工業(yè)控制系統(tǒng)漏洞的統(tǒng)計(jì)及其分析研究

崔艷娜，張紅金，李繼安

(工業(yè)和信息化部電子第五研究所，廣東廣州 510610)

0 引言

隨著網(wǎng)絡(luò)信息時(shí)代的到來(lái)，我國(guó)工業(yè)模式發(fā)生了翻天覆地的變化，徹底地打破了 “信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松地實(shí)現(xiàn)了匯總分析，不但提高了生產(chǎn)效率，還達(dá)到了節(jié)能減排的目的。信息化給工業(yè)帶來(lái)的有利變化是顯而易見(jiàn)的，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題又使人為之驚慌。

隨著工業(yè)4.0、兩化深度融合、“互聯(lián)網(wǎng)+”“中國(guó)制造2025”和 “智能制造”等戰(zhàn)略的提出，工業(yè)化和信息化的融合發(fā)展不斷地深入，工業(yè)控制系統(tǒng) (ICS：Industsrial Control Systems，簡(jiǎn)稱工控系統(tǒng))面臨的各類安全問(wèn)題和風(fēng)險(xiǎn)愈發(fā)凸現(xiàn)，同時(shí)我們要充分地認(rèn)識(shí)到加強(qiáng)ICS的信息安全的重要性和緊迫性。我國(guó)政府高度重視ICS的信息安全，國(guó)務(wù)院與工業(yè)和信息化部相繼下發(fā)了許多關(guān)于工業(yè)控制信息安全方面的通知文件，例如：《關(guān)于加強(qiáng)工控系統(tǒng)信息安全管理的通知》 (工信部協(xié) 〔2011〕451號(hào))、國(guó)務(wù)院 《關(guān)于大力推進(jìn)信息化發(fā)展和保障信息安全的若干意見(jiàn)》 (國(guó)發(fā) [2012]23號(hào))、2016年10月19日工業(yè)和信息化部發(fā)布的 《工控系統(tǒng)信息安全防護(hù)指南》、2017年6月15日工業(yè)和信息化部發(fā)布的 《工控系統(tǒng)信息安全事件應(yīng)急管理工作指南》和2017年8月11日工業(yè)和信息化部發(fā)布的 《工控系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》等。

工業(yè)信息安全是網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要組成部分，是保障國(guó)家總體安全的重要內(nèi)容，是推進(jìn) “互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃和實(shí)施制造強(qiáng)國(guó)戰(zhàn)略的基礎(chǔ)條件，特別在近年來(lái)，隨著國(guó)家對(duì) “兩化”整合的深度推進(jìn)，ICS的信息安全工作已經(jīng)上升到了國(guó)家的戰(zhàn)略安全層面。

1 工業(yè)控制系統(tǒng)和 “漏洞”的涵義

ICS是指工業(yè)自動(dòng)化控制系統(tǒng)，也就是實(shí)現(xiàn)了自動(dòng)化、網(wǎng)絡(luò)化技術(shù)改造的工業(yè)控制系統(tǒng)，其生產(chǎn)和制造過(guò)程更加自動(dòng)化、效率化和精確化，具有可控性和可視性。ICS由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成，包括智能電子設(shè)備 (IED)、分布式控制系統(tǒng) (DCS)、可編程邏輯控制器 (PLC)、遠(yuǎn)程終端 (RTU)、SCADA和確保各種組件通信的接口技術(shù)。

如果把ICS比作人體系統(tǒng)的話，ICS中的 “漏洞”就像身體出現(xiàn)了疾患，如免疫力下降、內(nèi)分泌失調(diào)等，病毒會(huì)利用這些漏洞入侵人體，在身體內(nèi)產(chǎn)生各種不良反應(yīng)，比如咳嗽、腹瀉等，進(jìn)而影響到身體其他部分的健康。

2 工控系統(tǒng) “漏洞”類別

常見(jiàn)的工控漏洞包括：操作系統(tǒng)安全漏洞、TCP/IP漏洞、網(wǎng)絡(luò)通信協(xié)議安全漏洞、鏈路連接漏洞、工控應(yīng)用、殺毒軟件漏洞和工控設(shè)備漏洞，以及平臺(tái)配置漏洞等類別。此外，還包括安全策略和管理流程漏洞，例如：操作人員缺乏安全意識(shí)，隨意地使用U盤等安全管理上的疏忽，也可能成為被黑客攻擊和利用的 “漏洞”。目前，這些危險(xiǎn)性的 “漏洞”主要通過(guò)ICS內(nèi)部和外部攻擊來(lái)危害ICS的安全。

