前言

工业控制系统(Industrial Control Systems,ICS)通常指由计算机设备和工业生产控制部件组成的系统,主要包括五大部分:数据釆集与监测控制系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。工业控制系统已经广泛应用于能源、工业、交通及市政等领域,是我国国民经济、现代社会以及国家安全的重要基础设施的核心系统,一旦遭受攻击会带来巨大的损失。

党的十八大以来,我国确立了网络强国战略,加快数字中国建设,信息经济蓬勃发展, 互联网成为国家发展的重要驱动力。中国共产党第十九次全国代表大会报告提出,坚持和平发展道路,推动构建人类命运共同体,并指出网络安全是人类面临的许多共同挑战之一。加强工业控制系统网络安全建设、加快构建全方位工业网络安全保障体系,是推进我国由制造大国向制造强国、网络大国向网络强国历史性转变的重要前提和基础支撑,党中央和国家站在国家安全的高度,对保障工业控制系统网络安全作出战略性、前瞻性部署。2017 年6月1日,我国第一部《网络安全法》正式实施,《网络安全》高度重视工业控制系统安全,由于工业控制系统在关键信息基础设施中的重要性,工控系统安全被提升到前所未有的重视程度。为推动我国工业控制系统网络安全建设,一系列法律法规和规范性文件相继出台,包括国家互联网信息办公室发布《关键基础设施安全保护条例(送审稿)》,工信部印发《工业控制系统信息安全防护能力评估工作管理办法》,以及工业和信息化部制定了《工业控制系统信息安全行动计划(2018-2020年)》。

近年,我国网络安全面临的形势异常严峻、复杂,网上的政治战、舆论战、技术战和信息战接连不断,关键基础设施受制于人、技不如人的现状仍未改善。随着我国互联网普及和工业4.0、大数据、数字化工程等新技术、新业务的快速发展与应用,我国工业控制系统网络安全需求也在快速的增长。但随着互联网应用的深化、网络空间战略地位的日益提升,网络空间已经成为国家或地区安全博弈的新战场,我国在工业控制系统方面面临的安全问题也日益复杂。随着敲诈勒索病毒盛行,设备高危漏洞数量增加,外国设备后门增多,分布式拒绝服务攻击事件峰值流量持续突破新高,联网智能设备面临的安全威胁加剧, 工业控制系统安全威胁与风险不断加大,网络攻击“武器库”泄露给网络空间安全造成严重的潜在安全威胁,APT组织依然活跃等问题,对我国工控系统安全不断提出新的挑战。

全球能源互联网研究研究联合360威胁情报中心及国家互联网应急中心,在我国工控互联网宏观安全态势监测的基础上,结合网络安全预警通报、应急响应工作实践成果,分析总结了2018年能源行业工业控制系统网络安全状况。

2018 年能源行业工业控制系统网络安全态势报告

1 能源行业工控网络安全概况

2018年,我国网络安全形势日益严峻,截止2018年5月,根据我国国家信息安全漏洞共享平台(CNVD)统计,信息安全漏洞总数为6730个,其中工业控制系统漏洞总数为190 个,能源行业工业控制系统漏洞为65个。在CNVD工业控制系统子漏洞库中,新增的高危漏洞有95个,占该子漏洞库新增数量的50%,漏洞涉及20多个工业相关产品,包括西门子、施耐德、研华科技等在中国广泛应用的工控系统产品。在对电力、燃气、供暖、煤炭、水务、智能楼宇六个重点行业的境内联网工控系统或平台开展安全检测过程中,发现存在严重漏洞隐患案例超过249例,这些漏洞若被黑客恶意利用,可能造成相关系统生产停摆或大量生产、用户数据泄露。根据CNCERT监测,2018年1月-5月,发现超过10万起针对我国联网工控系统和设备的恶意嗅探事件。我国境内1887个联网工控系统或设备型号、参数等数据遭到泄露,涉及西门子、摩莎、施耐德等多达38家国内外知名厂商的产品和应用。

1.1 工业控制系统漏洞现状

安全漏洞,是工业控制系统面临的首要安全问题。根据美国工业控制系统网络紧急响应小组(ICS-CERT) 最新统计报告,2015年漏洞总数为486个,2016年漏洞总数为492个。根据公开的ICS漏洞数的年度变化趋势来看,工控安全漏洞逐年增加,尽管目前ICS-CERT

2017年的工控漏洞收录数据还未公开,但很有可能再创新高。从行业分布来看,能源、关键制造业及水处理依然是工控安全漏洞分布较广泛的行业。此外,ICS-CERT安全研究专家指出,针对工业控制系统环境入侵的攻击者数量增长无疑意味着可利用的漏洞数量和类型也会同时增长。

图A.1美国 ICS-CERT 历年收录工业控制系统安全漏洞数量

近年来,我国国家信息安全漏洞共享平台(CNVD)所收录的安全漏洞数量也持续走高。2018年1月至2018年5月,根据CNVD统计,信息安全漏洞总数达6730个,工业控制系统漏洞总数为190个,主要分布在能源、制造、商业设施、水务、市政等重点领域。其中,能源行业工控安全漏洞为65个,占比34.2%。在CNVD工业控制系统子漏洞库中,新增的高危漏洞有95个,占该子漏洞库新增数量的50%。

图A.2CNVD2018 年收录工业控制系统安全漏洞数量

在2018年CNVD收录的能源行业工控相关漏洞中,高危漏洞占比最高,达到52%。中危漏洞占比45%,其余3.0%为低危漏洞。截止2018年5月,CNVD收录能源行业工控系统漏洞危险等级分布如下图。 

