工业

工控安全市场蓄势待发,营收破亿的威努特如何领跑?

工控安全市场正迎来高速增长

2019年01月21日
调研 | 黄勇 李路遥 撰写 | 李路遥
  • 工业
  • 云计算
  • 工控安全

随着“中国制造2025”、“互联网+”和“两化融合”等国家战略规划的推进,工控系统安全威胁加剧,在政策和需求的双重驱动下,工控安全市场正蓄势待发。作为国内工控安全领域的领军者,威努特率先提出工业“白环境”理念,以防护和检测两大类完善的产品线和多行业解决方案,构筑工控安全防护体系。成立至今,威努特已累计服务500多家客户,2018年销售额过亿。

2018年,工控安全行业迎来了高速发展,再次将业界和资本的目光引向这一网络安全细分赛道。

随着中国制造2025”互联网+”两化融合等国家战略规划的推进,互联网成为助力工业转型升级的新引擎,数以万计的工业设备接入了互联网。

但是,工业生产网络从封闭逐步走向开放变成了双刃剑,以网络技术攻击国家关键基础设施,成为影响国家安全和社会稳定的新手段。近年来,由安全漏洞、设备后门、工业病毒等针对工控系统的网络攻击和窃取工业数据的隐形攻击暴增,导致企业用户对工控系统安全防护的需求增大,推动了国内工控安全市场的发展。

威努特是国内工控安全领域的领军者,率先提出工业白环境理念,以防护和检测两大类完善的产品线和多行业解决方案,构筑了工控安全防护体系,从初创历经四年销售额过亿,也是迄今为止中国工控安全领域获亿元最大规模融资的企业。

威努特创始人&CEO龙国东曾任职于华为,担任安全产品线开发代表、渠道部负责人;2014年他和CTO黄敏离开华为,创立了威努特。

成立至今,威努特在工控安全领域形成了较深的技术积累,能够理解不同行业的控制网络架构和运行逻辑规则,累计服务电力、石油、石化、轨道交通、市政、烟草、化工及军工等行业500多家客户。通过大量工业现场实际应用案例以及实战项目经验的积累,威努特在行业内打造了可信的品牌影响力,并建立了坚实的客户基础。

政策需求双重驱动,市场蓄势待发

作为国家关键基础设施的重要组成部分,工业控制系统的安全性已经成为涉及国家安全稳定的重要战略问题。近年来,针对工控系统的病毒和攻击不断涌现,各国在政策、标准、技术等方面开展积极应对。

2010年,伊朗核电站被震网病毒攻击,核设施中的离心机遭破坏。2015年,乌克兰电网遭遇黑客攻击导致大停电。20188月,全球最大的专业集成电路制造服务商台积电因计算机病毒爆发导致多个工厂停工,再次引发全球对工业信息安全问题的关注。

国家监管层面,201761日,《中华人民共和国网络安全法》正式施行,其配套规定等保2.0也已在国家安标委最终审批,不日出台。

相关法规要求对包括工业控制系统在内的关键信息基础设施实行重点保护,对重要基础设施的安全提出了责任制度,规定关键信息基础设施的运营者应当履行相关安全保护义务,促使工控系统用户更加主动为其系统采取安全措施,从而触发工控安全市场的快速发展。

当前来看,工控安全主要为合规性市场,但在安全事件驱动下,企业侧需求也逐渐萌发。民营企业较为务实,当其感受到安全威胁,或者已经遭受到工业网络的攻击,造成了实际经济损失,就会开始重视工控安全防护建设。

2018年,工控安全市场增长势头明显。行业层面,一些大的央企集团开始进行工控安全顶层设计规划,一部分已经开始推进项目落地。

这一方面是由于经过几年时间的铺垫,行业已经积累了一定的势能;另一方面,中国的工业自动化、智能化程度每年都在提升,逐渐到达临界点;此外,台积电勒索病毒爆发等安全事件,对整个产业链产生了很大的触动。

随着等保2.0等相关政策的发布,整个工控安全行业将迎来更快的发展。我国每年工业信息化投入在千亿级别,按照安全设备投资占设备投资总额10%的比例估算,我国工控安全市场潜在规模在百亿级别。

