公司代码:688244 公司简称:永信至诚
北京永信至诚科技股份有限公司
第一节 重要提示
划,投资者应当到 www.sse.com.cn 网站仔细阅读年度报告全文。
公司已在本报告中详细阐述公司在经营过程中可能面临的各种风险,敬请查阅本报告第三节
“管理层讨论与分析”中“风险因素”相关的内容。
完整性,不存在虚假记载、误导性陈述或重大遗漏,并承担个别和连带的法律责任。
□是 √否
公司 2022 年度利润分配预案为:拟以实施权益分派股权登记日登记的总股本为基数分配利
润,向全体股东每 10 股派发现金红利 3.30 元(含税),同时以资本公积金向全体股东每 10 股转
增 4.8 股,不送红股。截至 2022 年 12 月 31 日,公司总股本为 46,831,303 股,以此计算合计拟
派发现金红利 15,454,329.99 元(含税),占公司 2022 年度合并报表归属于上市公司股东净利润
的 30.42%;计算合计拟转增 22,479,025 股,本次转增后,公司的总股本增加至 69,310,328 股(最
终转增股数以中国证券登记结算有限公司上海分公司实际转增结果为准)。
公司 2022 年度利润分配预案已经公司第三届董事会第十三次会议审议通过,尚需公司 2022
年年度股东大会审议通过。
□适用 √不适用
第二节 公司基本情况
公司股票简况
√适用 □不适用
公司股票简况
股票种类 股票上市交易所 股票简称 股票代码 变更前股票简称
及板块
上海证券交易所
A股 永信至诚 688244 /
科创板
公司存托凭证简况
□适用 √不适用
联系人和联系方式
联系人和联系方式 董事会秘书(信息披露境内代表) 证券事务代表
姓名 张恒 丁一凡
办公地址 北京市海淀区丰豪东路9号院6号楼 北京市海淀区丰豪东路9号院
电话 010-50866160 010-50866160
电子信箱 yxzc@integritytech.com.cn yxzc@integritytech.com.cn
(一) 主要业务、主要产品或服务情况
永信至诚是一家聚焦网络和数据安全的科技创新企业,在网络靶场和人才建设领域位于业界
领军地位。公司首创“数字风洞”产品体系,跃迁式创新推动安全测试评估专业赛道发展。公司
致力于为数字中国和网络强国建设提供高能效的安全保障和专有人才支撑,实现“带给世界安全
感”的愿景。
公司经过多年的研发和实践,形成了网络空间平行仿真技术和网络空间攻防对抗技术两大类
核心技术,并推出网络靶场系列产品、安全管控与蜜罐系列产品、安全工具类产品、安全防护系
列服务、网络安全竞赛服务和其他服务,其他服务主要包括线上线下培训服务。
(1)网络靶场系列产品
网络靶场是数字化建设过程中安全性测试的重要基础设施,是检验和评估安全防御体系有效
性的重要技术系统,是国家对重大网络安全风险和趋势进行推演和论证研判的重要科学装置,是
防范化解重大网络安全风险的重要手段,也是政企、院校、科研机构等单位网络安全人才培养的
重要支撑平台。
春秋云境网络靶场平台基于永信至诚多年研发实践的平行仿真技术体系构建而成,该平台融
合了主机虚拟化、网络虚拟化、软件定义网络、多维数据采集、3D 展示引擎和高可用云端架构等
多种前沿技术,支持多种角色以不同权限和资源访问能力在同一靶场场景中进行联合交互和测试。
实验和测试过程安全可控,数据采集准确详实,效能展示科学直观。经多位院士、专家评审,该
平台具有大规模、多层次、高仿真、高柔性和全场景的特点,荣获北京市科学技术奖(科学技术
进步奖)一等奖。永信至诚通过春秋云境网络靶场平台连续三届为“网鼎杯”网络安全大赛提供专
业支持,持续在大赛规则、赛制赛题设计、技术平台支持、赛事运营保障等方面树立国家级竞赛
标准。
经过连续多年持续迭代和运营,永信至诚已经成为网络靶场领军者。特别是在测试评估领域,
基于大量网络靶场核心技术和实践经验积累,总结出 3×3×3×(产品×服务)安全感公式,构建了
面向安全测试评估赛道的“数字风洞”产品体系,打造面向全场景、全要素、全生命周期的安全
测试评估解决方案,助力政企用户网络安全工作实现合规的保障、风险的预控、标准的践行和投
入的回报。
目前,永信至诚春秋云境网络靶场平台已支撑国家多个部委主办的数十场网络安全演练活动
及多个行业的靶场建设工程,实现赛事演练、人才培养、智慧城市安全测试、案件线索追踪实战、
业务模拟仿真、人工智能攻防、复杂业务安全推演及综合应用等“7+1”应用场景落地。网络靶场
“7+1”应用场景具体如下:
“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。
”网络安全赛事可通过网络对抗
的模式检验参赛队伍的实战攻防能力和应急协作水平,整个过程需要在专门搭建的、符合行业特
征的、安全可控的演练环境中进行,通过竞技形式有效训练选拔网络安全人员。
赛事演练靶场平台提供完备的赛前、赛中、赛后管理功能,支持多种可选的比赛模式、积分
计算模式以及配套的多种大屏展示效果。赛事组织方可利用靶场平台自定义赛题或从已有题库和
场景库中选择赛题一键下发竞赛,靶场依据策略自动化完成资源管理、数据记录和分析等各类操
作。
网络安全人才培养需要体系化的课程安排及大量的训练和实践,还需要进行高强度的学习考
核计划安排。人才培养靶场是网络靶场的典型应用之一,是为人才实践训练和体系化的培养训练
