1. 工控安全:尚处起步阶段,但增长趋势确定
工业领域的信息安全分为传统 IT 信息安全与以工控安全为核心的工业信息安全(如无特别说明,下文“工业信息安全”均指此类)。工业信息安全分为产品和服务两大类,其下又有划分,具体如下图:
工控安全是指保护工业控制系统的专用防护方案,按照保护对象可分为功能安全、物理安全、信息安全三种。
我国工控安全行业尚处起步阶段,整体规模较小。根据前瞻产业研究院的数据,2017 年我国工控安全市场规模为 3.66 亿元,同比增长 16.93%。
工控安全行业存在较大增长空间,原因为我国工业领域的信息安全以传统 IT 安全为主,工业信息安 全仅占 10%左右,我们认为此渗透率有望提升,背后逻辑在于:
1)两化融合的推进,使得传统工业现场相对封闭可信的制造环境逐渐被打破,以传统企业安全的防 火墙为主的外建安全效力逐渐降低,内嵌安全需求激增,市场急需新的安全防护方案。从工业信息安全的 发展路径来看,早期的工业领域处于自动化阶段,生产环境相对封闭。工业信息安全作为网络安全的细分 应用方向,主要集中在工业企业信息管理层的安全。当前,两化融合进程加速由数字化向网络化过渡,互 联网快速渗透到工业领域的各个环节,导致工业控制系统和生产设备的网络安全风险激增,带来对内嵌信 息安全功能的产品和服务市场的需求。
2)工业系统的安全防护与传统 IT 安全思路有着很大不同,专业化的工业信息安全防护方案迎来增长 点。首先是采购与运行部门的分离带来对解决方案的高要求:在互联网或企业网中,所保护的对象如服务 器、网络设备等的管理由IT 部门负责。而工业领域的安全中,一般来说安全也是由IT 部门负责,但设备 则是由另外的部门负责,这就带来了工控安全产品开发的销售的一个很大挑战,需要一个很好的技术与管 理结合的解决方案。其次是工控系统对可持续性的要求:在工控系统安全方案中,客户对于生产系统的可持续性的要求要大大高于IT 安全的方案。对一些大型工控系统,停一次机的损失就得几千万人民币或者 几百万美元,因此很多针对 IT 系统安全的方案比如升级或者补丁等就不一定合适。此外在使用周期等方 面也存在差异。
3)正是由于工业领域的网络安全与传统安全的差异,国际工业控制网络安全防护理念已经由传统信 息安全厂商所提出的纵深防御体系转变为由工业控制系统内部生长的持续性防御体系以及以攻为守的国 家防御战略,而我国工业领域的信息安全仍是以传统信息安全为主,我国安全防护体系的升级势在必行。
国际工控网络安全防护理念经历了四个阶段:第一阶段是以隔离为手段的安全防护理念。在我国“工 业化”与“信息化”两化融合伊始,隔离就成为了企业用户、集成商、供应商应对工控系统网络安全的“庇 护伞”。隔离手段在工控系统内有各种实现方式,比较常用的有物理隔离或在系统边界部署网闸进行隔离, 以隔离为手段的防护理念其风险在于:一旦隔离被连通后,其系统内部的脆弱性就会一览无遗。
第二阶段是纵深防御的安全防护体系。纵深防御这一概念是由 IT 厂商提出的,近年来在学术界、工 业界也一直被提及用于工控系统网络安全防护。这个理念从信息安全领域自然延伸,有其在网络安全防护 上的功效与成果,但在工控系统网络安全防护实施过程中,设备供应商、安全供应商并未解决实际问题。 首先,设备供应商推卸责任。工控设备供应商出于自身利益,缺乏工控安全的基因与动力。其次,安全供 应商偷换概念。其为工厂用户所建立的纵深防御体系往往会变成信息安全产品的简单堆砌。工业控制网络 需要尽可能少的故障点,而部署了大量信息安全产品后,故障点不减反增。在追求稳定性、可用性、实时 性的工业控制网络中,信息安全产品反而带来一系列问题。
