从下游结构看，多数行业需求待释放。

从需求来看，2020 年网安下游市场营收结构 CR5 约 74%，而全球范围内相应行业网安事件占比约 34%。根据 IDC 的市场规模数据，我们测算，我国 2020 年下游营收 CR5 规模约 61 亿美元。而全球范围内相应行业的市场规模约 465 亿美元，我国占比仅约 13%。

我们认为，随着整体网安产业规模提升，下游 CR5 的行业营收规模有望增长，同时其他下游行业提升潜力巨大。

1.2 中美政策均重视体系防御，我国逐渐细化执行方案

从起步到进攻，顶层战略逐渐主动。美国是最早重视网络安全问题的国家，并且也是最早进行网络安全战略体系构建的国家。美国网络安全战略自诞生至今共经历了五个重要发展阶段，即克林顿时期的战略起步、小布什时期的被动防御、奥巴马时期的主动防御、特朗普时期的积极进攻以及如今的拜登时期。而随着战略推进，CrowdStrike、FireEye、Palo Alto Networks 等企业继续发展壮大。

从战略到执行，美国政策落地有序。

美国将网络安全提高到了国家战略层面，相继发布了《确保网络空间安全的国家战略》、《网络空间国际战略》等战略层面的纲领性文件，同时，在执行层面发布了《促进关键基础设施研究的发展法案》、《关于加强网络安全的行政命令》等文件。

这些文件的发布也反映了美国网络安全发展重心变化：从以关键基础设施防护为主的被动防御到以安全大数据防护为主的主动防御，再到如今以云安全、零信任为主的积极反制进攻阶段。

网安升至战略层面，我国政策落地创造发育环境。

自 2016 年《网络安全法》的颁布将网安提升至法律层面，我国的政策落地节奏逐步加快。

2019 年“等保 2.0”的出台标志着我国网络安全产业的防御手段由被动防御变为主动防御，关注点也从过去分散式、注重数据承载介质转变为体系化、注重数据的全生命周期；2021年《数据安全法》、《个人信息保护法》与《网络安全法》共同构成了网安产业的顶层政策体系，使得企业在安全投入方面有法可依。同年 8 月，《关键信息基础设施安全保护条例》，将实质上提振关键基础设施方面的网安投入。

与此同时，《关于进一步加强新能源汽车企业安全体系建设的指导意见》、《金融数据安全评估规范》、《车联网网络安全和数据安全标准体系建设指南》等实施细则也在逐渐落地。

我们认为，我国战略性政策已初步到位，将来网络安全法规将从执法方式、场景等方向继续细化落地。