专门打造的培训平台。网络安全攻防对抗具有其特殊性,技能能力的提升必须依赖反复的动手实
践才能完成。网络安全的各类漏洞和攻防技战法等对技能要求的多样性非常高,网络靶场能够利
用虚拟化和云技术,使各种典型或特定的场景以虚拟机和场景快照模板的方式留存下来,可以快
速的为人才培养提供各种演练的场景和环境。
数字化城市建设过程中,存在大量的网络安全风险,在用传统手段发现隐患的同时,通过网
络安全测试可以发现更多风险隐患。而在进行安全测试时,测试人员的操作违规会给系统带来严
重的风险隐患,所以参与测试的人员需要在可控的环境中进行操作。
重点行业在进行案件侦办过程中存在两个比较突出的问题,一是任务人员的工具类型和使用
不规范影响任务完成效率。二是任务人员自我保护意识和能力不足,影响任务效果。靶场为任务
人员提供了专业规范的工具库,并赋予每个人员独立安全的空间,用于存放自己习惯的个性化工
具,还会为每个人员下发任务专属的靶场机,在靶场机中自动加载了相关隐蔽保护功能,确保完
成效率。靶场还提供完善的任务过程监测和取证功能,支持任务成果安全独立存储。
工业环境对生产系统连续性要求极高,当遭遇网络安全风险时几乎不可能停机进行检修,开
展安全测试、技术验证、病毒样本采集分析、模拟风险预警演练等工作,需要在模拟仿真环境中
进行。用户可以登陆靶场,在靶场中制作生成仿真试验场景,分配不同任务和角色。不同角色的
人员接到任务后,在靶场仿真的环境中执行对应的网络安全测试或验证任务。同时,在靶场平台
会记录任务的数据、过程和结果。
人工智能攻防研究是网络安全领域比较前沿的研究方向,需要对人工智能网络攻防对抗可行
性、可用性进行研究验证。由于是程序进行自动攻防验证,对于测试目标的资源消耗较大,且会
极大影响目标网络性能,甚至会对测试目标的网络造成破坏,需要在安全可控的环境中完成自动
测试。靶场提供了安全可靠和灵活的测试环境,还可以自动记录测试参数判断是否达到研制预期
效果。
在真实的网络空间中,影响国家安全的网络安全问题通常由多种行为或风险叠加形成,为了
预判和风险化解,需要在复杂的大规模推演靶场中利用数字模型和模拟仿真技术等进行仿真推演。
在推演的过程中,靶场会记录测试过程数据,进行业务模型推演并形成测试结论。
综合场景应用靶场是网络靶场多种应用场景融合的业务形态,永信至诚基于公司多项关键技
术及核心产品构建了虚拟网络仿真场景,结合提炼和总结的国内外重大网络安全事件、众多前沿
安全技术及各领域主流网络安全产品等内容,融合多项核心技术形成了多种形态的靶场模块。通
过沉浸式和高交互的体验模式,满足各类用户利用网络靶场进行情景式安全教育、实战式人才培
养和考核、主流安全产品体验、网络安全演习、重大网络安全事件演练复盘等需求。
(2)安全管控与蜜罐产品
公司安全管控与蜜罐类产品主要包括春秋云阵新一代蜜罐系统、春秋云势网络安全态势感知
与处置平台以及蜜罐及态势感知整合安全管控三种形态的产品类别。
传统的边界安全防护设备主要依赖于在信息系统的边界通过鉴权等策略进行防护,而对于通
过身份冒用或漏洞利用等方式绕过了防护规则,进入网络系统内部之后的高隐蔽性攻击者缺乏防
护手段。攻击者往往将自身的行为伪装成合法的用户进行长期的潜伏和持续数据窃取。在这种情
况下,具备“欺骗防御”能力的蜜罐系统成为了极佳的防御手段,可很大程度上弥补当前的防御
体系短板。
春秋云阵新一代蜜罐系统基于“欺骗式防御”理念,利用永信至诚特有的平行仿真技术和全
量行为捕获技术,构建高甜度的蜜罐环境,诱捕攻击者进入仿真网络环境中,大大延缓攻击者对
实际业务网络的攻击。同时,不再依赖特征库对流量层的威胁行为进行甄别,
“触碰蜜罐即报警”
“深入蜜罐即攻击”,保证蜜罐系统对所有攻击的“零误报”特征。全程记录的攻击轨迹和攻击行
为,实现了对攻击者的快速取证和溯源。在不影响现有网络的安全架构下,利用其低成本、易部
署、零误报的特性,简化网络安全运维工作的复杂程度,有效增强实际业务网络的安全防护能力。
该平台已获评数说安全“中国网络安全蜜罐顶级供应商”
。
该产品主要用户为政府部门、能源、电力、交通等国家关键信息基础设施运营单位。
网络态势即网络的状态和趋势。一般泛指全网络环境下所有网络设备的运行状况、动态变化、
报警信息、安全事件和用户行为等因素。态势感知是指在网络环境下,通过收集、分析和理解网
络环境要素信息,对网络环境的短期及长期变化趋势做出预测和推演。
春秋云势态势感知平台是基于大数据技术框架,综合全维度安全因素,从整体上动态监管网
络安全状况,提升风险发现、决策分析、响应处置能力的网络空间安全综合治理体系。该体系具
有“精准预警、高效处置”的特点,能够合理调配安全专家,在预定义的处置场景下,及时、高
效处置网络安全事件,从而帮助监管部门和重点用户从总体把握网络安全态势,研判网络安全趋
势和解决网络安全问题,最终实现“可感知、可研判、可处置”的网络态势安全闭环。
态势感知主要面向政府、公安、行业主管机构、关键信息基础设施及企事业单位等用户。
蜜罐及态势感知系统可以组合使用,也可以分别单独使用。组合使用,可以发挥良好的协同
效应,达成产品的最佳效能,对网络空间环境形成整体的安全管控。
蜜罐主要部署于边界安全产品之后,其主要部署在被保护网络内部,与内部网络形成一体。
态势感知平台利用其卓越的大数据汇聚、存储和分析处理能力,形成对非法入侵等网络威胁的感
