1. 工控安全:尚處起步階段,但增長趨勢確定
工業領域的信息安全分為傳統 IT 信息安全與以工控安全為核心的工業信息安全(如無特別說明,下文“工業信息安全”均指此類)。工業信息安全分為產品和服務兩大類,其下又有劃分,具體如下圖:
工控安全是指保護工業控制系統的專用防護方案,按照保護對象可分為功能安全、物理安全、信息安全三種。
我國工控安全行業尚處起步階段,整體規模較小。根據前瞻產業研究院的數據,2017 年我國工控安全市場規模為 3.66 億元,同比增長 16.93%。 
工控安全行業存在較大增長空間,原因為我國工業領域的信息安全以傳統 IT 安全為主,工業信息安 全僅占 10%左右,我們認為此滲透率有望提升,背后邏輯在于:
1)兩化融合的推進,使得傳統工業現場相對封閉可信的制造環境逐漸被打破,以傳統企業安全的防 火墻為主的外建安全效力逐漸降低,內嵌安全需求激增,市場急需新的安全防護方案。從工業信息安全的 發展路徑來看,早期的工業領域處于自動化階段,生產環境相對封閉。工業信息安全作為網絡安全的細分 應用方向,主要集中在工業企業信息管理層的安全。當前,兩化融合進程加速由數字化向網絡化過渡,互 聯網快速滲透到工業領域的各個環節,導致工業控制系統和生產設備的網絡安全風險激增,帶來對內嵌信 息安全功能的產品和服務市場的需求。
2)工業系統的安全防護與傳統 IT 安全思路有著很大不同,專業化的工業信息安全防護方案迎來增長 點。首先是采購與運行部門的分離帶來對解決方案的高要求:在互聯網或企業網中,所保護的對象如服務 器、網絡設備等的管理由IT 部門負責。而工業領域的安全中,一般來說安全也是由IT 部門負責,但設備 則是由另外的部門負責,這就帶來了工控安全產品開發的銷售的一個很大挑戰,需要一個很好的技術與管 理結合的解決方案。其次是工控系統對可持續性的要求:在工控系統安全方案中,客戶對于生產系統的可持續性的要求要大大高于IT 安全的方案。對一些大型工控系統,停一次機的損失就得幾千萬人民幣或者 幾百萬美元,因此很多針對 IT 系統安全的方案比如升級或者補丁等就不一定合適。此外在使用周期等方 面也存在差異。
3)正是由于工業領域的網絡安全與傳統安全的差異,國際工業控制網絡安全防護理念已經由傳統信 息安全廠商所提出的縱深防御體系轉變為由工業控制系統內部生長的持續性防御體系以及以攻為守的國 家防御戰略,而我國工業領域的信息安全仍是以傳統信息安全為主,我國安全防護體系的升級勢在必行。
國際工控網絡安全防護理念經歷了四個階段:第一階段是以隔離為手段的安全防護理念。在我國“工 業化”與“信息化”兩化融合伊始,隔離就成為了企業用戶、集成商、供應商應對工控系統網絡安全的“庇 護傘”。隔離手段在工控系統內有各種實現方式,比較常用的有物理隔離或在系統邊界部署網閘進行隔離, 以隔離為手段的防護理念其風險在于:一旦隔離被連通后,其系統內部的脆弱性就會一覽無遺。
第二階段是縱深防御的安全防護體系。縱深防御這一概念是由 IT 廠商提出的,近年來在學術界、工 業界也一直被提及用于工控系統網絡安全防護。這個理念從信息安全領域自然延伸,有其在網絡安全防護 上的功效與成果,但在工控系統網絡安全防護實施過程中,設備供應商、安全供應商并未解決實際問題。 首先,設備供應商推卸責任。工控設備供應商出于自身利益,缺乏工控安全的基因與動力。其次,安全供 應商偷換概念。其為工廠用戶所建立的縱深防御體系往往會變成信息安全產品的簡單堆砌。工業控制網絡 需要盡可能少的故障點,而部署了大量信息安全產品后,故障點不減反增。在追求穩定性、可用性、實時 性的工業控制網絡中,信息安全產品反而帶來一系列問題。