图A.3CNVD2018 年收录能源行业工控系统安全漏洞危险等级

2018年,CNVD已收录的工业控制系统漏洞涉及20多个工业相关产品,数量最多的五大工控厂商的安全漏洞数量中,罗克韦尔最多,为19个,其次是研华18个,西门子和施耐德电气均为15个。需要说明的是,收录的漏洞越多,不等于相关厂商的设备越不安全,因为往往是使用越广泛的系统,越受安全工作者的关注,所以被发现和披露的漏洞往往也越多。 

图A.4CNVD2018 年收录五大工控厂商安全漏洞数量

1.2 工业控制系统互联网暴露情况

截止2018年5月,国内范围内,暴露在互联网上的工业控制系统设备数量达97625个。其中能源行业暴露在互联网上的工业控制系统设备数量达19341个,2018年1月至5月暴露的工控设备数量折线图如下所示。

图A.52018 年 1 月至 5 月国内工控设备互联网暴露数量

2018年暴露在互联网上的工控资产涉及西门子、摩莎、施耐德等多达38家国内外知名厂商的产品和应用,分布如下表所示。表A.12018  1 月至 5 月国内暴露设备的厂商数据

表A.1  2018年1月至5月国内暴露设备的厂商数据

厂商

数量

厂商

数量

siemens

641

advantech

2

vykon

421

loytec

2

rockwell

238

trane

2

schneider

191

xdssoft

2

moxa

142

3s

1

omron

96

easyio

1

automated

59

efftec

1

delta

15

fameview

1

carel

11

forcecon

1

abb

9

huawei

1

airtek

7

iconics

1

tac

7

jci

1

tridium

6

kunluntongtai

1

distech

5

novar

1

kw-software

5

phoenix

1

red lion

4

south

1

honeywell

3

scada

1

reliable

3

trend

1

ashrae

2

advantech

2

2018年,截至5月份,我国境内暴露在互联网上的能源行业的工控资产涉及施耐德、西门子、ABB等7家国内外知名厂商的产品和应用,厂商分布如下图所示:

图A.6能源行业工控厂商设备互联网暴露分布

本报告针对全国范围内工控资产的暴露情况进行分析,当前在全国范围内,已有不少暴露的工业控制系统,一旦该控制系统被不法分子所利用,将发生不可知的后果,严重情况下将影响经济民生。企业单位重视自身的对外接口的安全防护工作,尤其是对内部重要工业控制系统的联网情况进行自查,采用有效的防护措施来保障工业控制系统安全。

1.3 工业控制系统网络安全风险分析

工业控制系统安全是国家关键信息基础设施安全的重要组成部分。在工业互联网、“中国制造2025”、“工业4.0”等趋势驱动下,拓展了工业控制系统发展空间的同时,也不断加大了工业控制系统网络安全的威胁与挑战。工业控制系统网络安全威胁与挑战主要来自两个方面,一方面是来自外部的安全挑战,另一方面来自工业系统自身安全建设的不足。 

外部的安全挑战包括:

a) 工控网络安全高危漏洞层出不穷

工业控制系统网络安全漏洞数量连年呈现高发态势,近年来CVE、 NVD、CNVD和CNNVD 收录的全球工控漏洞数量居高不下,尤其在 2011年漏洞数量发生漏洞数量发生急剧增长,工控安全漏洞威胁十分严重。而且半数以上的工控安全漏洞均为高危漏洞,在2018年CNVD 收录的能源行业工控相关漏洞中,高危漏洞占比高达52%,其次是中危漏洞,占比也达到45%,低危漏洞占比3.0%。由于披露的工控相关漏洞大多重要程度高,危险性大,一旦被利用,极易造成破坏性的后果。此外,披露的工控安全漏洞类型呈现多样化特征,对业务连续性、实时性要求高的工控系统来说,无论是利用这些漏洞造成业务中断、获得控制权限还是窃取敏感生产数据,都将对工控系统造成极大的安全威胁。最后,工控漏洞的修复进度较为迟缓,全球新增的工控漏洞数量要明显高于修复的漏洞数量,究其原因在于,一方面供应商漏洞修复工作的优先级别较低,还要受到软件开发迭代周期的限制;另一方面工业企业出于维持业务连续性的考虑,及时更新和安装补丁的积极性不高。

b) 暴露互联网上的工控系统及设备有增无减

工业与IT的高度融合,信息技术(IT)和操作技术(OT)一体化迅速发展,越来越多的工业控制系统工采用通用硬件和通用软件,并与企业网中运行的管理信息系统(如MES、ERP)之间实现了互联、互通、互操作,甚至可以通过互联网、移动互联网等直接或间接地访问,这就导致了从研发端、管理端、消费端、生产端任意一端都有可能实现对工控系统的网络攻击或病毒传播,给工业控制系统(ICS)、数据采集与监视控制系统(SCADA) 等工业设施带来了更大的攻击面。然而工业控制系统又涉及我国电力、水利、冶金、石油化工、核能、交通运输、制药以及大型制造行业,尤其是能源行业,一旦遭受攻击会带来巨大的损失。与传统IT系统相比较,II/OT一体化的安全问题把安全威胁从虚拟世界带到现实世界,可能会对人的生命安全和社会的安全稳定造成重大影响。

c) 工控系统网络攻击难度逐渐降低

随着越来越多的工控系统暴露在互联网上,工控系统日益成为“众矢之的”,黑客有 目的地探测并锁定攻击目标变得更加容易。加上针对工控系统的漏洞挖掘和发布与日俱增, 大量工控系统安全漏洞、攻击方法可以通过互联网等多种公开或半公开渠道扩散,极易被 黑客等不法分子获取利用。如今,对工控系统的入侵攻击已不再神秘,进一步加剧了工控 系统的安全风险。