工业信息安全产业发展联盟发布的《中国工业信息安全产业发展白皮书》预估,2018年国内工业信息安全市场整体规模为8.66亿元,仍有很大的发展空间。

打造五大产品线,行业积累是核心竞争力

威努特专注于工控安全领域,率先提出了工业网络安全白环境理念。通过建立主机运行白名单库,在白名单里的软件或可执行文件才能正常运行。与黑名单机制相比,基于白环境理念的安全产品更轻量,更适用于工控系统,也成为了目前工业主机安全防护的主流趋势。

根据国家关于网络安全等级保护的规范性要求,威努特从五大方面规划产品,即网络安全(包括工业防火墙、工业网闸、工业单向隔离等产品)、主机安全(包括主机应用程序白名单和主机加固产品)、数据安全(数据库防泄密产品)、应用安全和安全管理运维。

由于工控安全领域主要为合规性产品,各厂商的产品类似,区别在于产品的稳定性、可靠性和实时性水平。工业安全对产品稳定性、可靠性、实时性的要求远高于IT安全产品。

工控系统稳定性压倒一切,不能接受频繁的升级更新操作,其信息安全产品必须达到更高的标准。为了适应工业生产环境的高要求,必须从软硬件设计上达到更高的可靠性。工控系统的主要任务是对生产过程自动做出实时的判断和决策,对时延要求高,某些应用场景要求时延在几十微秒内。

以防火墙为例,通过针对等级保护第三级的防火墙测试项的逐条比对,威努特自主研发的工业防火墙完全可以满足标准要求。该产品是针对工业控制网络进行边界防护的专用防火墙产品,运用白名单+智能学习技术,建立工业网络通信白环境,用于保护工业控制系统网络免受各类来自办公网或其它内、外部区域的攻击威胁。同时,它还具有高性能、低延时、工业级可靠性等特点,可以满足工业网络物理环境适应性要求和工控系统传输实时性的要求。

同时,工控安全需要有大量的现场实际应用数据的支撑,才能持续改善产品,达到客户现场要求,而这也是威努特的优势所在。

以核电领域为例,核电控制系统对可靠性的要求非常高,一般不会依据单一数据源进行判断,通常需要通过三四个不同的传感器数据源作比对,最终做出判断和决策。

在这个过程中,工控安全产品串联在整个控制网中,如果不小心截掉了某一方面的数据,就可能会对最后的判断产生非常大的影响,这就要求工控安全产品在整个防护策略上进行匹配。

首先,这需要工控安全厂商有很深的行业积累,具备行业know-how的能力,能够识别行业特性,理解控制网络的架构和运行逻辑规则;其次,要和工控厂商和用户单位建立长期的沟通合作关系,进行测试,才能够将设备部署到控制系统中,积累实践经验,不断修正防护策略。

在工控协议解析方面,威努特建立了开放式的协议引擎,与大型工控系统厂商合作,如国外的艾默生、西门子、GE,国内的浙大中控、和利时等,厂商可以自己配入协议的规格参数,做统一的分析和展现。

营收突破一亿元,未来将覆盖更多行业

威努特目前覆盖了电力、石油石化、轨道交通、市政、烟草、化工及智能制造等行业。

其中,能源是威努特的主攻市场,在整体业务中占比近一半,包括电力、石油、煤炭等行业。一方面,能源作为国家战略基础行业,一般会受到多个部门监管,对网络安全和工业生产安全重视程度高;另外,以电力行业为例,无论是发电还是电网行业,大多都早已实现生产全自动化,开始往智能化方向发展,自动化程度高,基础好。

威努特的工控安全产品可达到70%以上的标准化,再加上30%的行业定制化。不同行业的用户需求不同,一般需要进行定制化,而同行业中的不同用户基本上没有太多定制化需求。

在工业领域,不同行业特性差别较大,快速进行跨行业复制并不现实。威努特每进入一个新行业,至少需要一年的铺垫期,去和行业内的典型标杆用户做对接、测试和方案的整合。

一方面,技术上要符合行业要求;另外,在产品的规范性上,要符合行业对安全的一些特殊需求;第三,要符合行业对工业级产品在可靠性、稳定性以及环境方面的要求。只有做好这三方面的准备工作之后,产品才能真正用到现场。

威努特已累计服务500多家客户,其中2018年新增客户近200家。由于当前国家监管政策规定的责任主体还是以央企、国企和政府机构为主,因此,威努特主要的市场集中于央企和国企工业企业,占到95%以上。

