您好,欢迎您来到吉林省软件和信息服务业公共服务平台! 
  • 新闻动态

    正式发布|《工业互联网空间安全态势分析报告》

    日期: 2017-11-14 13:13:05 点击数:  

    一、概述

    工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力。

    随着工业互联网的快速发展,大量的工业控制系统也接入了互联网络。工业控制系统重点应用在炼油、石化、电力、冶金、建材、交通、电网、水网、气网、国防、智能制造等关系到国家和社会稳定、经济正常运行的重要领域。随着我国大力推进信息化建设,工业控制系统在我国各行业的应用范围和部署规模快速增长,工业控制系统已成为国家关键基础设施的“中枢神经”。其中,公用事业行业,大中型城市的燃气输配、供电、供水、供暖、排水、污水处理等均采用了智能工业控制系统;以石油石化天然气为代表的能源行业,从大型油气田到数万公里的原油、天然气和成品油输送管线,大规模采用工业控制系统;电力行业,发电、调度、变电、配电和用电等各个环节都离不开工业控制系统;以轨道交通为代表的公共交通行业,从控制列车运行的信号系统、到统一指挥调度的综合监控系统已全部实现网络化控制;水利行业,国家防汛指挥系统采用工控系统进行区域和全国联网;智能制造行业,越来越多的信息技术应用到了工业制造领域,生产模式得以根本性的改变,各种智能制造设备和系统进行网络互联互通的趋势越来越快。

    我国近几年工业控制系统的安全事件屡有发生,如钢厂异常停机、石化工厂蠕虫泛滥等等,这些层出不穷的安全事件,为我国关键基础设施核心要害系统安全问题敲响了警钟。

    二、范围

    研究范围:中国互联网空间的所有 IPv4 地址。

    研究对象:研究范围内的工业互联网设备。

    研究方法:使用工业互联网雷达引擎扫描互联网空间,发现接入的工业互联网设备,根据设备指纹信息获取资产信息(包括设备类型、厂商、型号、固件版本和软件版本等),根据固件或软件版本信息获取漏洞信息,然后结合资产和漏洞信息梳理出《工业互联网空间安全态势分析报告》。

    研究时间:2017年9月 ~ 2017 年 11 月。

    三、统计分析

    截止2017年11月4日,本轮共探测到全国接入互联网的工业互联网设备17821个,其中DTU数据中心占15146个,其他工控系统占2675个。以下为暴露在公网的工业互联网设备全国区域分布图。


    图1、全国接入互联网的工业互联网设备区域分布图

    数据来源:威努特

    从地域分布看,东南沿海、北京等经济较发达地区,联网的工业互联网设备相对较多。下面我们将从区域分布、设备类型、厂商、协议、漏洞等多个维度详细分析我国联网的工控系统安全态势(注:分析数据中不计入DTU数据中心,以2675个工控系统相关数据来统计分析)。

    四、按工控系统区域分析

    图2、全国接入互联网的工控设备按省份排行图

    数据来源:威努特

    从图2的统计结果可以看出台湾、北京、珠江三角洲、长江三角洲和东北老工业基地等地区联网的工控设备最多。

    台湾省联网的工控设备数量排名第一,台湾是曾经的亚洲四小龙之一,工业是台湾经济的重要支柱。经过数十年的发展,台湾基本上建立了部门比较齐全、以委托加工型态为主体、以信息电子产业为支柱的工业体系。上世纪90年代以后,台湾主要推动高新技术产业的发展,提高工业技术水平。在1990年制订的“六年建设计划”(1991-1996)中,台湾进一步提出发展十大新兴工业,即通讯工业、资讯(信息)工业、消费性电子工业、半导体工业、精密器械与自动化工业、航太工业、高级材料工业、特用化学工业与制药工业、医疗保健工业与污染防治工业。90年代中期后,台湾开始推动以建设“科技岛”为中心的高科技产业发展。虽然有不少规划未能全面落实与实现,但仍促进了高科技产业的发展,高科技产业逐渐成为台湾工业发展的主体与核心。进入21世纪后,台湾工业产值在2007年突破4万亿,2013年达到14.95万亿,同比下降0.77%,占GDP比重为30.02%,其中制造业占82.9%,达到13.93万亿元新台币,始终居主导地位。

