中国工控安全创业,从2014年开始,到2024年正好10年。在中国网络安全这个不算大的行业(根据CCIA产业分析报告,2022年市场规模633亿人民币,2023年预计增长很少),居然诞生了几十家以工控安全为主要业务的创业公司,并且工控安全长期处在网络安全行业融资的TOP赛道,目前估值达20亿左右的已经有威努特等4家,2023年CCIA评选的“中国网安产业竞争力50强”中工控安全创业公司达5家,营收过亿或人员过百的工控安全创业公司则更多。从这些结果看,过去10年工控安全无疑是中国网络安全行业最好的赛道,可能没有之一。为什么是这样呢?工控安全未来还会继续是中国网络安全行业的好赛道吗?作者根据工控安全十年创业的经历,谈谈个人的认识,与大家探讨。
在2010年之前,“工控安全”在中国网络安全版图上是不存在的。2010年9月,伊朗核燃料工厂曝出Stuxnet病毒(震网病毒),震网病毒攻陷了西门子SIMATIC WINCC工业控制系统,破坏了伊朗近1/5的离心机(1000多台离心机物理退化),导致伊朗核计划推迟了两年。震网病毒事件,是由某西方大国发起,针对伊朗核计划的一次破坏行动,效果堪比一次特种部队突袭(该事件已经被拍摄成纪录片《Zero Days》),花费却小很多,并且没有人员伤亡与引发战争的风险。震网病毒事件,犹如一声惊雷,惊醒了中国政、产、学、研各界,“工控安全”开始进入大家的视野。当然,世界上多数国家也是从震网病毒事件开始有“工控安全”的意识。2011年10月,工信部[2011]451号文《关于加强工业控制系统信息安全管理的通知》,是我国第一个关于工控安全的政府文件。
工控安全实在太重要了。工控安全的重要,是因为它保护的对象(工业控制系统)重要。工业控制系统是信息空间与物理空间之间的桥梁,通过工业控制系统,人类在计算机上输入的指令能够操纵我们的物理世界,例如离心机(如震网病毒事件)、核反应堆、发电机、变电站、石油管道、铁路道岔、发动机、心脏起搏器,甚至飞行中的无人机或一枚导弹。这也意味着来自信息空间的攻击者(黑客)一旦攻陷了工业控制系统,就可以肆意操纵和破坏人类赖以生存的物理世界,就像震网病毒事件中的攻击者所做的那样。震网病毒事件之后,类似事件不断在全球发生。例如:2015年乌克兰电网控制系统被攻击导致大规模停电,2021年美国石油管道控制系统被攻击导致石油管道被迫关闭。
目前,工业控制系统已广泛应用于我国电力、轨道交通、石油、天然气、水处理、化工、核工业、军工、电子、航空航天、制药等领域。据统计,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已经成为国家关键基础设施的重要组成。所以,工控安全关系到国家安全、经济发展、社会稳定与人民生命安全,是我国实施制造强国和网络强国战略的重要前提,是国家战略需求。
2011年工信部[2011]451号文《关于加强工业控制系统信息安全管理的通知》之后,国家对工控安全的监管持续加码,从能源局《电力监控系统安全防护规定》(2015年)、工信部《工业控制系统信息安全防护指南》(第一版,2016年)、《网络安全法》(2017年)、等级保护2.0(2019年)、《数据安全法》(2021年)、《关键信息基础设施安全保护条例》(2021年)及其国家标准(2022年),到工信部《工业控制系统信息安全防护指南》(第二版,2024年),都明确提出对工控安全的要求。2019年,国资委发布《中央企业负责人经营业绩考核办法》将网络安全纳入央企负责人经营业绩考核,对工业类央企,工控安全无疑是其网络安全的重中之重。
未来,随着数字化转型的推进,5G、云计算、大数据、物联网、人工智能等新一代信息技术的应用,人类社会更加依赖于先进工业控制系统的同时,工业控制系统却面临更多的网络安全风险。所以,工控安全未来还将越来越重要,也越来越紧迫。
2014年之前,中国工控安全市场处于启蒙阶段,主要是少数的国外工控安全产品(例如:Tofino工控防火墙、Wurldtech工控协议测试工具)与电力专用的工控边界安全产品(横向隔离、纵向加密),市场规模估计在千万级。2013年国家发改委启动专项支持工控安全产品研发,开始培育中国自己的第一代工控安全产品。2014年迎来了中国工控安全创业的启动,专注工控安全的创业公司北京匡恩(2014年5月)、北京威努特(2014年9月)先后成立。北京匡恩由温哥华归国的华人团队创立,在两三年内迅速完成数亿元人民币的融资并建立了数百人的团队,该公司高举高打,在工控安全的意识普及与推动中国政、产、学、研各界对工控安全的重视方面贡献了重要力量;该公司后来因为资金链断裂停止了运营,成了中国工控安全创业的先驱,但是培养了一批工控安全人才,目前中国工控安全几个头部创业公司,多数由北京匡恩前员工建立。
随着监管持续加码及中国政、产、学、研各界的推动,中国工控安全市场从每年千万级,到亿级,到现在的十亿级,取得了长足的进步。目前在重要的工业行业,如电力、轨道交通、石油、天然气、水处理、化工,工控安全已经成为新建项目的标配,存量项目则是处在逐步改造的过程中。