知能力,并依托公司网络安全处置能力,协助管理部门处置各类安全事件,为用户实现了全场景、
高精度、高处置的“全天候、全方位感知网络安全态势”能力。
(3)安全工具类产品
随着国家政策法规对网络安全要求的提升以及信息技术的高速发展,国家监管部门在新的业
务场景和垂直领域中的需求不断更新,公司开发并快速迭代了一系列行业创新应用类产品,满足
监管部门的特定需求,维护国家网络安全。安全工具类产品包括:流量监测类产品、数据分析类
产品、业务支撑类产品、安全辅助类产品等。
以“发现-分析-还原-定位”为整体解决思路,对网络流量数据进行实时捕获分析,依托于多样化
的协议的破解与解析技术,为监管类用户提供高效的监测预警平台,帮助监管类用户及时发现网
络犯罪分子的不法行动,为监管部门维护国家网络安全、建设稳定的网络安全环境提供有力的支
持。
分析、人脉分析、碰撞分析等大数据分析技术,保证各种数据处理的准确性。通过预先设定的事
件处理拓扑,可以快速搭建事件处理流程。数据分析产品使用实时关联规则引擎,所有事件处理
完成后将汇总进入规则引擎入口,结合日志数据、流量数据等分析数据流中的异常,及时发现网
络违法线索,为监管类用户进一步打击网络违法活动提供价值分析。
助业务部门实现对日常业务的综合性管理,实现对工作任务流程管理、知识库管理、工作目标安
全管理、业务资源管理、业务态势管理等功能支持,提高业务部门的工作效率和监管水平。
监管部门开展信息采集、网络调查、业务分析、网络取证提供支撑和保障,为监管部门提供全方
位、体系化的安全辅助支撑。
(4)安全防护系列服务
随着网络安全形势愈发严峻,政府、企业用户对网络安全保障需求不断提升,我国网络安全
市场正从产品市场不断向服务市场扩展,安全服务是网络安全市场一个重要分支。网络安全相关
法规对政府、企业等关键信息基础设施运营单位明确提出了开展安全检测、安全测评、安全演练
的相关要求,规定了等级保护制度安全措施的基线要求并赋予强制力。随着法规和标准的实施,
网络安全服务市场快速增长,成为网络安全产业中一个重要的细分领域。
公司基于自身对网络攻防和各行业网络安全风险场景的深刻理解,以高效、实效提升用户安
全防御水平为目标,向用户提供安全检测与评估、安全咨询、安全运维与分析处置以及安全能力
建设与评估等方面服务,具体内容如下:
服务 服务
服务内容
类别 分项
安全服务人员参照网络安全风险评估规范以及相关网络安全国家和行业标
准,对企事业单位的业务系统网络安全防护,主机的访问控制、身份识别,
风险评
应用的逻辑安全、数据库安全,管理制度等方面进行安全评估,分析可能面
估服务
临的安全威胁和存在的脆弱性,并结合评估现状编写评估报告和整改建议,
可有效发现可能存在的安全漏洞和安全风险。
安全服务人员通过公司专业的安全众测服务平台,以远程方式对授权系统目
安全众 标进行漏洞发现,并通过人工验证方式,对发现的 Web 应用漏洞、主机操作
测服务 系统漏洞、数据库漏洞、弱口令、信息泄露等各种类型漏洞进行验证,查找
发现系统可能存在的安全漏洞和安全隐患。
安全服务人员通过公司专业的安服管控平台(远程)或现场方式,在不影响
安全检
渗透测 授权单位业务系统正常使用的前提下,借助专业工具和技术手段对授权业务
测与评
试服务 系统开展渗透检测,查找发现系统存在的安全漏洞,验证系统遭受攻击后可
估
能造成的破坏影响程度,并提供精准的系统漏洞风险报告和修复建议。
行业专 面向行业监管单位及电力、金融、通讯、交通、政府部委等各大型企事业单
项安全 位的关键基础信息系统,组织安全可靠并了解行业业务特点的专项专业技术
检测 人员,对行业客户关键基础信息系统进行专项安全检测。
APP 安 安全服务人员对 APP 客户端程序软件权限、数据安全性、通讯安全性、安装
全检测 与卸载安全性、人机交互安全性等各个层面进行安全测试、检查,全面发现
服务 Android、iOS 系统的 APP 应用程序可能存在的安全缺陷。
安全服务人员通过专业的审计工具和人工审查的组合审计方式对系统的源代
代码审
码和软件架构的安全性、可靠性进行全面的安全检查,挖掘系统代码中存在
计服务
的安全缺陷及规范性缺陷;查找、发现系统软件中逻辑性错误和潜在的安全
漏洞,并提供代码修订措施和建议。
网络安
安全咨询服务人员采用现场的方式,对企事业单位的现有业务信息化系统应
全防护
用对象、网络安全能力、网络安全管理制度开展差距调研和分析,以安全管
体系规
理专家视角从管理、技术、运行等方面,结合网络安全管理规范和技术防护
划设计
安全咨 要求,为企事业用户提供综合的网络安全防御与运行体系建议。
服务
询
安全咨询服务人员采用现场的方式,基于国家网络安全等级保护 2.0 标准,按
合规性
照网络安全等级保护基本要求,对企事业单位的系统进行合规性要求项的调
建设咨
研、分析,查找差距和不足,并依据调研结果编写差距分析报告和安全整改
询服务
建议方案,协助完成等级保护测评建设实施。
安全服务人员通过现场或远程的方式,依据前期安全检测中发现的问题和整
安全加 改建议,在授权许可条件下,通过技术手段对存在安全风险的主机系统、数
固服务 据库、中间件等系统进行修改和优化安全策略、系统漏洞和软件升级更新,
提高信息系统的安全性和抗攻击能力。
专业安全服务人员通过现场方式,利用专用安全工具,结合威胁情报数据和
事件分
专业知识,对可能存在被攻击的应用系统进行技术处理,查找系统存留的攻
