河北省工業(yè)控制系統(tǒng)信息安全態(tài)勢分析及對策建議

李浩偉，光鵬云，楊志輝

（河北省工業(yè)和信息化發(fā)展研究院，河北 石家莊 050000）

0 引言

隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，病毒、木馬等傳統(tǒng)網(wǎng)絡(luò)威脅持續(xù)向工業(yè)控制系統(tǒng)蔓延，勒索攻擊等新型攻擊模式不斷涌現(xiàn)，安全事件頻發(fā)，整體安全形勢嚴(yán)峻。為應(yīng)對日趨嚴(yán)峻的工業(yè)控制系統(tǒng)信息安全形勢，對低防護(hù)聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)攻擊、高危風(fēng)險(xiǎn)、安全漏洞數(shù)據(jù)的分析可為為主管部門決策支撐、工業(yè)企業(yè)安全防護(hù)提供精準(zhǔn)服務(wù)。本文以河北省工控信息安全態(tài)勢感知和監(jiān)測預(yù)警平臺為依托，介紹了工業(yè)控制系統(tǒng)信息安全態(tài)勢感知技術(shù)，分析了河北省工業(yè)控制系統(tǒng)信息安全態(tài)勢，對下一步提升全省工業(yè)控制系統(tǒng)信息安全防護(hù)能力提出建議[1-2]。

1 工業(yè)控制系統(tǒng)定義及分類

工業(yè)控制系統(tǒng)是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及的有關(guān)人員、軟硬件系統(tǒng)和平臺的集合。包括但不限于：可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）等工業(yè)生產(chǎn)控制系統(tǒng)；緊急停車系統(tǒng)（ESD）、安全儀表系統(tǒng)（SIS）等工業(yè)控制過程安全保護(hù)系統(tǒng)；制造執(zhí)行系統(tǒng)（MES）、企業(yè)資源計(jì)劃系統(tǒng)（ERP）等工業(yè)生產(chǎn)調(diào)度與管理信息系統(tǒng)；工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺等工業(yè)服務(wù)應(yīng)用系統(tǒng)[3-4]。

2 工業(yè)控制系統(tǒng)信息安全態(tài)勢感知技術(shù)介紹

為洞悉工業(yè)控制系統(tǒng)及設(shè)備面臨的安全風(fēng)險(xiǎn)，在國家《工業(yè)控制系統(tǒng)信息安全行動計(jì)劃（2018-2020年）》的支持下，工信部及地方工信主管部門牽頭啟動建設(shè)了國家、省、企業(yè)三級聯(lián)動的國家工業(yè)控制系統(tǒng)信息安全態(tài)勢感知體系[5]。通過威脅匹配、大數(shù)據(jù)分析等技術(shù)，實(shí)現(xiàn)工業(yè)控制系統(tǒng)信息安全態(tài)勢的實(shí)時(shí)感知與可視化展示，體系建設(shè)過程中綜合使用了以下4種核心技術(shù)[6-7]。

2.1 在線監(jiān)測技術(shù)

在線監(jiān)測技術(shù)是發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上工業(yè)控制系統(tǒng)及設(shè)備的最有效方式之一，其核心技術(shù)是在互聯(lián)網(wǎng)搜索引擎的基礎(chǔ)上加入工業(yè)控制系統(tǒng)及設(shè)備的資產(chǎn)特征，通過搜索引擎掃描抓取公網(wǎng)目標(biāo)網(wǎng)段IP地址返回的工控資產(chǎn)特征信息，從而確定暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)及設(shè)備。

2.2 蜜罐仿真技術(shù)

蜜罐仿真技術(shù)是一種通過欺騙惡意攻擊者，進(jìn)而采集黑客攻擊手段、方法，保護(hù)真實(shí)系統(tǒng)的誘騙技術(shù)，蜜罐通常被安裝在公網(wǎng)中，用來吸引黑客對其進(jìn)行掃描和攻擊。

2.3 網(wǎng)絡(luò)流量分析技術(shù)

網(wǎng)絡(luò)流量分析技術(shù)是對網(wǎng)絡(luò)側(cè)流量特征、性能特征、可靠性與安全性特征以及網(wǎng)絡(luò)行為模型的分析及處理，關(guān)系到工業(yè)互聯(lián)網(wǎng)資源的充分利用與風(fēng)險(xiǎn)監(jiān)測。

2.4 工業(yè)企業(yè)側(cè)探針技術(shù)

