近日，工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室發(fā)布了《IT/OT一體化工業(yè)信息安全態(tài)勢報告》。報告顯示，工控系統(tǒng)相關漏洞增長情況居高不小，安全形勢十分嚴峻。在2019年工業(yè)應急響應安全事件中，病毒攻擊仍然是工業(yè)企業(yè)遭受失陷的主要原因，其中，病毒多為"永恒之藍"蠕蟲變種、挖礦蠕蟲。

工控系統(tǒng)漏洞增長情況居高不下

根據中國國家信息安全漏洞共享平臺最新統(tǒng)計，截止到2019年12月，CNVD收錄的與工業(yè)控制系統(tǒng)相關的漏洞高達2306個，2019年新增的工業(yè)控制系統(tǒng)漏洞數量達到413個，基本和2018年持平。而另據CVE、NVD、CNVD、CNNVD四大漏洞平臺收錄的漏洞信息顯示，2019年共收錄了690條漏洞工業(yè)控制系統(tǒng)漏洞。數據居高不下，安全形勢十分嚴峻。

2000-2019年CNVD收錄的工控系統(tǒng)漏數量分布圖

其中，高危漏洞占比57.3%，中危漏洞占比為35.5%，中高危漏洞占比高達92.8%。且漏洞成因多樣化特征明顯，技術類型多達30種以上。無論攻擊者利用何種漏洞造成生產廠區(qū)的異常運行，均會影響工控系統(tǒng)組件及設備的可用性和可靠性。

2019年四大漏洞庫平臺收錄的工控系統(tǒng)漏洞危險等級圖

在收錄的工業(yè)控制系統(tǒng)安全漏洞中，多數分布在制造業(yè)、能源、水務、商業(yè)設施、石化、醫(yī)療、交通、農業(yè)、信息技術、航空等關鍵基礎設施行業(yè)。一個漏洞可能涉及多個行業(yè)，在690個漏洞中，有566個漏洞涉及到制造業(yè)，也是占比最高的行業(yè)。涉及到的能源行業(yè)漏洞數量高達502個。

2019年四大漏洞庫平臺收錄的工控漏洞涉及行業(yè)分布圖

工控系統(tǒng)互聯(lián)網暴露總數持續(xù)攀升，中國同比增長2.7倍

造成工控系統(tǒng)暴露的主要原因之一是"商業(yè)網絡（IT）"與"工業(yè)網絡（OT）"的不斷融合。隨著云計算、物聯(lián)網、大數據技術的廣泛應用，工控系統(tǒng)已漸漸從最初的封閉狀態(tài)向開放狀態(tài)改變。暴露在互聯(lián)網上的工業(yè)控制系統(tǒng)設備也隨之越來越多，從而增加了攻擊者的攻擊面積。

根據Positive Technologies研究數據顯示：當前全球工控系統(tǒng)聯(lián)網暴露組件總數量約為22.4萬個，同比去年增長27%。將可通過互聯(lián)網訪問的工業(yè)控制系統(tǒng)組件（工控設備、協(xié)議、軟件、工控系統(tǒng)等）數量按照國家進行分類，美國聯(lián)網的工控設備暴露情況最為嚴重，達到95661個，其次為德國，聯(lián)網工控組件達到21449個，相比去年而言，中國工控系統(tǒng)互聯(lián)網暴露數量呈現明顯增長趨勢，由6223個增長到16843個，增長比例高達2.7倍，排名第三。

世界各國工控系統(tǒng)聯(lián)網組件暴露數量分布圖

需要注意的是，一方面，某地區(qū)工控系統(tǒng)在互聯(lián)網上暴露的越多，往往說明該地區(qū)工業(yè)系統(tǒng)的信息化程度越高，工業(yè)互聯(lián)網越發(fā)達；而另一方面，暴露的比例越大，也往往意味著工控設備將直接面對來自互聯(lián)網的威脅。

勒索病毒攻擊仍是工業(yè)安全面臨的主要威脅

2019年奇安信工業(yè)安全應急響應中心和安全服務團隊共同為全國工業(yè)企業(yè)提供應急求助273起，涉及醫(yī)療衛(wèi)生、交通運輸、制造業(yè)、能源等重要關鍵信息基礎設施行業(yè)。數據顯示，遭受勒索病毒攻擊仍然是工業(yè)企業(yè)面臨的最大挑戰(zhàn)。需要注意的是，病毒攻擊的主要目標是工業(yè)主機，然而工業(yè)主機大多數處于裸奔狀態(tài)，因此，工業(yè)企業(yè)應落實工業(yè)主機的安全防護。

2019年2月，某大型制造企業(yè)的臥式爐、厚度檢測儀、四探針測試儀、銅區(qū)等多個車間的機臺主機以及MES（制造執(zhí)行系統(tǒng)）客戶端都不同程度的遭受蠕蟲病毒攻擊，出現藍屏、重啟現象。工業(yè)安全應急響應中心人員到達現場后發(fā)現，當前網絡中存在的主要問題是工業(yè)生產網和辦公網網絡邊界模糊不清，MES與工控系統(tǒng)無明顯邊界，在工業(yè)生產網中引入了"永恒之藍"等勒索蠕蟲變種，感染了大量主機。

三級協(xié)同建設全面提升工業(yè)互聯(lián)網安全保障水平

隨著工業(yè)安全形勢的日益嚴峻，傳統(tǒng)的"圍墻式"網絡安全建設、業(yè)務和安全"兩張皮"、IT安全管理和OT安全管理"兩張皮"式的安全防護體系已經不能滿足越來越復雜的網絡安全環(huán)境。規(guī)劃建設三級協(xié)同的"工業(yè)互聯(lián)網安全技術保障平臺"有利于全面提高工業(yè)互聯(lián)網安全建設水平。

平臺基于"監(jiān)測-響應"的技術路線進行建設實施，有利于工業(yè)生產的長期可靠、穩(wěn)定運行。因此，旁路的、非侵入式的平臺建設結合關鍵節(jié)點串接、阻斷式的安全防護是工業(yè)互聯(lián)網安全建設的發(fā)展趨勢。

三級協(xié)同的工業(yè)互聯(lián)網安全技術保障平臺

同時需要注意，目前很多企業(yè)存在著輕視安全運營的現象。對此報告認為，工業(yè)企業(yè)可以利用外部資源，特別是安全公司提供的遠程、駐場或托管式安全運營服務開展工作。工業(yè)企業(yè)也可以把安全運營工作上移到集團、行業(yè)等平臺，通過委托方式用專業(yè)安全團隊來提供安全保障?；诖耍粌H可以在威脅發(fā)現、風險預測、處置響應、追蹤溯源等方面大幅度提高工業(yè)企業(yè)網絡安全防護能力，還可以減少人力資源投入、降低工業(yè)企業(yè)安全運營成本。

關于工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室

工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室（簡稱：工業(yè)安全國家聯(lián)合實驗室）是由國家發(fā)展與改革委員會批準授牌成立，由奇安信集團承建的對外開放的工業(yè)控制安全技術方面的公共研究平臺。

工業(yè)安全國家聯(lián)合實驗室以對工業(yè)控制系統(tǒng)安全領域有重大影響的前沿性、戰(zhàn)略性技術作為研究目標，建立以工程實驗室為主，聯(lián)合高等院校、科研院所和國家需求部門、企業(yè)共同參加的，產、學、研、用相結合的合作機制，發(fā)揮高等院校、科研院所在基礎理論研究方面的力量和優(yōu)勢，發(fā)揮國家需求部門、企業(yè)在技術創(chuàng)新和應用方面的主體作用，共享科研成果。