360-2017年度ITOT一體化的工業信息安全態勢報告2017-2018.2.1-37頁（37頁）.pdf

1、 IT/OT 一體化的工業信息安全態勢報告（2017） 工業控制系統安全國家地方聯合工程實驗室 360 威脅情報中心 2018 年 2 月 1 日 主要觀點 IT/OT 一體化一體化融合帶來的融合帶來的新新挑戰挑戰 IT/OT 一體化在拓展了工業控制系統發展空間的同時，也帶來了工業控制系統網絡安全問題。企業為了管理與控制的一體化，實現生產和管理的高效率、高效益，普遍引入生產執行系統 MES，實現管理信息網絡與控制網絡之間的數據交換和工業控制系統和管理信息系統的集成。MES 不再是一個獨立運行的系統，而要與管理系統甚至互聯網互通、互聯，從而在工業系統中引入了網絡攻擊風險。 對于傳統 IT 網絡安

2、全，保密性優先級最高，其次是完整性、可用性。工業網絡則有明顯的不同，工業網絡更為關注的是系統設備的可用性、實時性。在工業系統中，設備超期服役、帶洞運行、帶毒運行的狀況非常普遍。而且有大量的內部系統和設備不必要的暴露在互聯網上，進一步加大了工業系統的安全風險。 工業互聯網的 IT/OT 融合會帶來很多安全挑戰。一方面是來自外部的挑戰，如：暴露在外的攻擊面越來越大；操作系統安全漏洞難以修補；軟件漏洞容易被黑客利用；惡意代碼不敢殺、不能殺；DDOS 攻擊隨時可能中斷生產；高級持續性威脅時刻環伺等。另一方面是來自工業系統自身安全建設的不足，如：工業設備資產的可視性嚴重不足；很多工控設備缺乏安全設計；設

3、備聯網機制缺乏安全保障；IT 和 OT 系統安全管理相互獨立互操作困難；生產數據面臨丟失、泄露、篡改等安全威脅等。 工業信息安全建議與展望工業信息安全建議與展望 建立網絡安全滑動標尺動態安全模型，該標尺模型共包含五大類別，分別為架構安全（Architecture）、被動防御（Passive Defense）、積極防御（Action Defense）、威脅情報（Intelligence）和進攻反制（Offense）。這五大類別之間具有連續性關系，并有效展示了防御逐步提升的理念。 從安全運營的角度，建立企業的工業安全運營中心（IISOC）。在 IT 和 OT 一體化推進發展中，IT 技術在 OT

4、領域大量使用，IT 所面對的風險也跟隨進入了 OT 網絡，因此工業企業對這兩個應用角度都要識別風險的切入點， 列舉相關的風險， 并且要進行一體化的規劃。 組建 IT&OT 融合的安全管理團隊，對整個工業控制系統進行安全運營。 在技術層面提高防護能力，包括終端層面、網絡層面和監管層面，以及數據和系統的可恢復性（備份層面）方面。 摘 要 工業控制系統(Industrial Control Systems, ICS)通常指由計算機設備和工業生產控制部件組成的系統。 根據美國工業控制系統網絡緊急響應小組（ICS-CERT）最新統計報告，2015 年漏洞總數為 486 個，2016 年美國關鍵基礎設施存

5、在 492 個安全漏洞。 ICS-CERT 的最新報告顯示， 相關漏洞涉及供水、 能源和石油行業等關鍵基礎設施。 此外，ICS-CERT 安全研究專家指出， 針對工業控制系統環境入侵的攻擊者數量增長無疑意味著可利用的漏洞數量和類型也會同時增長。 2000 年 1 月截止到 2017 年 12 月， 根據我國國家信息安全漏洞共享平臺 （CNVD） 統計，所有的信息安全漏洞總數為 101734 個，其中工業控制系統漏洞總數為 1437 個。2017年 CNVD 統計的新增信息安全漏洞 4798 個，工控系統新增漏洞數 351 個，均比去年同期有顯著增長。 CNVD 在 2017 年收錄的工控相關漏

6、洞中，高危漏洞占比最高，達到 53.6%。中危漏洞占比 42.4%，其余 4.0%為低危漏洞。 CNVD 已收錄的漏洞數量最多的五大工控廠商的安全漏洞數量中， Siemens 最多， 為 197個，其次是 Schneider117 個。 工業互聯網安全監測公共服務平臺收錄了 2017 下半年國內以及全球范圍內，暴露在互聯網上的工業控制系統設備數量。從中分析可知，在八月份和九月中旬期間，國內和全球暴露的工控設備數均有一個明顯上升趨勢，且 2017 年末比 2017 年中旬暴露的工控設備數多。 企業為了管理與控制的一體化，實現生產和管理的高效率、高效益，普遍引入生產執行系統 MES，實現管理信息網

7、絡與控制網絡之間的數據交換和工業控制系統和管理信息系統的集成。 工業網絡則有明顯的不同，工業網絡更為關注的是系統設備的可用性、實時性，除此特點外，IT 系統和 OT 系統之間仍然存在很多差異性。 根據 ICS-CERT 的報告顯示，在 2016 年，工業控制系統網絡安全應急小組團隊完成了對290 起安全事件的處理。其中，對制造業的攻擊比重最大，有 63 起，約占 22%，此外，通信部門攻擊有 62 起，比重第二，有 59 起能源部門安全事件。 2017 年工業網絡八大重點安全事件： 永恒之藍勒索病毒、 新型物聯網僵尸網絡 HTTP81、類 Petya 勒索病毒席卷歐洲、美國供水設施網絡癱瘓、印

8、度 ISP 遭受 BrickerBot 攻擊、瑞典交通機構遭受 DDOS 攻擊、巴西銀行發現惡意軟件攻擊、惡意軟件 TRITON 攻擊能源關鍵信息基礎設施。 2017 年 2 月，美國紐約州金融服務部（DFS）頒布了新的網絡安全監管規則，這意味著在紐約運營的主要金融機構迎來了相比過去更為嚴厲的網絡安全防控義務。 2017 年 5 月，澳大利亞總理特恩布爾日前宣布，發布政府首次年度修訂版國家網絡安全戰略 。該戰略于 2016 年 4 月推出，涵蓋 33 個網絡安全計劃，投入資金達 2.31 億澳元（約合 12 億人民幣） 。 2017 年 1 月，韓國政府向國會正式提交了國家網絡安全法案 。其旨

9、在防止威脅國家安全的網絡攻擊，迅速積極應對網絡危機，為保障國家安全及國民利益做出貢獻。 2017 年 7 月，新加坡通信部與網絡安全局共同發布了網絡安全法案 2017 （草案）征求公眾意見，該草案是新加坡繼去年 10 月宣傳的旨在加強全球合作伙伴關系的“網絡安全戰略”之后又一網絡安全舉措。 2017 年 8 月，英國政府出臺智能汽車網絡安全新指南 ，指南的全稱為面向聯網和自動駕駛汽車的網絡安全關鍵原則 ， 目標是將之拓展到汽車制造和供應鏈上的每一方。 2017 年 1 月，工信部印發信息通信網絡與信息安全規劃（2016-2020） ，規劃明確了以網絡強國戰略為統領。 2017 年 3 月，經中

10、央網絡安全和信息化領導小組批準，外交部和國家互聯網信息辦公室 1 日共同發布網絡空間國際合作戰略 。 2017 年 4 月，工信部印發云計算發展三年行動計劃（2017-2019 年） 。 2017 年 5 月，國家互聯網信息辦公室發布網絡產品和服務安全審查辦法（試行） ，于 6 月 1 日起實施。 2017 年 5 月，工業和信息化部印發工業控制系統信息安全事件應急管理工作指南 。 2017 年 6 月， 中華人民共和國網絡安全法正式實施，這是我國網絡領域的基礎性法律，其中明確規定要加強對個人信息保護。 2017 年 7 月，國家互聯網信息辦公室發布關鍵信息基礎設施安全保護條例（征求意見稿）

11、。 2017 年 8 月，工信部印發工業控制系統信息安全防護能力評估工作管理辦法 。 2017 年 11 月，工信部印發公共互聯網網絡安全突發事件應急預案 。 2017 年 12 月，工業和信息化部制定了工業控制系統信息安全行動計劃（2018-2020年） 。 對比 2016 年和 2017 年 Gartner 技術成熟度曲線：OT 安全進入底谷期，估計會在 2018年進入穩步爬升的光明期。 關鍵詞：關鍵詞：工業信息、ICS 工業控制系統安全國家地方聯合工程實驗室 目 錄 第一章 概述 . 1 一、 研究背景及意義 . 1 二、 研究內容與結構 . 2 第二章 工業信息安全性現狀分析 . 3

12、一、 工業控制系統漏洞現狀 . 3 二、 工控系統暴露情況 . 5 三、 工業信息安全風險分析 . 5 第三章 2017 工業信息安全重大事件 . 9 一、 2017 安全事件概述 . 9 二、 2017 工業網絡八大重點安全事件 . 10 (一) 永恒之藍（WannaCry）勒索病毒分析 . 10 (二) 我國發現新型物聯網僵尸網絡 HTTP81 . 10 (三) 類 Petya 勒索病毒席卷歐洲 . 11 (四) 美國供水設施網絡癱瘓 . 11 (五) 印度 ISP 遭受 BrickerBot 攻擊 . 11 (六) 瑞典交通機構遭受 DDOS 攻擊 . 12 (七) 巴西銀行發現惡意軟件

13、攻擊 . 12 (八) 惡意軟件 TRITON 攻擊能源關鍵信息基礎設施 . 12 第四章 工業信息系統應急響應典型案例. 14 一、 工業系統遭勒索軟件攻擊典型案例 . 14 (一) 某大型能源機構遭 WannaCry 大規模攻擊 . 14 (二) 某市視頻監控系統服務器遭勒索軟件鎖定 . 14 (三) 某新能源汽車廠商的工業控制系統被 WannaCry 攻擊而停產 . 15 二、 工業系統服務器遭攻擊典型案例. 16 (一) 某大型能源公司網站遭遇 APT 入侵 . 16 (二) 某地全市監控系統可泄露敏感信息 . 17 (三) 某熱力公司內部服務器可無密碼登錄 . 18 三、 其他典型案

14、例 . 19 (一) 某知名汽車合資廠商工控軟件帶毒運行 . 19 (二) 某市自來水廠內部信息存在泄露風險 . 20 第五章 工業信息安全標準與政策動向 . 22 一、 國際工控安全標準及重要文件 . 22 工業控制系統安全國家地方聯合工程實驗室 (一) 2017 美國工控安全標準及重要文件 . 22 (二) 2017 澳大利亞工控安全標準及重要文件 . 23 (三) 2017 其他國家工控安全標準及重要文件 . 23 二、 國內工控安全標準及重要文件 . 24 三、 國內外工控安全行業動態 . 26 第六章 工業信息安全改進建議 . 28 一、 工業信息安全問題總結 . 28 (一) 工業

