物联网专题报告：物联网安全事件频发，市场规模进入快速增长期.pdf

证券研究报告 物联网专题报告 物联网安全事件频发，市场规模进入快速增长期 2019.3.25 温朝会(分析师) 电话： 020-88836105 邮箱： wenchhgzgzhs 执业编号： A1310516100001 摘要： 【物联网安全事件频发，市场规模复合增长率达到 33.2%】 我国物联网安全事件 2018 年前三季度比 2017 年增长高达 138%，物联网系统 所会遇到的安全问题总体可以归纳为两个方向数据被泄露和网络瘫痪。目前物联网 的安全体系主要是解决感知层的安全，从物联网安全网关、物联网扫描器以及物理 网态势感知平台三部分入手，实现感知设备层面的安全防护，防入侵、防扫描、防 漏洞、配置检查以及资产和威胁。根据 MarketsandMarkets 预测，2020 年全球物联 网的安全市场将从 2015 年的 68.9 亿美元增长至 289 亿美元，即 2015 年至 2020 年 的复合年增长率（CAGR）为 33.2%。 【 “智慧+产业”面临新一轮安全大考】 智慧城市：大量涉及国家安全、经济发展、社会公共利益和个人的重要数据一 旦泄露，将对城市的运行和管理造成重大打击并难以恢复，导致城市日常生活瘫痪 或造成重大经济损失，目前主流有十个建设智慧城市的要点。智慧安防：2017 年中 国门禁系统市场规模近 170 亿元，据预测 2018 年中国门禁系统市场规模有望突破 200 亿元。防御安全主要从数据源、安防领域网规范安防领域的安全构建。智慧环 保：智能环境的安全风险是攻击智能阀门，导致废水溢出；劫持系统设备；操纵命 令并且阻碍系统响应；利用传感器跟踪活动。由于主要是攻击设备应用层，目前主 流的应对方式是实时监控，注意异常事项的出现。智慧政务：政务系统安全主要面 临着 ISV 安全开发能力不足、缺乏纵深防御体系、缺乏未知威胁监测能力以及缺乏 整体持续监控能力， 因此应对的方法是增强主机安全防御能力、 Web 安全防御能力、 DDoS 攻击防御能力以及整体态势感知能力等。 【物联网设备端潜在的发展契机】 芯片：2017 年我国安全芯片市场接近 80 亿元，芯片级的网络安全必须以 EDA 工具为核心，首先是芯片层面的跨频道攻击防护策略，其次是供应链的安全管理机 制，第三则是芯片内部逻辑单元的木马侦测能力。摄像头：存在的漏洞类型包括命 令注入、授权、信息泄露、缓冲区溢出、弱口令、文件操作、XSS、拒绝服务、目 录遍历、固件漏洞等。从根本上解决摄像头安全问题，需以安全管理和安全技术相 结合。云平台：出现的安全威胁主要在数据存储、访问以及传输过程中。数据传输 的安全主要通过加密进行，实现加密储存，依赖于安全存储系统，安全存储系统包 括四个部分：存储阵列、PCI 加密卡、安全管理中心、密管代理。 【投资逻辑及重点标的】 物联网安全市场处于快速增长期， “智慧+产业”以及物联网设备安全防护存在 广泛的市场空间，建议重点关注全面布局物联网安全的卫士通以及在商用密码应用 和数据安全防护方面具有竞争优势的中宇万通和优炫软件。 【风险提示】物联网市场发展不及预期的风险，目前我国网络安全方面的投入占整 个 IT 比重仅约 2%，远低于欧美国家 10%左右的水平，预计恶性安全事件将刺激物 联网安全市场发展。 相关报告 1、 【行业深度】 万物互联时代开启， 智能控制器迎来黄金期20171027 2、 【物联网专题】率先受益万物互 联，无线模组行业进入快车道 20180705 3、小米 IOT 业务成为增长新引擎， 重 点 关 注 小 米 产 业 链 投 资 机 会 20180830 4、小米 AIoT 开发者大会召开，联 合业界伙伴打造消费物联网龙头 20181129 敬请参阅最后一页重要声明 证券研究报告 第 2 页 共 30 页 物联网专题报告 目录 目录 . 2 图表目录 . 3 1、物联网安全事件频发，安全市场成新的关注点 . 4 1.1 物联网设备直接暴露在互联网极易引致安全问题 . 4 1.2 资金+市场+政策三驾马车，物联网安全备受瞩目 . 