工控行業(yè)將進(jìn)入網(wǎng)絡(luò)安全問(wèn)題爆發(fā)期

2010年，震網(wǎng)(Stuxnet)病毒曾感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò)，伊朗遭到的攻擊最為嚴(yán)重，60%的個(gè)人電腦感染了這種病毒。

2016年，三一重工近千臺(tái)工程機(jī)械設(shè)備遭非法解鎖破壞，數(shù)量多達(dá)近千臺(tái)，波及多個(gè)省份，直接經(jīng)濟(jì)損失達(dá)3000余萬(wàn)元，間接損失近十億元。2018年，Wannacry的變種侵入了全球最大的代工芯片制造商***積體電路制造，導(dǎo)致其停產(chǎn)三天，預(yù)計(jì)經(jīng)濟(jì)損失高達(dá)4億元人民幣。

工控行業(yè)進(jìn)入網(wǎng)絡(luò)安全問(wèn)題爆發(fā)期，“安全債”該還了。在此背景下，我們總結(jié)了在工業(yè)控制系統(tǒng)信息安全方面的六個(gè)關(guān)鍵發(fā)現(xiàn)。

一、工業(yè)控制系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)建設(shè)目標(biāo)不同，這導(dǎo)致其在技術(shù)、管理與服務(wù)等很多方面有相當(dāng)大的差異。

在大部分情況下，保密性是傳統(tǒng)信息安全領(lǐng)域最重要的部分。在工業(yè)控制系統(tǒng)領(lǐng)域則有較大的不同。工業(yè)控制系統(tǒng)強(qiáng)調(diào)的是工業(yè)自動(dòng)化程度及對(duì)相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理能力。因此工業(yè)控制系統(tǒng)對(duì)完整性和可用性要求更高。

二、工控系統(tǒng)暴露的資產(chǎn)日漸增多。

在和外部聯(lián)網(wǎng)的情況下，工控系統(tǒng)容易被外部探測(cè)，并通過(guò)公開(kāi)或私有通訊協(xié)議、WEB服務(wù)、Telnet、FTP等返回的信息中包含的特殊字段對(duì)資產(chǎn)進(jìn)行識(shí)別，進(jìn)而可以實(shí)現(xiàn)對(duì)資產(chǎn)的控制。下面是我們通過(guò)資產(chǎn)識(shí)別技術(shù)對(duì)全球工控資產(chǎn)在網(wǎng)絡(luò)中的暴露情況進(jìn)行探測(cè)。首先以最常見(jiàn)的Modbus和西門子S7協(xié)議為例，統(tǒng)計(jì)全球設(shè)備數(shù)據(jù)總量及分布。2018年統(tǒng)計(jì)分析。發(fā)現(xiàn)使用Modbus協(xié)議的設(shè)備共有373612臺(tái)。

被探測(cè)到使用Modbus協(xié)議前三位的國(guó)家是美國(guó)，韓國(guó)和比利時(shí)。國(guó)內(nèi)被探測(cè)到使用Modbus協(xié)議前三位的省份是廣東，***和北京。發(fā)現(xiàn)使用S7協(xié)議的設(shè)備375835臺(tái)。被探測(cè)到使用S7協(xié)議前三位的國(guó)家是美國(guó)，韓國(guó)和中國(guó)。國(guó)內(nèi)被探測(cè)到使用S7協(xié)議前三位的省份是廣東，上海和北京。

三、隨著近年來(lái)對(duì)工控安全的深入研究，越來(lái)越多的工控漏洞被研究人員發(fā)現(xiàn)。

根據(jù)供水及水處理行業(yè)，化工行業(yè)，石化行業(yè)，電力行業(yè)和冶金行業(yè)這五個(gè)典型的工業(yè)場(chǎng)景中的統(tǒng)計(jì)分析表明，工業(yè)控制系統(tǒng)在2017年和2018年所面臨的威脅呈現(xiàn)明顯上升的趨勢(shì)，下圖以石化行業(yè)為例：

四、針對(duì)工控系統(tǒng)的勒索病毒會(huì)越來(lái)越多。

目前的勒索病毒，例如Wannacry等，主要是針對(duì)工控系統(tǒng)中的IT系統(tǒng)進(jìn)行攻擊，例如針對(duì)上位機(jī)，ERP系統(tǒng)等進(jìn)行勒索攻擊。從攻擊方式及帶來(lái)的影響看，針對(duì)OT系統(tǒng)的勒索病毒未來(lái)會(huì)出現(xiàn)在OT系統(tǒng)，例如針對(duì)PLC，DCS等系統(tǒng)的勒索病毒。

五、工控安全技術(shù)方向仍然需要新一輪的創(chuàng)新。

工控安全在考慮引入IT信息安全的技術(shù)手段或者是構(gòu)建在工控安全自身特性的技術(shù)上時(shí)，都需要與工控系統(tǒng)自身的運(yùn)行特點(diǎn)相互匹配，需要考慮好IT+OT統(tǒng)一的安全技術(shù)手段如何有效的融入到工控安全能力中。要考慮安全技術(shù)在工業(yè)業(yè)務(wù)增效中起到的作用。技術(shù)應(yīng)用上要考慮輕量化、無(wú)擾動(dòng)、業(yè)務(wù)數(shù)據(jù)的采集與安全數(shù)據(jù)采集之間的關(guān)聯(lián)，需要考慮各個(gè)行業(yè)領(lǐng)域應(yīng)用的差異性，共性技術(shù)的提取與特異性技術(shù)的應(yīng)用等。

六、在安全能力的構(gòu)建上，綜合性的業(yè)務(wù)故障聯(lián)合診斷分析會(huì)成為未來(lái)工控安全的一個(gè)發(fā)展趨勢(shì)。

在構(gòu)建過(guò)程中需要安全數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的翻譯與解析，形成有效的“通話機(jī)制”。安全數(shù)據(jù)內(nèi)容與業(yè)務(wù)數(shù)據(jù)內(nèi)容之間的橋梁和通道需要逐步打通，逐步實(shí)現(xiàn)業(yè)務(wù)通道給安全提供有效數(shù)據(jù)，安全為業(yè)務(wù)保證提供有效支撐的一體化的業(yè)務(wù)保證能力。

伴隨著國(guó)家各個(gè)部委的政策指引，國(guó)家相關(guān)資金的支持以及各個(gè)控制系統(tǒng)運(yùn)營(yíng)企業(yè)對(duì)工控安全重視程度的提升，工控信息安全必然會(huì)迎來(lái)一個(gè)比較好的發(fā)展時(shí)期。從未來(lái)角度看，工業(yè)信息安全必將是一個(gè)綜合性的安全，安全的價(jià)值也需要體現(xiàn)在對(duì)業(yè)務(wù)的實(shí)質(zhì)性促進(jìn)作用上。