1、中国工控安全厂商分析 1. 厂商综合实力分析 1.1 工控安全厂商概况 中国工控安全厂商,根据其历史背景可以分为三种类型: 1) 自动化背景厂商 这类厂商原来从事自动化相关的业务,后来看好工控安全的市场机遇,成立工控安全 部门或子公司进入工控安全领域。 典型厂商包括:青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、 珠海市鸿瑞软件技术有限公司、中京天裕科技(北京) 有限公司。这类公司的特点是对工控 系统有比较深刻的理解,有现成的客户资源。所以,目前青岛海天炜业自动化控制系统有 限公司、北京力控华康科技有限公司在工控安全市场上有较大的影响力,珠海市鸿瑞软件 技术有限公司在电力行业有
2、较大的影响力。 其他自动化厂商,如和利时集团、浙江中控技术股份有限公司、北京四方继保自动化 股份有限公司等,主要是 OEM 第三方的产品,不作为主要的工控安全厂商进行分析。 2) 传统 IT 安全厂商 这类厂商原来从事 IT 信息安全的业务,工控安全作为信息安全市场的一个新兴的细分 市场得到关注,成立工控安全部门进入工控安全领域。 典型厂商包括:启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神 州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息 安全有限公司。这类公司的特点是信息安全技术积累较多,但对工控系统缺乏深刻的理解, 并且由于当前业绩的压力,在
3、工控安全方面的投入较小。目前启明星辰信息技术有限公司、 北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。 3) 专业工控安全厂商 这类厂商基本属于近两年成立的创业公司,整合了信息安全与自动化方面的人才,100%专 注于工控安全领域。 典型厂商包括:北京威努特技术有限公司、北京匡恩网络科技有限公司、谷神星网络 科技(北京)有限公司。这类公司的特点是专注,他们 100%的业务都是工控安全,工控安 全业务的成败决定了公司的生死存亡,因此能够全力投入。目前北京威努特技术有限公司、 北京匡恩网络科技有限公司在工控安全市场上有较大的影响力。 1.2 主要工控安全厂商对比 类 型 厂商名
4、称 公司背景 工控安全产品 优势 劣势 威努特 2014 年成立,专注工控安 全,创始团队来自华为, 奇虎 360 战略投资。 工控防火墙 主机白名单 工控安全审计 工控漏洞挖掘 产品竞争力领先 现场实施项目较 多 360 战略布局 市场覆盖率不 足 匡恩网络 2013 年底成立,专注工控 安全,由华人回国创立, 优势资本等投资。 工控防火墙 工控安全审计 工控漏洞挖掘 市场宣传投入大, 知名度高 科研机构项目较 多 公司运营成本 很高,资金链 压力巨大 天地和兴 2007 年 7 月成立,专注电 力工控安全。 工控防火墙 工控安全审计平 台 主机安全防护卫 士 工控管理平台 在电力行业积累
5、多年 对电力之外的 行业,缺乏针 对性产品及方 案 专 业 工 控 安 全 厂 商 谷神星 2014 年转型工控安全,有 立思辰投资。 工控防火墙 主机白名单(代 理国外 Arellia) 工控漏洞扫描 工控堡垒机 立思辰战略投资 公司创始团队 缺乏信息安全 技术积累 自 动 化 背 景 厂 海天炜业 1998 年成立,从事 DCS 集 成运维业务,2009 年成立 工业信息安全事业部及青 岛多芬诺信息安全技术有 限公司,代理加拿大 Tofino 工控防火墙,2014 工控防火墙 可信计算安全平 台 工控安全管理平 台 从事 DCS 运维积 累了客户资源 代理 Tofino 产品 积累了品牌认
