新三板TMT专题报告：工控安全爆发在即，百亿市场待掘金.pdf

证券研究报告 新三板 TMT专题报告 工控安全爆发在即，百亿市场待掘金 2019.9.12 魏也娜 （ 分析师 ） 电话： 020-88836105 邮箱： weiyngzgzhs 执业编号： A1310518090001 与市场不同之处： 由于工控安全行业尚处起步阶段，市场 主要着眼于行业驱动的解析。本文除了对行业增长空间做出自身研判外，还对其中的竞争力与投资机会进行解读， 希望对投资者有所启迪。 工控安全：尚处起步阶段，但增长趋势确定 我国工控安全行业当前规模较小， 2017 年为 3.66 亿元，但行业存在较大增长空间， 原因为我国工业领域的信息安全以传统 IT 安全为主，工业信息安全仅占 10%左右 ，我们认为此渗透率有望提升，背后逻辑在于： 1）两化融合的推进，使得传统工业现场相对封闭可信的制造环境逐渐被打破，以传统企业安全的防火墙为主的外建安全效力逐渐降低，内嵌安全需求激增，市场急需新的安全防护方案。 2） 工业系统的安全防护与传统 IT 安全思路有着很大不同，专业化的工业信息安全防护方案迎来增长点。 3）正是由于工业领域网络安全与传统安全的差异，国际 工业控制网络安全防护理念 已趋专业化， 我国安全防护体系的升级势在必行 。 根据我们的测算，对标全球市场，我国工控安全行业规模存在 236.1 亿元增长空间 。 “外部环境 +政策 +资本”共振，工控安全爆发在即 安全防护对于企业自身而言无法带来直接收益，其内生需求并不强烈。因此当前阶段，整个行业的核心驱动来自于国家自上而下的合规 性要求，而加快这一进程的“导火索”便是各国重大工控安全事件的爆发所带来的国家防患意识的提高 。 外部环境： 我国工控 体系安全防护薄弱，各行各业工控安全 事件 频发 ，此外我国工业信息安全漏洞数量近年来增长迅速， 2017 年我国工业信息安全漏洞数量达 350 个，为历史新高 。 政策： 此前发布的中国制造 2025、“两化融合”、“互联网 +”等政策对工控安全行业的驱动在于加快工业制造领域信息化的进程，信息化的提高使得工业系统所面临的安全风险迅速增加，带来对工控安全的潜在需求；网络安全法、工业控制系统信息安全行动计划等政 策则是明确提出要提升企业安全防护的能力 。而今年 发布的“等保 2.0”将工业控制系统纳入保护对象，对其安全要求做出法律上的规定，这意味着工控安全上升至法律责任 。 资本： 近年来国内多家工控安全的初创企业 获得多轮投资 ，资本的注入为行业发展增添动力 。 核心竞争力与投资机会解读 工控安全市场有三类参与主体：传统信息安全厂商、自动化背景厂商、专业工控安全厂商 ，我们从技术、渠道与未来规划对市场进行解析。 技术方面： 工控安全行业的技术门槛在于安全防护技术与各行业工控系统的深度结合 ， 因此我们认为可以从三个维度评判工控安全企业的技术实力： 1）团队背景 。 关注拥有顶尖工控系统制造与信息安全背景的核心团队 。 2） 产品体系 。 根据“等保 2.0”相关标准，工业控制系统分为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层 。 各个层次的业务应用、实时性要求以及不同层次之间的通信协议有所不同，需要部署的工控安全产品或解决方案也各有差异，因此丰富的产品体系体现了企业的技术研发实力 。3）行业标准制定。 当前阶段，我国工控安全行业的发展对政策 依赖性较高，参与行业标准的制定既体现了公司的影响力与技术实力，又有利于公司产品的规模化产出 。 渠道方面： 关注与自动化厂商深度合作的企业 。 自动化厂商有着大量的用户群体基础，对于用户的工控安全产品选择具有较大话语权 ，与其深度合作的企业更易于扩展市场。 此外 长期来看，建议关注在拥有上述特质外还在以下两方面提前布局的企业： 1）政策推进下，在多行业提前布局的企业 。 