析评估
击者痕迹,发现正在发生或已经发生的攻击行为,并通过对攻击手段评估可
服务
能造成的后果和不良影响。
专业安全人员利用专业安全工具,结合威胁情报库和专业知识,对攻击事件
追踪溯 源地址进行追踪定位、查找定位攻击者,通过追踪溯源服务,可以准确识别
源服务 安全事件的攻击源地址、路径和方式等信息,帮助客户实施针对性的防护策
安全运 略,阻止网络攻击行为。
维与分 当客户信息系统发生安全事件时,专业安全服务人员通过对安全事件分析判
析处置 应急响 断,提出解决方案,并在许可条件下对安全事件实施抑制、排除安全事件,
应服务 控制事件对系统造成的影响,协助客户查找安全事件的根源,防止后续同类
事件的发生。
在国家举办重要活动、会议时期,组织专业安全队伍和专业设备,协助客户
共同保障信息系统安全,安全重保服务根据服务可划分为防御准备阶段和积
安全重 极防御阶段两阶段,其中,防御准备阶段是在安全重保前期对客户网络安全
保服务 体系开展前置检测、验证和纵深防御规划;积极防御阶段是安全重保时期,
安全服务人员驻守客户现场,对网络安全事件监控、处置、分析和取证,阻
止网络入侵行为,协助用户共同组织安全事件评估分析和报告。
行业协 面向电力、通讯、金融、交通等国家重要行业单位,在特殊安全保障时期,
防值守 基于行业特殊需求和实际情况,组织具有了解行业业务特点和网络安全专业
服务 技术人员,在特殊时期为行业客户提供可持续运营协防保障服务。
人员能 依托“人是安全的核心”的主导思想,结合公司在网络安全人才培养积累的
力评估 丰富经验,通过专业的人才培训评价系统和专业讲师的分析报告,对客户的
画像服 网络安全人才开展能力综合评价,准确客观对参评人员安全能力全方位画像,
安全能
务 为客户网络安全人才梯队组建和考评提供参考依据。
力建设
行业专
与评估 衔接行业特点,针对内部专业梯队,分层次分类别通过提供架构优化、评价
业梯队
体系优化,提供标准训练设施,开展实战化特训,制定行业化内容体系等服
安全能
务,为行业用户,持续提升专业梯队能力。
力建设
服务
面向行业监管单位及电力、金融、通讯、交通、政府部委等各大型企事业单
攻防演 位,组织开展“真攻真防”的攻防演习活动,参与演习的队伍通过公司专业
习服务 攻防演习平台对目标单位开展渗透检测,通过攻防演习可以深入评估目标单
位的安全防护的短板,检验已有安全防御体系的有效性及应急协同处置能力。
(5)网络安全竞赛服务
网络安全技术是一项注重实战的技术,在国家各行各业网络安全人才严重紧缺的今天,如何
高效完成网络空间安全人才的培养和考核成为一个急需解决的问题。2019 年 5 月,美国总统签署
了一项行政令,要求举办新总统杯网络安全竞赛,为政府选拔出国家顶级网络安全人才。近年来
我国相关部门也出台了有关政策,支持和规范网络安全竞赛发展。
永信至诚自 2014 年开始一直致力于国内网络安全赛事运营,推动了安全赛事从小到大,从企
业到集团,从集团到行业,从地区到全国的发展,并带动不同产业网络安全人才选拔、训练、评
价体系的建立。公司网络安全赛事运营服务包括竞赛平台开发、竞赛题目定制开发、竞赛效果呈
现、赛事组织管理、竞赛裁判服务、赛事方案设计等;竞赛平台包括线上竞赛平台和线下竞赛平
台,支持个人赛和团体赛,除了支持目前国际主流的夺旗赛(CTF)、攻防赛(AWD)外,还开创性
发展了靶场赛(ISW)、人工智能网络安全竞赛(RHG)、共同防御、实景防御赛(RDG)等多种竞技
模式。
随着公司多年来对国家主管单位和各部委进行的网络安全赛事市场普及教育和推广,自 2019
年起,赛事从一个网络安全盛会中可有可无的配套活动,变成了重大网络安全活动中的重点项目,
行业人才培养、选拔、评价的重要手段,高校学科教育和人才评价的重要配套,以及地方政府招
商引资、产业建设的重点工程。并伴随着比赛,衍生出赛前培训、赛后复盘、实践人才培养体系、
等级化能力考核、日常实训、靶场建设、仿真场景演练、产品测试、公务员选拔等多场景需求,
逐渐形成广泛而增长迅速的市场。
(6)其他服务
其他服务主要包括线上安全培训、线下安全培训。
公司线上安全培训服务主要通过 i 春秋实训平台开展,该平台是自主研发的服务平台,其主
要功能是为政企用户、个人用户提供在线网络安全实验环境。针对网络安全学习需要进行实践的
特点,设计了“知识讲解-实验模拟-在线测试-效能评估”的整套网络安全实训体系,积极构建了
“培训-选拔-认证-输送四位一体,线上线下相结合”的实战型网络安全人才培养体系,为学习者
提供有效成长路径。
i 春秋实训平台以互联网门户网站形式展现,目前其注册用户超过 80 万名,课程超过 300 门。
此外,平台建立了包含百度、阿里、腾讯、京东等八十多家互联网公司入驻的自有品牌 SRC 部落,
形成了国内有重要影响力的网络安全社区,提升了公司在网络安全领域的影响力、知名度。
线下安全培训分为线下培训就业班、线下培训定制班和国家网络安全技术认证班三种类型。
线下培训就业班以渗透测试工程和网络安全攻防工程师培训为主,培训周期各 16 周。
线下培训定制班主要服务于政府部门、各大企事业单位、学校等,针对于网络安全技术和网
络安全大赛技术为主要培训方向,培训周期从 3 天至 30 天均可定制。并可以根据用户的技术人员
水平、技术方向、技术层次等重要指标来定制化课程,满足各技术业务岗,各技术层次人员的培