首先大量工控系统软硬件设备漏洞及利用方式可通过公开或半公开的渠道获得。其次, 诸多黑客大会、开源论坛和白帽社区公开大量工控系统入侵案例细节,如2017年举办的亚 洲黑帽大会上,研究人员展示了世界上第一款可以在可编程逻辑控制器(PLC)之间进行 传播的蠕虫病毒,发布了技术思路和概念验证程序。我国知名白帽子技术社区乌云上也有 相当多SCADA系统风险案例,详细描述了SCADA系统的漏洞细节和利用方式。众多开发者社区发布的工控系统安全事件技术分析报告不断增多,其中许多技术分析报告给出了网络攻击步骤、详细攻击代码甚至攻击工具等详细信息,易被黑客获取、复现以实施网络攻击。

此外,美国网络武器库遭泄埋下重大工业信息安全隐患。维基解密、影子经纪人等黑客组织公开披露了大批网络攻击工具和安全漏洞,与木马病毒相结合,可被用于入侵感染工控系统,引发高频次、大规模的网络攻击,造成严重后果。例如,震惊全球的”WannaCry” 勒索病毒就利用了黑客组织“影子经纪人”披露的美国国安局的“永恒之蓝”漏洞进行传播,给工控系统造成巨大危害。截至2017年9月8日,维基解密已经泄露23批美国中央情报局(CIA)Vault7文件,这些文件中包含了大量网络攻击工具,可被直接或修改后用来对工控系统发动网络攻击,潜在的安全隐患极大。

工业系统自身安全建设的不足包括:

a) 工业设备资产的可视性严重不足

工业设备资产可视性不足严重阻碍了安全策略的实施。要在工业互联网安全的战斗中取胜,“知己”是重要前提。许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少也是巨大的安全隐患。

b) 很多工控设备缺乏安全设计

在各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等方面,在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证、许可、授权与访问控制不严格,身份验证不当,配置维护不足,凭证管理不严,加密算法过时等安全隐患。例如:国产数控系统所采用的操作系统可能是基于某一版本Linux进行定制的, 所使用的内核、文件系统、对外提供服务等一旦稳定均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、服务所爆出的安全漏洞并未得到更新,安全隐患长期保留。

c) 设备联网机制缺乏安全保障

工业控制系统中越来也多的设备与网络相连。如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络;工业网络与办公网络连接形成企业内部网络; 企业内部网络又与外面的云平台、第三方供应链、客户等进行网络连接。由此产生的主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等)、网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等)、无线网络技术使用带来的网络防护边界模糊等。

d) IT 和 OT 系统安全管理相互独立互操作困难

随着智能制造的网络化和数字化发展,工业与IT的高度融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为, 可能破坏工业系统、传播恶意软件、忽略工作异常等,因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对员工的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在智能制造+互联网中,人员管理也面临巨大的安全挑战。

e) 生产数据面临丢失、泄露、篡改等安全威胁

智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据,不管是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,都将面临数据丢失、泄露、篡改等安全威胁。

2 2018 年能源行业重大工控安全漏洞及网络安全事件

2.1 2018 年能源行业重大工控安全漏洞

2.1.1 罗克韦尔工控设备曝多项严重漏洞

2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400系列可编程逻辑控制器( PLC )中存在多项严重安全漏洞,这些漏洞可用来发起拒绝服务攻击、篡改设备的配置和梯形逻辑、写入或删除内存模块上的数据等。该 系列可编程逻辑控制器被各关键基础设施部门广泛运用于工业控制系统(ICS)的执行过 程控制,一旦被利用将会导致严重的损害。思科Talos团队建议使用受影响设备的组织机 构将固件升级到最新版本,并尽量避免将控制系统设备以及相关系统直接暴露在互联网中。 

2.1.2 思科网络设备爆严重安全漏洞

2018年3月,思科公司发布了一个远程代码执行严重漏洞通告(CVE-2018-0171),通告了其网络设备上使用的IOS和IOS-XE操作系统的Smart Install Client(用于设备即插即用配置和镜像管理功能)代码中存在一处缓冲区溢出漏洞。攻击者无需通过身份验证就可向远端思科设备的 TCP 4786 端口发送精心构造的恶意数据包触发漏洞,从而远程执行任意命令或导致设备停止服务。该漏洞相关的技术细节和验证程序已经公开,根据国家信息安全漏洞共享平台(CNVD)发布的公告显示,全球约14.3万台设备面临潜在威胁。俄罗斯和伊朗两国的网络基础设施近日已遭到利用此漏洞的网络攻击,进而波及了两国的ISP(互联网服务提供商)、数据中心以及某些网站,黑客利用该漏洞将路由器重置为默认配置,并向受害者显示信息。目前,思科已发布该漏洞修复补丁及相关修复指南。

2.1.3 西门子继电保护设备曝高危漏洞

2018年4月,ICS-CERT(美国工控系统网络应急响应小组)发布安全通告称使用EN100以太网通信模块和DIGSI 4软件的西门子继电保护设备SIPROTEC 4、SIPROTEC Compact 、Reyrolle存在三个高危漏洞,可能会被黑客利用来攻击变电站和其他供电设施。此类设备用于控制和保护变电站及其他电力基础设施,当这些漏洞被成功利用时,攻击者能够通过覆盖设备配置信息、嗅探网络流量等方式获取设备管理员口令,继而导致电力设备保护功能中断。