第三阶段是工业控制系统内部生长的持续性防御体系。在经历了一系列事件后,国外工业控制网络安 全策略已从“事后免责”转变为“主动防御”。根据工业控制网络自身特点,持续性的防御体系需要关注 三点。第一,故障点尽可能要少。这是工控系统与生俱来的需求,因此,安全设备也要符合工控设备的特 点。除了尽量避免多层部署外,安全设备在保护工控系统正常生产运行的同时还要保证即使断电、设备更 新也能对系统不产生任何影响。第二,防御体系要有可持续性。适应工业控制网络特点的持续性防御体系 可以通过基础硬件的创新来实现,使安全防护满足低延时、高可靠、可定制化、可持续更新、操作与实施 简易化等特性。第三,主要解决存量系统问题。存量在装系统的问题,才是真正的与人民生产生活息息相 关的、直面安全威胁的主体。
第四阶段是以攻为守的国家战略。2013 年初,奥巴马发布了总统令,责 NIC、DHS 等机构对美国所 有的基础设施进行普查,要求有问题的企业在年底前进行整改,至今效果并不显著。美国转而将大量经费 投往攻击手段的研究上,以攻为守促进整个工控安全技术的进步。不仅是美国,其他各国以攻为守的策略 也大同小异,以色列是以技术公司的形式出现,俄罗斯是通过民间组织在实施。我国近两年在有关部门的 领导下,建立了多个工业控制系统安全研究实验室,以高仿真工控系统攻防平台为基础,通过对典型工控 网络威胁的复现、工控系统脆弱性的研究、工控系统风险的评估,在高对抗的复杂环境中正一步步赶上国 际工控系统攻防技术的前沿水平。
根据我们的测算,对标全球市场,我国工控安全行业规模存在 236.1 亿元增长空间。测算依据如下:
根据 Gartner 发布的《Gartner 全球 IT 支出预测》,2018 年中国 IT 支出预计为 24092 亿元;根据IDC 的数 据,我国信息安全支出占 IT 支出的比例为 1%-2%,欧美市场为 10%左右,国内市场我们以 2%测算;根据 工信部发布的《工业控制系统信息安全行动计划(2018-2020 年)》,我国工控安全占信息安全支出比例为1%,全球市场为 10%左右。
2. “外部环境+政策+资本”共振,工控安全爆发在 即
安全防护对于企业自身而言无法带来直接收益,其内生需求并不强烈。因此当前阶段,整个行业的核 心驱动来自于国家自上而下的合规性要求,而加快这一进程的“导火索”便是各国重大工控安全事件的爆 发所带来的国家防患意识的提高。
2.1 外环境:安全事件频出,防护技术升级迫在眉睫
我国工控安全行业处在起步阶段,因此我们将目光投向国际市场。从国际工控安全行业的发展来看,工控安全事件频发是推动行业发展的催化剂:
1)2010 年伊朗“震网”病毒事件使得工业企业固有的工业控制系统是一个“信息孤岛”的思想开始 转变,企业意识到隔离在整个工控系统网络安全防护中只是一种手段,并非解决一切问题的方法,专业化 的工控安全防护方案呼之欲出。工业基础设施构成了我国现代社会国民经济以及国家安全的重要基础,而 工业基础设施的核心是其工业控制系统,工控安全事件一旦发生可能会导致影响系统可用性、关键控制数 据被篡改或丧失、失去控制、环境灾难、破坏基础设施、经济损失、惨重人员伤亡、危及公众生活及国家 安全等严重后果,2010 年以来全球发生的多起针对工业网络的攻击上升至国家安全层面,引起对工控安全 的强烈需求。2010 年 9 月,伊朗的第一座核电站“布什尔核电站”遭受了“Stuxnet”病毒的攻击,浓缩铀 离心机遭到破坏,全球超过 45000 个网络受到感染,其中伊朗 6 成以上个人电脑感染了这种病毒。2012 年 5 月,俄罗斯安全专家发现一种威力强大的电脑病毒 Flame 在中东地区大范围传播。遭受该毒感染的国家 包括伊朗、以色列、巴勒斯坦、苏丹、叙利亚等多个国家。2014 年,发现了专门针对工控系统的新型病毒 Havex,此种木马可能有能力禁用水电大坝、使核电站过载,甚至可以做到按一下键盘就能关闭一个国家 的电网,“蜻蜓组织”利用其对欧美地区一千多家能源企业进行了攻击。2015 年 12 月,乌克兰电力部门的 监控管理系统遭受到恶意代码攻击,导致超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。 Kyivoblenergo 电力公司发布公告称公司因遭到入侵,导致 8 万用户断电。