目前中国工控安全市场到底有多大,很难有准确的数字,也有不同的说法。根据赛迪顾问发布的《中国工控安全市场研究报告(2023)》,2022年中国工控安全市场规模为58.5亿元,增长率为39.0%,预计2023至2025年,三年复合增长率达37.3%。
中国工控安全市场的行业集中度高,TOP3行业(电力、石油化工、轨道交通)占比约70%。
对于58.5亿这个数字,行业内有很大争议,仅作为一个参考值。另外,相对值可能比绝对值更有参考价值。
中国拥有41个工业大类、207个工业中类、666个工业小类,是全世界唯一拥有联合国产业分类中全部工业门类的国家。根据工信部副部长单忠德在2024年4月18日新闻发布会上所公布的信息,截至2024年2月底,中国的规模以上工业企业户数已达到50.1万户,按照50万元的客单价计算,即便50%(考虑部分企业自动化水平不高或工控安全建设意愿不强等原因)的规模以上工业企业进行一遍工控安全建设,也将产生千亿级的市场机会。另外,威努特统计了主要行业的工业系统数量,例如火电机组数量、水电机组数量、核电机组数量、智能变电站数量、电网调度中心数量、油气井平台数量、炼化装置数量、油气管道场站数量、高铁车站及中心数量、地铁车站及中心数量,按照具体行业客单价进行了更准确的估算,结论同样是工业企业进行一遍工控安全建设将产生千亿级的市场机会。所以,目前工控安全市场渗透率仍然不高,估计不超过20%,未来成长空间仍然很大。例如:核电行业,新建项目基本都做工控安全,但是存量项目的工控安全改造才刚刚启动;在双碳背景下,大规模的新能源建设如火如荼,新能源的控制系统都需要工控安全的保护;轨道交通行业,地面系统的工控安全改造正在推进,车载系统的工控安全刚刚起步;船舶的工控安全2024年开始从0到1;大飞机上的工控安全还在规划;工控关基保护2023年才开始试点;工控系统国产化改造仍然处在早期,未来大量工控系统国产化改造会带来大量的工控安全国产化产品配套需求。
另外,在当前经济不景气的情况下,工控安全市场虽然也会受到影响,但**电力、石油化工、轨道交通等行业的央国企仍然表现出了较稳健的经营能力和盈利水平,**需求侧主要客户的这一特点,也使得工控安全市场受经济下行影响相对较小。未来,随着数字化、智能化的深入,工业控制系统与其它网络将有更多的双向通信,也将面临更多的网络攻击风险,工控安全市场有可能由合规驱动为主转变为业务驱动为主,届时工控安全市场将实现质的飞跃。
投资人喜欢问创业公司的一个问题是:如果大厂进入这个赛道,你怎么与之竞争?的确,过去10年,国内网络安全上市公司基本都认识到了工控安全的重大机会,并成立相关部门进入工控安全赛道,但结果却不理想。中国工控安全赛道的前几名一直被威努特等几个专业工控安全创业公司占据,因为工控安全具有技术与市场的双重门槛。
1、工控安全技术与传统安全技术具有显著差异
工控安全属于一个新场景,解决这个新场景的问题,大家首先想到的是已有的网络安全技术和产品,例如:用已有的漏洞扫描工具去扫描工控系统的漏洞,用杀毒软件去解决工控主机上的恶意代码问题,结果在国内外都造成了不少生产事故,对工业生产造成了破坏;也有网络安全专家去建议工控客户自动更新软件补丁,直接被客户鄙视太不懂工控。这一切说明,解决工控安全问题,需要适合工控系统特点的新技术和产品。于是大家开始去深入研究工控系统的特点,研究工控系统对网络安全技术和产品的要求,发现工控安全在漏洞、威胁、防御上与传统安全都有显著差异(参考《工控安全三观之漏洞观》、《工控安全三观之威胁观》、《工控安全三观之防御观》),国内产、学、研、用专家逐步形成共识,并推动了一批工控安全专用产品的国家标准和行业标准。
这意味着传统网络安全大厂的技术与产品积累在工控安全并不能直接应用,需要和工控安全创业公司站在同一起跑线上重新研发。而工控安全技术与产品的研发,不仅需要掌握网络安全技术,还需要深入了解工业控制系统的运行机制和业务流程。根据Gartner的报告,工业控制系统通常涉及超过100种不同的通信协议和数千种不同类型的设备。工业控制系统的复杂性和多样性决定了工控安全技术门槛较高。
2、工控安全的管辖部门通常与传统安全也不相同
传统安全的管辖部门通常在信息部门,传统网络安全大厂的客户关系积累也在信息部门,但是工控安全的管辖部门在很多行业(如电力、石油化工、轨道交通),是在生产运营部门或自动化部门,这就导致传统网络安全大厂的客户关系积累在工控安全难有用武之地。由于工业控制系统直接关系到企业的核心生产过程,工业企业在选择工控安全产品与解决方案时通常会非常谨慎。
国家发改委发布的《产业结构调整指导目录(2024年本)》,新增了“网络安全”行业大类,足以说明国家对网络安全行业的重视,而工控安全又属于重中之重,是国家安全的重要组成部分。中国作为工业大国,数量庞大的工业企业群体,为工控安全提供了广阔的市场空间与成长性。工控安全在技术与市场的双重壁垒,保证了工控安全创业公司独立发展的生存空间。中国工控安全市场的行业集中度高、央国企主导的特点,则为工控安全龙头企业摆脱市场碎片化、形成较高的市场占有率提供了有利的外部条件。所以,预计工控安全未来仍然是中国网络安全行业的好赛道,中期(3-5年)成长出1-2家上市公司是大概率事件,远期(5-10年)成长出10亿级营收的网络安全大厂也是可期待的。