硬科技复兴联盟研究报告 之工控安全作者:YP/YF 创道硬科技研究院欢迎关注“创道硬科技研究院” 硬科技领域深度研究、创业和投资交流平台 产业合作、投融资服务请通过公众号联系2021 年 6 月每日免费获取报告1、每日微信群内分享7+最新重磅报告; 2、每日分享当日华尔街日报、金融时报; 3、每周分享经济学人 4、行研报告均为公开版,权利归原作者 所有,起点财经仅分发做内部学习。扫一扫二维码 关注公号 回复:研究报告 加入“起点财经”微信群。。硬科技复兴联盟研究报告之工控安全目录1. 工控安全介绍................................................................................................................................4 1.1 工控安全定义及作用........................................................................................................ 4 1.1.1 工控安全与传统信安行业的区别........................................................................ 5 1.1.2 工控安全的三个核心............................................................................................ 7 1.1.3 攻击模式................................................................................................................ 9 1.1.4 目前防御端可能存在的问题.............................................................................. 13 1.2 产品分类...........................................................................................................................16 1.2.1 工控安全产品全景图.................................................................................................... 16 1.2.1.1 工控安全主要产品..................................................................................................... 18 1.2.2 等保 2.0 框架下产品形态............................................................................................. 24 1.3 工控安全产品应用场景.................................................................................................. 24 1.4 工控安全产品应用领域.................................................................................................. 26 1.5 工控安全技术理念.......................................................................................................... 262. 行业概述......................................................................................................................................28 2.1 行业发展情况.................................................................................................................. 28 2.1.1 国家层面安全事件频发...................................................................................... 28 2.1.2 国内市场概述:政策端高度重视工控安全,安全体系仍面临诸多挑战..... 29 2.1.3 国外市场概述:大力推进工控安全建设,技术创新方面保持优势............. 35 2.2 产业发展现状及趋势...................................................................................................... 36 2.3 行业产品需求不同.......................................................................................................... 37 2.3.1 培育市场阶段(2016-2019 年)........................................................................37 2.3.2 政策性驱动阶段(2020-2023 年)....................................................................37 2.2.3 内生发展阶段(2024 年后)............................................................................. 37 2.4 行业市场规模.................................................................................................................. 38 2.4.1 市场驱动力.......................................................................................................... 38 2.4.2 市场规模.............................................................................................................. 383. 行业壁垒......................................................................................................................................40 3.1 技术层面门槛.................................................................................................................. 40 3.2 完备的产品体系和整体服务能力门槛.......................................................................... 40 3.3. 参与标准制定存在门槛................................................................................................. 414. 行业竞争情况..............................................................................................................................41 4.1 行业竞争格局.................................................................................................................. 41 4.2 公司分析...........................................................................................................................42 4.2.1 上市公司.............................................................................................................. 42 4.2.2 非上市公司.......................................................................................................... 455. 投资可行性分析..........................................................................................................................492创道硬科技研究院硬科技复兴联盟研究报告之工控安全前言 我国工业信息政策体系框架基本完成,安全标准覆盖范围不断扩大,尤其 2017 年和 2019 年颁布并实施的等保 1.0 和 2.0 政策更是成为了催化剂;2018 年、2019 年和 2020 年工控安全企业融资数量大幅提升;工控安全具有独特、 更高标准的安全要求,技术壁垒较高;目前市场为应对政策性驱动的合规产品市 场,基础产品同质化较多,但因工业环境、业务、工艺等特殊性,产品具有其差 异和独特性;市场竞争主要来自聚焦工控安全企业,网安巨头或投或并的持续参 与;因市场起步较晚,目前还未形成市场格局,竞对间还未形成绝对差距,团队 经验和资源优势、技术优势及行业进入壁垒成为竞对间差异化竞争点。3创道硬科技研究院1. 工控安全介绍硬科技复兴联盟研究报告之工控安全1.1 工控安全定义及作用工控安全(工业控制系统信息安全),是指保护工业控制系统的专用防护方 案,按照保护对象可分为功能安全、物理安全、信息安全三种。资料来源:广证恒生根据《工业过程测量、控制和自动化网络与系统信息安全》IEC 62443 针对 工控安全的定义是:(1)保护系统所采取的措施;(2)由建立和维护保护系统 的措施所得到的系统状态;(3)能够免于对系统资源的非授权访问和非授权或 意外的变更、破坏或者损失;(4)基于计算机系统的能力,能够保证非授权人 员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统 不被阻止;(5)防止对工控系统的非法或有害入侵,或者干扰其正确和计划的 操作。