背景概述
“没有网络安全就没有国家安全,没有信息化就没有现代化。”一句话道出了网络安全在国家社会、经济、民生、工业、教育、医疗等等各个领域的重要性,网络空间安全已经成为了继国家海、陆、空、天等主权安全之后的第五个重要领域。为此国家陆续出台了《国家安全法》、《网络安全法》、《网络安全等级保护基本要求》、《关键信息基础设施安全保护条例(征求意见稿)》等法律法规来确保国家网络空间的安全、网络空间主权。维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。
工业控制系统广泛应用于核设施、电力、石化、化工、冶金、食品、市政、先进制造等国家关键基础设施的运行控制过程中,是国家关键基础设施的“中枢神经”。随着我国“两化融合”工作的不断深化,工业控制系统面临的内外部安全威胁日益严重,保障工业控制系统信息安全已经上升为国家层面的安全战略。
2010年7月,“震网”病毒事件在伊朗的核电站暴发,造成伊朗核电站离心机损坏,推迟发电达两年之久。“震网”病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。作为世界上首个网络“超级破坏性武器”,“震网”计算机病毒已经感染了全球超过 45000个网络。
2017年5月,全球大范围的暴发了“永恒之蓝”病毒,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。特别是当时很多用于工业控制的电脑也纷纷中招,导致很业务无法开展,比如无法加油、无法缴纳公共事业费用等。“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,被袭击的设备被锁定,并索要300美元比特币赎金。要求尽快支付勒索赎金,否则将删除文件。
工业控制系统 Industrial Control System :对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合。工业控制系统(ICS)通常用于工业部门和关键基础设施中,诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统的主要漏洞和安全威胁主要在以下几个方面:
安全漏洞数量快速增长,安全形式日益严峻
自 2000 年-2009 年, CNVD 每年收录的工控系统漏洞数量一直保持在个位数。但到了 2010 年,该数字一下子攀升到 32 个,次年又跃升到 190 个。2016 年 191 个;2017 年 351 个;而到了 2018 年,增长到了 442 个。
安全漏洞类型多样化特性明显
漏洞成因多样化特征明显,技术类型多达 30 种以上。其中,拒绝服务漏洞(103)、缓冲区溢出漏洞(54)和访问控制漏洞(32)数量最多,最为常见。
高危漏洞占比较高
高危漏洞占比 53.6%,中危漏洞占比为 36.4%,中高危漏洞占比达到 90%。
漏洞涉及厂商以国际厂商为主
涉及到的前八大工控厂商中有七个为国际厂商,一个为中国台湾厂商。这些厂商分别为西门子(Siemens)、施耐德(Schneider)、研华(Advantech)、罗克韦尔(Rockwell)、欧姆龙(Omron)、摩莎(Moxa)、富士电机(Fuji Electric)和思科(Cisco)。
漏洞涉及行业广泛,以制造业、能源行业为主
多数分布在制造业、能源、水务、医疗、食品、石化、轨道交通、冶金、市政、信息技术等关键基础设施行业。制造业占比最高,涉及的相关漏洞数量占比达到 30.6%,能源行业涉及的相关洞数量为 23.9%。
OT 安全管理不到位
在很多大中型工业企业中,IT 安全管理一般措施比较到位,但 OT 安全管理措施却有显著疏失。
IT 和 OT 安全责任模糊
很多工业企业的信息中心管理 OT 网络和服务器的连接性和安全性,OT 的运维团队一般会对生产有效性负责,但往往并不对网络安全负责。
IT 安全控制在 OT 领域无效
较多工业企业在 OT 设置中使用 IT 安全控制,但没有考虑其对 OT 的影响。IT 安全专家,对OT 领域也不甚了解。
缺乏 OT 资产和漏洞的可见性
工业企业的 IT 团队一般不负责 OT 的资产,而是由 OT 团队负责 OT 资产,关于 OT 资产的漏洞基本上无人负责和收集。
工业主机几乎“裸奔”
工业企业的 OT 网络中存在着大量工业主机,这些工业主机上面基本没有任何安全防护措施工业主机几乎处在“裸奔”状态。
IT 和 OT 网络混杂缺防护
很多工业企业的 IT 和 OT 网络并没有进行有效的隔离,端口往往不采用任何安全防护措施,甚至有将常见端口打开后忘记关闭的情况发生,从而增加工业互联网的攻击剖面。
注:IT(“商业网络”)与OT("工业网络")
工业控制系统安全解决方案主要内容
国家法规政策要求
工业控制系统概述
工业控制系统安全现状
工业控制系统安全威胁
工业控制系统安全解决方案
项目建设效益