工业控制系统信息安全分析及应对策略《资讯》

2018-03-08 13:10:15来源：符鑫峰 鹏越网络空间安全研究院

随着“中国制造2025”战略的提出，两化深度融合已经成为产业结构调整和转型升级的重要手段，工业控制系统信息安全（以下简称工控安全）也成为两化融合的重要组成部分。中国工业控制领域正在发生重大变革，工业控制系统（以下简称“工控系统”）所面临的信息安全问题已不再仅是信息泄露、信息系统无法使用等“小”问题，而是可能会对社会安全稳定、经济健康发展等造成不可估量影响的大问题。下面贤集网小编与大家分享工业控制系统信息安全分析及应对策略。

1全球工控系统安全态势特征

1.1工控安全漏洞数量和类别

工控安全漏洞数量持续增长，且以高危漏洞为主，供应商及工业企业修复漏洞进度迟缓。近期，卡巴斯基发布的《2016下半年工业控制系统威胁情况》报告指出，2016年下半年曝出的工控安全漏洞有75个，数量有所增加。截至2017年3月，卡巴斯基发现的75个漏洞中仅有30个已被工业软件供应商修复，修复率只有40%，其中高危漏洞占比近50%，中危漏洞占40%，这些数据都表明，工控安全漏洞情况不容乐观，需引起足够重视。

卡巴斯基认为供应商对漏洞修复工作不够重视，而工业企业出于维持业务连续性的考虑，对及时更新和安装补丁的积极性不高，因此导致漏洞处置进度迟缓。如国外工控安全研究人员在2016年工业控制系统网络安全大会上，披露了施耐德工业防火墙产品存在安全漏洞，该漏洞可以使攻击者在目标设备中远程执行任意代码。

虽然后续施耐德开发出了能够修复该漏洞的更新补丁，但厂商由于种种原因还未能向用户推送这个修复补丁。除了上述漏洞之外，安全研究人员还报告了七个存在于PLC控制系统中的0day漏洞。

目前世界上大多数工控系统存在的漏洞属于拒绝服务、远程代码执行和缓冲区溢出三个类别，占比分别是29%、21%、20%，其中高危漏洞和中危漏洞占比很大。这些漏洞会被入侵者利用，引起设备故障或设备未经授权的操作，影响工控系统组件的可靠性和灵敏度。如2016年10月北美遭受了分布式拒绝服务攻击，为众多公司提供域名解析网络服务的DYN公司遭受攻击；2015年3月发现的“食尸鬼”系列事件中，黑攻击者使用“鹰眼”RAT（远程访问木马）感染企业高管电脑、邮件，用来收集企业核心情报、其他有趣信息以及控制账号等；2016年美国CDN服务商CloudFlare报告称，黑客通过“TCP协议发送大规模L3/L4洪流”，使美国西海岸遭受每秒400GB的僵尸网络攻击。

工业可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）以及相关应用软件均被发现存在大量信息安全漏洞，如西门子（Siemens）、ABB、施耐德（Schneider）、通用电气（GE）、研华科技（Advantech）及罗克韦尔（Rockwell）等工控系统厂商的产品均被发现包含各种信息安全漏洞。对于厂商漏洞而言，Siemens占比最多，其他厂商占比大致相同主要是Siemens的产品在全球范围内使用占比较大。

工控行业厂商漏洞数量分布见图1（数据来源于国家信息安全漏洞共享平台（CNVD））。

1.2主要攻击渠道和攻击类型

互联网、可移动存储介质和邮件客户端成为最主要的攻击渠道，恶意软件入侵是最主要的攻击类型。

卡巴斯基显示，在被调查的工控系统中，因连接互联网而遭受恶意链接和钓鱼网站威胁的数量超过20%，在接入可移动存储介质过程中检测出恶意软件的有10.9%，拦截到植入恶意脚本、恶意链接和恶意附件的电子邮件的有8.1%。

如2016年1月，以色列电力供应系统遭受到严重的网络攻击，后查明是勒索软件造成了此次事故；2016年4月，德国核电站检测出恶意程序被迫关闭，安全人员分析，由于核电站的IT系统并未连接到互联网，有可能有人通过USB驱动设备意外将恶意程序带进来。

卡巴斯基特别指出，系统管理员、系统供应商和第3方运维服务人员使用的设备，在开启远程访问或远程运维服务过程中极易被暴露，从而成为发起网络攻击的跳板。

1.3工控安全漏洞分布行业

从行业来看，能源、关键制造业及水处理是工控安全漏洞分布较广泛的行业。针对工业企业的定向攻击行为增多，其中制造业、建筑业、交通运输业及工程行业是重点攻击领域，且大部分被攻击的企业为工业设施及自动化系统的设计制造商。针对制造企业的攻击行为数量最多，占比高达65%。此外，卡巴斯基还曾检测到一次针对钢铁、有色、电力、建筑及工程领域的大规模鱼叉式钓鱼活动，攻击范围覆盖全球50多个国家的500多家工业企业，目前该攻击活动仍在继续。