2.1.4 思科多款工控产品存在 SAML 身份验证系统漏洞

2018 年 4 月 , 思 科 公 司 发 布 了 一 个 关 于 SAML 身 份 验 证 系 统 的 严 重 漏 洞 通 告(CVE-2018-0229)。该漏洞允许未经身份验证的远程攻击者通过运行ASA(自适应安全设备软件)或FTD(威胁防御软件)来建立伪造的AnyConnect(桌面移动客户端软件)会话, 从而开启进一步的网络攻击。AnyConnect、ASA、FTD等基础套件被广泛应用于思科的工业安全设备、工业防火墙等设备中,一旦被利用将会导致严重的网络安全风险,思科官方建议用户通过升级补丁方式尽快对受影响设备进行修复。 

2.1.5 Moxa 工业安全路由器爆多项严重漏洞

2018年4月,思科Talos安全研究团队发现Moxa公司的工业路由器EDR-810中存在17个安全漏洞,其中包括多个影响Web服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务(DOS)漏洞。EDR-810是Moxa公司2015年发布的一款集防火墙、交换机等多功能于一体的工业级多端口安全路由器,被广泛应用于工业控制系统中。这些发现的漏洞已在Moxa EDR-810 V4.1 build 17030317中得到确认,其早期版本的产品也可能受到了影响。目前, 针对这些漏洞,Moxa公司已经发布了新版固件以及相关修复指南。 

2.2 2018 年能源行业工控网络安全事件

2.2.1 俄黑客对美国核电站和供水设施攻击事件

2018年3月,美国计算机应急准备小组发布了一则安全通告TA18-074A,详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。通告称俄黑客组织通过(1)收集目标相关的互联网信息和使用的开源系统的源代码;(2)盗用合法账号发送鱼叉式钓鱼电子邮件;(3)在受信任网站插入JavaScrip或PHP代码进行水坑攻击;(4)利用钓鱼邮件和水坑攻击收集用户登录凭证信息;(5)构建基于操作系统和工业控制系统的攻击代码发起攻击。本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户帐户的信息。此安全事件告诫我们:加强员工安全意识教育和管理是十分必要的,如密码定期更换且不复用,安装防病毒软件并确保及时更新等。

2.2.2 中东石油和天然气行业频繁受到网络攻击

自2017年3月至今,近 3/4 的中东石油和天然气工业组织经历了安全危害,导致其机密数据或操作技术中断,在中东受到的所有网络攻击中石油和天然气行业占据了一半的比例。最严重的一次攻击事件发生在2017年8月,沙特阿拉伯的一家石油工厂使用的Triconex 安全控制器系统中存在漏洞,恶意软件试图利用漏洞破坏设备并企图以此引发爆炸摧毁整个工厂,但由于恶意代码写入存在缺陷,未能引发爆炸。此安全事件告诫我们:对于工业控制系统要及时进行更新,修复安全漏洞。 

2.2.3 美国天然气公司被攻击导致交易系统关闭

2018年4月2日,美国能源公司Energy Services Group的天然气管道客户交易系统受到网络攻击,造成系统关闭数小时,万幸的是此次攻击主要影响的是客户账单信息,并未对天然气流量造成影响。天然气管道客户交易系统用于帮助管道运营商加快跟踪和调度天然气流量,此系统被关闭可能导致天然气流量供应异常。 

2.2.4 乌克兰能源部网站遭黑客攻击要求支付赎金解锁

2018年4月24日,乌克兰能源和煤炭工业部网站遭黑客攻击,网站瘫痪,主机中文件被加密,主页留下要求支付比特币赎金的英文信息,以此换取解锁文件。经过乌克兰网络警察部门调查,能源和煤炭工业部网站受到攻击是一起孤立事件,不构成大规模网络攻击。乌克兰政府的其他部门和机构网站没有遭遇类似状况。 

2.2.5 印度电力公司遭勒索攻击,大量客户计费数据被窃取锁定

2018年3月21日,印度Uttar Haryana Bijli Vitran Nigam(简称 UHBVN)电力公司的网络系统遭到了匿名黑客组织入侵,黑客在获取其计算机系统访问权限后,进一步侵入计费系统并窃取和锁定了大量客户计费数据,同时向UHBVN公司勒索价值1000万卢布(约15万美元)的比特币作为赎金。据悉,UHBVN公司负责哈里亚纳邦9大地区的电力供应和费用收取,客户数量超过26万名(包括民用、商用和工业用电),此次遭黑客窃取的数据是客户的消费账单,包括电费缴纳记录、未支付费用及客户地址等。UHBVN公司发言人表示, 遭黑客窃取的数据库进行了加密处理,因此与之相关的数据并不会遭到泄露;此外,公司拥有该数据库的备份并已完成了数据恢复,不会有业务因此中断或遭受损失。

3 2017 年能源行业工控系统应急响应典型案例

3.1 工业控制系统遭勒索软件攻击典型案例

3.1.1 某大型能源机构的应急响应处置方案

3.1.1.1 场景回顾

2017年5月12日14:26,360互联网安全中心发现安全态势异常,启动黄色应急响应程序,安全卫士在其官方微博上发布永恒之蓝紧急预警。5月13日凌晨1:23’,360安全监测与响应中心接到某大型能源企业的求助,反映其内部生产设备发现大规模病毒感染迹象, 部分生产系统已被迫停产。360安全监测与响应中心的安全服务人员在接到求助信息后, 立即赶往该单位总部了解实际感染情况。 

