Imperva提供的正是数据网络存储与云计算时代的安全防火墙。而这家公司，虽然从成立迄今为止还没有实现一分钱的赢利，却已经准备在纳斯达克上市了。

　　Imperva公司：数据库安全与审计方案的提供商

　　Imperva2002年成立于以色列，目前总部位于美国硅谷，它是全球数据安全领域的技术领导者，提供数据库安全和审计解决方案。

　　Imperva提供名为Secure Sphere的系列数据应用安全产品，为私人、公共和云计算环境数据库提供了领先的数据安全与合规性解决方案。这一系统可以在对用户本身应用系统无影响的情况下，有效地防止针对数据库、重要文件和Web应用程序的黑客入侵和内部窃取，简化了数据合规性审计注1，并且建立了一种可重复流程，以降低数据风险。

　　截至2011年3月31日，Imperva在全球50多个国家拥有超过1300的客户，其中包括全球五大电信公司中的4家，全美五大美国商业银行中的3家，全球五大金融数据服务公司中的3家，五大计算机硬件中的3家，五大食品和药物企业中的2家，以及世界各地的150多个政府机构和100多家财富1000强企业。

　　此外，Imperva通过托管安全服务提供商（“MSSP”）和托管合作伙伴，用基于云计算的安全部署，为数以千计的企业和组织提供数据安全服务。

　　2010年，Imperva的总营业收入为5540万美元，比2009年的3930万增长了41％。但是Imperva尚未实现盈利，2009和2010年的净亏损分别为1230万和1200万美元。

　　行业背景

　　随着信息化的发展，企业内部的重要信息和商业数据应用成为企业信息化的安全关键，如何保证这些企业内部重要信息数据的安全和机密，成为企业需要考虑的一个重大问题。

　　作为企业信息和数据的主要存储库，数据库可能是IT领域最敏感的部分。许多组织已认识到，数据库资源很容易受到外部攻击者利用Web应用程序实施的攻击以及内部员工利用不恰当的权限实施的破坏。客户记录、财务报表以及患者数据都存在风险。数据无时无刻不处在黑客发起的先进、大规模的自动攻击风险中，拥有特权、怀有恶意的内部人士也有可能出于经济收益或个人利益而不正当地使用其访问权限。根据Verizon的2011年数据泄露调查报告，2010年由于内部和外部攻击导致数据破坏的数量，比2009年增加了5.4倍。由于大型数据库积累和存储了大量涉及公共安全和隐私的重要信息，数据安全日益受到严密的监管审查，其严密程度使得任何可行的数据安全解决方案必须要能达到审计和监管要求。数据库安全领域的法律也提出了诸多合规要求，以美国为例，按照萨班斯—奥克斯利法案（SOX）、支付卡行业数据安全标准（PCIDSS）以及其他法律、规范等的要求，企业需要实施数据库安全性审计。

　　此外，由于信息技术行业诉诸于云计算、虚拟化和外包，对开放访问的大型数据中心的安全管理日益复杂，因此覆盖各种部署模式的安全方案已然成为很多组织的关键要求。而传统的安全产品由于不能了解数据库应用的特点，已经被实际证明无法有效的解决这一安全问题。

　　黑客和恶意的内部人员的攻击日益增加、数据合规性的监管增强、云计算时代大型数据中心安全管理的日益复杂，这些挑战，推动了围绕业务数据和数据中心系统保护的新方案的需求。如何控制、保护和监视高价值的业务数据，成为所有信息化企业面对的重要问题，企业迫切需要一套可视性的、有效控制的数据安全解决方案。

　　Imperva的数据安全技术解决方案

　　数以千计世界领先的企业、政府组织和服务提供商都依赖于Imperva解决方案来防止数据泄漏、符合合规性要求以及管理数据风险。

　　Imperva解决方案提供了三个主要的功能：

　　1、数据外泄防范：实时防范以敏感数据为目标的黑客和恶意的内部人士

　　2、监管合规和行业合规：提供速度快、成本效益高的合规路线，实现数据使用、漏洞和访问权限的完全透明化

　　3、数据风险管理：提供能持续、反复地识别和迁移数据风险的流程

　　下面这幅图，说明了Imperva解决方案的主要构成：
 

 注1数据的合规性审计是指确定被审计的数据库是否遵循了特定的法律、规则或程序。越来越多的数据库面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求；而商业银行则面临Basel协议的合规性要求。