15、網絡安全威脅級別越來越高，漏洞類型多種多樣 . 28 (二) 網絡結構快速變化，目前工控技術存在隱患. 28 (三) 網絡邊界不夠清晰，局部安全問題易擴散到整個系統 . 28 (四) 工控安全標準有待完善，安全企業重視不足. 28 二、 工業信息安全建議與展望 . 28 (一) 建立網絡安全滑動標尺動態安全模型 . 28 (二) 從安全運營的角度，建立企業的工業安全運營中心 . 29 (三) 組建 IT&OT 融合的安全管理團隊. 29 (四) 在技術層面提高防護能力 . 30 附錄 工業控制系統安全國家地方聯合工程實驗室 . 31 工業控制系統安全國家地方聯合工程實驗室 1 第一章 概述 一

16、、 研究背景及意義 工業控制系統(Industrial Control Systems, ICS)通常指由計算機設備和工業生產控制部件組成的系統,主要包括五大部分： 數據釆集與監測控制系統(SCADA)、 分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)及現場總線控制系統(FCS)等。工業控制系統已經廣泛應用于工業、能源、交通及市政等領域，是我國國民經濟、現代社會以及國家安全的重要基礎設施的核心系統。 在工業互聯網、 “中國制造 2025” 、 “工業 4.0”等政策驅動下，信息技術（IT, Information Technology）和操作技術(OT, Oper

17、ational Technology)一體化已成為必然趨勢。隨著 IT/OT 一體化的迅速發展， 工業控制系統越來越多的采用通用硬件和通用軟件， 工控系統的開放性與日俱增， 系統安全漏洞和缺陷容易被病毒所利用， 然而工業控制系統又涉及我國電力、 水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業，一旦遭受攻擊會帶來巨大的損失。事實上，對于電力、水利、能源、制造業等領域的工業控制系統的入侵事件，在此之前就已經層出不窮。 2000 年，澳大利亞的一個污水處理控制系統被惡意攻擊，造成了該公司的污水處理泵站進行非正常操作，導致超過 1000 立方米的污水沒有進行凈化直接排放到附近的河流，造成嚴

18、重的環境污染。 2003 年，美國 CSX 運輸公司的計算機系統被病毒所感染，導致華盛頓所有的客運和貨運全部中斷。 2005 年， 盡管在 Internet 和企業網、 控制網之間部署了防火墻， 13 家汽車廠還是被 Zorob蠕蟲病毒感染迫使停業，造成 50000 生產線工人停工，經濟損失達到 140 萬美元。 2008 年，波蘭 Lodz 的城鐵系統被惡意攻擊，攻擊者通過遠程操縱改變鐵路系統的鐵軌扳道器，直接導致 4 節車廂脫離正常軌道。 2010 年，“震網”病毒（Stuxnet）攻擊了伊朗的核設施，具有極強的破壞力，推遲了伊朗鈾濃縮的進程，并且截止到 2010 年 9 月，全球已有十萬

19、臺主計算機受到感染。 2014 年，美國的知名電子商務企業 eBay 被黑客入侵，全球 1.28 億用戶的個人信息被泄露。 2016 年， 烏克蘭電網遭遇黑客攻擊， 造成大范圍停電， 以及伊斯蘭教的大赦之夜 （Lailat al Qadr） ，包括 GACA（沙特國家民航總局）在內的至少 6 家沙特重要機構遭到了嚴重的網絡攻擊，更是讓全球目光再次聚焦在工控網絡信息安全問題上。 工控系統網絡安全與IT系統網絡安全有很大區別。 網絡安全有三個目標， 也稱安全三元組，即保密性（confidentiality），完整性（integrity）和可用性（availability）。保密性是指未經授權的個人

20、，實體或進程，不能利用和獲取信息。完整性確保防止不合適的修改或破壞信息?？捎眯允鞘跈嗟挠脩艨梢园葱枨?，及時、可靠地訪問和使用信息的特征。傳統的IT系統網絡安全按重要性排列順序為：保密性、完整性、可用性。工控系統網絡安全按重要性排列順序為：可用性、完整性、保密性。信息安全目標重要性排序不同造成了工控系統與IT系統在風險評估、安全需求、標準要求、實現方案、部署實現、安全運維整個安全生命周期過工業控制系統安全國家地方聯合工程實驗室 2 程都有很大不同。 因此， 傳統的IT信息系統的網絡安全技術并不能直接應用于工業控制系統，要解決工業控制系統網絡安全問題應當充分考慮工業應用場景的特點。 工業網絡安全是

21、一個動態的過程，需要在整個工業控制系統生命周期的各個階段持續實施，不斷改進。 二、 研究內容與結構 隨著 IT/OT 一體化的逐步推進， 工業控制系統越來越多地與企業網和互聯網相連接， 形成了一個開放式的網絡環境。工控系統網絡化發展導致了系統安全風險和入侵威脅不斷增加，面臨的網絡安全問題也更加突出。由于工控網絡系統環境的特殊性，傳統的 IT 信息安全技術不能直接應用于工業控制網絡的安全防護。 然而， 工業控制系統又應用于國家的電力、交通、石油、取暖、制藥等多種大型制造行業，一旦遭受攻擊會帶來巨大的損失，因此需要有效的方法確保工控系統的網絡安全。 為給政府部門、科研機構和工業企業提供參考和借鑒，

22、360 安全集團撰寫和發布 IT/OT一體化的工業網絡安全態勢報告。 本報告共分為五大章節：第一章為概述，主要講解該報告的研究背景和意義，以及與傳統 IT 網絡安全的區別；第二章主要對工業信息的安全性進行了分析，統計了工控的漏洞，以及面臨的挑戰；第三章主要是對 2017 年的重要工控安全事件進行概述，并列舉了八大重要安全事件， 總結安全事件中存在的安全隱患； 第四章主要對行業內信息安全標準和政策動向進行了分析，總結了國內外行業動態及發展趨勢；第五章對工業網絡安全提出改進建議，首先總結分析了工業網絡安全中存在的問題，同時提出建議及展望， 本報告可供合作伙伴及企業客戶決策參考使用。 工業控制系統安

23、全國家地方聯合工程實驗室 3 第二章 工業信息安全性現狀分析 一、 工業控制系統漏洞現狀 安全漏洞，是工業控制系統面臨的首要安全問題。目前，全球最有名的工業控制系統漏洞收錄機構是美國工業控制系統網絡緊急響應小組（ICS-CERT），而國內最有名的官方漏洞收錄機構是國家信息安全漏洞共享平臺（CNVD），本小節將主要結合這兩個機構的相關統計數據，分析工業控制系統安全漏洞近年來的報告與收錄基本情況。 根據美國工業控制系統網絡緊急響應小組（ICS-CERT） 最新統計報告，2015 年漏洞總數為 486 個，2016 年美國關鍵基礎設施存在 492 個安全漏洞。根據公開的 ICS 漏洞數的年度變化趨勢

24、來看，工控安全漏洞逐年增加，盡管目前 ICS-CERT 2017 年的工控漏洞收錄數據還未公開，但很有可能再創新高。ICS-CERT 工控漏洞收錄年度分布圖如下所示。 ICS-CERT 的最新報告顯示，相關漏洞涉及供水、能源和石油行業等關鍵基礎設施。此外，ICS-CERT 安全研究專家指出，針對工業控制系統環境入侵的攻擊者數量增長無疑意味著可利用的漏洞數量和類型也會同時增長。工業控制系統的信息安全問題仍然需要亟待解決。 自 2000 年 1 月截止到 2017 年 12 月，根據我國國家信息安全漏洞共享平臺（CNVD）統計，所有的信息安全漏洞總數為 101734 個，其中工業控制系統漏洞總數為

25、 1437 個。2017年 CNVD 統計的新增信息安全漏洞 4798 個，工控系統新增漏洞數 351 個，均比去年同期有顯著增長。 本章主要分析工業網絡安全， 對工業控制系統漏洞進行了詳細分析， 如下圖所示。 工業控制系統安全國家地方聯合工程實驗室 4 CNVD 在 2017 年收錄的工控相關漏洞中，高危漏洞占比最高，達到 53.6%。中危漏洞占比 42.4%， 其余 4.0%為低危漏洞。 2017 年 CNVD 收錄工控系統漏洞危險等級分布如下圖。 下圖給出了目前 CNVD 已收錄的漏洞數量最多的五大工控廠商的安全漏洞數量。 其中，Siemens 最多，為 197 個，其次是 Schnei

26、der117 個。需要說明的是，收錄的漏洞越多，不等于相關廠商的設備越不安全，因為往往是使用越廣泛的系統，越受安全工作者的關注，所以被發現和披露的漏洞往往也越多。 工業控制系統安全國家地方聯合工程實驗室 5 二、 工控系統暴露情況 工業互聯網安全監測公共服務平臺收錄了 2017 下半年國內以及全球范圍內，暴露在互聯網上的工業控制系統設備數量。從表中分析可知，在八月份和九月中旬期間，國內和全球暴露的工控設備數均有一個明顯上升趨勢，且 2017 年末比 2017 年中旬暴露的工控設備數多。暴露的工控設備數量折線圖如下所示。 三、 工業信息安全風險分析 工業控制系統安全是國家關鍵信息基礎設施安全的重

27、要組成部分。 在工業互聯網、 “中國制造 2025”、 “工業 4.0”等趨勢驅動下， 隨著云計算、 物聯網、 大數據技術的成熟， IT/OT一體化已成為必然趨勢。 IT/OT 一體化在拓展了工業控制系統發展空間的同時， 也帶來了工業控制系統網絡安全工業控制系統安全國家地方聯合工程實驗室 6 問題。近年來，隨著安全事件的頻繁發生，工業信息安全越來越受到政府、工業用戶、科研機構和工控系統廠商的重視。企業為了管理與控制的一體化，實現生產和管理的高效率、高效益，普遍引入生產執行系統 MES，實現管理信息網絡與控制網絡之間的數據交換和工業控制系統和管理信息系統的集成。MES 不再是一個獨立運行的系統，

