工業互聯網安全分析精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇工業互聯網安全分析，期待它們能激發您的靈感。

篇1

1、威脅情報繼續升溫

2015年威脅情報受到熱捧，預計2016年威脅情報需求將持續升溫。2015年，360公司以90多億樣本、數萬億條防護日志和數十億DNS解析記錄、國內最大的漏洞庫等海量數據為基礎，在國內建成首個威脅情報中心，并開始商用。安全威脅情報創業企業----微步在線則完成千萬元天使輪融資。很多安全廠商都表示將會為自己的安全產品提供威脅情報源支持，以提升其產品發現安全威脅的能力。缺乏威脅情報收集能力的企業會考慮采集成第三方的威脅情報服務。要發揮威脅情報的價值，離不開安全廠商、用戶以及政府相關機構的威脅情報共享。2016年將會看到安全廠商之間在威脅情報方面的更多合作。

2、安全態勢感知成熱點

安全態勢感知并非新概念，但長期以來，安全態勢感知更多停留在理論研究層面。隨著大數據分析技術的成熟和應用，安全態勢感知才真正進入實用階段。依靠分布式、近實時、自動化的大數據分析手段和可視化能力，安全人員實現對不同安全設備、IT系統的信息進行分析，及對內部用戶行為的監測，從而可以全面、快速、準確地感知過去、現在、未來的安全威脅，實時了解網絡的安全態勢，實現了安全威脅看得見、防得住、可溯源。它可以幫助用戶了解自身任意時間所發生的一切，能以最理想的方式應對安全狀況變化，改變了那種部署了安全設備卻無法感知威脅的情況。

3、大數據安全分析獲認可

現在企業都擁有大量、復雜的數據集----來自IT與安全設備，多到無法進行人工分析，傳統的安全運營平臺(SOC，相當于國外SIEM)，無法對這些非結構化、海量數據進行實時分析。隨著大數據技術的普及與應用，企業開始部署大數據安全分析工具，以更好地發現數據間的聯系，實現對企業網絡的持續監控。采用大數據分析手段，可以對以往無法處理的海量安全數據進行近乎實時的分析，可以盡快發現異常狀況，進行安全響應。現在“數據驅動安全”的理念正在逐步為用戶接受，預計2016年大數據安全分析產品將會得到更多用戶認可。

4、終端檢測響應產品興起

對于很多企業安全主管來說，實時了解每個終端的狀況和運行程序，提升安全檢測和響應能力是最迫切的需求。Gartner副總裁兼著名分析師Neil MacDonald認為，信息安全的關鍵是縱深防御，單靠預防來抵御攻擊是徒勞的，更重要的是快速檢測和響應攻擊。這也是被稱為EDR(終端檢測與響應)產品最近備受推崇的原因。EDR工具使企業IT部門可以關注企業運營，而不是精疲力竭地跟蹤數據泄露趨勢和發展。它可以整合威脅情報數據并進行自動化處理，幫助公司對攻擊跡象即刻做出反應。在網絡被攻陷數分鐘之后，IT管理員就可以隔離設備、對用戶發出提醒、安裝補丁或是刪除文件，迅速挫敗黑客的企圖。對用戶來說，除了終端安全檢測，更重要的可能是響應。

5、邊界防御進入協同時代

多家大型機構遭遇嚴重數據泄露的現實表明，基于簽名的傳統邊界防護產品對應對黑客的高級持續攻擊行為是無效的，以至于少數企業準備完全放棄邊界防護產品。但邊界防護工具對防止惡意軟件仍發揮重要作用，是安全鏈的必要環節之一。但與過去那種只重視部署在網絡邊界、基于簽名的攔截功能不同，安全廠商推出了得到威脅情報支持的新一代防火墻，這種基于分布式架構的防火墻產品具有高性能與快速轉發的特性，與互聯網云平臺、未知威脅感知系統、安全運營平臺、終端形成聯動的縱深立體防御，從而可更快地發現未知威脅。

6、漏洞響應漸成主流需求

零日漏洞成為黑客攻擊的重要手段，很多數據泄露事件都與零日漏洞密不可分。目前政府與企業用戶都對漏洞預警服務顯示出了強勁需求。在國內市場，補天、烏云等平臺可以為用戶提供定制的漏洞發現與預警服務。在安全人員發現漏洞時，可以在第一時間聯系用戶，進行漏洞修復工作，從而可以減少數據泄露的風險。但不可忽視的是，仍有很多機構對于曝出的安全漏洞采取漠視態度。國內某政府機構在被曝出漏洞后僅僅是將相關服務器一關了之。隨著各方對安全漏洞的重視，這種對漏洞預警和響應的需求將會逐步增加。