美國(guó)NIST SP 800-82標(biāo)準(zhǔn)中將ICS的漏洞分為策略和指南漏洞、平臺(tái)漏洞 (包括平臺(tái)配置漏洞、平臺(tái)硬件漏洞、平臺(tái)軟件漏洞和平臺(tái)惡意軟件防護(hù)漏洞)和網(wǎng)絡(luò)漏洞 (包括網(wǎng)絡(luò)配置漏洞、網(wǎng)絡(luò)硬件漏洞、網(wǎng)絡(luò)邊界漏洞、網(wǎng)絡(luò)監(jiān)測(cè)和記錄漏洞、通信漏洞和無(wú)線連接漏洞)等類別。

3 工控系統(tǒng)漏洞的統(tǒng)計(jì)與分析

隨著我國(guó)工業(yè)化與信息化深度融合的快速發(fā)展，成熟的IT及互聯(lián)網(wǎng)技術(shù)正在不斷地被引入到ICS中，這必然會(huì)由于需要與其他系統(tǒng)進(jìn)行互聯(lián)、互通、互操作而打破ICS的相對(duì)封閉性。目前所使用的ICS絕大部分是多年前開(kāi)發(fā)的，早期的工業(yè)控制都是相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境，并使用專有的硬件、軟件和通信協(xié)議，ICS開(kāi)發(fā)時(shí)僅重視系統(tǒng)功能、性能、可靠性、效率和實(shí)時(shí)性方面的實(shí)現(xiàn)，缺乏相應(yīng)的安全考慮，安全性沒(méi)有成為考量的主要指標(biāo)，同時(shí)也未考慮系統(tǒng)對(duì)網(wǎng)絡(luò)安全措施的需要，因此現(xiàn)有的ICS中難免會(huì)存在不少危及系統(tǒng)安全的漏洞或系統(tǒng)配置存在問(wèn)題，而這些系統(tǒng)的脆弱性均有可能被系統(tǒng)外部的入侵攻擊者所利用，輕則干擾系統(tǒng)運(yùn)行、造成敏感信息被竊取，重則有可能造成嚴(yán)重的安全事件。

20世紀(jì)90年代后期，互聯(lián)網(wǎng)的技術(shù)已進(jìn)入ICS的設(shè)計(jì)中，越來(lái)越多的ICS通過(guò)信息網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上，這一變化使得ICS所面臨的安全威脅日趨加大，ICS開(kāi)始面臨各種威脅，ICS中的各種通用協(xié)議、應(yīng)用軟件和硬件也暴露出了一些比較嚴(yán)重的漏洞和安全隱患，使其容易遭受來(lái)自控制系統(tǒng)內(nèi)部和外部的各種網(wǎng)絡(luò)攻擊。只要利用這些漏洞，攻擊者即可入侵ICS，獲得控制器及執(zhí)行器的控制權(quán)，進(jìn)而破壞整個(gè)系統(tǒng)。安全漏洞會(huì)導(dǎo)致整個(gè)控制系統(tǒng)的安全性相當(dāng)脆弱，因而解決安全防護(hù)問(wèn)題已刻不容緩。

3.1 工控系統(tǒng)的公開(kāi)漏洞分析

本文以國(guó)家信息安全漏洞共享平臺(tái) (CNVD：China National Vulnerability Database)所收錄的ICS相關(guān)的漏洞信息為基礎(chǔ)，綜合分析了美國(guó)CVE[CVE]、ICS-CERT所發(fā)布的漏洞信息，共整理出了1 235個(gè)與ICS相關(guān)的漏洞 (起止時(shí)間為：2010年1月1日-2017年8月31)。本文將重點(diǎn)分析2010年以來(lái)漏洞的統(tǒng)計(jì)特征和變化趨勢(shì)，主要涉及公開(kāi)漏洞的總體變化趨勢(shì)、漏洞的嚴(yán)重程度和主要ICS廠商分布情況等數(shù)據(jù)的對(duì)比分析。

3.1.1 工控系統(tǒng)的公開(kāi)漏洞數(shù)變化趨勢(shì)分析

2010年1月1日-2017年8月31日期間所公開(kāi)發(fā)布的ICS相關(guān)漏洞按年度進(jìn)行統(tǒng)計(jì)分析的結(jié)果如圖1所示。從圖1中可以很明顯地看出：公開(kāi)的ICS漏洞數(shù)總體仍呈增長(zhǎng)趨勢(shì)。

圖1 公開(kāi)的ICS漏洞年度變化趨勢(shì)

