的组成部分,移动应用的大量交付和使用也将带来巨大的安全市场。
(二)公司未来的发展战略及计划
1、深化网络安全行业布局,挖掘多元业务增长点
随着移动互联网、大数据、物联网、云计算的蓬勃发展以及新基建的大力开展,网络安全已成为事关国家安全与经济发展的重大问题。《“十四五”国家信息化规划》中明确了未来五年国家的数字发展战略,《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》两个重量级国家安全法的颁布,各行业多个安全建设指导的配套出台,都明确了信息安全行业的发展前景,说明积极发展网络安全业务符合国家产业政策和市场发展的趋势。
公司在未来的业务发展战略中将紧抓市场脉动,立足国家战略积极优化现有业务布局,围绕“夯实核心能力,促进生态建设”的经营理念,在核心能力层面,公司持续加大在产品端的研发投入,强化移动应用安全检测类和移动应用安全加固类安全工具和套件;在生态建设方面,公司加大对国家、行业主管部门、监管部门的技术支撑,积极参与国家标准和政策法规的制定,配合相关单位开展移动应用安全相关课题研究工作,并形成最佳实践,围绕移动应用市场需求,面向企业用户和个人终端用户,依托移动应用安全大数据平台、移动应用安全管理平台提供各应用场景的移动应用解决方案,满足移动应用安全开发者、使用者、运维者和监管者多维度移动应用安全诉求。同时,公司秉承“用户至上”的服务理念,在已有产品和解决方案的基础上,积极为高端用户提供移动应用安全深度服务,例如移动应用防护体系顶层咨询和设计,移动应用安全渗透服务和合规测评服务等。
未来网络安全行业将迎来快速发展期,公司将继续坚定移动应用安全业务方向,大力发展“产品+服务”业务模式,深挖行业客户需求,构建全方位的移动应用安全能力。此外,公司将以网络安全为中心,积极把握从网络安全延伸出来的业务机会,加大在应急产业及智慧城市方面的业务开拓,挖掘新的业务增长点。
2、支持技术创新,增强核心竞争力
为了满足差异化的移动应用安全市场需求,公司将基于业务对产品进行层次化分类,分别给予差异化的能力建设。对于移动应用安全基础需求客户,公司将增加对小程序、微信公众号和其他移动应用类型的研究,提高安全加固、安全检测等基础工具对移动应用类型的覆盖度;对于移动应用安全深度需求用户,公司将加大对标准、政策解读以及其落地实现手段的研究,并将研究成果沉淀于移动应用安全大数据监管和合规测评平台。
同时作为国内移动应用安全头部企业,公司将积极参与国家和其他行业主管部门在移动应用安全领域标准制定、课题研究和专项治理工作,力争将移动应用安全防护能力尽快融入各类应用场景,持续增强公司业务的核心竞争力。
3、加强内部管理,规范公司运作
随着公司业务规模的扩大和新业务的开展,公司将持续完善内部治理结构,进一步调整、优化公司组织架构及经营管理体制,继续梳理、完善内部控制制度,确保内控制度得到高效的执行,技术保障措施和安全管理同步保障。
(三)公司可能面临的风险及应对措施
1、市场竞争环境变化的风险
随着移动互联网的进一步发展、移动应用软件数量的不断增长以及政府和社会对移动应用安全要求的提升,移动应用安全市场空间正在快速扩张。随着拥有核心技术实力、客户资源、人才优势及品牌影响力的公司进入本细分行业,市场竞争将会加剧。公司将通过行业研究、政策深挖、技术创新和产品迭代为客户提供更为优质的、更具价值的服务,保持监管要求和企业需求的平衡的同时加大创新力度,为企业提供优秀的解决方案,避免经营业绩下滑、市场地位下降等风险。
2、行业监管政策变动风险
近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策调整导致市场需求下降的风险。公司通过参与行业标准的制定,同时加强对监管机构的技术支持,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最新政策及时调整经营思路并积极展开行业研究,在新技术、新产品的创新和布局方面抢占先机,有效降低行业政策变动可能带来的风险。
3、成长性风险
公司所处的网络安全行业以及新开拓的应急产业及智慧城市处于快速发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到产业政策、行业竞争态势、技术研发、市场推广等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下降或者业务开展不达预期的风险。同样,宏观经济下行、财政预算支出调整、国内疫情以及相应管控措施等潜在变化也可能通过客户预算下降、业务订单延后等途径对公经营产生不利影响。为此,公司将继续提升运营能力、管理能力、应急管理能力,加大人才队伍建设力度、行业研究力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。
4、核心技术泄密及核心人员流失风险
网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司过去一年存在一定比例的技术人员流动,公司将继续围绕核心技术积极申请知识产权,同时不断完善保密制度、保密建设、实施技术防护措施、与员工薪酬激励和考核制度以作保障。
5、应收账款持续增长及发生坏账的风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合约定了与应收账款回收相关的股份锁定期安排,以及业绩奖励金额与应收账款收回情况相挂钩的业绩奖励安排,以完善应收账款回收的保障措施;另一方面,公司通过制定《应收账款管理制度》,结合公司所处行业特点,对应收账款的全程管理进行了详细规定,从事前建立客户信用档案和确认应收账款账期,到事中的对账、开票和催收,再到事后的逾期应收账款催收,均一一进行了明确规定,同时明确了对应收账款管理负责人的奖惩标准,对内提高公司人员对应收账款的重视及管理积极性,对外加强应收账款的跟踪回收,保护公司经营成果,防范经营风险。
6、商誉减值的风险
公司2019年末以发行股份方式收购智游网安100%股权,在公司合并资产负债表中形成较大金额的商誉,根据《企业会计准则》规定,企业合并所形成的商誉不作摊销处理,但应当在每年年度终了进行减值测试。虽然智游网安业绩承诺期已经结束,若智游网安未来因市场竞争加剧、市场开拓未达预期、产业政策变化等因素出现业绩下滑,仍可能出现商誉减值风险,商誉减值将直接增加资产减值损失并计入当期损益,进而对公司即期净利润产生不利影响。为此,公司将加强对子公司的管控及资源整合,利用上市公司的平台和知名度在各地政府和各行业客户中积极牵线,扩展业务版图,努力降低潜在的商誉减值对公司的影响。
