對工業(yè)互聯(lián)網(wǎng)安全態(tài)勢分析及安全防護建議思考

◆李 濤

（農(nóng)業(yè)農(nóng)村部信息中心 北京 100125）

1 態(tài)勢分析

1.1 安全事件

隨著德國工業(yè)4.0、美國工業(yè)互聯(lián)網(wǎng)、中國制造2025 等再工業(yè)化革命戰(zhàn)略的不斷推進下，互聯(lián)網(wǎng)與工業(yè)網(wǎng)絡(luò)不斷進行深度融合，原本非常封閉的工業(yè)網(wǎng)絡(luò)逐漸變得開放、互聯(lián)互通，使得工業(yè)網(wǎng)絡(luò)面臨了傳統(tǒng)IT 網(wǎng)絡(luò)的病毒、木馬等威脅，同時也使得一些黑客、工業(yè)間諜、敵對勢力等攻擊工業(yè)網(wǎng)絡(luò)變得更加容易。因此，近幾年的安全事件屢有發(fā)生，呈現(xiàn)出APT2.0 攻擊趨勢[1]，如表1 所示。

表1 網(wǎng)絡(luò)安全攻擊事件

特征3：大量文件被加密并修改為統(tǒng)一后綴，無法打開。 如：GandCrab 家族的后綴為.GDCB、.GRAB、.KRA B 等；Satan 家族的后綴為.evopro、.dbger、.satan 等挖礦 特征1：出現(xiàn)勒索提示文件或者修改桌面背景為勒索信息。 C:Windowssystem32HalPluginsServices.dll C:WindowsSystem32EnrollCertXaml.dll 特征2：出現(xiàn)兩個spoolsv.exe 進程，出現(xiàn)一個非system32 目錄的svchost.exe 進程 特征3：打開任務(wù)管理器時CPU 占用下降，關(guān)閉后cpu 占用又升高，升高時會有一個rundll32.exe 進程啟動

當然，我國近幾年也發(fā)生了很多安全事件，主要涉及電力、石油化工、智能制造、汽車、鋼鐵、水利等行業(yè)，從目前這些攻擊事件分析來看，工業(yè)主機成主要攻擊的對象，工業(yè)主機都不同程度出現(xiàn)藍屏，反復(fù)重啟、文件加密等現(xiàn)象[2]。進行攻擊的主要是2 類病毒，即“WannaCry”和“挖礦”病毒，這2 種病毒的主要判斷特征如表2：

表2 主要病毒及其特征

1.2 法規(guī)、政策[3]

安全事件的不斷發(fā)生，使得我國政府也非常重視，分別從國家戰(zhàn)略、法律法規(guī)、政策、標準等方面進行積極行動。

（1）國家戰(zhàn)略

◆2014 年成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將網(wǎng)絡(luò)安全提升到國家戰(zhàn)略高度，習近平親自擔任組長；

◆2016 年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》；

◆在十八大三中全會上，習近平總書記提出“網(wǎng)絡(luò)和網(wǎng)絡(luò)安全牽涉到國家安全和社會穩(wěn)定，是我們面臨的新的綜合性挑戰(zhàn)”。

（2）法律法規(guī)

◆2017 年6 月1 日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施；

◆2019 年8，由中央網(wǎng)信辦和公安部共同制定的《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》已上報國務(wù)院，有望今年內(nèi)正式出臺。

（1）政策

◆2011 年工信部451 號《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》；

◆2016 年工信部338 號《工業(yè)控制系統(tǒng)信息安全防護指南》；

◆2016 年網(wǎng)信辦2 號關(guān)于印發(fā)《國家網(wǎng)絡(luò)安全宣傳周活動方案》通知。

◆2017 年工信部 122 號《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》；

◆2017 年工信部122 號關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》的通知；

◆2017 年工信部188 號關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知；

◆2017 年工信部316 號關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020 年）》的通知；

◆2019 年工信部關(guān)于印發(fā)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的通知；

