IT/OT 一体化的工业信息 安全态势报告（2017） 工业控制系统安全国家地方联合工程实验室 360 威胁情报中心 2018 年 2 月 1 日 主要观点 IT/OT 一体化一体化融合带来的融合带来的新新挑战挑战 IT/OT 一体化在拓展了工业控制系统发展空间的同时，也带来了工业控制系统网络安全 问题。企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍引入生 产执行系统 MES，实现管理信息网络与控制网络之间的数据交换和工业控制系统和管 理信息系统的集成。MES 不再是一个独立运行的系统，而要与管理系统甚至互联网互 通、互联，从而在工业系统中引入了网络攻击风险。 对于传统 IT 网络安全，保密性优先级最高，其次是完整性、可用性。工业网络则有明 显的不同，工业网络更为关注的是系统设备的可用性、实时性。在工业系统中，设备超 期服役、带洞运行、带毒运行的状况非常普遍。而且有大量的内部系统和设备不必要的 暴露在互联网上，进一步加大了工业系统的安全风险。 工业互联网的 IT/OT 融合会带来很多安全挑战。一方面是来自外部的挑战，如：暴露在 外的攻击面越来越大；操作系统安全漏洞难以修补；软件漏洞容易被黑客利用；恶意代 码不敢杀、不能杀；DDOS 攻击随时可能中断生产；高级持续性威胁时刻环伺等。另一 方面是来自工业系统自身安全建设的不足，如：工业设备资产的可视性严重不足；很多 工控设备缺乏安全设计；设备联网机制缺乏安全保障；IT 和 OT 系统安全管理相互独立 互操作困难；生产数据面临丢失、泄露、篡改等安全威胁等。 工业信息安全建议与展望工业信息安全建议与展望 建立网络安全滑动标尺动态安全模型，该标尺模型共包含五大类别，分别为架构安全 （Architecture）、被动防御（Passive Defense）、积极防御（Action Defense）、威胁情 报（Intelligence）和进攻反制（Offense）。这五大类别之间具有连续性关系，并有效展 示了防御逐步提升的理念。 从安全运营的角度，建立企业的工业安全运营中心（IISOC）。在 IT 和 OT 一体化推进发 展中，IT 技术在 OT 领域大量使用，IT 所面对的风险也跟随进入了 OT 网络，因此工业 企业对这两个应用角度都要识别风险的切入点， 列举相关的风险， 并且要进行一体化的 规划。 组建 IT&OT 融合的安全管理团队，对整个工业控制系统进行安全运营。 在技术层面提高防护能力，包括终端层面、网络层面和监管层面，以及数据和系统的可 恢复性（备份层面）方面。 淘宝店铺 “Vivian研报” 首次收集整理 获取最新报告及后续更新服务请在淘宝搜索店铺 “Vivian研报” 或直接用手机淘宝扫描下方二维码 摘 要 工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件 组成的系统。 根据美国工业控制系统网络紧急响应小组（ICS-CERT）最新统计报告，2015 年漏洞总数 为 486 个，2016 年美国关键基础设施存在 492 个安全漏洞。 ICS-CERT 的最新报告显示， 相关漏洞涉及供水、 能源和石油行业等关键基础设施。 此外， ICS-CERT 安全研究专家指出， 针对工业控制系统环境入侵的攻击者数量增长无疑意味着 可利用的漏洞数量和类型也会同时增长。 2000 年 1 月截止到 2017 年 12 月， 根据我国国家信息安全漏洞共享平台 （CNVD） 统计， 所有的信息安全漏洞总数为 101734 个，其中工业控制系统漏洞总数为 1437 个。2017 年 CNVD 统计的新增信息安全漏洞 4798 个，工控系统新增漏洞数 351 个，均比去年同 期有显著增长。 CNVD 在 2017 年收录的工控相关漏洞中，高危漏洞占比最高，达到 53.6%。