训需求。网络安全技术认证班主要以培训及考取国家网络安全技术人员认证为主,是中国信息安
全测评中心、网络安全技术审查与认证中心和公安部授权的培训机构。
(二) 主要经营模式
公司盈利主要来源于向客户销售自主研发的网络安全产品,以及向客户提供网络安全服务。
网络靶场系列产品、安全管控与蜜罐产品、安全防护系列服务和网络安全竞赛服务主要面向政企
类客户,安全工具类产品主要面向政府监管部门,其他服务主要面向个人和企事业单位。公司为
客户提供网络安全产品和网络安全服务的形式一般体现出项目制特征。
网络安全竞赛服务及线上线下培训服务是公司业务的流量入口,不仅能够积累行业化经验、
储备安全人才,同时提升了公司影响力及行业地位。公司 i 春秋实训平台是国内著名的网络安全
实训平台,累计注册人数超过 80 万。目前公司已与国内多所大学、高等职业教育院校在网络安全
教学与实践方面建立合作。公司通过 450+场、十余个行业的竞赛服务不断完善及迭代网络靶场,
积累了具有行业特性的网络场景,逐步建立起公司网络靶场产品的技术壁垒及行业场景壁垒,增
强公司产品的核心竞争力。
网络靶场是公司的核心,是网络安全人才培养不可或缺的产品体系。网络靶场是用户网络安
全保障重要的基础设施,其核心技术还为蜜罐产品奠定了技术基础,创造了技术壁垒。蜜罐产品
是对传统网络安全产品的有效补充,并结合欺骗式防御能力及网络攻防对抗能力,推动了公司态
势感知产品的发展,进而形成了公司安全管控与蜜罐产品体系。
安全管控与蜜罐平台发现的大量网络安全事件需要处置,网络安全人才、网络安全工具以及
专业安全防护服务为事件处置提供运营和支持。
网络安全竞赛服务、线上线下培训服务、网络靶场系列产品、安全管控与蜜罐产品、网络安
全工具、安全防护系列服务,形成了公司网络安全产品服务体系生态链条。在业务上既可独立销
售,又相互补充、相互促进、相互带动,在技术上同根同源、模块共用、交互迭代。
公司采取的是“标品化研发+定向二次研发”的模式,公司始终坚持自主研发的研发模式,核
心产品、核心技术通过自主研发取得。公司产品的底层技术为网络空间平行仿真和网络攻防对抗
技术,公司自建研发体系持续进行网络空间平行仿真和网络攻防对抗等技术的研发,形成了标准
化的产品体系和功能模块,并取得了相关的发明专利、软件著作权等自主知识产权。
公司产品研发以客户为中心,以市场需求为导向,公司主要产品线均有相应的研发团队支持,
确保了研发方向符合客户和市场需求。通过销售部门、市场部门、研发部门、质量部门的整体协
作,形成了技术储备、产品定义、技术攻关、验收测试、推广应用、产品迭代的全生命周期的研
发架构。
公司在大的产品研发控制上采用项目管理开发模式,利用项目生命周期方法论,结合公司项
目执行的实际情况,从项目的启动过程、计划过程、执行过程、控制过程以及收尾过程出发,以
项目各过程组的成果输出为导向,制定了《项目管理规范》并持续运行、迭代。
公司在研发团队内部推行 IPD 开发模式,明确地划分为概念、计划、开发、验证、发布、生
命周期管理等六个阶段,并且在流程中有定义清晰的决策评审点,立足于产品的市场定位及盈利
情况,动态调整产品开发策略。研制过程中,结合公司内部的项目管理流程,从项目的启动、计
划、执行、控制以及收尾等维度保障产品价值的持续输出,在保证产品成果交付质量的同时,运
用各种工具和激励策略,实现整个产品研发过程的可视化和精准可控。
公司对外采购范围包括硬件、软件、服务三大类。对外采购的硬件主要用于公司软件的载体,
包括服务器、计算机、网络设备等。对外采购的软件主要包含操作系统、数据库及专用软件产品
等项目中非公司核心技术的软件。对外采购的服务主要用于为客户提供公司非关键岗位和环节的
相关服务。由于公司业务一般体现为项目制特征,公司采购通常亦是跟随不同项目的具体需求进
行采购。
公司制定了采购相关管理制度等规范采购行为,需求部门提出采购申请后,由商务部负责采
购的执行。商务部负责建立合格供应商名录,定期对供应商的货物品质、交货期限、价格、服务、
信誉等进行评价,为公司采购业务优选供应商。最终公司主要通过招标、询比价、议价谈判等市
场化方式进行采购。针对部分项目采购,如果客户有明确要求,则会根据客户的要求进行采购。
公司网络安全产品主要形态是纯软件或软硬件结合产品。硬件为服务器、计算机、网络设备
等,通过对外采购方式获得。软件分为定制开发软件和标准化软件产品。公司软件产品生产的具
体情况如下:
(1)标准化软件产品
公司市场部门根据市场中的热点方向,以及在为客户服务过程中发现新的客户需求,形成市
场需求报告。研发部门在此基础上判断技术可行性。如技术上可行,则形成内部业务需求,经公
司管理层审核通过后,确定产品研发需求,并对研发部门提出研发任务。研发部门则根据产品需
求文档和设计文档进行产品研发,并最终形成标准化软件产品。
(2)定制化软件产品
公司在开发客户或服务客户过程中,如果客户对公司现有产品提出新的技术要求或功能要求
的,业务部门则根据客户需求形成业务需求,经公司管理层审批后,由研发部门进行实施。实施
过程中,研发部门、业务部门与客户不断进行沟通和互动,获得及时反馈,并不断对产品进行优
化,最终形成定制产品。在定制化产品研发过程中,加强与客户的沟通和互动,获得及时反馈,
把控定制化产品需求和目标,控制需求变更和可能发生的各类风险。
(3)安全服务