其中,工业控制系统即 ICS(也称工业自动化与控制系统),是由计算机设 备与工业过程控制部件组成的自动控制系统。根据等保 2.0 附录 G,工业控制系统主要分为 5 个层次:现场设备层、现场 控制层、过程监控层、生产管理层以及企业资源层。4创道硬科技研究院硬科技复兴联盟研究报告之工控安全图片来源:《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》1.1.1 工控安全与传统信安行业的区别首先,在网络系统方面,工控网络与传统 IT 信息网络大体在网络边缘、体 系结构和传输内容三大方面有着主要的不同。工控系统在地域上分布广阔,其边缘部分是智能程度不高的网络边缘不同 含传感和控制功能的远动装置,而不是 IT 系统边缘的通用计算机,两者之间在物理安全需求上差异很大。工业控制网络的结构纵向高度集成,主站节点和终端节点之体系结构不同 间是主从关系。传统 IT 信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。传输内容不同工业控制网络传输的是工业设备的 “四遥信息”,即遥测、遥 信、遥控、遥调。5创道硬科技研究院硬科技复兴联盟研究报告之工控安全两化融合后,IT 系统的信息安全也被融入了工控系统安全中,但在安全防 护方面,工控系统与传统信息系统安全防护仍存在本质区别。传统信息系统更多关注信息安全,而工业控制系统通常关注更多的是物理安 全与功能安全,尤其是功能安全,该系统的安全运行由相关的生产部门负责,信 息部门仅处于从属的地位。在信息安全的三个属性(机密性、完整性、可用性) 中,传统信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是 可用性、完整性、机密性。随着信息化与工业化技术的紧密结合以及潜在网络战威胁的影响,工业控制 系统也将从传统模式转向更为关注信息安全。从产品形态上来说,工控安全产品同信息安全产品基本一致,均为防火墙、 网关网闸、审计、态势感知等,但仍存在较大区别,根据中国电子报的观点, 区别如下:1) 安全需求不同; 2) 安全补丁与升级机制存在的区别; 3) 实时性方面的差异; 4) 安全保护优先级方面的差异; 5) 安全防护技术适应性方面的差异。 当前已有的各种信息安全工具,能够对控制系统安全给予必要机制,这些 单独的机制对于深度防护控制并不够,通过深入理解控制系统与真实物理世界 的交互过程,工控安全产品需要做到的是: 1) 更好地理解攻击的后果:深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。 2) 设计全新的攻击检测算法:通过理解物理过程应有的控制行为,并基于过程控制命令和传感器测 量,能够识别攻击者是否试图干扰控制或传感器的数据。 3) 设计新的抗攻击弹性算法和架构:检测到一个工业控制系统攻击行为,能够适时改变控制命令,用于增 加控制系统的弹性,减少损失。 4) 设计适合工业 SCADA 系统现场设备的身份认证与密码技术:6创道硬科技研究院硬科技复兴联盟研究报告之工控安全目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统 的现场设备中完成访问控制功能,主要原因在于过于复杂的密码机制可能 存在着在紧急情况下妨碍应急处理程序快速响应的风险。工业自动控制领 域的专家一般认为相对较弱的密码机制(如缺省密码、固定密码,甚至空 口令等),比较容易在紧急情况下进行猜测、传送等,进而不会对应急处 理程序本身产生额外影响。 5) 开发硬件兼容能力更强的工业 SCADA 系统安全防护技术:传统 IT 数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、 入侵检测和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和 内存资源,而这些资源在工业控制系统设备中十分有限,工业控制设备最 初的设计目标是完成特定现场作业任务,它们一般是低成本、低处理器效 能的设备。而且,在石油、供水等能源工业系统控制装置中仍然在使用一 些很陈旧的处理器(如 1978 年出厂的 Intel8088 处理器)。因此,在这类装 置中部署主流的信息安全防护技术而又不显著降低工业现场控制装置的性 能具有一定难度。 6) 研制兼容多种操作系统或软件平台的安全防护技术:传统 IT 数据网络中的信息安全技术机制,主要解决 Windows、Linux、 Unix 等通用型操作系统平台上的信息安全问题。而在工业 SCADA 系统领 域,现场工业 SCADA 系统装置一般使用设备供应商(ABB、西门子、霍 尼韦尔等)独立研发的、非公开的操作系统(有时称为固件)、专用软件 平台(如 GE 的 iFix 等)完成特定的工业过程控制功能。因此,如何在非 通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术,是工 业 SCADA 系统信息安全未来需要重点解决的问题。1.1.2 工控安全的三个核心1) 保护网络 网络是工业自动化的脉络,所有的操作指令和数据均会通过网络进行传输, 所以工业企业应确保自身网络设计良好,有着防护周全的边界。企业应按 ISA IEC 62443 标准划分自身网络,保护所有无线应用,部署能快速排除故障的安7创道硬科技研究院硬科技复兴联盟研究报告之工控安全全远程访问解决方案,确保公司网络设计健全,有着可靠地安全防护边界,设 立完整的网络监管体系,保障其工业互联网和所属的工业底层设备均能够有效 地进行监管,从内部信息层面对安全进行保护。2) 保护终端 虽然防火墙、专业安防软件、专业协议和物理隔离技术能够抵御传统的数 字攻击,但是这仅限于互联网攻击。根据伊朗震网事件等证据表明,雇员、承 包商和供应链员工将他们的笔记本电脑或 U 盘带入企业网络时,这些传统的安 全防护措施就被绕过了。 所以企业必须确保所有终端都是安全的,要防止员工将自己的设备接入公 司网络。事实上,黑客可以侵入 OT 环境中基于 PC 的终端。根据业内专业人士 的访谈,很多黑客都是通过内部员工的 U 盘来渗透企业的终端,因为终端操作 系统版本通常较老,且安全防护能力较弱,所以很那抵御类似的公司方式。所 以企业还应保护其 IT 终端不受 OT 环境中横向移动的数字攻击侵袭。企业有必 要保证每台终端上的配置是安全的,并监视这些终端以防遭到未授权修改。 总体上,在攻击层面,IT 和 OT 也开始组合攻击,所以建立一套完整的监 控、审计和管理的平台体系逐步成为了企业对于保护终端被侵入的新的方案。 3) 保护控制器 每个工业环境都有其物理系统——致动器、校准器、阀门、温度感应器、 压力传感器一类机械装置。这些与现实世界交互的物理系统被称为控制器,也 就是桥接物理系统控制和网络指令接收行为的特殊计算机(一般有单片机来进 行计算)。很多案例中恶意黑客都曾获取过这些设备的控制权,引发设备故障, 造成物理破坏,或对公司的损害。不过,如果仅仅是能访问而不能控制,恶意 黑客也无法直接造成破坏。 通过加强检测能力和对 ICS 修改及威胁的可见性,实现脆弱控制器的安全 防护措施,监视可疑访问及控制修改,以及及时检测/控制威胁,企业可有效防 止工业控制器遭到数字攻击。这也是之所以要在各个区域建立安全网闸、防火 墙和各类审计设备并且工控安全企业必须解析工业协议的原因。8创道硬科技研究院1.1.3 攻击模式硬科技复兴联盟研究报告之工控安全根据公开资料,世界知名的黑客大会,如 BlackHat、DefCon 等,纷纷将工 控安全纳入议题;2020 年 1 月世界高水平黑客大赛 Pwn2Own 更首次将工控纳 入比赛。可以看出,工业自动化的不断发展已经使得一些别有用心的人关注到 这个行业,工控系统的漏洞和攻击面也正随着工业互联网的发展,更多的暴露 于攻击者。工业控制系统应用领域 资料来源:互联网资料1) 工业控制系统的整体攻击思路 攻击目标攻击工业系统时候一种强目的性的、针对式的攻击,通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加,甚至火灾爆炸等严重后果为目标。 现代工厂中,大部分现场生产设备都是由控制系统(如:PLC-可编程逻辑控制 器、数控车床、DCS-分布式控制系统)进行现场操作。因此,攻击者的目标是 通过直接或间接攻击或影响控制系统而实现。下文将以工厂 PLC 举例,阐述黑 客对工控系统的攻击思路。2) 攻击场景 针对式直接攻击直接攻击 PLC,是指利用 PLC 存在的漏洞,或通过口令破解等方式绕过安 全认证,成功控制 PLC 并进行指令修改,实现攻击目的。当前较多的 PLC 处 于内网,尚不能通过互联网直接访问,在此情景下,直接攻击一般通过物理接9创道硬科技研究院硬科技复兴联盟研究报告之工控安全触 PLC,或通过内部办公网络连接到 PLC 等方式而实现。随着工厂智能化的提 升,设备实现互联互通,大量 PLC 系统连入互联网,将更易于黑客对 PLC 发 起直接攻击。针对式间接攻击 间接攻击 PLC,是指获取 PLC 上一层监控系统(如 HMI、IPC、SCADA 等)的控制权,通过监控系统向 PLC 发送恶意指令,或干扰监控系统与 PLC 的正常通讯,实现攻击目的。采用间接攻击场景,通常是由于攻击者无法直接 接触到控制系统,或对工厂内部 PLC 系统了解有限,因而转向攻击存在大量攻 击者熟悉的 IT 部件的过程与监控层系统。例如,攻击者首先获得 IPC(工业计 算机)的控制权,分析 IPC 和 PLC 之间的传输模式,构造恶意指令,通过 IPC 传输给 PLC,间接影响 PLC 的正常工作或阻断生产状态的监控和预警。 非针对式攻击 非针对式攻击,或称为撒网式攻击,是指恶意程序利用系统或网络的共性 漏洞,无差异化感染系统并在内网传播,影响正常生产秩序。此类攻击场景虽 然不针对工控系统,但由于目前工控环境的安全措施较为薄弱,使得撒网式攻 击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序为主,例如,攻 击者利用员工安全意识薄弱,发送钓鱼邮件,感染接收者的电脑,再利用网络 环境的脆弱性,在办公网快速传播,再蔓延至生产网,感染具有共性漏洞的系 统,如 IPC 等,影响生产或造成破坏。 攻击途径 工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分 为自办公网渗透到工厂网以及车间现场发起攻击;外部发起包含针对式攻击(如 APT)和撒网式攻击。10创道硬科技研究院硬科技复兴联盟研究报告之工控安全工控环境攻击路径3) 内部发起攻击办公网为起点在办公网环境内,使用 nmap 等工具扫描和获取网段和资产信息,特别是常规工控系统和 IT 系统端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389 等;成功获取系统控制权后,尝试以该主机为跳板,使用 Pass the Hash 等方式渗透其他系统,找寻工控相关系统 PLC、IPC 和 SCADA 等,以实现攻击目的;若均未成功,转向采用社会工程等方式进一步获取相关信息(如高权限账号等);同时,考虑设法进入工厂车间内部,转为现场攻击方式;一些集成控制系统的中控平台,或者内网的一些类 SCADA 等组态控制系统的 web 应用端或者 dll、dat 容易被劫持后形成工程师站的提权。