28、而要與管理系統甚至互聯網互通、互聯，從而引入網絡攻擊風險。 對于傳統 IT 網絡安全，保密性優先級最高，其次是完整性、可用性。工業網絡則有明顯的不同，工業網絡更為關注的是系統設備的可用性、實時性， 除此特點外，IT 系統和 OT系統之間仍然存在很多差異性，如表 1 所示。 表 1 IT 系統和 OT 系統的差異性 分類 IT 系統 OT 系統 可用性需求 可重啟、熱切換 高可用（不能重啟）、計劃性中斷、重要系統冗余 管理需求 保密性、完整性、有效性、隱私 人身安全、有效性、完整性、保密性、隱私 體系安全焦點 IT 資產及信息、中央服務器更重要 邊緣設備與中央設備一樣重要 未預期的后果 安全解決

29、方案圍繞典型的 IT 系統進行設計 安全工具必須先測試以確保不會影響ICS 的正常運作 時間緊迫的交互 交互時效可有彈性 可實施嚴格限制的訪問控制 實時性、緊急響應 訪問控制不能妨礙必要人機交互 系統操作 典型的操作系統、自動部署、持續升級 專有的操作系統，無安全功能、軟件變更須驗證 資源限制 近 3-5 年主流硬件，有性能冗余 按需設計，可能 10-20 年前設備還可以使用 通信 標準通信協議、有線、無線 專有標準、異構、交互操作 由于 IT 系統和 OT 系統之間存在的眾多差異，當工業互聯網的 IT/OT 進行融合時會帶來很多安全挑戰。 首先是來自外部的安全挑戰， 1） 暴露在外的攻擊面越

30、來越大 IT/OT 一體化后端點增加， 給工業控制系統 （ICS） 、 數據采集與監視控制系統 （SCADA）等工業設施帶來了更大的攻擊面。 與傳統 IT 系統相比較， II/OT 一體化的安全問題往往把安全威脅從虛擬世界帶到現實世界，可能會對人的生命安全和社會的安全穩定造成重大影響。 2） 操作系統安全漏洞難以修補 工業控制系統安全國家地方聯合工程實驗室 7 工業控制系統操作站普遍采用 PC+Windows 的技術架構，任何一個版本的 Windows 自發布以來都在不停的發布漏洞補丁， 為保證過程控制系統的可靠性， 現場工程師通常在系統開發后不會對 Windows 平臺打任何補丁，更為重要的

31、是即使打過補丁的操作系統也很少再經過工控系統原廠或自動化集成商商測試，存在可靠性風險。但是與之相矛盾的是，系統不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成 Windows 平臺乃至控制網絡的癱瘓。 3） 軟件漏洞容易被黑客利用 黑客入侵和工控應用軟件的自身漏洞通常發生在遠程工控系統的應用上， 另外， 對于分布式的大型的工控網，人們為了控制監視方便，常常會開放 VPN tunnel 等方式接入甚至直接開放部分端口，這種情況下也不可避免的給黑客入侵帶來了方便之門。 4） 惡意代碼不敢殺、不能殺 基于 Windows 平臺的 PC 廣泛應用，病毒也隨之而泛濫。全球范圍內，每

32、年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒，并且還在以每天數十余種的速度增長。這些惡意代碼具有更強的傳播能力和破壞性。 例如蠕蟲病毒死灰復燃。 與一般的木馬病毒不同， 這種病毒隨著第三方打補丁工具和安全軟件的普及，近些年來本已幾乎絕跡。但隨著永恒之藍、永恒之石等網軍武器的泄露，蠕蟲病毒又重新獲得了生存空間，死灰復燃。其最為顯性的代表就是 WannaCry 病毒?；诠た剀浖c殺毒軟件的兼容性，在操作站（HMI）上通常不安裝殺毒軟件，即使是有防病毒產品， 其基于病毒庫查殺的機制在工控領域使用也有局限性， 主要是網絡的隔離性和保證系統的穩定性要求導致病毒庫對新病毒的處理總是滯后的，

33、這樣， 工控系統每年都會大規模地爆發病毒，特別是新病毒。在操作站上，即插即用的 U 盤等存儲設備濫用，更給這類病毒帶來了泛濫傳播的機會。 5） DDOS 攻擊隨時可能中斷生產 拒絕服務攻擊是一種危害極大的安全隱患， 它可以人為操縱也可以由病毒自動執行， 常見的流量型攻擊如 Ping Flooding、 UDP Flooding 等， 以及常見的連接型攻擊如 SYN Flooding、ACK Flooding 等，通過消耗系統的資源，如網絡帶寬、連接數、CPU 處理能力、緩沖內存等使得正常的服務功能無法進行。 拒絕服務攻擊非常難以防范， 原因是它的攻擊對象非常普遍，從服務器到各種網絡設備如路由器

34、、防火墻、IT 防火墻等都可以被拒絕服務攻擊?？刂凭W絡一旦遭受嚴重的拒絕服務攻擊就會導致嚴重后果， 輕則控制系統的通信完全中斷， 重則可導致控制器死機等。目前這種現象已經在多家工控系統中已經出現 網絡風暴經常是由于 ARP 欺騙引起的 flood 攻擊，或者因工控信息網絡因環路故障造成的網絡風暴，這種攻擊往往發生在同一網段的控制區域中，占用大量的帶寬資源，工控系統疲于處理各種報文，將系統資源消耗殆盡，使工業系統報文無法正常傳輸。目前的工業總線設備終端對此類拒絕服務攻擊和網絡風暴基本沒有防范能力， 另外， 傳統的安全技術對這樣的攻擊也幾乎不可避免，缺乏有效的手段來解決，往往造成嚴重后果。 6）

35、高級持續性威脅時刻環伺 高級持續性威脅的特點是：目的性非常強，攻擊目標明確，持續時間長，不達目的不罷休， 攻擊方法經過巧妙地構造， 攻擊者往往會利用社會工程學的方法或利用技術手段對被動式防御進行躲避。 而傳統的安全技術手段大多是利用已知攻擊的特征對行為數據進行簡單的工業控制系統安全國家地方聯合工程實驗室 8 模式匹配，只關注單次行為的識別和判斷，并沒有對長期的攻擊行為鏈進行有效分析。因此對于高級持續性威脅，無論是在安全威脅的檢測、發現還是響應、溯源等方面都存在嚴重不足。 另一方面是來自工業系統自身安全建設的不足。 1） 工業設備資產的可視性嚴重不足 工業設備可視性不足嚴重阻礙了安全策略的實施。

36、要在工業互聯網安全的戰斗中取勝，“知己”是重要前提。許多工業協議、設備、系統在設計之初并沒有考慮到在復雜網絡環境中的安全性，而且這些系統的生命周期長、升級維護少也是巨大的安全隱患。 2） 很多工控設備缺乏安全設計 主要來自各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等方面， 其在設計之初可能未考慮完整性、 身份校驗等安全需求， 存在輸入驗證， 許可、授權與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全挑戰。例如：國產數控系統所采用的操作系統可能是基于某一版本 Linux 進行裁剪的，所使用的內核、文件系統、對外提供服務、一旦穩定均不再

37、修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、服務多年所爆出的漏洞并未得到更新，安全隱患長期保留。 3） 設備聯網機制缺乏安全保障 工業控制系統中越來也讀的設備與網絡相連。如各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接，形成工業網絡；工業網絡與辦公網絡連接形成企業內部網絡；企業內部網絡與外面的云平臺連接、第三方供應鏈連接、客戶的網絡連接。由此產生的主要安全挑戰包括：網絡數據傳遞過程的常見網絡威脅（如：拒絕服務、中間人攻擊等），網絡傳輸鏈路上的硬件和軟件安全（如：軟件漏洞、配置不合理等），無線網絡技術使用帶來的網絡防護邊界模糊等。 4） IT 和 OT 系統安全管

38、理相互獨立互操作困難 隨著智能制造的網絡化和數字化發展，工業與 IT 的高度融合，企業內部人員，如：工程師、管理人員、現場操作員、企業高層管理人員等，其“有意識”或“無意識”的行為，可能破壞工業系統、傳播惡意軟件、忽略工作異常等，因為網絡的廣泛使用，這些挑戰的影響將會急劇放大；而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在智能制造+互聯網中，人員管理也面臨巨大的安全挑戰。 5） 生產數據面臨丟失、泄露、篡改等安全威脅 智能制造工廠內部生產管理數據、 生產操作數據以及工廠外部數據等各類數據的安全問題，不管數據是通過大數據平臺存儲、還是分布在用戶、生

39、產終端、設計服務器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。 工業控制系統安全國家地方聯合工程實驗室 9 第三章 2017 工業信息安全重大事件 2017 年，針對工業控制系統的各種網絡攻擊事件日益增多，暴露出工業控制系統在安全防護方面的嚴重不足。 本章匯總了國內外工控領域工業網絡安全事件， 希望能幫助讀者進一步了解工業控制系統所面臨的安全威脅， 促進加大在工業控制網絡安全方面的投入， 加速推進相關技術和解決方案的完善以及相關政策標準的推出，促進工控網絡安全事業不斷發展。 一、 2017 安全事件概述 根據 ICS-CERT 的報告顯示，在 2016 年，工業控制系統網絡安

40、全應急小組團隊完成了對 290 起安全事件的處理，由于 IT/OT 的一體化，傳統病毒和工控病毒的相互滲透以及 IT技術和 OT 技術的融合，可利用的漏洞數量和類型同時增長，近幾年的安全事件也會增多，工業控制系統安全事件如下所示。 在 2016 年發生的 290 起工控安全事件中，對制造業的攻擊比重最大，有 63 起，約占22%，此外，通信部門攻擊有 62 起，比重第二，有 59 起能源部門安全事件，工業控制系統安全事件攻擊類型如下所示。 工業控制系統安全國家地方聯合工程實驗室 10 隨著我國工業互聯網的發展，IT/OT 一體化進程的不斷推進，工業控制系統不再是孤立的系統， 單純地進行網絡隔離

41、已經不能有效控制工業控制系統的安全， 不斷發生的工業控制系統信息安全事件充分說明了這點。此外，分析了安全事件攻擊類型，希望本文對于致力于工業控制系統安全防護的同行有所借鑒和幫助。 二、 2017 工業網絡八大重點安全事件 (一) 永恒之藍（WannaCry）勒索病毒分析 5 月 12 日，不法分子利用據稱是 NSA（National Security Agency，美國國家安全局）泄露的黑客數字武器庫中“永恒之藍”工具發起蠕蟲病毒攻擊進行勒索的惡性事件。WannaCry 利用 Windows 操作系統 445 端口存在的漏洞進行傳播， 無需用戶任何操作，只要開機上網， 不法分子就能在電腦和服務