公司安全服务部门从技术和业务需求两个生产维度设定安全防护类服务的产品设计。首先依
托对攻防技术的积累,根据网络空间安全的技术类型设定和市场共性需求,初步设计出安全防护
类服务的服务类型;在为客户提供服务的过程中,根据行业客户的共性需求和自身技术积累,提
交需求说明,进行产品设计优化,进行细分服务类型的二次开发和升级;在服务实施过程中,收
集客户反馈和建议,对于服务质量和流程进行管控。在安全防护类服务的生产过程中,公司始终
以客户需求为核心,以自身技术优势为基础,打造有市场、高能效的安全服务产品。
公司为客户提供网络安全产品和网络安全服务一般体现为项目制特征。公司产品销售和服务
以直销为主,非直接销售为辅,非直接销售指通过集成商等销售给终端用户,集成商通过招投标、
竞争性谈判或单一来源等方式获取最终客户的商业机会后,向公司采购安全产品或服务并交付给
终端用户。
公司将客户按行业分布及地域分布进行分类,公司总部或各地子公司、分支机构,通过销售
人员直接接触客户,了解客户需求,根据客户实际情况引导和推荐相应解决方案,为客户直接提
供产品或服务。
公司通常以“项目制”形式为客户提供产品和服务,公司主要通过参与客户组织的招投标、
竞争性谈判或客户的单一来源采购等方式取得项目合同,公司获取项目合同后实施合同,经客户
验收通过后出具验收文件。此外,为进一步拓展新客户和新市场,对于部分成熟产品,公司还采
用试用推广模式,即先将成熟产品提供给最终客户试用,通过产品试用发展新客户。
(三) 所处行业情况
(1)全球网络安全行业发展概况
近年来,全球重大网络安全事件频繁发生,严重威胁各国的经济发展和社会的安全稳定,
“棱
镜门”
、RSA 后门、Intel 芯片安全漏洞、WannaCry 勒索软件、Facebook 用户数据泄漏等安全事件
引起了全球各界对网络安全的高度重视。此外,随着网络空间安全形势快速变化,国家级博弈更
为突出、攻防对抗更为激烈、数字经济安全保障要求不断提升。
主要发达国家均加大网络安全领域的投入力度、细化和调整网络安全相关政策和法规要求,
在网络空间主导权、话语权方面争夺更加激烈。2017 年 6 月,在联合国信息安全政府专家组会议
上,美国及其盟友力图将《武装冲突法》引入网络空间,与其他国家分歧严重。2017 年,根据美
国总统指示,美国国防部将网络司令部升级为一级联合作战司令部,成为美军第十个联合作战司
令部,地位与美国中央司令部等主要作战司令部持平。2018 年以来,美国在国土安全部设立一个
新的网络安全机构“网络安全与基础设施保护局”,将网络安全预算大幅增加至 300 亿美元,并通
过了《提升关键基础设施网络安全的框架》
《网络安全战略》等一系列文件;英国《国家网络安全
战略》
(2016-2021)提出,英国政府将投入 19 亿英镑强化网络安全能力;2018 年 9 月,德国宣
布未来五年投入 2 亿欧元组建网络安全与关键技术创新局,机构定位类似于 DARPA(美国国防部
先进研究项目局),主要致力于推动网络安全技术创新。
根据 2015 年 4 月人民网转发的中国军网的文章《美国网络“曼哈顿计划”》,早在 2008 年,
美军就启动了被称为新世纪网络安全 “曼哈顿计划”的国家网络靶场建设,为美国国防部模拟真
实的网络攻防作战提供虚拟环境。
在未来的 10 年中,赢得订单的公司将为军方网络任务部队提供事件规划和执行、场地安全、信息
技术管理以及靶场现代化和作战支持,同时通过测试、规划和系列活动来支持国家网络靶场综合
设施的运行。总体上,该合同的主要目标是为其国家网络靶场综合设施提供 IT 服务。
美国建设国家网络靶场引起了各国高度重视。英、德、俄、日、韩等国借鉴美国经验,建设
了同类项目,作为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。
(2)我国网络安全行业发展概况
《IDC Market Forecast:中国网络安全市场预测,2022-2026》报告显示,2021 年,中国
网络安全市场总投资规模为 122 亿美元,其中安全硬件产品投入达到 47 亿美元,占总体投入的
元,占总体投入的 26%。IDC 最新数据显示,到 2026 年,我国网络安全支出规模预计接近 288.6
亿美元,五年复合增长率将达到 18.8%,增速位列全球第一。从行业维度来看,到 2026 年,政府、
金融、运营商仍将引领整体网络安全行业支出。
根据工信部发布《网络安全产业高质量发展三年行动计划(2021-2023 年)
(征求意见稿)》
中提出,到 2023 年,电信等重点行业网络安全投入占信息化投入比例达 10%。2023 年网络安全产
业规模超过 2,500 亿元。
我国互联网规模和用户规模均居世界第一,但核心技术与关键资源依赖国外产品情况严重,
勒索病毒、网络攻击、信息窃取等事件呈多发态势,我国面临的境外网络攻击和威胁越发严重,
网络靶场是保障网络安全的重要基础设施。我国网络靶场建设目前处于起步阶段。在国家网络靶
场建设方面,无论从靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,
与欧美国家相比,我国都还存在着一定差距。
(以下简称“重
点任务”)
,面向全国电力单位,对 2023 年度电力安全工作进行详细部署,旨在确保电力系统安