2)从工控安全领域的国际领先国家美国与以色列来看,二者均受到较大的工控安全威胁,从而倒逼 产业升级。美国是信息安全产业的领导者,先进的网络技术也导致了黑客技术的发展,从而倒逼美国工控 安全产业的发展:2003年,美国俄亥俄州 Davis-Besse核电站和其它电力设备受到 SQL Slammer 蠕虫病毒 攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连 续数小时无法工作;2006 年,美国阿拉巴州的Browns Ferry 核电站3 号机受到网络攻击,反应堆再循环泵 和冷凝除矿控制器工作失灵,导致3 号机被迫关闭;2011 年,黑客入侵数据采集与监控系统,使美国伊利 若伊州城市供水系统的供水泵遭到破坏,同年,微软警告最新发现的“Duqu”病毒可从工业控制系统制造 商收集情报数据;2012 年两座美国电厂遭到USB 病毒攻击,感染了每个工厂的工控系统,可被窃取数据。 而以色列地处战乱不断地中东地区,常年不间断的网络攻击促使以色列政府大力发展网络安全防御技术, 使其在短短二十年成功跻身网络安全强国。
而我国工控体系安全防护薄弱,各行各业工控安全事件频发,防护技术更新迭代迫在眉睫。2015 年 3月,某南方电网无人值守变电站出现数据采集中断警告,经检测发现其业务网络的终端机感染了Welchia 蠕虫病毒;同年 3 月,某石化企业的霍尼韦尔TPS 工业控制网络在检测过程中被发现感染了 Conficker 蠕 虫病毒,同月,网络摄像头生产制造商海康威视遭遇“黑天鹅”事件,监控设备存在安全隐患,部分设备 被境外 IP 地址控制;同年5 月,中石化华东公司 SCADA 系统内部的嫌疑人配合外部人员使得公司 SCADA 系统感染病毒;2017 年 5 月,wannacry 勒索病毒入侵中国,多地加油站系统被入侵,无法正常运作,黑客 以加密文件勒索受害人财物。此外我国工业信息安全漏洞数量近年来增长迅速,2017年我国工业信息安全 漏洞数量达 350个,为历史新高。
2.2 政策端:国家高度重视信息安全,产业政策充分利好
此前发布的《中国制造 2025》、“两化融合”、“互联网+”等政策对工控安全行业的驱动在于加快工业 制造领域信息化的进程,信息化的提高使得工业系统所面临的安全风险迅速增加,带来对工控安全的潜在 需求;《网络安全法》、《工业控制系统信息安全行动计划》等政策则是明确提出要提升企业安全防护的能 力。2015 年 5 月,《中国制造 2025》正式发布,其内涵核心是把信息互联技术与传统工业制造相结合,形 成生产智能化,提高资源利用率,以此来推动整个国家竞争力,使得工业领域设备联网实现智能化成为必 然趋势;2016 年 5 月,《关于深化制造业与互联网融合发展的指导意见》发布,明确提出要实施工业控制 系统安全保障能力提升工程,制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系,提高 工业信息系统安全水平;2016 年 11 月,《网络安全法》发布,明确提出要保障关键信息基础设施运行安全, 对关键信息基础设施的安全风险进行抽查检测,提出改进措施等;2017 年 11 月,《深化“互联网+先进制 造业”发展工业互联网的指导意见》发布,明确开展网络基础、平台体系、安全保障、融合应用和制度保 障等五方面的工作;2017 年 12 月,《工业控制系统信息安全行动计划(2018-2020 年)》发布,明确提出促 进工业信息安全产业发展,加快工业控制系统信息安全保障体系建设。
