工业互联网空间安全态势分析报告威努特工控安全

​一、概述工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合结果。它经过智能机器间连接并最终将人机连接，结合软件和大数据分析，重构全球工业、激发生产力。伴随工业互联网快速发展，大量工业控制系统也接入了互联网络。工业控制系统重点应用在炼油、石化、电力、冶金、建材、交通、电网、水网、气网、国防、智能制造等关系到国家和社会稳定、经济正常运行主要领域。伴随我国大力推进信息化建设，工业控制系统在我国各行业应用范围和布署规模快速增加，工业控制系统已成为国家关键基础设施“中枢神经”。其中，公用事业行业，大中型城市燃气输配、供电、供水、供暖、排水、污水处理等均采取了智能工业控制系统；以石油石化天然气为代表能源行业，从大型油气田到数万公里原油、天然气和成品油输送管线，大规模采取工业控制系统；电力行业，发电、调度、变电、配电和用电等各个步骤都离不开工业控制系统；以轨道交通为代表公共交通行业，从控制列车运行信号系统、到统一指挥调度综合监控系统已全部实现网络化控制；水利行业，国家防汛指挥系统采取工控系统进行区域和全国联网；智能制造行业，越来越多信息技术应用到了工业制造领域，生产模式得以根本性改变，各种智能制造设备和系统进行网络互联互通趋势越来越快。我国近几年工业控制系统安全事件屡有发生，如钢厂异常停机、石化工厂蠕虫泛滥等等，这些层出不穷安全事件，为我国关键基础设施关键要害系统安全问题敲响了警钟。二、范围研究范围：中国互联网空间全部IPv4地址。

研究对象：研究范围内工业互联网设备。研究方法：使用工业互联网雷达引擎扫描互联网空间，发觉接入工业互联网设备，依照设备指纹信息获取资产信息（包含设备类型、厂商、型号、固件版本和软件版本等），依照固件或软件版本信息获取漏洞信息，然后结合资产和漏洞信息梳理出《工业互联网空间安全态势分析汇报》。研究时间：9月~年11月。三、统计分析截止11月4日，本轮共探测到全国接入互联网工业互联网设备17821个，其中DTU数据中心占15146个，其余工控系统占2675个。以下为暴露在公网工业互联网设备全国区域分布图。图1、全国接入互联网工业互联网设备区域分布图数据起源：威努特从地域分布看，东南沿海、北京等经济较发达地域，联网工业互联网设备相对较多。下面我们将从区域分布、设备类型、厂商、协议、漏洞等多个维度详细分析我国联网工控系统安全态势（注：分析数据中不计入DTU数据中心，以2675个工控系统相关数据来统计分析）。四、按工控系统区域分析图2、全国接入互联网工控设备按省份排行图数据起源：威努特从图2统计结果能够看出台湾、北京、珠江三角洲、长江三角洲和东北老工业基地等地域联网工控设备最多。台湾省联网工控设备数量排名第一，台湾是曾经亚洲四小龙之一，工业是台湾经济主要支柱。经过数十年发展，台湾基本上建立了部门比较齐全、以委托加工型态为主体、以信息电子产业为支柱工业体系。上世纪90年代以后，台湾主要推进高新技术产业发展，提升工业技术水平。在1990年制订“六年建设计划”（1991－1996）中，台湾深入提出发展十大新兴工业，即通讯工业、资讯（信息）工业、消费性电子工业、半导体工业、精密器械与自动化工业、航太工业、高级材料工业、特用化学工业与制药工业、医疗保健工业与污染防治工业。90年代中期后，台湾开始推进以建设“科技岛”为中心高科技产业发展。即使有不少规划未能全方面落实与实现，但仍促进了高科技产业发展，高科技产业逐步成为台湾工业发展主体与关键。进入二十一世纪后，台湾工业产值在突破4万亿，达成14.95万亿，同比下降0.77%，占GDP比重为30.02%，其中制造业占82.9%，达成13.93万亿元新台币，一直居主导地位。北京市联网工控设备数量排名第二，北京市走新型工业化道路，加紧形成以高新技术产业和当代制造业为主体，以优化改造后传统优势产业为基础，逐步由传统重工业发展到以汽车、电子为主导当代制造业。同时，以中关村为代表北京高新技术产业，形成极具活力和发展潜力产业链。在软件、集成电路、计算机和网络、通信、生物制药、能源环境保护等重点领域形成国内优势产业群。这就解释了北京成为大陆地域工控系统暴露最多地域，这里是经济关键发展区，也是全国工业信息化领头羊，必须切实保障该地域关键信息基础设施，增强工业控制系统安全防护能力。广东省联网工控设备数量排名第三，珠江三角洲地域是有全球影响力先进制造业基地和当代服务业基地，我国参加经济全球化主体区域，全国科技创新与技术研发基地，全国经济发展主要引擎。