安全解決方案,2019中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告

  • 人閱讀
  • 2020-09-02 06:57:00
  • 相關(guān)關(guān)鍵詞

原標(biāo)題:安全解決方案,2019中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告

2020年8月30日,為深入落實(shí)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略,推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展,強(qiáng)化產(chǎn)業(yè)推廣及生態(tài)建設(shè),持續(xù)提升我國(guó)工業(yè)互聯(lián)網(wǎng)的影響力,特在云端舉辦2020工業(yè)互聯(lián)網(wǎng)大會(huì)。本次大會(huì)由工業(yè)和信息化部、北京市人民政府主辦,中國(guó)信息通信研究院、北京市經(jīng)濟(jì)和信息化局、北京市通信管理局、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟承辦。

本次大會(huì)以“賦能、融通、創(chuàng)新,為新工業(yè)革命筑基”為主題,希望各方共同探討工業(yè)互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用、新模式、新業(yè)態(tài),助力產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型和實(shí)體經(jīng)濟(jì)高質(zhì)量發(fā)展。

在工業(yè)互聯(lián)網(wǎng)安全論壇上,工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組副主席、北京六方云信息技術(shù)有限公司總裁李江力代表工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組正式發(fā)布了《2019中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告》,報(bào)告從工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)業(yè)政策、標(biāo)準(zhǔn)體系、安全技術(shù)、產(chǎn)業(yè)規(guī)模、多種安全風(fēng)險(xiǎn)(包括5G網(wǎng)絡(luò)安全風(fēng)險(xiǎn))進(jìn)行了統(tǒng)計(jì)和分析,并結(jié)合安全事件、重大漏洞給出了參考解決方案,最后對(duì)工業(yè)互聯(lián)網(wǎng)安全進(jìn)行了展望。

中國(guó)工業(yè)互聯(lián)網(wǎng)安全概述

在標(biāo)準(zhǔn)方面,2019年1月,工信部、國(guó)標(biāo)委聯(lián)合發(fā)布了《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》,在安全標(biāo)準(zhǔn)方面,工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全防護(hù)總體要求》《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)要求》等2項(xiàng)標(biāo)準(zhǔn),并立項(xiàng)相關(guān)國(guó)標(biāo)、行標(biāo)共17項(xiàng),同時(shí),安標(biāo)委也發(fā)布了多項(xiàng)涉及工業(yè)安全的相關(guān)標(biāo)準(zhǔn)。

2019年7月工信部、能源局、發(fā)改委、教育部等10個(gè)部委一起印發(fā)的《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全的指導(dǎo)意見(jiàn)》,從政府監(jiān)管、工業(yè)互聯(lián)網(wǎng)企業(yè)自身、安全廠商、以及產(chǎn)業(yè)推動(dòng)等不同方面闡述了對(duì)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全的支持政策,吹響了發(fā)展工業(yè)互聯(lián)網(wǎng)安全的號(hào)角。

除了中國(guó)之外,美國(guó)及美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)也發(fā)布了多項(xiàng)政策,例如《工業(yè)互聯(lián)網(wǎng)安全成熟度模型》《物聯(lián)網(wǎng)設(shè)備安全法案》等,其他國(guó)家也發(fā)布了相關(guān)安全政策。

中國(guó)工業(yè)互聯(lián)網(wǎng)威脅統(tǒng)計(jì)

2019年,我們的工業(yè)互聯(lián)網(wǎng)安全存在哪些問(wèn)題呢?李江力表示,從國(guó)家兩大漏洞庫(kù)CNVD和CNNVD的統(tǒng)計(jì)可以看到,互聯(lián)網(wǎng)漏洞每年的增長(zhǎng)趨勢(shì)非常明顯,2019年的漏洞總數(shù)在17000個(gè)以上,漏洞產(chǎn)生的主要原因是緩沖區(qū)溢出、跨站腳本、輸入驗(yàn)證等。

在主機(jī)端安全方面,我們發(fā)現(xiàn)2019年主機(jī)受病毒感染的次數(shù)仍然非常多,目前主機(jī)遭受病毒感染最高的省份是廣東、北京、山東、浙江、江蘇、四川,這些都是我國(guó)GDP排名比較靠前的省份。在8個(gè)常見(jiàn)的主機(jī)漏洞中CVE-2017-0147和CVE-2019-1181/1182很容易被勒索病毒利用。

