国华网安(000004.CN)

国华网安2021年半年度董事会经营评述

时间:21-08-26 21:28    来源:同花顺

国华网安(000004)(000004)2021年半年度董事会经营评述内容如下:

一、报告期内公司从事的主要业务报告期内,公司主要从事移动应用安全服务业务。公司为专业移动应用安全综合服务提供商,属于软件和信息技术服务行业中的网络安全领域,专注于移动应用、大数据、物联网及工业互联网安全,致力于为客户提供全方位、一站式的移动安全全生命周期解决方案,贯穿应用设计评估、安全开发测试、合规评测、应用优化、应用安全发布及应用上线运营阶段的整个生命周期,旗下核心品牌“爱加密”拥有安全防护、安全检测、安全管理、业务运营、威胁感知、安全监管、安全服务七大产品体系,用户遍及金融、运营商、政府、电商、能源、教育、医卫、互联网企业、游戏等多个行业。1、安全防护:综合采用AndroidDex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SOLinker技术等,通过领先的第八代All-InVMP加固技术,为用户提供全面的移动应用加固和攻击防范解决方案。安全防护产品包括Android应用加固、iOS应用加固、鸿蒙应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等;实现对移动应用资产(App/H5/小程序/So/SDK)的全方位综合防护。2、安全检测:采用静态检测、动态检测、个人信息检测、内容检测等技术,全面检测移动应用中存在的安全漏洞、编码缺陷、个人信息安全等问题,提前避免因安全漏洞导致的安全事故,及时预防安全风险,并出具专业的安全检测报告,对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、个人信息安全检测、微信公众号检测、微信小程序检测、内容检测、工业APP检测、固件检测等。其中个人信息安全检测产品为重点产品体系,紧密结合监管要求和企业端的业务需求开发此产品;相关标准包括:《中华人民共和国网络安全法》、《个人信息保护法(草案)》、《GB/T35273-2020-信息安全技术个人信息安全规范》、《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》、《移动互联网应用程序(App)收集使用个人信息自评估指南》、《网络安全标准实践指南―移动互联网应用程序(App)个人信息保护常见问题及处置指南》、《移动互联网应用程序(APP)系统权限申请使用指南》、《App违法违规收集使用个人信息自评估指南》、《App申请安卓系统权限机制分析与建议》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》、《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》、《个人信息出境安全评估办法(征求意见稿)》、《儿童个人信息网络保护规定》。3、安全管理:以企业移动业务安全为核心,针对监管合规、安全建设、风险管控等业务场景,提供从规划、设计、开发、测试、上线、运营全生命周期的安全管理能力,满足企业在移动安全上的体系化建设需求。安全管理产品包括移动应用安全综合实训平台、安全开发全生命周期管理平台、移动应用备案平台;平台基于企业用户统一管理安全业务工具、应用与业务全方位风险感知与安全维护的核心需求,在移动安全加密类产品的基础上,自主设计开发了移动安全平台类产品,整合管理单一产品方案和业务运行数据,解决企业用户数据管理、智能终端应用监管管理、企业安全工具管理存在的问题。4、业务运营:InfoBeat智能数据平台,通过全面的数据采集、丰富的运营分析模型和便捷的数据应用技术,为企业提供基于移动应用的业务运营分析与数据应用能力,帮助企业实现持续智能运营。5、威胁感知:移动威胁态势感知平台,可对移动应用进行实时数据采集,收集应用在使用过程中的安全信息,通过大数据技术对安全事件进行事前态势感知、事中实时响应、事后追踪溯源,从而帮助企业安全管理人员掌握移动业务的整体安全态势。移动威胁态势感知平台具备移动应用产品安全持续监控能力,能够及时发现各种攻击威胁、行为异常、环境风险等;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,并进行有效的安全决策和响应;能够建立安全预警机制和生成威胁风险报告,帮助安全管理人员及时掌握移动应用产品的整体安全态势。6、安全监管:帮助客户对管辖范围内的移动应用进行资产的摸排、备案管理、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理,能够根据客户对移动应用的管理和检测要求自动化生成报告,并提供移动应用的执法和应急响应能力。