42、器中植入惡意代碼加密用戶數據實施數字勒索， 并具有自我復制、主動傳播的特性。僅僅幾個小時，該勒索軟件已經攻擊了近百個國家，中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家的上千家企業及公共組織，超過 10 萬臺電腦遭到了勒索病毒攻擊、感染。 工業企業也受到勒索病毒的感染而影響正常生產。 根據公開報道， 尼桑和本田均遭受停產。 中國某大型能源企業的部分加油站正常運行受到波及。 病毒導致加油站加油卡、 銀行卡、第三方支付等網絡支付功能無法使用。 Wannacry病毒嚴重影響英國NHS系統， NHS轄下48個醫療機構在此次網絡攻擊中受影響，占所有NHS機構的五分之一

43、。醫院的急癥服務、手術服務等等都必須延遲甚至取消，受影響的病人數以千計。因此，相關部門需要加強對加強工控環境保護，提前做好對勒索軟件的防護。 (二) 我國發現新型物聯網僵尸網絡 HTTP81 在去年Mirai僵尸網絡攻擊造成美國東海岸大面積斷網事件之后，2017年5月，國內也出現了控制大量IoT設備的僵尸網絡。 該僵尸網絡是由360網絡安全研究院率先發布公告， 披露了一個名為http81的新型IoT僵尸網絡。 http81僵尸網絡的幕后操控者遠程入侵了大量沒有及時修復漏洞的網絡攝像頭設備，在這些攝像頭中植入惡意代碼，只要發出指令就可以隨時向任何目標實施DDoS攻擊。由于網工業控制系統安全國家地

44、方聯合工程實驗室 11 絡攝像頭屬于長期在線的設備，普遍擁有比較高的帶寬，與由電腦組成的僵尸網絡相比，具備更強的殺傷力。此外，http81僵尸網絡借鑒了Mirai的端口嗅探手法和部分基礎代碼，但是對比僵尸網絡的關鍵特性，http81在傳播、C2通信協議、攻擊向量等方面與Mirai完全不同，屬于新的僵尸網絡家族。 http81僵尸網絡在中國已經感染控制了超過5萬臺網絡攝像頭。 如果按照每個活躍IP擁有10Mbps上行帶寬測算， http81僵尸網絡可能擁有高達500Gbps的DDoS攻擊能力， 足以對國內互聯網基礎設施產生重大威脅。 此安全事件告誡我們： 國內的網絡攝像頭等設備大多缺乏安全更新維

45、護，從事物聯網行業的運維人員應該盡可能更新維護，及時清除惡意代碼。 (三) 類 Petya 勒索病毒席卷歐洲 6 月 27 日，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受大規?！邦怭etya”勒索病毒襲擊，該病毒遠程鎖定設備，然后索要贖金。其中，烏克蘭地區受災最為嚴重，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響，包括首都基輔的鮑里斯波爾國際機場（Boryspil International Airport）、烏克蘭國家儲蓄銀行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄羅斯石油公司（Rosneft）和烏克蘭一些商業銀行以及部分

46、私人公司、零售企業和政府系統都遭到了攻擊。 類 Petya 病毒是 2017 年全球流行并造成嚴重破壞的一類勒索軟件。具體包括 Petya 病毒，NotPetya 病毒和 BadRabbit 病毒（壞兔子）三種。從純粹的技術角度看，類 Petya 病毒的三個子類并不屬于同一木馬家族， 但由于其攻擊行為具有很多相似之處， 因此有很多安全工作者將其歸并為一類勒索軟件，即類 Petya 病毒。Petya 病毒主要通過誘導用戶下載的方式進行傳播。 病毒會修改中招機器的 MBR （主引導記錄， Master Boot Record） 并重啟設備。重啟后， 被感染電腦中 MBR 區的惡意代碼會刪除磁盤文件

47、索引 （相當于刪除所有文件） ，導致系統崩潰和文件丟失。 與 5 月爆發的勒索病毒相比， 新病毒變種的攻擊速度更快。 它會利用“管理員共享”功能在內網自動化滲透，即使打全補丁的電腦也會被攻擊。 (四) 美國供水設施網絡癱瘓 6月中下旬，美國賓夕法尼亞Bala Cynwyd的亞當弗拉納根（42歲）因破壞美國東海岸多個供水設施提供商的網絡被判1年零1天的監禁。 2013年11月， 該公司以非公開理由解雇了弗拉納根。 弗拉納根于2007年11月至2013年11月在某智能水電氣設備制造商擔任工程師， 他的工作職責之一是為客戶 （主要為供水設施網絡）建立塔式網關基站（TGB）。 被解雇后的弗拉納根此后決

48、定報復公司， 從而關閉了TGB， 使該公司客戶的供水設施網絡陷入癱瘓，之后他用攻擊性的語言修改了某些TGB上的密碼。TGB是供水設施網絡（由安裝在民眾家中與供水設施運營商系統交換數據的智能水表） 的主要組成部分。 這些網絡允許供水設施運營商收集用水數據，并檢查客戶家中的安裝情況。此安全事件導致美國東海岸5個城市的塔式網關基站受到影響， 供水設施提供商不得不派遣員工到客戶家中手工抄寫每月的用水量。在2016年11月，美國當局對弗拉納根提出指控，于2017年6月弗拉納根被判刑。此安全事件告誡我們：對于企業內員工的管理，不僅要加強安全策略管理，還需要定期進行安全培訓教育。 (五) 印度 ISP 遭受

49、 BrickerBot 攻擊 工業控制系統安全國家地方聯合工程實驗室 12 8月3日，印度多地發生網絡攻擊事件，影響了Bharat Sanchar Nigam Limited（BSNL）和Mahanagar Telephone Nigam Limited（MTNL）這兩家印度國有電信服務提供商的機房內的調制調解器以及用戶的路由器， 事件導致印度東北部、 北部和南部地區調制調解器丟失網絡連接，預計6萬臺調制調解器掉線，影響了45%的寬帶連接。 BrickerBot是一款影響Linux物聯網和聯網設備的惡意軟件。 與其它囤積設備組成僵尸網絡實施DDoS攻擊等惡意軟件不同的是， BrickerBot

50、重寫Flash存儲， 使物聯網設備變“磚”。大多數情況下，“磚化”效應可以逆轉，但在某些情況下卻會造成永久性的破壞。BSNL幾萬臺調制調解器使用了不受保護的TR069（TR064）接口，允許任何人重新配置設備實施中間人攻擊或DNS劫持。BSNL和MTNL遭遇這起網絡攻擊的原因，還在于這兩大ISP允許他人通過7547端口連接到它們的網絡。 此安全事件告誡我們： 應加強使用非安全設備ISP的注意，此外，設備所有者和互聯網服務器提供商也需要謹慎保護設備安全。 (六) 瑞典交通機構遭受 DDOS 攻擊 10月11日，黑客針對瑞典運輸管理局（ Trafikverket ）展開 DDoS 攻擊，導致該機構

51、負責管理列車訂單的 IT 系統癱瘓， 以及電子郵件系統與網站宕機， 從而影響了旅客預定或修改訂單的情況。10月12日，瑞典交通運輸局（Transportstyrelsen），以及公共交通運營商 V sttrafik 的 IT 系統遭到類似 DDoS 攻擊。黑客發動的 DDoS 攻擊主要針對服務提供商 TDC 和 DGC，其目的是影響機構的正常運營。 (七) 巴西銀行發現惡意軟件攻擊 12月17日，趨勢科技的安全研究人員于近期發現了一種名為PRILEX的ATM惡意軟件，旨在瞄準巴西銀行進行針對性攻擊、 竊取ATM用戶的信息。 10月份， 卡巴斯基實驗室發現了第一起PRILEX攻擊， PRILEX

52、 具有非典型的行為， 因為 PRILEX 只會影響特定品牌的自動取款機，這種非典型行為表明惡意軟件是為高度針對性的攻擊而設計的。被發現的ATM惡意軟件通過掛鉤某些動態鏈接庫（DLL）來工作，并將其替換為自己的應用程序屏幕。一旦感染ATM， PRILEX惡意軟件就會kill掉銀行應用進程、 顯示特定的虛假屏幕誘導用戶提供帳戶驗證碼。 從去年10月份，巴西銀行36個銀行域名、企業電子郵件和DNS都被黑客控制，攻擊者利用偽造的HTTPS頁面網絡釣魚獲取用戶憑證和訪問行為， 還向訪問者分發惡意軟件。 此安全事件告誡我們：企業應加強HTTPS的配置，同時加強對DNS的控制和監督，盡量使用雙因子身份驗證。

53、 (八) 惡意軟件 TRITON 攻擊能源關鍵信息基礎設施 12月，黑客利用惡意軟件Triton攻擊了施耐德電氣公司Triconex安全儀表系統（Triconex Safety Instrumented System，SIS），該系統廣泛應用于能源行業，包括石油天然氣和核設施的功能安全保護。該系統失效有可能造成極為嚴重的后果。美國國土安全部（DHS）的國家網絡安全和通信集成中心（NCCIC）也對此攻擊事件進行了調查分析。 調查顯示，基于Python編寫的HatMan惡意軟件主要以施耐德電氣的Triconex安全儀表系統（SIS）控制器為目標，旨在關停系統并嘗試修改系統到危險失效狀態。HatMa

54、n通過專有的TriStation協議與SIS控制器進行通信，允許攻擊者通多添加新的梯形圖修改SIS安全邏輯。NCCIC在其報告中指出，該惡意軟件主要包括兩部分組件：一部分是在受損的PC端運行后與安全控制器交互， 另一塊是在控制器上直接運行。 這是第一起針對能源基礎設施功能安全保護系統發起的攻擊事件。 此安全事件告誡我們： 攻擊者已不滿足于攻擊常規工控系統 （DCS、工業控制系統安全國家地方聯合工程實驗室 13 PLC等） ， 造成停車或停產， 而是開始攻擊工業領域最核心的安全保護系統， 嘗試造成爆炸、有害物質泄漏等更嚴重的危害。 工業控制系統安全國家地方聯合工程實驗室 14 第四章 工業信息系

55、統應急響應典型案例 在本章中， 為敘述方便， “工業控制系統安全國家地方聯合工程實驗室” 均簡稱為： “工控安全聯合實驗室”。 一、 工業系統遭勒索軟件攻擊典型案例 (一) 某大型能源機構遭 WannaCry 大規模攻擊 場景場景回顧回顧 2017 年 5 月 12 日 14:26，360 互聯網安全中心發現安全態勢異常，啟動黃色應急響應程序，安全衛士在其官方微博上發布永恒之藍緊急預警。5 月 13 日凌晨 1:23，360 安全監測與響應中心接到某大型能源企業的求助，反映其內部生產設備發現大規模病毒感染跡象，部分生產系統已被迫停產。360 安全監測與響應中心的安全服務人員在接到求助信息后，立