而今年发布的“等保 2.0”将工业控制系统纳入保护对象,对其安全要求做出法律上的规定,这意味 着工控安全上升至法律责任,法律依据为《网络安全法》。2019年 5 月 13 日,“等保 2.0”相关的《信息安 全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安 全等级保护安全设计技术要求》等国家标准正式发布,将于 2019年 12 月 1 日开始实施。该标准对工业控 制系统安全的扩展要求主要在安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全建设 管理五方面进行了补充:安全物理环境增加了对室外控制设备物理防护要求,如放置控制设备的箱体或装 置以及控制设备周围的环境;安全通信网络增加了适配于工业控制系统网络环境的网络架构安全防护要求、 通信传输要求,如工业控制系统内部以及工业控制系统与企业其他系统之间的网络区域划分及安全防护; 安全区域边界增加了工业控制系统内部区域之间以及工业控制系统与企业其他系统之间的访问控制要求、拨号使用控制以及无线使用控制方面的安全要求;安全计算环境增加了对控制设备的安全要求,包括测试 评估、安全加固、安全运维等,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的 实时控制器设备,如 PLC、DCS 控制器等;安全建设管理加了产品采购和使用和软件外包方面的要求,主 要针对工控备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求。
众多重磅政策的颁布体现了国家对信息安全的高度重视,在产业政策充分利好的环境下,工控安全行 业有望迎来高速增长期。
2.3 资本端:“资本寒冬”下,国内外多家初创企业获前期投资近年来国内多家工控安全的初创企业受到资本市场关注,资本的注入为行业发展增添动力。威努特成立于 2014 年 9 月,目前已获 4 轮融资;安点科技、木链科技、长扬科技分别成立于2016 年 1 月、2017 年 2 月、2017 年 9 月,均获得 3 轮融资;匡恩网络成立于2014 年 5 月,获 2 轮融资;网藤科技、六方云分 别成立于 2016 年 3 月、2018 年 2 月,获 1 轮融资。
2018 年国际上也有多家工控安全企业获得融资。其中,2018 年 11 月,成立近 10 年的美国工业信息安全企业 Security Matters 被2017 年在纳斯达克上市的物联网安全公司以 1.13 亿美元收购,这是近年来工 业信息安全领域成交金额最大的收购案。
3.三类主体协同共进,工控安全未来可期 3.1 竞争格局:合作或大于竞争
工控安全市场有三类参与主体:传统信息安全厂商、自动化背景厂商、专业工控安全厂商。信息安全 厂商如启明星辰、绿盟科技等;自动化背景厂商典型厂商如珠海鸿瑞、和利时、浙江中控等;专业工控安 全厂商如威努特、匡恩网络、安点科技等。
在当前时点,工控安全行业存在合作大于竞争的可能。工控行业存在众多垂直细分行业,不同细分行
业对于系统功能的需求和业务运营模式有着很大不同,导致工控安全系统通用性较差,厂商会面临众多个 性化定制需求,使得防护系统的开发效率低,整个市场难以快速放量。这就需要专业工控厂商、信息安全 厂商、自动化厂商共同合作参与,形成各行业的标准化安全解决方案及相应的安全产品标准,共同培养工 控安全市场,实现产品的规模化与产业化。
3.2 核心竞争力与投资机会解读
3.2.1 关注企业核心团队背景、产品体系、行业标准制定、与自动化厂商的合作
工控安全行业的技术门槛在于安全防护技术与各行业工控系统的深度结合。工控安全企业需要对每个 行业的主流工业控制系统、主流通信协议、主流工艺非常了解,同时需要在安全方面有技术积累,比如协 议的解析、基础的网络防护、智能学习和异常建模分析等,因此我们认为可以从三个维度评判工控安全企 业的技术实力:1)团队背景;2)产品体系;3)行业标准制定。
(1)团队背景