6、知 缺乏信息安全 技术积累 研发能力弱, 主要依靠中科 院软件所,产 年推出自主研发的产品。 品化欠佳 力控华康 2009 年成立,是三维力控 的子公司,后者是国内知 名的 SCADA 软件厂商。 2014 年引入绿盟科技战略 投资。 工控防火墙 安全隔离网关 背靠三维力控积 累的客户资源 绿盟科技战略投 资 缺乏信息安全 技术积累 团队不稳定, 研发能力弱 商 珠海鸿瑞 1999 年,由研究所改制为 珠海市鸿瑞软件技术有限 公司,从事电力调度系统 研发与推广,后转型电力 二次系统安全产品开发与 推广。 工控防火墙 安全隔离网关 安全加密网关 远程认证装置 工控安全审计 (电力行业) 紧扣电力
7、二次系 统安全防护规范, 在电力行业积累 多年 对电力之外的 行业,缺乏针 对性产品及方 案 启明星辰 1996 年由留美博士严望佳 创建,2010 年在深交所中 小板正式挂牌上市,中国 IT 安全市场的龙头企业。 其入侵检测、漏洞扫描、 安全管理平台产品国内市 场占有率第一。 2014 年投资工控安全公司 中京天裕。 工控防火墙 工控漏洞扫描 工控异常检测 在信息安全行业 品牌知名度高 信息安全技术积 累较多 公司综合实力强 迫于上市公司 业绩压力,自 身在工控安全 方面投入不足 对工控系统及 网络缺乏深刻 理解 绿盟科技 2000 年成立,早期技术骨 干来自中国著名黑客组织 “绿色兵团”
8、,2014 年在 深交所创业板挂牌上市, 其漏洞发现、安全攻防技 术处于国内领先水平。 2014 年投资工控安全公司 力控华康。 工控漏洞扫描 在信息安全行业 品牌知名度高 信息安全技术积 累较多 公司综合实力强 迫于上市公司 业绩压力,自 身在工控安全 方面投入不足 传 统 IT 安 全 厂 商 中科网威 1999 年成立,最初技术上 依托中国科学院高能物理 研究所网络安全研究成果, 工控防火墙 安全隔离网关 在信息安全行业 有一定知名度 信息安全技术有 公司经营状况 欠佳,在工控 安全方面投入 其入侵检测产品在 2002 前后几年在国内市场具有 较大影响力,后来逐渐被 其他对手超越。 工控
9、异常检测 一定积累 不足 三零卫士 2001 年成立,依托 CEC 第 30 研究所,主要业务 是信息安全集成、信息安 全服务。 工控防火墙 工控安全审计 在信息安全行业 有一定知名度 信息安全技术有 一定积累 产品研发能力 较弱,缺乏在 市场上影响力 大的产品 2. 工控防火墙产品对比 天地和兴 HX-SWF 匡恩网络 IAD Tofino TSA 力控华康 ISG 启明星辰 IFW 3000 Moxa EDR-810 OPC Classic 动态端口 支持 支持 支持 支持 支持 不支持 OPC Classic 报文深度解 析及过滤 支持 支持 不支持 不支持 不支持 不支持 OPC 只读
10、 支持 不支持 不支持 支持 不支持 不支持 Modbus TCP 报文深度解 析及过滤 支持 支持 支持 支持 支持 支持 SIEMENS S7 报文深度解 析及过滤 支持 支持 不支持 支持 不支持 不支持 EtherNet/IP 报文深度解 析及过滤 不支持 不支持 支持 不支持 不支持 不支持 学习模式 (学习工业 协议深度白 支持 支持 不支持 支持 不支持 不支持 名单) 测试模式 支持 支持 支持 支持 支持 不支持 状态检测防 火墙 支持 支持 支持 支持 支持 支持 NAT 规划中 不支持 不支持 不支持 不支持 支持 VPN 不支持 不支持 不支持 不支持 支持 支持 路由
11、功能 支持 静态路由, OSPF 支持 不支持 不支持 支持 支持 静态路由, OSPF,RIP 报文深度检 测性能 10000pps NA 1000pps NA NA NA 时延 60 us NA 500 us 100 us NA NA 工作温度 -40 70 C -20 70 C -40 70 C -20 70 C -40 70 C -40 75 C 说明:海天炜业自主研发的 Guard 工控防火墙,基本是参照 Tofino TSA 实现的,所以上面 只对 Tofino TSA 做对比。 3. 主机白名单产品对比 天地和兴 主机安全防护卫士 McAfee Solidifier 备注 系统固
