奇安信:奇安信科技集团股份有限公司投资者关系活动记录表2024-003

证券代码：688561 证券简称：奇安信
奇安信科技集团股份有限公司
投资者关系活动记录表
编号：2024-003
 特定对象调研 分析师会议 媒体采访 现场参观
投资者关系活动类
业绩说明会 路演活动 一对一沟通
别
新闻发布会 其他
参与单位及人员 本次参会机构共 145 家，参会人员 177 人，具体名单详见文后附录
时间 2024 年 7 月 19 日 20 点 30 分- 21 点 30 分；7 月 21 日 14 点 30 分-15 点 30 分
方式 线上会议
接待人员 奇安信终端安全 BG 总经理张庭先生，董事会秘书徐文杰先生
背景：2024 年 7 月 19 日，全球微软 Windows 出现大面积蓝屏死机。针对这一突发
的网络安全事件，公司于 7 月 19 日、7 月 21 日分别接待了投资者的线上调研。
公司管理层与投资者问答互动：
问题1、 本次微软 Windows 大规模蓝屏事件的背后原因？
答：主要原因是 CrowdStrike 的终端安全产品更新导致的驱动程序兼容性问题，此
次事件是近年来波及范围最广的 IT 事件之一。事件的核心原因据我们了解包括：1）
投资者交流 CrowdStrike 在更新测试上的不充分；2）直接进行全球范围的推送，导致影响范围极大。
主要内容介绍 更新的驱动程序与操作系统内核的兼容性问题是蓝屏现象的直接原因。
本次事件影响面巨大，涉及多个国家和行业，包括交通、金融、医疗、零售等。恢复
难度极大，需要手动将每台受影响的终端电脑启动到安全模式，删除错误的驱动配置文
件，再重新启动系统。事件导致全球范围内的终端设备出现问题，恢复过程复杂且无法
自动化，需要人工逐台进行修复，工程量巨大。
问题2、 从网安厂商和政企用户自身角度，怎么避免和防范大规模蓝屏此类安全问
题？
答：对网安厂商来说，（1）产品发布或更新前内部的充分测试是至关重要的；（2）即使测试无法检测出所有的问题，也可以凭借灰度更新机制控制升级和发布的节奏，这一关键的流程也能够进行补救。
对政企用户来说，网安产品和系统具体如何发挥作用，并不是所有用户能直接感知的。用户要防范类似的意外，自身要做好产品的灰度升级，对升级要做一定的控制。这次事件给也用户警醒，安全软件自身必须做到“零事故”。
问题3、 如何理解产品升级或更新中的灰度控制？
答：在网安厂商层面，通常来说在发布产品之前，会先进行灰度测试，即在产品推广到 70%-80%后确定没问题后，再向全网推广。
对于用户层面，大部分升级用户也可以选择进行测试，测试后再选择全客户端升级。这次事件应该是是在厂商灰度测试或者用户升级测试方面出了一定的问题。
问题4、 国内并没有出现大面积的蓝屏现象，有零星报道但仅以外企为主，原因是什么？本次事件对国内网安产业以及奇安信会带来哪些深远的影响？
答：中国市场受这次事件影响比较小，核心点在于中国市场大多数政企用户在安全产品上使用的是国产厂商提供的产品，充分体现了国家一直在推行的 IT 软硬件国产化替代的重要性。事件对网安产业以及奇安信的影响，体现在以下几个方面：
1）政企用户将对安全软件提出更高要求，不仅要保障网络安全和数据安全，还要确保安全软件自身的稳定可靠运行。
2）如果用户对升级没有管控能力，那这个能力一旦被反向利用，会带来更加严重的危害。因此预计国内会加强对网络安全行业的国产化替代和监管，同时包括操作系统等基础软件，以确保信息与安全均由自身掌控，国内网络安全产业的自主可控生态将得到进一步完善。
3）对奇安信来说，我们在产品和服务上一直追求的“零事故”目标可以给到客户极大的信心。由于本次事件主要发生在终端侧，无论是产品能力、产品质量，以及运营的方法和流程，奇安信都能做到较为成熟和先进，并获得客户的广泛认可。并且，本次事件使
得客户更加重视网络安全的重要性，奇安信的产品已经经过市场的充分检验，客户会更愿意选择这样的产品，从而为奇安信带来更大的市场机会。
问题5、 相较微软 Windows，国产化操作系统厂商与安全软件协作，安全防护效果如何？