不同行业特性差别较大，无法快速实现跨行业复制，因此随着国家对工控安全的重视，以及相关行业标准与政策的推进，电力与石油化工外的行业存在爆发的可能，在其它领域提 前布局的企业将获得先发优势 。 2） 行业发展中后期的下沉阶段，率先挖掘中小企业市场的企业 。 当前的起步阶段，工控安全厂商出于扩张市场的目的，将把精力放在拓展大客户中，但行业发展的中后期，大型企业的安全防护已较为完善，其工控安全产品的主供应商也已确定，新进入者机会不大 。而在合规要求下中小企业对工控安全的需求有望提升，带来市场的新增长点 。 投资标的推荐 我们看好在核心团队背景、产品体系、行业标准参与、与自动化厂商的合作具有优势同时在政策推进与行业下沉下提前布局的企业。建议关注：珠海鸿瑞（ 839036.OC）、威努特、 匡恩网络、天地合兴 。 风险提示 政策风险；竞争加剧风险 相关报告 广证恒生 做中国新三板研究极客 敬请参阅最后一页重要声明 证券研究报告 第 2 页 共 21 页 新三板 TMT 专题 报告 目录 目录 . 2 图表目录 . 3 1. 工控安全：尚处起步阶段，但增长趋势确定 . 4 2. “ 外部环境 +政策 +资本 ” 共振，工控安全爆发在即 . 7 2.1 外部环境：安全事件频出，防护技术升级迫在眉睫 . 7 2.2 政策端：国家高度重视信息安全，产业政策充分利好 . 9 2.3 资本端： “ 资本寒冬 ” 下，国内外多家初创企业获前期投资 . 11 3三类主体协同共进，工控安全未来可期 . 13 3.1 竞争格局：合作或大于竞争 . 13 3.2 核心竞争力与投资机会解读 . 13 3.2.1 关注企业核心团队背景、产品体系、行业标准制定、与自动化厂商的合作 . 13 3.2.2 同时关注在政策推进与行业下沉下提前布局的企业 . 17 4.相关企业 推荐 . 18 4.1 珠海鸿瑞（ 839036.OC）：国内最早参与电力系统二次安全防护产品开发企业之一 . 18 4.2 威努特：产品类型丰富的工控安全领军企业 . 19 4.3 匡恩网络：多次 参与行业标准制定的工控安全初创企业 . 19 4.4 天地合兴：行业积累深厚的高新技术企业 . 19 5.风险提示 . 19 敬请参阅最后一页重要声明 证券研究报告 第 3 页 共 21 页 新三板 TMT 专题 报告 图表目录 图表 1. 工业信息安全分类 . 4 图表 2. 工控安全分类（按保护对象） . 4 图表 3. 我国工控安全市场规模尚处起步阶段 . 5 图表 4. 内嵌安全需求激增 . 5 图表 5. 工控系统与传统信息系统防护的区别 . 6 图表 6. 国际工控网络安全防护理念经历的四个阶段 . 7 图表 7. 我国工控安全行业规模存在 236.1亿元增长空间 . 7 图表 8. 近年来发生的国家安全事件 . 8 图表 9. 美国工控安全事件 . 8 图表 10. 我国近年来工控安全事件频发 . 9 图表 11. 我国近年来工业信息安全漏洞数量呈增长态势 . 9 图表 12. 工控安全产业政策充分利好 . 9 图表 13. 等保 2.0对工控系统的安全扩展要求 .11 图表 14. 等保 2.0对工控系统安全扩张要求控制点分布 .11 图表 15. 部分工控安全初创企业所获融资情况 . 12 图表 16. 2018年国外工控安全市场融资情况 . 12 图表 17. 工控安全行业竞争主体 . 13 图表 18. 部分一级市场获投工控安全初创企业团队背景 . 14 图表 19. 工业控制系统分层架构 . 14 图表 20. 四家较有影响力的企业均拥有丰富的产品体系 . 15 图表 21. 我国工控安全标准体系及参与的工控安全企业 . 16 图表 22. 电力与石油化工行业占据了工控安全市场 60%市场份额 . 17 图表 23. 众多行业面临工控安全风险 . 17 图表 24. 2017年企业工业信息安全预算 . 18 敬请参阅最后一页重要声明 证券研究报告 第 4 页 共 21 页 新三板 TMT 专题 报告 1. 