收起▲
一、报告期内公司从事的主要业务
报告期内,公司主要从事移动应用安全服务业务。公司为专业移动应用安全综合服务提供商,属于软件和信息技术服务行业中的网络安全领域,专注于移动应用、大数据、物联网及工业互联网安全,致力于为客户提供全方位、一站式的移动安全全生命周期解决方案,贯穿应用设计评估、安全开发测试、合规评测、应用优化、应用安全发布及应用上线运营阶段的整个生命周期,旗下核心品牌“爱加密”拥有安全防护、安全检测、安全管理、业务运营、威胁感知、安全监管、安全服务七大产品体系,用户遍及金融、运营商、政府、电商、能源、教育、医卫、互联网企业、游戏等多个行业。
1、安全防护:综合采用AndroidDex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SOLinker技术等,通过领先的第八代All-InVMP加固技术,为用户提供全面的移动应用加固和攻击防范解决方案。安全防护产品包括Android应用加固、iOS应用加固、鸿蒙应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等;实现对移动应用资产(App/H5/小程序/So/SDK)的全方位综合防护。
2、安全检测:采用静态检测、动态检测、个人信息检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险,并出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、工业APP检测、固件检测等。其中个人信息安全检测产品为重点产品体系,紧密结合监管要求和企业端的业务需求开发此产品;相关标准包括:《中华人民共和国网络安全法》、《个人信息保护法(草案)》、《GB/T35273-2020-信息安全技术个人信息安全规范》、《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南》、《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》、《移动互联网应用程序(APP)系统权限申请使用指南》、《App违法违规收集使用个人信息自评估指南》、《App申请安卓系统权限机制分析与建议》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》、《个人信息出境安全评估办法(征求意见稿)》、《儿童个人信息网络保护规定》。
3、安全管理:以企业移动业务安全为核心,针对监管合规、安全建设、风险管控等业务场景,提供从规划、设计、开发、测试、上线、运营全生命周期的安全管理能力,满足企业在移动安全上的体系化建设需求。安全管理产品包括移动应用安全综合实训平台、安全开发全生命周期管理平台、移动应用备案平台;平台基于企业用户统一管理安全业务工具、应用与业务全方位风险感知与安全维护的核心需求,在移动安全加密类产品的基础上,自主设计开发了移动安全平台类产品,整合管理单一产品方案和业务运行数据,解决企业用户数据管理、智能终端应用监管管理、企业安全工具管理存在的问题。
4、业务运营:InfoBeat智能数据平台,通过全面的数据采集、丰富的运营分析模型和便捷的数据应用技术,为企业提供基于移动应用的业务运营分析与数据应用能力,帮助企业实现持续智能运营。
5、威胁感知:移动威胁态势感知平台,可对移动应用进行实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,从而帮助企业安全管理人员掌握移动业务的整体安全态势。移动威胁态势感知平台具备移动应用产品安全持续监控能力,能够及时发现各种攻击威胁、行为异常、环境风险等;
具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,并进行有效的安全决策和响应;能够建立安全预警机制和生成威胁风险报告,帮助安全管理人员及时掌握移动应用产品的整体安全态势。6、安全监管:帮助客户对管辖范围内的移动应用进行资产的摸排、备案管理、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理,能够根据客户对移动应用的管理和检测要求自动化生成报告,并提供移动应用的执法和应急响应能力。安全监管产品包括移动应用安全大数据平台、移动应用渠道监测平台、移动应用备案管理平台。移动应用安全大数据平台总体来说是收集移动互联网络中不同区域不同行业重点监管分类的APP,进行综合分析,构建起一套监管业务安全视图,展示给管理员一个全网安全的总览图。通过机器学习的层层抽象,将复杂的安全数据提升为安全事件,进而输出为业务告警信息和大数据报告展现。由于Android平台具有渠道市场多的特殊性,盗版、钓鱼应用的监管存在较大困难,为Android应用企业提供移动应用渠道监测及预警服务,通过渠道服务云平台在全网应用渠道市场进行实时监控、爬取信息,经过后台智能比对分析正版应用的版本情况,对盗版、钓鱼等恶意应用的出现进行及时判定、实时预警并下架相关恶意应用,帮助企业防范盗版、钓鱼应用风险。
7、安全服务:针对客户提供覆盖移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安全服务,协助客户建立信息安全管理体系,满足安全合规要求,通过个人信息检测服务、源代码审计、渗透测试、合规测评、等保咨询和安全培训等安全服务,全面守护客户移动业务安全,确保移动业务的安全合规。安全服务产品包括个人信息安全检测服务、源代码审计服务、渗透测试服务、合规测评服务、安全培训服务、重保服务、移动应用安全定制服务、信息安全管理体系咨询服务、信息安全等级保护咨询服务。个人信息检测服务作为本报告期内的安全服务业务重点,紧跟监管要求和市场需求,对个人信息安全检测的服务能力和服务业务大幅提升。相关执行标准见第2项业务中相关标准。
二、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全、安全大数据及物联网安全。通过服务数以万计的移动应用与企业客户,公司持续积累广泛的移动威胁数据,并利用大数据和人工智能技术实现移动安全技术与市场安全需求的价值耦合,向企业客户提供全生命周期移动安全解决方案。根据企业信息化、数字化过程中的安全需求和规划,具有较强竞争优势的相关业务主要包括:
风险检测业务:以APP为核心的安全检测业务包括对APP的通用漏洞风险、源代码风险、个人信息安全风险、数据风险、恶意程序风险、内容违规风险等多维度的检测能力。风险检测业务能够给企业客户提供合规的风险前瞻性发现和针对性防护,同时能够为国家监管机构和政府提供针对移动应用市场的全貌安全监管技术支撑和服务能力;