安全监管产品包括移动应用安全大数据平台、移动应用渠道监测平台、移动应用备案管理平台。移动应用安全大数据平台总体来说是收集移动互联网络中不同区域不同行业重点监管分类的APP,进行综合分析,构建起一套监管业务安全视图,展示给管理员一个全网安全的总览图。通过机器学习的层层抽象,将复杂的安全数据提升为安全事件,进而输出为业务告警信息和大数据报告展现。由于Android平台具有渠道市场多的特殊性,盗版、钓鱼应用的监管存在较大困难,为Android应用企业提供移动应用渠道监测及预警服务,通过渠道服务云平台在全网应用渠道市场进行实时监控、爬取信息,经过后台智能比对分析正版应用的版本情况,对盗版、钓鱼等恶意应用的出现进行及时判定、实时预警并下架相关恶意应用,帮助企业防范盗版、钓鱼应用风险。7、安全服务:针对客户提供覆盖移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安全服务,协助客户建立信息安全管理体系,满足安全合规要求,通过个人信息检测服务、源代码审计、渗透测试、合规测评、等保咨询和安全培训等安全服务,全面守护客户移动业务安全,确保移动业务的安全合规。安全服务产品包括个人信息安全检测服务、源代码审计服务、渗透测试服务、合规测评服务、安全培训服务、重保服务、移动应用安全定制服务、信息安全管理体系咨询服务、信息安全等级保护咨询服务。个人信息检测服务作为本报告期内的安全服务业务重点,紧跟监管要求和市场需求,对个人信息安全检测的服务能力和服务业务大幅提升。相关执行标准见第2项业务中相关标准。 二、核心竞争力分析 公司核心业务属于软件和信息技术服务行业中的网络安全领域,专注于移动应用安全、安全大数据及物联网安全。通过服务数以万计的移动应用与企业客户,公司持续积累广泛的移动威胁数据,并利用大数据和人工智能技术实现移动安全技术与市场安全需求的价值耦合,向企业客户提供全生命周期移动安全解决方案。根据企业信息化、数字化过程中的安全需求和规划,具有较强竞争优势的相关业务主要包括: 风险检测业务:以APP为核心的安全检测业务包括对APP的通用漏洞风险、源代码风险、个人信息安全风险、数据风险、恶意程序风险、内容违规风险等多维度的检测能力。风险检测业务能够给企业客户提供合规的风险前瞻性发现和针对性防护,同时能够为国家监管机构和政府提供针对移动应用市场的全貌安全监管技术支撑和服务能力; 加固防御业务:为APP提供全面的防护能力,包括防止代码逆向、二次打包非法篡改、动态调试、数据安全保护和业务安全防护等,平台覆盖Android、iOS、鸿蒙、H5小程序、公众号、IoT终端嵌入式系统等;风险管理业务:《中华人民共和国网络安全法》和网络安全等级保护2.0标准体系明确提出了针对国家的关键基础设施,要进行安全威胁的监控和响应。APP有其特殊性,企业对APP的使用环境、使用人员和使用行为不可控。针对及时发现APP的使用中威胁,公司提供独有的态势感知产品,能够从系统、硬件、网络、应用和业务等不同层面感知智能终端中针对APP的攻击行为,及时预警和提供防护响应;同时,公司渠道监测服务能够发现互联网上的盗版、钓鱼和仿冒APP,防止因此导致的用户数据泄露和声誉影响;MSSP则作为移动应用安全的全生命周期管理平台,能够有效的集成其他业务线的解决方案,通过数据驱动的自动化方式实现对安全风险和威胁的闭环响应和管理; 安全服务业务:安全服务业务能够为企业在进行移动信息化、数据化发展中提供法律法规合规和风险评估、安全渗透、个人信息安全检测等相关服务。公司在移动安全方向尤其具有领先的安全服务能力,能够为企业提供移动安全等保、安全咨询、个人信息安全、安全开发、安全渗透、合规、培训等全面的一条龙安全服务; 移动安全大数据业务:移动安全大数据业务收集和存储了国内全面的移动应用样本库,数量超过2000万个。通过二十余个安全检测引擎,能够提供基于国内地区、行业、种类等多维度的移动应用安全统计报告,统计依据包括通用风险、恶意程序、数据安全、个人信息安全、内容违规安全等。移动数据服务能够提供对移动应用市场的全面管理监控,及时发现其中潜在的风险和问题,做到宏观的管理和净化。 基于如上业务,公司构架了移动应用全生命周期安全建设业务体系,主要包括移动应用安全检测、移动应用安全加固为主的加密类产品系列和移动应用安全感知、移动应用安全管理平台为主的平台类产品以及个人信息安全检测服务、渗透测试等安全服务。全生命周期安全建设覆盖应用设计评估、开发安全测试、应用合规、应用优化、应用安全发布及应用上线运营阶段。核心技术包括如下: 1、核心智能AI爬虫获取泛在应用安全大数据。在确保符合国家法律政策规范的前提下,能够突破业内技术限制,获取应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等全渠道中Android、iOS、嵌入式系统、微信小程序、微信公众号数据信息,构建业内规模较大,覆盖较广的泛在应用安全大数据平台。