从工控漏洞“洞见”工控安全现状！- 大数跨境

首页

从工控漏洞“洞见”工控安全现状！

物联网安全号

2016-08-23

导读：工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域，以及航空、铁路、公路、地铁等公共服务领域，是国家关键生产设施和基础设施运行的“中枢”。

点击上方“物联安全” 可以订阅哦！

工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域，以及航空、铁路、公路、地铁等公共服务领域，是国家关键生产设施和基础设施运行的“中枢”。

通用协议频繁使用安全问题日益突出

从工业控制系统自身来看，随着计算机和网络技术的发展，尤其是信息化与工业化的深度融合，工业控制系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工业控制系统的攻击行为大幅度增长，也使得工业控制系统的脆弱性正在逐渐显现，面临的信息安全问题日益突出。

2010年的“震网”病毒、2012年的超级病毒“火焰”、2014年的Havex病毒等专门针对工业控制系统的病毒给用户带来了巨大的损失，同时也直接或间接地威胁到国家安全。从2015年发生的乌克兰电力遭受攻击事件我们可以看到，在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的情况下，就可以对工控系统的运行造成影响。

3大工控厂商爆出漏洞占30%

从实际攻击过程看，攻击的成本在降低，而攻击所带来的影响在进一步加重。下面是绿盟科技统计的2015年至2016Q1的工控漏洞统计情况：

图1 工控漏洞统计情况

图2 威胁分布类型

图3 系统分布类型

图4 厂商漏洞分布情况

从以上图表中可以看出，随着各方对工控系统的关注，近年来工控系统被挖掘的漏洞呈现总体上升的趋势，但由于工业控制系统漏洞具有更高的价值，仍有大量的工控漏洞已被发现，却未被曝光，因此，实际的工控漏洞数量应超出图标的统计，同时，SCADA、HMI、PLC、工业交换机等占曝光的漏洞数的前几位。从分布的厂商来看，Siemens、advantech、scheider仍是漏洞大户，他们的漏洞总和占全体工控漏洞总数的近30%。

国际工控发展态势

纵观国际工控安全的发展态势，美国是最早开始研究和执行工控安全标准的国家，北美电力可靠性公司给予 CIP系列标准的要求开展在北美电力开展针对电力企业安全安全检查（包含核电）；欧洲已经按照 WIB标准来检测工控产品安全，并且以德国为代表的国家，已经开始基于 ISO 27000系列的ISO 27009 进行工控安全的建设；日本基于 IEC 62443要求结合阿基里斯认证要求，从 2013年起规定所有工控产品必须通过国家标准认证才能在国内使用，并且已经在一些重点行业如能源和化工行业开始了工控安全检查和建设；以色列已成立国家级工控产品安全检测中心，用于工控安全产品入网前的安全检测。

三令五申，工控刻不容缓！

在我国国内，电力企业是最早开始工控系统安全建设的行业，大部分的大型电力企业已经基于原电监会 5号令（电力二次系统安全防护方案）的要求进行了网络专用、安全分区、横向隔离、纵向加密认证的建设，有效避免了原有开放网络所带来的安全隐患；石油、石化、冶金和关键制造等行业也已经在开展针对工业控制系统的试点建设。

三令五申

震网病毒事件后，在 2010年国家信息安全标准委会（ TC260）制定了《工控SCADA安全指南》。在 2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》即 451号文，451 号文从连接管理要求、组网管理要求、配置管理要求、设备选择和升级管理要求、数据管理要求和应急管理要求等 6个方面提出了加强对工业企业工业控制系统安全管理的要求。国务也在 2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见国发〔 2012〕23 号文>中明确提出保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。从2012年开展到2014 年工信部陆续开展了针对工业控制系统的安全检查，并且检查的内容逐步由安全检查向安全审查的方向发展。由于2015年底乌克兰电力攻击所导致的电网中断引起全世界范围内对电网安全的关注，国内两大主要电网基于自身电网安全的需求，陆续在开展相关的安全检查，通过检查发现电网中潜在的安全隐患，从而进行有针对性的安全加固。

工控安全从网关走向生命周期管理

从产品分布上，国内对工控安全产品的认识，也逐步从以边界防护为主工控安全网关类产品开发，向提供工控系统全生命周期安全保障的工控安全类产品开发迁移。目前主流的工控安全类产品主要涵盖，检测类产品、防护类产品、监测预警类产品，一些在传统信息系统中采用的技术开始在工控安全产品中得到应用，如大数据技术、感知技术等。从国内开发的工控安全产品的技术特点上看，原有以信息安全为背景的企业，开发出的产品在使用上仍然继承了原有信息安全产品在配置和应用上的特点，对于实际在工业现场中的应用看，缺乏与实际工业现场应用习惯等融合，现场人员的使用仍然存在的一定的障碍。而工业背景的企业开发的工控安全产品，在产品形态和易用性上存在较大的优势，但是对于信息安全基本功能的理解和攻击防护的规则匹配设置上仍然存在较大的问题，在应用真实攻击行为后，仍然略显苍白。

伴随着国家政策的指引（发改委安全专项支持、工信部互联网+时代产业转型项目的支持）以及行业内对工控安全的行业引导（如发改委14号令）以及相关国家相关工控安全标准的发布（如 GB/T30976）。在相关因素驱动下，工控安全产品应用实例的增多及实际应用效果得到业界的认可，预计在不久的将来，工业控制系统的安全必将迅猛发展。