加固防御业务:为APP提供全面的防护能力,包括防止代码逆向、二次打包非法篡改、动态调试、数据安全保护和业务安全防护等,平台覆盖Android、iOS、鸿蒙、H5小程序、公众号、IoT终端嵌入式系统等;风险管理业务:《中华人民共和国网络安全法》和网络安全等级保护2.0标准体系明确提出了针对国家的关键基础设施,要进行安全威胁的监控和响应。APP有其特殊性,企业对APP的使用环境、使用人员和使用行为不可控。针对及时发现APP的使用中威胁,公司提供独有的态势感知产品,能够从系统、硬件、网络、应用和业务等不同层面感知智能终端中针对APP的攻击行为,及时预警和提供防护响应;同时,公司渠道监测服务能够发现互联网上的盗版、钓鱼和仿冒APP,防止因此导致的用户数据泄露和声誉影响;MSSP则作为移动应用安全的全生命周期管理平台,能够有效的集成其他业务线的解决方案,通过数据驱动的自动化方式实现对安全风险和威胁的闭环响应和管理;
安全服务业务:安全服务业务能够为企业在进行移动信息化、数据化发展中提供法律法规合规和风险评估、安全渗透、个人信息安全检测等相关服务。公司在移动安全方向尤其具有领先的安全服务能力,能够为企业提供移动安全等保、安全咨询、个人信息安全、安全开发、安全渗透、合规、培训等全面的一条龙安全服务;
移动安全大数据业务:移动安全大数据业务收集和存储了国内全面的移动应用样本库,数量超过2000万个。通过二十余个安全检测引擎,能够提供基于国内地区、行业、种类等多维度的移动应用安全统计报告,统计依据包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等。移动数据服务能够提供对移动应用市场的全面管理监控,及时发现其中潜在的风险和问题,做到宏观的管理和净化。
基于业务,公司构架了移动应用全生命周期安全建设业务体系,主要包括移动应用安全检测、移动应用安全加固为主的加密类产品系列和移动应用安全感知、移动应用安全管理平台为主的平台类产品以及个人信息安全检测服务、渗透测试等安全服务。全生命周期安全建设覆盖应用设计评估、开发安全测试、应用合规、应用优化、应用安全发布及应用上线运营阶段。核心技术包括如下:
1、核心智能AI爬虫获取泛在应用安全大数据。在确保符合国家法律政策规范的前提下,能够突破业内技术限制,获取应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等全渠道中Android、iOS、嵌入式系统、微信小程序、微信公众号数据信息,构建业内规模较大,覆盖较广的泛在应用安全大数据平台。公司的安全数据库中包括AndroidAPK约2000万个,iOS应用约200万个,微信公众号程序约500万个,微信小程序约70万个,SDK约6000个,行业权限库近400个,恶意应用检测40多万,违规内容检测数据100多万,盗版检测约11万个,IP收录1亿多条,处于业内的领先水平。
2、智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,公司的检测平台的静态和动态技术能够检测超过86个检测项,超过同行业10个以上的关键检测项目。
3、JAVA、C/C++层代码防护。公司不仅仅针对JAVA,同时深入到了C/C++层的代码进行防护。利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,业内普遍仅能防护5%以下的代码,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过20%的代码,远超业内平均水平。
4、独有的双线推送。此技术集应用级推送和系统级推送于一体,在确保资源效率低、体积小的前提下,无论APP处于前台、后台运行还是被关闭状态,都可进行推送的下发。同时兼容市场上主流的手机厂商,经过实际测试和客户反馈,到达率高达99%以上。
经过在移动应用安全细分行业多年的耕耘,凭借丰富的解决方案经验及优质的服务能力,公司在移动应用安全领域中已形成较强的市场竞争力和较高市场地位。
1、研发与技术优势
公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断更新迭代现有产品和解决方案;公司拥有多项计算机软件著作权(82项)及发明专利(7项),涉及移动应用安全、个人信息安全、5G、工业互联网、威胁感知等,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术已具备一定的先进水平。近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、威胁感知、移动安全运营管理、移动应用监管、5G、工业互联网安全等新领域,在相关领域的技术研发水平已处于国内领先。
2、客户资源优势
长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了较深厚的产品、交付和服务经验,具备为用户提供最优移动应用安全解决方案的能力,在政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业以及广大企业级市场拥有了广泛而优质的用户群体。客户的良好积累也为深入实施市场营销战略奠定了深厚的基础,有效增强了综合竞争力。
3、参与行业标准制定优势
公司重视推进移动应用安全产品和服务的标准化,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息安全检测的研究及实践工作,包括:《全国SDK违法违规检测报告》、《车载网络设备信息安全技术要求(征求意见稿)》、《移动APP安全规范》、《新型城域物联专网建设导则》、《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》、MHT0068-2018民用航空移动应用程序安全测评指南等,公司对行业态势及发展趋势具有深刻理解,对产品技术条件、试验方法等能够精准把握,在新技术、新产品的布局中抢占先机。
4、专业资质优势
