从安全到业务，安全市场的边界正不断拓展（云合汇森工业信息化行业研究之3）

汇森投资 行研组 | 原创

1. 软件定义世界的同时也让安全的需求无处不在

软件定义世界，这个概念是由Gartner在2014年提出的10大战略技术趋势中提出来的，其中第8个趋势是Software Define Anything，简写为SDX，翻译成中文定义为软件定义世界。

实际上，早在2011年8月《华尔街日报》上刊登了一篇名为《软件正在统治世界》的文章。文章的作者马科.安德森，是全球第一款广泛使用的浏览器Mosaic的联合作者，网景公司联合创始人，Facebook、Groupon、Skype、Twitter、Zynga、 Foursquare、LinkedIn等公司的投资人。安德森认为，无论是60年前持续至今的计算机革命，还是40年前微处理器的发明，以及最近20年来互联网的兴起，这些技术都是以软件为基础。软件不仅在定义整个世界，也在重构整个世界。全球最大的书店是Amazon，最大的视频服务商是Netflix，最成功的音乐公司是iTunes，最成功的图片公司是Flickr，最成功的游戏公司是Zynga，发展最快的猎头公司是LinkedIn等。而这些，都是基于互联网的软件公司。

软件定义世界的同时，也带来更多的安全威胁，让安全的需求无处不在。软件用得越广泛，存在安全的漏洞的地方就越多。最近十几年，全球安全市场蓬勃发展，正得益于此。我国信息安全产业在政府引导、企业参与和用户认可的良性循环中稳步成长，本土企业实力逐步加强。安全产品结构日益丰富，网络边界安全、内网信息安全及外网信息交换安全等领域全面发展;安全标准、安全芯片、安全硬件、安全软件、安全服务等产业链关键环节竞争力不断增强。2019年9月27日，工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见。意见提出到2025年，培育形成一批年营收超过20亿的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过2000亿。

近年来，网络安全政策法规持续完善优化，网络安全市场规范性逐步提升，政企客户在网络安全产品和服务上的投入稳步增长，2019年市场整体规模达到608亿元。随着数字经济的发展，物联网建设的逐步推进，网络安全作为数字经济发展的必要保障，其投入将持续增加，预计2020年信息安全市场规模将达到750亿元。

2. 传统安全的“边界”正逐渐模糊，业务安全将成为趋势

我们把软件的发展分为4个阶段，分别是软硬一体、软硬分离、软网一体和软服一体。具体来讲，在80年代以前，软件和硬件是一体化的（类似于今天的嵌入式软件），软件是集成到电子设备中的。随后，以微软代表的公司将操作系统独立出来，实现了操作系统、数据库、应用软件和设备的分离。一直到2000年以后，随着互联网的蓬勃发展，SaaS模式和云计算的诞生，软件和网络密不可分，逐渐产生了软件和网络一体化的时代，以至于很多软件公司纷纷改名为网络公司，例如用友网络、致远互联。而在SaaS模式的驱动下，软件作为服务的载体这一模式得以快速发展，部分理念超前的公司，已经进入到软件和服务一体化的时代。当下，我们正处于软网一体化的时代。软件和网络的深入融合让我们信息安全环境更加复杂，不仅仅要防范外部安全，还有内部安全，端点安全等。

软网一体化时代，我们信息安全的防御需求发生了巨大的变化。在传统的安全需求下，我们主要解决好网关的安全即可。比如一个企业内部的局域网和外网的接口处安装一个防火墙。而且，传统安全的时代，和外网打交道的主要是PC设备，所以解决好一个区域内的安全即可。但在软网一体化时代，网络和终端的不断发展，移动终端的流量已经逐步超过PC端，和外部链接的终端越来越多，我们需要解决的安全就从之前的一个区域变成了一个终端或者主机。安全防护的场景发生了越来越大的变化，从传统的关口防护变成了细的颗粒的终端访问，从企业级的防护变成了终端的防护。这一切都是因为传统安全的边界越来越模糊，而传统安全的主要模式就是边界安全，如下图。

图片来源：爱分析

传统边界安全产品走向消亡。传统安全产品主要是指防火墙、杀毒软件和入侵检测为代表的安全产品。2014年诺顿安全宣称杀毒软件已经死亡，Google在企业安全防护策略BeyondCorp实践中拆除防火墙，2017年Wannacry病毒爆发，传统边界安全已经失效或者作用有限，这个结论已经成为了业界共识。