工業(yè)企業(yè)側(cè)探針技術(shù)是采用旁路監(jiān)聽的方式將企業(yè)探針設(shè)備部署在交換機(jī)旁，通過對工業(yè)網(wǎng)絡(luò)流量的采集、分析、監(jiān)測，再結(jié)合特定的安全策略，快速、有效識別出工業(yè)控制網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)異常行為和網(wǎng)絡(luò)攻擊行為，并進(jìn)行實(shí)時(shí)記錄。

3 河北省工業(yè)控制系統(tǒng)信息安全態(tài)勢分析

3.1 低防護(hù)聯(lián)網(wǎng)設(shè)備情況

（1）低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量持續(xù)增長。據(jù)統(tǒng)計(jì)顯示，截至2021年7月底，河北省暴露在公共互聯(lián)網(wǎng)上的各類低防護(hù)設(shè)備數(shù)量總計(jì)超過22萬個(gè)，其中工業(yè)控制系統(tǒng)設(shè)備數(shù)量已達(dá)到788個(gè)，在全國占比超過3.5%，排名第10。數(shù)量最多的工業(yè)控制系統(tǒng)設(shè)備為SCADA和電力系統(tǒng)，分別為244個(gè)和183個(gè)，占工業(yè)控制系統(tǒng)設(shè)備的30.9%和23.2%。如圖1為河北省低防護(hù)聯(lián)網(wǎng)工控設(shè)備類型分布圖。

圖1 河北省低防護(hù)聯(lián)網(wǎng)工控設(shè)備類型分布

（2）聯(lián)網(wǎng)設(shè)備多集中在工業(yè)發(fā)達(dá)地市。從地區(qū)分布來看，暴露在互聯(lián)網(wǎng)上的工控設(shè)備更集中在工業(yè)較發(fā)達(dá)的地市，其中石家莊市、唐山市、保定市數(shù)量最多，在全省占比分別為36.8%、14.4%、12.5%，如圖2為各地市低防護(hù)聯(lián)網(wǎng)工控設(shè)備數(shù)量分布圖。

（3）聯(lián)網(wǎng)設(shè)備系統(tǒng)覆蓋國內(nèi)外主要品牌。暴露在互聯(lián)網(wǎng)上的工控設(shè)備涵蓋多個(gè)品牌和設(shè)備類型，具體包括力控、宏電、西門子、亞控、Wonderware、紫金橋等品牌的PLC、SCADA、組態(tài)軟件、數(shù)據(jù)庫等，其中力控、宏電、西門子的工業(yè)控制系統(tǒng)數(shù)量最多，占比分別為17.1%、14.0%、12.0%，如圖3所示為低防護(hù)聯(lián)網(wǎng)工控設(shè)備品牌分布情況。

圖2 河北省低防護(hù)聯(lián)網(wǎng)工控設(shè)備數(shù)量

圖3 河北省低防護(hù)聯(lián)網(wǎng)工控設(shè)備品牌分布

3.2 設(shè)備漏洞情況

（1）低防護(hù)聯(lián)網(wǎng)設(shè)備攜帶大量漏洞。根據(jù)低防護(hù)聯(lián)網(wǎng)設(shè)備信息和公開漏洞庫關(guān)聯(lián)數(shù)據(jù)顯示，截至2021年7月底，河北省暴露在互聯(lián)網(wǎng)上的各類低防護(hù)聯(lián)網(wǎng)設(shè)備共關(guān)聯(lián)到322516個(gè)漏洞，其中Modbus協(xié)議設(shè)備漏洞3345個(gè)，SCADA漏洞1679個(gè)，PLC漏洞1420個(gè)，EtherNetIP協(xié)議設(shè)備漏洞91個(gè)。暴露在互聯(lián)網(wǎng)上的低防護(hù)設(shè)備極易受到不法分子的利用，需要引起重視。

（2）攝像頭高危漏洞占比較高。在所有低防護(hù)聯(lián)網(wǎng)設(shè)備種，攝像頭的高危漏洞占比最高，有289748個(gè)，占比91.7%。在低防護(hù)工業(yè)控制系統(tǒng)及設(shè)備漏洞中，EtherNetIP協(xié)議設(shè)備高危漏洞占比較高，有63個(gè)，占比69.2%。此外，SCADA協(xié)議設(shè)備高危漏洞1117個(gè)，占比66.5%；Modbus協(xié)議設(shè)備高危漏洞2007個(gè)，占比60%；PLC高危漏洞413個(gè)，占比29.1%，如表1所示。

表1 低防護(hù)聯(lián)網(wǎng)工控設(shè)備關(guān)聯(lián)漏洞數(shù)量（數(shù)據(jù)來源：國家工業(yè)信息安全發(fā)展研究中心）