在网络安全行业,企业获取经营资质或许可的多少成为衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质或许可较全的企业之一。凭借领先的技术优势及优质的服务能力,取得了ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、国家高新技术企业、双软认证、中国信息安全测评中心颁发的EAL3信息技术产品安全测评证书、CMMI3级资质证书、国家计算机病毒应急处理中心优秀技术支持单位、国家计算机网络应急技术处理协调中心(CNCERT)网络安全应急服务支撑单位证书、中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质(一级)、CCRC信息安全服务资质认证证书软件安全开发服务资质(二级)、CCRC信息安全服务资质认证证书信息系统安全集成服务资质(二级)、CCRC信息安全服务资质认证证书CCRC信息系统安全运维(三级)、CCRC信息安全服务资质认证证书CCRC信息安全应急处理(三级)、通信企业协会颁发的通信网络安全服务能力评定证书(风险评估一级)、通信网络安全服务能力评定证书(安全设计与集成一级)、信息安全等级保护安全建设服务机构能力评估合格证书、国家信息安全漏洞库技术漏洞支撑单位(CNNVD)、国家信息安全漏洞共享平台支撑单位(CNVD)、中国网络安全审查技术与认证中心APP个人信息安全测试能力证书、工业和信息化部网络安全威胁信息共享平台合作单位、企业行业信用等级证(网络安全领域AA级信用企业)等多项经营资质或许可。
5、产品和服务优势
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。始终坚持以用户需求为中心,业务需求与监管要求双导航,凭借丰富的监管支撑经验以及具有市场竞争力的产品和解决方案、快速响应的客户服务赢得了市场份额,产品性能及服务质量已得到广大用户的检验。通过针对监管要求和客户需求的汇总、分析梳理和总结,不断进行产品升级和服务优化,通过对市场及行业的分析,在保障安全产品研发计划的同时加大安全服务的投入力度和服务体系建设,有力保证了产品和服务在竞争市场上的优势和用户服务粘性。
三、公司面临的风险和应对措施
1、市场竞争环境变化的风险
随着移动互联网的进一步发展、移动应用软件数量的不断增长以及政府和社会对移动应用安全意识的逐步提升,移动应用安全市场空间正在快速扩张,可能会导致移动应用安全行业市场经营环境发生重大变化。随着拥有核心技术实力、客户资源、人才优势及品牌影响力的公司进入本细分行业,市场竞争将会加剧。公司将通过行业研究、政策深挖、技术创新和产品迭代为客户提供更为优质的、更具价值的服务,保持监管要求和企业需求的平衡的同时加大创新力度,为企业提供优秀的解决方案,避免经营业绩下滑、市场占有率下降等风险。
2、行业监管政策变动风险
近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策调整导致市场需求下降的风险。公司通过参与行业标准的制定,同时加强对监管机构的技术支持,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最新政策及时调整经营思路并积极展开行业研究,在新技术、新产品的创新和布局方面抢占先机,有效降低行业政策变动可能带来的风险。
3、成长性风险
公司所处的网络安全行业处于快速发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到宏观经济、产业政策、行业竞争态势、技术研发、市场推广、国内疫情等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下降或者不能达到预期的风险。为此,公司将不断提升运营能力、管理能力、应急管理能力,加大人才队伍建设力度、行业研究力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。
4、核心技术泄密及核心人员流失风险
网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司将积极围绕核心技术申请知识产权,同时不断完善保密制度、保密建设、实施技术防护措施、与员工薪酬激励和考核制度以作保障。
5、应收账款持续增长及发生坏账的风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合约定了与应收账款回收相关的股份锁定期安排,以及业绩奖励金额与应收账款收回情况相挂钩的业绩奖励安排,以完善应收账款回收的保障措施;另一方面,公司内部从事前、事中、事后三个层面加强应收账款的管理,事前管理建立客户信用档案,确认应收账款账期;事中做好对账管理、开票核对、正常催收、每周反馈;事后管理做好逾期应收账款催收,逾期超过一周以上的,由业务和商务部人员邮件并电话跟催客户回款,同时具体负责该项目的业务经理在每周邮件汇报账款异常状况,逾期超过2个月仍未回款的客户,经多次催收无效的,转入问题应收账款处理程序,由销售部提交问题应收账款报告;逾期超过6个月仍未回款的客户,与客户明确详细的回款时间,并由财务向客户发应收账款往来函证;逾期超过1年仍未回款的客户,由法务向客户下发应收账款催收律师函。
6、承诺业绩无法实现及商誉减值的风险
在对智游网安的收购中,智游网安的业绩承诺方承诺智游网安2021年度的扣除非经常性损益后归属于母公司所有者的净利润不低于人民币15,210万元。若因市场竞争加剧、市场开拓未达预期、产业政策变化等因素的影响,智游网安可能仍存在承诺业绩无法实现的风险,进而影响到上市公司的整体经营业绩和盈利规模。此外,本次收购新增的商誉,根据《企业会计准则》规定,企业合并所形成的商誉不作摊销处理,但应当在每年年度终了进行减值测试。如果智游网安未来期间业绩状况未达预期,仍可能出现商誉减值风险,商誉减值将直接增加资产减值损失并计入当期损益,进而对公司即期净利润产生不利影响。为此,公司在收购智游网安的交易中与业绩承诺方约定了业绩补偿方案,以较大程度地保障公司及广大股东的利益。
收起▲
一、概述
2020年是公司业务转型后的第一年,2019年,公司筹划发行股份收购智游网安100%股权的重大资产重组,并于2019年末顺利获得证监会的批复并完成过户。随着收购智游网安的完成,公司的盈利能力和持续经营能力得到直接提升,并进一步加强了公司的综合竞争力及抗风险能力。公司为了进一步拓展网络安全的版图,先后于报告期内投资设立增加深圳智游网安、贵州智游网安、杭州智游网安、山东智游网安四家新主体。本报告期内,公司完成对广州国科的减资,减资后不再纳入合并范围,进一步减少了盈利能力较弱的移动网络游戏业务对公司的业绩影响。
1、移动应用安全服务业务:公司完成营业收入28,053.10万元,同比增加159%;归属于上公司所有者的净利润6,462.31万元,同比增加1985%,业绩巨幅增长的原因:本报告期是智游网安的利润表纳入合并范围的第一年;其中,网络安全业务版块完成营业收入27,983.23万元,贡献了99.75%的营业收入。