全球各行业工控安全漏洞数量分布见图2（数据来源于ICS-CERT）。

1.4工控系统遭受攻击区域

亚洲、北非、拉美等国家和地区遭受攻击的工控系统比例最高，中国超半数工控系统曾遭受攻击。

据统计，工控系统遭受攻击比例最高的15个国家依次是越南、阿尔及利亚、摩洛哥、突尼斯、印度尼西亚、孟加拉国、哈萨克斯坦、伊朗、中国、秘鲁、智利、印度、埃及、墨西哥和土耳其。中国境内遭受到攻击的工控系统数量占比高达53.31%，排名第9，几乎是美国的3倍。而美国、西欧等国家和地区由于在工控安全防护方面起步较早、水平较高，遭受攻击的工控系统比例要小得多。

1.5工控系统安全风险演化倾向

工控系统在发展之初是相对封闭和独立的，传统工控系统安全防护往往采用物理隔离等方式。随着新一代通信信息技术的深入应用，工控系统正趋于使用通用协议、通用操作、通用硬件和软件，以太网、无线设备的使用无处不在，整个控制系统可与远程端进行互连，使得网络安全问题直接延伸到工控系统，导致工控系统固有漏洞和攻击面不断增加，给传统防护体系带来严峻挑战，而物联网的发展促进了工控安全风险的全面升级。

首先，物联网扩大了工控安全威胁的覆盖领域。传统工控安全风险集中在电力、能源、钢铁、烟草、数控等行业，物联网的引入使得工控安全风险覆盖到城市轨道交通、车辆网、智能监控、行政基础设施等领域。其次，物联网促进了工控安全风险由内向外的转变。传统控制设备的网络安全防护主要重视内外网边界防护及物理隔离，而物联网时代，工控系统正日益走向开放、互联、互通，不仅广泛地使用通用软件和网络设施，而且与企业网中运行的管理信息系统（如MES、ERP）高度集成，与企业网甚至互联网实现数据交换，使得工控系统面临与互联网相似的、乃至更为严峻的信息安全威胁。工控安全问题将成为“网络安全、设备安全、控制安全、应用安全、数据安全”的综合体，工控系统安全风险向工业物联网安全演化的倾向逐渐显现。

2中国工控系统安全概述

随着国家在信息化建设的大力推进，工控系统在各行业的应用范围和部署规模快速扩大，应用在炼油、石化、电力、钢铁、有色、建材、交通、电网、水网、气网、国防等关系到国家和社会稳定、经济正常运行的重要领域，已成为国家关键基础设施的“中枢神经”。

近年来，中国工控系统的安全事件屡有发生，如钢厂异常停机、石化工厂“蠕虫”泛滥等。工控系统中存在大量漏洞和隐患，包括：体系结构存在共性安全隐患、自身存在安全漏洞、运行所处的系统和环境存在安全漏洞和隐患。工控系统组件漏洞的数量亦持续增加，其中近一半已识别漏洞等级是高风险的，而大多数漏洞在最知名供应商的产品中被发现。随着两化深度融合的推进，工控系统开始与MES、ERP、协同办公、电子商务等系统相连，并逐渐纳入统一的信息系统中，但在此过程中不同分区的隔离等信息安全防护措施并未得到企业的充分认识和重视。

2.1工控系统设备安全概况

随着工业自动化程度的提高，工控系统设备暴露在公网的安全问题也日趋严重。CNVD统计显示，截至2016年底，中国境内暴露在互联网的工控系统设备高达1143个。从设备类型看，PLC为接入互联网数量最多的设备，其次为远程控制终端（RTU），见图3（数据来源于CNVD），这些设备的来源多为国外厂商，其安全性不可控。从厂商来源看，暴露在互联网上的工控系统涉及到国内外多家控制系统厂商。

2.2工控安全漏洞概况

工控系统面临的安全问题愈加严峻。CNVD统计显示，2010年之后工控安全漏洞数量显着增长，截止2016年底，累计漏洞总数已超过900多个，见图4（数据来源于CNVD）。

工控安全漏洞的危害主要集中在服务器系统和工控数据，工控安全漏洞类型以缓冲溢出、信息泄露、输入验证、跨站脚本等居多，见图5（数据来源于CNVD）。

由于PLC、DCS等系统在工业领域大规模使用，因此受工控安全漏洞的潜在威胁也最为严重。其中上位机软件、SCADA、PLC位列历年累计已公开工控安全漏洞数量的前三，成为工控系统产品中最“脆弱”的组件，见图6（数据来源于CNVD）。这三类产品在中国电力、水利、污水处理、石油化工等国家关键基础设施，以及钢铁、有色、汽车、航空航天等制造业工业领域的应用十分广泛，属于无法替代的关键角色。