7、安全即服務成為新導向

安全即服務(Security as a Services)意味著利用云端基礎設施，進行安全部署、更新和日常管理工作。盡管早在10年前就有企業推出了SaaS模式的安全服務，但功能與管控能力無法與本地安全產品相比。隨著可用性的提高，從云端進行安全管理的模式，現在已逐步顯示出強大的競爭力。基于云的安全解決方案能實現快速部署和管理，擁有比單一客戶端更強大的計算能力，還可匯總更多來源的威脅信息，能更準確地發現和阻止安全威脅。Intel安全、Sophos等廠商都推出云端的安全管理服務，在本土廠商中，360也在解決方案中強調與云端聯動，實現云端病毒查殺和云端威脅情報支持。

8、萬物互聯時代工控安全備受關注

兩化融合的推進以及互聯網+戰略的推進，讓原來獨立運行的控制設備進行了聯網和集中式管理，與互聯網等公共網絡的連接使得病毒、木馬等威脅輕而易舉地擴散到了工業控制系統，網絡安全問題也隨之而來，但目前我國很多行業的工業控制系統幾乎是在沒有任何防護的狀態下，暴露在萬物互聯的環境中。這些風險都是潛在的，并不像生產現場安全隱患那樣看得見摸得著。傳統安全廠商的網御神州、綠盟科技、啟明星辰、中科網威以及工控系統廠商西門子、施耐德、和利時等也都基于自身的優勢推出了各自特色的安全產品或解決方案。基于日益嚴重的ICS系統所面臨的安全威脅及可能的存在嚴重破壞后果，來自政府合規性的推動也越來越明顯，預期2016年，工控系統安全市場會加速成長。但工控信息安全復雜，工控與安全行業的結合將是個漸進過程。

篇2

各類高級威脅層出不窮

譚曉生表示，近幾年來，如APT攻擊、木馬遠控、0day、社會工程攻擊、網絡釣魚等高級威脅層出不窮。從針對政府、科研機構、關鍵基礎設施的竊密、破壞行為，到高級威脅手法進行攻擊以獲取高額經濟利益。值得關注的是，360互聯網安全中心的《2016年中國互聯網安全報告》顯示，日益頻繁的APT等網絡攻擊，正在導致政企機密情報被竊取、工業系統被破壞、金融系統遭受經濟損失，甚至對地緣政治產生影響。據了解，在過去的2016年，360威脅情報中心累計監測到針對中國境內目標發動攻擊的境內外APT組織36個。中國成為全球APT攻擊的第一目標國。

威脅情報是應對高級威脅的有效手段

對于解決方案，譚曉生表示，高級威脅的檢測以及APT攻擊的防范是企業面臨的難題之一，而傳統的IPS/IDS、防火墻、殺毒軟件等防御手段面對花樣翻新的攻擊顯得捉襟見肘。

通過大數據安全分析以及威脅情報驅動，形成協同的安全O控、響應和深度防御系統，才能夠有效應對這些高級威脅。

威脅情報是網絡安全防御進化的必然結果，安全防御也將從過去的基于漏洞的防御方法改變為當前的以威脅情報為核心方法。

篇3

【 關鍵詞 】 工業控制系統；scada；安全防護；解決方案

1 引言

現代工業控制系統（ics）包括數據采集系統（scada），分布式控制系統（dcs），程序邏輯控制（plc）以及其他控制系統等，目前已應用于電力、水力、石化、醫藥、食品以及汽車、航天等工業領域，成為國家關鍵基礎設施的重要組成部分，關系到國家的戰略安全。為此，《國家信息安全產業“十二五”規劃》特別將工業控制系統安全技術作為重點發展的關鍵技術之一。

與傳統基于tcp/ip協議的網絡與信息系統的安全相比，我國ics的安全保護水平明顯偏低，長期以來沒有得到關注。大多數ics在開發時，由于傳統ics技術的計算資源有限，在設計時只考慮到效率和實時等特性，并未將安全作為一個主要的指標考慮。隨著信息化的推動和工業化進程的加速，越來越多的計算機和網絡技術應用于工業控制系統，在為工業生產帶來極大推動作用的同時，也帶來了ics的安全問題，如木馬、病毒、網絡攻擊造成信息泄露和控制指令篡改等。工業基礎設施中關鍵ics系統的安全事件會導致出現：（1）系統性能下降，影響系統可用性；（2）關鍵控制數據被篡改或喪失；（3）失去控制；（4）嚴重的經濟損失；（5）環境災難；（6）人員傷亡；（7）破壞基礎設施；（8）危及公眾安全及國家安全。