关注拥有顶尖工控系统制造与信息安全背景的核心团队。我国工控行业起步较晚,竞争格局由国外厂 商如西门子、施耐德、ABB、艾默生等厂商主导。但近年来国内工控企业迅速发展,工控系统国产品牌的 市场份额由 2009 年的不足 25%上升至 2017 年的 35%左右,原因在于国内涌现了一批优质的工控企业,如 汇川技术、英威腾等企业,其共同的特点在于均诞生于华为与艾默生的工控基因,在一级市场备受关注的 工控安全企业威努特核心团队便是来自华为。拥有顶尖工控系统制造行业背景的企业对于工控行业有着深 厚理解,而信息安全行业背景则赋予其深厚的技术积累。以下列举部分一级市场获投工控安全初创企业团 队背景作为参考:
(2)产品体系
根据“等保 2.0”相关标准,工业控制系统分为企业资源层、生产管理层、过程监控层、现场控制层 和现场设备层:企业资源层主要包括 ERP 系统功能单元,用于为企业决策层员工提供决策运行手段;生产 管理层主要包括 MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等; 过程 监控层主要包括监控服务器与 HMI 系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI 系 统实现人机交互; 现场控制层主要包括各类控制器单元,如 PLC、DCS 控制单元等,用于对各执行设备进 行控制; 现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。各个 层次的业务应用、实时性要求以及不同层次之间的通信协议有所不同,需要部署的工控安全产品或解决方 案也各有差异,因此丰富的产品体系体现了企业的技术研发实力。
(3)行业标准制定
当前阶段,我国工控安全行业的发展对政策依赖性较高,参与行业标准的制定既体现了公司的影响力 与技术实力,又有利于公司产品的规模化产出。我国工控系统信息安全标准体系按照安全等级、安全要求、 安全实施和安全测评四个方面展开,我国工控安全标准体系及参与的工控安全公司具体情况如下表:
此外,渠道端关注与自动化厂商深度合作的企业。自动化厂商有着大量的用户群体基础,对于用户的 工控安全产品选择具有较大话语权。同时其对于工控系统有着多年的行业积累,但在信息安全方面略显不 足,此前在工控安全市场有布局的企业的产品以防护其自身的自动化产品为主,因此与自动化厂商深度合作的企业有望实现“双赢”的局面。
3.2.2 同时关注在政策推进与行业下沉下提前布局的企业
长期来看,建议关注在拥有上述特质外还在以下两方面提前布局的企业:1)政策推进下,在多行业 提前布局的企业;2)行业发展中后期的下沉阶段,率先挖掘中小企业市场的企业。
政策推进带来多行业工控安全的需求。工控安全市场与政策的推进紧密相关,当前较为完善的政策主 要在电力与石油化工行业,因此这三个行业占据了工控安全 60%市场份额。但其它行业如关键制造、通信 等同样面临工控安全风险,根据中国产业信息网的数据,工控安全事件所属行业中,关键制造与通信行业 分别以 22%、21%居于第一、第二。而不同行业特性差别较大,无法快速实现跨行业复制,因此随着国家 对工控安全的重视,以及相关行业标准与政策的推进,电力与石油化工外的行业存在爆发的可能,在其它 领域提前布局的企业将获得先发优势。
企业信息化进程中,中小企业工控安全需求有望提升。根据 SANS 的调查,大型企业在 2017 年的工
业信息安全预算整体较高,而中小企业在工业信息安全的预算方面较低,有 9.4%的中小企业表示 2017 年 没有相关预算。我们认为在当前的起步阶段,工控安全厂商出于扩张市场的目的,将把精力放在拓展大客 户中,但行业发展的中后期,大型企业的安全防护已较为完善,其工控安全产品的主供应商也已确定,新 进入者机会不大,而在合规要求下中小企业对工控安全的需求有望提升,带来市场的新增长点。
4.相关企业推荐
我们看好在核心团队背景、产品体系、行业标准参与、与自动化厂商的合作具有优势同时在政策推进与行业下沉下提前布局的企业。建议关注:珠海鸿瑞、威努特、匡恩网络、天地合兴。
(本文属知识库及科普性质,资料来源互联网,版权归原作者所有)