2、移动互联网游戏业务:广州国科主要从事移动互联网游戏的运营及相关服务,由于受到游戏行业整体不景气影响,广州国科业绩下滑。报告期内,公司对广州国科完成减资,广州国科不再纳入公司合并范围。
二、核心竞争力分析
公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全、安全大数据及物联网安全。通过服务数以万计的移动应用与企业客户,公司持续积累广泛的移动威胁数据,并利用大数据和人工智能技术实现移动安全技术与市场安全需求的价值耦合,向企业客户提供全生命周期移动安全解决方案。根据企业信息化、数字化过程中的安全需求和规划,具有较强竞争优势的相关业务主要包括:
风险检测业务:以APP为核心的安全检测业务包括对APP的通用漏洞风险、源代码风险、个人信息安全风险、数据风险、恶意程序风险、内容违规风险等多维度的检测能力。风险检测业务能够给企业客户提供合规的风险前瞻性发现和针对性防护,同时能够为国家监管机构和政府提供针对移动应用市场的全貌安全监管技术支撑和服务能力;
加固防御业务:为APP提供全面的防护能力,包括防止代码逆向、二次打包非法篡改、动态调试、数据安全保护和业务安全防护等,平台覆盖Android、iOS、H5小程序、公众号、IoT终端嵌入式系统等;
风险管理业务:网安法和新等保明确提出了针对国家的关键基础设施,要进行安全威胁的监控和响应。APP有其特殊性,企业对APP的试用环境、使用人员和使用行为不可控。针对及时发现APP的使用中威胁,公司提供独有的态势感知产品,能够从系统、硬件、网络、应用和业务等不同层面感知智能终端中针对APP的攻击行为,及时预警和提供防护响应;同时,公司渠道监测服务能够发现互联网上的盗版、钓鱼和仿冒APP,防止因此导致的用户数据泄露和声誉影响;MSSP则作为移动应用安全的全生命周期管理平台,能够有效的集成其他业务线的解决方案,通过数据驱动的自动化方式实现对安全风险和威胁的闭环响应和管理;
安全服务业务:安全服务业务能够为企业在进行移动信息化、数据化发展中提供法律法规合规和风险评估、安全渗透等相关服务。公司在移动安全方向尤其具有领先的安全服务能力。能够为企业提供移动安全等保、咨询、安全开发、安全渗透、合规、培训等全面的一条龙安全服务;
移动安全大数据业务:移动安全大数据业务收集和存储了国内全面的移动应用样本库,数量超过2000万个。通过二十余个安全检测引擎,能够提供基于国内地区、行业、种类等多维度的移动应用安全统计报告,统计依据包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等。移动数据服务能够提供对移动应用市场的全面管理监控,及时发现其中潜在的风险和问题,做到宏观的管理和净化。
产品及业务框架图如下所示:
基于如上业务,公司构架了移动应用全生命周期安全建设产品体系,主要包括移动应用安全检测、移动应用安全加固为主的加密类产品系列以及移动应用安全感知、移动应用安全管理平台为主的平台类产品。全生命周期安全建设覆盖应用设计评估、开发安全测试、应用优化、应用安全发布及应用上线运营阶段。核心技术包括如下:
1、核心智能AI爬虫获取泛在应用安全大数据。在确保符合国家法律政策规范的前提下,能够突破业内技术限制,获取应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等全渠道中Android、iOS、嵌入式系统、微信小程序、微信公众号数据信息,构建业内规模较大,覆盖较广的泛在应用安全大数据平台。公司的安全数据库中包括AndroidAPK约1800多万个,iOS应用约300多万个,微信公众号程序约400多万个,微信小程序约100多万个,SDK约500多个,行业权限库近400个,恶意应用检测300多万,违规内容检测数据100多万,盗版检测5000多个,IP收录1亿多条,处于业内的领先水平。2、智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,公司的检测平台的静态和动态技术能够检测超过86个检测项,超过同行业10个以上的关键检测项目。
3、JAVA、C/C++层代码防护。公司不仅仅针对JAVA,同时深入到了C/C++层的代码进行防护。利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,业内普遍仅能防护5%以下的代码,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过20%的代码,远超业内平均水平。
4、独有的双线推送此技术集应用级推送和系统级推送于一体,在确保资源效率低、体积小的前提下,无论APP处于前台、后台运行还是被关闭状态,都可进行推送的下发。同时兼容市场上主流的手机厂商,经过实际测试和客户反馈,到达率高达99%以上。
经过在移动应用安全细分行业多年的耕耘,凭借丰富的解决方案经验及优质的服务能力,公司在移动应用安全领域中已形成较强的市场竞争力和较高市场地位。
1、研发与技术优势
公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断更新迭代现有产品和解决方案;公司拥有多项计算机软件著作权(82项),涉及移动应用安全、个人信息安全、5G、工业互联网、威胁感知等,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术已具备一定的先进水平。近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、威胁感知、移动安全运营管理、移动应用监管、5G、工业互联网安全等新领域,在相关领域的技术研发水平已处于国内领先。
2、客户资源优势
长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了较深厚的产品、交付和服务经验,具备为用户提供最优移动应用安全解决方案的能力,在政府、金融、运营商、能源、交通、互联网、医卫、游戏等重点行业以及广大企业级市场拥有了广泛而优质的用户群体。客户的良好积累也为深入实施市场营销战略奠定了深厚的基础,有效增强了综合竞争力。
3、参与行业标准制定优势
