工业互联网安全风险态势 报告（2018） 工业控制系统安全国家地方联合工程实验室 2019. 3 主要观点  暴露在外的攻击面越来越大，工业互联网安全将迎来更高的挑战。中国暴露在互联网上 的工控系统联网设备达到 6223个，排名全球第五。  工业互联网安全漏洞数量快速增长，类型多样化特性明显 ，高危漏洞占比较高，安全形 式日益严峻。  工控漏洞 技术类型多达 30种以上，无论攻击者利用何种漏洞造成生产厂区的异常运行， 均会影响工控系统组件及设备的灵敏性和可靠性，造成严重的安全问题。  建立工业互联网安全战略推进时间表，推进实现近期、中期 、远期的工作目标； 近期：安全意识培训、资产识别、工业主机（端点）防护； 中期：建立共同的 IT/OT安全运营模式、做好网络安全控制和实时监测、提高 OT流程 的成熟度； 远期：对工控系统进行定期渗透测试、漏洞扫描、部署新的 OT安全工具和技术、持续 评估 IT/OT一体化带来的安全风险。 摘要  全球工控系统联网组件总数量为 175632个，主要集中在美洲和欧洲国家 ，中国联网组 件总数量为 6223个，超出意大利 365个，排名全球第五 ；  在所有的工控系统组件中，工控设备的暴露是最为危险 的。工控设备 的暴露意味着攻击 者有可能直接对设备本身发动攻击；  工业互联网安全漏洞数量快速增长 ，安全形式日益严峻；  类型多样化特性明显，且高危漏洞占比较高 ；  漏洞涉及行业广泛，以制造业、能源行业为主；  漏洞涉及厂商以国际厂商为主 ；  很多工业 企业的信息中心 管理 OT网络和服务器的连接性和安全性，但 往往对于OT网 络上的生产设备 与控制系统的连接性没有管辖权限 ，安全责任模糊；  较多工业企业的 IT和OT网络并没有进行有效的隔离； 部分工业企业虽然进行 了分隔， 并设置了访问策略， 但总有员工为方便，私自设置各类双网卡机器 ，应加强安全意识培 训；  建立工业互联网安全战略推进时间表， 推进实现 近期、中期、远期的工作目标。 关键词：工业互联网安全漏洞；工业互联网安全威胁；安全治理 目 录 研究背景 ................................ ................................ ................................ ................................ ........... 1 第一章 工控系统互联网暴露情况 ................................ ................................ ................................ . 2 第二章 工业互联网安全漏洞分析 ................................ ................................ ................................ . 4 一、 安全漏洞数量快速增长，安全形式日益严峻 ................................ ................................ ...... 4 二、 安全漏洞类型多样化特性明显 ................................ ................................ .............................. 5 三、 高危漏洞占比较高 ................................ ................................ ................................ ................. 5 四、 漏洞涉及厂商以国际厂商为主 ................................ ................................ .............................. 6 五、 漏洞涉及行业广泛，以制造业、能源行业为主 ................................ ................................ .. 7 第三章 工业互联网安全威胁 ................................ ................................ ................................ ........ 8 一、 OT安全管理不到位 ................................ ................................ ................................ ............... 8 二、 IT和OT安全责任模糊 ................................ ................................ ................................ ......... 8 三、 IT安全控制在 OT领域无效 ................................ ................................ ................................ . 8 四、 缺乏 OT资产和漏洞的可见性 ................................ ................................ .............................. 8 五、 工业主机几乎 “裸奔” ................................ ................................ ................................ .............. 8 六、 IT和OT网络混杂缺防护 ................................ ................................ ................................ ..... 9 第四章 工业互联网安全推进建议 ................................ ................................ ............................... 10 附录一 工业控制系统安全国家地方联合工程实验室 ................................ ................................ ... 11 1 研究背景 在政策与技术的双轮驱动下 ， 工业控制系统 正在越来越多地与企业 内网和互联网相连接， 并与新型服务模式相结合，逐步形成了工业互联网架构 。工业互联网是数字浪潮下，工业体 系和互联网体系的深度融合的产物，是新一轮工业革命的关键支撑。 工业互联网 的发展一方 面极大的促进了生产效率 和服务水平的提高 ，另一方面 也使原本封闭的系统 变得越来越开 放，致使系统安全风险和入侵威胁不断增加，网络安全问题 日益突出。 工业互联网目前已经广泛 应用于电力、交通、石油、取暖、制造业等关键信息基础设施 领域，一旦发生安全事件，往往会造成巨大的损失和广泛的 影响。但是，由于工业互联网环 境的特殊性，传统的 IT信息安全技术 并不能完全有效的保护工业系统的安全，甚至很多常 用的安全技术都 不能直接应用于工业网络的安全防护。 对于工业互联网安全的分析 与防护， 需要使用 一些专门的方法和 专用的技术。 工业控制系统安全国家地方联合工程实验室（以下简称“联合实验室” ）于 2017年发布 《IT/OT一体化工业信息安全态势报告》 ，总结分析 IT/OT融合带来的新挑战，给出工业信 息安全建议和展望。 为给政府部门、科研机构和工业企业提供参考和借鉴， 工业控制系统安全国家地方联合 工程实验室 （以下简称联合实验室 ）编撰了《工业互联网安全 风险态势 报告（2018）》。 本报告对工业互联网安全漏洞的分析 ，采用了一种新型漏洞评分系统 ，将可见性、可控 性、漏洞利用目标服役情况等 体现工控安全特性的指标纳入量化评估范围。 报告以联合实验 室漏洞库收录的工业控制系统相关的漏洞信息为基础， 综合参考 CVE、NVD、CNVD、 CNNVD 四大公开漏洞平台 发布的漏洞信息，分析工业互联网安全 风险态势，编撰了《工业 互联网安全 风险态势 报告（2018）》。 此外，本 报告分析暴露在互联网上的工控组件和安全威胁，最后 提出工业互联网 安全推 进建议。 《工业互联网安全风险态势报告》内容被综合收录 到 《IT/OT一体化工业信息安全态 势报告（ 2018） 》年度报告中。 《 IT/OT一体化工业信息安全态势报告（ 2018） 》