目录 前言.....................................................................................................................................................1 宝牧科技...........................................................................................................................................12 博智安全...........................................................................................................................................16 长扬科技...........................................................................................................................................26 烽台科技...........................................................................................................................................34 国舜股份...........................................................................................................................................46 国泰网信...........................................................................................................................................52 六方云...............................................................................................................................................74 珞安科技...........................................................................................................................................91 木链科技........................................................................................................................................106 齐安科技........................................................................................................................................138 融安网络........................................................................................................................................146 赛宁网安........................................................................................................................................156 双湃智安........................................................................................................................................160 天地和兴........................................................................................................................................165 网藤科技........................................................................................................................................172星阑科技........................................................................................................................................178 中电安科........................................................................................................................................1821 前言 前言：工控安全迎来引爆点，创新是第一驱动力 工控系统是国家关键信息基础设施的重要组成部分，同时也是关键基础设施网络 攻击的重点目标。随着互联网在工业控制系统中的广泛应用，针对工业控制系统 的各式网络攻击事件日益增多，尤其在电力、石油、铁路运输、燃气、化工、制 造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。 近年来，随着全球地缘政治冲突加剧、网络犯罪规模化、以及中美对抗导致的工 控网络安全风险不断升级，关键基础设施保护成为全球各国政府网络安全战略、 政府预算与法规标准的关注重点。2022年，中美分别以立法形式推动关键基础 设施安全防护，从资金、标准、法规三个维度推动跨部门协作，在整体设计和实 施阶段为工控安全市场提供支持。 2023年，两化融合、IT/OT融合为特征的工业数字化革命已经打开了工控安全 威胁的潘多拉盒子，工控系统安全态势和策略正在从“以OT网络为中心”向“以 资产为中心”过渡，攻防技术“军备竞赛”正在快速升级。 可以预见，随着相关法规和市场需求的就绪，2023年全球和中国工控安全市场 将迎来引爆点，进入高速发展期。2 工控安全面临的独特挑战与痛点 与其他网络安全领域相比，工控安全有着巨大差异和独特性，其中较为突出和典 型的四个独特挑战如下： 1.行业用户对影响业务连续性的安全方案容忍度低 2.工控系统设备厂商安全性的高度不透明给漏洞管理和安全运营带来巨大 挑战 3.IT/OT融合、物理网络空间攻击面进一步扩大 4.工控安全专业人员严重短缺 根据Dragos和Honeywell的2022年度工控安全报告，当前全球工业基础设 施客户最常见的四大痛点分别是： 1.工控系统环境内部缺乏可见性，80%的工控系统OT网络可见性有限。（比 2021年减少了6%） 2.半数工控系统在网络分段方面存在问题。（比2021年减少了27%） 3.53%的工控系统在其OT网络中建立了未公开或不受控制的连接。（比 2021年减少了17%） 4.54%的工控系统IT和OT之间缺乏用户管理分离。（比2021年增加了 10%）3 工控系统存在五大系统性安全风险 2022年6月GoUpSec在国内首次报道了Forescout的“冰瀑漏洞”报告，该 报告曝光10家OT供应商产品中的56个高危漏洞，给工控系统市场投下一枚 重磅炸弹。 报告指出，主流工控系统产品在设计层面存在根本性的重大安全问题。通俗来说 就是：工控系统（包括一些工控安全方案）的安全设计从根上就是烂透了。 全球主流工控系统厂商产品不安全设计导致的漏洞比比皆是（下图）： “冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃，21%可导 致固件篡改位，14%可导致远程代码执行。不安全设计问题的主要例证是与未经4 身份验证的协议相关的九个漏洞，报告还发现了大量糟糕的身份验证方案，这些 方案在实施后表现出低于标准的安全控制。 “冰瀑漏洞报告”暴露了全球工控系统设备普遍存在的五大系统性安全风险： 1.大量通过安全认证的工控系统设备依然存在已知安全漏洞：受冰瀑漏洞影 响的工控系统产品中有74%通过了某种形式的安全认证，报告的大多数 问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包 括有限的评估范围、不透明的安全定义以及对功能