    北京市联网的工控设备数量排名第二,北京市走新型工业化道路,加快形成以高新技术产业和现代制造业为主体,以优化改造后的传统优势产业为基础,逐步由传统重工业发展到以汽车、电子为主导的现代制造业。同时,以中关村为代表的北京高新技术产业,形成极具活力和发展潜力的产业链。在软件、集成电路、计算机和网络、通信、生物制药、能源环保等重点领域形成国内优势产业群。这就解释了北京成为大陆地区工控系统暴露最多的地区,这里是经济的核心发展区,也是全国工业信息化领头羊,必须切实保障该地区的关键信息基础设施,增强工业控制系统的安全防护能力。

    广东省联网的工控设备数量排名第三,珠江三角洲地区是有全球影响力的先进制造业基地和现代服务业基地,我国参与经济全球化的主体区域,全国科技创新与技术研发基地,全国经济发展的重要引擎。广东作为华南地区的经济中心,产业配套强,地理位置上同亚洲国际大都市香港和澳门毗邻,同台湾隔海相望,这些都为广东工业化和信息化提供了优势。

    黑龙江省联网的工控设备数量排名第四,东北地区作为中国工业的摇篮,辽宁、吉林、黑龙江三省一度成为中国经济的火车头。东北是中国最重要的工业基地之一,东北地区在构建社会主义和谐社会中起着举足轻重地作用,已形成以钢铁、机械、石油、化工等为核心的完整工业体系。工业区由南向北逐步推进,除原有的沈阳—抚顺—鞍山—本溪重工业区外,还出现了以机械、化工为主的旅大工业区,以煤炭、化工等为主的辽西走廊工业区,以机械、化工、造纸等为主的长春—吉林中部工业区,以电机、石油、机械工业等为主的哈尔滨—大庆—齐齐哈尔工业区,以煤炭—森林工业为主的黑龙江西部工业区等,另外东北也是中国主要的军工业基地,军工关系到一个国家的安全命脉,所以更易成为首要攻击的目标。

    江苏、浙江、上海的联网工控设备数量排名5-7位,长江三角洲地区工控系统暴露数量排名前列。长三角地区(江苏、浙江和上海)是我国经济最发达、产业配套最完善、整体竞争力最强的地区。随着工业化进程的不断加快,长三角地区三大产业之间的比例关系进一步优化。上海将发展现代服务业和先进制造业放在优先地位;浙江抓住产业结构调整的机遇,着力提升先进制造业的竞争力,加快承担国际产业转移;江苏以发展现代制造业来增强自主创业能力,坚持以信息化带动工业化,促进信息技术和信息产业的快速发展,推进信息技术在各行业各领域的普及和应用。同时,江苏还要建设现代国际制造业基地,有选择、高起点地承接国际产业。因此,长江三角洲的工业信息化程度也走在国内前列,暴露的工业控制系统数量很多。

    五、按工控系统类型分析

    工业控制系统的联网设备主要包括:工控设备、工控网络设备和工控系统信息设备。工控设备主要包括:PLC、RTU、DCS、继电保护装置、无线传输模块DTU等。工控网络设备主要包括:工业网关、工业路由器、工业交换机和工业防火墙等网络安全设备。工控系统信息设备主要包括:工程师站、操作员站、OPC服务器、数据服务器和SCADA等。

    SCADA系统用来控制分散的或集中的数据采集和过程处理,常用于供水和污水收集系统、石油和天然气管道、电力的输电配电系统、以及铁路公交系统等;DCS在国内自控行业又称之为集散控制系统,用来控制同一地域工业系统中的生产系统,如炼油厂、水和污水处理、发电厂、化学品制造工厂、医药加工厂等;PLC,可编程逻辑控制器,通过数字或模拟式输入/输出控制各种类型的机械或生产过程,专为工业环境应用而设计;RTU,远程终端控制系统,负责对现场信号、工业设备的监测和控制。