3.1.1.2 疫情分析

初步诊断认为:WannaCry病毒已在该机构全国范围内的生产系统中大面积传播和感染, 短时间内病毒已在全国各地内迅速扩散,但仍处于病毒传播初期;其办公网环境、各地业 务终端(专网环境)都未能幸免,系统面临崩溃,业务无法开展,事态非常严重。

进一步研究发现,该机构大规模感染WannaCry的原因与该机构业务系统架构存在一定的关联;用户系统虽然处于隔离网,但是存在隔离不彻底的问题;且存在某些设备、系统的协同机制通过445端口来完成的情况。 

3.1.1.3 处置方案

安服人员第一时间建议全网断开445端口,迅速对中招电脑与全网机器进行隔离,形成初步处置措施。随后,针对该企业实际情况,制定了应急处置措施,提供企业级免疫工具并开始布防。该企业在全国范围内针对该病毒发送紧急通知,发布内部应急处理和避免感染病毒的终端扩大传播的公告。

5月16日,病毒蔓延得到有效控制,染毒终端数量未继续增长,基本完成控制及防御工作。整个过程中,该企业和安全厂商全力协作配合,监控现场染毒情况、病毒查杀情况, 最终使病毒得到有效控制。 

3.1.2 某新能源汽车厂商的工业控制系统被 WannaCry 攻击而停产

3.1.2.1 场景回顾

2017年6月9日,某新能源汽车制造商的工业控制系统开始出现异常。当日晚上19时, 该机构生产流水线的一个核心部分:动力电池生产系统瘫痪。该生产系统日产值超百万,停产直接损失严重,同时也就意味着其电动车的电力电机模组部分出不了货,对该企业的生产产生了极其重大的影响。该机构紧急向360安全监测与响应中心进行了求助。  

实际上,这是永恒之蓝勒索蠕虫的二次突袭,而该企业的整个生产系统已经幸运的躲过了5月份的第一轮攻击,却没有躲过第二次。监测显示,这种第二轮攻击才被感染情况大量存在,并不是偶然的。  

3.1.2.2 疫情分析

安服人员现场实际勘测发现:该机构的工业控制系统已经被WannaCry感染,运行异常, 重复重启或蓝屏,而其办公终端系统基本无恙,这是因其办公终端系统上安装了比较完善的企业级终端安全软件。但在该企业的工业控制系统上,尚未部署任何安全措施。感染原因主要是由于其系统与企业办公网络连通,间接存在公开暴露在互联网上的接口。后经综合检测分析显示,该企业生产系统中感染WannaCry的工业主机数量竟然占到了整个生产系统工业终端数量的20%。  

事实上,该企业此前早已制定了工业控制系统的安全升级计划,但由于其生产线上的设备环境复杂,操作系统五花八门(WinCE终端、Win2000、WinXP终端及其他各种各样的终端都会碰到),硬件设备也新老不齐(事后测试发现,其流水线上最老的电脑设备有10 年以上历史),所以部署安全措施将面临巨大的兼容性考验,所以整个工控系统的安全措施迟迟没有部署。 

3.1.2.3 处置方案

因厂商的生产系统中没有企业级终端安全软件,于是只能逐一对其电脑进行排查。一天之后也仅仅是把动力电池的生产系统救活。此后,从6月9日开始一直到7月底差不多用了两个月时间,该企业生产网里中的带毒终端才被全部清理干净。经过此次事件,该机构对工业控制系统安全性更加重视,目前已经部署了工控安全防护措施。经过测试和验证, 兼容性问题也最终得到了很好的解决。 

3.2 工业控制系统服务器遭攻击典型案例

3.2.1 某大型能源公司网站遭遇 APT 入侵

海莲花(OceanLotus)是首个由国内安全机构(360威胁情报中心,2015年5月)披露的APT组织。2012年4月起至今,该境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播专用木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统, 窃取系统中相关领域的机密资料。

3.2.1.1 场景回顾

2017年11月,云监测发现,某大型能源公司网站被海莲花 APT 组织攻陷。我们认为网站是整个组织暴露在外的非常关键的入口,这是360云监测第一次发现APT 与网站入侵直接相关的国内案例。

图A.7 360 云监测第一次发现 APT 案例

3.2.1.2 疫情分析

该大型能源公司被海莲花 APT 组织攻陷,云监测发现其采取的是“水坑攻击”方式, 并且目前网站首页上存在海莲花 APT 水坑域名相关的 js。攻击者团伙入侵网站后,不仅破坏网站的安全性,还会收集所访问用户的系统信息。如果确认感兴趣的目标,则会执行进一步的钓鱼攻击获取敏感账号信息或尝试植入恶意程序进行秘密控制。 

3.2.1.3 处置方案

一是建议该企业及时清理被篡改的相关页面;二是该企业与360合作,展开全面调查。 

4 能源行业工控网络安全标准与政策动向

4.1 2018 年国外工控安全标准与政策动向

4.1.1 美国工控安全标准与政策动向

4.1.1.1 美国众议院能源和商业小组委员会通过 4 项能源安全法案

2018年4月,美国能源部公布一份“投资机会声明”,将拨款2500万美元(约合人民币1.57亿元)支持能源行业的网络安全项目。同月,美国众议院能源和商业小组委员会通过4项能源安全法案,旨在提升美国能源部的网络响应能力和参与度,并制定新计划解决电网和管道的安全问题。法案包括:(1)要求美国能源部长制定计划提高美国能源管道和液化天然气设施的物理安全与网络安全(“管道与液化天然气设施网络安全准备法案”);(2)提出将美国能源部的应急响应和网络安全工作领导权力提至助理部长一级(“能源应急领导法案”);(3)制定计划帮助私营公共事业公司识别并使用网络安全功能强大的产品(“2018网络感知法案”);(4)提出加强公私合作确保电力设施安全(“公私合作加强电网安全法案”)。这些法案提出“采取可行的措施”,确保美国能源部能有效执行应急和安全活动,并确保美国能源供应安全可靠。美国能源部部长及高级官员已认识到能源行业面临的广泛网络威胁,他们坚持将网络安全作为优先事项,包括成立新办公室解决美国能源资产面临的物理安全和网络安全威胁。