　　①数据库（Database）、文件（Files）和Web应用程序（WebApps）

　　这构成了企业信息系统的主要组成部分。其中，用户的绝大多数数据通常都被存储在各种类型的数据库和文件中，而这些数据经常会经由web应用程序而被内部和外部使用者访问。

　　②外部计算机黑客

　　因为绝大多数重要的信息和商业数据可以通过Web应用程序被外部访问，这意味着，组织的敏感数据可能会被全世界的人公开获取。这些数据，例如财务数据、用户数据和其他机密文件，由于潜在的商业、政治和军事价值，可能会遭受来自计算机黑客的蓄意攻击，这一方面的例子已经数不胜数。

　　③内部用户

　　组织内部的用户通常都会拥有对于整个IT系统不同层次的访问权限，不恰当的权限可能导致数据泄露。某些情况下，一些内部人可能会滥用其权限，窃取机密数据并出卖以中饱私囊。在国内市场上，各大互联网公司的用户数据泄露事件已经多次发生。

　　④名为Imperva Secure Sphere的数据安全保护盾

　　Imperva提供了一套针对敏感的Web应用程序、数据库和文件资产的综合型数据安全与合规性解决方案，添加了一层用以防御内外部用户攻击的保护盾。

　　⑤Imperva针对外部威胁的手段

　　1、开启攻击保护，使数据免受已知的和零日漏洞攻击

　　2、提供虚拟补丁，以减少安全漏洞

　　3、实施信誉控制，以阻止恶意访问 　⑥Imperva应对内部访问威胁的手段

　　1、对应用程序和敏感数据的特权访问进行全面审核

　　2、权限管理，取消过度的和不再使用的访问权限

　　3、访问控制，制定访问控制政策并进行责任分离

　　Imperva公司拥有领先行业的技术优势，其CTO被评为“对互联网影响最大的20位杰出人士”之一，为Checkpoint公司创始人。其产品从2005年开始多次荣获IT行业大奖，并多次获得国际评论机构好评。

　　Imperva技术方案的优点在于：

　　在整个实施数据库安全审计部署时对用户数据应用不产生影响；

　　Imperva同国际知名数据应用厂商建立全球合作关系，支持主流数据库产品（IBM/Oracle/Sybase等），提供对数据库应用的安全隐患的扫描功能，保证用户需要的数据安全审计的精确性和完整性，同时可以提供针对数据库的管理的优化功能；

　　对关键信息数据应用系统（数据库和外部网站）实施专业的保护，实现对用户内部和外部的全面保护，防止违规、数据泄密和安全漏洞触发；

　　能够对企业内部的关键敏感数据实时严格的监控和保护；

　　支持云计算环境下的大规模部署和集中管理。

　　应用范围及客户

　　Imperva的Secure Sphere提供对数据应用的准确、全面、高性能的审核和安全防护功能，Imperva公司是世界主流的大型数据库厂商IBM、Oracle、Sybase、Microsoft等的全球合作伙伴。

　　Secure Spher是一个集成化、模块化的安全套件，它提供数据库，文件和网络应用的安全保护，适用于各种系统中所有数据库类型的业务数据，包括传统的内部部署的数据中心，以及私人、公共数据库和云计算环境下的数据中心。

　　为了满足云计算环境的要求，Imperva不仅提供传统的企业产品，而且为服务提供商和云基础设施服务提供大型解决方案，基于云计算的安全服务提供了“按需支付”和低成本、高效率的的网络安全应用。同时，Imperva还为中端市场和小型企业量体裁衣，缩小规模，提供产品和服务选择。

　　Imperva主要应用于金融、电信和网络服务商，服务的客户涵盖各大行业的顶级企业。全球最大的信用卡机构VISA、著名的美国券商史考特集团、美国联邦储备局、IT产业的惠普、Oracle公司、英国电信公司等都是其客户。“财富500强”企业中的大部分企业都在信息化建设中建立了内部应用数据系统的IT审计系统，其中很多都采用了Imperva公司产品。