从传统边界安全到新边界安全。不管安全如何变化，边界安全始终是安全的核心命题之一。传统边界安全的失效本质不在于边界安全失效，而在于传统边界安全的基础空间发生了很大的变化：基于物理边界的隔离正逐渐消失。我们需要基于网络世界的变化，放弃或者降低在物理边界的执着，定义好新边界。另外，传统的边界安全仍然有应用场景，只是需要增加防护体系，从之前的单点的防护，变成多点的多层次的防护，我们现在正从传统的边界安全走向新边界安全。

业务安全呼之欲出。随着移动互联网、云计算应用的逐渐下沉，企业的网络边界逐渐消失，企业业务呈现线上化趋势，催生新的业务安全需求。越来越多的外部设备在与企业内网发生交互，安全威胁的攻击面不断扩大，而薄弱的内网防护机制不能进行有效的监控和防御，业务安全防护需要以人、数据为核心的新边界安全理念。

图片来源：爱分析

在不断爆出的业务安全事件中，华驻、京东、eBay、CIA等众多企业和部门发生了严重的数据泄露事件，损失严重、社会危害巨大，业务安全防护的紧迫性显著提升。“未来的安全将围绕着业务进行。”芯盾时代创始人郭晓鹏认为，业务安全能够帮助企业减少业务欺诈、降低运营成本、减少经济损失。而当前企业的传统网络边界正逐渐消失，网络安全的形态已经发生了变化，传统网络安全手段解决不了业务安全问题，需要用新的安全体系防范来自黑灰产的新型风险。

在这个背景下，越来越多的初创公司入场业务安全赛道，包括天地和兴、卓讯科信、人人云图、芯盾时代、梆梆安全等，是中国业务安全市场的先行者。新的业务安全需求开辟出更广阔的市场前景。

3. 工业互联网是业务安全快速成长的沃土，并催生新的商业模式

工控安全是工业控制系统信息安全的简称，是对大型基础设施信息安全和防护的响应。业务安全正在成工控安全核心。2019国家网络安全峰会(郑州)暨2019IEEE服务运筹、物流与信息化国际会议上， 360科技集团副总裁姚彤表示，全球进入万物互联时代，网络安全已从虚拟空间延伸至现实空间，网络攻击能够造成现实空间的物理伤害。网络空间的安全问题已经扩展到国家安全、国防安全、关键基础设施安全、社会安全、经济安全和个人安全等方面。其中，“震网”、乌克兰停电事件、委内瑞拉大停电等事件的接连发生，更表明以工业控制系统为核心业务系统的工业互联网领域成网络攻击重灾区！“工控安全的核心，是业务安全。” 姚彤表示。

随着德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出，以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患，而工业控制系统作为国家关键基础设施的“中枢神经”，其安全关系到国家的战略安全、社会稳定。

2019年3月，委内瑞拉国内大部分地区停电，全国交通系统瘫痪，地铁系统关闭，通讯大规模中断。2019年7月，伊朗信息战队闯入美国30多个变电站的控制中心，导致纽约大规模停电了4个小时，造成大规模混乱等。其中最著名、影响最大的当属2010年6月，伊朗核电站遭受“震网”病毒攻击。在这个大背景下，我国出台多个政策以确保我们工业生产的信息安全，与此同时也推动的市场的发展。

目前，工控安全将是一片蓝海，有很大的市场规模。拿电力行业来说，目前全国火力发电厂有3000多家，水电发电厂有水电站4万多座，风电累计装机容量达1.69亿千瓦。电网行业信息化投资远远超过发电企业，初步估计在未来5年将对工控信息安全投入上百亿元人民币。2014年国内工控安全市场规模约5.3亿元，2018年是工控安全的行业爆发年，国内工控安全市场规模达到了18.9元。我国工控安全市场未来增长速度持乐观预期，2020年工控安全市场将达到40亿元，行业发展前景持续看好。具体如下图：