全稳定运行和电力可靠供应。在重点任务中,明确要求“推进国家级电力网络安全靶场建设”,
并强调安全风险评估、攻防演练、教育培训等内容。
随着国家和社会不断加大对网络靶场的投入,贵阳启动大数据网络安全靶场建设、鹏城实验
室成立、公司作为第一完成人的“基于平行仿真的大规模网络靶场构建技术及应用”项目荣获 2019
年度北京市科学技术奖(科学技术进步奖)一等奖,以及“网鼎杯”、“强网杯”等国家级重要赛
事的持续成功举办,推动网络靶场行业迅速发展。
公司核心团队主要成员是国内最早的一批网络安全技术专家,均拥有多年的专业网络安全从
业经历。公司拥有自主知识产权的网络安全产品以及专业的安全技术研究和服务团队。公司参与
起草或修订三项网络安全国家标准。
作为网络靶场领军者,公司自主研发的网络安全实验室靶场平台获得国家计算机网络应急技
术处理协调中心 2018 年网络安全创新产品(技术)一等奖,同时获得中国信息安全测评中心 2018
年度中国信息安全产业优秀创新型产品解决方案。2018 年 10 月 25 日,中科合创(北京)科技成
果评价中心组织院士等专家对公司的“城市网络靶场构建技术及应用”进行集中评定,认定“该
项目达到国内领先水平”
。公司作为第一完成人的“基于平行仿真的大规模网络靶场构建技术及应
用”项目荣获 2019 年度北京市科学技术奖(科学技术进步奖)一等奖。2022 年 9 月支撑了某头
部电力企业国家级电力网络安全靶场建设。2022 年 9 月与合肥高新区就“建设网络空间安全数字
风洞研发运营中心”进行合作,助力“中国安全谷”建设。2022 年 11 月,公司“数字风洞”产
品体系战略发布,开启网络安全测试评估专业赛道。
公司拥有专业的攻防技术团队。KRLab 团队专注于网络安全创新技术及攻防技术研究,研究
内容覆盖操作系统安全技术研究、机器学习与自动化技术研究、Web 安全与渗透测试、移动端恶
意软件分析、网络蜜罐捕获技术研究等方向。2016 年至今,公司团队连续多年参加由公安部主办
的国家级网络安全实战攻防演习,曾连续三年荣获企业队第一名。
公司承担了一系列重要国家级的网络安全保障工作,包括:
“二十大”
、全国两会、建党百年、
世界互联网大会乌镇峰会、
“一带一路”国际合作高峰论坛、博鳌亚洲论坛、G20 杭州峰会等。同
时公司还建成了网络空间安全智能仿真和众测关键技术与服务北京市工程实验室。此外,公司也
是国家网络与信息安全信息通报机制技术支持单位、国家重大活动网络安全保卫技术支持单位、
国家信息安全漏洞库技术支撑单位、中国工程院咨询研究项目依托单位。
公司自成立以来,支撑中央网信办、工信部、公安部、科技部、教育部、卫健委、国税总局
等部委和单位主办或指导的超过 450+场网络安全演练,超过 58 万人次。公司支持了国内一系列
具有巨大影响力的网络安全赛事:如国家行业主管部门级的 “网鼎杯”网络安全大赛(公安部)、
“强网杯”全国网络安全挑战赛(中央网信办、信息工程大学)、
“护网杯”中国工业互联网技术
技能大赛(工信部)、
“陇剑杯”网络安全大赛(公安部)、
“全国大学生信息安全竞赛”
(教育部)、
全国卫生健康行业网络安全技能大赛(卫健委)以及聚焦数据安全领域的国家级赛事“首届数据
安全大赛”等;地方知名赛事品牌:
“巅峰极客”网络安全技能挑战赛(成都网信办)、红帽杯(广
东省)
、东华杯(上海市)
、祥云杯(吉林省)
,以及世界级网络安全竞赛“DEF CON CHINA”中的
BCTF 国际网络安全技术对抗赛、RHG 国际机器人网络安全大赛等。
根据 IDC《中国网络安全实训演练测试平台市场份额,2021:高歌猛进,快速发展》研究报
告显示,永信至诚凭借春秋云境网络靶场产品,以 20.4%的市场份额位居第一名;数世咨询发布
《数字靶场能力点阵图 2022》显示,永信至诚春秋云境网络靶场在应用创新力和市场执行力维度
均位列行业第一。
公司行业地位连续多年处于领先水平,预计未来一段时间,公司行业地位仍不会发生重大变
化。
作为数字经济时代的基础及战略性资源,数据安全得到国家及各行业的关注。近年来,
《数据
安全法》
《个人信息保护法》《关键信息基础设施安全保护条例》和《数据出境安全评估办法》等
数据安全相关法律法规相继出台、实施。与此同时,中共中央、国务院印发《数字中国建设整体
布局规划》
,强调要增强数据安全保障能力。十四届全国人大一次会议表决通过了组建国家数据局
的决定,再次肯定了数据资源在国家发展战略中的重要地位。
随着数字经济的高速发展,网络和数据安全作为经济发展的关键基座,迎来了前所未见的机
遇与挑战。一方面,近年来我国网络安全、数据安全相关法律法规陆续推出,对网络和数据安全
建设工作提出了诸多标准和要求;另一方面,勒索病毒、国家级攻击等网络安全威胁层出不穷,
严重威胁国家安全和社会经济发展。在此情势下,网络和数据安全行业开始由“形式合规”向“实
质合规”加强。
在此背景下,2022 年 11 月 19 日,永信至诚召开“数字风洞”产品体系战略发布会,发布了
面向网络安全测试评估领域的“数字风洞”产品体系,永信至诚作为网络靶场和人才建设领军企
业,再次以“产品乘服务”的价值体系,开启网络安全测试评估专业赛道。
对于网络和数据安全领域来说,需要基于“数字风洞”进行持续性的测试评估。数字风洞强
调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,通过对人、系统、数据、