據權威工業安全事件信息庫risi（repository of security incidents）的統計，截止2011年10月，全球已發生200余起針對工業控制系統的攻擊事件。2001年后，通用開發標準與互聯網技術的廣泛使用，使得針對ics系統的攻擊行為出現大幅度增長，ics系統對于信息安全管理的需求變得更加迫切。

典型工業控制系統入侵事件：

（1） 2007年，攻擊者入侵加拿大的一個水利scada控制系統，通過安裝惡意軟件破壞了用于取水調度的控制計算機；

（2） 2008年，攻擊者入侵波蘭某城市的地鐵系統，通過電視遙控器改變軌道扳道器，導致4節車廂脫軌；

（3） 2010年，“網絡超級武器”stuxnet病毒通過針對性的入侵ics系統，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營；

（4） 2011年，黑客通過入侵數據采集與監控系統scada，使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。

2 工業控制系統的安全分析

分析可以發現，造成工業控制系統安全風險加劇的主要原因有兩方面。

首先，傳統工業控制系統的出現時間要早于互聯網，它需要采用專用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。

其次，互聯網技術的出現，導致工業控制網絡中大量采用通用tcp/ip技術，工業控制系統與各種業務系統的協作成為可能，愈加智能的ics網絡中各種應用、工控設備以及辦公用pc系統逐漸形成一張復雜的網絡拓撲。另一方面，系統復雜性、人為事故、操作失誤、設備故障和自然災害等也會對ics造成破壞。在現代計算機和網絡技術融合進ics后，傳統icp/ip網絡上常見的安全問題已經紛紛出現在ics之上。例如用戶可以隨意安裝、運行各類應用軟件、訪問各類網站信息，這類行為不僅影響工作效率、浪費系統資源，而且還是病毒、木馬等惡意代碼進入系統的主要原因和途徑。以stuxnet蠕蟲為例，其充分利用了伊朗布什爾核電站工控網絡中工業pc與控制系統存在的安全漏洞（lik文件處理漏洞、打印機漏洞、rpc漏洞、wincc漏洞、s7項目文件漏洞以及autorun.inf漏洞）。

2.1 安全策略與管理流程的脆弱性

追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題，很多已經實施了安全防御措施的ics網絡仍然會因為管理或操作上的失誤，造成ics系統出現潛在的安全短板。例如，工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。

作為信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略，并依據策略制定管理流程，是確保ics系統穩定運行的基礎。參照nerccip、ansi/isa-99、iec62443等國際標準，目前我國安全策略與管理流程的脆弱

性表現為：（1）缺乏安全架構與設計；（2）缺乏ics的安全策略；（3）缺乏ics安全審計機制；（4）缺乏針對ics的業務連續性與災難恢復計劃；（5）缺乏針對ics配置變更管理；（6）缺乏根據安全策略制定的正規、可備案的安全流程（移動存儲設備安全使用流程與規章制度、互聯網安全訪問流程與規章制度）；（7）缺乏ics的安全培訓與意識培養；（8）缺乏人事安全策略與流程（人事招聘、離職安全流程與規章制度、ics安全培訓和意識培養課程）。

2.2 工控平臺的脆弱性

由于ics終端的安全防護技術措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點，在終端上發生、發起，并通過網絡感染或破壞其他系統。事實是所有的入侵攻擊都是從終端上發起的，黑客利用被攻擊系統的漏洞竊取超級用戶權限，肆意進行破壞。注入病毒也是從終端發起的，病毒程序利用操作系統對執行代碼不檢查一致性弱點，將病毒代碼嵌入到執行代碼程序，實現病毒傳播。更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制，可以進行越權訪問，造成不安全事故。

目前，多數ics網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制，數據加密效果不佳，工業控制協議的識別能力不理想，加之缺乏行業標準規范與管理制度，工業控制系統的安全防御能力十分有限。例如基于dcom編程規范的opc接口幾乎不可能使用傳統的it防火墻來確保其安全性，在某企業的scada系統應用中，需要開放使用opc通訊接口，在對dcom進行配置后，刻毒蟲病毒（計算機頻繁使用u盤所感染）利用windows系統的ms08-67漏洞進行傳播，造成windows系統頻繁死機。 　另一種容易忽略的情況是，由于不同行業的應用場景不同，其對于功能區域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業控制系統的補丁管理效果始終無法令人滿意，考慮到ics補丁升級所存在的運行平臺與軟件版本限制，以及系統可用性與連續性的硬性要求，ics系統管理員絕不會輕易安裝非ics設備制造商指定的升級補丁。與此同時，工業系統補丁動輒半年的補丁周期，也讓攻擊者有較多的時間來利用已存在漏洞發起攻擊。以stuxnet蠕蟲為例，其惡意代碼可能對siemens的cpu315-2和cpu417進行代碼篡改，而siemens的組態軟件（wincc、step7、pcs7）對windows的系統補丁有著嚴格的兼容性要求，隨意的安裝補丁可能會導致軟件的某些功能異常。