6 1.2.1 物联网安全支出激增，未来市场空间可期 . 6 1.2.2 我国物联网设备暴露于互联网数量居全球前列，安全风险系数高 . 8 1.2.3 政策支持，物联网安全市场有望进一步加大投入 . 9 1.3 物联网安全主题下，建议关注“智慧+”和设备领域 . 10 2、 “智慧+产业”面临新一轮安全大考 . 12 2.1 智慧城市：构建核心安全体系层层击破. 12 2.2 智慧安防：从电子安防转型，源头上遏制安全风险的发生 . 15 2.3 智慧环保：注重平台化的搭建，实时监控安全威胁 . 17 2.4 智慧政务：配备全方位高等级的安全防御能力 . 18 3、物联网设备端潜在的发展契机 . 21 3.1 深耕芯片技术研发，力求解决漏洞困扰. 21 3.2 安全管理+技术双管齐下，消除隐藏在摄像头的安全隐患 . 22 3.2 以“加密”为核心抵御云平台的瘫痪 . 24 4、相关标的 . 25 4.1 卫士通(002268.SZ)：密码产品+信息安全产品+安全信息系统，全方位领跑物联网安全领域 . 25 4.2 中宇万通(835539.OC)：商用密码技术多年积淀，走在物联网安全前端 . 26 4.3 优炫软件(430208.OC):专注于数据安全防护，受益于物联网安全市场增长 . 27 5、风险提示 . 28 敬请参阅最后一页重要声明 证券研究报告 第 3 页 共 30 页 物联网专题报告 图表目录 图表 1 物联网应用系统模型 . 4 图表 2 物联网安全风险类型 . 5 图表 3 物联网安全体系 . 5 图表 4 2010-2025E 年全球物联网设备网数量（百万） . 6 图表 5 2012-2017 年中国物联网市场规模（亿元）及增长率（%） . 6 图表 6 2013-2018 年全球物联网发生的安全事件 . 7 图表 72015-2020 年全球物联网安全支出预测（亿美元） . 8 图表 8 中国与全球设备暴露于互联网的情况 . 8 图表 92013-2018 年物联网相关的政策文件梳理 . 9 图表 105 个物联网安全方面的国家标准梳理 . 10 图表 11 物联网体系架构 . 10 图表 12 物联网安全相关的投资方向 .11 图表 13“智慧+产业”投资方向 .11 图表 142017 年我国物联网细分领域投资笔数. 12 图表 152014-2022E 年中国智慧城市的市场规模（万亿元） . 13 图表 16 智慧城市 ICT 视角的技术参考模型 . 14 图表 17 智慧城市安全体系 . 15 图表 18 智慧安防系统详细剖析 . 15 图表 19 智慧安防产业链 . 16 图表 20 智慧安防安全问题解决体系 . 17 图表 21 2010-2018 年中国智慧环保市场规模（亿元）及增长率（%） . 17 图表 22 智慧环保架构 . 18 图表 23 2014-2017 年我国电子政务总体投资规模（亿元）及增长率（%） . 19 图表 24 智慧政务的推进因素 . 19 图表 25 智慧政务设计框架 . 20 图表 26 数据资源库总体架构 . 20 图表 27 智慧政务安全问题解决方案框架 . 21 图表 28 2015-2020E 年中国物联网芯片市场规模（亿元）及增长率（%） . 22 图表 292017 年摄像头渗透率（个/千人） . 23 图表 30 摄像头存在的漏洞类型 . 23 图表 31 物联网云平台按功能的分类 . 24 图表 32 数据加密储存体系结构 . 24 图表 33 阿里云平台安全解决方案图解 . 25 图表 342009-2017 年卫士通的收入（百万元）及增速 . 26 图表 35 2017 年卫士通业务拆分情况 . 26 图表 362013-2017 年中宇万通的收入（百万元）及增速 . 27 图表 37 2017 年中宇万通业务拆分情况 . 27 图表 382010-2017 年优炫软件的收入（百万元）及增速 . 28 图表 39 2017 年优炫软件业务拆分情况 . 28 敬请参阅最后一页重要声明 证券研究报告 第 4 页 共 30 页 物联网专题报告 1、物联网安全事件频发，安全市场成新的关注点 1.1 物联网设备直接暴露在互联网极易引致安全问题 物联网将每一个可以单独行使功能的物体用电子标签联结，从而实现万物联通。