12、化 支持 支持 系统固化立即 生效 支持 不支持 McAfee Solidifier 系统固化/取 消固化需要重启才可生效 程序升级管理 跟踪 支持 支持 U 盘控制 支持 不支持 U 盘控制功能指:可对普通 U 盘进行禁用、只读控制。 安全 U 盘 支持 不支持 安全 U 盘功能指:专用 U 盘, 只能在安全主机之间使用,杜 绝病毒程序带入 自身保护 支持 支持 可信知识库共 用 支持 不支持 将 A、B 两台电脑安装相同操 作系统和软件,从 A 电脑生成 的可信知识库,导入 B 电脑使 用 图形用户界面 支持 不支持 McAfee Solidifier 仅支持命令行 操作,易用性差 实时报
13、警 支持 不支持 可信卫士通过气泡将告警实时 通知管理员 日志审计工具 支持 不支持 McAfee Solidifier 只能通过 Windows 事件查看器查看,易 用性差 集中管理 支持 不支持 可信控制 支持 不支持 主机安全防护卫士独有的专利 技术密码安全芯片(专利技术) 中国用户习惯 支持 不支持 McAfee Solidifier 操作手册为英 文,命令行帮助手册随为中文, 很多概念及描述翻译晦涩难懂 分权管理 支持超级管理员、 管理员和审计员 三种角色 不支持 主机安全防护卫士支持三种管 理员角色,McAfee Solidifier 仅 有一种管理员 安全等级保护 支持 不支持
14、主机安全防护卫士支持三个等 级安全 安全 HASH 算法 支持 支持 4. 工控漏洞挖掘与工控漏洞扫描产品对比 工控漏洞扫描产品 工控漏扫挖掘产品 核心功能 检测已知的安全漏洞 检测未知的安全漏洞为主 也可以检测已知的安全漏洞 核心技术 漏洞数据库 模糊测试技术 应用场景 1、网络建设/改造前后的安全风险评 估 2、定期的网络安全自我检测、评估 3、安装新软件、启动新服务后的检查 4、网络承担重要任务前的安全性测试 5、网络安全事故后的分析调查 6、公安、检测部门组织的安全性检查 1、测评机构组织的产品安全性测评、 认证 2、工控设备、软件发布前的漏洞发现 3、网络建设/改造前后的安全风险评
15、估 4、网络安全事故后的分析调查 主要客户 1、生产型企业:如电力、石油、石化 2、公安、检测部门 3、从事风险评估的组织 1、工控厂商:如和利时、西门子 2、测评认证机构 3、从事风险评估的组织 功能限制 存在误报 例如,绿盟 ICSScan 目前采用版本扫 描技术做 PLC 漏洞扫描,必然存在误 报 不存在误报 代表产品 国外:ISS Scanner(被 IBM 收购) , Tenable Nessus; 国内:绿盟 ICSScan,天镜脆弱性扫描 与管理系统。 国外:Wurldtech Achilles(被 GE 收购) , Codenomicon Defensics; 国内:威努特漏洞
16、挖掘平台,电子六 所漏洞挖掘平台。 国际认证 ISA Secure VIT ISA Secure CRT 国际工控 行业案例 Wurldtech Achilles 认证已经得到了全 球工控业界的广泛认可,成为了事实 标准。一些工业领域的标准化组织也 都借鉴了 Achilles 认证,作为其制定 安全规范的依据。 IEC(国际电工委员会)62443-2-4 即将颁布,该标准完全参照 Achilles 实 施认证; Achilles 测试平台是 ISA(国际自 动化学会)的 Secure EDSA 认证使用工 具; WIB(国际仪表工具使用者协会) 与 Wurldtech 合作制定了首个工厂信 息安全标准; 日本已经规定从 2013 年起所有工 控产品必须通过完全参照 Achilles 认证 的国家标准才能在国内使用; 十大工控设备生产厂商已经有八 家采用 Achilles 认证; 一些全球巨头已经将 Achilles 认证 作为企业的强制性标准,要求所有供 货商必须通过该认证。