车间现场为起点在车间内发起攻击工控系统是最为直接的方法,手段和选择同样是多样化的:进入车间后,仔细观察车间内的情况,寻找 IPC 或者控制系统的位置,为后续攻击尝试做准备。攻击尝试一:首选目标为控制系统(如 PLC),寻找是否存在未上锁,或者网线接口暴露在外的设备;11创道硬科技研究院硬科技复兴联盟研究报告之工控安全尝试了解相关的控制系统基本信息,例如所使用的品牌,版本等; 尝试使用电脑在现场连接控制系统,利用弱口令等脆弱性,尝试恶意指令 注入、权限绕过、重放攻击等。 攻击尝试二: 尝试对现场运行的 IPC 或者 HMI 进行攻击,例如对运行的 IPC 插入恶意 U 盘植入恶意程序; 针对未设置权限的 IPC 或者 HMI 直接操作,如修改控制系统的指令等恶意 操作。 4) 外部发起 针对式攻击 APT 攻击是典型的外部发起的针对式攻击,攻击过程包含 对目标企业进行信息收集以初步了解该企业的基本情况; 利用 Google、Baidu 等搜索引擎寻找暴露在互联网上的域名或服务器; 利用爬虫技术尽可能获取网站所有链接、子域名、C 段等; 尝试对网站应用进行高危漏洞利用,例如恶意文件上传、命令执行、SQL 注入、跨站脚本、账户越权等; 尝试获取网站 webshell,再提升至服务器权限; 以该服务器为跳板打入内网环境,转变为内部攻击的模式; 通过从互联网搜索外网邮箱的用户名,根据企业的特点,针对式地给这些 用户发送钓鱼邮件,以中招的电脑为跳板打入内部环境,转变为内部攻击的模 式; 利用伪造门禁卡,或者伪装参观、面试人员或者尾随内部员工的方式物理 进入企业内部,转变成为内部攻击的模式。 撒网式攻击 利用 Google 和 Baidu 等搜索引擎找出暴露在互联网上企业的域名,若发现 可以利用的漏洞则转为针对式攻击; 利用社工,尽可能多收集企业的员工的邮箱,大批量发送钓鱼邮件; 使用 Shodan 搜索引擎,针对暴露在互联网上的工控系统发起攻击,成功后 转为内部攻击。12创道硬科技研究院黑客攻击链(Cyber Kill Chain)硬科技复兴联盟研究报告之工控安全一般来说,攻击者通常以低成本、撒网式的攻击手段,如发送钓鱼邮件等 社工式,开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序 时,“潘多拉之盒”就此打开,攻击者将尝试攻陷受害者的设备,并以此设备为 跳板,打入企业内网。如果工控网络未能做到与办公网络的有效隔离,攻击者 可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境 抵御网络攻击的能力较弱,大多存在弱口令,权限设置不当,共享账号和密码, 补丁和脆弱性管理缺失,网络隔离和防护不充分等高危漏洞,使得攻击者利用 这些漏洞,在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击, 最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威 胁员工安全等严重后果,形成完整的黑客攻击链。1.1.4 目前防御端可能存在的问题从组织与人员方面来看: 1) 未落实安全责任 管理层重视不足,部门间安全职责不清晰,无明确安全部门或岗位。 2) 安全意识薄弱 员工对工控系统的安全意识相对薄弱,特别是生产或一线员工。传统型企 业的“隐匿式安全”(security by obscurity),认为严格物理安全和访问管理即可 确保安全,认为未发生安全事件即是安全,这往往使得企业忽略对网络安全的 建设,未能及时补救隐患。 从管理与监督层面来看 1) “经验式”管理的缺陷 工控系统自身缺乏安全设计与考量,是很多企业存在的普遍现象,通过实 施适当安全保障措施,可以有效弥补。但很多企业并没有建立有效的安全策略 和措施,仅依靠个人经验和历史经验进行管理。 2) 应急响应机制缺失13创道硬科技研究院硬科技复兴联盟研究报告之工控安全缺少应急响应机制,出现突发事件时无法快速组织人力和部署应对措施来 控制事件进一步蔓延,并在最短时间内解决问题和恢复生产。3) 缺少恰当的口令策略 未设置恰当的口令策略和管理,如弱口令,共享口令,多台主机或设备共 用一个口令,以及口令共享给第三方供应商等情形,增加密码泄露风险。 4) 缺乏安全审计日志 系统出现安全事件后,无法追踪和分析事件源头和原因,以避免类似情形 的再次发生。 从网络与架构方面分析: 1) “防君子式”网络隔离 内部办公网络和工厂网络缺乏有效隔离,未划分安全域进行防护,导致办 公网络的攻击或病毒蔓延至工厂网络,造成生产影响。 2) 不安全的通讯协议 工业控制协议非标准化,且大多存在安全隐患,例如 CAN、DNP3.0、Modbus、 IEC60870-5-101。 3) 不安全的远程访问 为方便维修工程师和供应商的远程调试,未对远程访问部署安全措施和监 控,此类远程访问功能可能是攻击者利用率最高的漏洞之一。 4) 复杂的结构 工控系统的结构相对于 IT 环境而言更为复杂,攻击面较多。典型的工控环 境一般会有以下组成部件:控制器(PLC、数控车床、DCS)、SCADA 系统、 工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等,其中 任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。 从主机与设备来分析: 1) 认证与授权 为了日常使用方便,重要控制系统未设置密码、设置弱密码或共用密码, 将密码贴在现场机器上,这些“便利”往往也为攻击者的入侵提供了极大的便利。 2) 防病毒软件 未安装病毒防护软件,未及时更新病毒库,非正版软件等。14创道硬科技研究院3) 操作系统陈旧性硬科技复兴联盟研究报告之工控安全现在的工厂环境中,使用越来越多的计算机系统,然而由于工业控制系统的更新迭代的时间相比于 IT 系统要长很多,使得工业控制系统中存在大量陈旧的计算机系统,如 windows xp、windows 2003 等操作系统,存在大量可被攻击利用的高危漏洞。4) 默认配置许多工厂在安装设备时,使用了默认口令、默认路径,开启不必要且不安全的端口和服务等默认配置。5) 离线设备管理对于离线设备,往往认为是安全的,忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时,此类设备可能会成为安全体系的短板和缺口。从物理防护方面分析:1) 硬件调试接口重要控制系统的机架未上锁,或暴露在外的调试接口未有效防护。2) 物理端口未对 IPC 等通用接口进行有效管理或禁用,如 USB、PS/2 等外部接口,可能存在设备未授权接入风险,导致病毒感染或者程序非法修改。3) 外部人员访问人员进出车间管控不严,特别是外部人员,如供应商等。我国进入工业转型的快速发展期,智能制造推动着信息化与工业化的不断 融合,同时新的攻击形式层出不穷,导致工业控制系统的安全问题更加突出。 工业控制系统安全问题是内外交加导致,作为国家关键基础设施的重要组成部 分,其安全关系到国家安全。面对企业工控安全的薄弱基础,可因地制宜地逐 步消除企业自身工控系统的安全漏洞,如从弱口令密码整改开始,逐步推进漏 洞补丁升级、部署安全防护设备、完善安全管理制度、建立安全管理体系。在 消除薄弱基础的前提下,可以充分利用物联网技术、人工智能技术、大数据技 术,扩展企业工控安全范围,提高安全监测、预警、分析判断能力,提升安全15创道硬科技研究院态势感知能力,从静态防护走向动态防御。硬科技复兴联盟研究报告之工控安全1.2 产品分类1.2.1 工控安全产品全景图总体来说,工控安全需要建立事前事中事后防护系统。为实现功能安全前 提下的工业控制系统信息安全,需要构筑工业控制系统信息安全事前、事中和 事后的全面管理、整体安全的防护技术体系。工业控制系统信息安全内涵、需求和目标特性,决定了需要一些特殊的信 息安全技术和措施,在工业生产过程中的 IED、PLC、RTU、控制器、通信处 理机、SCADA 系统和各种实际的、各种类型的可编程数字化设备中使用或配 置,达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制 系统信息安全的基础技术是访问控制和用户身份认证,在此基础上发展了一些 通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。 为实现功能安全前提下的工业控制系统信息安全,需要构筑工业控制系统信息 安全事前、事中和事后的全面管理、整体安全的防护技术体系。1) 事前防御技术 事前防御技术是工业控制信息安全防护技术体系中较为重要的部分,目前 有很多成熟的基础技术可以利用:访问控制/工业控制专用防火墙、身份认证、 ID 设备、基于生物特征的鉴别技术、安全的调制解调器、加密技术、公共密钥 基础设施(PKI)、虚拟局域网(VPN)。2) 事中响应技术 入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内 部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破 坏网络的意图。IDS 有两种常见的形式:数字签名检测系统和不规则检测系统。 入侵者常常通过攻击数字签名,从而获得进入系统的权限或破坏网络的完整性。 数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对,根 据选择的灵敏程度,最终确定比对结果。然后,根据比对结果,确定攻击行为 的发生,从而阻断攻击行为并且通报系统管理员当前系统正在遭受攻击。不规16创道硬科技研究院硬科技复兴联盟研究报告之工控安全则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异,确定入 侵行为的发生且向系统管理员报警。例如,IDS 能够检测在午夜时分系统不正 常的活跃性或者外部网络大量访问某 I/O 端口等。当不正常的活动发生时,IDS 能够阻断攻击并且提醒系统管理员。以上两种 IDS 系统都有其优点和缺点,但是,它们都有一个相同的问题 ——如何设置检测灵敏度。高灵敏度会造成错误的入侵报警,IDS 会对每个入 侵警报作相应的系统动作,因此,过多的错误入侵警报,不仅会破坏正常系统 的某些必须的功能,而且还会对系统造成大量额外的负担。而低灵敏度会使 IDS 不能检测到某些入侵行为的发生,因此 IDS 会对一些入侵行为视而不见,从而 使入侵者成功进入系统,造成不可预期的损失。3) 事后取证技术 审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行 记录的文件,是工业控制系统信息安全主要的事后取证技术之一。因此,每个 对系统的访问及其相关操作均需要记录在案。当诊断和审核网络电子入侵是否 发生时,审计日记是必不可少的判断标准之一。此外,系统行为记录也是工业 SCADA 系统信息安全的常用技术。17创道硬科技研究院硬科技复兴联盟研究报告之工控安全资料来源:CSDN1.2.1.1 工控安全主要产品 工控防火墙 《信息安全技术 工业控制系统专用防火墙技术要求》指出,工业防火墙是 可应用于工业控制环境,专门为工业控制系统设计、开发、制造的工控安全状 态检测防火墙产品,可对工业控制系统边界以及工业控制系统内部不同控制域 之间进行边界保护。 工业防火墙与 IT 防火墙的主要差异体现在以下三点: (1)工业防火墙与 IT 防火墙数据过滤能力要求不同,工业防火墙除了具 有 IT 防火墙的通用协议过滤能力外,还应具有对工业控制协议的过滤能力; (2)工业防火墙比 IT 防火墙具有更高的环境适应能力; (3)工业防火墙比 IT 防火墙具有更高的可靠性、稳定性、实时性等要求。 