56、即趕往該單位總部了解實際感染情況。 疫情分析疫情分析 初步診斷認為： WannaCry病毒已在該機構全國范圍內的生產系統中大面積傳播和感染，短時間內病毒已在全國各地內迅速擴散，但仍處于病毒傳播初期；其辦公網環境、各地業務終端（專網環境）都未能幸免，系統面臨崩潰，業務無法開展，事態非常嚴重。 進一步研究發現， 該機構大規模感染 WannaCry 的原因與該機構業務系統架構存在一定的關聯；用戶系統雖然處于隔離網，但是存在隔離不徹底的問題；且存在某些設備、系統的協同機制通過 445 端口來完成的情況。 處置處置方案方案 安服人員第一時間建議全網斷開 445 端口， 迅速對中招電腦與全網機器進行隔離，

57、 形成初步處置措施。隨后，針對該企業實際情況，制定了應急處置措施，提供企業級免疫工具并開始布防。 該企業在全國范圍內針對該病毒發送緊急通知， 發布內部應急處理和避免感染病毒的終端擴大傳播的公告。 5 月 16 日，病毒蔓延得到有效控制，染毒終端數量未繼續增長，基本完成控制及防御工作。整個過程中，該企業和安全廠商全力協作配合，監控現場染毒情況、病毒查殺情況，最終使病毒得到有效控制。 (二) 某市視頻監控系統服務器遭勒索軟件鎖定 場景回顧場景回顧 5 月 13 日凌晨 3:00 許，360 安全監測與響應中心接到某單位（市級）電話求助，稱其在全市范圍內的的視頻監控系統突然中斷了服務，大量監控設備斷

58、開，系統基本癱瘓。安服人員第一時間進行了遠程協助， 初步判斷： 猜測可能是監控系統的服務器遭到攻擊感染了勒索病毒，進而感染了終端電腦，建議立即逐臺關閉 Server 服務，并運行免疫工具，同時提取病毒樣本進行分析。 疫情分析疫情分析 工業控制系統安全國家地方聯合工程實驗室 15 安服人員現場實地勘察后發現： 確實是該視頻監控系統的服務器中招了， 罪魁禍首正是WannaCry，并且由于服務器中招已經使部分辦公終端中招。溯源分析顯示， “永恒之藍”先在一臺視頻網絡服務器上發作，然后迅速擴散，導致該市局視頻專網終端及部分服務器（大約 20 多臺）設備被病毒感染，數據均被加密，導致大量監控攝像頭斷開連

59、接。斷網將對當地的生產生活產生重要影響。 處置方案處置方案 安服人員首先在交換機上配置 445 端口阻塞策略；其次，分發勒索病毒免疫工具，在未被感染的終端和服務器上運行，防止病毒進一步擴散；另外，對于在線終端，第一時間推送病毒庫更新和漏洞補丁庫；由于部分被加密的服務器在被感染之前對重要數據已經做了備份，因此對這些服務器進行系統還原，并及時采取封端口、打補丁等措施，避免再次感染。 至 5 月 16 日，該機構的視頻監控系統已經完全恢復正常運行，13 日凌晨被感染的終端及服務器以外，沒有出現新的被感染主機。 (三) 某新能源汽車廠商的工業控制系統被 WannaCry 攻擊而停產 場景回顧場景回顧

60、2017 年 6 月 9 日， 某新能源汽車制造商的工業控制系統開始出現異常。 當日晚上 19 時，該機構生產流水線的一個核心部分：動力電池生產系統癱瘓。該生產系統日產值超百萬，停產直接損失嚴重， 同時也就意味著其電動車的電力電機模組部分出不了貨， 對該企業的生產產生了極其重大的影響。該機構緊急向 360 安全監測與響應中心進行了求助。 實際上， 這是永恒之藍勒索蠕蟲的二次突襲， 而該企業的整個生產系統已經幸運的躲過了 5 月份的第一輪攻擊，卻沒有躲過第二次。監測顯示，這種第二輪攻擊才被感染情況大量存在，并不是偶然的。 疫情分析疫情分析 安服人員現場實際勘測發現： 該機構的工業控制系統已經被

61、WannaCry 感染， 運行異常，重復重啟或藍屏， 而其辦公終端系統基本無恙， 這是因其辦公終端系統上安裝了比較完善的企業級終端安全軟件。但在該企業的工業控制系統上，尚未部署任何安全措施。感染原因主要是由于其系統與企業辦公網絡連通， 間接存在公開暴露在互聯網上的接口。 后經綜合檢測分析顯示， 該企業生產系統中感染 WannaCry 的工業主機數量竟然占到了整個生產系統工業終端數量的 20%。 事實上， 該企業此前早已制定了工業控制系統的安全升級計劃， 但由于其生產線上的設備環境復雜，操作系統五花八門（WinCE 終端、Win2000、WinXP 終端及其他各種各樣的終端都會碰到），硬件設備也

62、新老不齊（事后測試發現，其流水線上最老的電腦設備有 10 年以上歷史），所以部署安全措施將面臨巨大的兼容性考驗，所以整個工控系統的安全措施遲遲沒有部署。 處置方案處置方案 因廠商的生產系統中沒有企業級終端安全軟件， 于是只能逐一對其電腦進行排查。 一天之后也僅僅是把動力電池的生產系統救活。 此后， 從 6 月 9 日開始一直到 7 月底差不多用了兩個月時間，該企業生產網里中的帶毒終端才被全部清理干凈。經過此次事件，該機構對工工業控制系統安全國家地方聯合工程實驗室 16 業控制系統安全性更加重視，目前已經部署了工控安全防護措施。經過測試和驗證，兼容性問題也最終得到了很好的解決。 二、 工業系統服

63、務器遭攻擊典型案例 (一) 某大型能源公司網站遭遇 APT 入侵 海蓮花（OceanLotus）是首個由國內安全機構（360 威脅情報中心，2015 年 5 月）披露的 APT 組織。2012 年 4 月起至今，該境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。該組織主要通過魚叉攻擊和水坑攻擊等方法， 配合多種社會工程學手段進行滲透， 向境內特定目標人群傳播專用木馬程序，秘密控制部分政府人員、外包商和行業專家的電腦系統，竊取系統中相關領域的機密資料。 場景回顧場景回顧 2017 年 11 月，云監測發現，某大型能源公

64、司網站被海蓮花 APT 組織攻陷。我們認為網站是整個組織暴露在外的非常關鍵的入口，這是 360 云監測第一次發現 APT 與網站入侵直接相關的國內案例。 疫情分析疫情分析 該大型能源公司被海蓮花 APT 組織攻陷，云監測發現其采取的是“水坑攻擊”方式，并且目前網站首頁上存在海蓮花 APT 水坑域名相關的 js。 攻擊者團伙入侵網站后， 不僅破壞網站的安全性，還會收集所訪問用戶的系統信息。如果確認感興趣的目標，則會執行進一步的釣魚攻擊獲取敏感賬號信息或嘗試植入惡意程序進行秘密控制。 處置方案處置方案 1） 建議該企業及時清理被篡改的相關頁面。 工業控制系統安全國家地方聯合工程實驗室 17 2）

65、該企業與 360 合作，展開全面調查。 (二) 某地全市監控系統可泄露敏感信息 場景場景回顧回顧 某市監控系統邀請工控安全聯合實驗室對分布于全市的監控設備及其服務系統進行安全檢測。檢測結果顯示，該市很多區域的監控視頻均可通過互聯網進行查看，其中包括很多敏感區域的監控視頻，如：政府、醫院、私人辦公區、危險化學品倉儲等。這些監控視頻一旦被犯罪分子掌握和利用，后果不堪設想。 某礦井內部監控可發現用于爆破的危險物品（上面圖像經過處理） 某醫院監控能清楚的了解該醫院的實時情況（上面圖像經過處理） 工業控制系統安全國家地方聯合工程實驗室 18 某辦公區域監控系統（上面圖像經過處理） 疫情分析疫情分析 造成

66、該市多個區域監控視頻外泄風險的主要原因有兩點： 一是監控視頻的管理服務器直接暴露在了互聯網上，可被遠程訪問。二是監控視頻服務器的管理員帳號使用了弱密碼，弱密碼為該視頻監控系統服務商設置的初始密碼。 處置處置方案方案 1） 修改服務器的管理員帳號和密碼，不要使用弱密碼。 2） 做好服務器設備隔離，阻止來自互聯網的訪問。 (三) 某熱力公司內部服務器可無密碼登錄 場景場景回顧回顧 某市熱力公司邀請工控安全聯合實驗室對其系統進行安全檢測。 檢測結果顯示， 該熱力公司的內部服務器可以通過互聯網直接訪問，并無需帳號密碼認證即可以管理員身份登陸，可造成大量服務器數據泄露。此外，檢測還發現，該熱力公司控制系

67、統中的大量 PLC 也暴露在了互聯網上，可以直接被攻擊者攻擊，并造成設備停產。 工業控制系統安全國家地方聯合工程實驗室 19 通過公網無需認證即可登錄某熱力公司內部數據系統 疫情分析疫情分析 檢測顯示， 該機構內部服務器的業務代碼存在設計缺欠， 導致其登錄認證過程可以被繞過。 同時， 該服務器對于互聯網沒有完全隱藏隔離， 因此導致攻擊者可以直接從互聯網訪問，并以管理員權限登錄。進一步調查現實，攻擊者遠程登錄后，還可以訪問系統數據庫。 該熱力公司的 PLC 也被暴露在網絡，攻擊者可以直接查看，并實施攻擊。PLC 是連接辦公系統和工控系統的控制設備，攻擊者通過暴露在互聯網上的 PLC 信息，直接對

68、 PLC 設備發起遠程攻擊，可刪除或篡改數據，甚至直接破壞系統造成設備停產。 處置處置方案方案 1） 立即排查所有登錄權限，刪除非法登陸者。 2） 修正服務器系統設計缺欠，修改并添加賬號密碼，避免認證繞過。 3） 盡快排查，在該企業自己可控的服務范圍內，刪除意外暴露的敏感數據。 4） 加強安全監控，做好數據備份，以防有攻擊者惡意破壞服務器數據。 5） 全面排查內部網絡中，暴露在互聯網上的設備和網絡節點，做好全面的網絡隔離。 三、 其他典型案例 (一) 某知名汽車合資廠商工控軟件帶毒運行 場景場景回顧回顧 2017 年 11 月， 某知名汽車合資廠商邀請工控安全聯合實驗室對其生產系統進行安全檢測