数据来源：立鼎产业研究网

我们从数据可以看到，在工业互联网的推动下，工控安全行业快速发展。而这个领域是一个有门槛的蓝海市场，能进入这个领域的厂商，主要有4类玩家，包括传统信息安全主流厂商、传统工控厂商、IT系统集成商及专注于工控安全的厂商。传统信息安全背景的厂商是指主要从事信息安全业务将工业信息安全作为其安全业务的一个分支，这类公司主要通过成立工控安全部门或投资有工控安全业务的企业进入工业信息安全领域，其传统信息安全技术积累较多，但对工控系统理解不深；自动化背景的厂商，主要指原来从事自动化控制相关业务的公司，通过成立子公司或工控安全部门进入工业信息安全市场领域，这类公司对工控系统有较深理解，有现成客户资源；IT系统集成商，是指具备系统集成资质、能对行业用户实施系统集成的企业。这类公司拥有深厚的行业用户基础，主要通过与专业的工业信息安全公司合作进入工业信息安全领域；专注工业信息安全的厂商是指通过整合信息安全和自动化控制方面的人才，专注于开展工业信息安全领域业务的企业。

目前来看，有自动化背景，并且专注于开展工业信息安全的厂商在工业互联网安全领域发展相对较快。例如天地和兴、卓讯等已经成为工控安全的细分龙头。更重要的是，这些厂商以“安全+业务场景”的方式切入到市场后，业务边界被突破，可以为全业务提供安全策略和服务，甚至有部分厂商直接切入到业务本身。这个或许是未来安全厂商的主流商业模式。

4. 从安全到业务安全再拓展至业务，安全市场空间巨大，值得期待

        在汇森资本关注的工业信息化、金融信息化和泛管理类软件的三个赛道上，我们也积极布局了一批涉及工业信息化的项目，例如天地和兴、卓讯科信、中睿天下等。通过这些年对这几家公司的长期跟进我们发现，以安全的角度切入到工业互联网领域的商业模式充满想象空间：第一是快，主要是好切入，安全是刚需；第二是准，业务边界扩大，市场空间天花板高。

 天地和兴：不仅仅是工控安全的细分龙头

天地和兴成立于2007年，2013年开始关注工控信息安全，主要从事关键信息基础设施领域工控安全。天地和兴有自己的全系列工控安全产品，从业务流程保障、安全事件报警、安全处置反馈、安全状态显示四个方面来保障电力工控安全。天地和兴与其他竞争对手在产品上的差异在于，提供了信息安全评估、等级保护评测、信息安全方案、技术服务，再到信息安全项目整改和实施、系统运维、信息安全培训、应急响应，主要为生产监控系统提供全生命周期的信息安全解决方案。

最近几年，天地和兴已经成为工控安全领域的明星项目。在电力行业，天地和兴与华能、大唐、华电、国电、中电投、神华等大型发电集团有合作，不断拓展轨交、化工、智能制造等行业。在资本方面，天地和兴此前已经得到了松禾资本、中兴创投、毅达资本、广州黄埔智造产业基金等机构的投资。

天地和兴为何能取得如此大的发展，我们从以下这张图来看看它的发展逻辑。

第一，天地和兴强大的技术优势底座，为业务拓展打下基础。天地和兴管理层和核心技术研发人员在信息安全，工业自动化、工业控制系统等领域都有具有丰富的工作和管理经验。其中公司CEO王小东有将近20年的电力自动化和通信行业背景。有专业化背景优势的人才能进入到专业化的市场。天地和兴依托团队的专业能力，在控制协议解析、控制逻辑分析、生产业务分析等领域逐步形成了自己的核心技术壁垒。也基于此，天地和兴结合客户工控系统信息安全风险自评估的安全问题，制定针对性的项目实施设计方案，其中考虑DCS（分散控制系统）、PLC（可编程逻辑控制器）、SCADA（远程数据采集与控制）等控制系统不同的防护特点，在保证系统可用性的前提下，增强控制系统的信息安全属性。天地和兴已经在工控领域打下了坚实的基础。

