原標(biāo)題：安全解決方案，2019中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告

2020年8月30日，為深入落實工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展，強化產(chǎn)業(yè)推廣及生態(tài)建設(shè)，持續(xù)提升我國工業(yè)互聯(lián)網(wǎng)的影響力，特在云端舉辦2020工業(yè)互聯(lián)網(wǎng)大會。本次大會由工業(yè)和信息化部、北京市人民政府主辦，中國信息通信研究院、北京市經(jīng)濟和信息化局、北京市通信管理局、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟承辦。

本次大會以“賦能、融通、創(chuàng)新，為新工業(yè)革命筑基”為主題，希望各方共同探討工業(yè)互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用、新模式、新業(yè)態(tài)，助力產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型和實體經(jīng)濟高質(zhì)量發(fā)展。

在工業(yè)互聯(lián)網(wǎng)安全論壇上，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組副主席、北京六方云信息技術(shù)有限公司總裁李江力代表工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組正式發(fā)布了《2019中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告》，報告從工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)業(yè)政策、標(biāo)準(zhǔn)體系、安全技術(shù)、產(chǎn)業(yè)規(guī)模、多種安全風(fēng)險（包括5G網(wǎng)絡(luò)安全風(fēng)險）進行了統(tǒng)計和分析，并結(jié)合安全事件、重大漏洞給出了參考解決方案，最后對工業(yè)互聯(lián)網(wǎng)安全進行了展望。

中國工業(yè)互聯(lián)網(wǎng)安全概述

在標(biāo)準(zhǔn)方面，2019年1月，工信部、國標(biāo)委聯(lián)合發(fā)布了《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》，在安全標(biāo)準(zhǔn)方面，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全防護總體要求》《工業(yè)互聯(lián)網(wǎng)平臺安全防護要求》等2項標(biāo)準(zhǔn)，并立項相關(guān)國標(biāo)、行標(biāo)共17項，同時，安標(biāo)委也發(fā)布了多項涉及工業(yè)安全的相關(guān)標(biāo)準(zhǔn)。

2019年7月工信部、能源局、發(fā)改委、教育部等10個部委一起印發(fā)的《加強工業(yè)互聯(lián)網(wǎng)安全的指導(dǎo)意見》，從政府監(jiān)管、工業(yè)互聯(lián)網(wǎng)企業(yè)自身、安全廠商、以及產(chǎn)業(yè)推動等不同方面闡述了對加強工業(yè)互聯(lián)網(wǎng)安全的支持政策，吹響了發(fā)展工業(yè)互聯(lián)網(wǎng)安全的號角。

除了中國之外，美國及美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）也發(fā)布了多項政策，例如《工業(yè)互聯(lián)網(wǎng)安全成熟度模型》《物聯(lián)網(wǎng)設(shè)備安全法案》等，其他國家也發(fā)布了相關(guān)安全政策。

中國工業(yè)互聯(lián)網(wǎng)威脅統(tǒng)計

2019年，我們的工業(yè)互聯(lián)網(wǎng)安全存在哪些問題呢？李江力表示，從國家兩大漏洞庫CNVD和CNNVD的統(tǒng)計可以看到，互聯(lián)網(wǎng)漏洞每年的增長趨勢非常明顯，2019年的漏洞總數(shù)在17000個以上，漏洞產(chǎn)生的主要原因是緩沖區(qū)溢出、跨站腳本、輸入驗證等。

在主機端安全方面，我們發(fā)現(xiàn)2019年主機受病毒感染的次數(shù)仍然非常多，目前主機遭受病毒感染最高的省份是廣東、北京、山東、浙江、江蘇、四川，這些都是我國GDP排名比較靠前的省份。在8個常見的主機漏洞中CVE-2017-0147和CVE-2019-1181/1182很容易被勒索病毒利用。

2018、2019年勒索軟件感染統(tǒng)計，大部分地域的勒索病毒感染次數(shù)呈大幅下降趨勢，但少數(shù)區(qū)域（如北京）的感染次數(shù)還是有所上升，說明我們對主機安全問題還是不能掉以輕心，仍需防范勒索病毒的攻擊。

李江力強調(diào)“工業(yè)互聯(lián)網(wǎng)里最重要的接入設(shè)備是工業(yè)控制系統(tǒng)，統(tǒng)計顯示，2019年有9個省市在公網(wǎng)上暴露的工控系統(tǒng)超過1000臺，部分地區(qū)接近萬臺，排名前三的是廣東、江蘇和福建，其次是臺灣、香港、浙江、山東、上海和北京，2019年，工業(yè)控制系統(tǒng)的漏洞數(shù)量持續(xù)增長，達到了508個，增長趨勢非常明顯”。

2019年工控系統(tǒng)新增漏洞最多的廠商依次是西門子、施耐德、研華、ABB、MZ、艾默生等，其中受影響最大的行業(yè)分別是制造業(yè)、能源、水務(wù)、商業(yè)設(shè)施、石油等，2019年18個與工業(yè)控制系統(tǒng)相關(guān)的漏洞中，vxWorks是值得特別關(guān)注的。