2018、2019年勒索軟件感染統(tǒng)計(jì),大部分地域的勒索病毒感染次數(shù)呈大幅下降趨勢(shì),但少數(shù)區(qū)域(如北京)的感染次數(shù)還是有所上升,說(shuō)明我們對(duì)主機(jī)安全問(wèn)題還是不能掉以輕心,仍需防范勒索病毒的攻擊。

李江力強(qiáng)調(diào)“工業(yè)互聯(lián)網(wǎng)里最重要的接入設(shè)備是工業(yè)控制系統(tǒng),統(tǒng)計(jì)顯示,2019年有9個(gè)省市在公網(wǎng)上暴露的工控系統(tǒng)超過(guò)1000臺(tái),部分地區(qū)接近萬(wàn)臺(tái),排名前三的是廣東、江蘇和福建,其次是臺(tái)灣、香港、浙江、山東、上海和北京,2019年,工業(yè)控制系統(tǒng)的漏洞數(shù)量持續(xù)增長(zhǎng),達(dá)到了508個(gè),增長(zhǎng)趨勢(shì)非常明顯”。

2019年工控系統(tǒng)新增漏洞最多的廠商依次是西門(mén)子、施耐德、研華、ABB、MZ、艾默生等,其中受影響最大的行業(yè)分別是制造業(yè)、能源、水務(wù)、商業(yè)設(shè)施、石油等,2019年18個(gè)與工業(yè)控制系統(tǒng)相關(guān)的漏洞中,vxWorks是值得特別關(guān)注的。

以上為工業(yè)控制系統(tǒng)漏洞類(lèi)型及危險(xiǎn)等級(jí)統(tǒng)計(jì),可以看出,其中高危漏洞所占比例高達(dá)95%。

在工業(yè)互聯(lián)網(wǎng)上,物聯(lián)網(wǎng)設(shè)備也是一種常見(jiàn)的接入設(shè)備,從統(tǒng)計(jì)可以看出,北京、廣東、上海、浙江、江蘇等省市仍然是物聯(lián)網(wǎng)設(shè)備暴露最多的地區(qū),造成物聯(lián)網(wǎng)設(shè)備漏洞產(chǎn)生的原因有很多,如硬件設(shè)計(jì)缺陷、操作系統(tǒng)漏洞、軟件漏洞、調(diào)試接口未保護(hù)、設(shè)備未認(rèn)證、數(shù)據(jù)未加密等。

工業(yè)互聯(lián)網(wǎng)的三大要素:網(wǎng)絡(luò)是基礎(chǔ)、平臺(tái)是核心、安全是保障,工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系的重要組成部分,由于系統(tǒng)采用了互聯(lián)網(wǎng)DNS技術(shù)原型進(jìn)行設(shè)計(jì),同樣面臨著來(lái)自于互聯(lián)網(wǎng)的各類(lèi)安全威脅,其次,由于標(biāo)識(shí)解析系統(tǒng)的數(shù)據(jù)量和復(fù)雜性遠(yuǎn)超過(guò)當(dāng)前的互聯(lián)網(wǎng)體系,因此將帶來(lái)更多的安全挑戰(zhàn)。

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)的安全風(fēng)險(xiǎn)主要包括:架構(gòu)安全風(fēng)險(xiǎn)(如節(jié)點(diǎn)可用性、節(jié)點(diǎn)協(xié)同風(fēng)險(xiǎn)、關(guān)鍵節(jié)點(diǎn)的關(guān)聯(lián)性等)、數(shù)據(jù)安全風(fēng)險(xiǎn)(數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私泄露等)、運(yùn)營(yíng)安全風(fēng)險(xiǎn)(訪(fǎng)問(wèn)控制、業(yè)務(wù)連續(xù)性等)、以及身份安全風(fēng)險(xiǎn)(身份認(rèn)證、越權(quán)訪(fǎng)問(wèn)等)。

另一種對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)的基礎(chǔ)支撐是5G,5G具有超大帶寬、海量數(shù)據(jù)、超低時(shí)延等的特點(diǎn),非常適合于工業(yè)互聯(lián)網(wǎng)應(yīng)用,5G在安全性上,相比4G有很大的提高,例如5G可以提供更全面的數(shù)據(jù)安全防護(hù)、具備更豐富的認(rèn)證機(jī)制、對(duì)用戶(hù)隱私的保護(hù)更嚴(yán)密,以及對(duì)網(wǎng)絡(luò)間信息的保護(hù)更靈活。