4.1.1.2 NIST 正式发布《提升关键基础设施网络安全的框架网络安全框架》1.1 版本

2018年4月,美国商务部国家标准与技术研究院(NIST)正式发布《提升关键基础设施网络安全的框架》1.1版本。该框架侧重于对美国国家与经济安全至关重要的行业(能源、银行、通信和国防工业等)。美国商务部长表示,企业应当将 NIST 网络安全框架作为第一道防线;NIST 院长表示,《网络安全框架1.1》的发布是一项重大进步,真正反映出公私合作模式在应对网络安全挑战方面的成功。1.1版本更新的内容包括:身份验证和身份、自我评估网络安全风险、供应链中的网络安全管理以及漏洞披露。1.1版本具有灵活性,可满足组织机构的业务或任务需求,并适用于各种技术环境,例如信息技术、工业控制系统和物联网。 

4.1.1.3 美监管机构要求强化电网联网便携设备安全基线

2018年5月,美国联邦能源管理委员会发布了一项新规定,要求公用事业公司对“低影响力”或者被认为不那么重要的便携式设备部署安全控制。该委员会还要求修订电源可靠性标准,以降低这些设备中恶意代码带来的风险。联邦能源委员会监管的北美Electric 

Reliability电力公司表示,新政策“代表网络安全标准的下一阶段”,它将推动该行业的基准网络安全。 

4.1.1.4 美国 DHS 发布《网络安全战略》 确定五大方向及七个目标

2018年5月,美国国土安全部(DHS)发布网络安全战略,希望更积极地履行网络安全使命,以保护关键基础设施免于遭受网络攻击。该战略旨在使 DHS 的网络安全工作规划、设计、预算制定和运营活动按照优先级协调开展。该战略将致力于协调各部门的网络安全活动,以确保相关工作的协调一致。 该战略描绘了 DHS 未来五年在网络空间的路线图, 为 DHS 提供了一个框架,指导该机构未来五年履行网络安全职责的方向,以减少漏洞、增强弹性、打击恶意攻击者、响应网络事件、使网络生态系统更安全和更具弹性,跟上不断变化的网络风险形势。该战略确定了 DHS 管理网络安全风险的五大主要方向及7个明确目标:(1)风险识别方面,评估不断变化的网络安全风险;(2)减少关键基础设施脆弱性方面,保护美国联邦政府信息系统、保护关键基础设施;(3)降低网络犯罪活动威胁方面,防止并打击网络空间的犯罪活动;(4)缓解网络事件影响方面,有效响应网络事件;(5)实现网络安全成果方面,提高网络生态系统的安全性和可靠性、加强管理 DHS 网络安全活动。 

4.1.1.5 美国能源部发布网络安全多年改进计划

2018年5月,美国能源部发布了长达52页的美国《能源行业网络安全多年计划》,为美国能源部网络安全、能源安全和应急响应办公室勾画了一个“综合战略”,确定了美国能源部未来五年力图实现的目标和计划,以及实现这些目标和计划将采取的相应举措,以降低网络事件给美国能源带来的风险。综合网络战略主要涉及两个方面的任务:通过与合作伙伴合作,加强美国当今的能源输送系统安全,以解决日益严峻的威胁并持续改进安全状况;推出颠覆性解决方案,从而在未来开发出具备安全性、弹性和自我防御功能的能源系统。综合网络战略设定了三个目标:加强美国能源行业的网络安全防范工作,通过信息共享和态势感知加强当前能源输送系统的安全性;协调网络事件响应和恢复工作;加速颠覆性解决方案的研发与示范(RD&D)工作,以创建更安全、更具弹性的能源系统。 

4.1.2 其他国家工控安全标准与政策动向

4.1.2.1 新加坡通过《网络安全法案》

2018年2月,新加坡国会通过《网络安全法案》,旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施的监管框架,并明确了所有者

确保网络安全的职责。能源、交通、航空等基础设施领域的关键网络安全信息被点名加强合作。如果关键信息基础设施所有者不履行义务,将面临最高10万新元的罚款,或两年监禁,亦或二者并罚。 

4.1.2.2 加拿大核实验室宣布设立国家网络安全创新中心

2018年5月,加拿大核实验室(CNL)宣布将在加拿大新不伦瑞克省弗雷德里克顿设立国家网络安全创新中心,并称该中心将显著扩大 CNL 的网络安全研究能力,为加拿大的国家网络安全再添助力。CNL参与行业驱动的研究和开发,涉足能源、核、交通、清洁技术、国防、安全和生命科学领域,提供解决方案。CNL设立的国家网络安全创新中心将引进人才,关注关键基础设施中的漏洞, 保护工控系统完整性和安全性。 

