崔艳娜，张红金，李继安

(工业和信息化部电子第五研究所，广东广州 510610)

0 引言

随着网络信息时代的到来，我国工业模式发生了翻天覆地的变化，彻底地打破了 “信息孤岛”模式，企业全面联网，生产数据轻松地实现了汇总分析，不但提高了生产效率，还达到了节能减排的目的。信息化给工业带来的有利变化是显而易见的，但随之而来的网络安全问题又使人为之惊慌。

随着工业4.0、两化深度融合、“互联网+”“中国制造2025”和 “智能制造”等战略的提出，工业化和信息化的融合发展不断地深入，工业控制系统 (ICS：Industsrial Control Systems，简称工控系统)面临的各类安全问题和风险愈发凸现，同时我们要充分地认识到加强ICS的信息安全的重要性和紧迫性。我国政府高度重视ICS的信息安全，国务院与工业和信息化部相继下发了许多关于工业控制信息安全方面的通知文件，例如：《关于加强工控系统信息安全管理的通知》 (工信部协 〔2011〕451号)、国务院 《关于大力推进信息化发展和保障信息安全的若干意见》 (国发 [2012]23号)、2016年10月19日工业和信息化部发布的 《工控系统信息安全防护指南》、2017年6月15日工业和信息化部发布的 《工控系统信息安全事件应急管理工作指南》和2017年8月11日工业和信息化部发布的 《工控系统信息安全防护能力评估工作管理办法》等。

工业信息安全是网络强国战略的重要组成部分，是保障国家总体安全的重要内容，是推进 “互联网+”行动计划和实施制造强国战略的基础条件，特别在近年来，随着国家对 “两化”整合的深度推进，ICS的信息安全工作已经上升到了国家的战略安全层面。

1 工业控制系统和 “漏洞”的涵义

ICS是指工业自动化控制系统，也就是实现了自动化、网络化技术改造的工业控制系统，其生产和制造过程更加自动化、效率化和精确化，具有可控性和可视性。ICS由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成，包括智能电子设备 (IED)、分布式控制系统 (DCS)、可编程逻辑控制器 (PLC)、远程终端 (RTU)、SCADA和确保各种组件通信的接口技术。

如果把ICS比作人体系统的话，ICS中的 “漏洞”就像身体出现了疾患，如免疫力下降、内分泌失调等，病毒会利用这些漏洞入侵人体，在身体内产生各种不良反应，比如咳嗽、腹泻等，进而影响到身体其他部分的健康。

2 工控系统 “漏洞”类别

常见的工控漏洞包括：操作系统安全漏洞、TCP/IP漏洞、网络通信协议安全漏洞、链路连接漏洞、工控应用、杀毒软件漏洞和工控设备漏洞，以及平台配置漏洞等类别。此外，还包括安全策略和管理流程漏洞，例如：操作人员缺乏安全意识，随意地使用U盘等安全管理上的疏忽，也可能成为被黑客攻击和利用的 “漏洞”。目前，这些危险性的 “漏洞”主要通过ICS内部和外部攻击来危害ICS的安全。

美国NIST SP 800-82标准中将ICS的漏洞分为策略和指南漏洞、平台漏洞 (包括平台配置漏洞、平台硬件漏洞、平台软件漏洞和平台恶意软件防护漏洞)和网络漏洞 (包括网络配置漏洞、网络硬件漏洞、网络边界漏洞、网络监测和记录漏洞、通信漏洞和无线连接漏洞)等类别。

3 工控系统漏洞的统计与分析

随着我国工业化与信息化深度融合的快速发展，成熟的IT及互联网技术正在不断地被引入到ICS中，这必然会由于需要与其他系统进行互联、互通、互操作而打破ICS的相对封闭性。目前所使用的ICS绝大部分是多年前开发的，早期的工业控制都是相对独立的网络环境，并使用专有的硬件、软件和通信协议，ICS开发时仅重视系统功能、性能、可靠性、效率和实时性方面的实现，缺乏相应的安全考虑，安全性没有成为考量的主要指标，同时也未考虑系统对网络安全措施的需要，因此现有的ICS中难免会存在不少危及系统安全的漏洞或系统配置存在问题，而这些系统的脆弱性均有可能被系统外部的入侵攻击者所利用，轻则干扰系统运行、造成敏感信息被窃取，重则有可能造成严重的安全事件。

20世纪90年代后期，互联网的技术已进入ICS的设计中，越来越多的ICS通过信息网络连接到互联网上，这一变化使得ICS所面临的安全威胁日趋加大，ICS开始面临各种威胁，ICS中的各种通用协议、应用软件和硬件也暴露出了一些比较严重的漏洞和安全隐患，使其容易遭受来自控制系统内部和外部的各种网络攻击。只要利用这些漏洞，攻击者即可入侵ICS，获得控制器及执行器的控制权，进而破坏整个系统。安全漏洞会导致整个控制系统的安全性相当脆弱，因而解决安全防护问题已刻不容缓。

