安全解決方案，2019中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告

原標題：安全解決方案，2019中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告

2020年8月30日，為深入落實工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展，強化產(chǎn)業(yè)推廣及生態(tài)建設，持續(xù)提升我國工業(yè)互聯(lián)網(wǎng)的影響力，特在云端舉辦2020工業(yè)互聯(lián)網(wǎng)大會。本次大會由工業(yè)和信息化部、北京市人民政府主辦，中國信息通信研究院、北京市經(jīng)濟和信息化局、北京市通信管理局、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟承辦。

本次大會以“賦能、融通、創(chuàng)新，為新工業(yè)革命筑基”為主題，希望各方共同探討工業(yè)互聯(lián)網(wǎng)新技術、新應用、新模式、新業(yè)態(tài)，助力產(chǎn)業(yè)數(shù)字化轉型和實體經(jīng)濟高質量發(fā)展。

在工業(yè)互聯(lián)網(wǎng)安全論壇上，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組副主席、北京六方云信息技術有限公司總裁李江力代表工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組正式發(fā)布了《2019中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告》，報告從工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)業(yè)政策、標準體系、安全技術、產(chǎn)業(yè)規(guī)模、多種安全風險（包括5G網(wǎng)絡安全風險）進行了統(tǒng)計和分析，并結合安全事件、重大漏洞給出了參考解決方案，最后對工業(yè)互聯(lián)網(wǎng)安全進行了展望。

中國工業(yè)互聯(lián)網(wǎng)安全概述

在標準方面，2019年1月，工信部、國標委聯(lián)合發(fā)布了《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設指南》，在安全標準方面，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全防護總體要求》《工業(yè)互聯(lián)網(wǎng)平臺安全防護要求》等2項標準，并立項相關國標、行標共17項，同時，安標委也發(fā)布了多項涉及工業(yè)安全的相關標準。

2019年7月工信部、能源局、發(fā)改委、教育部等10個部委一起印發(fā)的《加強工業(yè)互聯(lián)網(wǎng)安全的指導意見》，從政府監(jiān)管、工業(yè)互聯(lián)網(wǎng)企業(yè)自身、安全廠商、以及產(chǎn)業(yè)推動等不同方面闡述了對加強工業(yè)互聯(lián)網(wǎng)安全的支持政策，吹響了發(fā)展工業(yè)互聯(lián)網(wǎng)安全的號角。

除了中國之外，美國及美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）也發(fā)布了多項政策，例如《工業(yè)互聯(lián)網(wǎng)安全成熟度模型》《物聯(lián)網(wǎng)設備安全法案》等，其他國家也發(fā)布了相關安全政策。

中國工業(yè)互聯(lián)網(wǎng)威脅統(tǒng)計

2019年，我們的工業(yè)互聯(lián)網(wǎng)安全存在哪些問題呢？李江力表示，從國家兩大漏洞庫CNVD和CNNVD的統(tǒng)計可以看到，互聯(lián)網(wǎng)漏洞每年的增長趨勢非常明顯，2019年的漏洞總數(shù)在17000個以上，漏洞產(chǎn)生的主要原因是緩沖區(qū)溢出、跨站腳本、輸入驗證等。

在主機端安全方面，我們發(fā)現(xiàn)2019年主機受病毒感染的次數(shù)仍然非常多，目前主機遭受病毒感染最高的省份是廣東、北京、山東、浙江、江蘇、四川，這些都是我國GDP排名比較靠前的省份。在8個常見的主機漏洞中CVE-2017-0147和CVE-2019-1181/1182很容易被勒索病毒利用。

2018、2019年勒索軟件感染統(tǒng)計，大部分地域的勒索病毒感染次數(shù)呈大幅下降趨勢，但少數(shù)區(qū)域（如北京）的感染次數(shù)還是有所上升，說明我們對主機安全問題還是不能掉以輕心，仍需防范勒索病毒的攻擊。

李江力強調“工業(yè)互聯(lián)網(wǎng)里最重要的接入設備是工業(yè)控制系統(tǒng)，統(tǒng)計顯示，2019年有9個省市在公網(wǎng)上暴露的工控系統(tǒng)超過1000臺，部分地區(qū)接近萬臺，排名前三的是廣東、江蘇和福建，其次是臺灣、香港、浙江、山東、上海和北京，2019年，工業(yè)控制系統(tǒng)的漏洞數(shù)量持續(xù)增長，達到了508個，增長趨勢非常明顯”。