◆2019 年水利部關(guān)于印發(fā)《水利網(wǎng)絡(luò)安全管理辦法》的通知。

（2）標準

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南》（GB/T 32924-2016）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求》（GB/T 36958-2018）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南》（GB/T 36635-2018）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T 25070-2019）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）；

◆《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》（報批稿）。

1.3 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀[3-5]

◆安全漏洞數(shù)量快速增長，且高危漏洞呈高發(fā)態(tài)勢

基于CNVD 漏洞平臺收錄的漏洞為基礎(chǔ)，2018 年全年，新增工控漏洞達到442 個，工業(yè)互聯(lián)網(wǎng)安全風險突出，安全態(tài)勢嚴峻（圖1）。

圖1 2018 全年，新增工控漏洞達到442 個

以CVE、NVD、CNVD、CNNVD 漏洞平臺收錄的工控漏洞為基礎(chǔ)可以看出，2018 全年，中、高危漏洞數(shù)量占比最高，達到90%（圖2）。

圖2 2018 全年，中、高危漏洞數(shù)量占比最高，達到90%

◆工業(yè)系統(tǒng)互聯(lián)網(wǎng)暴露數(shù)量增多，攻擊面增大

全球工控系統(tǒng)聯(lián)網(wǎng)暴露組件總數(shù)量約為17.6 萬個，暴露數(shù)量增加明顯，中國工控系統(tǒng)暴露數(shù)量為6223，占比3.5%，排名全球第五（圖3）。

◆工業(yè)協(xié)議缺乏認證、加密、授權(quán)機制

工業(yè)系統(tǒng)中所使用的ModBus、OPC、S7 等工業(yè)協(xié)議在設(shè)計之初為滿足大規(guī)模分布式控制系統(tǒng)的運行需要，放棄了其安全特性，對安全性普遍考慮不足，比如缺少足夠強度的認證、加密、授權(quán)等。使得許多工控協(xié)議存在可以被利用的漏洞，協(xié)議的公開性也導(dǎo)致極易遭受攻擊。尤其是工業(yè)控制系統(tǒng)中的無線通信協(xié)議，更容易遭受第三者的竊聽及欺騙性攻擊。

圖3 中國工控系統(tǒng)暴露數(shù)量為6223，占比3.5%，排名全球第五

◆平臺、應(yīng)用軟件漏洞

工業(yè)互聯(lián)網(wǎng)平臺是連接互聯(lián)網(wǎng)與工業(yè)的核心環(huán)節(jié)，有別于傳統(tǒng)的云平臺。它直接或間接與生產(chǎn)系統(tǒng)、設(shè)備、產(chǎn)品與用戶相連，因此平臺的安全更加凸顯，一旦遭受攻擊，將嚴重危害生產(chǎn)穩(wěn)定運行，甚至導(dǎo)致生產(chǎn)事故，威脅人身和國家安全。由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題；另外當軟件面向網(wǎng)絡(luò)應(yīng)用時，就必須開放其網(wǎng)絡(luò)端口以及一些控制權(quán)限。這樣攻擊者很有可能會利用自動化軟件的弊端獲取設(shè)備控制權(quán)。

◆工業(yè)主機操作系統(tǒng)漏洞

目前智能制造大多數(shù)工業(yè)主機的上位機/下位機/HMI 都是基于Windows 平臺的，WindowsServer20032008、WindowsXP、Windows7 等），所涉及的版本微軟已經(jīng)完全停止技術(shù)服務(wù)。為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通常現(xiàn)場工程師在系統(tǒng)開車后不會對Windows 平臺安裝任何補丁，這樣導(dǎo)致了操作系統(tǒng)存在被攻擊的可能，從而埋下了安全隱患。