　　Imperva在中国地区也已经得到相当范围的应用，根据Imperva的资料，其在国内的客户包括清华大学、上海移动、南方电网、首钢集团、携程旅行网、上投摩根基金、东吴基金、深圳国税等。

　　在这里，我们引用一些来自第三方的评价，可能更有助于了解这个系统的作用和在业内的商誉：

　　“Secure Sphere提供给安全部门方便的分析每一个攻击的能力，使我们不断提高安全水平”——以色列财政部

　　“Secure Sphere使得我们可以保护关键的业务基础设施免遭攻击和数据窃取，同时为IT人实时的提供任何异常活动的告警。”——Accor CIO

　　“Secure Sphere帮助我们保护数据库免于攻击、误用、窃取，而同时，不需要不断的调整安全策略，并且提供了数据库和应用的安全”——美国公共养老基金系统

　　Imperva的盈利和运营模式

　　自2002年以来，Imperva一直以保护企业内部的高价值的业务数据为己任。公司长期专注于数据安全产品的开发和创新，以满足客户需求的快速变化。

　　2002年，公司开发了最初的网络应用安全和数据安全产品；2006年，Imperva扩大了其数据库安全产品，包括合规性审计功能；2010年，推出了文件安全产品。

　　此外，为了应对云计算环境下的需求，2010年Imperva推出了名为Threat Radar的云计算基础安全模块，并于2011年，通过控股子公司Incapsula推出了面向中端市场和中小型企业的基于云计算的数据安全解决方案。从2006年到2010年，Imperva的营业收入从1041万美元增长到5538万美元，年均复合增长率高达51.87%。但是Imperva迄今为止仍然处在亏损状态。2008至2010年，归属于Imperva全体股东的净亏损分别为770万、1230万和1200万美元。2011年第一季度，Imperva的亏损为320万美元。截至2011年3月31日，该公司累积亏损赤字为5910万美元。

　　Imperva的主要收入来源于两个部分：产品及许可收入和服务收入。产品和许可收入主要来自于安装在硬件设备或者虚拟设备上的Secure Sphere数据安全套件永久使用许可的销售。服务收入包括产品维护、技术支持，专业服务，培训和技术资料的订阅。其中，服务收入的增长较快。
　　Imperva的收入大部分来自于美洲地区的客户，2010年，总收入的66％来自美洲，24%来自于欧洲、中东和非洲（“EMEA”）地区，10％来自于亚太地区；截至2011年3月31日的第一季度，65％的总收入来自美洲，23％来自EMEA地区，12%来自于亚太地区。 [page]　　支出方面，销售费用占据的比重最大，2010年的销售费用高达3416.8万美元，占到了当年总营业收入的61.8%。研发费用也很可观，截至2011年3月31日，Imperva的研发部门拥有113名员工，其中包括先进安全技术研究组和应用防御技术研究中心（“ADC”）。公司2008到2009年的研发费用分别为860万美元，1050万美元和1320万美元，2011年第一季度的研发费用为390万美元。2010年，研发费用占总收入的23.9%。

Imperva采用一种混合销售模式推广和销售其产品，它结合了公司直销和渠道合作伙伴分销。这些渠道合作伙伴的广泛的销售网络有助于其产品的推广，同时，Imperva也为这些合作伙伴提供销售支持、培训和技术支持。

　　Imperva主要是通过其渠道合作伙伴销售产品和服务。公司的销售网络拥有超过350家全球渠道合作伙伴，包括分销商和经销商。2010年，渠道合作伙伴完成了总销售业绩的90%。Imperva与世界领先的许多安全增值经销商共事，其合作伙伴包括许多全球最大的基于云计算基础的托管服务商。截至2011年3月31日，Imperva在全球50多个国家拥有超过1300个客户。此外，通过合作的托管安全服务提供商（“MSSP”）和托管合作伙伴，Imperva提供的云计算安全方案服务于数以千计的公司和其他各类组织。