同样的,工业防火墙也分为基础级和增强级,同时还根据工控系统层次情 况,分部署域间和部署现场控制层。18创道硬科技研究院 工控安全监测审计系统硬科技复兴联盟研究报告之工控安全工控安全监测审计系统专为工业控制网络研制的业务可视化安全检测和威胁监测的审计平台。基于行黑名单、白名单、自定义规则等多种安全策略,通过内置的工控协议深度解析引擎,实时监测和发现各种异常数据报文、异常的网络行为、非法入侵等,从而实现工业网络安全风险事前预防、事中发现、事后响应和追溯提供全息审计记录。 漏洞扫描/挖掘 工控漏洞扫描系统是采用已知漏洞检测和未知漏洞挖掘相结合的方式对工 业控制设备、工业控制系统、工业控制网络安全保护设备以及工控软件进行全 面自动化检测和漏洞挖掘的强大工具平台,能够精准检测信息系统中的各种脆 弱性问题,在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修 补建议。图片来源:国网浙江省电力公司科学研究院 工控安全评估系统 工控安全评估系统以相关的国际及行业规范为依据,对国家关键基础设施 进行合规性检查,对企业资产进行漏洞扫描及管理,对工控网络进行旁路审计 并对异常行为实时告警,并根据检查结果生成专业检测报告,提供整改建议, 帮助企业用户弥补漏洞。 主机安全防护 主机安全防护系统只允许系统操作或运行受信任的对象可以很好地适应工控环境、相对固定的运行环境,并将非法程序隔离在可信运行环境外。通过签19创道硬科技研究院硬科技复兴联盟研究报告之工控安全名证书的白名单,能确保经过签名的可信应用程序正常升级、加载和拓展,避 免因软件升级导致应用无法运行的情况发生,并能为工控上机位(工程师站、 操作员站等)与工控服务器(应用服务器、实时数据服务器、历史数据服务器、 OPC 服务器)提供全面的安全管理、检测、防御和安全加固。 入侵检测 入侵检测是一种对网络传输进行实时监视,在发现可疑传输时发出警报或 者采取主动反应措施的网络安全设备。它能实时监测工控网络状态,检测包括 溢出攻击、RPC 攻击、WebCGI 攻击、拒绝服务攻击、木马、蠕虫、漏洞利用 等网络攻击行为。产品检测网络上的所有数据信息,根据指定的保护目标及检 测策略对网络中可疑流量或攻击行为进行实时报警。 它通常由 4 个组件构成:事件产生器(Event Generator)、事件分析器(Event Analyzer)、响应单元(Response Unit)、事件数据库(Event Database)。事 件产生器从整个计算环境中获得事件,并向系统的其他部分提供此事件的原始 数据。事件分析器分析采集到的原始数据,并产生分析结果。响应单元是对分 析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等反制手段, 也可以只是简单的报警。事件数据库是存放各种中间数据和最终数据的存储资 源,它可以是复杂的数据库,也可以是简单的文本文件。 入侵防御系统 入侵防御可应用于工业控制网络环境,能检测入侵行为的发生,而且能通 过一定的响应方式,实时地中止入侵行为的发生和发展,保护信息系统不受实 质性的攻击。它可以直接串联到网络链路中对常规网络通信恶意数据包进行检 测,阻止入侵活动,预先对攻击性的数据包进行自动拦截,使它们无法造成损 失。入侵防御系统使得入侵检测系统和防火墙走向了统一。 网闸 网闸全称安全隔离网闸,是一种由带有多种控制功能专用硬件在电路上切 断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网 络安全设备。网闸在两个不同安全域之间,通过协议转换的手段,以信息摆渡 的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过,帮助用20创道硬科技研究院硬科技复兴联盟研究报告之工控安全户防护来自网络的病毒传播、黑客攻击等行为,避免其对控制网络的影响和对 生产流程的破坏。图片来源:天融信 网关 工业安全隔离网关是专门为工业网络应用设计的安全隔离设备,用于解决 控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安 全防护的问题。它具备 ARP 防护、病毒防护等插件以应对网络攻击、工控病毒、 特种木马等多种安全威胁,为工业控制系统提供纵深防御,是快速、高效、全 面的工业控制系统安全解决方案。 PC 安全卫士 工控主机安全卫士系统是一套对操作员站、工程师站和服务器等工控系统 主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单”思想, 采用与其相反的轻量级“白名单”方式,可以快速有效阻止如震网病毒、 BlackEnergy 等工控恶意代码在主机上的执行、感染和扩散。在此基础上,对 U 盘等移动存储介质也做了安全防护和管理,防止病毒木马通过移动存储介质在 内网主机上交叉感染。产品有单机版和网络版两种形态,网络版本可以对部署21创道硬科技研究院硬科技复兴联盟研究报告之工控安全在主机上的主机安全卫士进行集中管控,包括策略统一下发、软件统一管理、 日志统一查看、外设统一管控等。 USB 安全隔离装置 USB 安全隔离系统是一种专门针对不可信 USB 存储设备与可信计算机之 间进行安全文件传输,过滤 USB 存储设备上的文件,防范病毒而设计的工控安 全产品。USB 安全隔离系统通过网络接口与内部网络连接,采用外设杀毒技术, 对 USB 存储设备上的文件进行病毒查杀;采用先进的软件“白名单”防护机制, 对 USB 存储设备上的文件进行过滤;有效防范已知恶意病毒,阻止各类未知恶 意软件对可信计算机带来的威胁。保证 USB 存储设备上的数据安全、完整、快 速的传输到可信计算机。 蜜罐 蜜罐好比情报收集系统,本质上是一种对攻击方进行欺骗的技术。它通过 布置一些作为诱饵的智能设备、主机、网络服务,诱使敌方对它们实施攻击, 从而对攻击行为进行捕获、分析,了解攻击方所使用的工具和方法,推测攻击 意图和动机。蜜罐技术能够让防御方清晰地了解其所面临的安全威胁,并通过 技术和管理手段来增强实际系统的安全防护能力。 探针 工控安全探针能够针对异构数据源进行适配采集,通过深度学习、远程校 准,实时侦测工业场景中各种异常行为。主要分布式部署于生产调度区各层汇 聚交换机上,通过镜像流量实现对各层链路利用率、业务分部情况、服务带宽 占用等进行监测,通过构建攻击知识库实现对工控网络恶意行为的诱捕、存储、 分析,对不正当行为进行关键工控事件检测,最后由工控安全监测评估系统汇 总、分析后给出监测报告。 攻防安全室/工控安全移动实验室 移动实验箱以小型工业控制系统为基础,模拟典型工业现场环境,融合工 控安全防护和审计解决方案,通过自动化系统实验、工控网络攻击实验、工控 网络攻击防护实验、工控网络监测和异常行为分析四大典型实验内容,将理论22创道硬科技研究院硬科技复兴联盟研究报告之工控安全教学和实践应用高度融合,实现工控网络安全攻防演练功能。分为双页和单页 试验箱。图片来源:公众号 安全管理平台 工控安全管理平台明确定位为一个集成解决方案,利用丰富的、强大的安 全软件,结合同意管理系统,对网络环境进行监测和感知潜在威胁。产品的核 心工作在于负责收集和关联各种安全信息,发现网络中资产的脆弱性和对发生 的攻击行为进行报警,对即将发生的攻击行为进行预测。 工控安全态势感知系统 工控安全态势感知平台通过采集工业生产相关网络的关键资产数据、威胁 数据和脆弱性数据等,利用统计分析和数据挖掘等方法,根据不同行业特点建 立风险模型,依据模型对所采集的数据进行关联和融合分析,识别能引起工控 网络安全态势变化的安全要素,展示网络当前的安全状态,并预测未来发展趋 势。 工控网络安全态势感知技术架构主要包括安全数据采集、数据预处理、态 势评估分析、态势预测、态势展示、态势告警与响应等 6 部分。23创道硬科技研究院1.2.2 等保 2.0 框架下产品形态硬科技复兴联盟研究报告之工控安全在等保 2.0 的基础上,立足于“一个中心、三重防护”对工控安全产品进行分 类。其中,一个中心是安全管理中心,三重防护分别为安全通信网络、安全区域 边界、安全计算环境,对应的产品分别为工业审计类产品、工业防火墙/网关、 入侵检测类产品、主机防护类产品。1.3 工控安全产品应用场景基于工业控制系统 5 个层次划分,可以进一步对工控网络进行分区管理, 主要包括企业管理区和生产调度区,工控安全监测防护部署示意图如下:24创道硬科技研究院硬科技复兴联盟研究报告之工控安全图片来源:公众号企业管理区内分外网和内网两部分,外网应当设立安全控制策略,进行边 界数据包过滤、恶意代码防范、非法外联和入侵行为探测,加强网络边界的审 计和防护;内网管理应当设立安全管理中心,对内网的系统(例如 OA 系统、邮 件系统、门户网站等)进行统一认证、安全存储、漏洞检测、病毒查杀等。生产调度区主要包括生产管理层、过程控制层、现场控制层、设备层。生 产管理层负责生产任务的数据管理、计划安排、设计存储等;过程控制层、现 场控制层是对现场设备进行过程控制和实时控制。生产调度区各层都应做好对 应的漏洞检测、入侵检测、病毒防护,保护好相关工控数据流,防止网络攻击 行为的发生,以及对反常行为进行预警报告。为保证工控网络系统正常生产、25创道硬科技研究院硬科技复兴联盟研究报告之工控安全稳定运行,工控网络各分区间应部署网络隔离装置,以保证分区的交互安全, 同时部署增加工控网络安全监测系统,以对整体网络行为进行全生命周期监测、 存储和分析,形成网络安全实时态势感知,以有效应对隐蔽性威胁。1.4 工控安全产品应用领域工控安全产品可广泛应用于油气、石化、市政、环保、交通、烟草、智能 制造、能源(电力)、冶金等各行业领域,其中电力与石油化工行业占据了工 控安全 60%市场份额。为行业客户的工控系统提供适当防护、安全监测与记录 等功能,并提升奇工控网络的安全防范能力。其它行业如关键制造、通信等同样面临工控安全风险,根据中国产业信息 网的数据,工控安全事件所属行业中,关键制造与通信行业分别以 22%、21% 居于第一、第二。图片来源:网藤科技1.5 工控安全技术理念目前市场上工控安全技术理念主要以监、评、防、融四大核心功能为主: (1)监测预警:对接入互联网的工业控制系统面临的威胁态势进行监视, 并对工业控制网内部进行全时段、全流量及多业务分析,构建早期异常行为和 攻击前兆特征发现预警能力,提供工控信息安全事件的追溯能力。 (2)攻防评估:以高逼真度工业控制系统攻防演示仿真环境为基础,分析 工控设备、网络、协议、系统、应用、软件及工艺流程等方面存在的漏洞,同 时评估其存在的风险,并开展合规性检查,并利用演示环境评估安全方案的可26创道硬科技研究院行性、稳定性等。硬科技复兴联盟研究报告之工控安全(3)体系防御:以工业控制安全生产为前提,通过安全分域、边界防护、密码保护、流量监控等手段,提供工控信息安全解决方案和服务,强化工控信息安全管理能力,保障工控信息系统的运行安全。(4)融安于用:以围绕军工、核工业、石油石化、轨交、烟草、冶金等行业的安全需求,促进信息安全与行业应用的深度融合,确保工控系统应用安全,提升工控安全产品的可靠性,满足客户定制化需求,增强用户“敢用”、“会用”、“管用”的最佳实践图片来源:CETC根据行业内企业的访谈,现阶段工控安全的企业主要还是在体系防御方面 发力,主要满足企业对于等保 2.0 的检查需求,因为我国自动化起步较晚,但 是发展迅速,导致了安全方面并没有跟上自动化的发展,大部分企业并未部署 工控安全设施,所以公安部、工信部、保密局等都出台了相关工控安全的相关 法规、建议等;其次就是检测系统部署,监测预警系统主要产品形态为态势感 知平台、工业安全审计相关产品(日志审计等),根据同中能融合的沟通,其 正在发电系统部署的能源互联网中的态势感知平台是监测预警相关的方案;而 市场中也有专门做攻防测试的机构。