工控安全 ：尚处起步阶段，但增长趋势确定 工业领域的信息安全分为传统 IT 信息安全与以工控安全为核心的工业信息安全（如无特别说明，下文“工业信息安全”均指此类）。 工业信息安全 分为产品和服务两大类，其下又有划分，具体如下图： 图表 1. 工业信息安全分类 资料来源： 工业信息安全产业发展联盟、 广证恒生 工控安全是指保护工业控制系统的专用防护方案， 按照保护对象 可分为功能安全、物理安全、信息安全三种。 图表 2. 工控安全分类 （按保护对象） 资料来源：广证恒生 我国工控安全行业尚处起步阶段，整体规模较小。 根据 前瞻产业研究院的数据 ， 2017 年我国 工控 安全市场规模为 3.66 亿元，同比增长 16.93%。 敬请参阅最后一页重要声明 证券研究报告 第 5 页 共 21 页 新三板 TMT 专题 报告 图表 3. 我国 工控 安全市场规模 尚处起步阶段 资料来源： 前瞻产业研究院 、 广证恒生 工控安全行业存在较大增长空间， 原因为 我国工业领域的 信息安全以传统 IT 安全为主，工业信息安全仅占 10% 左右， 我们认为 此渗透率有望提升，背后逻辑在于： 1） 两化融合 的推进，使得 传统工业现场相对封闭可信的制造环境 逐渐被打破， 以 传统企业安全的 防火墙为主的外建安全效力逐渐降低， 内嵌安全需求激增 ，市场急需新的安全防护方案 。 从工业信息安全的发展路径来看，早期的工业领域处于自动化阶段，生产环境相对封闭。工业信息安全作为网络安全的细分应用方向，主要集中在工业企业信息管理层的安全。当前，两化融合进程加速由数字化向网络化过渡，互联网快速渗透到工业领域的各个环节，导致 工业控制系统和生产设备的网络安全风险 激增 ， 带来对 内嵌信息安全功能的产品和服务市场的需求 。 图表 4. 内嵌安全需求激增 资料来源： 工业信息安全产业发展联盟、 广证恒生 2） 工业系统的安全防护与传统 IT 安全思路有着很大不同 ，专业化的工业信息安全防护方案迎来增长点。 首先是 采购与运行部门的分离带来对解决方案的高要求 ：在互联网或企业网中，所保护的对象如服务器、网络设备等的管理 由 IT 部门负责 。 而工业领域 的安全中，一般来说安全也是由 IT 部门负责，但设备则是由另外的部门负责，这就带来了工控安全产品开发的销售的一个很大挑战，需要一个很好的技术与管理结合的解决方案。 其次是工控系统对可持续性的要求： 在工控系统安全方案中，客户对于生产系统的可180 19822124431336610.00%11.62% 10.41%28.28%16.93%0.00%5.00%10.00%15.00%20.00%25.00%30.00%0501001502002503003504002012 2013 2014 2015 2016 2017市场规模（百万元） 同比增速敬请参阅最后一页重要声明 证券研究报告 第 6 页 共 21 页 新三板 TMT 专题 报告 持续性的要求要大大高于 IT 安全的方案。对一些大型工控系统，停一次机的损失就得几千万人民币或者几百万美元 ，因此很多针对 IT 系统安全的方案比如升级或者补丁等就不一定合适 。 此外在使用周期等方面也存在差异。 图表 5. 工控系统与传统信息系统防护的区别 指标 工业控制系统 信息系统 性能 一般不允许延迟 根据系统不同，条件有所不同 可用性 一般不允许系统重新启动 一般允许重新启动 及时性 必须保证紧急处理 及时性远低于工控系统 使用周期 15-20 年或更长 3-5 年 系统运用 多采用专有操作系统，一般不支持自动升 级 多采用微软 Window 操作系统，支持自动升级 占用资源 必须保证控制所需的内存、计算等资源 可以为安全策略提供足够资源 通信协议 多采用专门的协议和设备 均采用标准协议 支持服务 大多由一家公司提供 有多类服务公司 风险管理 人和环境安全处在首位 数据保密列为首位 保护资产 控制器和现场设备是第一保护目标 信息资产是第一保护目标 资料来源： 公开资料 、广证恒生 3）正是由于工业领域的网络安全与传统安全的差异 ，国际工业控制网络安全防护理念已经由传统信息安全厂商所提出的纵深防御体系转变为由工业控制系统内部生长的持续性防御体系以及以攻为守的国家防御战略 ， 而我国工业领域的信息安全仍是以传统信息安全为主， 我国安全防护体系的升级势在必行 。 