公司重视推进移动应用安全产品和服务的标准化,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息安全检测的研究及实践工作,包括:《全国SDK违法违规检测报告》、《车载网络设备信息安全技术要求(征求意见稿)》、《移动APP安全规范》等,公司对行业态势及发展趋势具有深刻理解,对产品技术条件、试验方法等能够精准把握,在新技术、新产品的布局中抢占先机。
4、专业资质优势
在网络安全行业,企业获取经营资质或许可的多少成为衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质或许可较全的企业之一。凭借领先的技术优势及优质的服务能力,取得了ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、国家高新技术企业、双软认证、中国信息安全测评中心颁发的EAL3信息技术产品安全测评证书、CMMI3级资质证书、国家计算机病毒应急处理中心优秀技术支持单位、网络安全应急服务支撑单位证书、中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)颁发的信息安全风险评估服务资质(一级)、CCRC信息安全服务资质认证证书软件安全开发服务资质(二级)、CCRC信息安全服务资质认证证书信息系统安全集成服务资质(二级)、CCRC信息安全服务资质认证证书CCRC信息系统安全运维(三级)、CCRC信息安全服务资质认证证书CCRC信息安全应急处理(三级)、通信企业协会颁发的通信网络安全服务能力评定证书(风险评估一级)、信息安全等级保护安全建设服务机构能力评估合格证书、国家信息安全漏洞库技术漏洞支撑单位(CNNVD)、国家信息安全漏洞共享平台支撑单位(CNVD)、中国网络安全审查技术与认证中心APP个人信息安全测试能力证书等多项经营资质或许可。
5、产品和服务优势
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。始终坚持以用户需求为中心,业务需求与监管要求双导航,凭借具有市场竞争力的产品和解决方案、快速响应的客户服务赢得了市场份额,产品性能及服务质量已得到广大用户的检验。通过针对客户需求的汇总、分析梳理和总结,不断进行产品升级和服务优化,通过对市场及行业的分析,在保障安全产品研发计划的同时加大安全服务的投入力度和服务体系建设,有力保证了产品和服务在竞争市场上的优势。
三、公司未来发展的展望
(一)网络安全行业发展趋势
1、网络安全威胁事件频发迫使网络安全行业加速发展
2020年11月14日,《网络安全行业发展专题报告》向社会正式发布。《网络安全行业发展专题报告》基于2020年度网民网络安全感满意度调查活动收集的150万份有效问卷数据,真实、客观、全面反映了参与者对网络安全相关行业发展状况、网络安全感和满意度的感受,指出网络安全行业发展前景行业内普遍看好,明确网络安全领域在国家治理和经济发展中的重要作用。根据报告,绝大部分从业人员均认为网络安全问题和安全事件发生率较高,其中信息泄露、网络诈骗和网络骚扰是网络安全最突出的问题。而对于行业内来说,供应链安全是首要威胁,其次还包括硬件漏洞、代码漏洞、恶意程序等。
网络安全是经济全球化和社会信息化的前提,也是国家安全和社会稳定的基础,伴随着网络安全威胁事件频发,各国政府、企业及用户对网络安全重视程度进一步提高,将加速网络安全行业发展。
2、网络安全新需求带动新的增长点
面对各种各样网络安全问题,需要加强行业生态建设、服务体系建设、新技术应用和人才队伍建设。尤其在新技术方面,5G移动网络、大数据、人工智能、物联网、云计算等需要综合利用起来。随着网络攻击越来越频繁、企业信息化越来越复杂、监管趋严,政府和企业对主动防御和预测类安全产品的需求越来越大,如态势感知、威胁情报分析、安全合规管理、安全配置核查等新产品。近年来,政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目均发展较快。随着态势感知市场的扩大,威胁情报分析需求也呈快速上涨趋势。目前我国政府、金融、电信、能源四大行业领域的网络安全需求较大,市场份额占比较高。随着网络安全日益受到重视,国家关键网络基础设施的安全保障要求不断加强,将带动重点行业和领域网络安全市场较快增长。同时,随着智慧城市、“互联网+”、智能制造等发展规划的逐步实施,信息技术将进一步向传统产业融合,制造、医疗、消费、工业互联网等领域网络安全市场日渐兴起。
3、政府监管环境为网络安全市场创造增长机会
“监管合规性”和“数据隐私”相关的法规条例是过去几年推动我国企业安全支出的主要因素。近年来,国家密集出台加强网络安全建设的法规和政策,促进网络安全行业加速发展。2017年6月,《中华人民共和国网络安全法》正式实施后,对违反网络安全法规的政府机关、企业处罚力度增加。配套政策、各行业细分政策相继出台,并快速下沉到金融、电信、互联网、教育等重点领域。2019年5月,国家市场监督管理总局正式发布《信息安全技术网络信息安全等级保护基本要求》等国家标准,标志着“等保2.0”时代正式到来。等保2.0更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。从2019年开始,贯穿2019—2020年,个人信息安全成为监管的重点;依据相关的法规及标准:《网络安全法》(2017年);GB_T35273-2020《信息安全技术个人信息安全规范》(2020);《关于开展移动应用违法违规收集使用个人信息专项治理的公告》(2019年);《移动应用违法违规收集使用个人信息自评估指南》(2019年);《大众化应用基本业务功能及必要信息规范》(2019年);《中华人民共和国个人信息保护法(草案)》(已提审);四部委关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知(2021)等;监管和企业均展开个人信息安全相关的监督和建设工作。
4、新兴领域打造新的蓝海市场
随着云计算、物联网、移动互联网等新技术、新模式的应用和发展,网络信息的获取方法、存储形态、传输渠道和处理方式等发生了新的变化,网络结构的复杂化、用户的爆炸性增长、数据的快速膨胀增加了网络安全防护的难度。企业面临日趋复杂和新技术不断涌现的网络环境,对网络安全提出了新的要求。网络安全产业的范畴将随着网络安全保障需求不断延伸扩展,这对于传统的信息安全市场来说是一块增量市场。
随着5G移动网络的商用,我国网络安全风险防护工作将迎来更为严峻的挑战。一方面,移动数据流量规模将继续爆发式增长,根据IMT-2020(5G)推进组预测,2010年到2020年我国移动数据流量增长将增长300倍以上,2010年到2030年将增长超过4万倍。另一方面,AR/VR、物联网、工业互联网等应用场景将伴随5G商用的落地迎来新一轮爆发,构筑出越来越多的个性化、智能化应用场景。在此背景下,网络安全产业将迈入新的加速发展期。