中危漏洞占 比 42.4%，其余 4.0%为低危漏洞。 CNVD 已收录的漏洞数量最多的五大工控厂商的安全漏洞数量中， Siemens 最多， 为 197 个，其次是 Schneider117 个。 工业互联网安全监测公共服务平台收录了 2017 下半年国内以及全球范围内，暴露在互 联网上的工业控制系统设备数量。从中分析可知，在八月份和九月中旬期间，国内和全 球暴露的工控设备数均有一个明显上升趋势，且 2017 年末比 2017 年中旬暴露的工控 设备数多。 企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍引入生产执行 系统 MES，实现管理信息网络与控制网络之间的数据交换和工业控制系统和管理信息 系统的集成。 工业网络则有明显的不同，工业网络更为关注的是系统设备的可用性、实时性，除此特 点外，IT 系统和 OT 系统之间仍然存在很多差异性。 根据 ICS-CERT 的报告显示，在 2016 年，工业控制系统网络安全应急小组团队完成了对 290 起安全事件的处理。其中，对制造业的攻击比重最大，有 63 起，约占 22%，此外， 通信部门攻击有 62 起，比重第二，有 59 起能源部门安全事件。 2017 年工业网络八大重点安全事件： 永恒之蓝勒索病毒、 新型物联网僵尸网络 HTTP81、 类 Petya 勒索病毒席卷欧洲、美国供水设施网络瘫痪、印度 ISP 遭受 BrickerBot 攻击、 瑞典交通机构遭受 DDOS 攻击、巴西银行发现恶意软件攻击、恶意软件 TRITON 攻击能 源关键信息基础设施。 2017 年 2 月，美国纽约州金融服务部（DFS）颁布了新的网络安全监管规则，这意味着 在纽约运营的主要金融机构迎来了相比过去更为严厉的网络安全防控义务。 2017 年 5 月，澳大利亚总理特恩布尔日前宣布，发布政府首次年度修订版国家网络 安全战略 。该战略于 2016 年 4 月推出，涵盖 33 个网络安全计划，投入资金达 2.31 亿 澳元（约合 12 亿人民币） 。 2017 年 1 月，韩国政府向国会正式提交了国家网络安全法案 。其旨在防止威胁国家 安全的网络攻击，迅速积极应对网络危机，为保障国家安全及国民利益做出贡献。 2017 年 7 月，新加坡通信部与网络安全局共同发布了网络安全法案 2017 （草案）征 求公众意见，该草案是新加坡继去年 10 月宣传的旨在加强全球合作伙伴关系的“网络 安全战略”之后又一网络安全举措。 2017 年 8 月，英国政府出台智能汽车网络安全新指南 ，指南的全称为面向联网和 自动驾驶汽车的网络安全关键原则 ， 目标是将之拓展到汽车制造和供应链上的每一方。 2017 年 1 月，工信部印发信息通信网络与信息安全规划（2016-2020） ，规划明确 了以网络强国战略为统领。 2017 年 3 月，经中央网络安全和信息化领导小组批准，外交部和国家互联网信息办公 室 1 日共同发布网络空间国际合作战略 。 2017 年 4 月，工信部印发云计算发展三年行动计划（2017-2019 年） 。 2017 年 5 月，国家互联网信息办公室发布网络产品和服务安全审查办法（试行） ， 于 6 月 1 日起实施。 2017 年 5 月，工业和信息化部印发工业控制系统信息安全事件应急管理工作指南 。 2017 年 6 月， 中华人民共和国网络安全法正式实施，这是我国网络领域的基础性法 律，其中明确规定要加强对个人信息保护。 2017 年 7 月，国家互联网信息办公室发布关键信息基础设施安全保护条例（征求意 见稿） 。 2017 年 8 月，工信部印发工业控制系统信息安全防护能力评估工作管理办法 。 2017 年 11 月，工信部印发公共互联网网络安全突发事件应急预案 。 2017 年 12 月，工业和信息化部制定了工业控制系统信息安全行动计划（2018-2020 年） 。 