4.1.2.3 欧盟“关键基础设施”NIS 指令正式生效

2018年5月,欧盟网络与信息系统(NIS)指令正式生效。此项面向欧盟范围内的新法令有望提高关键基础设施相关组织的 IT 安全性,同时亦将约束各搜索引擎、在线市场以及其它对现代经济拥有关键性影响的组织机构。NIS 指令侧重于保障欧盟国家电力、交通以及医疗卫生等领域关键基础设施的安全性,其力图通过加强网络防御能力以提升此类服务的安全性与弹性。NIS 指令将覆盖一切被认定对欧盟国家基础设施拥有重要影响的组织机构,例如各在线市场、搜索引擎以及关键基础设施供应商。此项指令要求各欧盟成员国建立国家网络安全战略、计算机安全事件应急小组(CSIRT)以及国家 NIS 主管部门。此外,各国还必须确定关键组织或“基础服务运营商(OES)”名单。这些 OES 必须采取适当的安全措施以管理其网络与信息系统风险,同时就出现的严重安全事件向相关国家主管部门进行通报。 

4.2 2018 年国内工控安全标准与政策动向

4.2.1 工信部将实施工业互联网三年行动计划

2018年2月,2018工业互联网峰会在北京召开。会议指出,工信部将在今年实施工业互联网三年行动计划,拓宽工业互联网企业的融资和上市渠道,为企业提供必要的支持。工信部将统筹推进工业互联网发展的“323”行动,即着力打造网络、平台、安全三大体系,加快大型企业集成创新和中小企业的应用普及,不断健全产业、生态、国际化三大支撑,为工业互联网企业协调政策提供支持。 

4.2.2 “两会”再次聚焦网络工业互联网安全

2018年3月,召开的全国“两会”上,网络安全作为当前一个热点话题备受关注,“两会”代表积极就“网络安全”建言献策。其中,全国政协委员、启明星辰董事长严望佳提出两个工控网络安全相关提案:(1)关于加强工业互联网信息安全建设的提案。建议明确国家、地方及行业的工业互联网信息安全监督主体和责任;制定工业互联网安全新技术研究方向,开展工业互联网信息安全技术创新实验室和示范基地建设;完善信息安全产品认证及准入机制,建立相关产品名录;完善国家工业互联网整体安全保障能力;(2)关于推动国产安全设备在关键信息基础设施保护中应用的提案。建议对关键信息基础设施的运营企业购置国产网络安全设备出台税收优惠政策;对企业可享受税收优惠的网络安全设备进行明确。 

4.2.3 国家互联网信息办公室制定《关键信息基础设施安全保护条例(送审稿)》

2018年3月,为贯彻落实《中华人民共和国网络安全法》,国家互联网信息办公室会同有关部门制定了《关键信息基础设施安全保护条例(送审稿)》, 推进关键信息基础设施安全保障体系建设。该《条例》对关键信息基础设施在网络安全等级保护制度基础上, 实行重点保护。关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。

4.2.4 工信部加快构建工业互联网安全保障体系

2018年5月,由工信部指导,国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办的首届中国工业信息安全大会在北京召开。会上发布《工业信息安全概论》、《中国工业信息安全产业发展白皮书》、《工业控制系统信息安全防护指引》。《工业信息安全概论》系统介绍了工业信息安全领域重点概念定义,深刻分析工业信息安全当前发展现状,详细解读工业信息安全发展政策条件,分享工业信息安全具体应用及技术实践经验。《中国工业信息安全产业发展白皮书》从工业信息安全产业范畴、产业结构、产业政策、行业应用、技术发展等方面综合分析工业信息安全产业形势,系统反映我国工业信息安全产业发展现状。《工业控制系统信息安全防护指引》重点基于《工业控制系统信息安全防护指南》要求,从安全管理、运行维护、技术操作等多维度,提出具体可行的防护策略、实施建议和解决方案,为工业企业开展工控安全防护工作提供技术指导。  

工信部网络安全管理局副局长在会上表示,工信部正在加快构建工业互联网安全保障体系,目前已初步形成以健全制度机制、建设技术手段、促进产业发展、强化人才培育四大领域为基本内容的体系架构。工信部下一步将从加强工作指导、建设安全技术保障体系、建立安全检查机制、强化工业互联网数据安全保护、推进工业互联网安全产业发展五方面推进我国工业互联网安全保障工作。

4.2.5 工信部印发《工业互联网发展行动计划(2018-2020 年)》

2018年6月,根据《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意 见》(以下简称《指导意见》),2018-2020 年是我国工业互联网建设起步阶段,对未来发展影响深远。为贯彻落实《指导意见》要求,深入实施工业互联网创新发展战略,推动 实体经济与数字经济深度融合,工信部印发《工业互联网发展行动计划(2018-2020年)》 和《工业互联网专项工作组2018年工作计划》。其中,行动计划列出基础设施能力提升、标识解析体系构建、工业互联网平台建设、核心技术标准突破、新模式新业态培育、产业 生态融通发展、安全保障水平增强、开放合作实施推进、加强统筹推进、推动政策落地等 十大方面共计36项重点任务,提出到2020年底,初步建成工业互联网基础设施和产业体系。  

5 总结

随着我国互联网普及和工业4.0、大数据、数字化工程等新技术、新业务的快速发展与应用,工业控制系统网络复杂度在不断提高,各生产单元内部系统与受控系统信息交换的需求也不断增长,工业控制系统网络安全需求也在快速的增长。近年来,随着工业控制系统安全面临高危安全漏洞层出不穷、暴露互联网上的工控系统及设备有增无减、网络攻击难度逐渐降低,工业控制系统网络安全威胁与风险不断加大。工控系统漏洞及入侵案例细节公开、美国网络“武器库”泄露、APT组织依然活跃等问题,对我国工控系统安全不断提出新的挑战。工业与IT的高度融合,II/OT一体化把安全威胁从虚拟世界带到现实世界,尤其是能源行业,一旦遭受攻击会带来巨大的损失。

