安全公司报告
文库搜索
切换导航
文件分类
频道
文件分类
批量下载
工业互联网安全风险态势 报告(2018) 工业控制系统安全国家地方联合工程实验室 2019. 3 主要观点 暴露在外的攻击面越来越大,工业互联网安全将迎来更高的挑战。中国暴露在互联网上 的工控系统联网设备达到 6223个,排名全球第五。 工业互联网安全漏洞数量快速增长,类型多样化特性明显 ,高危漏洞占比较高,安全形 式日益严峻。 工控漏洞 技术类型多达 30种以上,无论攻击者利用何种漏洞造成生产厂区的异常运行, 均会影响工控系统组件及设备的灵敏性和可靠性,造成严重的安全问题。 建立工业互联网安全战略推进时间表,推进实现近期、中期 、远期的工作目标; 近期:安全意识培训、资产识别、工业主机(端点)防护; 中期:建立共同的 IT/OT安全运营模式、做好网络安全控制和实时监测、提高 OT流程 的成熟度; 远期:对工控系统进行定期渗透测试、漏洞扫描、部署新的 OT安全工具和技术、持续 评估 IT/OT一体化带来的安全风险。 摘要 全球工控系统联网组件总数量为 175632个,主要集中在美洲和欧洲国家 ,中国联网组 件总数量为 6223个,超出意大利 365个,排名全球第五 ; 在所有的工控系统组件中,工控设备的暴露是最为危险 的。工控设备 的暴露意味着攻击 者有可能直接对设备本身发动攻击; 工业互联网安全漏洞数量快速增长 ,安全形式日益严峻; 类型多样化特性明显,且高危漏洞占比较高 ; 漏洞涉及行业广泛,以制造业、能源行业为主; 漏洞涉及厂商以国际厂商为主 ; 很多工业 企业的信息中心 管理 OT网络和服务器的连接性和安全性,但 往往对于OT网 络上的生产设备 与控制系统的连接性没有管辖权限 ,安全责任模糊; 较多工业企业的 IT和OT网络并没有进行有效的隔离; 部分工业企业虽然进行 了分隔, 并设置了访问策略, 但总有员工为方便,私自设置各类双网卡机器 ,应加强安全意识培 训; 建立工业互联网安全战略推进时间表, 推进实现 近期、中期、远期的工作目标。 关键词:工业互联网安全漏洞;工业互联网安全威胁;安全治理 目 录 研究背景 ................................ ................................ ................................ ................................ ........... 1 第一章 工控系统互联网暴露情况 ................................ ................................ ................................ . 2 第二章 工业互联网安全漏洞分析 ................................ ................................ ................................ . 4 一、 安全漏洞数量快速增长,安全形式日益严峻 ................................ ................................ ...... 4 二、 安全漏洞类型多样化特性明显 ................................ ................................ .............................. 5 三、 高危漏洞占比较高 ................................ ................................ ................................ ................. 5 四、 漏洞涉及厂商以国际厂商为主 ................................ ................................ .............................. 6 五、 漏洞涉及行业广泛,以制造业、能源行业为主 ................................ ................................ .. 7 第三章 工业互联网安全威胁 ................................ ................................ ................................ ........ 8 一、 OT安全管理不到位 ................................ ................................ ................................ ............... 8 二、 IT和OT安全责任模糊 ................................ ................................ ................................ ......... 8 三、 IT安全控制在 OT领域无效 ................................ ................................ ................................ . 8 四、 缺乏 OT资产和漏洞的可见性 ................................ ................................ .............................. 8 五、 工业主机几乎 “裸奔” ................................ ................................ ................................ .............. 8 六、 IT和OT网络混杂缺防护 ................................ ................................ ................................ ..... 9 第四章 工业互联网安全推进建议 ................................ ................................ ............................... 10 附录一 工业控制系统安全国家地方联合工程实验室 ................................ ................................ ... 11 1 研究背景 在政策与技术的双轮驱动下 , 工业控制系统 正在越来越多地与企业 内网和互联网相连接, 并与新型服务模式相结合,逐步形成了工业互联网架构 。工业互联网是数字浪潮下,工业体 系和互联网体系的深度融合的产物,是新一轮工业革命的关键支撑。 工业互联网 的发展一方 面极大的促进了生产效率 和服务水平的提高 ,另一方面 也使原本封闭的系统 变得越来越开 放,致使系统安全风险和入侵威胁不断增加,网络安全问题 日益突出。 工业互联网目前已经广泛 应用于电力、交通、石油、取暖、制造业等关键信息基础设施 领域,一旦发生安全事件,往往会造成巨大的损失和广泛的 影响。但是,由于工业互联网环 境的特殊性,传统的 IT信息安全技术 并不能完全有效的保护工业系统的安全,甚至很多常 用的安全技术都 不能直接应用于工业网络的安全防护。 对于工业互联网安全的分析 与防护, 需要使用 一些专门的方法和 专用的技术。 工业控制系统安全国家地方联合工程实验室(以下简称“联合实验室” )于 2017年发布 《IT/OT一体化工业信息安全态势报告》 ,总结分析 IT/OT融合带来的新挑战,给出工业信 息安全建议和展望。 为给政府部门、科研机构和工业企业提供参考和借鉴, 工业控制系统安全国家地方联合 工程实验室 (以下简称联合实验室 )编撰了《工业互联网安全 风险态势 报告(2018)》。 本报告对工业互联网安全漏洞的分析 ,采用了一种新型漏洞评分系统 ,将可见性、可控 性、漏洞利用目标服役情况等 体现工控安全特性的指标纳入量化评估范围。 报告以联合实验 室漏洞库收录的工业控制系统相关的漏洞信息为基础, 综合参考 CVE、NVD、CNVD、 CNNVD 四大公开漏洞平台 发布的漏洞信息,分析工业互联网安全 风险态势,编撰了《工业 互联网安全 风险态势 报告(2018)》。 此外,本 报告分析暴露在互联网上的工控组件和安全威胁,最后 提出工业互联网 安全推 进建议。 《工业互联网安全风险态势报告》内容被综合收录 到 《IT/OT一体化工业信息安全态 势报告( 2018) 》年度报告中。 《 IT/OT一体化工业信息安全态势报告( 2018) 》
奇安信 工业互联网安全风险态势报告(2018)
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-11-26 08:00:22
上传分享
举报
下载
原文档
(1.6 MB)
分享
友情链接
ISO 22476-8 2018 Geotechnical investigation and testing Field testing Part 8 Full displacement pressuremeter test.pdf
ISO IEC 21000-21 2017 Information technology — Multimedia framework (MPEG-21) — Part 21 Media contract ontology.pdf
ISO 27126 2021 Thermoplastic multi-layer (non-vulcanized) hoses and hose assemblies for the transfer of hydrocarbons, solvents and chemicals — Specification.pdf
ISO ASTM 52950 2021 Additive manufacturing — General principles — Overview of data processing.pdf
ISO 21543 2020 Milk and milk products Guidelines for the application of near infrared spectrometry.pdf
ISO 16120-2 2017 Non-alloy steel wire rod for conversion to wire — Part 2 Specific requirements for general purpose wire rod.pdf
ISO 8549-2 2023 Prosthetics and orthotics — Vocabulary — Part 2 Terms relating to externa.pdf
ISO TR 9143 2023 Health informatics — Sex and gender in electronic health records.pdf
ISO 23500-3 2024 Preparation and quality management of fluids for haemodialysis and related therapies — Part 3 Water for haemodialysis and related therapies.pdf
ISO 5506 2018 Soya bean products Determination of urease activity.pdf
GB-Z 42244-2022 空间环境 利用准动态模型获得地球辐射带注量的最劣情况和置信水平的程序.pdf
GB-T 19042.1-2003 医用成像部门的评价及例行试验 第3-1部分 X射线摄影和透视系统用X射线设备成像性能验收试验.pdf
GB-T 24531-2009 高炉和直接还原用铁矿石 转鼓和耐磨指数的测定.pdf
GB-T 3819-1997 纺织品 织物折痕回复性的测定 回复角法.pdf
GB-T 25117-2020 轨道交通 机车车辆 牵引系统组合试验方法.pdf
GB-T 25624-2010 土方机械 司机座椅 尺寸和要求.pdf
GB-T 38314-2019 宇航用锂离子蓄电池组设计与验证要求.pdf
GB-T 643-2008 化学试剂 高锰酸钾.pdf
GB-T 29331-2012 摄影 相纸尺寸 印片机用卷筒相纸.pdf
GB-T 20910-2007 热水系统用温度压力安全阀.pdf
1
/
3
15
评价文档
赞助2元 点击下载(1.6 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。