第二，横向到边纵向到底的业务边界，业务成长极具想像空间。我们再来看一下天地和兴核心业务边界的拓展，这正是安全市场的魅力所在。天地和兴在切入到电力行业的工控安全市场之后，随着业务模型不断成熟，便开始不断拓展业务边界。首先，他们选择了和本体厂商合作。比如，天地和兴和自动化厂商合作，把安全产品直接绑定到控制系统之中，扩大工控安全市场的规模。同时，天地和兴开始打造安全+业务应用生态。他们深入挖掘工业领域多场景，推出工业物联网技术平台；联合无线通信模组厂家，打造适应工业应用场景的无线通信产品；研发融合安全属性的物联网应用产品；深入研究工业场景中的智能终端安全风险等等。这一系列操作将更加有利于他们在工业互联网的业务安全领域取得更大优势。而最让人兴奋的是，安全厂商在不断解决业务安全的过程中，他们会利用人工智能的技术对数据进行分析，建模，从而提出更好的业务逻辑。他们有可能直接切入到你的业务本身，和你的业务高度融合。如此一来，安全市场的想像空间大有可为。安全已经不再只是一个产品，未来，安全或许是你切入行业的入口。正因为如此，天地和兴才取得了如此好的成绩，我们也持续看好它的发展。

人人云图：基于流式技术的决策引擎平台，应对海量实时业务场景

人人云图是一家数据科学公司，其核心产品——决策引擎平台——被认为是连接企业业务和数据的枢纽。人人云图CEO杨鹏毕业于北航计算机视觉专业，曾任Intertrust业务总监，PPTV高级总监等。2017年初，他着手创立人人云图，核心团队全部由资深数据科学专家构成。

人人云图基于流式技术的决策引擎平台可以很好的满足企业线上业务中越来越常见的大数据量处理、实时处理和复杂逻辑等需求挑战。

与人人云图相比，市场上其他决策引擎平台基本都是基于传统的非流式技术。比如Sparking logic、IBM和国内的绝大多数对开源Drools的可视化包装都是基于Rete顺序执行原理。在具体应用中，Rete基于传统逻辑流顺序执行，一旦遇到海量实时复杂场景，就无法像流式技术那样游刃有余了。而人人云图的决策引擎基于Flink流式技术，能满足海量、实时和复杂场景的需求。对比分析见下图。

 人人云图决策引擎平台凭借领先的流式技术底座，通过优化业务模型，深入掌握行业Know-how，可以面向各类行业企业中的业务员工提供轻量级交付。

具体来说，其产品服务可以覆盖金融、交通、政府和媒体、互联网等多个行业中的几十类业务场景。比如其针对航空的智能客票系统，人人云图能通过航空公司的客票流量数据优化业务模型，通过业务规则输出的业务数据经过其决策引擎平台处理后能有效帮助航空公司进行客票定价，提高航空公司收益。而这个产品之前只有位于休斯敦的PROS公司提供。而PROS是一家经验丰富的优化定价和收益管理企业，成立时间已有34年之久，业务涉及航空、铁路、公路和酒店等多个领域，业务范围遍及全球。再比如安全流量服务，人人云图的技术核心在于对抗生成模型和自进化引擎技术，能够实现在初始数据量很小的情况下自动攻防博弈训练出一个强大模型。我们可以看到，人人云图通过对业务数据进行采集和分析后，通过离线数据标注、特征工程、机器学习平台等建模方法建立业务模型，然后通过决策引擎连接业务和数据，具体见下图。

后疫情时代，各类企业的线上业务将继续壮大；但随着增长红利快速消退和流量环境日趋复杂，如何恢复和保持高速增长、如何保障业务安全成为两大关键挑战。从市场规模来看，仅面向业务增长和流量安全的智能决策服务市场规模即可达到500亿人民币，且仍将保持增长。留给人人云图去开拓的疆土显然非常辽阔。

经过四年的耕耘之后，人人云图眼下已经获得金融/交通/媒体/互联网等行业多家头部客户认可，行业拓展正在提速；中信银行、建设银行、中移动、蚂蚁金服、深圳航空等客户已成为行业标杆；在航空领域，从2019年7月起，民航业票务风控项目中标率100%；

在业务快速突进的同时，人人云图的商业模式在资本市场也已获得多家投资机构的认可。2018年12月，人人云图完成Pre-A轮融资，投资方包括红点创投、盛宇投资、梆梆安全等；2020年3月，人人云图完成A轮融资，由深信服领投、红点创投跟投。