27创道硬科技研究院2. 行业概述硬科技复兴联盟研究报告之工控安全2.1 行业发展情况工业领域安全事件频发,驱使各国出台相应政策加以应对,进而带动工控安 全市场发展。由于我国工控安全行业起步较晚,尚处于行业追赶期,目前国外工 控安全市场在体系建设、政策标准、产品自主可控等方面均较国内具有显著优势。 但随着我国数字化转型进程的稳健推进、顶层建设的日益完善以及充足资金的持 续流入,我国工控安全市场将迎来爆发式增长。2.1.1 国家层面安全事件频发伊朗“震网”病毒事件 2010 年伊朗核设施受到 Stuxnet 病毒攻击,导致 20000 台离心机被摧毁,浓缩铀被毁。乌克兰电网遭受网络袭击 2015 年 12 月乌克兰电网遭黑客攻击,约 70 万 户家庭供电被迫中断。我国部分医疗电力系统遭勒索软件攻击 2019 年 8 月湖北、山东等地的医 疗、电力系统的电脑遭遇 uroboros 勒索病毒攻击。经分析发现,该病毒的破坏仅 在部分有限的情况可解密恢复。委内瑞拉的全国范围断电事件 2020 年 5 月委内瑞拉国家电网干线遭到严 重攻击,除首都加拉加斯之外,11 州府发生大规模停电。美国燃油管道商遭勒索软件攻击停运事件 2021 年 5 月 9 日美国燃油、 燃气管道遭攻击,17 州和华盛顿特区进入紧急状态。一系列安全事件表明,工业领域已成为信息安全乃至国家安全的新战场。28创道硬科技研究院硬科技复兴联盟研究报告之工控安全图片来源:启明星辰2.1.2 国内市场概述:政策端高度重视工控安全,安全体系仍面临诸多挑战国家政策方面将工控安全上升到国家战略地位,近年来频密出台政策利好工控安全发展,但整体而言现有标准和安全体系不够完善,有待进一步补充强化。时间文件具体政策2015 年 5 月 《中国制造 2025》把信息互联技术与传统工业制造相结 合,形成生产智能化,提高资源利用 率,以此来推动整个国家竞争力。2016 年 11 全国人大《- 中国人民共和 进一步界定了关键信息基础设施的范月国网络安全法》围、对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施等。该法旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。2017 年 11 月国务院-《关于深化“互联 网+ 先进制造业”发展工 业 互联网的指导意见》提出“建立工业互联网安全保障体系、 提升安全保障能力”的发展目标,部署 “强化安全保障”的主要任务,为工业 互联网安全保障工作制定了时间表和路线图。29创道硬科技研究院2017 年 11 月 2017 年 12 月2018 年 6 月 2018 年 6 月2018 年 9 月 2018 年 10 月工信部-《关于开展 2017 年电信和互联网行业网 络安全时点示范工作的 通知》 工信部《- 工业控制系统信 息 安全行动计划 (2018-2020 年)》工信部《- 工业互联网发展 行 动计划 ( 2018-2020 年)》 公安部《- 网络安全等级保 护条例》公安部《- 公安机关互联网 安全监督检查规定》市场监管总局、国标委《信息安全技术网络安 全威胁信息格式规范》硬科技复兴联盟研究报告之工控安全在网络安全威胁监测预警、态势感知 等八个方面引导企业加强技术手段建 设,增强企业防范和应对网络安全威 胁的能力,拉动网络安全产业发展, 提升电信和互联网行业网络安全技术 防护水平。 到 2020 年,一是建成工控安全管理 工作体系,企业主体责任明确,各级 政府部门监督管理职责清楚,工作管 理机制基本完善。二是全系统、全行 业工控安全意识普遍增强,对工控安 全危害认识明显提高,将工控安全作 为生产安全的重要组成部分。三是态 势感知、安全防护、应急处臵能力显 著提升,全面加强技术支撑体系建设, 建成全国在线监测网络,应急资源库, 仿真测试、信息共享、信息通报平台 (一网一库三平台)。四是促进工业 信息安全产业发展,提升产业供给能 力,培育一批龙头骨干企业,创建 3-5 个国家新型工业化产业化产业示范基 地(工业信息安全)。 2020 年前,安全管理制度机制和标准 体系基本完备。企业、地方、国家 三 级协同的安全技术保障体系初步形 成。 将风险评估、安全监测、通报预警、 案事件调查、数据防护、灾难备份、 应急处置、自主可控、供应链安全、 效果评价、综治考核等重点措施纳入 等级保护制度并实施;将网络基础设 施、重要信息系统、网站、大数据中 心、云计算平台、物联网、工控系统、 公众服务平台、互联网企业等全部纳 入等级保护监管。 《规定》明确,公安机关应当根据网 络安全防范需要和网络安全风险隐患 的具体情况,对互联网服务提供者和 联网使用单位开展监督检查,以保障 互联网服务提供者和个人合法权益。 对网络安全威胁信息进行结构化、标 准化描述,以便实现各组织间网络安 全威胁信息的共享和利用,并支持网30创道硬科技研究院2019 年 3 月 2019 年 3 月 2019 年 5 月 2019 年 9 月 2020 年 4 月 2020 年 6 月2021 年 1 月2021 年 3 月国务院《- 中央企业负责人 经营业绩考核办法》市场监管总局、网信办《关于开展 APP 安全认 证工作的公告》 市场监管总局、国标委《信息安全技术网络安 全等级保护条例》工信部《- 关于促进网络安 全产业发展的指导意见》工信部、发改委-《网络安 全审查办法》全国人大《- 中华人民共和 国数据安全法》工信部《- 工业互联网创新 发展行动计划 (2021—2023 年)》国务院-《政府工作报告 2021》硬科技复兴联盟研究报告之工控安全络安全威胁管理和应用的自动化。 新版较旧版增加了网络安全事件的考 核要求,有助于极大增强相关企业负 责人的网络安全意识并增加网络安全 相关的投入,为《网络安全法》的贯 彻落实提供支撑。 APP 安全认证工作开展,目的在于规 范移动互联网应用程序收集、使用用 户信息特别是个人信息的行为,加强 个人信息安全保护。 已发布的网络安全等级保护 2.0 的核 心标准,明确了网络系统的等保定级 标准,尤其明确了云计算、移动互联 网、物联网和工业控制系统的安全扩 展要求。 落实《中华人民共和国网络安全法》, 到 2025 年,培育形成一批年营收超过 20 亿的网络安全企业,网络安全产业 规模超过 2000 亿。 关键信息基础设施运营者采购网络产 品和服务,影响或可能影响国家安全 的,应当按照《办法》进行网络安全 审查。确立数据分级分类管理以及风险 评估,检测预警和应急处置等 数据安 全管理各项基本制度;保护组织、个 人的数据安全;建 立保障政务数据安 全和推动政务数据开放的制度措施; 支持促 进数据安全与发展的措施。统筹工业互联网发展和安全,提 升新型基础设施支撑服务能力,拓展 融合创新应用,深化商用密码应用,增 强安全保障能力,壮大技术产业创新 生态,实现工业互联网整体发展阶段 性跃升。 要发展工业互联网,搭建更多共性技 术研发平台,提升中小微企业创新能 力和专业化水平。此外,等保 2.0 政策重磅来袭,将驱动整个工控安全行业发展态势变革。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的政策安排,也是我国网络空间安全保障体系的重要支撑。31创道硬科技研究院硬科技复兴联盟研究报告之工控安全2019 年 5 月 13 日《信息安全技术网络信息安全等级保护基本要求》国家标准正式发布,2019 年 12 月 1 日正式实施,标志着我国网络安全等级保护工作正式进入 2.0 时代。等保 1.0 vs 等保 2.0保障体系 定级对象评测周期 评测及格分 技术要求其他新增要求等保 1.0 被动防御:一个中心三重防护 (防火墙、入侵检测、防病 毒),以防为主信息系统三级的每年一次、四级的半年 一次60 分以上 包括技术要求(物理安全、网 络安全、主机安全等)和管理 要求(安全管理机构、安全管 理制度、人员安全管理等)共 290 项-等保 2.0 全方面主动防御:事前、事中、 事后;感知预警、动态防护、 安全监测、应急响应等 基础信息网络、工业控制系 统、云计算平台、物联网、移 动互联网、其他网络、大数据 等多个系统 三级以上系统每年一次75 分以上 更新为技术要求(安全物理环 境、安全通信网络、安全计算 环境等)和管理要求(安全建 设管理、安全运维管理、安全 管理机构和人员等)共 232 项 新增对新型网络攻击行为防 护和个人信息保护等新要求; 新增入侵防范(防火墙、IDS、 IPS 等)、恶意代码防范(邮 件防护)、集中管控(VPN、 堡垒机、终端安全软件、SOC/ 态势感知等)、安全审计(日 志审计)等等保 2.0 明确新增工控等新安全领域拓展要求,由此利好包含工控在内的四大信息安全新蓝海。等保 2.0 新增多项要求,以此来驱动新产品采购,拉动工控安全产品需求。新增要求项集中在入侵防范、恶意代码防范、集中管控、安全审计等方面,此外安全管理平台和态势感知成为新检查重点。等保 2.0 新增新项目:属性要求角度网络和通信安 入侵防范 全新增要求项 应保证跨越边界的访问和 数据流通过边界防护设备对应产品 防火墙、IPS、IDS32创道硬科技研究院设备和计算安 全应用和数据安 全入侵防范恶意代码防 范 集中管控集中管控 集中管控 集中管控 集中管控 安全审计 集中管控 安全审计硬科技复兴联盟研究报告之工控安全提供的受 控接口进行通信;应采取技术措施对网络行 为进行分析,实现对网络公 司,特别是未知的新型网络 攻击的检测和分析;APT、流量回测应在关键网络节点对垃圾 邮件进行检测和防护,并维 护垃圾邮件防护机制的升 级和更新; 应能够建立一条安全的信 息传输路径,对网络中的安 全设备或安全组件进行管 理;邮件防护 VPN应对网络链路、安全设 备、网络设备和服务器等的 运行状况进行集中监测;堡垒机应对分散在各个设备商的 审计数据进行收集汇总和 集中分 析;日志审计应对安全策略、恶意代码、 补丁升级等安全相关事项 进行集中管理;终端安全应能对网络中发生的各类 SOC、态势感知 安全事件进行识别、报警和 分析;访问控制的颗粒度应达到 主体为用户级或进程级,客 体为稳 健、数据库表级; 应能发现可能存在的漏洞, 并在经过充分测试评估后, 及时修补漏洞; 应强制用户首次登录时修 改初始口令;应重命名默认 账号或 修改这些账号的默 认口令;应及时删除或停用 多余、过期的账号,避免共 享账号的存在。日志审计 终端安全 日志审计资料来源:网络安全等级保护测评中心尽管工控安全发展得到高度重视,但我国工控安全体系仍处于不成熟阶段,同国外发展相比存在一定差距。33创道硬科技研究院硬科技复兴联盟研究报告之工控安全图片来源:方正证券研究所1)工控系统安全防护问题严峻我国企业工控网络安全基础薄弱, 安全技术和运维能力亟待提高;根据我国国家工业信息安全产业发展联盟统计的数据显示,我国工控系统 95%以上仍存在漏洞,65%属于中高危漏洞,33%属于高危漏洞,可以轻易被远程控制。 设备漏洞问题 工控系统中的硬件设备、操作系统、应用软件等存在大量漏洞和安全配置薄弱项,普遍缺乏安全防护手段和感知能力 远程访问问题 监控系统网络直接连入办公内网开启远程桌面服务,此服务的开启为攻击者开辟了一条攻击的路径和权限。 违规外联和移动存储介质滥用 工控系统的使用运维人员工控安全意识淡薄,为方便实时掌握生产信息,将重要的生产管理服务器违规接入互联网和使用移动存储介质,安全应急响应体系不完善,缺乏应急响应支撑工具 防护设备零部署问题工控系统在安全检测与安全防护能力比传统网络要低很多,甚至有的工控系统基本没有安全防护能力,工控系统整体暴露在网络攻击下。