69、。結果發現其生產系統中的監控主機上存在大量木馬病毒，包括大量感染型病毒，某些木馬病毒樣本的歷史甚至超過 10 年以上。同時，該系統的工業控制部分也存在大量已知安全漏洞。雖然上述問題暫未對該企業的生產活動產生實質性影響，但安全隱患已經非常明顯。 注：所謂感染型病毒，是將自身加入在其它的程序（如 exe 文件）或動態庫文件（DLL的一種）中，從而實現隨被感染程序同步運行的功能，進而對感染電腦進行破壞和自身傳播的病毒。感染型病毒近年來在一般民用系統中已經非常少見，但在 21 世紀初期還很流行。 疫情分析疫情分析 工業控制系統安全國家地方聯合工程實驗室 20 檢測發現， 導致該汽車廠商生產系統感染大量

70、木馬病毒， 存在大量安全漏洞的主要原因有兩個方面：一是生產系統部分設備過于老舊疏與維護，二是缺乏有效的安全運維和管理。 1） 生產系統部分設備過于老舊 該企業使用的自動化生產系統中， 有大量設備已經超過原廠提供的質保期或自動化集成商的維保期，如：西門子 S7-300 PLC 等，某些設備的使用時間超過 10 年以上，系統長期處于無人進行升級維護的狀態。上位機監控系統中存在大量老舊病毒并且帶毒工作多年。 2） 缺乏有效的安全運維和管理 該企業安全運維手段不足和管理不嚴主要表現為 USB 管理疏失和網絡管控不嚴。 首先，盡管該企業明令禁止員工在工控系統的 USB 接口上進行手機充電或插拔其他無關設

71、備，但并沒有采取任何技術手段對 USB 端口的使用進行限制；其次，盡管該企業的生產系統并不需要互聯網協同工作，但其部分設備的端口卻暴露在了互聯網上，可以從互聯網自由訪問。這就使得該生產系統隨時處于來自互聯網攻擊的巨大威脅之下。 處置處置方案方案 首先需要說明的是，該汽車廠商生產系統中的木馬病毒，特別是感染型病毒，已經很難完全清除干凈。這是因為，一般來說，如果操作系統中的驅動程序感染了感染型病毒，修復方法通常只能用原生系統的相同文件來替換掉被感染的文件。 但是， 工業主機上的操作系統都不是完全原生的操作系統， 其中大量的驅動程序都是經過工控設備制造商根據生產需求修改過的。而鑒于相關設備早已超出保

72、修年限，不僅得不到設備供應商的維護保養，而且也已經很難獲得所需驅動程序樣本。 這時如果直接用原生操作系統驅動替換被感染文件， 可能立即造成相關設備失靈，進而無法再生產。 因此，工控安全聯合實驗室給該汽車廠商建議如下處置方案： 1） 排查內部網絡，封禁生產系統暴露在互聯網上的端口，網絡內部做好訪問控制。 2） 請專業技術人員協助清除目前工業主機上可以清除的病毒。 3） 使用終端安全管控軟件等技術措施，封禁生產系統中所有主機設的備 USB 端口；在不影響生產的情況，也可以直接物理封禁所有 USB 端口。 (二) 某市自來水廠內部信息存在泄露風險 場景場景回顧回顧 某市自來水供水廠邀請工控安全聯合實

73、驗室， 對其內部生產系統進行安全檢測， 并提供了某日一段時間內， 該廠內部網絡中的部分流量數據請我們協助做安全分析。 檢測分析結果顯示：該系統存在大量內網 IP 地址暴露問題，可以直接通過互聯網自由訪問，這可能導致內網管理的機密數據和部分供水設備運行的敏感信息泄露。 疫情分析疫情分析 內網 IP 與節點的暴露問題，主要是由于內部網絡隔離不徹底。調查顯示，該自來水廠內部網絡并不存在聯網需求， 即并沒有需要通過互聯網來管控的設備節點和業務系統， 因此，其內部網絡與互聯網之間理應進行完全隔離。 而造成其內部網絡節點暴露在互聯網上的主要原因，應屬工作人員缺乏安全意識，對系統進行了不當配置。 工業控制系

74、統安全國家地方聯合工程實驗室 21 此外，該自來水廠對內部網絡的監控和管理，缺乏有效的技術手段，僅靠自查自糾，很難完全杜絕此類問題再次發生。 處置處置方案方案 1） 立即進行網絡系統排查，全面測試還有那些節點與互聯網相連，并將不必要的連接節點全部與互聯網斷開，必要的連接節點應進行必要的技術保護。 2） 建立健全內部網絡的訪問控制、安全監控和數據審計系統。 3） 加強對 IT 運維人員的技術培訓和安全意識培訓。 工業控制系統安全國家地方聯合工程實驗室 22 第五章 工業信息安全標準與政策動向 一、 國際工控安全標準及重要文件 (一) 2017 美國工控安全標準及重要文件 2017 年 2 月，美

75、國紐約州金融服務部（DFS）頒布了新的網絡安全監管規則，這意味著在紐約運營的主要金融機構迎來了相比過去更為嚴厲的網絡安全防控義務。從適用范圍來看，這部規章適用于所有在紐約運營的具有銀行、保險和金融服務牌照的企業?？傮w來看，這部規章涵蓋的內容較為廣泛，包括對網絡書寫政策的設置、管理、審計、偵查、防御、測試要求以及突發事件報告等多方面的網絡安全事項。 首先，企業將需要設置“保持網絡安全計劃” 。其次，規章要求企業有相關的記錄和報告義務。再次，企業還須設置強調一系列網絡安全事項的政策，內容包括信息安全、數據管理、登陸控制、系統以及網絡監控、數據隱匿和突發事件應對等。此外，企業必須任命一名首席信息安全

76、執行官，用以監測這些政策的實施和執行情況。 2017 年 3 月，美國眾議院科學、空間與技術委員會通過了網絡安全框架V1.1 版草案提議修改項。V1.1 草案中的提議修改項，包括： 修改網絡安全度量的內容。 企業領導者希望明確這里指的是自我評估， 而非審計或法律標準。 在身份與訪問管理中新增子節，即身份驗證。包括基于風險身份驗證方法的三層描述：單一、多因素和持續驗證。 將網絡供應鏈風險管理實現層級（Cyber Supply Chain Implementation Tier）融入到其它三個實現層級內容中。 刪除第 3.7 節，聯邦機構應用框架的部分。特朗普行政令 EO13800 已經解決了這個

77、問題，聯邦機構具有獨立的框架指南。 最根本的是， 整個文件的評估和內容更新是為了更好地適應物聯網和工控系統網絡安全。 2017 年 5 月， 特朗普簽署了 增強聯邦政府網絡與關鍵性基礎設施網絡安全 行政令，并表示， 政府將開始在整個美國政府機構范圍內管理網絡風險， 讓聯邦機構各自負責保護自身網絡，并將實現聯邦 IT 現代化作為加強計算機安全的核心。該項名為“增強聯邦政府網絡與關鍵性基礎設施網絡安全”的行政指令，按聯邦政府、關鍵基礎設施和國家三個領域來規定將采取的增強網絡安全的措施。 1） 聯邦政府網絡安全 在聯邦政府網絡安全方面， “行政令”認為， 已知但未得到處理的漏洞是行政部門所面臨的最嚴

78、重的網絡風險之一， 這些漏洞包括使用開發商不再支持的過時操作系統或硬件， 未及時安裝安全補丁或落實特定安全配置。 2） 關鍵基礎設施網絡安全 在關鍵基礎設施網絡安全方面，這項“行政令”要求采取一系列措施來增強聯邦政府及關鍵基礎設施的網絡安全。 按聯邦政府、 關鍵基礎設施和國家三個領域來規定將采取的增強工業控制系統安全國家地方聯合工程實驗室 23 網絡安全的措施。 3） 國家網絡安全 在國家網絡安全方面， “行政令”稱，美國的政策是確?；ヂ摼W開放、互動、可靠和安全，在促進效率、創新、交流和經濟繁榮的同時，尊重隱私并防止欺騙、偷竊和破壞。 2017年12月， 美國國家標準與技術研究院 （Natio

79、nal Institute of Standards and Technology ，NIST）發布改進關鍵信息基礎設施網絡安全框架第二稿，NIST 方面指出，第二稿草案旨在澄清、改進及加強網絡安全框架，夸大其價值與易用性。NIST 網絡安全框架最初發布于 2014 年，此項網絡安全框架基于美國前任總統奧巴馬發布的總統行政令，現任特朗普政府亦將該框架視為一套適用于政府機構以及各關鍵信息基礎設施運營商的最佳實踐指導方案。 (二) 2017 澳大利亞工控安全標準及重要文件 2017 年 5 月，澳大利亞總理特恩布爾日前宣布發布政府首次年度修訂版國家網絡安全戰略 。該戰略于 2016 年 4 月推出

80、，涵蓋 33 個網絡安全計劃，投入資金達 2.31 億澳元（約合 12 億人民幣） 。 修訂版戰略稱， 自 網絡安全戰略 推出以來， 網絡安全行業的利益、活力和關注度都在快速增加。澳大利亞在網絡安全研發方面的專利申請排名全球第四。 網絡安全戰略舉措除了帶來了直接效果，在業界、學術界和政府機構也提高了網絡安全活動的參與率。 網絡安全行業正在成長為一個蓬勃發展的共同體， 這將有助于保護澳大利亞經濟發展，并使其自身成為一個有價值的行業。 根據修訂版戰略， 下一步澳大利亞政府將致力于打擊網絡犯罪、 聯合業界以提高物聯網設備安全性、降低政府 IT 系統的供應鏈風險等。 2017 年 8 月，澳大利亞維多

81、利亞州政府正式啟動新一項五年網絡安全戰略，旨在增強國家政府網絡防御體系并確保國家信息、服務與關鍵基礎設施安全。不過，該戰略目前首要保護公民敏感信息免遭丟失、惡意更改或未經授權使用。 與此同時， 由于政府希望國家服務、 系統與基礎設施在遭受嚴重網絡攻擊時能夠迅速得以恢復， 因此該戰略發布后政府不僅對國家基礎設施的威脅采取了全方位應對措施， 還強調了公共管理部門的網絡安全戰略需要根據行業實踐進行改進， 使之保持一致并適合每個組織風險狀況。 另外， 維多利亞州政府還希望國家能夠將安全與維護功能納入公民新數字服務項目，旨在提高政府核心基礎設施的安全性與可行性。因此，該戰略的發布首先要求私營企業與其共享