人们可以通过物联网 对机器、设备和人员进行集中管理、搜寻位置，实现物与物之间的信息交换与共享。 物联网的模型主要包括服务端系统、 终端系统和通信网络， 最具有物联网特色的是终端系统(由各种各 样的传感器、协议转换网关、通信网关、智能终端、刷卡机、智能卡等终端设备组成)；通过运行、管理和 控制终端系统从而实现物联网系统的操作。 图表 1 物联网应用系统模型 资料来源：物联网安全白皮书 2018、广证恒生 由于大量的物联网设备直接在互联网中暴露，一旦设备存在的漏洞被利用，容易导致设备被控、用户 隐私泄露、云服务端数据被窃取以及基础通信网络遭破坏等的安全风险。 一般物联网攻击分为四个步骤，分别是：静态分析、扫描、情报收集、发起攻击。物联网系统所会遇 到的安全问题按照其应用系统的模型可以分为服务端、终端和通信网络的风险，总体可以归纳为两个方向 数据被泄露和网络瘫痪。 敬请参阅最后一页重要声明 证券研究报告 第 5 页 共 30 页 物联网专题报告 图表 2 物联网安全风险类型 资料来源：物联网安全白皮书 2018、广证恒生 综上所述，物联网攻击主要通过硬件、软件和网络这三个方面进行，而目前我们所需要防范的物联 网安全威胁主要来源了数据隐私的泄露和网络系统的攻击导致的瘫痪这两个方面。 目前物联网的安全体系主要是解决感知层的安全，从物联网安全网关、物联网扫描器以及物理网态 势感知平台三部分入手，实现感知设备层面的安全防护，防入侵、防扫描、防漏洞、配置检查以及资产 和威胁。 图表 3 物联网安全体系 资料来源：绿盟科技、广证恒生 敬请参阅最后一页重要声明 证券研究报告 第 6 页 共 30 页 物联网专题报告 1.2 资金+市场+政策三驾马车，物联网安全备受瞩目 1.2.1 物联网安全支出激增，未来市场空间可期 近几年全球物联网产业发展迅猛，规模急速壮大，根据 IDC 数据，2018 年，全球物联网连接数（包 括蜂窝及非蜂窝）达到 115 亿，预测 2020 年将接近 300 亿。同时我国已将物联网列为国家重点发展的战 略性新兴产业。预计到 2022 年物联网市场规模将达到 7.2 万亿元。 图表 4 2010-2025E 年全球物联网设备网数量（百万） 资料来源：物联网安全白皮书 2018、广证恒生 再者，我国物联网市场空间巨大，根据中商产业研究院的数据，物联网从 2012 年开始发展稳步增 长，到 2016 年年复合增长率为 25.8%；2017 年中国物联网市场规模达到 11500 亿元，增长率为 24.0%。我 国物联网还未达天花板，用户数逐年提升，2017 年新增物联网用户 1.45 亿元，根据工信部数据显示，截 至 2018 年 6 月底，全国物联网终端用户已达 4.65 亿元。与物联网终端设备量的数据相比，用户数量只占 不到十分之一，未来物联网市场上涨空间可观。 图表 5 2012-2017 年中国物联网市场规模（亿元）及增长率（%） 0% 10% 20% 30% 40% 50% 0 2000 4000 6000 8000 10000 12000 14000 2012 2013 2014 2015 2016 2017 市场规模 增长率 资料来源：中商产业研究院、广证恒生 敬请参阅最后一页重要声明 证券研究报告 第 7 页 共 30 页 物联网专题报告 然而伴随着物联网产业的高速发展，物联网攻击事件频发:隐私泄露、非法入侵、局部网络破坏等。 未来随着物联网规模进一步扩大，攻击物联网的破坏力将进一步扩大，其安全问题越来越成为社会的关 注点。 我国物联网安全事件 2018 年前三季度比 2017 年增长高达 138%，预计 2019 年我国物联网的事发数量 将从 2018 年的 7648 件增长至 56121 件，与 2018 年相比增长近六倍。 图表 6 2013-2018 年全球物联网发生的安全事件 时间 事件 2018 年 媒体曝出全球最大 CPU 制造商、迎来知天命之年的英特尔遭遇“史诗级”漏洞的冲击。 