3.1 工控系统的公开漏洞分析

本文以国家信息安全漏洞共享平台 (CNVD：China National Vulnerability Database)所收录的ICS相关的漏洞信息为基础，综合分析了美国CVE[CVE]、ICS-CERT所发布的漏洞信息，共整理出了1 235个与ICS相关的漏洞 (起止时间为：2010年1月1日-2017年8月31)。本文将重点分析2010年以来漏洞的统计特征和变化趋势，主要涉及公开漏洞的总体变化趋势、漏洞的严重程度和主要ICS厂商分布情况等数据的对比分析。

3.1.1 工控系统的公开漏洞数变化趋势分析

2010年1月1日-2017年8月31日期间所公开发布的ICS相关漏洞按年度进行统计分析的结果如图1所示。从图1中可以很明显地看出：公开的ICS漏洞数总体仍呈增长趋势。

图1 公开的ICS漏洞年度变化趋势

在2010年以及2010年之前，公开披露的ICS相关漏洞数量比较少，但在2011年出现急剧增长之势，并持续到2012年，这可能是因为2010年的“震网”Stuxnet蠕虫事件之后，人们对ICS安全问题极度关注，以及ICS厂商分析解决历史遗留安全问题所造成的井喷现象。

2013-2015年期间新增的漏洞数有所下降，可能是由以下几个原因造成的。

a)ICS多为行业相关的专有系统，商用漏洞分析人员由于难以接触这些专有系统且缺乏相关行业知识而很少对其进行相应的漏洞分析与研究。

b)ICS的主力厂商，比如西门子 (Siemens)、研华 (Advantech)、施耐德 (Schneider)、罗克韦尔 (Rockwell)和Parallels等主要的ICS厂商发现在对其ICS产品的脆弱性进行针对性分析、挖掘一段时间后，在其产品中发现新漏洞的难度大大地提高，发现的公开漏洞的数量逐渐地出现增速放缓或减少的趋势，如图2所示。

图2 主要ICS厂商相关的公开漏洞的变化趋势

c)部分ICS厂商因市场的占有率很小且影响力不足等原因，逐渐地淡出漏洞挖掘分析人员的分析目标范围。

d)部分涉及关键行业系统的漏洞信息被限制公开以及由于受其他形式的交易 (诸如地下或私下形式的交易)的影响，可能有许多新发现的系统漏洞被隐瞒了，而没有被公开发布出来。

2015年开始，主要ICS厂商新增漏洞数又急剧地上升，如图3所示，这可能是由以下两个方面的原因造成的。

a)对ICS所进行信息安全攻击的动机和能力已成为现实，更进一步地加剧了这些领域的学术研究和工程实践的热度，针对ICS的信息安全攻击方法和漏洞近两年来已经成为了ICS信息安全风险评估的热点，因此发现的公开漏洞的数量也将出现快速增长的趋势。

b)现在ICS已从封闭走向开放，工控信息安全市场迎来了国产化浪潮，国内ICS信息安全产业在政策鼓励和需求的推进下，整体行业面临存量的国产化替代和增量的更新。伴随着整体信息安全重要等级的持续提升，ICS安全防护作为信息安全领域的重要子领域，将会对面临核心领域存量的国产化替代，新建设领域的国产化浪潮。更多的国内工控厂商的加入，也直接导致了公开漏洞数量的快速增长。

图3 主要ICS厂商相关的公开漏洞的变化趋势

3.1.2 工控系统的公开漏洞所涉及到的工控系统厂商的情况分析

通过对漏洞的统计分析，得到了公开漏洞所涉及的主要ICS厂商 (Top5)、各个厂商的系统中所发现的漏洞数及其占漏洞库 (Top5)中所有漏洞的比例，如图4-5所示。

分析结果表明，公开漏洞所涉及的ICS厂商主要是国际著名的ICS厂商。虽然图4-5反映的是这些公司产品的脆弱性问题，但这些数据也很可能与这些公司产品的市场排名有较大的联系。

需要说明的是，各个厂商产品的漏洞数量不仅与产品自身的安全性有关，而且也和厂商的产品数量、产品的复杂度、产品受研究者关注的程度和ICS厂商对自身系统安全性的自检力度等多种因素有关。因此，我们并不能简单地认为公开漏洞数量越多的厂商的产品就越不安全。

图4 公开漏洞所涉及到的主要ICS厂商 （Top5）

图5 公开漏洞所涉及到的主要ICS厂商的漏洞数量 （Top5）

2010-2017年期间，ICS公开漏洞的数量的变化趋势如图6所示。从图6中可以看出，自2010年以来，ICS公开漏洞数的变化呈逐步减少的趋势，在2014年减少到最少；另外从2014年ICSCERT所公布的数据中知悉，工控安全事件多集中在能源行业和关键制造业。2014年后，漏洞数的变化又有逐步增大的趋势，总体来看，随着 “两化融合”的深入，未来ICS安全漏洞和威胁还会继续增长。