    从图3的统计结果可以看出工业网关、PLC和操作员站的联网数量最多。PLC作为可编程的设备,大批量接入互联网,存在被远程篡改组态逻辑和远程控制的风险,需要引起监管部门的高度重视。

    继电器的联网数量排名第四,继电器是一种电控制器件,是当输入量的变化达到规定要求时,在电气输出电路中使被控量发生预定的阶跃变化的一种电器。它具有控制系统和被控制系统之间的互动关系。通常应用于自动化的控制电路中,它实际上是用小电流去控制大电流运作的一种“自动开关”。故在电路中起着自动调节、安全保护、转换电路等作用。继电器的联网数量较高,直接威胁着输变电和配电系统的安全。

    在本次的探测数据中,DCS和SCADA这类核心系统联网的数量接近50个,一旦被不法分子入侵,容易引起我国关键基础设施的网络安全事故,这需要引起监管部门的高度重视。

    在本次的探测数据中还发现了30个楼宇自动化系统接入互联网络。楼宇自动控制系统包括:门禁控制系统、中央空调监控及计量计费系统、消防报警及火灾控制系统、停车场管理系统、安防系统、楼宇对讲系统等,该系统主要是通过网络化方式对前端采集设备(数据采集或控制模块)进行数据采集和管理。


    图3、全国接入互联网的工控系统按类型分布图

    数据来源:威努特


    六、按设备厂商统计分析

    本次工控系统在线监测涉及西门子、施耐德、罗克韦尔、欧姆龙、台达、霍尼韦尔、和利时等超过30个工控设备厂家品牌。西门子的PLC几乎在所有用户行业中都有应用,并在几个主要应用行业如纺织、冶金、汽车等领域应用广泛;施耐德在电力、冶金和市政等领域应用较广泛,尤其是冶金行业;罗克韦尔以及欧姆龙在我国的工业控制系统中也有着广泛的应用。

    图4、全国接入互联网的工控系统按厂商排名图

    数据来源:威努特

    从图4的统计结果可以看出Moxa的联网设备排名第一。Moxa的Nport串口服务器在国内和全球应用都很广泛。串口服务器是一种具有串口转以太网功能的设备,他能将RS-232/485/422串口转换成TCP/IP网络接口,串口服务器可以通过client和server模式来实现数据的传输,串口服务器广泛的应用在SCADA数据采集环节上,用于解决串口和以太网的通信问题。

    西门子的联网设备数量排名第二,这反映了西门子的工控设备在我国应用的极其广泛。和利时的联网设备数量排名第三,和利时是我国工控设备制造行业的龙头企业之一。其它联网设备数量排名在前十位的厂商有Tridium、施耐德、罗克韦尔、欧姆龙、台达、霍尼韦尔、研华科技、通用电气和ABB。

    七、按开放协议统计分析

    工业互联网雷达可以覆盖38种以上的工业控制协议的扫描探测,本次统计的协议范围是联网工控设备开放的协议服务,会包含部分传统网络协议(如telent、snmp、http、https等)。

    从图5的统计结果可以看出moxa-nport、telnet、hart-ip、fox、s7、hollysys-lk、modbus、snmp、ethernetip、siemens-license这十个协议在联网工控设备上出现的最多。

    Moxa-nport是Moxa串口服务器上的通信协议。

    Hart-ip协议是美国Rosement公司于1985年推出的一种用于现场智能仪表和控制室设备之间的通信协议。现已成为全球智能仪表的工业标准。

    Fox协议是Tridium公司开发的Niagara框架的一部分,广泛应用于楼宇自动化控制系统。

    S7协议是SIEMENS s7协议族的标准通信协议,使用s7-应用接口的通信不依赖特定的总线系统。

    Hollysys-lk协议是一种私有协议,用于Hollysys PLC的通讯,常见于电力、石油、化工等行业。

    图5、全国接入互联网的工控系统按协议排名图

    数据来源:威努特

    Modbus协议是应用于电子控制器上的一种协议。通过此协议设备间可以通信。它已成为一通用工业标准。

    Ethernet/IP是一个面向工业自动化应用的工业应用层协议。它建立在标准UDP/IP与TCP/IP协议之上,利用固定的以太网硬件和软件,为配置、访问和控制工业自动化设备定义了一个应用层协议。