　　Imperva的主要竞争对手包括：

　　数据库安全产品：IBM公司（其收购了Guardium公司），McAfee（麦咖啡，知名安全软件开发商）、英特尔公司（其子公司Sentrigo）和Oracle公司（甲骨文，最近收购了Secerno公司）；

　　文件安全产品：EMC公司和Symantec公司；

　　Web应用程序安全产品：Citrix系统公司和F5网络公司。

　　前景与风险

　　根据国际数据公司（IDC）的预测，全球对于IT安全产品的支出将从2010年的38亿美元，增长到2014年的270亿美元。作为云计算网络和数据库安全领域的行业领军企业，Imperva面临着一个巨大的高速成长的市场机遇。

　　对于Imperva的成长前景，鉴于其长期的亏损历史，我们重点从经营性亏损方面分析。之所以选择经营亏损，而不选用净亏损，主要的原因是净亏损受到税收、其他非营业收入、不可控的非经常性损益等会计科目的影响。而经营性亏损额完整的反映了公司的主营业务收入、成本和运营支出的情况。从经营亏损率上来看，Imperva的运营状况在逐步好转，我们看到其亏损率已经从2007年最高的-42.61%降低到了2011年第一季度的-19%左右，亏损比重降低的趋势明显。

　　另外，分析Imperva的毛利润和营业支出费用增长情况。过去五年中，Imperva的毛利润净额平均以50%的增速增长，这一增长趋势还将维持相当长一段时期。同期，Imperva的营业支出净额年均增长速度在45%左右，并且有逐渐减低的趋势，预计将稳定在30%左右。
 
　　在2010年数据的基础上，假如行业背景和企业状况不发生重大的变化，我们预期Imperva可能在2013年左右实现赢利。

　　但是，作为新兴技术行业的显著特点，Imperva的市场前景同时收到公司内部运营和行业变化趋势的影响，尤其是行业环境和技术变迁的影响。综合来讲，面临的风险和不确定性因素包括：

　　Imperva有持续亏损的历史，而其收入、盈利增长存在不确定性

　　Imperva自成立迄今，一直处于亏损状态。这一历史使得我们对公司的盈利前景很难做出准确的预测。2010年，Imperva的净亏损为1200万美元；2011年前三个月，亏损320万美元。截止3月31日，Imperva的累积赤字高达5910万美元，这一数值高于其目前的营业收入总额。假如Imperva不能持续增加收入和有效的管理支出，其盈利预期将变得非常困难。

　　收入增长放缓或收入下降最可能的原因是需求放缓。导致需求放缓的潜在因素很多，例如：对Imperva的产品或服务的竞争加激，经济增长下降导致数据库安全市场的增长放缓，以及Imperva不能有效的引入新的产品和服务等。

　　此外，由于Imperva成立于2002年，最新的基于云地安全服务直到2011年才推出，这有限的历史财务记录和迅速发展的市场运作，使得很难准确的评价其业务前景。

       市场和竞争风险

　　Imperva正处在一个新的，快速发展的行业。作为一个技术变化和竞争相当激烈的新兴行业，数据安全市场的变化迅速而难以预料，很难预测市场需求的变化和机会，例如数据安全市场的规模究竟有多大，客户究竟将采用什么样的产品。

　　目前市场上存在一些其他的安全产品，例如网络防火墙、安全信息和事件管理（“SIEM”）产品或数据丢失防护（“DLP”）解决方案，用户可能认为这些安全解决方案，能够充分保护访问敏感数据。如果客户不承认有利于Imperva的数据安全解决方案，可能导致Imperva的业务蒙受重大的损失。

　　另外，客户需求的变化迅速，相关的法律、监管和自律规定也日新月异，这意味着企业必须频繁推出新产品和增强功能，并且能够紧跟行业软硬件技术标准的发展，与其他通用产品兼容。Imperva能否预测未来的市场需求和机会，及时的改进产品或推出新产品，以满足这种需要，以及这些新产品能否被用户认可，都还是未知数。