国际工控网络安全防护理念经历了四个阶段：第一阶段是以隔离 为手段的安全防护理念。在我国“工业化”与“信息化”两化融合伊始，隔离就成为了企业用户、集成商、供应商应对工控系统网络安全的“庇护伞”。隔离手段在工控系统内有各种实现方式，比较常用的有物理隔离或在系统边界部署网闸进行隔离，以隔离为手 段的防护理念其风险在于：一旦隔离被连通后，其系统内 部的脆弱性就会一览无遗。 第二阶段 是纵深防御的安全防护体系。纵深防御这一概念是由 IT 厂商提出的，近年来在学术界、工业界也一直被提及用于工控系统网络安全防护。这个理念从信息安全领域自然延伸，有其在网络安全防护上的功效与成果，但在工控系统网络安全防护实施过程中，设备供应商、安全供应商并未解决实际问题。首先，设备供应商推卸责任。工控设备供应商出于自身利益，缺乏工控安全的基因与动力。其次，安全供应商偷换概念。其为工厂用户所建立的纵深防御体系往往会变成信息安全产品的简 单堆砌。工业控制网络需要尽可能少的故障点，而部署了大量信息安全产品后，故障点不减反增。在追求稳定性、可用性、实时性的工业控制网络中，信息安全产品反而带来一系列问题。 第三阶段是工业控制系统内部生长的持续性防御体系。在经历了一系列事件后，国外工 业控制网络安全策略已从“事后免责”转变为“主动防御”。根据工业控制网络自身特点， 持续性的防御体系需要关注三点。第一，故障点尽可能要少。这是工控系统与生俱来的需求，因此，安全设备也要符合工控设备的特点。除了尽量避免多层部署外，安全设备在保护工控系统正常生产运行的同时还要保 证即使断电、设备更新也能对系统不产生任何影响。第二，防御体系要有可持续性。适应工业控制网络特点的持续性防御体系可以通过基础硬件的创新来实现，使安全防护满足低延时、高可靠、可定制化、可持续更新、操作与实施简易化等特性。第三，主要解决存量系统问题。存量在装系统的问题，才是真正的与人民生产生活息息相关的、直面安全威胁的主体。 第四阶段是 以攻为守的国家战略。 2013 年初，奥巴马发布了总统令，责 NIC、 DHS 等机构对美国所有的基础设施进行普查，要求有问题的企业在年底前进行整改，至今效果并不显著。美国转而将大量经费投往 攻击手段的研究上，以攻为守促进整个工控安全技术的进步。不仅是美国，其他各国以攻为守的策略也大同小异，以色列是以技术公司的形式出现，俄罗斯是通过民间组织在实施。我国近两年在有关部门的领导下，建立了多个工业控制系统安全研究实验室，以高仿真工控系统攻防平台为基础，通过对典型工控网络威胁的复现、工控系统脆弱性的研究、工控系统风险的评估，在高对抗的复杂环境中正一步步赶上国敬请参阅最后一页重要声明 证券研究报告 第 7 页 共 21 页 新三板 TMT 专题 报告 际工控系统攻防技术的前沿 水平 。 图表 6. 国际工控网络安全防护理念经历的四个阶段 资料来源： 匡恩网络 、 广证恒生 根据我们的测算，对标全球 市场，我国工控安全行业规模存在 236.1 亿元增长空间。 测算依据如下：根据 Gartner 发布的 Gartner 全球 IT 支出预测 ， 2018 年中国 IT 支出预计为 24092 亿元；根据 IDC 的数据，我国信息安全支出占 IT 支出的比例为 1%-2%，欧美市场为 10%左右 ， 国内市场我们 以 2%测算； 根据工信部发布的工业控制系统信息安全行动计划（ 2018-2020 年） ，我国工控安全占信息安全支出比例为1%，全球市场为 10%左右。 