◆網(wǎng)絡(luò)邊界模糊，缺少控制措施

很多企業(yè)在規(guī)劃設(shè)計時，未考慮安全分區(qū)，再加上工業(yè)系統(tǒng)運行多年，部分工業(yè)系統(tǒng)還進行了技改，導(dǎo)致工業(yè)系統(tǒng)的邊界模糊，甚至直接與互聯(lián)網(wǎng)或辦公網(wǎng)連接。這樣的話，一旦病毒爆發(fā)或入侵后，非常容易擴散到其他系統(tǒng)；另一方面，缺乏訪問控制手段，會存在非法訪問，越權(quán)操作等行為發(fā)生，給生產(chǎn)帶來安全隱患。同時，終端違規(guī)接入、非法外聯(lián)現(xiàn)象屢有發(fā)生。

◆缺少網(wǎng)絡(luò)審計，異常流量不易發(fā)現(xiàn)

工業(yè)現(xiàn)場沒有安裝網(wǎng)絡(luò)異常流量分析系統(tǒng)，無法檢測未知的威脅，存在新型惡意代碼傳播、業(yè)務(wù)異常及敏感信息泄露等威脅。若網(wǎng)絡(luò)中的設(shè)備受到病毒、蠕蟲等惡意軟件威脅時將無法感知。企業(yè)內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測與審計機制，不能及時了解網(wǎng)絡(luò)狀況（如違規(guī)操作、病毒木馬入侵、關(guān)鍵配置變更、網(wǎng)絡(luò)風暴等），一旦發(fā)生問題不能及時確定問題所在，不能及時排查到故障點，排查過程耗費大量人力成本、時間成本。

◆移動介質(zhì)，缺少安全管理

在一些工業(yè)場景經(jīng)常使用移動存儲介質(zhì)，如U 盤等。移動存儲介質(zhì)有意無意違規(guī)使用、非法拷貝、介質(zhì)丟失、無意連接到互聯(lián)網(wǎng)而導(dǎo)致信息泄密，同時也很容易導(dǎo)致U 盤病毒的傳播。

◆工業(yè)數(shù)據(jù)安全問題

工業(yè)數(shù)據(jù)是工業(yè)信息化的核心，關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全性直接關(guān)系到企業(yè)生產(chǎn)線的穩(wěn)定，數(shù)據(jù)的丟失、篡改或者錯誤都會造成生產(chǎn)線停產(chǎn)，進而影響企業(yè)的經(jīng)營效益，尤其是對于關(guān)系國計民生的關(guān)鍵企業(yè)，工業(yè)數(shù)據(jù)的泄露甚至會帶來國家安全風險。

2 工作建議

2.1 加強工業(yè)互聯(lián)網(wǎng)安全保障體系建設(shè)

應(yīng)高度重視安全能力建設(shè)，要求夯實工業(yè)設(shè)備和控制安全、提升網(wǎng)絡(luò)設(shè)施安全、強化平臺和工業(yè)應(yīng)用安全、強化企業(yè)數(shù)據(jù)安全防護能力、建設(shè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺、建設(shè)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫、建設(shè)工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境、加強工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。要建設(shè)好工業(yè)互聯(lián)網(wǎng)安全保障體系，必須加大研發(fā)投入，加強技術(shù)創(chuàng)新，提升安全能力，并使安全能力與工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)場景充分融合，使工業(yè)互聯(lián)網(wǎng)具備自適應(yīng)、自主和自生長的“自身安全”能力。

2.2 工業(yè)主機須重點防護

目前對工業(yè)設(shè)備和工業(yè)系統(tǒng)威脅最大的是專門針對工業(yè)主機（指工業(yè)互聯(lián)網(wǎng)上位機，如操作員站、工程師站、歷史數(shù)據(jù)庫、實時數(shù)據(jù)庫、MES 服務(wù)器、HMI 等等）的勒索病毒和網(wǎng)絡(luò)攻擊。工業(yè)主機往往運行常見的操作系統(tǒng)，攻擊者很容易獲得并進行研究。同時，由于工業(yè)系統(tǒng)生命周期較長，現(xiàn)存的工業(yè)主機大多是Windows7、Windows2000、WindowsXP 等老舊的操作系統(tǒng)，版本升級困難，甚至無法更新，存在大量已知漏洞，很容易成為病毒和網(wǎng)絡(luò)攻擊的直接目標、攻擊入口和關(guān)鍵跳板。