2)工控设备产品进口依赖度较高整体而言,我国工控产业对国外设备、技术依赖度较高,核心的工控产品国产化率不到 35%,比如 PLC 控制器本土化率不足 10%。由于我国大部分工控系统核心控制模块从国外引进,而国外工业控制系统产品设计和配置等都可能存在漏洞。这些漏洞的存在将使得我国工业生产企业乃至国家安全受到威胁,并可能34创道硬科技研究院硬科技复兴联盟研究报告之工控安全受到硬件设备生产国操纵,进而阻碍我国工业自动化自主可控的发展进程。2.1.3 国外市场概述:大力推进工控安全建设,技术创新方面保持优势近年来,世界各国都在政策、标准、技术、方案等方面展开了积极应对,目前国际上已形成相对成熟的标准化工控安全体系,国外政策构建相对完善。国外出台的重点工控安全政策:国家/地区 美国德国 英国 法国 欧洲日本时间主要政策2003 年 将工控安全视为国家安全优先事项2008 年 列入国家需重点保护的关键基础设施范畴2009 年 2015 年 1 月 2015 年 4 月颁布《保护工业控制系统战略》;在 CERT 组织下面成立工 业控制系统网络应急相应小组(ICS-CERT) 总统奥巴马拜访美国国土安全部国家网络安全与通信集成中 心(NCCIC),提出针对网络安全信息共享的立法提案 国防部发布第二版网络战略报告,指导美国网络力量的发展, 加强网络防御建设与网络威慑力量公布《德国网络安全战略》,作为指导网络安全建设的纲领 2011 年 2 月 性文件立法要求关键基础设施企业和机构实施更强大的信息安全标 2015 年 7 月 准,同时联邦机构将扩展至国际安全网络中心,提升其访问与恶意攻击相关的外部数据权限工程和物理科学研究委员会(EPSRC)总投资 250 万英镑资 2014 年 10 月 助大学开展对国家重要工业控制系统(ICS)的网络安全开展新研究在全国安全系统信息机构(ANSSI)的引领下,各行业相关 2013 年 2 月 机构和法国政府机构联手成立一个信息安全工作组,旨在在提高关键基础设施的网络安全方面巩固具体和实操的计划2014年12月欧洲网络与信息安全局( ENISA)针对工业控制系统发布了 《对网络安全的 ICS/ SCADA 专业技能认证》欧洲委员会跟欧洲网络安全组织(ECSO)签订了促进网络信 息安全解决方案研究和发展的协议。在这个合作关系下,欧2015 年 8 月 盟委员会声明将投资 4.5 亿欧元于 Horizon2020 研究创新项 目,ECSO 将在 2020 年之前持续投资 13 亿欧元在其联盟 国家内提高网络安全解决方案的研究与发展举行网络安全战略本部会议,制定了新的《网络安全战略》,2015 年 5 月提出了“信息自由流通”、“法治”、“对使用者的开放性”、“主 动遏制恶意行为的自律性”、“政府和民间等多方面的合作”等 5 项原则就现行发展阶段而言,国外工控安全厂商在技术创新、研发等方面先行一步。国外传统信息安全、工控安全厂商,比如西门子、施耐德电气、思科,均在35创道硬科技研究院硬科技复兴联盟研究报告之工控安全工控安全领域展开深入研究,并凭借多年专业积累提供了众多成熟技术。国外专 业工控安全厂商提供专业技术优势,推出多款自主可控工控安全产品。此外,美国作为工控安全建设领域的领头者,大力构建多位一体的工控安全 保障体系,推动全球工控安全市场发展。在管理方面给予高度重视,设立专有机 构加强保障;在技术方面创设技术一流的研发实验室,保障技术领先优势;在产 业方面构建完善的产业链,且与相关技术管理机构强强联合,形成工控安全保障 体系有力支撑。上述多重因素奠定了国外工控安全领域企业的市场领先地位。2.2 产业发展现状及趋势我国工控安全行业已经度过教育市场阶段,处于强政策驱动合规性需求阶段, 增长趋势较确定,3-5 年后会进入到全行业市场化普遍需求的阶段。当前阶段,整个行业的核心驱动来自于国家自上而下的合规性要求。 国家发布的《中国制造 2025》、“两化融合”、“互联网+”等政策对工控安全 行业的驱动在于加快工业制造领域信息化的进程,信息化的提高使得工业系统所 面临的安全风险迅速增加,带来对工控安全的潜在需求;包括我国 5G、IDC、 大数据相关行业也在快速发展,新的通信方式催生了新的攻击形态,使得我国在 数字、工业安全方面形成了自上而下的驱动基调,由公安部、保密局牵头的等保、 分保合规检查,护网行动等直接拉动了安全类产品的需求;《网络安全法》、《工 业控制系统信息安全行动计划》等政策则是明确提出要提升企业安全防护的能力。 而 2019 年 12 月发布的“等保 2.0”将工业控制系统纳入保护对象,对其安全要 求做出法律上的规定,这意味着工控安全上升至法律责任。 行业在 3-5 年后会进入到全行业市场化普遍需求的阶段。 工业控制系统安全的防护思路,随着政策逐步优化及我国自动化、工业互联 网+及 5G 的发展,未来 3-5 年将会进入内生安全层。内生安全层从两个角度来 看,一方面为因目前工业控制系统为进口,缺少自主可控,系统多年未优化,存 在诸多漏洞,未来我国自动化产业发展壮大,可控后在安全上面就更加自主,这 给已经与国内领先的自动化企业合作的工控安全厂商提供了机会;另一方面,伴36创道硬科技研究院硬科技复兴联盟研究报告之工控安全随互联网+等新一代网络和统信方式的发展,工业行业尤其为新能源、烟草、轨 交、智能制造、水务等在安全需求方面将会从满足合规性产品需求到市场化普遍 自身安全需求。2.3 行业产品需求不同 工控安全发展的不同阶段对于企业在产品和服务端需求不尽相同,具体如下:2.3.1 培育市场阶段(2016-2019 年)市场规模小,企业自动化覆盖率低,因安全不创造利润,而是成本方,企业 对安全无需求和意识,培育阶段工控安全企业无产品体系或照搬信息安全产品体 系。需要与客户一起打磨产品、贴近客户、了解客户需求,不断演进和完善产品 线。2.3.2 政策性驱动阶段(2020-2023 年)2019 年 12 月等保 2.0 实施后,增加工控安全应用,强制要求企业在工控 安全方面有相应防护产品,故本阶段产品围绕满足等保需求产品,基于垂直行业 深度的自动化理解能力、全面的且具备创新型产品能力及整体解决方案能力为 核心需求点。2.2.3 内生发展阶段(2024 年后)政策性需求满足后,企业自身对于工控安全的需求进一步扩大,物联网、工 业互联网及 5G 的应用,安全成为必备和基础,未来的安全将在新型场景和新 网络产生的大数据下的安全模型需求加大,基于行业大数据分析模型逐渐成为 行业核心需求点。37创道硬科技研究院2.4 行业市场规模硬科技复兴联盟研究报告之工控安全2.4.1 市场驱动力工控安全市场在外部驱动及内生需求的驱动下,未来 3-5 年将迎来大规模 爆发。外部驱动的因素诸多,总体还是以国家政策的大力推动为主。我国的“十四 五规划”、中国制造 2025 等国策会大力发展工业 4.0、产业自动化,我国 5G、IDC、 大数据相关行业也在快速发展,由于近年来安全事件频发,又因为国际形势的变 化,新的通信方式催生了新的攻击形态,使得我国在数字、工业安全方面形成了 自上而下的驱动基调,由公安部、保密局牵头的等保、分保合规检查,护网行动 等直接拉动了安全类产品的需求。另一方面,也因为自动化、数字化的发展,使得我国自动化进程较快的行 业对于安全的自发的需求急剧增加,所以很多大型厂商自发的在构筑工业自动化 的同时开始了对安全方面的探索。2.4.2 市场规模一方面,2019 年之前我国工控安全行业市场规模较小(2017 年仅为 3.66 亿元),2020 年到 2024 年将会是工控安全行业爆发周期,具体测算依据可根 据 Gartner 发布的《Gartner 全球 IT 支出预测》,2018 年中国 IT 支出为 24000 亿+,信息安全占 IT 支出的 1%-2%,欧美市场在 10%左右,根据工信部颁布38创道硬科技研究院硬科技复兴联盟研究报告之工控安全的《工业控制系统信息安全 2018-2020》,我国工控安全占信息安全支出比例的 1%,全球市场为 10%左右,这样推出我国工控市场随着信息安全预算增加未来 至少有 200 亿的空间;另一方面,工控设备涉及能源、智能制造、轨交、燃气、化工、烟草等多领 域,以垂直细分行业满足等保 2.0 工控安全最基本要求产品为例,即一个中心 (管理平台)三层防护(防火墙、入侵检测、安全审计、主机防护);图片来源:网藤科技根据对行业内公司的走访,了解到一下信息石油行业:以中石油下属某公司举例:100 套装置整体投入预算大约 8000 万元,每家单位按照 4000 万计算,中石油(95 家分公司)和中石化(84 家分公司)的预算超过 70 亿元,加上中海油,石油石化整体空间不低于 100 亿元。电力行业:全国电力发电侧有 6000 家电厂,其中 4000 家接入国家安全网络,每家电厂最少有 2 台机组(一般为 4 台左右),一套满足工控安全产品单价大约为 50 万元,那么电力发电侧在网 4000 家电厂对于满足政策强制性要求的工控安全产品市场规模为:4000*2*50=40 亿元,仅电力发电侧规模至少 40 亿,整个电力市场规模超过 100 亿元。轨道交通:2020 年底全国轨道交通已开通了近 200 条,每条工控安全投入1000 万元,预计市场空间不低于 20 亿元。智能制造:国内有 450 万制造企业,未来 10 年左右时间预计有 10%-20%的企业会实现工业互联网,预计工控安全市场空间不低于 50 亿。综上,以等保政策性要求,除电力在工控安全布局方面布局较早(2019年),其他行业均在 2020 年应国家政策,开始推等保要求,故为增量市场; 2020年为工控安全元年,未来 5 年将为工控安全企业快速增长时期,等保市场规模39创道硬科技研究院在 300 亿左右。硬科技复兴联盟研究报告之工控安全3. 行业壁垒3.1 技术层面门槛看团队,团队是否有较优秀的安全、自动化的背景,核心是团队是否能够理 解工控安全防护技术和工控系统结合;目前行业普遍存在人才紧缺——又懂行业 又懂技术的人很少,从侧面也说明了细分市场的技术门槛确实存在,并且不低, 人才的培养也是需要较长时间积累。看渠道,在自动化方面布局,自动化厂商有着大量的用户群体基础,对于用 户的工控安全产品选择具有较大话语权。自动化企业在工控系统有着多年的行业 积累,但在信息安全方面略显不足,与自动化厂商深度合作有望实现双赢。综上,工控安全企业需要技术和综合人才的结合,有着较高的技术门槛;又 需要跟自动化厂商深度合作,有着较高的行业运营的门槛。3.2 完备的产品体系和整体服务能力门槛根据“等保 2.0”相关标准,工业控制系统分为企业资源层、生产管理层、过 程监控层、现场控制层和现场设备层:企业资源层主要包括 ERP 系统功能单元, 用于为企业决策层员工提供决策运行手段;生产管理层主要包括 MES 系统功能 单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等; 过程监控 层主要包括监控服务器与 HMI 系统功能单元,用于对生产过程数据进行采集与 监控,并利用 HMI 系统实现人机交互; 现场控制层主要包括各类控制器单元, 如 PLC、DCS 控制单元等,用于对各执行设备进行控制; 现场设备层主要包括各 类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。各个层次的 业务应用、实时性要求以及不同层次之间的通信协议有所不同,需要部署的工控 安全产品或解决方案也各有差异,因此丰富的产品体系体现了企业的技术研发实 力。