但是5G網(wǎng)絡(luò)仍然有安全風(fēng)險(xiǎn),需要我們重視,比如,5G高帶寬應(yīng)用場(chǎng)景可能會(huì)引入內(nèi)容安全風(fēng)險(xiǎn),比如數(shù)據(jù)泄露、數(shù)據(jù)竊取等風(fēng)險(xiǎn),5G的高可靠低時(shí)延應(yīng)用可能會(huì)引入DDoS網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),5G的大連接物聯(lián)網(wǎng)應(yīng)用可能會(huì)引入虛假終端風(fēng)險(xiǎn)、進(jìn)而導(dǎo)致海量終端被控導(dǎo)致的網(wǎng)絡(luò)僵尸攻擊等。

5G網(wǎng)絡(luò)切片是一種非常先進(jìn)的技術(shù),但是切片是一個(gè)復(fù)雜的系統(tǒng),復(fù)雜系統(tǒng)的每個(gè)組成部件的安全問(wèn)題都會(huì)影響到整個(gè)系統(tǒng)的安全,用戶(hù)設(shè)備和切片、切片之間的認(rèn)證交互機(jī)制、處理邏輯及運(yùn)維操作等都可能產(chǎn)生安全漏洞。

此外,5G的邊緣計(jì)算的MEC安全問(wèn)題,邊緣計(jì)算的本地業(yè)務(wù)處理特性,攻擊者可能通過(guò)邊緣計(jì)算平臺(tái)或應(yīng)用攻擊核心網(wǎng),造成敏感數(shù)據(jù)泄露、DDoS攻擊等。

從2019年開(kāi)始,我們對(duì)國(guó)內(nèi)頭部的十多家工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全防護(hù)體系進(jìn)行了調(diào)研,對(duì)于接入設(shè)備來(lái)說(shuō),有80%以上的平臺(tái)都使用了身份認(rèn)證和設(shè)備認(rèn)證手段,但通信加密和審計(jì)技術(shù)僅占70%,對(duì)平臺(tái)本身來(lái)說(shuō),100%采用了抗DDoS技術(shù),其次是訪(fǎng)問(wèn)控制等技術(shù),但協(xié)議分析和深度解析技術(shù)只有不到45%,對(duì)于PaaS層來(lái)說(shuō),大部分都設(shè)計(jì)了身份認(rèn)證接口API,存儲(chǔ)加密API,但安全審計(jì)接口不足60%,所有平臺(tái)都有統(tǒng)一的管理系統(tǒng),但有可視化安全運(yùn)維(態(tài)勢(shì)感知)系統(tǒng)的不足55%,可見(jiàn),工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全能力仍需要提高。

以上安全威脅分析結(jié)果表明,2019年工業(yè)互聯(lián)網(wǎng)的安全問(wèn)題主要是:

1、工業(yè)主機(jī)安全問(wèn)題仍然需要重視,部分區(qū)域被勒索病毒感染反而有所上升;

2、工業(yè)設(shè)備安全性需要提升(如工控系統(tǒng)、物聯(lián)網(wǎng)設(shè)備等),加強(qiáng)針對(duì)工業(yè)設(shè)備漏洞的防護(hù);3、工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全能力參差不齊,盡管《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)要求》相關(guān)標(biāo)準(zhǔn)已經(jīng)出臺(tái),但大部分工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)的安全建設(shè)還處于起步階段,沒(méi)有形成縱深、完整的安全保障體系;

4、工業(yè)互聯(lián)網(wǎng)的新技術(shù)應(yīng)用,如標(biāo)識(shí)解析系統(tǒng)、5G等,目前還沒(méi)有發(fā)現(xiàn)安全問(wèn)題,隨著應(yīng)用規(guī)模的不斷擴(kuò)大,安全風(fēng)險(xiǎn)也值得關(guān)注。

中國(guó)工業(yè)互聯(lián)網(wǎng)安全事件分析

所有的互聯(lián)網(wǎng)漏洞,都可以被用來(lái)攻擊工業(yè)企業(yè),以上就是一個(gè)典型的工業(yè)安全案例,這是一家大型的央企被釣魚(yú)攻擊,我們看到的這個(gè)文檔是利用了CVE-2017-11882漏洞進(jìn)行的釣魚(yú)攻擊,該漏洞影響office2003到2016的所有版本,在這次攻擊中,文檔執(zhí)行被釋放到%temp%路徑下的JS腳本,腳本文件拷貝惡意的PROPSYS.dll,以及加密后的惡意程序等一系列操作。