以上為工業(yè)控制系統(tǒng)漏洞類型及危險等級統(tǒng)計，可以看出，其中高危漏洞所占比例高達95%。

在工業(yè)互聯(lián)網(wǎng)上，物聯(lián)網(wǎng)設(shè)備也是一種常見的接入設(shè)備，從統(tǒng)計可以看出，北京、廣東、上海、浙江、江蘇等省市仍然是物聯(lián)網(wǎng)設(shè)備暴露最多的地區(qū)，造成物聯(lián)網(wǎng)設(shè)備漏洞產(chǎn)生的原因有很多，如硬件設(shè)計缺陷、操作系統(tǒng)漏洞、軟件漏洞、調(diào)試接口未保護、設(shè)備未認證、數(shù)據(jù)未加密等。

工業(yè)互聯(lián)網(wǎng)的三大要素：網(wǎng)絡(luò)是基礎(chǔ)、平臺是核心、安全是保障，工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系的重要組成部分，由于系統(tǒng)采用了互聯(lián)網(wǎng)DNS技術(shù)原型進行設(shè)計，同樣面臨著來自于互聯(lián)網(wǎng)的各類安全威脅，其次，由于標(biāo)識解析系統(tǒng)的數(shù)據(jù)量和復(fù)雜性遠超過當(dāng)前的互聯(lián)網(wǎng)體系，因此將帶來更多的安全挑戰(zhàn)。

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析系統(tǒng)的安全風(fēng)險主要包括：架構(gòu)安全風(fēng)險（如節(jié)點可用性、節(jié)點協(xié)同風(fēng)險、關(guān)鍵節(jié)點的關(guān)聯(lián)性等）、數(shù)據(jù)安全風(fēng)險（數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私泄露等）、運營安全風(fēng)險（訪問控制、業(yè)務(wù)連續(xù)性等）、以及身份安全風(fēng)險（身份認證、越權(quán)訪問等）。

另一種對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)的基礎(chǔ)支撐是5G，5G具有超大帶寬、海量數(shù)據(jù)、超低時延等的特點，非常適合于工業(yè)互聯(lián)網(wǎng)應(yīng)用，5G在安全性上，相比4G有很大的提高，例如5G可以提供更全面的數(shù)據(jù)安全防護、具備更豐富的認證機制、對用戶隱私的保護更嚴(yán)密，以及對網(wǎng)絡(luò)間信息的保護更靈活。

但是5G網(wǎng)絡(luò)仍然有安全風(fēng)險，需要我們重視，比如，5G高帶寬應(yīng)用場景可能會引入內(nèi)容安全風(fēng)險，比如數(shù)據(jù)泄露、數(shù)據(jù)竊取等風(fēng)險，5G的高可靠低時延應(yīng)用可能會引入DDoS網(wǎng)絡(luò)攻擊風(fēng)險，5G的大連接物聯(lián)網(wǎng)應(yīng)用可能會引入虛假終端風(fēng)險、進而導(dǎo)致海量終端被控導(dǎo)致的網(wǎng)絡(luò)僵尸攻擊等。

5G網(wǎng)絡(luò)切片是一種非常先進的技術(shù)，但是切片是一個復(fù)雜的系統(tǒng)，復(fù)雜系統(tǒng)的每個組成部件的安全問題都會影響到整個系統(tǒng)的安全，用戶設(shè)備和切片、切片之間的認證交互機制、處理邏輯及運維操作等都可能產(chǎn)生安全漏洞。

此外，5G的邊緣計算的MEC安全問題，邊緣計算的本地業(yè)務(wù)處理特性，攻擊者可能通過邊緣計算平臺或應(yīng)用攻擊核心網(wǎng)，造成敏感數(shù)據(jù)泄露、DDoS攻擊等。

從2019年開始，我們對國內(nèi)頭部的十多家工業(yè)互聯(lián)網(wǎng)平臺的安全防護體系進行了調(diào)研，對于接入設(shè)備來說，有80%以上的平臺都使用了身份認證和設(shè)備認證手段，但通信加密和審計技術(shù)僅占70%，對平臺本身來說，100%采用了抗DDoS技術(shù)，其次是訪問控制等技術(shù)，但協(xié)議分析和深度解析技術(shù)只有不到45%，對于PaaS層來說，大部分都設(shè)計了身份認證接口API，存儲加密API，但安全審計接口不足60%，所有平臺都有統(tǒng)一的管理系統(tǒng)，但有可視化安全運維（態(tài)勢感知）系統(tǒng)的不足55%，可見，工業(yè)互聯(lián)網(wǎng)平臺的安全能力仍需要提高。

