4月11日,由匡恩网络撰写的《2015年工业控制网络安全态势报告》正式公开发布,该报告披露了大量国内外重大工控网络安全的事件和案例,并进行了深度分析,是了解国内外工控安全形势,帮助政府、研究机构以及业内相关人士,做好工控安全规划和准备工作的一份比较全面的、重要的参考资料。
本报告分六章,分别从国际国内,工控政策、工控安全事件、病毒木马,和工控安全趋势等层面进行了阐述和解读,并提出了我国工控安全行业的发展建议。报告全文字数达5万余,安全牛第一时间拿到报告全文,现将报告进行缩编整理如下:
《2015年工业控制网络安全态势报告》(缩编版)
第一章 国际工业控制网络安全情况总体分析
此章通过美美国工业控制系统网络应急响应小组(ICS-CERT)发布的相关报告,分析了工控安全的三个关键情况:
1. 工业控制网络设备漏洞数量仍居高位
图1-1 工控漏洞及相应的工控产品统计
2. 工控安全事件逐年增加
图1-2 工业控制网络安全事件统计
3. 关键制造业成为本年度受攻击最多的行业
图1-3 2015年各行业攻击事件统计
第二章 国际工业控制网络安全政策动态
此章盘点了世界各国历年来的重点政策动态,并对重点国家的安全政策进行了详细的梳理。包括美国、俄罗斯、日本、韩国、澳大利亚、印度、英国、法国、德国、伊朗等。
表2.1:世界各国工控网络安全发展情况对比简表
此章还单独介绍了美国工控系统网络安全产业的发展措施和美国政府主要开展的相关工作,包括要求重点行业企业内部设立首席信息安全官(资质由联邦政府审核颁发,企业任命),大力扶持从事工控安全领域的私营企业(通过税收减免和研究经费资助),培养渗透检测团队和信息安全专业人才等。
未来十年美国各行业工控系统安全的的三个主要目标分别为:
调查和评估各行业工控安全防护能力;
开发和整合工控安全防护措施,减少工控系统的漏洞;
主动发现威胁侵入并执行应对措施。
第三章 我国工业控制网络安全情况总体分析
在本章中,报告从工控漏洞、木马病毒和设备接入三个方面反应出工控网络的脆弱及工控安全形势的严峻,并着重介绍了我国2015年工控安全的管理政策,包括政府主管部门的通知、网络安全法(草案)和电力、石油等行业发展政策的介绍等。
图3-1 工控行业每年新增漏洞统计(数据来源:CNVD、匡恩网络)
图3-3 工控行业漏洞危险级别统计(数据来源:CNVD)
图3-4 漏洞数量统计(数据来源:CNVD、匡恩网络)
第四章 国内外工业控制网络安全事件分析
此章列举了2015年全球发生的典型工控安全事件,并逐一对事件的发生过程、影响和原因等进行了技术分析。国内的事件包括某电力公司和某石化企业感染病毒,以及海康威视大量监控设备的安全隐患。国外则罗列介绍了钢厂、水厂、航空、电网等工控系统遭遇的安全事件。
此外,本章还单独剖析了5种对工控安全危害极大的病毒和恶意软件的技术原理和来源分析,包括Havex、沙虫、韩国核电站格盘病毒、方程小组和黑色能量。
表4-1 “方程式”组织病毒家族分析
第五章 我国工业控制网络安全趋势分析
此章为报告核心章节之一,首先指出“国内工控网络安全形势十分严峻,存在大量严重、紧迫、危险的问题”,并列出了工控安全目前的十大突出问题。然后针对轨道交通、燃气、车联网、石油化工、治金、烟草、电网和数控机床等8大行业,分别进行现状介绍和发展趋势分析。
国内工控安全目前十大突出的问题:
1. 工控系统逐渐与其他系统广泛互联带来的信息安全问题并未得到充分认识和重视。
2. 工控系统直接暴露在互联网上的风险不断增加。
3. 工控系统中采用的工业协议存在缺乏加密和认证等网络安全的考虑。
4. 工控网络安全尚未纳入生产安全、信息安全检查的工作范围。
5. 工控系统运行环境存在大量漏洞和隐患并缺乏防护。
6. 控制系统基础和核心设备严重依赖国外产品和技术。
7. 生产工艺设计人员和控制系统设计人员几乎没有任何网络安全意识。
8. 系统体系架构缺乏基本的安全保障。
9. 系统外联缺乏风险评估和安全保障措施。
10. 供应链方面,缺少针对工业控制设备的信息安全检测手段、标准和方法。
第六章 我国工业控制网络安全发展建议
在报告的最后一章,前两个小节阐述我国工控安全面临严峻挑战同时也迎来了行业的发展机遇,第三个小节则针对我国工控网络安全的发展提出了五点建议:
1. 工控网络安全领域面临的四个挑战
1)缺乏明确的网络安全战略,工控网络安全标准体系亟待建立
2)重要工业制造业领域大量使用国外工控设备
3)工业制造业企业对工控网络威胁感知不足
4) 针对工控网络威胁的持续防护能力缺失
2. 工控网络安全行业的四大发展机遇
1)我国工业信息化、智能化建设具有后发优势
2)我国工业规模巨大为安全产业发展提供广阔空间
3)工控网络安全成为国产化自主可控的契机
4)工控网络安全正在成长为一个战略新兴产业
3. 工控网络安全发展的五点建议
1)建立完备的工控网络安全体系,掌握芯片级核心技术
2)大力扶持新兴工控网络安全企业,鼓励技术创新和产业化
3)在关键基础设施、智能制造等行业推进工控网络安全落地
4)快速推进国外工控产品与国内安全技术结合,把控安全命脉
5)大力引进与培养工控网络安全专业人才