360-2017年度ITOT一体化的工业信息安全态势报告2017-2018.2.1-37页（37页）.pdf

1、 IT/OT 一体化的工业信息安全态势报告（2017） 工业控制系统安全国家地方联合工程实验室 360 威胁情报中心 2018 年 2 月 1 日 主要观点 IT/OT 一体化一体化融合带来的融合带来的新新挑战挑战 IT/OT 一体化在拓展了工业控制系统发展空间的同时，也带来了工业控制系统网络安全问题。企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍引入生产执行系统 MES，实现管理信息网络与控制网络之间的数据交换和工业控制系统和管理信息系统的集成。MES 不再是一个独立运行的系统，而要与管理系统甚至互联网互通、互联，从而在工业系统中引入了网络攻击风险。 对于传统 IT 网络安

2、全，保密性优先级最高，其次是完整性、可用性。工业网络则有明显的不同，工业网络更为关注的是系统设备的可用性、实时性。在工业系统中，设备超期服役、带洞运行、带毒运行的状况非常普遍。而且有大量的内部系统和设备不必要的暴露在互联网上，进一步加大了工业系统的安全风险。 工业互联网的 IT/OT 融合会带来很多安全挑战。一方面是来自外部的挑战，如：暴露在外的攻击面越来越大；操作系统安全漏洞难以修补；软件漏洞容易被黑客利用；恶意代码不敢杀、不能杀；DDOS 攻击随时可能中断生产；高级持续性威胁时刻环伺等。另一方面是来自工业系统自身安全建设的不足，如：工业设备资产的可视性严重不足；很多工控设备缺乏安全设计；设

3、备联网机制缺乏安全保障；IT 和 OT 系统安全管理相互独立互操作困难；生产数据面临丢失、泄露、篡改等安全威胁等。 工业信息安全建议与展望工业信息安全建议与展望 建立网络安全滑动标尺动态安全模型，该标尺模型共包含五大类别，分别为架构安全（Architecture）、被动防御（Passive Defense）、积极防御（Action Defense）、威胁情报（Intelligence）和进攻反制（Offense）。这五大类别之间具有连续性关系，并有效展示了防御逐步提升的理念。 从安全运营的角度，建立企业的工业安全运营中心（IISOC）。在 IT 和 OT 一体化推进发展中，IT 技术在 OT

4、领域大量使用，IT 所面对的风险也跟随进入了 OT 网络，因此工业企业对这两个应用角度都要识别风险的切入点， 列举相关的风险， 并且要进行一体化的规划。 组建 IT&OT 融合的安全管理团队，对整个工业控制系统进行安全运营。 在技术层面提高防护能力，包括终端层面、网络层面和监管层面，以及数据和系统的可恢复性（备份层面）方面。 摘 要 工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件组成的系统。 根据美国工业控制系统网络紧急响应小组（ICS-CERT）最新统计报告，2015 年漏洞总数为 486 个，2016 年美国关键基础设施存

5、在 492 个安全漏洞。 ICS-CERT 的最新报告显示， 相关漏洞涉及供水、 能源和石油行业等关键基础设施。 此外，ICS-CERT 安全研究专家指出， 针对工业控制系统环境入侵的攻击者数量增长无疑意味着可利用的漏洞数量和类型也会同时增长。 2000 年 1 月截止到 2017 年 12 月， 根据我国国家信息安全漏洞共享平台 （CNVD） 统计，所有的信息安全漏洞总数为 101734 个，其中工业控制系统漏洞总数为 1437 个。2017年 CNVD 统计的新增信息安全漏洞 4798 个，工控系统新增漏洞数 351 个，均比去年同期有显著增长。 CNVD 在 2017 年收录的工控相关漏

6、洞中，高危漏洞占比最高，达到 53.6%。中危漏洞占比 42.4%，其余 4.0%为低危漏洞。 CNVD 已收录的漏洞数量最多的五大工控厂商的安全漏洞数量中， Siemens 最多， 为 197个，其次是 Schneider117 个。 工业互联网安全监测公共服务平台收录了 2017 下半年国内以及全球范围内，暴露在互联网上的工业控制系统设备数量。从中分析可知，在八月份和九月中旬期间，国内和全球暴露的工控设备数均有一个明显上升趋势，且 2017 年末比 2017 年中旬暴露的工控设备数多。 企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍引入生产执行系统 MES，实现管理信息网