在2010年以及2010年之前，公開(kāi)披露的ICS相關(guān)漏洞數(shù)量比較少，但在2011年出現(xiàn)急劇增長(zhǎng)之勢(shì)，并持續(xù)到2012年，這可能是因?yàn)?010年的“震網(wǎng)”Stuxnet蠕蟲(chóng)事件之后，人們對(duì)ICS安全問(wèn)題極度關(guān)注，以及ICS廠商分析解決歷史遺留安全問(wèn)題所造成的井噴現(xiàn)象。

2013-2015年期間新增的漏洞數(shù)有所下降，可能是由以下幾個(gè)原因造成的。

a)ICS多為行業(yè)相關(guān)的專有系統(tǒng)，商用漏洞分析人員由于難以接觸這些專有系統(tǒng)且缺乏相關(guān)行業(yè)知識(shí)而很少對(duì)其進(jìn)行相應(yīng)的漏洞分析與研究。

b)ICS的主力廠商，比如西門子 (Siemens)、研華 (Advantech)、施耐德 (Schneider)、羅克韋爾 (Rockwell)和Parallels等主要的ICS廠商發(fā)現(xiàn)在對(duì)其ICS產(chǎn)品的脆弱性進(jìn)行針對(duì)性分析、挖掘一段時(shí)間后，在其產(chǎn)品中發(fā)現(xiàn)新漏洞的難度大大地提高，發(fā)現(xiàn)的公開(kāi)漏洞的數(shù)量逐漸地出現(xiàn)增速放緩或減少的趨勢(shì)，如圖2所示。

圖2 主要ICS廠商相關(guān)的公開(kāi)漏洞的變化趨勢(shì)

c)部分ICS廠商因市場(chǎng)的占有率很小且影響力不足等原因，逐漸地淡出漏洞挖掘分析人員的分析目標(biāo)范圍。

d)部分涉及關(guān)鍵行業(yè)系統(tǒng)的漏洞信息被限制公開(kāi)以及由于受其他形式的交易 (諸如地下或私下形式的交易)的影響，可能有許多新發(fā)現(xiàn)的系統(tǒng)漏洞被隱瞞了，而沒(méi)有被公開(kāi)發(fā)布出來(lái)。

2015年開(kāi)始，主要ICS廠商新增漏洞數(shù)又急劇地上升，如圖3所示，這可能是由以下兩個(gè)方面的原因造成的。

a)對(duì)ICS所進(jìn)行信息安全攻擊的動(dòng)機(jī)和能力已成為現(xiàn)實(shí)，更進(jìn)一步地加劇了這些領(lǐng)域的學(xué)術(shù)研究和工程實(shí)踐的熱度，針對(duì)ICS的信息安全攻擊方法和漏洞近兩年來(lái)已經(jīng)成為了ICS信息安全風(fēng)險(xiǎn)評(píng)估的熱點(diǎn)，因此發(fā)現(xiàn)的公開(kāi)漏洞的數(shù)量也將出現(xiàn)快速增長(zhǎng)的趨勢(shì)。

b)現(xiàn)在ICS已從封閉走向開(kāi)放，工控信息安全市場(chǎng)迎來(lái)了國(guó)產(chǎn)化浪潮，國(guó)內(nèi)ICS信息安全產(chǎn)業(yè)在政策鼓勵(lì)和需求的推進(jìn)下，整體行業(yè)面臨存量的國(guó)產(chǎn)化替代和增量的更新。伴隨著整體信息安全重要等級(jí)的持續(xù)提升，ICS安全防護(hù)作為信息安全領(lǐng)域的重要子領(lǐng)域，將會(huì)對(duì)面臨核心領(lǐng)域存量的國(guó)產(chǎn)化替代，新建設(shè)領(lǐng)域的國(guó)產(chǎn)化浪潮。更多的國(guó)內(nèi)工控廠商的加入，也直接導(dǎo)致了公開(kāi)漏洞數(shù)量的快速增長(zhǎng)。

圖3 主要ICS廠商相關(guān)的公開(kāi)漏洞的變化趨勢(shì)

3.1.2 工控系統(tǒng)的公開(kāi)漏洞所涉及到的工控系統(tǒng)廠商的情況分析

通過(guò)對(duì)漏洞的統(tǒng)計(jì)分析，得到了公開(kāi)漏洞所涉及的主要ICS廠商 (Top5)、各個(gè)廠商的系統(tǒng)中所發(fā)現(xiàn)的漏洞數(shù)及其占漏洞庫(kù) (Top5)中所有漏洞的比例，如圖4-5所示。