　　例如，Imperva通过控股子公司Incapsula提供的基于云的安全服务，运营的历史非常有限，其业绩尚有待市场证明。

　　客户及销售风险

　　由于大型数据库和云计算平台的集中性，Imperva的业绩也严重依赖大客户。这些大客户包括大型公司、托管安全服务提供商和政府机构。针对这些大客户的销售面临许多风险：

　　1、这些客户可能预先存在根深蒂固的安全解决方案供应商，他们与组织内部的决策者关系密切，拥有长期合作，并且也能够提供其他的竞争性的安全产品

　　2、与大客户的购买力相对应，其再谈判中的议价能力更强，能迫使Imperva做出重大利益让步

　　3、大客户的售后服务技术支持合同包括更严格的支持响应时间和更严厉的要求，这将增加Imperva的运营成本

　　4、针对大客户的销售周期更长，而且面临更多的预算限制和审批，合同中要求Imperva承担的风险更大

　　此外，针对政府机构客户的销售还面临额外的风险。过去几年中，美国及其他国家的联邦、州和地方政府机构占据了Imperva客户销售额的相当大部分比例，而且对政府机构客户在未来还会继续增加。针对政府机构的销售面临一些特别的风险。首先，政府订单一般高度竞争、成本高昂并且费时费力，往往需要大量的前期时间和费用，而没有任何销售成功的保证。其次，政府机构对产品和服务付款收到公共预算周期及资金审核的限制，预算拨款减少或者延迟都会对Imperva的运营产生不利影响。另外，绝大多数政府订单都是通过渠道合作伙伴实现的，政府部门与这些分销商和经销商的合同终止会对Imperva的运营产生不利影响。最后，政府机构对采购可能有一些额外条款，比如美国政府采购通常要求某些产品必须在美国生产，Imperva很可能无法满足所有的要求。

　　技术和法律风险
　　
　　数据库安全领域涉及大量的专有技术和知识产权，Imperva的业务在很大程度将取决于能否保护和执行其商业秘密、商标、版权、专利和其他知识产权。截至2011年3月31日，该公司有3个在美国颁发的专利和7个正在申请的美国专利申请，但是这一数字比竞争对手来讲微乎其微。

　　在美国的法律体系下，假如Imperva被牵扯进知识产权争议，漫长而昂贵的诉讼程序将会严重的损害其业务。Imperva在过去曾经遭到过专利侵权诉讼，这样的纠纷在未来会更多。这些诉讼的成本，以及可能的不利的诉讼结果都有可能对经营业绩及财务状况造成重大不利影响。

　　Imperva的产品依赖一些第三方软件和其他知识产权的许可，其产品中还包含了一些第三方开源软件成分。这些都限制了其产品开发和推广的能力。假如Imperva不能获取某一些关键的许可和授权，可能会对其产品的开发和服务产生重大的不利影响。

　　财务和会计风险

　　2008-2010年，Imperva的服务收入占总营业收入的比重分别为24.4%、34.6%和37.7%，这一收入的比重日益增长。但是服务收入的增长收到许多风险因素的影响，包括客户对产品和服务的满意度、价格以及竞争对手提供的产品和服务的价格。

　　此外，按照会计准则，服务收入通常是在服务期限内按比例确认收入，通常的期限为一到三年，甚至有长达五年的情况。这意味着，每个季度的财务报告中，绝大多数收入是几个季度之前签订的合同的递延收入确认。因此，假如某一个季度新订或更新服务合同下降，并不会直接反映在当季的财务报告中，而是对随后的几个季度产生负面影响。这进一步增大了对于Imperva运营状况分析的难度。

　　其他政治风险
　　
　　Imperva的主要研究和开发设施位于以色列。以色列的政治、经济和军事条件可以直接影响Imperva的业务。中东地区的武装冲突和恐怖活动、以色列和巴勒斯坦之间的紧张形势都可能直接影响以色列的国际贸易，并因此直接影响Imperva的业务。某些敌对国家和组织可能会抵制该公司的产品，以色列和美国也可能通过一些限制性的法律禁止Imperva的某些交易，甚至Imperva的一些主管和员工可能需要履行以色列国防军兵役，这些不确定性无法预期，都为公司的运作带来了一些潜在的风险。