2.3 網絡的脆弱性

ics的網絡脆弱性一般來源于軟件的漏洞、錯誤配置或者ics網絡管理的失誤。另外，ics與其他網絡互連時缺乏安全邊界控制，也是常見的安全隱患。當前ics網絡主要的脆弱性集中體現在幾個方面。

（1） 網絡配置的脆弱性（有缺陷的網絡安全架構、未部署數據流控制、安全設備配置不當、網絡設備的配置未存儲或備份、口令在傳輸過程中未加密、網絡設備采用永久性的口令、采用的訪問控制不充分）。

（2） 網絡硬件的脆弱性（網絡設備的物理防護不充分、未保護的物理端口、喪失環境控制、非關鍵人員能夠訪問設備或網絡連接、關鍵網絡缺乏冗余備份）。

（3） 網絡邊界的脆弱性（未定義安全邊界、未部署防火墻或配置不當、用控制網絡傳輸非控制流量、控制相關的服務未部署在控制網絡內）。

（4） 網絡監控與日志的脆弱性（防火墻、路由器日志記錄不充分、ics網絡缺乏安全監控）。

（5） 網絡通信的脆弱性（未標識出關鍵的監控與控制路徑、以明文方式采用標準的或文檔公開的通信協議、用戶、數據與設備的認證是非標準的。

（6） 或不存在、通信缺乏完整性檢查。

（7） 無線連接的脆弱性（客戶端與ap之間的認證不充分、客戶端與ap之間的數據缺乏保護）。

3 工業控制系統的安全解決方案

工業控制系統的安全解決方案必須考慮所有層次的安全防護安全解決方案，必須考慮所有層次的安全防護。

（1） 工廠安全（對未經授權的人員阻止其訪問、物理上防止其對關鍵部件的訪問）。

（2） 工廠it安全（采用防火墻等技術對辦公網與自動化控制網絡之間的接口進行控制、進一步對自動化控制網絡進行分區與隔離、部署反病毒措施，并在軟件中采

用白名單機制、定義維護與更新的流程）。

（3） 訪問控制（對自動化控制設備與網絡操作員進行認證、在自動化控制組件中集成訪問控制機制）工業場景下的安全解決方案必須考慮所有層次的安全防護。

根據國內ics及企業管理的現狀，建議ics的信息安全機制的建立從三個方面考慮：1）借鑒國際規范制定適合我國國情的ics分區分級安全管理及隔離防護機制，制定相關技術標準，鼓勵國內相關企業開發符合相關技術標準的專業防火墻、隔離網關等專業產品；2）按ics系統的應用類型建立工控網絡信息安全網絡架構規范和組網原則，制定ics系統網絡設備選取及運行管理規范，禁止接入外來不可信存儲設備；3）建立市場準入機制并制定相關文件。

目前，國內大型成套設備的ics系統基本上以國外工控系統為主，甚至有些設備直接是國外全套進口的。國外廠商在ics系統集成、調試和后續維護上有許多辦法和手段以降低工程項目的后期運行維護成本。其中最典型的手段就是設備的遠程維護，包括監控、診斷、控制和遠程代碼升級。這些功能的實施通常是借助外部公共網絡平臺遠程操控。這些功能方便了系統開發建造商，但給我們的大型（包括重點）工業項目的日后運行帶來重大隱患。外部攻擊者可以通過這些路由控制或改變、介入并控制ics系統。從信息安全的角度應嚴格控制國外具有遠程外部操作后門的ics系統與裝置進入國內核心工控系統。另外，隨著高性能的通用pc平臺與工控系統對接，越來越多的工控核心裝置采用pc硬件平臺和微軟操作系統作為系統的核心，這樣做的好處是借助pc平臺和微軟軟件系統下的大量高性能軟件資源降低開發成本。但這樣做的危害是將工控系統置于pc平臺中的各種病毒和網絡攻擊的威脅下。雖然相關企業不斷推出各種補丁與升級，但工控系統24小時常年不斷的運行模式使得這種間歇式的軟件修補與升級顯得非常無助。所以選用基于pc硬件平臺和微軟操作系統的底層ics裝置進入核心工控系統應該予以認真考慮。

參考文獻

[1] 王孝良，崔保紅，李思其.關于工控系統的安全思考與建議.第27次全國計算機安全學術交流會，2012.08.

[2] 張帥.ics工業控制系統安全分析.計算機安全，2012.01.

[3] 唐文.工業基礎設施信息安全.2011.

[4] 石勇，劉巍偉，劉博.工業控制系統（ics）的安全研究.網絡安全技術與應用，2008.04.

作者簡介：