我們這里要重點(diǎn)介紹一個(gè)重大漏洞:URGENT/11,這是vxWorks操作系統(tǒng)新發(fā)現(xiàn)的11個(gè)漏洞的集合,幾乎所有的大型工控廠商都使用vxworks操作系統(tǒng),因此這個(gè)漏洞基本上影響了所有的工控系統(tǒng),包括西門(mén)子、ABB、艾默生、羅克韋爾、三菱等。 URGENT/11被攻擊會(huì)造成很?chē)?yán)重影響,攻擊者可以利用漏洞來(lái)接管用戶(hù)的設(shè)備,甚至可以繞過(guò)防火墻和NAT等安全設(shè)備,向內(nèi)網(wǎng)滲透,造成嚴(yán)重的后果。未來(lái)幾年里,URGENT/11的危害需要我們每一位安全從業(yè)者在今后的歲月中加以關(guān)注。

 中國(guó)工業(yè)互聯(lián)網(wǎng)安全案例

這是一個(gè)工業(yè)互聯(lián)網(wǎng)企業(yè)安全的典型案例:一個(gè)家電制造企業(yè)在關(guān)鍵位置部署工業(yè)安全監(jiān)測(cè)系統(tǒng),在集團(tuán)總部部署工業(yè)安全監(jiān)測(cè)控制平臺(tái)(ISDC),將各廠區(qū)的監(jiān)測(cè)結(jié)果實(shí)時(shí)上報(bào)集團(tuán)總部,實(shí)現(xiàn)了智能工廠內(nèi)網(wǎng)IT和OT流量的一體化同時(shí)監(jiān)測(cè)。

還有一個(gè)工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全防護(hù)案例,從接入層、到平臺(tái)的IaaS層、PaaS層、SaaS層都做了安全防護(hù),最后使用了統(tǒng)一的安全運(yùn)營(yíng)管理中心對(duì)整個(gè)平臺(tái)進(jìn)行安全配置、安全審計(jì)、態(tài)勢(shì)感知和應(yīng)急響應(yīng)。

中國(guó)工業(yè)互聯(lián)網(wǎng)安全展望

2019年工業(yè)互聯(lián)網(wǎng)安全發(fā)展飛快,經(jīng)過(guò)討論和總結(jié),工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟認(rèn)為,未來(lái)我國(guó)工業(yè)互聯(lián)網(wǎng)安全將呈現(xiàn)以下趨勢(shì):

1、我國(guó)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)政策將繼續(xù)向好的方向發(fā)展,并不斷深化;

2、針對(duì)工業(yè)互聯(lián)網(wǎng)安全需求的IT安全與OT安全將不斷深入融合;

3、結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案將會(huì)不斷涌現(xiàn);

4、工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系將繼續(xù)完善,并指導(dǎo)產(chǎn)業(yè)健康發(fā)展;

5、安全需求將推動(dòng)建立跨界工業(yè)互聯(lián)網(wǎng)安全人才培訓(xùn)和教育體系的建立。

為保障中國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展,中國(guó)工業(yè)互聯(lián)網(wǎng)安全技術(shù)與能力將不斷提高,并以國(guó)家戰(zhàn)略為指導(dǎo),落實(shí)企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任,積極引導(dǎo)各方參與,形成工作合力,加快建設(shè)責(zé)任清晰、制度健全、技術(shù)先進(jìn)的工業(yè)互聯(lián)網(wǎng)安全保障體系。六方云現(xiàn)已對(duì)外發(fā)布工業(yè)互聯(lián)網(wǎng)安全體系,為企業(yè)安全保障做好了準(zhǔn)備。

未來(lái),六方云將繼續(xù)深耕技術(shù)研發(fā),為客戶(hù)提供有競(jìng)爭(zhēng)力、安全可信賴(lài)的產(chǎn)品、解決方案與服務(wù),并與業(yè)界同行攜手構(gòu)建物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全新生態(tài)。

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2020-09-02
安全解決方案,2019中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告
在工業(yè)互聯(lián)網(wǎng)安全論壇上,工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組副主席、北京六方云信息技術(shù)有限公司總裁李江力代表工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組正式發(fā)布了《2019中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告》,報(bào)告從工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)業(yè)政策

長(zhǎng)按掃碼 閱讀全文