2019年工控系統(tǒng)新增漏洞最多的廠商依次是西門子、施耐德、研華、ABB、MZ、艾默生等，其中受影響最大的行業(yè)分別是制造業(yè)、能源、水務、商業(yè)設施、石油等，2019年18個與工業(yè)控制系統(tǒng)相關的漏洞中，vxWorks是值得特別關注的。

以上為工業(yè)控制系統(tǒng)漏洞類型及危險等級統(tǒng)計，可以看出，其中高危漏洞所占比例高達95%。

在工業(yè)互聯(lián)網(wǎng)上，物聯(lián)網(wǎng)設備也是一種常見的接入設備，從統(tǒng)計可以看出，北京、廣東、上海、浙江、江蘇等省市仍然是物聯(lián)網(wǎng)設備暴露最多的地區(qū)，造成物聯(lián)網(wǎng)設備漏洞產(chǎn)生的原因有很多，如硬件設計缺陷、操作系統(tǒng)漏洞、軟件漏洞、調試接口未保護、設備未認證、數(shù)據(jù)未加密等。

工業(yè)互聯(lián)網(wǎng)的三大要素：網(wǎng)絡是基礎、平臺是核心、安全是保障，工業(yè)互聯(lián)網(wǎng)標識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系的重要組成部分，由于系統(tǒng)采用了互聯(lián)網(wǎng)DNS技術原型進行設計，同樣面臨著來自于互聯(lián)網(wǎng)的各類安全威脅，其次，由于標識解析系統(tǒng)的數(shù)據(jù)量和復雜性遠超過當前的互聯(lián)網(wǎng)體系，因此將帶來更多的安全挑戰(zhàn)。

工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)的安全風險主要包括：架構安全風險（如節(jié)點可用性、節(jié)點協(xié)同風險、關鍵節(jié)點的關聯(lián)性等）、數(shù)據(jù)安全風險（數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私泄露等）、運營安全風險（訪問控制、業(yè)務連續(xù)性等）、以及身份安全風險（身份認證、越權訪問等）。

另一種對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡的基礎支撐是5G，5G具有超大帶寬、海量數(shù)據(jù)、超低時延等的特點，非常適合于工業(yè)互聯(lián)網(wǎng)應用，5G在安全性上，相比4G有很大的提高，例如5G可以提供更全面的數(shù)據(jù)安全防護、具備更豐富的認證機制、對用戶隱私的保護更嚴密，以及對網(wǎng)絡間信息的保護更靈活。

但是5G網(wǎng)絡仍然有安全風險，需要我們重視，比如，5G高帶寬應用場景可能會引入內容安全風險，比如數(shù)據(jù)泄露、數(shù)據(jù)竊取等風險，5G的高可靠低時延應用可能會引入DDoS網(wǎng)絡攻擊風險，5G的大連接物聯(lián)網(wǎng)應用可能會引入虛假終端風險、進而導致海量終端被控導致的網(wǎng)絡僵尸攻擊等。

5G網(wǎng)絡切片是一種非常先進的技術，但是切片是一個復雜的系統(tǒng)，復雜系統(tǒng)的每個組成部件的安全問題都會影響到整個系統(tǒng)的安全，用戶設備和切片、切片之間的認證交互機制、處理邏輯及運維操作等都可能產(chǎn)生安全漏洞。

此外，5G的邊緣計算的MEC安全問題，邊緣計算的本地業(yè)務處理特性，攻擊者可能通過邊緣計算平臺或應用攻擊核心網(wǎng)，造成敏感數(shù)據(jù)泄露、DDoS攻擊等。

從2019年開始，我們對國內頭部的十多家工業(yè)互聯(lián)網(wǎng)平臺的安全防護體系進行了調研，對于接入設備來說，有80%以上的平臺都使用了身份認證和設備認證手段，但通信加密和審計技術僅占70%，對平臺本身來說，100%采用了抗DDoS技術，其次是訪問控制等技術，但協(xié)議分析和深度解析技術只有不到45%，對于PaaS層來說，大部分都設計了身份認證接口API，存儲加密API，但安全審計接口不足60%，所有平臺都有統(tǒng)一的管理系統(tǒng)，但有可視化安全運維（態(tài)勢感知）系統(tǒng)的不足55%，可見，工業(yè)互聯(lián)網(wǎng)平臺的安全能力仍需要提高。