安全产品需要拿到公安部的销售许可,根据行业访谈了解到,销售许每 2 年40创道硬科技研究院硬科技复兴联盟研究报告之工控安全一次年检,通过后方可销售安全产品,并且根据行业分析,等保的要求和需求、 公安部对于安全产品的审核科目都在不断地根据市场做更新,所以如果想要持续 的拿到销售许可,需要不断地对产品进行迭代,而迭代的前提是需要不断地同信 创体系(国产芯片操作系统等)完成适配、不断地更新解析工业协议并且更新工 业协议在控制器中的作用等,最终才能维持其完整的产品体系。工控安全公司必 须对工业协议进行分析,要结合客户的自动化场景,研究在自动化生产的核心参 数,解析工业协议在不同场景的运用,需要了解包括底层控制器的生产行为等核 心参数,且在防御保护的过程中不能影响其自动化生产,存在较高的门槛。3.3. 参与标准制定存在门槛当前阶段,我国工控安全行业的发展对政策依赖性较高,参与行业标准的制 定既体现了公司的影响力与技术实力,又有利于公司产品的规模化产出。我国工 控系统信息安全标准体系按照安全等级、安全要求、安全实施和安全测评四个方 面展开,参与撰写标准对于公司理解标准,根据标准设计安全解决方案提供了重 要的支撑。综上,工控安全行业需要工业自动化技术支持的全产品线研发能力、安全 产品和服务同行业客户的磨合、提供全套解决方案能力和服务大 B 的经验是行 业核心需求。而行业制高点在于基于对垂直行业深度理解的整体安全服务能力, 是基于自动化的安全产品研发能力,未来将是基于大数据的行业安全建模防护 能力。4. 行业竞争情况4.1 行业竞争格局1、整体竞争格局相对分散,竞争激烈 主要参与方包括四类:传统信息安全厂商,自动化背景厂商,IT 集成商或 网络安全供应商,以及专注工控安全的厂商。从目前行业主要参与企业的产品来 看,整体在防火墙、网络隔离设备、应用白名单等方面的产品线相对较完整。41创道硬科技研究院硬科技复兴联盟研究报告之工控安全2、竞争对手普遍产品同质化较严重,对渠道和资源强依赖 根据工业信息安全产业发展联盟的统计,目前行业产品仍以防护类产品和管 理类产品为主,包括工业防火墙、工业网络隔离设备和应用白名单等产品由于技 术成熟度较高,且是工业企业在工控安全防护方面的刚需,管理类产品受益政策 标准等合规性需求的影响,整体仍呈现较高的景气度。监测类产品总体规模小队 较小,但整体处于快速增长的趋势。 3、行业已现初具规模企业 一级市场方面,工控安全行业已出现年收入过亿企业——威努特、六方云、 安帝、长扬和天地合兴,市场给出估值均在 10 亿以上; 二级市场方面,传统网安巨头奇安信、深信服、天融信、绿盟等分别布局, 或投资或直接参与,但因行业跨度较大,在工控安全领域并未显现直接竞争力。4.2 公司分析4.2.1 上市公司公司 启明星辰主营业务与主要产品业务规 模主营业务:公司是全面型的 企业级网络安全厂商,为政企用 户提供网络安全软件、软/硬件 一体化产品、平台化产品及安全 运营与 服务,公司用户覆盖政 府、电信、金融、制造业、能源、 交通、医疗、教育、传媒等各行 业。公司是国内极具实力的、拥 有完全自主知识产权的网络安 全产品、可信安全管理平台、安 全服务与解决方案的综合提供商。公司为 深交所上市 公司,根据 2020 年报,公 司营收 36.47 亿元,净利润 8.04 亿元; 2019 年营收 30.89 亿元, 净利润 6.88亿元。工控相关 产品产品差异化程度行业地位:入侵检测/入侵防御、统一威胁管理、安全管理平台、运维安全审计、入侵检测与防 御(IDS/IPS)、 统一威胁管理 (UTM)、安 全管理 平台 (SOC )、 数 据安全、数据 库安全审计与 防护、堡垒机、 网闸等。数据审计与防护市场占有 率第一位,同时在安全运 营、工业互联网安全、政务 /企业云安全等新兴安全领 域保持市场领先地位。作为 信息安全产业的领军企业, 已经成为政府、电信、金融、 税务、能源、交通制造等国 内高端企业级客户的首选 品牌特点:1、25 年的专业知识及技术积累;2、有完善的专业安全产品线,上百个产品型号;3、超高水准技术团队,在 IT 系统漏洞42创道硬科技研究院奇安信安恒信息 深信服硬科技复兴联盟研究报告之工控安全挖掘与分析、恶意代码检测与对抗领域拥有市场领先的核心技术积累;4、拥有 最高级别的涉密计算机信息系统集成资质及多项专利行业地位:公司是行业领先的企业级网络安全产品及服务提供商,公司为国内首家在网络安全行业营业收奇安信专注于网络空间安全市 场,主营业务为向政府、企业客 户提供新一代企业级网络安全 产品和服务。凭借持续的研发创 新和以实战攻防为核心的安全 能力,公司已发展成为国内领先 的基于大数据、人工智能和安全 运营技术的网络安全供应商。公司为科创 板上市公司, 根 据 2020 年 报,公司营收 41.61 亿 元 , 净利润亏损 3.34 亿 元 ; 2019 年 营 收 31.54 亿 元 , 净利润亏损 4.95 亿元。基础架构安全 产品、新一代 IT 基础设施防 护产品以及大 数据智能安全 检测与管控产 品。入迈入 40 亿大关的网络安 全公司,也是国内企业网络 安全领域中体量最大、技术 人员最多的网络安全公司。 公司终端安全、安全管理平 台、安 全服务、云安全排 名行业第一,UTM、Web 安全、安全内容管理等位居 行业前列。 特点:1、全领域覆盖的综 合型网络安全厂商,具有全 面的产品布局。2、公司核 心技术众多,领先的研发技术创新能力。3、优质的客户群体、丰富的行业经验和科学完善的营销体系;4、网络安全领域的著名品牌;5、实战经验丰富;行业地位:公司核心基础安全产品持续多年市场份额安恒信息是一家信息安全技术 服务商,提供应用安全、数据库 安全、网站安全监测、安全管理 平台等整体解决方案。安恒信息 凭借团队深厚的技术背景和丰 富的安全市场经验,形成了明 御、明鉴等较为完整的安全产品 线,涉及应用安全和数据库安全 市场,与互联网管理机构、评测 中心和多家世界五百强企业多 有合作。公司为科创 板上市公司, 根 据 2020 年 报,公司营收 13.23 亿 元 , 净 利 润 1.34 亿 元 ; 2019 年营收 9.4 亿 元,净利润 9222 万。位居行业前列。公司核心产品的前瞻性和影响力也获公司提供工控 得了国内外权威机构认可。安全整体解决 特点:1、领先的技术创新方案,主要产 能力;2、多年的技术研发品为防火墙、 沉淀和经验积累;3、规模主 机 安 全 卫 庞大的专业安全服务团队;士、漏洞扫描、 4、完整的业务体系,具备审计等。较强的综合服务能力;5、优质的客户群体、丰富的行业经验。5、网络信息安全领域著名品牌;6、聚焦细 分领域形成专业化壁垒深信服专注于企业级网络安全、 公 司 为 深 交 VPN、上网行 行业地位:根据 IDC 的统43创道硬科技研究院绿盟科技 天融信硬科技复兴联盟研究报告之工控安全云计算及 IT 基础架构、基础网 所上市公司, 为管理、应用 计 结 果 显 示 , 深 信 服 的络与物联网的产品和服务提供 根 据 2020 年 交付、下一代 VPN、全网行为管理连续超商,公司一直围绕解决企业级用 报,公司营收 防火墙、终端 过 10 年保持中国市场占有 户的 IT 问题拓展自身业务,立 54.58 亿 元 , 安全、安全态 率第一,下一代防火墙、超志承载各行业用户数字化转型 净 利 润 8.09 势感知、云安 融合、桌面 云、应用交付过程中的基石工作,让各政府部 亿 元 ; 2019 全、安全服务 等核心产品也排名前列。同 门、医疗和教育等事业单位、各 年 营 收 45.9 等安全产品和 时获得众多国内外专业机类金融机构、电信运营商、能源、 亿元,净利润 解决方案。 各行业商企组织等在内的企业 6.81 亿元。 级用户的 IT 更简单、更安全、构的好评。特点:1、对网 络安全和云计算领域具有 深厚的积累和行业理解;2、更有价值。横跨众多行业的广泛销售渠道;3、良好的用户口碑;行业地位:国内领先的企业级网络安全解决方案供应商。在漏扫、物联网、云安全、威胁情报和 AI 攻防领域技术的与时俱进和领先主营业务:专注于信息安全产品 的研发、生产、销售及为客户提 供专业安全服务。通过持续的产 品自主研发、技术创新,公司为 客户提供网络安全产品、全方位 安全解决方案和体系化安全运 营服务,客户覆盖政府、 运营 商、金融、能源、互联网以及教 育、医疗等行业的企业级用户。公司为深交 所上市公司, 根 据 2020 年 报,公司营收 20.1 亿元,净 利 润 3.01 亿 元;2019 年营 收 16.71 亿 元,净利润 2.27 亿元。安全评估、安 全检测、安全 防御、安全平 台等。水平。公司传统安全产品 IDS/IPS、WAF、ADS 等都 处于市场领先水平,并且多 次入选国际权威资讯结构 报告。在新兴安全领域,绿 盟的态势感知平台也具有 一定竞争力。多次入选国内 外权威研究机构的奖项。特 点:1、专注信息安全产品, 具有全面的产品线;2、20年深耕,产品丰富,技术积累深厚;3、行业领先的技术优势及持续的技术进步性;4、优质的客户群体和 丰富的行业经验公司为深交主营业务:中国领先的网络安 所上市公司,全、大数据与云服务提供商,公 根 据 2020 年司为政府、金融、运营商、能源、 报,公司营收卫生、教育、交通、制造等各行 28.32 亿 元 ,业客户提供网络安全产品、大数 净 利 润 5.02据产品和云服务,致力于帮助客 亿 元 ; 2019户降低安全风险,创造业务价 年 营 收 24.17值。亿元,净利润3.93 亿元。网络安全及大 数据产品和安 全云服务,主 要向广大客户 提供安全防 护、安全检测、 安全接入、数 据安全、 云安 全、大数据、 安全云服务、 云计算和企业 无线九 大类行业地位:中国领先的网络 安全、大数据与云服务提供 商。连续 19 年位居中国网 络安全防火墙市场第一。 特点:1、全面的产品链条; 2、覆盖领域广泛;3、对全 行业覆盖的产品体系和营 销体系;4、遍布全国的营 销体系;5、在产品种类与 型号数量方面均处于业界 领先44创道硬科技研究院硬科技复兴联盟研究报告之工控安全产品及服务4.2.2 非上市公司公司名称 威努特天地合兴 木链科技 六方云主要业务可知业务规模 工控相关产品威努特成立于 2014 年,公司规模 300 人,总部位于北京,并在上海、广州、南京、天津、西安、成都等全国多地建立了分公司与办事处。以率先独创 根据公开数据, 目前工控安全细的“白环境”整体解决方案为 公司 2020 年营 分市场龙头,同核心,深度结合工控系统安全 收规模超过 1.5 标的公司高度竞特点研发了覆盖工控网络安 亿元,净利润 争;专注于电网全的 5 大类 30 款自主可控产 4000 万元和轨交行业。品,并提供工控安全咨询、安全培训、风险评估、安全检测、安全应急、安全建设及运维等全生命周期工控安全服务。成立于 2007 年,是国内较早从事工业网络安全的专业厂 商。公司总部位于北京,在全 国设有 10 多个分支机构。用 户遍布全国 29 个省级行政区, 覆盖电力、石油石化、轨道交 通、智能制造、钢铁冶金和军 工等多个国家关键信息基础工业防火墙、安 全审计、检测评 估类产品,业务 主要涉及电力、 石油、轨交等方 面设施行业。杭州木链物联网科技有限公司是面向工业互联网,专注于业务涉及工控安工控安全产品开发、技术研究全防火墙、网络的国家高新技术企业,为客户隔离/网闸。目前提供产品定制及全业务流程从公司提供的合的安全服务,已打造军工、烟同中未发现木链草、电力能源、轨道交通、智科技的采购合能制造等多个行业整体解决同。方案。六方云借助人工智能技术仿 2020 年收入规 拥有保护工业互生人体免疫机制,针对工业互 模大约 1 亿元 联网设备层、边联网和物联网,创造性地提出 2021 年 C 轮 缘层、企业层及了“AI 基因、威胁免疫”,采用 融 资 融 资 额 产 业 层 的 “5+1”“+AI”和“AI+” 战略将人工智 1.5 亿产品线。