广东作为华南地域经济中心，产业配套强，地理位置上同亚洲国际大城市香港和澳门毗邻，同台湾隔海相望，这些都为广东工业化和信息化提供了优势。黑龙江省联网工控设备数量排名第四，东北地域作为中国工业摇篮，辽宁、吉林、黑龙江三省一度成为中国经济火车头。东北是中国最主要工业基地之一，东北地域在构建社会主义友好社会中起着举足轻重地作用，已形成以钢铁、机械、石油、化工等为关键完整工业体系。工业区由南向北逐步推进，除原有沈阳—抚顺—鞍山—本溪重工业区外，还出现了以机械、化工为主旅大工业区，以煤炭、化工等为主辽西走廊工业区，以机械、化工、造纸等为主长春—吉林中部工业区，以电机、石油、机械工业等为主哈尔滨—大庆—齐齐哈尔工业区，以煤炭—森林工业为主黑龙江西部工业区等，另外东北也是中国主要军工业基地，军工关系到一个国家安全命脉，所以更易成为首要攻击目标。江苏、浙江、上海联网工控设备数量排名5-7位，长江三角洲地域工控系统暴露数量排名前列。长三角地域（江苏、浙江和上海）是我国经济最发达、产业配套最完善、整体竞争力最强地域。伴随工业化进程不停加紧，长三角地域三大产业之间百分比关系深入优化。上海将发展当代服务业和先进制造业放在优先地位；浙江抓住产业结构调整机遇，着力提升先进制造业竞争力，加紧负担国际产业转移；江苏以发展当代制造业来增强自主创业能力，坚持以信息化带开工业化，促进信息技术和信息产业快速发展，推进信息技术在各行业各领域普及和应用。同时，江苏还要建设当代国际制造业基地，有选择、高起点地承接国际产业。所以，长江三角洲工业信息化程度也走在国内前列，暴露工业控制系统数量很多。五、按工控系统类型分析工业控制系统联网设备主要包含：工控设备、工控网络设备和工控系统信息设备。工控设备主要包含：PLC、RTU、DCS、继电保护装置、无线传输模块DTU等。工控网络设备主要包含：工业网关、工业路由器、工业交换机和工业防火墙等网络安全设备。工控系统信息设备主要包含：工程师站、操作员站、OPC服务器、数据服务器和SCADA等。SCADA系统用来控制分散或集中数据采集和过程处理，惯用于供水和污水搜集系统、石油和天然气管道、电力输电配电系统、以及铁路公交系统等；DCS在国内自控行业又称之为集散控制系统，用来控制同一地域工业系统中生产系统，如炼油厂、水和污水处理、发电厂、化学品制造工厂、医药加工厂等；PLC，可编程逻辑控制器，经过数字或模拟式输入/输出控制各种类型机械或生产过程，专为工业环境应用而设计；RTU，远程终端控制系统，负责对现场信号、工业设备监测和控制。从图3统计结果能够看出工业网关、PLC和操作员站联网数量最多。PLC作为可编程设备，大批量接入互联网，存在被远程篡改组态逻辑和远程控制风险，需要引发监管部门高度重视。继电器联网数量排名第四，继电器是一个电控制器件，是当输入量改变达成要求要求时，在电气输出电路中使被控量发生预定阶跃改变一个电器。它具备控制系统和被控制系统之间互动关系。通常应用于自动化控制电路中，它实际上是用小电流去控制大电流运作一个“自动开关”。故在电路中起着自动调整、安全保护、转换电路等作用。继电器联网数量较高，直接威胁着输变电和配电系统安全。在此次探测数据中，DCS和SCADA这类关键系统联网数量靠近50个，一旦被不法分子入侵，轻易引发我国关键基础设施网络安全事故，这需要引发监管部门高度重视。在此次探测数据中还发觉了30个楼宇自动化系统接入互联网络。楼宇自动控制系统包含：门禁控制系统、中央空调监控及计量计费系统、消防报警及火灾控制系统、停车场管理系统、安防系统、楼宇对讲系统等，该系统主要是经过网络化方式对前端采集设备（数据采集或控制模块）进行数据采集和管理。图3、全国接入互联网工控系统按类型分布图数据起源：威努特六、按设备厂商统计分析此次工控系统在线监测包括西门子、施耐德、罗克韦尔、欧姆龙、台达、霍尼韦尔、和利时等超出30个工控设备厂家品牌。西门子PLC几乎在全部用户行业中都有应用，并在几个主要应用行业如纺织、冶金、汽车等领域应用广泛；施耐德在电力、冶金和市政等领域应用较广泛，尤其是冶金行业；罗克韦尔以及欧姆龙在我国工业控制系统中也有着广泛应用。图4、全国接入互联网工控系统按厂商排名图数据起源：威努特从图4统计结果能够看出Moxa联网设备排名第一。MoxaNport串口服务器在国内和全球应用都很广泛。串口服务器是一个具备串口转以太网功效设备，他能将RS-232/485/422串口转换成TCP/IP网络接口，串口服务器能够经过client和server模式来实现数据传输，串口服务器广泛应用在SCADA数据采集步骤上，用于处理串口和以太网通信问题。