我国工业控制系统网络安全主要面临安全挑战包括:

a) 工控系统日益成为黑客攻击和网络战的重要目标

工控系统是我国工业生产的“神经中枢”,是电力系统、钢铁石化、轨道交通、先进制造、国防军工、市政水务以及核设施等重点领域关键信息基础设施的核心组成,工控安全直接关系到人民生命财产安全、社会稳定甚至国家安全。工控系统的极端重要性决定了其极易成为互联网攻击和网络战的重要目标。一方面,从工控系统自身结构看,由于采用专用的通信协议、操作系统和软硬件设置,且缺乏相应的安全防御措施,系统固有的漏洞容易被攻击者利用以进行破坏性的操作。从外部网络环境看,在“互联网+”、“工业4.0” 等政策的驱动下,工控系统与传统IT环境的物理隔离逐渐被打破,攻击者能够使用传统的IT系统攻击方法深入到工控系统网络,从而发起攻击。当前大国之间军事对抗日益升级, 恐怖主义活动和社会不稳定因素不断增加,未来工控系统将进一步成为国家之间网络对抗的重要目标,以及黑客组织实施攻击破坏的重点对象,防护压力空前增大。伊朗震网病毒、乌克兰电网事件、俄罗斯输气管道爆炸、德国钢厂事故等一系列网络安全事件表明,工控系统正面临越来越多的复杂攻击,如何增强工控系统安全性,抵御内外部攻击已经成为了世界各国关注的焦点问题。

b) 大批网络武器泄露显著降低工业领域的攻击门槛

 “WannaCry”和“永恒之石”(“EternalRocks”)等网络安全事件,都是不法分子利用2017年泄露的美国中央情报局(CIA)、国家安全局(NSA)的网络武器工具发起的攻击。这些网络武器的攻击对象包括微软、安卓、苹果iOS、OS X和Linux等多种通用操作系统,以及车载智能系统和路由器等网络节点单元和智能设备。曝光的网络工具通过暗网等渠道进行非法交易和大量扩散,使得犯罪分子可轻易获取攻击工具,发起高强度网络攻击门槛大大降低。由于工业生产领域同样大量使用标准IT产品,使得不法分子可以利用这些网络武器入侵工控领域并发起网络攻击,加剧工控系统遭受恶意攻击的威胁。

c) 针对工业领域的勒索软件、定向攻击将愈发普遍

针对工控系统的勒索攻击、定向攻击等新型攻击模式逐渐成熟。一方面,传统勒索软件已对能源、交通等领域的工控系统造成了影响;另一方面,出现了定向攻击工控系统的新型恶意软件,如直击电网工控设备的网络攻击武器“Industroyer”,以及专门针对工控领域的勒索软件“必加”(Petrwrap),对工控网络安全造成极大威胁。

d) 工业互联网的应用普及给工控安全带来更大挑战

随着国务院印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》, 我国工业互联网发展面临难得的战略窗口期,同时也给保障工控安全带来更为严峻的挑战。一方面,网络空间对抗博弈加剧,工业领域信息基础设施成为重点攻击目标,防护压力空 前增大。另一方面,相较传统网络安全,工业互联网安全呈现新的特点,较传统网络安全 进一步增加了安全防护难度。一是互联互通导致攻击路径增多。工业互联网实现了全系统、全产业链和全生命周期的互联互通,使传统互联网安全威胁延伸至工业生产领域,且攻击 者从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击。二是开放化、标准化导致易攻难守。工业互联网系统与设备供应商越来越多的使用公开协议以及标准化 的Windows或Unix操作系统技术架构。这些协议与模块操作系统的安全漏洞使攻击者的攻 击门槛大为降低。三是现有安全产品和技术措施相对滞后于工业互联网发展普及的步伐。工业互联网架构中通信和计算资源往往有限,很多传统安全防护设备由于占用资源较大, 可能不再适用,由于产业技术支撑能力严重不足,尚未出现。四是海量设备集成和数据流动带来新的信息安全挑战。工业互联网集成海量设备系统,导致更多安全漏洞产生,工业数据量爆炸性增加,互联互通使得工业生产网络的攻击泄密事件的数量飙升,所造成的影响也变得更为重大。

e) 工业数据作为企业核心资源面临严峻的安全风险

工业数据囊括了从客户需求到销售、订单、计划、研发、设计、工艺、制造等整个产品全生命周期的各类数据,这些数据具有的价值巨大,特别是研发、设计、工艺等数据还可能涉及知识产权,关系企业经营和生产安全,甚至关乎国家安全。当前,我国工业数据的安全防护能力较为薄弱,安全环境比较严峻:一是工业数据安全顶层设计不足。工业数据安全监管相关的政策制度、标准规范等都还不够完善,开展工作缺乏政策支持,实施防护没有专门的标准指南参考。二是工业数据安全主体责任不明。在工业数据的共享、交换、流通过程中,会出现数据拥有者与管理者不同、数据所有权和使用权分离的情况,从而带来数据滥用、权属不明确、安全主体责任不清晰等安全风险,将严重损害数据所有者的权益。三是工业数据安全技术保障能力有待提升。调研发现,当前我国工业大数据还处于推广和发展阶段,安全保障没有跟上,没有做到“三同步”,已有的安全措施以传统安全防护手段为主,专门的工业数据安全技术手段较为缺乏。因此,加强工业数据保护,提高工业数据抵御黑客攻击窃密的能力,将是日后工控网络安全工作的重要课题。 

[本文资讯内容来源于互联网,版权归作者所有。由“工业互联网安全应急响应中心”整理发布]

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。