六方云资本投资奇安信投资2021 年 3 月 D轮 融资 3 亿 元松禾资本、 毅达资本、 上创新微、 白杨投资、 如山资本国投创业、 赛伯乐、普 华资本、惠 商紫荆、遂 真投资、华 旦天使投 资、翼丰投 资 盛宇投资、 达晨创投、 拓金资本、 中科科创、 盈峰控股45创道硬科技研究院网藤科技 默安科技 安盟信息 长扬科技硬科技复兴联盟研究报告之工控安全能技术应用于全系列产品,构为标的公司客建安全威胁免疫系统。户,采购网闸产品,采购原因系技术互补。以“守护工业命脉,保障关键 安全”为理念,以维护关键信 息基础设施安全为目标,以工 业控制网络安全技术为核心, 专注于关键信息基础设施网 络安全解决方案的高科技创 新企业。工控安全整体解 决方案,涉及防 火墙、网闸、安 全审计、USB 隔 离等,业务主要 涉及石油行业, 并涉及轨交、电 力;深创投、基 石资本、动 平衡资本默安科技推出贯穿完整业务生命周期的左移开发安全DevSecOps 与 智 慧 运 营 安 全业务涉及云平台AISecOps 的下一代企业安全安全整体解决方体系。凭借完整“平台+工具+案、资产暴露安 深信服、真服务”的 SDL/DevSecOps 全流全解决方案、红 格、东方富程解决方案,抓源头、治漏洞、蓝对抗等;专注 海、前海母灭风险,为政企数字化业务安于金融、能源、 基金、金沙全赋能;以在国内率先发布并央企、运营商、 江创投等落地的欺骗防御为突破口,智教育、医疗、精能化整合安全数据与防御能尖制造力,形成集检测、响应和决策于一体的安全运营体系。公司之前为新安盟信息产品被广泛应用于 三板公司,目前公检法、税务、国土、军工、 已经摘牌。2019军队、航天、金融、交通、能 年 公 司 营 收源、冶金、化工、医疗等高安 5245 万,净利全需求行业,并得到了广大用 润 1304 万;截户的认可与好评。我们的安全 至 2020 年半年专家会基于产品功能为您的 报,公司营收业务实现高安全的防护。2916 万,净利业务涉及工控安 全,提供工控安 全解决方案,同 标的公司高度竞 争;专注于政府、 金融、能源、电 信等行业。润 368 万元。为石化、电力、 柒玖投资、烟草、轨交、冶 基石资本、专注于工业互联网安全、工控安全态势感知和视觉 AI 安全 大数据应用等,有 100+人技 术研发团队和 50+人技术服务 团队2020 年 至 2021 年三轮融 资 融资金额超 5亿金、军工等行业 提供整体解决方 案,主要产品为 防火墙、网闸、 审计、主机安全国家电投、 百度、合创 资本、中海 创投、宁波 联创永浚投卫士、检查工具 资、中信证箱、平台等。 券、中桥资46创道硬科技研究院珞安科技 中京科技 安帝科技 英赛克科技硬科技复兴联盟研究报告之工控安全本、1898 创投、深创投、国元创投珞安科技主要为电力、石油石化、冶金、化工、轨道交通、智能制造、烟草、军工、市政等行业用户提供融合业务特 点的行业解决方案和专用的 安全产品,持续保障国家关键 基础设施稳定运行。同时可为 客户提供安全治理与规划、风2021 年、 2021 年分别两轮融 资融资金额几 千万公司业务为工控 安全整体解决方 案,产品设计防 火墙、网闸、安 全审计、入侵检巢生投资、 同创伟业、 尚颀资本、 容亿投资险评估、渗透测试、攻防试验、测系统等应急响应、安全培训、合规检测、等保咨询等全流程的安全服务。提供 S/E/A 三领域融合产品,以 Security 为前提,以 Ethernet为主要通讯手段,以 Automation 为目标行业。一直 致力于综合自动化、信息化、 远程控制&维护、远程能源等 自动化与和安全技术,为工业 自动化架构提供安全、易用、 远程的运行环境,是目前对工 业协议解析最全、最专业的工 业安全厂商,业务范围涵盖电 力、能源、制造、烟草、冶金、全系列工控安全 产品和解决方 案,涵盖安全防 御、安全检测、 安全审计、安全 启明星辰 评估、安全平台、 安全工具、自动 化等“软件+硬 件” 产品轨道交通和市政基础设施等多行业智能工控安全服务提供商,主要为水利、电力企业提供工控 安全智能化整体解决方案,依 托自主开发底层代码,提供工 业设备运行工况 AI 建模法的 工控安全智能产品及防护系 统,包括工控网络安全监测审 计系统、工控网络安全移动实收入过亿,估值 主要提供审计、 10 亿,主要为 移动试验箱、防 中能融合提供 火墙等产品,主 态势感知产品, 要涉及电力、石 80% 以 上 后 入 化、水利、矿业 来自中能融合。 等。达晨创投验箱、工控网络防火墙等。英赛克科技成立于 2015 年 6 月,公司专注于工业协议转换公司专注于工业 协议深度分析,的深度分析和信息安全的攻业务涉及工控防防系统研究,将科研转化成产 品和服务,在工业信息和控制火墙、隔离系统/ 网闸,客户为军网络为用户提供合适的安全工、能源、市政、47创道硬科技研究院盛道科技 力控华康 博智安全 神州慧安硬科技复兴联盟研究报告之工控安全解决方案。针对目前工业自动制造、石化、交化领域设备、车间和企业之间通、医疗等行业存在严重的信息孤岛的问题,用户为工业网络安全提供基于智能设备与上层管理计算机之间的通讯安全、不同控制网络之间的组网安全和控制设备的检测与审计的产品和服务。成立于 2015 年,是一家专注 于工业互联网安全领域的高新技术企业。公司以多年工业 互联网安全技术研究、产品开 发、服务推广的雄厚基础,以 收 入 大 几 千 服务稳健安全的工业互联网、 万 , 估 值 5-8 重塑自主可控安全生态环境 亿 为已任,紧跟行业最新技术动 态,着力研发工业互联网安全专注于石化行业工控安全整体解决方案,产品涉 及防火墙、网闸、天融信审计、检测评估等咨询服务和产品,提供按需务实的行业安全解决方案。是一家工业网络及安全产品 研发提供商,提供整体安全解 决方案,产品有适用于工业控 制系统的工业隔离网关 pSafetyLink 、 工 业 通 信 网 关 pFieldComm 、 工 业 防 火 墙 HC-ISG 等系列产品。主要为石油化工、电力、烟草、钢铁冶炼等;提供整体解决方 案,产品为防火绿盟科技墙、网闸、审计、网关、管理平台等;专注于新一代信息安全领域 的产品和解决方案服务商,主 要产品为“安全御”系列和“博 智”系列产品和解决方案。公 司的信息安全产品和解决方 案涵括计算机和网络安全、云 计算安全、大数据安全、工控 安全等诸多领域。主营业务涉及电 力、水利、工业 自动化、核能、 通信、轨交等方 面,主要产品是 主机卫士、防火 墙、风险评估、 审计、感知等。中国宝安、 达晨资本、 龙鼎投资、 中科科创、 鼎兴量子、 上海清科创 投专注于工业控制网络安全领 域的创新型高科技公司。公司 以自主研发的立体工控安全 产品为基础,面向能源、化工、 制造、军工、轨交、钢铁等行 业客户提供领先的整体解决 方案。同时提供工控安全咨询 培训、风险评估、漏洞挖掘、 渗透测试、攻防演练、安全大业务涉及电力、 轨交、烟草、燃 气等,提供整体 解决方案,主要神州数码 产品是防火墙、 网闸、主机卫士、 审计、入侵检测 等。48创道硬科技研究院数据分析等支撑服务。硬科技复兴联盟研究报告之工控安全5. 投资可行性分析从行业发展层面来分析,在中国制造 2025,十四五规划等政策推动下,我国工业自动化发展存在必然性。虽然我国在现阶段依然通过政策推动工控安全行业的发展,但是随着 5G、物联网等新的通信方式的出现,新的攻击形式也会随之出现,通过过往国内外工业企业被攻击的案例,我国企业自身也将出现对于安全服务的迫切需求。从市场、竞争角度分析,我国传统信安企业(尤其是上市公司)自身的传统业务的成长空间依旧巨大,通过对部分上市公司财务数据的对比,其业绩年增长率基本为 30%以上,对于工控安全新兴市场多采用投资等资本途径进行布局,并且早在 2017 年奇安信、深信服、绿盟等业内巨头均开始投资或者控股工控安全细分赛道的企业。而工控安全是基于工业协议之上的,传统的自动化企业,如徐工信息、树根、南自维美德、浙大中控等企业对于工控安全细分市场反而存在较大的渗透的可能性,因为自动化企业最擅长的领域也是在工业协议和工业大数据方面,同工控安全存在一定程度上的交叉,而工控安全很可能也会反向渗透自动化领域。在现阶段,自动化和安全还是以合作的形式为主,而且在短时间内认为不会出现竞争。但从市场方面来看,行业仍存在政策推动缓慢、自动化发展不急预期、产品额技术仍需突破及人才和经验匮乏的风险。从市场规模层面分析,随着中国制造 2025、IT 和 OT 两化融合、等保 2.0强政策推动、国际形势的驱动以及资本市场重点关注的拉动下,2021 年市场将达到 248 亿规模,预估每年将以 15%-30%以上增速快速发展,未来五年国内工控安全市场规模将达到 300-500 亿级,市场空间巨大。从投资可行性角度来看,可分别从技术创新、渠道推广、管理团队、战略方向、估值五个方面进行拆解剖析。技术创新角度:公司需具备差异化的核心技术壁垒1) 横向对比传统信息安全厂商和专业工控安全厂商,传统信息安全厂商49创道硬科技研究院硬科技复兴联盟研究报告之工控安全通过投资或转型参与工控安全市场,产品技术方面并不具备实质竞争力;新入局 专业工控安全厂商拥有深厚专业技术背景,具备推出自主可控产品能力。2) 可关注参与行业标准制定企业,企业参与行业标准制订可以间接体现 公司在工控安全领域的技术实力以及影响力,同时有利于公司产品的规模化产出。3) 多行业布局企业具备一定先发优势。虽然工控安全产品目前主要应用 于电力和石油化工行业,但随着相关行业标准及政策的推进,工控安全产品也将 在其他行业得到重点运用。且由于不同行业特性差异较大,无法快速实现跨行业 复制,因此多行业提前布局的公司可以在竞争中抢占先机。④单点深耕企业具备 较高技术壁垒。在单个行业领域或者单个产品方向垂直深耕的企业往往拥有健全 的产品技术体系,具备众多产权专利以及深度协议解析能力,构筑自由技术护城 河。渠道推广角度: 1)关注与自动化厂商深度合作企业。自动化厂商不仅在工控系统领域有着 多年经验积累,并且拥有庞大的用户群体,与自动化厂商深度合作有利于双方优 势互补。 2)公司配备强大的销售团队公司有利于对企业获客能力、客户关系维系能 力、业绩增长支撑形成有力保障。 3)与大客户(行业巨头、国企、政府)具有稳定合作关系的企业在业绩增 长方面具备确定性,并且背靠大客户资源有利于拓展企业营销渠道。 管理团队角度: 团队核心为 CEO,需要具备领导力,这是综合能力的体现——从战略、执 行到商务关系能力,安全企业较其他行业的 CEO 要求更全面。团队核心成员需 具备顶尖工控系统制造与信息安全背景、多年行业经验积累的核心团队能够为企 业战略发展做出精准决策,及时把握行业发展趋势并做出战略调整。目前已知部 分工控安全企业初创团队脱胎于华为、匡恩网络等知名企业,比如威努特、网藤 科技、木链科技等,这些企业均具备鲜明的工控基因。在企业不同阶段(天使-IPO) 对管理团队的能力要求也不同,需要重点关注。 战略方向角度: 应关注具备行业风向敏感度的企业。在现阶段,国家产业政策频密出台,50创道硬科技研究院硬科技复兴联盟研究报告之工控安全把握行业发展方向至关重要。尤其在数字化转型阶段,精准把握“云/大/物/智”新 兴安全需求的企业未来将迎来强劲的发展机遇。估值角度: 目前处于工控行业爆发期,机构对于暂时处于第一梯队的玩家给出的估值 偏高,比如处于第一梯队的威努特已经达到 15-20 亿的估值,预计 2021 年后, 市场估值将水涨船高,故 2021 年为工控安全投资较适合年份。 综上所述,工控安全市场未来的增长空间、想象空间巨大。国家工业互联 网的发展方向确定、新兴通信方式的发展、国际局势等多元因素正在刺激行业发 展,现阶段正在爆发前夕,行业中必然存在较好的投资机会。在进行企业投资时 应着重关注以上维度,筛选出具备增长潜力的企业。51创道硬科技研究院