图表 7. 我国工控安全行业规模存在 236.1 亿元增长空间 我国 IT支出规模（亿元） 我国信息安全支出占 IT支出的比例 我国工控安全支出占信息安全支出的比例 我国工控安全市场规模 （亿元） 信息安全支出 /IT支出达到欧美平均 10% ，工控安全/信息安全支出达到全球水平 10%时对应的市场规模（亿元） 增长空间（亿元） 24092 2% 1% 4.82 240.92 236.1 资料来源： IDC、 工信部、 Gartner、 广证恒生 2. “外部环境 +政策 +资本” 共振，工控安全爆发在即 安全防护对于企业自身而言 无法带来直接 收 益， 其内生需求并不强烈 。 因此 当前阶段， 整个行业的 核心 驱动来自于国家自上而下的合规性要求， 而加快这一进程的“导火索”便是各国重大工控安全事件的爆发所带来的国家防患意识的提高。 2.1 外部环境： 安全 事件频出 ，防护技术升级迫在眉睫 我国工控安全行业处在起步阶段，因此我们将目光投向国际市场 。从国际工控安全行业的发展来看，工控安全事件频发是 推动行业发展 的 催化剂 ： 敬请参阅最后一页重要声明 证券研究报告 第 8 页 共 21 页 新三板 TMT 专题 报告 1） 2010 年 伊朗“震网”病毒事件 使得工业企业固有的 工业控制系统是一个“信息孤岛” 的 思想 开始转变 ， 企业 意识到隔离在整个工控系统网络安全防护中只是一种手段，并非解决一切问题的方法 ，专业化的工控安全防护方案呼之欲出 。 工业基础设施构成了我国现代社会国民经济以及国家安全的重要基础，而工业基础设施的核心是其工业控制系统 ，工控安全事件一旦发生 可能会导致影响系统可用性、关键控制数据被篡改或丧失、失去控制、环境灾难、破坏基础设施、经济损失、惨重人员伤亡、危及公众生活及国家安全等严重后果 ， 2010 年以来全球发生 的 多起针对工业网络的 攻击上升至国家安全层面，引起对工控安全的强烈需求。 2010 年 9 月 ，伊朗的第一座核电站“布什尔核电 站”遭受了“ Stuxnet”病毒的攻击，浓缩铀离心机遭到破坏，全球超过 45000 个网络受到感染，其中伊朗 6 成以上个人电脑感染了这种病毒 。 2012 年5 月， 俄罗斯安全专家发现一种威力强大的电脑病毒 Flame 在中东地区大范围传播。遭受该毒感染的国家包括伊朗、以色列、巴勒斯坦、苏丹、叙利亚等多个国家 。 2014 年，发现了专门针对工控系统的新型病毒Havex，此种 木马可能有能力禁用水电大坝、使核电站过载，甚至可以做到按一下键盘就能关闭一个国家的电网 ，“蜻蜓组织”利用其对欧美地区一千多家能源企业进行了攻击。 2015 年 12 月， 乌克兰电力部门的监控管理系统遭受到恶意代码攻击，导致超过一半的地区和部分伊万诺 -弗兰科夫斯克地区断电几个小时。Kyivoblenergo 电力公司发布公告称公司因遭到入侵，导致 8 万用户断电 。 图表 8. 近年来发生的国家安全事件 资料来源： 公开资料、 广证恒生 2）从工控安全领域的国际领先国家美国与以色列来看，二者均受到较大的工控安全 威胁 ，从而倒逼产业升级 。 美国是信息安全产业的领导者，先进的网络技术也导致了黑客技术的发展，从而倒逼美国工控安全产业的发展： 2003 年，美国俄亥俄州 Davis-Besse 核电站和其它电力设备受到 SQL Slammer 蠕虫病毒攻击，网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作； 2006 年，美国阿拉巴州的 Browns Ferry 核电站 3 号机受到网络攻击，反应堆再循环泵和冷凝除矿控制器工作失灵，导致 3 号机被迫关闭； 2011 年，黑客入侵数据采集与监控系统， 使 美国伊利若伊州城市供水系统 的供水泵遭到破坏，同年，微软警告最新发现的“ Duqu”病毒可从工业控制系统制造商收集情报数据； 2012 年两座美国电厂遭到 USB 病毒攻击，感染了每个工厂的工控系统，可被窃取数据 。