以上安全威脅分析結(jié)果表明，2019年工業(yè)互聯(lián)網(wǎng)的安全問題主要是：

1、工業(yè)主機安全問題仍然需要重視，部分區(qū)域被勒索病毒感染反而有所上升；

2、工業(yè)設(shè)備安全性需要提升（如工控系統(tǒng)、物聯(lián)網(wǎng)設(shè)備等），加強針對工業(yè)設(shè)備漏洞的防護；3、工業(yè)互聯(lián)網(wǎng)平臺的安全能力參差不齊，盡管《工業(yè)互聯(lián)網(wǎng)平臺安全防護要求》相關(guān)標(biāo)準(zhǔn)已經(jīng)出臺，但大部分工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的安全建設(shè)還處于起步階段，沒有形成縱深、完整的安全保障體系；

4、工業(yè)互聯(lián)網(wǎng)的新技術(shù)應(yīng)用，如標(biāo)識解析系統(tǒng)、5G等，目前還沒有發(fā)現(xiàn)安全問題，隨著應(yīng)用規(guī)模的不斷擴大，安全風(fēng)險也值得關(guān)注。

中國工業(yè)互聯(lián)網(wǎng)安全事件分析

所有的互聯(lián)網(wǎng)漏洞，都可以被用來攻擊工業(yè)企業(yè)，以上就是一個典型的工業(yè)安全案例，這是一家大型的央企被釣魚攻擊，我們看到的這個文檔是利用了CVE-2017-11882漏洞進行的釣魚攻擊，該漏洞影響office2003到2016的所有版本，在這次攻擊中，文檔執(zhí)行被釋放到%temp%路徑下的JS腳本，腳本文件拷貝惡意的PROPSYS.dll，以及加密后的惡意程序等一系列操作。

我們這里要重點介紹一個重大漏洞：URGENT/11，這是vxWorks操作系統(tǒng)新發(fā)現(xiàn)的11個漏洞的集合，幾乎所有的大型工控廠商都使用vxworks操作系統(tǒng)，因此這個漏洞基本上影響了所有的工控系統(tǒng)，包括西門子、ABB、艾默生、羅克韋爾、三菱等。 URGENT/11被攻擊會造成很嚴(yán)重影響，攻擊者可以利用漏洞來接管用戶的設(shè)備，甚至可以繞過防火墻和NAT等安全設(shè)備，向內(nèi)網(wǎng)滲透，造成嚴(yán)重的后果。未來幾年里，URGENT/11的危害需要我們每一位安全從業(yè)者在今后的歲月中加以關(guān)注。

　中國工業(yè)互聯(lián)網(wǎng)安全案例

這是一個工業(yè)互聯(lián)網(wǎng)企業(yè)安全的典型案例：一個家電制造企業(yè)在關(guān)鍵位置部署工業(yè)安全監(jiān)測系統(tǒng)，在集團總部部署工業(yè)安全監(jiān)測控制平臺（ISDC），將各廠區(qū)的監(jiān)測結(jié)果實時上報集團總部，實現(xiàn)了智能工廠內(nèi)網(wǎng)IT和OT流量的一體化同時監(jiān)測。

還有一個工業(yè)互聯(lián)網(wǎng)平臺的安全防護案例，從接入層、到平臺的IaaS層、PaaS層、SaaS層都做了安全防護，最后使用了統(tǒng)一的安全運營管理中心對整個平臺進行安全配置、安全審計、態(tài)勢感知和應(yīng)急響應(yīng)。

中國工業(yè)互聯(lián)網(wǎng)安全展望

2019年工業(yè)互聯(lián)網(wǎng)安全發(fā)展飛快，經(jīng)過討論和總結(jié)，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟認為，未來我國工業(yè)互聯(lián)網(wǎng)安全將呈現(xiàn)以下趨勢：

1、我國工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)政策將繼續(xù)向好的方向發(fā)展，并不斷深化；

2、針對工業(yè)互聯(lián)網(wǎng)安全需求的IT安全與OT安全將不斷深入融合；

3、結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案將會不斷涌現(xiàn)；

4、工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系將繼續(xù)完善，并指導(dǎo)產(chǎn)業(yè)健康發(fā)展；

5、安全需求將推動建立跨界工業(yè)互聯(lián)網(wǎng)安全人才培訓(xùn)和教育體系的建立。

為保障中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展，中國工業(yè)互聯(lián)網(wǎng)安全技術(shù)與能力將不斷提高，并以國家戰(zhàn)略為指導(dǎo)，落實企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任，積極引導(dǎo)各方參與，形成工作合力，加快建設(shè)責(zé)任清晰、制度健全、技術(shù)先進的工業(yè)互聯(lián)網(wǎng)安全保障體系。六方云現(xiàn)已對外發(fā)布工業(yè)互聯(lián)網(wǎng)安全體系，為企業(yè)安全保障做好了準(zhǔn)備。

未來，六方云將繼續(xù)深耕技術(shù)研發(fā)，為客戶提供有競爭力、安全可信賴的產(chǎn)品、解決方案與服務(wù)，并與業(yè)界同行攜手構(gòu)建物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全新生態(tài)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。