第三階段是工業控制系統內部生長的持續性防御體系。在經歷了一系列事件后,國外工業控制網絡安 全策略已從“事后免責”轉變為“主動防御”。根據工業控制網絡自身特點,持續性的防御體系需要關注 三點。第一,故障點盡可能要少。這是工控系統與生俱來的需求,因此,安全設備也要符合工控設備的特 點。除了盡量避免多層部署外,安全設備在保護工控系統正常生產運行的同時還要保證即使斷電、設備更 新也能對系統不產生任何影響。第二,防御體系要有可持續性。適應工業控制網絡特點的持續性防御體系 可以通過基礎硬件的創新來實現,使安全防護滿足低延時、高可靠、可定制化、可持續更新、操作與實施 簡易化等特性。第三,主要解決存量系統問題。存量在裝系統的問題,才是真正的與人民生產生活息息相 關的、直面安全威脅的主體。
第四階段是以攻為守的國家戰略。2013 年初,奧巴馬發布了總統令,責 NIC、DHS 等機構對美國所 有的基礎設施進行普查,要求有問題的企業在年底前進行整改,至今效果并不顯著。美國轉而將大量經費 投往攻擊手段的研究上,以攻為守促進整個工控安全技術的進步。不僅是美國,其他各國以攻為守的策略 也大同小異,以色列是以技術公司的形式出現,俄羅斯是通過民間組織在實施。我國近兩年在有關部門的 領導下,建立了多個工業控制系統安全研究實驗室,以高仿真工控系統攻防平臺為基礎,通過對典型工控 網絡威脅的復現、工控系統脆弱性的研究、工控系統風險的評估,在高對抗的復雜環境中正一步步趕上國 際工控系統攻防技術的前沿水平。
根據我們的測算,對標全球市場,我國工控安全行業規模存在 236.1 億元增長空間。測算依據如下:
根據 Gartner 發布的《Gartner 全球 IT 支出預測》,2018 年中國 IT 支出預計為 24092 億元;根據IDC 的數 據,我國信息安全支出占 IT 支出的比例為 1%-2%,歐美市場為 10%左右,國內市場我們以 2%測算;根據 工信部發布的《工業控制系統信息安全行動計劃(2018-2020 年)》,我國工控安全占信息安全支出比例為1%,全球市場為 10%左右。
2. “外部環境+政策+資本”共振,工控安全爆發在 即
安全防護對于企業自身而言無法帶來直接收益,其內生需求并不強烈。因此當前階段,整個行業的核 心驅動來自于國家自上而下的合規性要求,而加快這一進程的“導火索”便是各國重大工控安全事件的爆 發所帶來的國家防患意識的提高。
2.1 外環境:安全事件頻出,防護技術升級迫在眉睫
我國工控安全行業處在起步階段,因此我們將目光投向國際市場。從國際工控安全行業的發展來看,工控安全事件頻發是推動行業發展的催化劑:
1)2010 年伊朗“震網”病毒事件使得工業企業固有的工業控制系統是一個“信息孤島”的思想開始 轉變,企業意識到隔離在整個工控系統網絡安全防護中只是一種手段,并非解決一切問題的方法,專業化 的工控安全防護方案呼之欲出。工業基礎設施構成了我國現代社會國民經濟以及國家安全的重要基礎,而 工業基礎設施的核心是其工業控制系統,工控安全事件一旦發生可能會導致影響系統可用性、關鍵控制數 據被篡改或喪失、失去控制、環境災難、破壞基礎設施、經濟損失、慘重人員傷亡、危及公眾生活及國家 安全等嚴重后果,2010 年以來全球發生的多起針對工業網絡的攻擊上升至國家安全層面,引起對工控安全 的強烈需求。2010 年 9 月,伊朗的第一座核電站“布什爾核電站”遭受了“Stuxnet”病毒的攻擊,濃縮鈾 離心機遭到破壞,全球超過 45000 個網絡受到感染,其中伊朗 6 成以上個人電腦感染了這種病毒。2012 年 5 月,俄羅斯安全專家發現一種威力強大的電腦病毒 Flame 在中東地區大范圍傳播。遭受該毒感染的國家 包括伊朗、以色列、巴勒斯坦、蘇丹、敘利亞等多個國家。2014 年,發現了專門針對工控系統的新型病毒 Havex,此種木馬可能有能力禁用水電大壩、使核電站過載,甚至可以做到按一下鍵盤就能關閉一個國家 的電網,“蜻蜓組織”利用其對歐美地區一千多家能源企業進行了攻擊。2015 年 12 月,烏克蘭電力部門的 監控管理系統遭受到惡意代碼攻擊,導致超過一半的地區和部分伊萬諾-弗蘭科夫斯克地區斷電幾個小時。 Kyivoblenergo 電力公司發布公告稱公司因遭到入侵,導致 8 萬用戶斷電。