82、安全信息。 2017 年 10 月，澳大利亞總檢察署發布了關鍵基礎設施安全法草案 2017 。法案將創建關鍵基礎設施相關的國家安全風險管理框架，包括保存關鍵基礎設施資產的資產登記信息，并啟動部長級“終極權力” 。該法案的重要部分在于確定關鍵基礎設施的所有者和運營者。 法案將管理港口、 水電高風險行業 100 項資產， 為個人或組織機構提出不同的監管要求。澳大利亞政府將個人稱為“直接利益所有人” ，將組織機構稱為“責任實體” 。 該草案旨在加強澳大利亞政府對于外商投資關鍵基礎設施業務所產生的間諜、 破壞、 和脅迫等國家安全風險的管理能力。 (三) 2017 其他國家工控安全標準及重要文件 1）

83、韓國 工業控制系統安全國家地方聯合工程實驗室 24 2017 年 1 月， 韓國政府向國會正式提交了 國家網絡安全法案 。 國家網絡安全法案旨在防止威脅國家安全的網絡攻擊， 迅速積極應對網絡危機， 為保障國家安全及國民利益做出貢獻。 主要內容包括四大部分， 在國家網絡安全推進機制方面， 設立國家網絡安全委員會、確立負責網絡安全保護的責任機構、 設定網絡空間保護技術支援機構、 指定網絡安全專門企業和研究機構。在網絡安全預防機制方面，制定網絡安全基本計劃、網絡安全實態評價、網絡安全威脅信息共享、網絡危機應對演練、網絡攻擊的探測。在網絡安全應對體系方面，進行網絡攻擊的探測、網絡攻擊事故的通報和調查、

84、網絡危機警報的發布、網絡危機對策本部等。 2） 新加坡 2017 年 7 月，新加坡通信部與網絡安全局共同發布了網絡安全法案 2017 （草案）征求公眾意見，該草案是新加坡繼去年 10 月宣傳的旨在加強全球合作伙伴關系的“網絡安全戰略” 之后又一網絡安全舉措。 草案共分為六個部分， 第一部分為序言， 明確了法案的名稱、生效起始時間、適用范圍，對草案中的一些術語進行概念界定；第二部分為監管，主要規定了網絡安全官員的任命和職責； 第三部分為關鍵信息基礎設施， 主要規定了關鍵信息基礎設施的認定與撤回、 關鍵信息基礎設施所有者的義務； 第四部分為網絡安全事件的預防及響應；第五部分為網絡安全服務提供者；

85、 最后一部分為一般規定。 此外， 還附有基礎服務 （essential service）及需許可的網絡安全服務（licensable cybersecurity service）兩個目錄。 3） 英國 2017 年 8 月，英國政府出臺智能汽車網絡安全新指南 ，指南的全稱為面向聯網和自動駕駛汽車的網絡安全關鍵原則 ，目標是將之拓展到汽車制造和供應鏈上的每一方。指南細分出了 8 個原則：組織上應確保在董事會層面將安全重視起來；制造商應該評估潛在的風險（尤其是第三方承包商） ；汽車安全需要在整個生命周期內持續存在；組織與分包商必須攜手認證它們的安全流程和產品； 安全系統應該有冗余； 制造商應在系統

86、制造周期內對軟件進行管理；數據的存儲必須是安全的；車輛或系統應能夠承受攻擊并繼續工作。 二、 國內工控安全標準及重要文件 2017 年 1 月，工信部印發信息通信網絡與信息安全規劃（2016-2020） ，規劃明確了以網絡強國戰略為統領， 以國家總體安全觀和網絡安全觀為指引， 堅持以人民為中心的發展思想，堅持“創新、協調、綠色、開放、共享”的發展理念，堅持“安全是發展的前提，發展是安全的保障，安全和發展要同步推進”的指導思想；提出了創新引領、統籌協調、動態集約、開放合作、共治共享的基本原則；確定了到 2020 年建成“責任明晰、安全可控、能力完備、協同高效、合作共享”的信息通信網絡與信息安全保

87、障體系的工作目標。 2017 年 3 月，經中央網絡安全和信息化領導小組批準，外交部和國家互聯網信息辦公室 1 日共同發布網絡空間國際合作戰略 （下稱“戰略” ） 。戰略以和平發展、合作共贏為主題， 以構建網絡空間命運共同體為目標， 就推動網絡空間國際交流合作首次全面系統提出中國主張， 為破解全球網絡空間治理難題貢獻中國方案， 是指導中國參與網絡空間國際交流與合作的戰略性文件。這是中國就網絡問題首度發布國際戰略。 2017 年 4 月，工信部印發云計算發展三年行動計劃（2017-2019 年） 。結合現有基礎以及面臨的問題和挑戰， 行動計劃從提升技術水平、增強產業能力、推動行業應用、保障網絡安

88、全、營造產業環境等多個方面，推動云計算健康快速發展。此外， 行動計劃還工業控制系統安全國家地方聯合工程實驗室 25 提出了未來三年我國云計算發展的指導思想、基本原則、發展目標、重點任務和保障措施。 2017 年 5 月，國家互聯網信息辦公室發布網絡產品和服務安全審查辦法（試行） ，于 6 月 1 日起實施。 辦法指出，關系國家安全的網絡和信息系統采購的重要網絡產品和服務， 應當經過網絡安全審查。 國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會，負責審議網絡安全審查的重要政策，統一組織網絡安全審查工作，協調網絡安全審查相關重要問題。2017 年 5 月，國務院辦公廳印發政務信息系統整合共

89、享實施方案 ，圍繞政府治理和公共服務的緊迫需要，以最大程度利企便民，讓企業和群眾少跑腿、好辦事、不添堵為目標， 提出了加快推進政務信息系統整合共享、 促進國務院部門和地方政府信息系統互聯互通的重點任務和實施路徑。2017 年 5 月，水利部正式印發水利網絡安全頂層設計 。國家標準信息安全技術大數據安全管理指南征求意見稿也于 5 月發布。 2017 年 5 月，為貫徹落實中華人民共和國網絡安全法 國務院關于深化制造業與互聯網融合發展的指導意見 （國發201628 號） ，指導做好工業控制系統信息安全事件應急管理相關工作，保障工業控制系統信息安全，工業和信息化部印發工業控制系統信息安全事件應急管理

90、工作指南 。該指南旨在加強工業控制系統信息安全（以下簡稱工控安全）應急工作管理， 建立健全工控安全應急工作機制， 提高應對工控安全事件的組織協調和應急處置能力，預防和減少工控安全事件造成的損失和危害，保障工業生產正常運行，維護國家經濟安全和人民生命財產安全。 2017 年 6 月， 中華人民共和國網絡安全法正式實施，這是我國網絡領域的基礎性法律，其中明確規定要加強對個人信息保護。另外，最高人民法院和最高人民檢察院發布的相關法律解釋也將于今天實行，進一步明確了侵犯公民個人信息罪的定罪量刑標準。 網絡安全法進一步界定了關鍵信息基礎設施范圍；明確加強對個人信息保護；對攻擊、破壞我國關鍵信息基礎設施的

91、境外組織和個人規定相應的懲治措施； 增加懲治網絡詐騙等新型網絡違法犯罪活動的規定等。2017 年 6 月，中國人民銀行印發了中國金融業信息技術“十三五”發展規劃 。6 月 8 日，國務院辦公廳日前印發政府網站發展指引 ，對全國政府網站的建設發展做出明確規范。6 月 9 日，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會等部門制定了網絡關鍵設備和網絡安全專用產品目錄（第一批） 。6 月 27 日，中央網信辦印發國家網絡安全事件應急預案 。同日，第十二屆全國人民代表大會常務委員會第二十八次會議通過中華人民共和國國家情報法 。 2017 年 7 月，為了保障關鍵信息基礎設

92、施安全，根據中華人民共和國網絡安全法 ，國家互聯網信息辦公室發布關鍵信息基礎設施安全保護條例（征求意見稿） ，該條例對關鍵信息基礎設施在網絡安全等級保護制度基礎上， 實行重點保護。 關鍵信息基礎設施安全保護堅持頂層設計、整體防護，統籌協調、分工負責的原則，充分發揮運營主體作用，社會各方積極參與，共同保護關鍵信息基礎設施安全。 2017 年 8 月， 為規范工業控制系統信息安全 （以下簡稱工控安全） 防護能力評估工作，切實提升工控安全防護水平，根據中華人民共和國網絡安全法 國務院關于深化制造業與互聯網融合發展的指導意見 （國發201628 號） ，工信部印發工業控制系統信息安全防護能力評估工作管

93、理辦法 ，本辦法適用于規范針對工業企業開展的工控安全防護能力評估活動。 本辦法所指的防護能力評估， 是對工業企業工業控制系統規劃、 設計、 建設、 運行、維護等全生命周期各階段開展安全防護能力綜合評價。 工業和信息化部負責指導和監督全國工業企業工控安全防護能力評估工作。8 月，工信部印發了移動互聯網綜合標準化體系建設指南 。 工業控制系統安全國家地方聯合工程實驗室 26 2017 年 11 月，為進一步健全公共互聯網網絡安全突發事件應急機制，提升應對能力，根據中華人民共和國網絡安全法和國家網絡安全事件應急預案等，制定公共互聯網網絡安全突發事件應急預案 ，工信部印發公共互聯網網絡安全突發事件應急

94、預案 ，該預案編制目的是建立健全公共互聯網網絡安全突發事件應急組織體系和工作機制， 提高公共互聯網網絡安全突發事件綜合應對能力， 確保及時有效地控制、 減輕和消除公共互聯網網絡安全突發事件造成的社會危害和損失， 保證公共互聯網持續穩定運行和數據安全， 維護國家網絡空間安全，保障經濟運行和社會秩序。 2017 年 12 月，為貫徹落實國務院關于深化制造業與互聯網融合發展的指導意見 、國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見等文件精神，加快我國工業控制系統信息安全保障體系建設，提升工業企業工業控制系統信息安全防護能力，促進工業信息安全產業發展，工業和信息化部制定了工業控制系統信

95、息安全行動計劃（2018-2020 年） 。工業控制系統信息安全（以下簡稱工控安全）是實施制造強國和網絡強國戰略的重要保障。近年來，隨著中國制造全面推進，工業數字化、網絡化、智能化加快發展， 我國工控安全面臨安全漏洞不斷增多、 安全威脅加速滲透、 攻擊手段復雜多樣等新挑戰。為全面落實國家安全戰略，提升工業企業工控安全防護能力，促進工業信息安全產業發展，加快我國工控安全保障體系建設，制定本行動計劃。 三、 國內外工控安全行業動態 對比 2016 年和 2017 年 Gartner 技術成熟度曲線：OT 安全進入低谷期 (Trough of Disillusionment)，估計會在 2018 年