3.3 攻擊捕獲情況

（1）網(wǎng)絡(luò)攻擊多來自歐美國家。根據(jù)蜜罐網(wǎng)絡(luò)捕獲攻擊數(shù)據(jù)顯示，2021年1月至7月，針對河北省工業(yè)控制系統(tǒng)發(fā)起的探測掃描、惡意命令上傳等網(wǎng)絡(luò)攻擊活動近27.5萬次，涉及3000余個(gè)惡意IP地址。其中，7月共捕獲來自境外37個(gè)國家和地區(qū)對河北地區(qū)工業(yè)控制系統(tǒng)實(shí)施的惡意行為共計(jì)7.2萬次，來自荷蘭的攻擊次數(shù)最多，達(dá)2.6萬次，占比35.7%，其次是法國和加拿大，分別為1.4萬次和1.2萬次，占比20%和16.7%，如圖4為捕獲攻擊的境外來源國家分布圖。

圖4 工控蜜罐捕獲攻擊的來源國家（境外）分布圖

（2）IEC104協(xié)議蜜罐是網(wǎng)絡(luò)黑客攻擊主要目標(biāo)。從協(xié)議種類看，2021年1月至7月期間，IEC104、S7comm、ATGs等工控協(xié)議設(shè)備受到的攻擊次數(shù)最多，其中IEC104協(xié)議蜜罐捕獲攻擊高達(dá)163624次/蜜罐，IEC104協(xié)議蜜罐主要模擬仿真的是電力系統(tǒng)和城市軌道交通工控環(huán)境，電力系統(tǒng)和城市軌道交通安全對于經(jīng)濟(jì)社會發(fā)展和穩(wěn)定至關(guān)重要，需盡快對其工控信息安全狀態(tài)進(jìn)行密切監(jiān)測。如圖5為受攻擊工控協(xié)議數(shù)量分布圖。

圖5 受攻擊工控協(xié)議設(shè)備數(shù)量分布圖

4 對策建議

提升工業(yè)控制系統(tǒng)信息安全防護(hù)能力是一項(xiàng)開創(chuàng)性工作，也是一項(xiàng)極具復(fù)雜性和艱巨性的系統(tǒng)工程，應(yīng)堅(jiān)持技術(shù)管理并重，強(qiáng)化安全管理機(jī)制建設(shè)，著力推動企業(yè)主體責(zé)任落實(shí)[8]。

4.1 建立工業(yè)控制系統(tǒng)信息安全預(yù)警通報(bào)機(jī)制

建立工業(yè)信息安全通報(bào)機(jī)制，建設(shè)完善省級工業(yè)信息安全通報(bào)平臺，強(qiáng)化企業(yè)主體責(zé)任落實(shí)和重大活動保障，提升企業(yè)側(cè)工控安全監(jiān)測預(yù)警能力。

4.2 建立工業(yè)控制系統(tǒng)信息安全應(yīng)急管理體系

構(gòu)建省市兩級的工業(yè)領(lǐng)域工控系統(tǒng)信息安全應(yīng)急預(yù)案體系，加強(qiáng)應(yīng)急隊(duì)伍建設(shè)和應(yīng)急資源儲備，定期開展應(yīng)急演練，提高全省工控安全應(yīng)急處置能力。

4.3 建立工業(yè)控制系統(tǒng)信息安全長效管理機(jī)制

落實(shí)企業(yè)主體責(zé)任，提高企業(yè)安全意識，定期開展重點(diǎn)行業(yè)工控安全風(fēng)險(xiǎn)評估和檢查工作，形成可推廣可復(fù)制的安全防范典型案例，組織開展工業(yè)控制系統(tǒng)信息安全培訓(xùn)。

5 結(jié)語

河北省工業(yè)正處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期，在全面進(jìn)入信息時(shí)代并逐步邁向智能時(shí)代的今天，工業(yè)信息安全保障體系建設(shè)，對支撐河北工業(yè)轉(zhuǎn)型升級和制造強(qiáng)省建設(shè)至關(guān)重要。河北應(yīng)在保障工業(yè)控制系統(tǒng)信息安全方面做好頂層規(guī)劃，健全工業(yè)信息安全保障體系，鼓勵工業(yè)企業(yè)與京津高新、科研院所開展產(chǎn)學(xué)研用協(xié)同創(chuàng)新，盡快推出面向工業(yè)企業(yè)的工業(yè)信息安全整體解決方案，加強(qiáng)培訓(xùn)，引導(dǎo)企業(yè)主體責(zé)任落實(shí)和方案推廣，全面提升工業(yè)企業(yè)工業(yè)信息安全保障能力和水平。