客单价方面,威努特服务的项目客单价在100-200万元,其中硬件产品占90%左右,服务占10%。一般客户每隔3-4年会进行大的复购,期间会有备品备件、服务升级、巡检等小采购。

2018年,威努特营收规模预计突破一亿元,已实现盈利。长远来看,威努特希望把主流工业行业做到全覆盖,在已覆盖行业做深和拓宽。

威努特现有团队200多人,大部分为研发人员,负责基础产品研发和行业定制,销售人员50-60人,供应链10人左右,其他还有售前、售后、行政等。

近期,威努特创始人龙国东接受爱分析专访,就公司业务、运营、战略等进行了深入交流,现将部分内容分享如下。

爱分析:工控安全威胁主要来自哪些方面?

龙国东:一般是分内外两个层面。

从外部来看,主要是通过互联网层层渗透到生产网。一般会先渗透到办公网,再从办公网渗透到生产的工业以太网。类似勒索病毒这种传播性特别强的病毒,很容易具备这个能力,从互联网直接传播到工业生产网,这是一个很典型的攻击路径。

第二个路径是从内部攻破,包括生产网内部和办公网内部。这在目前来看,也是造成病毒感染等影响较大的安全事件的主要原因。比如工人的不规范操作,将带有病毒的U盘直接插到连接生产网的电脑上。伊朗核设施的震网病毒事件,其实也是通过U盘摆渡的方式直接感染了生产系统。

爱分析:攻击者实施攻击的目的有哪些?

龙国东:第一是为了勒索钱,勒索比特币。因为生产数据对于企业是非常宝贵的,一般黑客会根据他劫持到的数据的价值向企业勒索。

第二是为了获取工业情报,包括一些配方或者生产数据。这涉及到两方面,一方面是经济利益,比如特钢厂冶炼过程的控制数据、烟草配方、药品配方,都有很高的经济价值。

另一方面和国家政治和国民经济相关,比如发电企业历年的发电数据属于国家机密,如果被别人窃取到,是可以分析出这个区域经济增长的趋势和速度的,所以各方面都会有很大的损害。

爱分析:工控安全在技术上有哪些门槛?

龙国东:技术上其实还是存在很多的壁垒。

首先,对于每一个行业的主流工业控制系统,需要有一定的了解;第二,对主流的通信协议要非常熟悉;第三,对主流的工艺要有一定的了解。控制系统、通信协议和工艺,这三个方面其实本身就是一个比较高的壁垒,需要行业里面特别资深的专业人才加入到团队,才能快速把这块能力建立起来。

第四,团队在安全方面的技术积累,比如协议的解析、基础的网络防护、智能学习和异常建模分析。

第五,现场能力,因为工业的现场本身具备很强的行业属性,并且对可靠性有着近乎变态的零出错的要求,所以现场团队要有足够的经验积累。

爱分析:与工控系统厂商是否建立了合作?

龙国东:做工控安全免不了要跟工控系统厂商合作,就像做PC的安全软件,不可能不跟微软合作。

基本上主流的工控系统厂商,我们都在做对接测试和兼容性测试,希望能拿到他们的报告。国外DCS厂商,包括艾默生、西门子、GE,国内的DCS厂商,包括浙大中控、和利时,我们都已经有合作。

爱分析:是否存在工控系统厂商不愿意配合安全厂商的情况?

龙国东:前几年一直不积极,完全不配合。这几年应该说还是有很大的变化,主要得益于国家网络安全法的颁布,以及执法越来越严格,包括马上要发布的等保2.0,对工业控制系统安全是有明确的规范要求的。

这些因素导致工控系统厂商现在必须要跟国内的安全厂商、安全测评公司、安全执法单位建立沟通和合作机制,否则他们在国内的市场份额会受影响,这是跟他们的切身利益相关的。

爱分析:威努特服务客户的具体流程是什么?项目周期一般多久?

龙国东:一般的安全项目,售前部分的工作还是比较多的。我们首先要去介绍方案,引导客户做准备;其次,我们要给客户做网络安全风险评估报告,通过风险评估报告出整改方案;有了整改方案才能去做招投标,才是项目实质上的商务部分。

招投标阶段过了,我们要去做现场的实施。整个工控安全对于实施要求还是比较高的,包括对人员的要求、规范性要求等等,所以是由我们自己的服务团队去做,现场实施一般会持续一个月左右,最后验收。

但验收完不代表这个项目就结束了,可能还需要定期去做巡检。因为安全本质上是一个从售前到售后的全流程服务,所以我们的每个客户都有一定的黏性,不是说一个项目做完就close掉。

爱分析:威努特的获客渠道有哪些?