96、進入穩步爬升的光明期 (Slope of Enlightenment)。 工業控制系統安全國家地方聯合工程實驗室 27 Gartner 市場趨勢預測：到 2019 年，65%的企業 OT 安全將有 CIO（首席信息官）負責。 2016 年， 已經有 30%的企業設置首席信息安全官 CISO 或首席安全官 CSO； 到 2020 年，新部署的 IIOT （Industrial Internet of Things） 或 OT 系統將支持時間敏感網絡 TSN， 目前 0%；到 2020 年，25%的數字孿生將以服務的形式提供；到 2020 年，50%的 OT 服務供應商將于IT 供應商建立合作伙伴

97、關系。Gartner 認為，OT 安全對關鍵基礎設施、智能樓宇、工廠管理、醫療和零售行業等資產密集型或資產中心化的組織是非常有用的。 通過以上數據分析，IT/OT 一體化發展趨勢可以概括如下：IT 和 OT 分離管理的情況將會打破；基于以太網的盡力交付模型將不再適用；開始考慮時間敏感網絡（TSN）自底向上打通；數字孿生。 同時， 在工業安全 2018-2020 行動計劃中， 通過對 MarketsandMarkets、 Credence Research、和訊網、工控安全藍皮書等的統計分析，國內市場 2018 工控安全市場保守預計在 4.4 億，工信部 451 號文、 指南、 網絡安全法 落實

98、后，合規市場有望快速增長，競爭者陸續進入。 在國際市場中，2017 年 OT 安全全球市場規模 102.4 億美元，2022 年將達到 138.8 億美元，年均復合增長率為 6.3%；利潤率高，市場滲透度為 5%-20%；到 2019 年，65%的企業 OT 安全將有 CIO（首席信息官）負責，而在 2016 年僅有 30%的企業設置首席信息安全官 CISO 或首席安全官 CSO；到 2020 年，新部署的 IIOT 或 OT 系統將支持時間敏感網絡TSN，目前 0%；到 2020 年，25%的數字孿生將以服務的形式提供；到 2020 年，50%的 OT服務供應商將于 IT 供應商建立合作伙伴

99、關系。 由此可見， 工業安全越來越重要， 越來越火。 工業控制系統安全國家地方聯合工程實驗室 28 第六章 工業信息安全改進建議 一、 工業信息安全問題總結 隨著 ITOT 一體化進程的不斷推進， 工業控制系統的網絡復雜程度在不斷提高， 各生產單元內部系統與受控系統的信息交換的需求也不斷增長， 主要包括外部信息流入和內部信息流出。系統的核心系統，一方面，面臨數據受災、泄漏等影響較大的威脅；另一方面，面臨病毒攻擊導致工業控制系統失效、錯誤控制導致工業生產突然中斷、公共基礎設施癱瘓、環境污染、財產損失、人員傷亡等損傷性較高的威脅。工業控制系統安全防護重點在于信息的可用性、完整性和機密性。工業網絡主

100、要面臨以下安全問題： (一) 工業網絡安全威脅級別越來越高，漏洞類型多種多樣 通過 2017 年 ICS-CERT 和 CNVD 安全漏洞平臺統計新增漏洞數據發現，工業控制系統信息安全事件大幅提高，高危漏洞比重增多，攻擊破壞力不斷增強，對關鍵基礎設施的安全防護存在重大威脅。 (二) 網絡結構快速變化，目前工控技術存在隱患 1) 工業控制系統規模急速膨脹，工控系統極少升級，易受病毒攻擊感染； 2) 系統普遍缺乏監測手段， 無法感染未知設備； 在執行服務器操作時， 缺乏系統審計； 3) 在執行關鍵操作時，缺乏日志記錄；工控設備存在諸多漏洞，RTU/PLC 安全隱患突出； 4) 在工控系統中，開放對

101、外接口會帶來安全隱患；網絡結構快速變化，原有 IP 數據網信息安全技術遠遠不能滿足工業控制系統的安全要求。 (三) 網絡邊界不夠清晰，局部安全問題易擴散到整個系統 在工業控制系統中， 對網絡內各個組成部分的安全需求缺乏統一規劃， 沒有對核心業務系統的訪問進行很好的控制； 各接入系統之間沒有進行明確的訪問控制， 網絡之間彼此可以互相訪問，邊界入手易，系統內入手難。 (四) 工控安全標準有待完善，安全企業重視不足 根據 2017 漏洞統計結果來看，漏洞種類和數量上都有顯著增多。此外，工控信息安全企業積極性不高，控制器廠商之間相互觀望，對于工控安全建設關注度不夠，一旦有攻擊者攻擊工控系統，難以做到安

102、全防護。 二、 工業信息安全建議與展望 工業控制系統安全是國家關鍵信息基礎設施安全的重要組成部分。 在工業互聯網、 “中國制造 2025”、“工業 4.0”等趨勢驅動下，隨著云計算、物聯網、大數據技術的成熟，信息化與工業化進行了深度融合， 在拓展了工業控制系統發展空間的同時， 也帶來了工業控制系統網絡安全問題。因此，為促進工控網絡安全健康發展，提出如下建議： (一) 建立網絡安全滑動標尺動態安全模型 工業控制系統安全國家地方聯合工程實驗室 29 該標尺模型共包含五大類別， 分別為架構安全 （Architecture） 、 被動防御 （Passive Defense） 、積極防御（Action

103、Defense） 、威脅情報（Intelligence）和進攻反制（Offense） 。這五大類別之間具有連續性關系，并有效展示了防御逐步提升的理念。 架構安全：架構安全：在系統規劃、建立和維護的過程中充分考慮安全防護； 被動防御：被動防御： 在無人員介入的情況下， 附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統，如：工業安全網關/防火墻、工業主機防護、工業審計等； 積極防御：積極防御：分析人員對處于所防御網絡內的威脅進行監控、響應、學習（經驗）和應用知識（理解）的過程； 威脅情報：威脅情報：收集數據、將數據利用轉換為信息，并將信息生產加工為評估結果以填補已知知識缺口的過程； 進攻反

104、制進攻反制：在友好網絡之外對攻擊者采取的直接行動（按照國內網絡安全法要求，對于企業來說主要是通過法律手段對攻擊者進行反擊） 。通過以上幾個層面的疊加演進，最終才能夠實現進攻反制，維護工業互聯網的整體安全。 (二) 從安全運營的角度，建立企業的工業安全運營中心 在 IT 和 OT 一體化推進發展中， IT 技術在 OT 領域大量使用， IT 所面對的風險也跟隨進入了 OT 網絡， 因此工業企業對這兩個應用角度都要識別風險的切入點， 列舉相關的風險，并且要進行一體化的規劃。 工業安全運營中心 （IISOC） 基于威脅情報和本地大數據技術對工控系統通信數據和安全日志進行快速、自動化的關聯分析，及時發

105、現工控系統異常和針對工控系統的威脅，通過可視化的技術將這些威脅和異常的總體安全態勢展現給用戶， 通過對告警和響應的自動化發布、跟蹤、管理，實現安全風險的閉環管理。威脅情報、威脅檢測、深度包解析、工業大數據關聯分析、可視化展現、閉環響應實現以工業安全運營為中心的一體化防護體系。安全運營目的是解決越來越多的安全產品部署在網絡中形成的“安全防御孤島”問題。 (三) 組建 IT&OT 融合的安全管理團隊 組建 IT&OT 融合的信息安全管理團隊， 對整個工業控制系統進行安全運營。 對安全管理團隊進行必要的指導， 根據具體場景建立合適的安全策略管理和響應恢復機制， 及時應對工業控制系統安全國家地方聯合工

106、程實驗室 30 安全威脅。企業要想成功部署工業網絡安全項目，需重視同時掌握信息技術（IT）和操作技術（OT）的人才，有的放矢。訂購安全服務和威脅情報，定期對安全管理團隊進行培訓，建立IT、 OT的安全統一規劃， 使得安全管理團隊成員盡量利用統一標準進行安全事件的處理。 (四) 在技術層面提高防護能力 終端層面：針對 CNC 等老舊設備，部署輕量級白名單（系統進程）的防護措施；針對性能好的生產設備，部署統一的終端殺毒軟件，如 360 天擎；移動介質，例如 U 盤，進行統一管控（主機防護） 。 網絡層面：橫向分區、縱向分層，將辦公網、工控網、生產網有效劃分；網絡邊界處部署安全網關，最小權限原則：只

107、開放必要端口，進行精細化訪問管控。 監控層面：摸清資產家底，集中統一管理，并精心維護；部署工業安全運營中心，對公司網絡安全狀況進行持續監測與可視化展現。 可恢復性（備份層面） ：針對 CNC 等老舊設備，定期請工控廠商進行系統備份；針對性能好的辦公和生產電腦，定期自行進行系統和數據備份。 工業控制系統安全國家地方聯合工程實驗室 31 附錄 工業控制系統安全國家地方聯合工程實驗室 工業控制系統安全國家地方聯合工程實驗室（簡稱：工業安全國家聯合實驗室） ”是由國家發展與改革委員會批準授牌成立，由 360 企業安全集團承建的對外開放的工業控制安全技術方面的公共研究平臺。 實驗室依托 360 企業安全

108、的安全能力和大數據優勢，同時聯合了公安三所、信通院、國家工業信息安全發展研究中心、中科院沈陽自動化所、東北大學等科研院所及大學。實驗室以對工業控制系統安全領域有重大影響的前沿性、 戰略性技術作為研究目標， 建立以工程實驗室為主，聯合高等院校、科研院所和國家需求部門、企業共同參加的，產、學、研、用相結合的合作機制，發揮高等院校、科研院所在基礎理論研究方面的力量和優勢，發揮國家需求部門、企業在技術創新和應用方面的主體作用，共享科研成果。 實驗室積極吸納國內外優秀的科技人才， 建立高水平專業人才培養基地。 目前實驗室已與北京大學、西安電子科大、吉林大學、武漢大學、北京理工、信息工程大學等均建立了人才聯合培養機制。 實驗室擁有軟件著作權 7 項，專利 11 項，創新地提出了工業互聯網自適應防護架構（PC4R） ，推出了工業主機防護、工業防火墻/網關、工業審計、工業態勢感知與監測預警平臺、 工業安全運營中心等工業安全領域完整解決方案及產品， 并已經在眾多央企和工業企業中進行應用。未來，工程實驗室將充分利用科技資源，發揮產學研聯盟作用，打造產業鏈合作，與產業鏈企業實現互利共贏，在合作中共同壯大，努力成為工業信息安全產業創新的龍頭。