案例三：卓讯科信以安全+业务的姿势切入行业市场深入参与行业标准制定

北京卓讯科信技术有限公司成立于2011年，是一家专注于网络可视化、网络安全和大数据应用的高新技术企业，重点研发网络数据可视化和网络安全领域的基础平台与应用分析系统，包括数据接入与汇聚分流设备、网络数据实时分析设备、深度筛选系统、SDH解析系统、零信任安全防护系统、大数据处理与应用系统等。具有强大的顶层设计能力以及软硬件产品研发、系统集成和支撑服务能力，为特种行业、运营商、政府等提供网络数据内容监测与分析、信息安全保障、大负荷应用加速、增值服务等产品和解决方案。

最近几年，卓讯同样取得了不错的成绩：在网络可视化业务领域中，目前已与战支57所、56所及航天科工、烽火通信、美亚柏科、兴畅股份、大唐电信、中电科等央企、上市公司、运营商合作，参与了五大战区、战略支援部队、国家安全中心、公安部、国安部以及海外的重大网络监测系统的业务中。在工业互联网和5G安全领域，公司与铁总信息技术中心下属的中铁信集团合作研发了12306客票系统网络安全解决方案，保证了12306系统在大并发、高负载数据流量情况下的安全稳定运行，是国内首家提供基于零信任架构的软硬件结合的网络安全解决方案。与航天科工集团共同为工业互联网系统提供基于零信任安全的解决方案；参与中国城市轨道交通协会制定的全国轨道云安全规范并提供核心安全系统；参与安徽省广电1115工程的融媒体安全规范和设计等等。

总结一下，卓讯主要在3个方面有他们的核心优势：第一，他们有基于FPGA技术的硬件加速的核心技术，在处理大量数据时有明显的优势；第二，他们的软硬件融合的技术能更高效率帮助客户解决问题；第三，他们的安全标记系统能有效隔离潜在威胁。在采访卓讯科信副总裁眭总时，他认为安全不单单是为了安全而安全，现在是一定跟业务结合。传统安全是考虑网关安全，现在工业互联网是考虑数据安全，数据流转到哪里就要设计相应的安全体系。卓讯现有的安全体系便是基于自己的核心优势围绕业务安全而设计。

我们看一下卓讯在轨交行业的案例。某市地铁运营系统网络未进行安全域划分，区域之间未设置访问控制措施，并且区域间安全监测和入侵防范措施也很缺失，缺少信息安全风险监控技术，不能及时发现信息安全问题，出现问题后靠人员经验排查。此外工程师站缺少身份认证和接入控制，且权限很大，工程师站登陆过程缺少身份认证，且工程师站对操作站、 PLC 等进行组态时均缺乏身份认证，存在任意工程师站可以对操作站、现场设备直接组态的可能性。更严重的是运维生产系统无有效的审计措施，当第三方运维人员运维 SCADA 软件和 PLC 时，城市轨道交通运营人员不能及时了解第三方运维人员是否存在误操作和恶意操作。卓讯根据客户的实际情况按照以下云安全框架实施了这个项目。通过多功能数据安全交换系统、安全标记以及物理隔离等核心技术或产品，将整个地铁的运营系统充分保护起来。真正做到了哪里有业务哪里就有数据，哪里有数据，哪里就有安全，具体解决方案见下图。

眭总认为，现在的网络环境跟之前不一样，业务不能裸奔，要先考虑安全。因此卓讯以安全的需求切入到工业互联网市场相对容易。与此同时，卓讯在切入到工业互联网的安全市场后，发现了更多的安全需求，其面向政府的网络可视化产品也得到了更多的市场机会。更重要的是，因为实施的项目较多，他们开始参与相关的标准制定，包括与中国城市轨道交通协会共同起草轨交行业的安全标准。

由此我们发现，卓讯基于其在安全领域的软硬件优势，以安全+业务场景的角度，可以快速的获得市场认可，而且在切入这个市场后，可以成为行业标准的制定者，获得了更大的安全市场机会。

结论

综上所述，汇森投资认为：

第一，随着数字化的进程，安全市场快速发展，但安全的边界发生了变化，业务安全将是新的蓝海；

第二，工业互联网的业务安全市场潜力巨大，有可能数倍于当下的工控安全市场，而以安全+业务场景切入工业互联网业务安全是有效的切入方式；

第三，安全厂商有可能从解决客户业务安全到切入业务本身，安全的赛道未来将迎来更大的风口。

 汇森投资将持续关注工业互联网业务安全市场的发展。

——— 关于汇森投资 ———

——— 联系我们 ———