通过分析可以看出，工控安全漏洞攻击正向以下趋势发展：简单控制器受攻击数量增大、利用网络协议进行攻击、专业人员进行攻击、利用病毒进行攻击、工控安全漏洞挖掘与发布数量同时增长等。

3中国工控安全治理动态

近年来受各类工控安全事件影响，世界各国纷纷加大了对工业网络安全方面的投入，密集出台网络安全相关法律法规，并在网络安全演练、网络安全人才培养等方面不断加强。以美国为首的西方国家更是不断增加网络安全资金预算，甚至成立专门的网络安全部门，保障以各类工业控制系统为代表的关键基础设施的安全。中国政府也在相关法律法规、标准等方面取得突破性进展。2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上强调，要加强对关键信息基础设施的保护和开展网络安全检查工作。同年7月，为贯彻落实习近平总书记重要讲话精神，经中央网络安全和信息化领导小组批准，首次全国范围的关键信息基础设施网络安全检查工作正式启动，对电力、通信、铁路、航空、航天等18个重点领域的工控系统进行了全面检查。

2016年8月29日，继“工业控制系统深度安全技术”被列入科技部“网络空间安全”重点专项2016年度项目申报指南之后，全国信息安全标准化技术委员会归口的《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求》等24项国家标准也正式发布，其中包含《信息安全技术工业控制系统安全应用指南》。

2016年10月17日，工业和信息化部印发了《工业控制系统信息安全防护指南》，通过规范管理等要求，说明了工业控制系统安全的重要性，所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求，是《国家网络安全法》在工业领域的具体应用；同月，国家标准委、国家质检总局联合发布《工业自动化和控制系统网络安全》等6项重要国家标准；2016年11月7日，第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》；2016年12月27日，国家互联网信息办公室发布了《国家网络空间安全战略》。

网络空间安全已上升至国家安全战略，工控安全作为网络安全中薄弱而又至关重要的部分，逐渐被政府部门、行业协会和工业企业所重视。

工控系统的安全防护工作是一项系统工程，需要政府部门、行业协会、工业企业及安全厂商等单位紧密协作、各司其职，积极为工控安全防护贡献自己的力量，才能打赢这场攻坚战和持久战。

4企业工控安全防护建议

工控系统的安全与企业生产安全、经济安全密切相关，特别是电力、工业制造、石油石化、交通、供水供热供气等行业领域大量应用工控系统，一旦发生信息安全事件，将会导致生产停滞、环境污染、断水断电等影响国家安全、经济运行、人民生活的严重后果。企业需要提高工控系统安全意识，重视安全规划和防护方案落地，提高工控系统安全防护能力。结合工信部发布的《工业控制系统信息安全防护指南》，建议企业采取以下防护措施（1）建立健全专门管理机构，明确岗位职责，构建安全运维、应急响应与事件处理、经费保障等运行机制，形成完善的安全管理体系。

（2）优化改造工控系统现有网络结构，配备功能完善的边界防护产品，建立工控系统安全监测预警机制，对远程访问和远程维护行为必须采用专门的接入方式和安全访问控制策略，形成完善的边界防护技术体系。

（3）采用标准化检测工具，对设备离线、入网及在线安全以及系统安全全生命周期过程进行持续检测，通过安全配置、系统补丁等安全性补偿措施提升工控设备漏洞、后门等威胁抵御水平，形成有效的本体安全防护技术体系。

（4）建立设备、行为以及软件白名单等控制机制，实现对已知、未知威胁以及全局、局部安全态势的感知，具备多种安全防护技术联动和主动防御的能力，形成事前预警、事中组织和事后追溯的行为安全防护体系。

（5）建立安全补偿机制。企业对于新装系统应实现结构安全同步建设；对于再装系统，应进行结构安全改造；对于因条件限制而无法进行改造的，应建立安全性补偿机制。

5结束语

作为传统IT系统的延伸和发展，中国工控系统安全方面存在诸多问题和风险，需要充分认识关键基础设施保护工作的重要性，树立正确的网络安全观，创新保护方法，构建多方参与、协同保护的工作体系，政府部门、行业协会、工业企业及安全厂商形成合力，加快制定和完善工控安全法律法规和标准规范，充分发挥行业协会、产业联盟、安全服务商等社会力量的推动作用，积极推进工控安全关键技术与装备的自主研发和国产化进程，大力培养各类专业人才，尽快提升中国工控安全水平。

芬琳漆环保吗

那个牌子的漆环保

环保墙漆有哪些品牌好