图6 ICS公开漏洞数目的变化趋势

3.1.3 工控系统的漏洞严重程度统计分析

我国超过80%的涉及国计民生的关键基础设施都需要依靠ICS来实现自动化作业，因此，一旦发生安全事故，其造成的社会影响和经济损失将非常严重。CNVD在对漏洞的严重性进行统计分析时(2000年1月份-2017年8月份)，将漏洞的严重程度划分为高、中、低3个等级。ICS行业中高危、中危和低危漏洞等级的占比统计结果如图7所示。从图7中可以看出，高危漏洞的占比接近于一半 (49%)，漏洞统计数据再一次给我们敲响了警钟。

目前，我国在安全技术转化为产品的能力方面与国际先进水平有差距，在信息安全主流产品方面，我国尚未真正地进入国际主流市场的国际化安全产品行列，在产品成熟度、国际市场占有率和国际品牌影响力等方面与国际先进水平有差距。国内重要控制系统有超过80%的系统都使用的是国外的产品和技术，核心的技术和元件均掌握在他人手里，这给国内的工业网络安全形势造成了巨大的安全隐患。目前国内ICS的建设、安全防护，有相当一部分设备由西门子、研华、施耐德、罗克韦尔和Parallels等国外公司提供，因此这些ICS所具有的漏洞极易成为恶意攻击的突破口。

图7 ICS行业漏洞危险等级

3.2 工控系统漏洞的检测及防护策略建议

值得庆幸的是ICS自身的漏洞问题正在被越来越多的ICS厂商和安全机构等重视起来，我国工控信息安全市场在近年才开始进入发展阶段，目前整个市场还处于市场预热的阶段。但由于ICS漏洞存在着特殊性，商用的信息安全漏洞技术无法完全适用，解决ICS安全漏洞问题需要有针对性地实施特殊措施。因此对ICS漏洞的安全防护工作也应该尽快地得到应有的重视。对ICS漏洞的安全防护是一个系统工程，包括从技术到管理各个方面的工作。其中，最重要的就是对ICS自身漏洞的检测与发现，只有及时地发现ICS存在的漏洞问题，才能进一步地开展相应的安全加固及防护工作。

ICS在建设部署时具有设备单元数量多、物理位置分布广的特点。因此ICS漏洞检测工作需要专业的检测设备辅助进行。对此我们认为，安全行业的厂商和ICS厂商应尽早地建立合作机制、建立国家或行业级的漏洞信息分享平台与专业的关于ICS的攻防研究团队，并尽早地开发出适合于ICS使用的漏洞扫描设备。ICS的漏洞扫描器除了可以支持对常见的通用操作系统、数据库、应用服务和网络设备进行漏洞检测以外，还应该支持常见的ICS协议，识别ICS设备资产，检测ICS的漏洞与配置隐患，如图8所示。

通过使用ICS漏洞扫描器，在ICS设备上线前及维护期间进行漏洞扫描，可以及时地发现ICS存在的漏洞问题，了解ICS自身的安全状况，以便能够及时地提供针对性的安全加固及安全防护措施。因此，ICS漏洞的检测与发现对完善ICS安全的工作来说至关重要，是需要首先解决的问题之一。

图8 ICS漏洞扫描器的功能示意图

3.3 完善的工控系统的漏洞管理流程

安全管理不仅需要相关技术，更重要的是要通过流程制度对安全风险进行控制，很多公司制定了安全流程制度，但仍然有安全事故发生，归根究底，是由于ICS的漏洞管理流程不够完善造成的。人员对流程制度的执行起着关键作用，如何融入管理流程，并促进流程的执行是漏洞安全管理需要解决的问题。建议建立如图9所示的工控漏洞管理流程，并严格地按流程对工控漏洞进行管理，以切实地降低安全事故发生的频率。

图9 工控漏洞管理流程

4 结束语

综上所述，ICS安全作为一个新的、战略性的安全领域，需要国家、行业主管部门、ICS的企业及用户、ICS提供商和信息安全提供商等跨领域、跨行业的多方位的合作才能够促进ICS安全领域的发展。以国家政策、标准为导向，行业安全检查、用户安全意识培训、ICS风险评估及相应的安全产品、安全解决方案等工作的逐步推进将是ICS安全领域的发展主线。另外，建立ICS的安全性测评验证机制，提供系统漏洞信息、厂商的漏洞修补方案及安全补丁的及时通报、分享，以及可用性验证机制的辅助主线也是必不可少的。为此，我们必须将ICS信息安全摆上战略位置，提高思想重视程度，推进落实各项工作，为国家的工业生产运行提供安全的环境，为两化深度融合提供安全的保障。