以上安全威脅分析結果表明，2019年工業(yè)互聯(lián)網(wǎng)的安全問題主要是：

1、工業(yè)主機安全問題仍然需要重視，部分區(qū)域被勒索病毒感染反而有所上升；

2、工業(yè)設備安全性需要提升（如工控系統(tǒng)、物聯(lián)網(wǎng)設備等），加強針對工業(yè)設備漏洞的防護；3、工業(yè)互聯(lián)網(wǎng)平臺的安全能力參差不齊，盡管《工業(yè)互聯(lián)網(wǎng)平臺安全防護要求》相關標準已經(jīng)出臺，但大部分工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的安全建設還處于起步階段，沒有形成縱深、完整的安全保障體系；

4、工業(yè)互聯(lián)網(wǎng)的新技術應用，如標識解析系統(tǒng)、5G等，目前還沒有發(fā)現(xiàn)安全問題，隨著應用規(guī)模的不斷擴大，安全風險也值得關注。

中國工業(yè)互聯(lián)網(wǎng)安全事件分析

所有的互聯(lián)網(wǎng)漏洞，都可以被用來攻擊工業(yè)企業(yè)，以上就是一個典型的工業(yè)安全案例，這是一家大型的央企被釣魚攻擊，我們看到的這個文檔是利用了CVE-2017-11882漏洞進行的釣魚攻擊，該漏洞影響office2003到2016的所有版本，在這次攻擊中，文檔執(zhí)行被釋放到%temp%路徑下的JS腳本，腳本文件拷貝惡意的PROPSYS.dll，以及加密后的惡意程序等一系列操作。

我們這里要重點介紹一個重大漏洞：URGENT/11，這是vxWorks操作系統(tǒng)新發(fā)現(xiàn)的11個漏洞的集合，幾乎所有的大型工控廠商都使用vxworks操作系統(tǒng)，因此這個漏洞基本上影響了所有的工控系統(tǒng)，包括西門子、ABB、艾默生、羅克韋爾、三菱等。 URGENT/11被攻擊會造成很嚴重影響，攻擊者可以利用漏洞來接管用戶的設備，甚至可以繞過防火墻和NAT等安全設備，向內網(wǎng)滲透，造成嚴重的后果。未來幾年里，URGENT/11的危害需要我們每一位安全從業(yè)者在今后的歲月中加以關注。

　中國工業(yè)互聯(lián)網(wǎng)安全案例

這是一個工業(yè)互聯(lián)網(wǎng)企業(yè)安全的典型案例：一個家電制造企業(yè)在關鍵位置部署工業(yè)安全監(jiān)測系統(tǒng)，在集團總部部署工業(yè)安全監(jiān)測控制平臺（ISDC），將各廠區(qū)的監(jiān)測結果實時上報集團總部，實現(xiàn)了智能工廠內網(wǎng)IT和OT流量的一體化同時監(jiān)測。

還有一個工業(yè)互聯(lián)網(wǎng)平臺的安全防護案例，從接入層、到平臺的IaaS層、PaaS層、SaaS層都做了安全防護，最后使用了統(tǒng)一的安全運營管理中心對整個平臺進行安全配置、安全審計、態(tài)勢感知和應急響應。

中國工業(yè)互聯(lián)網(wǎng)安全展望

2019年工業(yè)互聯(lián)網(wǎng)安全發(fā)展飛快，經(jīng)過討論和總結，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟認為，未來我國工業(yè)互聯(lián)網(wǎng)安全將呈現(xiàn)以下趨勢：

1、我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)政策將繼續(xù)向好的方向發(fā)展，并不斷深化；

2、針對工業(yè)互聯(lián)網(wǎng)安全需求的IT安全與OT安全將不斷深入融合；

3、結合多領域、新技術的工業(yè)互聯(lián)網(wǎng)安全解決方案將會不斷涌現(xiàn)；

4、工業(yè)互聯(lián)網(wǎng)安全標準體系將繼續(xù)完善，并指導產(chǎn)業(yè)健康發(fā)展；

5、安全需求將推動建立跨界工業(yè)互聯(lián)網(wǎng)安全人才培訓和教育體系的建立。

為保障中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展，中國工業(yè)互聯(lián)網(wǎng)安全技術與能力將不斷提高，并以國家戰(zhàn)略為指導，落實企業(yè)主體責任、政府監(jiān)管責任，積極引導各方參與，形成工作合力，加快建設責任清晰、制度健全、技術先進的工業(yè)互聯(lián)網(wǎng)安全保障體系。六方云現(xiàn)已對外發(fā)布工業(yè)互聯(lián)網(wǎng)安全體系，為企業(yè)安全保障做好了準備。

未來，六方云將繼續(xù)深耕技術研發(fā)，為客戶提供有競爭力、安全可信賴的產(chǎn)品、解決方案與服務，并與業(yè)界同行攜手構建物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全新生態(tài)。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。