    Siemens License协议是一种私有协议,用于西门子上位机软件的License服务。

    八、按工控漏洞级别分析

    图6、全国接入互联网的工控设备区域分布图

    数据来源:威努特

    本次扫描共探测到工控漏洞2650个,按漏洞危险级别统计,结果见图6。其中高危漏洞占48.48%,中危占36.01%,低危占15.51%。综合来看,联网的工控设备存在较高的安全风险。

    九、按工控漏洞类型分析

    本次扫描探测到的工控漏洞,按漏洞类型统计,结果见图7。抛开其他类型的漏洞,缓冲区溢出漏洞排名第一,占比18.23%,缓冲区溢出是高危型漏洞,成功的利用可以远程控制目标系统。信息泄露类漏洞排名第二,占比13.06%,信息泄露是低危漏洞,黑客远程入侵一个系统首先要做的就是收集各种系统信息。输入验证、权限许可和访问控制、授权问题这三类漏洞排名三到五位,这三类属于中危漏洞,大多数工控设备的访问控制和授权都有问题,成功的利用这些漏洞可以远程篡改组态数据引起严重后果。路径遍历、弱身份验证、跨站脚本、加密问题和SQL注入排名六到十位,路径遍历、跨站脚本和SQL注入在WEB站点的入侵中非常常见,在工控领域中也是通用的。

    图7、全国接入互联网的工控系统按漏洞类型分布图

    数据来源:威努特

    十、结论

    由以上的统计图表和分析可知,越是科技发达、工业先进、经济领先的国家或地区,暴露在网络空间的工控系统数量越多,也就越容易成为首要攻击的目标。一旦关键的工业控制系统受到入侵破坏,不仅仅是信息泄露、设备损坏无法运行,更有可能导致环境勿扰乃至人员伤亡。对于那些涉及国家层面以及军工领域的工业控制系统及产品,其网络安全风险更会对国家安全造成直接影响。因此,工业控制系统的安全性应该引起足够的重视。

    第四次工业革命的到来,为我国工控网络安全行业带来难得的发展机遇。但由于我国工业信息化起步较晚,也存在着一系列问题,如网络安全战略不明确、网络安全标准体系建设落后、网络安全基础能力薄弱、网络攻防技术能力不足等,“中国制造2025”提出的制造强国战略依然任重而道远。

    鉴于此,国家更要建立完备的工控网络安全体系,加强顶层设计,推进工控相关的标准的制订,同时建立健全的应急响应机制,各方联动,提供更有价值的威胁情报信息,为政府机构、安全厂商、企事业用户提供更好的支持;更需要大力培养工控网络安全专业人才,推动工控网络安全学科建设,满足工控网络安全产业长期发展的人才需求;最根本的是积极发展信息技术,特别是在国家工业领域一些关键基础设施和重要信息系统新建项目上,必须要强化项目规划和设计阶段的信息安全风险评估,整体考虑工业控制系统安全体系,加大投资,大力发展具有自主知识产权的安全防护技术和产品。

    习总书记强调,没有网络安全就没有国家安全,没有信息化就没有现代化。在关乎国家未来发展和前途命运的国际竞赛中,我国能否保持并加强国际领先地位,加快推进工控网络安全领域的发展是重中之重。

    附录1. 工业互联网雷达简介

    威努特工业互联网雷达是为监管部门、大型工业企业等大中型企事业单位提供综合安全事件分析与宏观安全形势展现等服务的技术平台。产品可准确辨识并定位暴露在工业网络空间中的工业控制系统联网设备,无损发现联网设备存在的漏洞和风险,并进行总体安全态势呈现,支撑监管单位完成安全监测、检查、整改的闭环工作。对于评估工业控制系统的安全性,推动国家关键基础设施的信息安全保障工作具有极为重要的意义。

    工业互联网雷达平台:

    访问地址:https://radar.winicssec.com




    发布时间:2017-11-8           信息来源:搜狐


运营单位:吉林省启明软件园企业孵化有限公司
吉ICP备15006944号-1邮箱: jlssp@qmfh.com.cn电话: 0431-81960520/81960521