答：微软 Windows 作为一个开放的操作系统，尽管近年来对底层驱动层的调用需要微软签名，但应用厂商经过认证后仍然可以获得几乎与操作系统相同的权限。相比之下，国内的国产操作系统在权限控制上更严格，安全厂商与操作系统厂商协作，将所需权限封装在操作系统底层，直接提供给安全软件，减少了安全厂商与内核的联动，从而降低大规模事件的概率。
我国在安全厂商与国产操作系统厂商结合方面较微软更为顺畅，一是因为国家的发展战略，二是因为国内操作系统厂商对于网络安全非常重视，所以我国偏向于操作系统底层的设计，而国外厂商偏向于对操作系统做更多的围堵和修补。从这个层面上说，国产化安全软件与操作系统协作，经过一段时间的迭代，整体安全能力和效果能够接近和达到并最终超过国外先进厂商。
问题6、 国内 EDR（终端检测与响应）市场的格局和规模如何？奇安信在这方面的规划和布局是怎样的？
答：EDR 产品虽然不是新概念，但客户需求和使用近两年呈现高速增长趋势，市场处于上升期，未来将有较大的市场增量，这主要得益于一系列攻防实战演练的持续推进。过去几年，攻击手法从直接攻击服务器转向攻击终端，通过钓鱼攻击获取终端控制权，再进行横向移动。传统杀毒软件难以应对这种攻击，需要使用 EDR 产品进行响应和处置。
根据 IDC 报告，奇安信在国内 EDR 市场的占有率位居第一。奇安信还会加大对终端
安全产品的投入，确保在国内 EDR 市场的领先地位。奇安信在网络安全“零事故”的能力和经验方面具有显著优势，并将继续向用户交付“零事故”的结果，确保产品的安全和稳定运行。
问题7、 这次 CrowdStrike 的安全事件是否与 SaaS 安全有关？能否分析下 SaaS 安
全模式的优缺点是什么？
答：本次事件的影响范围广，主要是因为 CrowdStrike 采用了 SaaS 模式。SaaS 的优
点在于能够快速收集样本和网络威胁，在云端进行统一的安全分析和运营，并进行快速
响应。此外，客户无需独立部署服务器，降低了成本，并能快速获取安全能力和情报更
新。然而，其缺点在于客户对云化服务缺乏掌控力，因为更新是由 CrowdStrike 控制中
心决定。
对于国内市场而言，国内对于网络安全和数据安全的要求较高，客户自身也格外重
视，国内政企用户更多采用私有化部署的模式，并且和安全厂商的云进行可控的连接，
以确保能够进行更新。
这次事件并不完全说明 SaaS 模式存在问题。SaaS 的特性是实时更新，CrowdStrike
的服务器和配置更新后，所有客户会第一时间获得更新，这是 SaaS 的基本能力和特性。
如果通过灰度更新机制，可以在一定程度上避免类似问题。国内网安的 SaaS 模式也在发
展，一些客户逐渐接受了这种模式，但私有化部署仍然是主流，尤其是在对业务稳定性
要求较高的领域。未来预计 SaaS 与私有化部署这两种模式将持续并行发展，应用在不同
用户场景中。
问题8、 如何看待奇安信作为国内网安龙头与海外网安龙头公司在技术层面的差
距？
答：从安全能力等技术层面来看，奇安信与海外安全龙头公司是可以掰手腕的，甚
至在某些细分领域优于海外竞争对手。在国际市场竞争中，奇安信通过 POC 和功能性测
试，综合得分高于海外对手，赢得了标杆性的海外项目，并创下中国网络安全企业出海
最大一单，都是具体的例证。
——结束——
附：线上参会机构名单，按所在机构拼音首字母排序
附件清单 机构名称 参会者姓名
（参会机构人员单 安联寰通海外投资基金管理有限公司 王昕
位、姓名） 安信基金 吴俊桥
百川财富（北京）投资管理有限公司 唐琪

百年保险资产管理有限责任公司 许娟娟
北大方正人寿保险有限公司 付丹婷
北京才誉资产管理企业 唐毅
北京诚旸投资有限公司 王鸿灏
北京东方睿石投资管理有限公司 唐谷军
北京鸿道投资管理有限责任公司 方云龙
北京泰合天创投资有限公司 王全合
博时基金管理有限公司 林博鸿
渤海汇金资管 甄兴龙
财通证券股份有限公司 郭琦
财通证券资产管理有限公司 包斅文
成都凯米股权投资基金管理有限公司 刘涛
创金合信基金管理有限公司 尚丹丹
创金合信基金管理有限公司