方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持
续的验证,不断发现安全并消除隐患,直到证明没有问题,解决数据安全最后一公里问题,让用
户获得真正的安全感。
公司将持续助力网络和数据安全由“形式合规”向“实质合规”加强,为公司带来高质量增
长机会,进一步夯实永信至诚网络靶场和人才建设领域的领军地位,跃迁式创新推动安全测试评
估专业赛道发展,为公司整体迈入规模化发展奠定坚实基础。公司致力于成为中国网络空间与数
字时代安全基础设施关键建设者,为我国数字经济安全稳健发展保驾护航。
单位:元 币种:人民币
本年比上年
增减(%)
总资产 1,180,101,785.75 611,803,273.21 92.89 627,808,583.24
归属于上市公司
股东的净资产
营业收入 330,660,339.14 320,165,894.71 3.28 291,641,966.60
归属于上市公司
股东的净利润
归属于上市公司
股东的扣除非经
常性损益的净利
润
经营活动产生的
-17,538,216.66 10,335,691.91 -269.69 96,097,332.37
现金流量净额
加权平均净资产 减少1.59个百分
收益率(%) 点
基本每股收益(元
/股)
稀释每股收益(元
/股)
研发投入占营业 增加3.51个百分
收入的比例(%) 点
单位:元 币种:人民币
第一季度 第二季度 第三季度 第四季度
(1-3 月份) (4-6 月份) (7-9 月份) (10-12 月份)
营业收入 24,206,632.68 46,066,730.96 53,806,816.15 206,580,159.35
归属于上市公司股
-17,166,199.80 -47,004.69 -4,790,951.53 72,807,283.22
东的净利润
归属于上市公司股
东的扣除非经常性 -19,265,789.45 -2,643,101.83 -6,941,135.21 68,698,285.32
损益后的净利润
经营活动产生的现
-30,687,358.44 -12,011,277.91 -18,550,332.76 43,710,752.45
金流量净额
季度数据与已披露定期报告数据差异说明
□适用 √不适用
名股东情况
单位: 股
截至报告期末普通股股东总数(户) 2,739
年度报告披露日前上一月末的普通股股东总 2,396
数(户)
截至报告期末表决权恢复的优先股股东总数 0
(户)
年度报告披露日前上一月末表决权恢复的优 0
先股股东总数(户)
截至报告期末持有特别表决权股份的股东总 0
数(户)
年度报告披露日前上一月末持有特别表决权 0
股份的股东总数(户)
前十名股东持股情况
股东名称 报告期内 期末持股 比例 持有有限 包含转融 质押、标记 股东
(全称) 增减 数量 (%) 售条件股 通借出股 或冻结情况 性质
份数量 份的限售
股份数量 股份
数量
状态
境内
蔡晶晶 0 16,267,000 34.74 16,267,000 16,267,000 无 - 自然
人
境内
陈俊 0 7,509,000 16.03 7,509,000 7,509,000 无 - 自然
人
奇安(北京)投
资管理有限公
司-北京奇安
创业投资合伙
企业(有限合
伙)
北京熙诚金睿
股权投资基金
管理有限公司
-北京新动力
股权投资基金
(有限合伙)
境内
北京启明星辰
非国
信息安全技术 0 1,428,000 3.05 1,428,000 1,428,000 无 -
有法
有限公司
人
国信证券-招
商银行-国信
证券永信至诚
员工参与战略
配售集合资产
管理计划
境内
冯亚 737,282 737,282 1.57 0 0 无 - 自然
人
交通银行股份
有限公司-易
方达科讯混合 632,380 632,380 1.35 0 0 无 - 其他
型证券投资基
金
中国建设银行
股份有限公司
-博时军工主 542,408 542,408 1.16 0 0 无 - 其他
题股票型证券
投资基金
浙江赛智伯乐
股权投资管理
有限公司-杭
州同心众创投
资合伙企业(有
限合伙)
上述股东关联关系或一致行动的说明 1、截至本报告披露之日,公司前十名有限售条件
股东中,蔡晶晶与陈俊为一致行动人,蔡晶晶直接
持有公司 34.7353%股份,通过信安春秋支配公司
一起支配公司 16.0341%股份;除此之外,公司未知
上述股东间存在其他关联关系或一致行动。2、公
司未知无限售流通股股东之间是否存在关联关系
或一致行动的说明。
表决权恢复的优先股股东及持股数量的说明 无
存托凭证持有人情况
□适用 √不适用
截至报告期末表决权数量前十名股东情况表
□适用 √不适用
√适用 □不适用
√适用 □不适用
□适用 √不适用
□适用 √不适用
第三节 重要事项
公司经营情况有重大影响和预计未来会有重大影响的事项。
报告期内,公司实现营业收入 33,066.03 万元,比上年同期增长 3.28%;实现归属于上市公
司股东的净利润 5,080.31 万元,比上年同期增长 7.93%;归属于上市公司股东的扣除非经常性损
益后的净利润 3,984.83 万元,比上年同期增长 8.98%。
止上市情形的原因。
□适用 √不适用