龙国东:主要是通过行业销售,我们的行业销售是由具备多年工业企业一线销售经验的销售团队构成的。所以我们对于行业是非常熟悉的,也有非常广泛的行业客户基础,才能把这一套体系卖到工业现场去用,这是我们跟别的工控安全公司或者传统IT公司最大的不同。我们目前直销大概占七成,另外还有三成的渠道销售。

市场环境利好,潜在市场规模百亿级别

爱分析:现阶段来看,大型集团在工控安全方面是全面铺开还是先小范围测试?

龙国东:目前我们看到有一些央企在做集团的大规模推广,但比较少;更多的是分公司层面的,分公司层面的大规模上马项目已经开始了;还有一些行业可能零星地通过单个厂去做一些实施,这三个层面都有。更多是分散的项目,分公司级规模的推广已经在部分省份开始了。

爱分析:国家在经费方面会有补贴政策吗?

龙国东:从央企集团来讲,集团会划拨一部分资金到工控安全这一块;从国家部委来讲,比如工信部、能源局、公安部,可能会调拨一部分经费去做整个行业的监管,监管的经费有些会补贴到企业。比如我们最近就做了工信部的全国工业企业安全态势感知的项目,工信部出钱部署一台监测设备到工业企业去,其实相当于变相地补贴工业企业。

爱分析:工业互联网对于工控安全市场会有什么影响?

龙国东:工业互联网的推进和落地,本质上会让工业设备和工业系统更多地连接到互联网上,甚至24小时不离线,这样客观上会使信息安全的风险成指数级上涨。

以前可能是不联网,或者只在维保的时候联网。现在工业互联网的时代,可能是24小时在线,带来的后果就是黑客可以24小时不间断地采取各种各样的攻击手段,所以安全风险暴露面会更大。另外,危害等级也会加深,互联网发展到一定程度,不止能实现监测,还能实现控制,到时候风险会更大。

所以说风险面更广,危害程度更深,这两块会导致安全需求更大,尤其是对于民营的大型制造企业。因为从工业互联网的推进程度上来讲,国企其实滞后于民营企业,因为国企会更多地考虑安全的因素,民营企业是效率优先,反而会忽视安全的风险。

所以我们认为工业互联网的推进,从产业角度来讲,对我们肯定是一个比较大的利好。我们可以给工业互联网平台做安全防护,平台本身需要安全防护;其次,平台上连接的每个用户也需要做很多安全防护的工作。

爱分析:如何看待工控安全的市场规模?

龙国东:我们做过分行业的测算,整个工控安全应该是300-400亿的市场空间。但事实上现在十个亿都不到,这个行业本身处于很早期的阶段,需要很长的时间去普及。我觉得未来3-5年,行业增速应该会提升到80-100%,明年整个行业可能会翻倍。

爱分析:如何看待目前的竞争格局?

龙国东:今年大家看到市场有起色,又密集地进来了一波,目前整个市场上大大小小的厂商应该有将近20家。一个目前整个体量还不到10亿的市场,里面有20家公司,其实也不少,大部分是原来做自动化或安全背景的厂商。

爱分析:传统IT厂商目前在工控安全领域占有多大的市场份额?如何看待与传统IT厂商的竞争?

龙国东:我们预测,随着未来三年市场逐渐成熟,传统的安全公司总体上可能会切到两到三成的市场份额。传统的安全公司有人员规模的优势,在一些优势行业有一定的客户基础,肯定会占据一些份额。

但工控安全本身是一个高成本、高门槛的行业,传统的IT安全厂商在客户层面体现出来的专业性,跟我们相比其实有很大的差距。如果用打分制来算,这种大的或者综合型的安全公司,在工控安全方面的专业程度大概是60-70分的水平,我们能达到80分以上。随着能力的提高和行业案例的积累,未来我们能够达到90分的水平。

除了专业程度,传统的IT安全厂商对工业项目长周期的心理预期是不够的,这也会导致他们在整个工业安全方面的投入不会有我们这么坚决。