有意思的是，这个问题其实覆盖了主要 CPU 生厂商，并非英特尔一家，影响全球所有桌 面系统、电脑、智能手机及云计算服务器。 2018 年 国家药监局发布大批医疗器械企业主动召回公告， 其中美敦力、 GE、 雅培等大牌均在列。 召回设备包括磁共振成像系统、麻醉剂、麻醉系统、人工心肺机等。公告显示召回共涉 及设备产品超过 24 万，主要原因在于软件安全性不足。 2017 年 成都双流连续发生多起无人机(无人飞行器)黑飞事件，导致百余架次航班被迫备降或返 航，超过万名旅客受阻滞留机场，经济损失以千万元计，旅客的生命安全和损失更是遭 到了巨大的威胁。 2017 年 美国自动售货机供应商 Avanti Markets 遭遇黑客入侵内网。 攻击者在终端支付设备中植入 恶意软件，并窃取了用户信用卡账户以及生物特征识别数据等个人信息。该公司的售货 机大多分布在各大休息室，售卖饮料、零食等副食品，顾客可以用信用卡支付、指纹扫 描支付或现金支付的方式买单。Avanti Markets 的用户多达 160 万。 2016 年 美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击，导致 Twitter、Netflix、 Spotify、AirBnb、CNN、华尔街日报等数百家网站无法访问。此次网络攻击中，黑 客利 用了大量的物联网设备，影响之恶劣可谓是“史上最严重 DDoS 攻击”。 2015 年 HackPWN 安全专家演示了利用比亚迪云服务漏洞，开启比亚迪汽车的车门、发动汽车、 开启后备箱等操作。 2014 年 360 安全研究人员发现了特斯拉 Tesla Model S 车型汽车应用程序存在设计漏洞， 该漏洞可 致使攻击者可远程控制车辆，包括执行车辆开锁、鸣笛、闪灯以及车辆行驶中开启天窗 等操作。 2013 年 美国知名黑客萨米 卡姆卡尔在 “优兔” 网站发布一段视频， 展示他如何用一项名为 SkyJack 的技术，使一架基本款民用无人机能够定位并控制飞在附近的其他无人机，组成一个由 一部智能手机操控的“僵尸无人机战队”。 资料来源：DoNews、360 企业安全网、新浪新闻、国家药监局、广证恒生 根据物联网安全白皮书，在过去 3 年内接近 20%的企业或相关机构至少遭受一次物联网的攻击，因此 企业不断加大在物联网安全防卫方面的支出，根据 MarketsandMarkets 预测，2020 年全球物联网的安全市 场将从 2015 年的 68.9 亿美元增长至 289 亿美元，即 2015 年至 2020 年的复合年增长率 （CAGR） 为 33.2%。 安全支出的增加侧面反映了物联网安全防护的需求在日益增加，未来物联网安全领域将会是物联网发展 的重要方向。 敬请参阅最后一页重要声明 证券研究报告 第 8 页 共 30 页 物联网专题报告 图表 72015-2020 年全球物联网安全支出预测（亿美元） 资料来源：MarketsandMarkets、广证恒生 1.2.2 我国物联网设备暴露于互联网数量居全球前列，安全风险系数高 物联网容易出现安全问题主要是由于设备暴露于互联网，容易被黑客等不法份子所利用。而我国的 物联网设备暴露于互联网的设备占全球总的 12.42%，路由器、视频监控设备等各类设备暴露于互联网与 全球的比例基本超过 10%以上，其中网桥占比高达 98.46%。我国物联网设备暴露于互联网的数量位居全 球前列，面临较高的安全风险威胁，因而物联网安全是未来我国在发展物联网的道路上首先面临的一大 难题，也是必须攻陷的一座大山。 图表 8 中国与全球设备暴露于互联网的情况 资料来源：物联网安全白皮书 2018、广证恒生 敬请参阅最后一页重要声明 证券研究报告 第 9 页 共 30 页 物联网专题报告 1.2.3 政策支持，物联网安全市场有望进一步加大投入 产业的发展离不开国家政策的支持，从 2013 年国家开始提出物联网专项发展战略到今天，物联网产 业跟随着政府制定的产业发展的战略部署，一步一个脚印发展到今天，基本框架已经构建起来，物联网 已经被列为国家重点发展的战略性新兴产业。