分析結(jié)果表明，公開(kāi)漏洞所涉及的ICS廠商主要是國(guó)際著名的ICS廠商。雖然圖4-5反映的是這些公司產(chǎn)品的脆弱性問(wèn)題，但這些數(shù)據(jù)也很可能與這些公司產(chǎn)品的市場(chǎng)排名有較大的聯(lián)系。

需要說(shuō)明的是，各個(gè)廠商產(chǎn)品的漏洞數(shù)量不僅與產(chǎn)品自身的安全性有關(guān)，而且也和廠商的產(chǎn)品數(shù)量、產(chǎn)品的復(fù)雜度、產(chǎn)品受研究者關(guān)注的程度和ICS廠商對(duì)自身系統(tǒng)安全性的自檢力度等多種因素有關(guān)。因此，我們并不能簡(jiǎn)單地認(rèn)為公開(kāi)漏洞數(shù)量越多的廠商的產(chǎn)品就越不安全。

圖4 公開(kāi)漏洞所涉及到的主要ICS廠商 （Top5）

圖5 公開(kāi)漏洞所涉及到的主要ICS廠商的漏洞數(shù)量 （Top5）

2010-2017年期間，ICS公開(kāi)漏洞的數(shù)量的變化趨勢(shì)如圖6所示。從圖6中可以看出，自2010年以來(lái)，ICS公開(kāi)漏洞數(shù)的變化呈逐步減少的趨勢(shì)，在2014年減少到最少；另外從2014年ICSCERT所公布的數(shù)據(jù)中知悉，工控安全事件多集中在能源行業(yè)和關(guān)鍵制造業(yè)。2014年后，漏洞數(shù)的變化又有逐步增大的趨勢(shì)，總體來(lái)看，隨著 “兩化融合”的深入，未來(lái)ICS安全漏洞和威脅還會(huì)繼續(xù)增長(zhǎng)。

圖6 ICS公開(kāi)漏洞數(shù)目的變化趨勢(shì)

3.1.3 工控系統(tǒng)的漏洞嚴(yán)重程度統(tǒng)計(jì)分析

我國(guó)超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施都需要依靠ICS來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，因此，一旦發(fā)生安全事故，其造成的社會(huì)影響和經(jīng)濟(jì)損失將非常嚴(yán)重。CNVD在對(duì)漏洞的嚴(yán)重性進(jìn)行統(tǒng)計(jì)分析時(shí)(2000年1月份-2017年8月份)，將漏洞的嚴(yán)重程度劃分為高、中、低3個(gè)等級(jí)。ICS行業(yè)中高危、中危和低危漏洞等級(jí)的占比統(tǒng)計(jì)結(jié)果如圖7所示。從圖7中可以看出，高危漏洞的占比接近于一半 (49%)，漏洞統(tǒng)計(jì)數(shù)據(jù)再一次給我們敲響了警鐘。

目前，我國(guó)在安全技術(shù)轉(zhuǎn)化為產(chǎn)品的能力方面與國(guó)際先進(jìn)水平有差距，在信息安全主流產(chǎn)品方面，我國(guó)尚未真正地進(jìn)入國(guó)際主流市場(chǎng)的國(guó)際化安全產(chǎn)品行列，在產(chǎn)品成熟度、國(guó)際市場(chǎng)占有率和國(guó)際品牌影響力等方面與國(guó)際先進(jìn)水平有差距。國(guó)內(nèi)重要控制系統(tǒng)有超過(guò)80%的系統(tǒng)都使用的是國(guó)外的產(chǎn)品和技術(shù)，核心的技術(shù)和元件均掌握在他人手里，這給國(guó)內(nèi)的工業(yè)網(wǎng)絡(luò)安全形勢(shì)造成了巨大的安全隱患。目前國(guó)內(nèi)ICS的建設(shè)、安全防護(hù)，有相當(dāng)一部分設(shè)備由西門子、研華、施耐德、羅克韋爾和Parallels等國(guó)外公司提供，因此這些ICS所具有的漏洞極易成為惡意攻擊的突破口。

圖7 ICS行業(yè)漏洞危險(xiǎn)等級(jí)