新基建是智慧经济时代贯彻新发展理念,吸收新科技革命成果,实现国家生态化、数字化、智能化、高速化、新旧动能转换与经济结构对称态,建立现代化经济体系的国家基本建设与基础设施建设。新型基础设施建设,主要包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网七大领域,涉及诸多产业链,是以新发展为理念,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系;在新基建的大背景下,移动安全将是重要的组成部分,移动应用的大量交付和使用也将带来巨大的安全市场。
(二)公司未来的发展战略及计划
1、深化网络安全行业布局,优化业务结构
随着移动互联网、大数据、物联网、云计算的蓬勃发展以及新基建的大力开展,网络安全已成为事关国家安全与经济发展的重大问题。近年来,《中华人民共和国网络安全法》、《关于促进移动互联网健康有序发展的意见》、《软件和信息技术服务业发展规划(2016-2020年)》、《网络安全行业发展专题报告》、等保2.0等文件的颁布或出台,有效推进了信息安全行业的成长,积极发展网络安全业务符合国家产业政策和市场发展的趋势。基于公司目前在移动互联网安全行业的布局,公司未来将抓住我国网络安全行业快速发展的契机,以移动应用安全服务为基础,继续深挖行业客户多元化需求,发掘新的业务机会,进一步优化业务结构,从而提高公司的盈利能力和财务稳健性。
2、支持技术创新,增强核心竞争力
为了适应快速发展及多样化的技术需求和市场需求,公司将加大移动安全的研发力度及深度,加大个人信息安全产品及服务的投入力度及运营效率,抓住当下监管重点,适应监管的战略布局;公司将继续坚持自主技术创新,进一步完善研发体制和激励制度,积极引进和培养行业内高端研发人才,并不断在已有优势产品的基础上,加强研发投入,推进新技术和新产品的开发,提高公司技术研发水平,增强公司核心竞争力和可持续发展能力。
3、加强内部管理,规范公司运作
随着公司业务规模的扩大,公司将持续完善内部治理结构,进一步调整、优化经营管理体制,继续梳理、完善内部控制制度,确保内控制度得到高效的执行,技术保障措施和安全管理同步保障。同时,公司将加强对董事、监事、高级管理人员及员工队伍的培训,提高全体员工的风险防控意识,确保公司依法合规运行。
(三)公司可能面临的风险及应对措施
1、市场竞争环境变化的风险
随着移动互联网的进一步发展、移动应用软件数量的不断增长以及政府和社会对移动应用安全意识的逐步提升,移动应用安全市场空间正在快速扩张,可能会导致移动应用安全行业市场经营环境发生重大变化。随着拥有核心技术实力、客户资源、人才优势及品牌影响力的公司进入本细分行业,市场竞争将会加剧。我们将通过技术创新和产品迭代为客户提供更为优质的服务,保持监管要求和企业需求的平衡的同时加大创新力度,为企业提供优秀的解决方案,避免经营业绩下滑、市场占有率下降等风险。
2、行业监管政策变动风险
近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策调整导致市场需求下降的风险。公司通过参与行业标准的制定,同时加强对监管机构的技术支持,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最新政策及时调整经营思路,在新技术、新产品的布局方面抢占先机,有效降低行业政策变动可能带来的风险。
3、成长性风险
公司所处的网络安全行业处于快速发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到宏观经济、产业政策、行业竞争态势、技术研发、市场推广等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下降或者不能达到预期的风险。为此,我们将不断提升运营能力、管理能力,加大人才队伍建设力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。
4、核心技术泄密及核心人员流失风险
网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司将积极围绕核心技术申请知识产权,同时不断完善保密制度、保密建设、实施技术防护措施、与员工薪酬激励和考核制度以作保障。
5、应收账款持续增长及发生坏账的风险
随着收入规模的扩大,公司的应收账款管理难度相应增大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合约定了与应收账款回收相关的股份锁定期安排,以及业绩奖励金额与应收账款收回情况相挂钩的业绩奖励安排,以完善应收账款回收的保障措施;另一方面,公司内部从事前、事中、事后三个层面加强应收账款的管理,事前管理建立客户信用档案,确认应收账款账期;事中做好对账管理、开票核对、正常催收、每周反馈;事后管理做好逾期应收账款催收,逾期超过一周以上的,由业务和商务部人员邮件并电话跟催客户回款,同时具体负责该项目的业务经理在每周邮件汇报账款异常状况,逾期超过6个月仍未回款的客户,经多次催收无效的,转入问题应收账款处理程序,由财务部区域负责人提交问题应收账款报告,由法务向客户下发应收账款催收律师函。
6、承诺业绩无法实现及商誉减值的风险
在对智游网安的收购中,智游网安的业绩承诺方承诺智游网安2021年度的扣除非经常性损益后归属于母公司所有者的净利润不低于人民币15,210万元。若因市场竞争加剧、市场开拓未达预期、产业政策变化等因素的影响,智游网安可能仍存在承诺业绩无法实现的风险,进而影响到上市公司的整体经营业绩和盈利规模。此外,本次收购新增的商誉,根据《企业会计准则》规定,企业合并所形成的商誉不作摊销处理,但应当在每年年度终了进行减值测试。如果智游网安未来期间业绩状况未达预期,仍可能出现商誉减值风险,商誉减值将直接增加资产减值损失并计入当期损益,进而对上市公司即期净利润产生不利影响。为此,公司在收购智游网安的交易中与业绩承诺方约定了业绩补偿方案,以较大程度地保障上市公司及广大股东的利益。
收起▲
一、概述
报告期内,因受到新冠肺炎疫情影响,各地复工复产延后,一定程度上影响了公司的市场拓展、项目实施和验收,对公
司的生产经营造成了一定影响。随着国内疫情得到有效控制,公司一方面加快推进项目实施及业务拓展,另一方面加强研发