公司的安全数据库中包括AndroidAPK约2000万个,iOS应用约200万个,微信公众号程序约500万个,微信小程序约70万个,SDK约6000个,行业权限库近400个,恶意应用检测40多万,违规内容检测数据100多万,盗版检测约11万个,IP收录1亿多条,处于业内的领先水平。 2、智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,公司的检测平台的静态和动态技术能够检测超过86个检测项,超过同行业10个以上的关键检测项目。 3、JAVA、C/C++层代码防护。公司不仅仅针对JAVA,同时深入到了C/C++层的代码进行防护。利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,在防护平台、防护深度等方面具备业界的领先优势。在不影响应用性能和兼容性的前提下,业内普遍仅能防护5%以下的代码,公司利用多套指令集、支持64位平台、支持对C++异常的处理、支持对变参函数的处理和独有的基本块调度混淆、指令随机化等技术组成的双重VMP方案,能够高强度保护超过20%的代码,远超业内平均水平。 4、独有的双线推送。此技术集应用级推送和系统级推送于一体,在确保资源效率低、体积小的前提下,无论APP处于前台、后台运行还是被关闭状态,都可进行推送的下发。同时兼容市场上主流的手机厂商,经过实际测试和客户反馈,到达率高达99%以上。 经过在移动应用安全细分行业多年的耕耘,凭借丰富的解决方案经验及优质的服务能力,公司在移动应用安全领域中已形成较强的市场竞争力和较高市场地位。 1、研发与技术优势 公司始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断更新迭代现有产品和解决方案;公司拥有多项计算机软件著作权(82项)及发明专利(7项),涉及移动应用安全、个人信息安全、5G、工业互联网、威胁感知等,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术已具备一定的先进水平。近年来,为了更好的顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、威胁感知、移动安全运营管理、移动应用监管、5G、工业互联网安全等新领域,在相关领域的技术研发水平已处于国内领先;目前具备的安全能力如下图所示: 2、客户资源优势 长期跟踪移动应用安全领域的技术发展趋势及用户需求的演变,积累了较深厚的产品、交付和服务经验,具备为用户提供最优移动应用安全解决方案的能力,在政府、金融、运营商、能源、交通、互联网、医卫、教育、游戏等重点行业以及广大企业级市场拥有了广泛而优质的用户群体。客户的良好积累也为深入实施市场营销战略奠定了深厚的基础,有效增强了综合竞争力。 3、参与行业标准制定优势 公司重视推进移动应用安全产品和服务的标准化,长期跟踪技术发展趋势,积极参与制订行业标准。近年来,公司先后参与起草《移动互联网应用程序安全加固能力评估要求与测试方法》、《移动信息化可信选型认证评估方法第九部分:移动应用安全加固服务系统》等行业标准,同时协助监管机构参与个人信息安全检测的研究及实践工作,包括:《全国SDK违法违规检测报告》、《车载网络设备信息安全技术要求(征求意见稿)》、《移动APP安全规范》、《新型城域物联专网建设导则》、《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》、MHT0068-2018民用航空移动应用程序安全测评指南等,公司对行业态势及发展趋势具有深刻理解,对产品技术条件、试验方法等能够精准把握,在新技术、新产品的布局中抢占先机。 4、专业资质优势 在网络安全行业,企业获取经营资质或许可的多少成为衡量网络安全厂商竞争力的重要因素。公司是目前国内同行业中拥有各类经营资质或许可较全的企业之一。凭借领先的技术优势及优质的服务能力,取得了ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书、国家高新技术企业、双软认证、中国信息安全测评中心颁发的EAL3信息技术产品安全测评证书、CMMI3级资质证书、国家计算机病毒应急处理中心优秀技术支持单位、国家计算机网络应急技术处理协调中心(CNCERT)网络安全应急服务支撑单位证书、中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质(一级)、CCRC信息安全服务资质认证证书软件安全开发服务资质(二级)、CCRC信息安全服务资质认证证书信息系统安全集成服务资质(二级)、CCRC信息安全服务资质认证证书CCRC信息系统安全运维(三级)、CCRC信息安全服务资质认证证书CCRC信息安全应急处理(三级)、通信企业协会颁发的通信网络安全服务能力评定证书(风险评估一级)、通信网络安全服务能力评定证书(安全设计与集成一级)、信息安全等级保护安全建设服务机构能力评估合格证书、国家信息安全漏洞库技术漏洞支撑单位(CNNVD)、国家信息安全漏洞共享平台支撑单位(CNVD)、中国网络安全审查技术与认证中心APP个人信息安全测试能力证书、工业和信息化部网络安全威胁信息共享平台合作单位、企业行业信用等级证(网络安全领域AA级信用企业)等多项经营资质或许可。 