西门子联网设备数量排名第二，这反应了西门子工控设备在我国应用极其广泛。和利时联网设备数量排名第三，和利时是我国工控设备制造行业龙头企业之一。其它联网设备数量排名在前十位厂商有Tridium、施耐德、罗克韦尔、欧姆龙、台达、霍尼韦尔、研华科技、通用电气和ABB。七、按开放协议统计分析工业互联网雷达能够覆盖38种以上工业控制协议扫描探测，此次统计协议范围是联网工控设备开放协议服务，会包含部分传统网络协议（如telent、snmp、http、https等）。从图5统计结果能够看出moxa-nport、telnet、hart-ip、fox、s7、hollysys-lk、modbus、snmp、ethernetip、siemens-license这十个协议在联网工控设备上出现最多。Moxa-nport是Moxa串口服务器上通信协议。Hart-ip协议是美国Rosement企业于1985年推出一个用于现场智能仪表和控制室设备之间通信协议。现已成为全球智能仪表工业标准。Fox协议是Tridium企业开发Niagara框架一部分，广泛应用于楼宇自动化控制系统。S7协议是SIEMENSs7协议族标准通信协议，使用s7-应用接口通信不依赖特定总线系统。Hollysys-lk协议是一个私有协议，用于HollysysPLC通讯，常见于电力、石油、化工等行业。图5、全国接入互联网工控系统按协议排名图数据起源：威努特Modbus协议是应用于电子控制器上一个协议。经过此协议设备间能够通信。它已成为一通用工业标准。Ethernet/IP是一个面向工业自动化应用工业应用层协议。它建立在标准UDP/IP与TCP/IP协议之上，利用固定以太网硬件和软件，为配置、访问和控制工业自动化设备定义了一个应用层协议。SiemensLicense协议是一个私有协议，用于西门子上位机软件License服务。八、按工控漏洞级别分析图6、全国接入互联网工控设备区域分布图数据起源：威努特此次扫描共探测到工控漏洞2650个，按漏洞危险级别统计，结果见图6。其中高危漏洞占48.48%，中危占36.01%，低危占15.51%。综合来看，联网工控设备存在较高安全风险。九、按工控漏洞类型分析此次扫描探测到工控漏洞，按漏洞类型统计，结果见图7。抛开其余类型漏洞，缓冲区溢出漏洞排名第一，占比18.23%，缓冲区溢出是高危型漏洞，成功利用能够远程控制目标系统。信息泄露类漏洞排名第二，占比13.06%，信息泄露是低危漏洞，黑客远程入侵一个系统首先要做就是搜集各种系统信息。输入验证、权限许可和访问控制、授权问题这三类漏洞排名三到五位，这三类属于中危漏洞，大多数工控设备访问控制和授权都有问题，成功利用这些漏洞能够远程篡改组态数据引发严重后果。路径遍历、弱身份验证、跨站脚本、加密问题和SQL注入排名六到十位，路径遍历、跨站脚本和SQL注入在WEB站点入侵中非经常见，在工控领域中也是通用。图7、全国接入互联网工控系统按漏洞类型分布图数据起源：威努特十、结论由以上统计图表和分析可知，越是科技发达、工业先进、经济领先国家或地域，暴露在网络空间工控系统数量越多，也就越轻易成为首要攻击目标。一旦关键工业控制系统受到入侵破坏，不但仅是信息泄露、设备损坏无法运行，更有可能造成环境勿扰乃至人员伤亡。对于那些包括国家层面以及军工领域工业控制系统及产品，其网络安全风险更会对国家安全造成直接影响。所以，工业控制系统安全性应该引发足够重视。第四次工业革命到来，为我国工控网络安全行业带来难得发展机遇。但因为我国工业信息化起步较晚，也存在着一系列问题，如网络安全战略不明确、网络安全标准体系建设落后、网络安全基础能力微弱、网络攻防技术能力不足等，“中国制造2025”提出制造强国战略依然任重而道远。鉴于此，国家更要建立完备工控网络安全体系，加强顶层设计，推进工控相关标准制订，同时建立健全应急响应机制，各方联动，提供更有价值威胁情报信息，为政府机构、安全厂商、企事业用户提供愈加好支持；更需要大力培养工控网络安全专业人才，推开工控网络安全学科建设，满足工控网络安全产业长久发展人才需求；最根本是主动发展信息技术，尤其是在国家工业领域一些关键基础设施和主要信息系统新建项目上，必须要强化项目规划和设计阶段信息安全风险评定，整体考虑工业控制系统安全体系，加大投资，大力发展具备自主知识产权安全防护技术和产品。习总书记强调，没有网络安全就没有国家安全，没