2.3 工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)安全防護

數(shù)字孿生、工業(yè)大數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的重要應(yīng)用創(chuàng)新，也是制造業(yè)和互聯(lián)網(wǎng)深度技術(shù)融合的產(chǎn)物，承載著工業(yè)企業(yè)的核心知識產(chǎn)權(quán)。隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的發(fā)展，我們所做的一切安全防護措施，根本目的都是為了保護工業(yè)互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)工業(yè)大數(shù)據(jù)。

2.4 工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺建設(shè)，重點是協(xié)同聯(lián)動

根據(jù)《工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》第11 項要求，建設(shè)國家、省、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺，特別強調(diào)強化地方、企業(yè)與國家平臺之間的系統(tǒng)對接、數(shù)據(jù)共享、業(yè)務(wù)協(xié)作，打造整體態(tài)勢感知、信息共享和應(yīng)急協(xié)同能力。

從應(yīng)急處置角度，目前還存在三方面的協(xié)同問題：政府部門與工業(yè)企業(yè)的協(xié)同聯(lián)動、工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)的協(xié)同聯(lián)動、工業(yè)企業(yè)與工業(yè)互聯(lián)網(wǎng)廠商的協(xié)同聯(lián)動。只有工業(yè)互聯(lián)網(wǎng)安全界的這四個關(guān)鍵角色建立規(guī)范化的應(yīng)急處置工作機制，制定聯(lián)合處置預(yù)案，定期舉行有效的應(yīng)急處置演練，才能在遭受網(wǎng)絡(luò)攻擊時做好應(yīng)急響應(yīng)處置工作。

2.5 工業(yè)互聯(lián)網(wǎng)安全要發(fā)展，人才培養(yǎng)是重點

工業(yè)互聯(lián)網(wǎng)安全保障體系的建設(shè)離不開大量的專業(yè)網(wǎng)絡(luò)安全人員，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展更離不開高水平、高素質(zhì)的網(wǎng)絡(luò)安全從業(yè)人員。高校是人才培養(yǎng)的源頭，產(chǎn)教融合、校企合作相關(guān)落地政策的推出，一定會激勵網(wǎng)絡(luò)安全企業(yè)在人才培養(yǎng)方面有更大的投入，把高校的通識教育和企業(yè)的網(wǎng)絡(luò)安全實戰(zhàn)經(jīng)驗結(jié)合起來，共同培養(yǎng)實戰(zhàn)能力更強的多層次網(wǎng)絡(luò)安全人才。

2.6 建立工業(yè)互聯(lián)網(wǎng)安全共享平臺，提升態(tài)勢感知能力

借鑒美國、歐盟等的先進經(jīng)驗，充分了解工業(yè)互聯(lián)網(wǎng)提供商、運營單位、政府部門、網(wǎng)絡(luò)安全承包商、專家隊伍、公眾等各方對信息共享的需求，盡快建立有效的工業(yè)互聯(lián)網(wǎng)風險信息共享機制，明確信息共享的條件，建立包括安全信息收集、上報、通報、匯總、分析、發(fā)布、共享以及共享主體、共享內(nèi)容、共享流程、共享的技術(shù)和政策保障措施等內(nèi)容的信息安全合作共享制度和公共服務(wù)平臺，打破“信息孤島”，建立態(tài)勢感知監(jiān)測預(yù)警平臺。

3 結(jié)語

本文通過對工業(yè)互聯(lián)網(wǎng)安全態(tài)勢分析后，提出相應(yīng)的安全工作建議，為今后工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供理論指導(dǎo)依據(jù)。