5、产品和服务优势 移动应用安全产品及服务的质量直接关系到客户的数据安全和正常运营。始终坚持以用户需求为中心,业务需求与监管要求双导航,凭借丰富的监管支撑经验以及具有市场竞争力的产品和解决方案、快速响应的客户服务赢得了市场份额,产品性能及服务质量已得到广大用户的检验。通过针对监管要求和客户需求的汇总、分析梳理和总结,不断进行产品升级和服务优化,通过对市场及行业的分析,在保障安全产品研发计划的同时加大安全服务的投入力度和服务体系建设,有力保证了产品和服务在竞争市场上的优势和用户服务粘性。 三、公司面临的风险和应对措施 1、市场竞争环境变化的风险 随着移动互联网的进一步发展、移动应用软件数量的不断增长以及政府和社会对移动应用安全意识的逐步提升,移动应用安全市场空间正在快速扩张,可能会导致移动应用安全行业市场经营环境发生重大变化。随着拥有核心技术实力、客户资源、人才优势及品牌影响力的公司进入本细分行业,市场竞争将会加剧。公司将通过行业研究、政策深挖、技术创新和产品迭代为客户提供更为优质的、更具价值的服务,保持监管要求和企业需求的平衡的同时加大创新力度,为企业提供优秀的解决方案,避免经营业绩下滑、市场占有率下降等风险。 2、行业监管政策变动风险 近年来,各项网络安全相关政策的出台促进了移动应用安全行业的发展,但未来如果政策环境变化,不排除因行业政策调整导致市场需求下降的风险。公司通过参与行业标准的制定,同时加强对监管机构的技术支持,紧紧把握行业的发展趋势,同时根据行业监管部门发布的最新政策及时调整经营思路并积极展开行业研究,在新技术、新产品的创新和布局方面抢占先机,有效降低行业政策变动可能带来的风险。 3、成长性风险 公司所处的网络安全行业处于快速发展阶段,是国家鼓励发展的新兴产业,但未来能否保持持续成长,受到宏观经济、产业政策、行业竞争态势、技术研发、市场推广、国内疫情等多个方面的影响,如果上述因素发生不利变化,将导致公司存在成长性下降或者不能达到预期的风险。为此,公司将不断提升运营能力、管理能力、应急管理能力,加大人才队伍建设力度、行业研究力度、研发投入力度,以持续保持较强的市场竞争力,培育新的业务增长点。 4、核心技术泄密及核心人员流失风险 网络安全行业是技术密集型行业,先进的技术以及优秀的研发团队是公司生存和持续发展的重要保障,若出现核心技术泄密、核心人员流失、不能自身培养或从外部引进获得足够多的高素质人才,将对整体业务发展造成不利影响。公司将积极围绕核心技术申请知识产权,同时不断完善保密制度、保密建设、实施技术防护措施、与员工薪酬激励和考核制度以作保障。 5、应收账款持续增长及发生坏账的风险 随着收入规模的扩大,公司的应收账款管理难度相应增大,存在回收周期过长甚至逾期的情况。因此,一方面,公司在收购智游网安股权的交易中,与交易对方彭瀛、郭训平和郑州众合约定了与应收账款回收相关的股份锁定期安排,以及业绩奖励金额与应收账款收回情况相挂钩的业绩奖励安排,以完善应收账款回收的保障措施;另一方面,公司内部从事前、事中、事后三个层面加强应收账款的管理,事前管理建立客户信用档案,确认应收账款账期;事中做好对账管理、开票核对、正常催收、每周反馈;事后管理做好逾期应收账款催收,逾期超过一周以上的,由业务和商务部人员邮件并电话跟催客户回款,同时具体负责该项目的业务经理在每周邮件汇报账款异常状况,逾期超过2个月仍未回款的客户,经多次催收无效的,转入问题应收账款处理程序,由销售部提交问题应收账款报告;逾期超过6个月仍未回款的客户,与客户明确详细的回款时间,并由财务向客户发应收账款往来函证;逾期超过1年仍未回款的客户,由法务向客户下发应收账款催收律师函。 6、承诺业绩无法实现及商誉减值的风险 在对智游网安的收购中,智游网安的业绩承诺方承诺智游网安2021年度的扣除非经常性损益后归属于母公司所有者的净利润不低于人民币15,210万元。若因市场竞争加剧、市场开拓未达预期、产业政策变化等因素的影响,智游网安可能仍存在承诺业绩无法实现的风险,进而影响到上市公司的整体经营业绩和盈利规模。此外,本次收购新增的商誉,根据《企业会计准则》规定,企业合并所形成的商誉不作摊销处理,但应当在每年年度终了进行减值测试。如果智游网安未来期间业绩状况未达预期,仍可能出现商誉减值风险,商誉减值将直接增加资产减值损失并计入当期损益,进而对公司即期净利润产生不利影响。为此,公司在收购智游网安的交易中与业绩承诺方约定了业绩补偿方案,以较大程度地保障公司及广大股东的利益。