2)從工控安全領域的國際領先國家美國與以色列來看,二者均受到較大的工控安全威脅,從而倒逼 產業升級。美國是信息安全產業的領導者,先進的網絡技術也導致了黑客技術的發展,從而倒逼美國工控 安全產業的發展:2003年,美國俄亥俄州 Davis-Besse核電站和其它電力設備受到 SQL Slammer 蠕蟲病毒 攻擊,網絡數據傳輸量劇增,導致該核電站計算機處理速度變緩、安全參數顯示系統和過程控制計算機連 續數小時無法工作;2006 年,美國阿拉巴州的Browns Ferry 核電站3 號機受到網絡攻擊,反應堆再循環泵 和冷凝除礦控制器工作失靈,導致3 號機被迫關閉;2011 年,黑客入侵數據采集與監控系統,使美國伊利 若伊州城市供水系統的供水泵遭到破壞,同年,微軟警告最新發現的“Duqu”病毒可從工業控制系統制造 商收集情報數據;2012 年兩座美國電廠遭到USB 病毒攻擊,感染了每個工廠的工控系統,可被竊取數據。 而以色列地處戰亂不斷地中東地區,常年不間斷的網絡攻擊促使以色列政府大力發展網絡安全防御技術, 使其在短短二十年成功躋身網絡安全強國。
而我國工控體系安全防護薄弱,各行各業工控安全事件頻發,防護技術更新迭代迫在眉睫。2015 年 3月,某南方電網無人值守變電站出現數據采集中斷警告,經檢測發現其業務網絡的終端機感染了Welchia 蠕蟲病毒;同年 3 月,某石化企業的霍尼韋爾TPS 工業控制網絡在檢測過程中被發現感染了 Conficker 蠕 蟲病毒,同月,網絡攝像頭生產制造商海康威視遭遇“黑天鵝”事件,監控設備存在安全隱患,部分設備 被境外 IP 地址控制;同年5 月,中石化華東公司 SCADA 系統內部的嫌疑人配合外部人員使得公司 SCADA 系統感染病毒;2017 年 5 月,wannacry 勒索病毒入侵中國,多地加油站系統被入侵,無法正常運作,黑客 以加密文件勒索受害人財物。此外我國工業信息安全漏洞數量近年來增長迅速,2017年我國工業信息安全 漏洞數量達 350個,為歷史新高。
2.2 政策端:國家高度重視信息安全,產業政策充分利好
此前發布的《中國制造 2025》、“兩化融合”、“互聯網+”等政策對工控安全行業的驅動在于加快工業 制造領域信息化的進程,信息化的提高使得工業系統所面臨的安全風險迅速增加,帶來對工控安全的潛在 需求;《網絡安全法》、《工業控制系統信息安全行動計劃》等政策則是明確提出要提升企業安全防護的能 力。2015 年 5 月,《中國制造 2025》正式發布,其內涵核心是把信息互聯技術與傳統工業制造相結合,形 成生產智能化,提高資源利用率,以此來推動整個國家競爭力,使得工業領域設備聯網實現智能化成為必 然趨勢;2016 年 5 月,《關于深化制造業與互聯網融合發展的指導意見》發布,明確提出要實施工業控制 系統安全保障能力提升工程,制定完善工業信息安全管理等政策法規,健全工業信息安全標準體系,提高 工業信息系統安全水平;2016 年 11 月,《網絡安全法》發布,明確提出要保障關鍵信息基礎設施運行安全, 對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施等;2017 年 11 月,《深化“互聯網+先進制 造業”發展工業互聯網的指導意見》發布,明確開展網絡基礎、平臺體系、安全保障、融合應用和制度保 障等五方面的工作;2017 年 12 月,《工業控制系統信息安全行動計劃(2018-2020 年)》發布,明確提出促 進工業信息安全產業發展,加快工業控制系統信息安全保障體系建設。