在 2018 年工信部紧跟着出台了物联网安全白皮书，将 目前物联网安全的现状、防护策略发展方向一一详细阐述，可见国家目前十分重视物联网安全问题尽快 的落地。 同时在今年刚刚召开的两会上，人大代表郭永宏建议完善监管体系保护用户隐私，可见现在各界人 士都在关注物联网安全的问题，如何做好物联网的防护工作是下一个阶段的重心，政府重视这个问题有 望投入更多的财政支持物联网安全工作的开展。 图表 92013-2018 年物联网相关的政策文件梳理 时间 文件 部门 内容 2018 年 物联网安全白皮书 工信部 详细分析了物联网安全发展的态势、风险模型、 防护策略以及未来发展展望 2017 年 物联网 “十三五” 规划 工信部 明确了物联网产业“十三五”的发展目标：完善 技术创新体系，构建完善标准体系，推动物联网 规模应用，完善公共服务体系，提升安全保障能 力等具体任务。 2016 年 中共中央关于制定国 民经济和社会发展第十 三个五年规划的建议 十八届五 中全会 “十三五”规划将全面落地，助力物联网行业加 速发展。物联网智能化已经不再局限于小型设备 阶段，而是进入到完整的智能工业化领域。 2015 年 车联网发展创新行动 计划 （2015-2020） 工信部 推动车联网技术研发和标准制定，组织开展车联 网试点，基于 5G 技术的车联网示范。 2013 年 物联网发展专项行动 计划(2013-2015) 发改委 包含了顶层设计、标准制定、技术研发、应用推 广、产业支撑、商业模式、 安全保障、 政府扶持、 法律法规、人才培养 10 个专项行动计划。各个 专项计划从各自角度，对 2015 年物联网行业将 要达到的总体目标作出了规定。 资料来源：政府文件、物联网安全白皮书 2018、广证恒生 2017 年我国出台了国家网络安全等级保护基本要求，包括云安全等级保护，移动互联网的等级保 护，工业互联网的等级保护和物联网等级保护，而在 2018 年 12 月 28 日，全国信息安全标准化技术委员 会的 27 项国家标准正式发布，其中涉及到物联网安全的就有 5 个标准将于 2019 年 7 月 1 日正式施行。 敬请参阅最后一页重要声明 证券研究报告 第 10 页 共 30 页 物联网专题报告 图表 105 个物联网安全方面的国家标准梳理 编号 文件名 内容 GB/T 37044-2018 信息安全技术物联网安 全参考模型及通用要求 统领性安全标准。本标准规定了物联网安全参考模 型， 包括物联网安全对象、物联网安全架构和物联网 安全措施，并针对物联网系统提出了安全通用要求。 GB/T 36951-2018 信息安全技术物联网感 知终端应用安全技术要求 对物联网感知终端安全的技术要求。 有基础级和增强 级两挡。对感知终端的物理、系统、接入、通信和数 据做了要求。 GB/T 37024-2018 信息安全技术物联网感 知层网关安全技术要求 对物联网感知层网关安全技术要求。从安全环境， 设 备安全，访问控制，入侵检测，安全审计以及安全保 障做了要求。 GB/T 37093-2018 信息安全技术物联网感 知层接入通信网的安全要 求 接入是指连接感知终端和信息网络构成物联网应用 的中间通路和环节，对接入安全要求。 有基本级和增 强级两档。感知设备标识，接入认证，访问控制、入 侵防护，隔离防护，密钥管理，日志等技术要求 GB/T 37025-2018 信息安全技术物联网数 据传输安全技术要求 对物联网传输的一般数据和敏感数据的安全技术要 求。有基础级（一般数据）和增强级（敏感数据）两 档。 资料来源：信息安全标准化技术委员会、广证恒生 1.3 物联网安全主题下，建议关注“智慧+”和设备领域 从物联网系统体系来看，投资方向可以从感知层、网络层、平台层和应用层这四个部分。感知层主 要是采集信息识别物体，这里容易出现信息泄露，识别有误的安全问题，相关投资方向为芯片和摄像 头；而网络层主要是传递和处理感知层信息，涉及的投资方向主要是传感器；平台层主要是各类应用推 动成果转化，主体是软件和 APP；最后的应用层主要是垂直领域，将物联网与用户相结合起来为智能终 端，涉及智慧+产业主题、车联网和工控安全这几个方面。