投入,提高技术创新,以推动公司可持续健康发展。报告期内,公司实现营业收入5,348.11万元,实现营业利润352.11万元,归属于上市公司股东的净利润为257.50万元,较上年同期扭亏为盈。
二、公司面临的风险和应对措施
1、市场竞争环境变化的风险
随着移动互联网的进一步发展、移动应用软件数量的不断增长以及政府和社会对移动应用安全意识的逐步提升,移动应
用安全市场空间正在快速扩张,可能会导致移动应用安全行业市场经营环境发生重大变化。随着拥有核心技术实力、客户资
源、人才优势及品牌影响力的公司进入本细分行业,市场竞争将会加剧。我们将通过技术创新和产品迭代为客户提供更为优质的服务,避免经营业绩下滑、市场占有率下降等风险。
2、行业监管政策变动风险
近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策
调整导致市场需求下降的风险。公司通过参与行业标准的制定,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最
新政策及时调整经营思路,在新技术、新产品的布局方面抢占先机,有效降低行业政策变动可能带来的风险。
3、成长性风险
公司所处的网络安全行业处于快速发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到宏观经济、
产业政策、行业竞争态势、技术研发、市场推广等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下
降或者不能达到预期的风险。为此,我们将不断提升运营能力、管理能力,加大人才队伍建设力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。
4、核心技术泄密及核心人员流失风险
网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术
泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司将积极
围绕核心技术申请知识产权,同时不断完善保密制度与员工薪酬激励和考核制度以作保障。
5、应收账款持续增长及发生坏账的风险
随着收入规模的扩大,公司的应收账款管理难度相应增大。虽然目前应收账款的账龄较为合理,但仍有可能存在回收周
期过长的情况。因此,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合网安信息科技有限公司约定
了与应收账款回收相关的股份锁定期安排,以及业绩奖励金额与应收账款收回情况相挂钩的业绩奖励安排,以完善应收账款
回收的保障措施。
6、承诺业绩无法实现及商誉减值的风险
在对智游网安的收购中,智游网安的业绩承诺方承诺智游网安2020年度和2021年度的扣除非经常性损益后归属于母公司所有者的净利润分别不低于人民币11,700万元和15,210万元。若因市场竞争加剧、市场开拓未达预期、产业政策变化、新冠疫情等因素的影响,智游网安可能存在承诺业绩无法实现的风险,进而出现商誉减值风险。为此,公司在收购智游网安的交易中与业绩承诺方约定了业绩补偿方案,以较大程度地保障上市公司及广大股东的利益。
三、核心竞争力分析
近年来,随着我国信息技术和互联网技术在企业级用户中的广泛普及,网络安全建设成为企业级用户在IT系统建设过程
中关注的重要内容。公司在移动应用安全细分行业耕耘多年,凭借丰富的解决方案经验及优质的服务能力,在移动应用安全
领域中已形成较强的市场竞争力和较高市场地位。
1、研发与技术优势
公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断在行业内率先推出创新产品,更新迭代既
有产品和解决方案;公司拥有多项计算机软件著作权,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术
已具备一定的先进水平。近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,我们还及时切入威胁感知、
移动安全运营管理、移动应用监管等新领域,在相关领域的技术研发水平已处于国内领先。
2、客户资源优势
我们长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了较深厚的产品、交付和服务经验,具备为用
户提供最优移动应用安全解决方案的能力,在政府、金融、运营商、能源、交通、互联网等重点行业以及广大企业级市场拥
有了广泛而优质的用户群体。客户的良好积累也为我们深入实施市场营销战略奠定了深厚的基础,有效增强了综合竞争力。
3、参与行业标准制定优势
公司重视推进移动应用安全产品和服务的标准化,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,子公司智游网安先后参与起草了《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法第
九部分:移动应用安全加固服务系统》等行业标准,也因此使公司对行业态势及发展趋势有了更为深刻的理解,对产品技术
条件、试验方法等有着精准的把握,从而在新技术、新产品的布局方面抢占先机。
4、专业资质优势
在网络安全行业,企业获取经营资质或许可的多少成为衡量网络安全厂商竞争力的重要因素。智游网安是目前国内同行
业中拥有各类经营资质或许可较全的企业之一。我们凭借领先的技术优势及优质的服务能力,取得了ISO9001质量管理体系
认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、中国信息安全测评中心颁发的
EAL3信息技术产品安全测评证书、CMMI3级资质证书、国家计算机病毒应急处理中心优秀技术支持单位、网络安全应急服务
支撑单位证书、中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)颁发的信息安全风险评估服务资质(一
级)、通信企业协会颁发的通信网络安全服务能力评定证书(风险评估一级)、信息安全等级保护安全建设服务机构能力评
估合格证书等多项经营资质或许可。
5、产品和服务优势
移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。我们始终坚持以用户需求为中心,凭借具有市
场竞争力的产品和解决方案、快速响应的客户服务赢得了市场份额,产品性能及服务质量已得到广大用户的检验。我们通过
针对客户需求的汇总、分析梳理和总结,不断进行产品升级和服务优化,有力保证了产品和服务在竞争市场上的优势。
收起▲