而今年發布的“等保 2.0”將工業控制系統納入保護對象,對其安全要求做出法律上的規定,這意味 著工控安全上升至法律責任,法律依據為《網絡安全法》。2019年 5 月 13 日,“等保 2.0”相關的《信息安 全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安 全等級保護安全設計技術要求》等國家標準正式發布,將于 2019年 12 月 1 日開始實施。該標準對工業控 制系統安全的擴展要求主要在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全建設 管理五方面進行了補充:安全物理環境增加了對室外控制設備物理防護要求,如放置控制設備的箱體或裝 置以及控制設備周圍的環境;安全通信網絡增加了適配于工業控制系統網絡環境的網絡架構安全防護要求、 通信傳輸要求,如工業控制系統內部以及工業控制系統與企業其他系統之間的網絡區域劃分及安全防護; 安全區域邊界增加了工業控制系統內部區域之間以及工業控制系統與企業其他系統之間的訪問控制要求、撥號使用控制以及無線使用控制方面的安全要求;安全計算環境增加了對控制設備的安全要求,包括測試 評估、安全加固、安全運維等,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據采集功能的 實時控制器設備,如 PLC、DCS 控制器等;安全建設管理加了產品采購和使用和軟件外包方面的要求,主 要針對工控備和工控專用信息安全產品的要求,以及工業控制系統軟件外包時有關保密和專業性的要求。
眾多重磅政策的頒布體現了國家對信息安全的高度重視,在產業政策充分利好的環境下,工控安全行 業有望迎來高速增長期。
2.3 資本端:“資本寒冬”下,國內外多家初創企業獲前期投資近年來國內多家工控安全的初創企業受到資本市場關注,資本的注入為行業發展增添動力。威努特成立于 2014 年 9 月,目前已獲 4 輪融資;安點科技、木鏈科技、長揚科技分別成立于2016 年 1 月、2017 年 2 月、2017 年 9 月,均獲得 3 輪融資;匡恩網絡成立于2014 年 5 月,獲 2 輪融資;網藤科技、六方云分 別成立于 2016 年 3 月、2018 年 2 月,獲 1 輪融資。
2018 年國際上也有多家工控安全企業獲得融資。其中,2018 年 11 月,成立近 10 年的美國工業信息安全企業 Security Matters 被2017 年在納斯達克上市的物聯網安全公司以 1.13 億美元收購,這是近年來工 業信息安全領域成交金額最大的收購案。
3.三類主體協同共進,工控安全未來可期 3.1 競爭格局:合作或大于競爭
工控安全市場有三類參與主體:傳統信息安全廠商、自動化背景廠商、專業工控安全廠商。信息安全 廠商如啟明星辰、綠盟科技等;自動化背景廠商典型廠商如珠海鴻瑞、和利時、浙江中控等;專業工控安 全廠商如威努特、匡恩網絡、安點科技等。
在當前時點,工控安全行業存在合作大于競爭的可能。工控行業存在眾多垂直細分行業,不同細分行
業對于系統功能的需求和業務運營模式有著很大不同,導致工控安全系統通用性較差,廠商會面臨眾多個 性化定制需求,使得防護系統的開發效率低,整個市場難以快速放量。這就需要專業工控廠商、信息安全 廠商、自動化廠商共同合作參與,形成各行業的標準化安全解決方案及相應的安全產品標準,共同培養工 控安全市場,實現產品的規模化與產業化。
3.2 核心競爭力與投資機會解讀
3.2.1 關注企業核心團隊背景、產品體系、行業標準制定、與自動化廠商的合作
工控安全行業的技術門檻在于安全防護技術與各行業工控系統的深度結合。工控安全企業需要對每個 行業的主流工業控制系統、主流通信協議、主流工藝非常了解,同時需要在安全方面有技術積累,比如協 議的解析、基礎的網絡防護、智能學習和異常建模分析等,因此我們認為可以從三個維度評判工控安全企 業的技術實力:1)團隊背景;2)產品體系;3)行業標準制定。
(1)團隊背景