对比 2016 年和 2017 年 Gartner 技术成熟度曲线：OT 安全进入底谷期，估计会在 2018 年进入稳步爬升的光明期。 关键词：关键词：工业信息、ICS 工业控制系统安全国家地方联合工程实验室 目 录 第一章 概述 . 1 一、 研究背景及意义 1 二、 研究内容与结构 2 第二章 工业信息安全性现状分析 . 3 一、 工业控制系统漏洞现状 . 3 二、 工控系统暴露情况 5 三、 工业信息安全风险分析 . 5 第三章 2017 工业信息安全重大事件 9 一、 2017 安全事件概述 . 9 二、 2017 工业网络八大重点安全事件 10 (一) 永恒之蓝（WannaCry）勒索病毒分析 10 (二) 我国发现新型物联网僵尸网络 HTTP81 . 10 (三) 类 Petya 勒索病毒席卷欧洲 . 11 (四) 美国供水设施网络瘫痪 . 11 (五) 印度 ISP 遭受 BrickerBot 攻击 . 11 (六) 瑞典交通机构遭受 DDOS 攻击 . 12 (七) 巴西银行发现恶意软件攻击 . 12 (八) 恶意软件 TRITON 攻击能源关键信息基础设施 . 12 第四章 工业信息系统应急响应典型案例 14 一、 工业系统遭勒索软件攻击典型案例 14 (一) 某大型能源机构遭 WannaCry 大规模攻击 14 (二) 某市视频监控系统服务器遭勒索软件锁定 14 (三) 某新能源汽车厂商的工业控制系统被 WannaCry 攻击而停产 15 二、 工业系统服务器遭攻击典型案例 16 (一) 某大型能源公司网站遭遇 APT 入侵 16 (二) 某地全市监控系统可泄露敏感信息 17 (三) 某热力公司内部服务器可无密码登录 18 三、 其他典型案例 19 (一) 某知名汽车合资厂商工控软件带毒运行 19 (二) 某市自来水厂内部信息存在泄露风险 20 第五章 工业信息安全标准与政策动向 . 22 一、 国际工控安全标准及重要文件 . 22 工业控制系统安全国家地方联合工程实验室 (一) 2017 美国工控安全标准及重要文件 . 22 (二) 2017 澳大利亚工控安全标准及重要文件 . 23 (三) 2017 其他国家工控安全标准及重要文件 . 23 二、 国内工控安全标准及重要文件 . 24 三、 国内外工控安全行业动态 . 26 第六章 工业信息安全改进建议 . 28 一、 工业信息安全问题总结 . 28 (一) 工业网络安全威胁级别越来越高，漏洞类型多种多样 . 28 (二) 网络结构快速变化，目前工控技术存在隐患. 28 (三) 网络边界不够清晰，局部安全问题易扩散到整个系统 . 28 (四) 工控安全标准有待完善，安全企业重视不足. 28 二、 工业信息安全建议与展望 . 28 (一) 建立网络安全滑动标尺动态安全模型 28 (二) 从安全运营的角度，建立企业的工业安全运营中心 . 29 (三) 组建 IT&OT 融合的安全管理团队 29 (四) 在技术层面提高防护能力 . 30 附录 工业控制系统安全国家地方联合工程实验室 . 31 工业控制系统安全国家地方联合工程实验室 1 第一章 概述 一、 研究背景及意义 工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件 组成的系统,主要包括五大部分： 数据釆集与监测控制系统(SCADA)、 分布式控制系统(DCS)、 过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。工业控制系统 已经广泛应用于工业、能源、交通及市政等领域，是我国国民经济、现代社会以及国家安全 的重要基础设施的核心系统。 在工业互联网、 “中国制造 2025” 、 “工业 4.0”等政策驱动下，信息技术（IT, Information Technology）和操作技术(OT, Op