20140916_NSF-PROD-ICSScan-V6.0-产品白皮书-V1.0.docVIP

绿盟工控漏洞扫描系统 产品白皮书 ? 2014 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 一. 概述 1 二. 工控安全评估面临的挑战 3 2.1 工业控制系统面临更加苛刻的安全性要求 3 2.2 如何把成熟的IT风险评估技术移植到工业控制系统环境中 4 三. 绿盟工控漏洞扫描系统 5 3.1 产品概述 5 3.2 产品特性 6 3.2.1 覆盖多样的工业控制系统 6 3.2.2 基于总线转换的漏洞扫描技术 7 3.2.3 无损扫描技术 9 3.2.4 可视化的工控风险展示 9 3.2.5 基于工控资产的漏洞跟踪 9 3.2.6 完善的漏洞管理流程 10 3.2.7 高可靠的自身安全性 10 3.2.8 持续快速漏洞响应机制 10 3.3 典型部署模式 11 四. 结语 11 五. 附录 12 概述 实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标，党的十八大提出要“坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路”。相比西方发达国家因为历史原因形成的“先工业化再信息化”的发展路径(比如德国政府在2013年提出的“工业4.0”国家战略)，我国成功抓住了新一轮全球科技革命和产业变革机遇，实现了工业化和信息化同步发展。 而工业控制系统在工业信息化中有着举足轻重的位置，其广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业，被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节，保证工业设施的正常运转，是国家关键基础设施和信息系统的重要组成部分。Flame、Duqu7事件的爆发，因其危害的规模、发起者的属性(国家级别)、操作的复杂性，震惊了全世界，也极大促使了各国政府对工控安全的重视。 专门针对工控系统的新型攻击—Havex 2014年又出现了继震网病毒以后的超级病毒，专门针对工控系统的新型攻击—Havex ，其变种多(F-Secure声称他们已收集和分析了Havex RAT的88个变种)、危害大（Havex可感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载，甚至可以做到按一下键盘就能关闭一个国家的电网）、范围广(ICS-CERT的安全通告称当前至少已发现3个著名的工业控制系统提供商的Web网站已受到该恶意代码的感染)。 持续威胁的黑客组织—“蜻蜓组织” 在2014年1月，网络安全公司CrowdStrike曾披露了一项被称为“Energetic Bear”的网络间谍活动，在这项活动中黑客们可能试图渗透欧洲、美国和亚洲能源公司的计算机网络。根据赛门铁克的研究报告称，黑客组织Energetic Bear也被称为“蜻蜓Dragonfly”，这是一个至少自2011年起便开始活跃的东欧黑客团体。蜻蜓组织最初的攻击目标是美国和加拿大的国防和航空企业，但从2013年开始，蜻蜓组织的主要目标转向许多国家的石油管道运营商、发电企业和其他能源工控设备提供商，即以那些使用工控系统来管理电、水、油、气和数据系统的机构为新的攻击目标。 总的来说，面对攻击技术与手段日益先进、复杂、成熟的针对工控系统进行攻击的行为，工控系统所面临的安全威胁也将日益严峻。 而通过对这些众多的工控安全事件深入分析可以看到，其有一个核心的关键环节就是利用了工业控制系统的“漏洞”，进而攻陷了整个工业控制系统。而工业控制系统公开的漏洞也是呈现出快速增长的趋势(如图1-2所示)。 图1-2 公开的ICS漏洞的年度变化趋势 其中： 公开漏洞中以SCADA/HMI系统相关的漏洞为主，其占比超过40% 2014年的新增漏洞中“高危”漏洞（CVSS值范围7.0~10.0）超过一半（51%），且基本上都是严重性程度为“中”以上（CVSS值大于等于4.0）的漏洞 公开漏洞所涉及的工业控制系统厂商仍然是以国际著名的工业控制系统厂商为主，西门子（Siemens）、施耐德电气（Schneider）、研华科技（Advantech）、通用电气（GE）与罗克韦尔（Rockwell）占据漏洞数排行榜的前五名 因此，如何在黑客成功攻击工业控制系统之前帮助企业发现漏洞，进而促使其完善系统，成为保障工业控制系统安全运行、增强企业安全健壮性的必要手段。 工控安全评估面临的挑战 工业控制系统面临更加苛刻的安全性要求 在工业控制系统中，无论是一次系统还是二次系统，以及间隔层还是过程层，业务的连续性、健康性是至关