關注擁有頂尖工控系統制造與信息安全背景的核心團隊。我國工控行業起步較晚,競爭格局由國外廠 商如西門子、施耐德、ABB、艾默生等廠商主導。但近年來國內工控企業迅速發展,工控系統國產品牌的 市場份額由 2009 年的不足 25%上升至 2017 年的 35%左右,原因在于國內涌現了一批優質的工控企業,如 匯川技術、英威騰等企業,其共同的特點在于均誕生于華為與艾默生的工控基因,在一級市場備受關注的 工控安全企業威努特核心團隊便是來自華為。擁有頂尖工控系統制造行業背景的企業對于工控行業有著深 厚理解,而信息安全行業背景則賦予其深厚的技術積累。以下列舉部分一級市場獲投工控安全初創企業團 隊背景作為參考:
(2)產品體系
根據“等保 2.0”相關標準,工業控制系統分為企業資源層、生產管理層、過程監控層、現場控制層 和現場設備層:企業資源層主要包括 ERP 系統功能單元,用于為企業決策層員工提供決策運行手段;生產 管理層主要包括 MES系統功能單元,用于對生產過程進行管理,如制造數據管理、生產調度管理等; 過程 監控層主要包括監控服務器與 HMI 系統功能單元,用于對生產過程數據進行采集與監控,并利用HMI 系 統實現人機交互; 現場控制層主要包括各類控制器單元,如 PLC、DCS 控制單元等,用于對各執行設備進 行控制; 現場設備層主要包括各類過程傳感設備與執行設備單元,用于對生產過程進行感知與操作。各個 層次的業務應用、實時性要求以及不同層次之間的通信協議有所不同,需要部署的工控安全產品或解決方 案也各有差異,因此豐富的產品體系體現了企業的技術研發實力。
(3)行業標準制定
當前階段,我國工控安全行業的發展對政策依賴性較高,參與行業標準的制定既體現了公司的影響力 與技術實力,又有利于公司產品的規模化產出。我國工控系統信息安全標準體系按照安全等級、安全要求、 安全實施和安全測評四個方面展開,我國工控安全標準體系及參與的工控安全公司具體情況如下表:
此外,渠道端關注與自動化廠商深度合作的企業。自動化廠商有著大量的用戶群體基礎,對于用戶的 工控安全產品選擇具有較大話語權。同時其對于工控系統有著多年的行業積累,但在信息安全方面略顯不 足,此前在工控安全市場有布局的企業的產品以防護其自身的自動化產品為主,因此與自動化廠商深度合作的企業有望實現“雙贏”的局面。
3.2.2 同時關注在政策推進與行業下沉下提前布局的企業
長期來看,建議關注在擁有上述特質外還在以下兩方面提前布局的企業:1)政策推進下,在多行業 提前布局的企業;2)行業發展中后期的下沉階段,率先挖掘中小企業市場的企業。
政策推進帶來多行業工控安全的需求。工控安全市場與政策的推進緊密相關,當前較為完善的政策主 要在電力與石油化工行業,因此這三個行業占據了工控安全 60%市場份額。但其它行業如關鍵制造、通信 等同樣面臨工控安全風險,根據中國產業信息網的數據,工控安全事件所屬行業中,關鍵制造與通信行業 分別以 22%、21%居于第一、第二。而不同行業特性差別較大,無法快速實現跨行業復制,因此隨著國家 對工控安全的重視,以及相關行業標準與政策的推進,電力與石油化工外的行業存在爆發的可能,在其它 領域提前布局的企業將獲得先發優勢。
企業信息化進程中,中小企業工控安全需求有望提升。根據 SANS 的調查,大型企業在 2017 年的工
業信息安全預算整體較高,而中小企業在工業信息安全的預算方面較低,有 9.4%的中小企業表示 2017 年 沒有相關預算。我們認為在當前的起步階段,工控安全廠商出于擴張市場的目的,將把精力放在拓展大客 戶中,但行業發展的中后期,大型企業的安全防護已較為完善,其工控安全產品的主供應商也已確定,新 進入者機會不大,而在合規要求下中小企業對工控安全的需求有望提升,帶來市場的新增長點。
4.相關企業推薦
我們看好在核心團隊背景、產品體系、行業標準參與、與自動化廠商的合作具有優勢同時在政策推進與行業下沉下提前布局的企業。建議關注:珠海鴻瑞、威努特、匡恩網絡、天地合興。
(本文屬知識庫及科普性質,資料來源互聯網,版權歸原作者所有)