而以色列地处战乱不断地中东地区，常年不间断的网络攻击促使以色列政府大力发展网络安全防御技术，使其在短短二十年成功跻身网络安全强国。 图表 9. 美国工控安全事件 时间 事件 2003 年 美国俄亥俄州 Davis-Besse 核电站和其它电力设备受到 SQL Slammer 蠕虫病毒攻击，网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作 2006 年 美国阿拉巴州的 Browns Ferry 核电站 3 号机受到网络攻击，反应堆再循环泵和冷凝除矿控制器工作失灵，导致 3 号机被迫关闭 2011 年 黑客入侵数据采集与监控系统，使美国伊利若伊州城市供水系统的供水泵遭到破坏 敬请参阅最后一页重要声明 证券研究报告 第 9 页 共 21 页 新三板 TMT 专题 报告 2011 年 微软警告最新发现的“ Duqu”病毒可从工业控制系统制造商收集情报数据 2012 年 两座美国电厂遭到 USB 病毒攻击，感染了每个工厂的工控系统，可被窃取数据 资料来源： 公开资料 、广证恒生 而我国工控体系安全防护薄弱，各行各业工控安全 事件 频发，防护技术更新迭代迫在眉睫。 2015 年 3月，某南方电网无人值守变电站出现数据采集中断警告，经检测发现其业务网络的终端机感染了 Welchia蠕虫病毒；同年 3 月，某石化企业的霍尼韦尔 TPS 工业控制网络在检测过程中被发现感染了 Conficker 蠕虫病毒，同月，网络摄像头生产制造商海康威视遭遇“黑天鹅”事件，监控设备存在安全隐患，部分设备被境外 IP 地址控制；同年 5 月，中石化华东公司 SCADA 系统内部的嫌疑人配合外部人员使得公司 SCADA系统感染病毒； 2017 年 5 月， wannacry 勒索病毒入侵中国，多地加油站系统被入侵，无法正常运作，黑客以加密文件勒索受害人财物。此外我国工业信息安全漏洞数量近年来增长迅速， 2017 年我国工业信息安全漏洞数量达 350 个，为历史新高。 图表 10. 我国近年来工控安全事件 频发 图表 11. 我国近年来工业信息安全漏洞数量呈增长态势 资料来源： 前瞻产业研究院 、 广证恒生 资料来源： 中国产业信息网 、 广证恒生 2.2 政策 端：国家高度重视信息安全，产业政策充分利好 此前 发布的 中国制造 2025 、“两化融合” 、 “互联网 +” 等政策对工控安全行业的驱动在于加快工业制造领域信息化的进程， 信息化的提高使得 工业系统所面临的安全风险迅速增加，带来对工控安全的潜在需求； 网络安全法、 工业控制系统信息安全行动计划 等 政策 则是 明确 提出 要提升 企业 安全防护的 能力 。 2015 年 5 月， 中国制造 2025正式发布 ， 其内涵核心是把信息互联技术与传统工业制造相结合，形成生产智能化，提高资源利用率，以此来推动整个国家竞争力 ，使得工业领域设备联网实现智能化成为必然趋势； 2016 年 5 月，关于深化制造业与互联网融合发展的指导意见发布， 明确提出要实施工业控制系统安全保障能力提升工程，制定完善工业信息安全管理等政策法规，健全工业信息安全标准体系，提高工业信息系统安全水平 ； 2016 年 11 月，网络安全法发布， 明确提出要保障关键信息基础设施运行安全，对关键信息基础设施的安全风险进行抽查检测，提出改进措施等 ； 2017 年 11 月，深化“互联网先进制造业”发展工业互联网的指导意见发布，明确开展网络基础、平台体系、安全保障、融合应用和制度保障等五方面的工作； 2017 年 12 月，工业控制系统信息安全行动计划（ 2018-2020 年）发布，明确提出促进工业信息安全产业发展，加快工业控制系统信息安全保障体系建设。 图表 12. 工控安全产业政策充分利好 14 1466320271232 2251952213500501