3.2 工控系統(tǒng)漏洞的檢測(cè)及防護(hù)策略建議

值得慶幸的是ICS自身的漏洞問(wèn)題正在被越來(lái)越多的ICS廠商和安全機(jī)構(gòu)等重視起來(lái)，我國(guó)工控信息安全市場(chǎng)在近年才開(kāi)始進(jìn)入發(fā)展階段，目前整個(gè)市場(chǎng)還處于市場(chǎng)預(yù)熱的階段。但由于ICS漏洞存在著特殊性，商用的信息安全漏洞技術(shù)無(wú)法完全適用，解決ICS安全漏洞問(wèn)題需要有針對(duì)性地實(shí)施特殊措施。因此對(duì)ICS漏洞的安全防護(hù)工作也應(yīng)該盡快地得到應(yīng)有的重視。對(duì)ICS漏洞的安全防護(hù)是一個(gè)系統(tǒng)工程，包括從技術(shù)到管理各個(gè)方面的工作。其中，最重要的就是對(duì)ICS自身漏洞的檢測(cè)與發(fā)現(xiàn)，只有及時(shí)地發(fā)現(xiàn)ICS存在的漏洞問(wèn)題，才能進(jìn)一步地開(kāi)展相應(yīng)的安全加固及防護(hù)工作。

ICS在建設(shè)部署時(shí)具有設(shè)備單元數(shù)量多、物理位置分布廣的特點(diǎn)。因此ICS漏洞檢測(cè)工作需要專業(yè)的檢測(cè)設(shè)備輔助進(jìn)行。對(duì)此我們認(rèn)為，安全行業(yè)的廠商和ICS廠商應(yīng)盡早地建立合作機(jī)制、建立國(guó)家或行業(yè)級(jí)的漏洞信息分享平臺(tái)與專業(yè)的關(guān)于ICS的攻防研究團(tuán)隊(duì)，并盡早地開(kāi)發(fā)出適合于ICS使用的漏洞掃描設(shè)備。ICS的漏洞掃描器除了可以支持對(duì)常見(jiàn)的通用操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)和網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞檢測(cè)以外，還應(yīng)該支持常見(jiàn)的ICS協(xié)議，識(shí)別ICS設(shè)備資產(chǎn)，檢測(cè)ICS的漏洞與配置隱患，如圖8所示。

通過(guò)使用ICS漏洞掃描器，在ICS設(shè)備上線前及維護(hù)期間進(jìn)行漏洞掃描，可以及時(shí)地發(fā)現(xiàn)ICS存在的漏洞問(wèn)題，了解ICS自身的安全狀況，以便能夠及時(shí)地提供針對(duì)性的安全加固及安全防護(hù)措施。因此，ICS漏洞的檢測(cè)與發(fā)現(xiàn)對(duì)完善ICS安全的工作來(lái)說(shuō)至關(guān)重要，是需要首先解決的問(wèn)題之一。

圖8 ICS漏洞掃描器的功能示意圖

3.3 完善的工控系統(tǒng)的漏洞管理流程

安全管理不僅需要相關(guān)技術(shù)，更重要的是要通過(guò)流程制度對(duì)安全風(fēng)險(xiǎn)進(jìn)行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，歸根究底，是由于ICS的漏洞管理流程不夠完善造成的。人員對(duì)流程制度的執(zhí)行起著關(guān)鍵作用，如何融入管理流程，并促進(jìn)流程的執(zhí)行是漏洞安全管理需要解決的問(wèn)題。建議建立如圖9所示的工控漏洞管理流程，并嚴(yán)格地按流程對(duì)工控漏洞進(jìn)行管理，以切實(shí)地降低安全事故發(fā)生的頻率。

圖9 工控漏洞管理流程

4 結(jié)束語(yǔ)

綜上所述，ICS安全作為一個(gè)新的、戰(zhàn)略性的安全領(lǐng)域，需要國(guó)家、行業(yè)主管部門、ICS的企業(yè)及用戶、ICS提供商和信息安全提供商等跨領(lǐng)域、跨行業(yè)的多方位的合作才能夠促進(jìn)ICS安全領(lǐng)域的發(fā)展。以國(guó)家政策、標(biāo)準(zhǔn)為導(dǎo)向，行業(yè)安全檢查、用戶安全意識(shí)培訓(xùn)、ICS風(fēng)險(xiǎn)評(píng)估及相應(yīng)的安全產(chǎn)品、安全解決方案等工作的逐步推進(jìn)將是ICS安全領(lǐng)域的發(fā)展主線。另外，建立ICS的安全性測(cè)評(píng)驗(yàn)證機(jī)制，提供系統(tǒng)漏洞信息、廠商的漏洞修補(bǔ)方案及安全補(bǔ)丁的及時(shí)通報(bào)、分享，以及可用性驗(yàn)證機(jī)制的輔助主線也是必不可少的。為此，我們必須將ICS信息安全擺上戰(zhàn)略位置，提高思想重視程度，推進(jìn)落實(shí)各項(xiàng)工作，為國(guó)家的工業(yè)生產(chǎn)運(yùn)行提供安全的環(huán)境，為兩化深度融合提供安全的保障。