工业互联网安全发展与实践分析.docxVIP

PAGE

PAGE1

PAGE

PAGE10

第一章工业互联网安全态势

本章主要以工业控制系统安全国家地方联合工程实验室（以下简称：联合实验室）漏洞库收录的工业控制系统相关的漏洞信息和奇安信安全服务中心处理的工业安全应急事件统计数据为基础，从工控漏洞的月度分布、漏洞类型、危险等级、漏洞涉及厂商、重点行业漏洞分析等方面和工业应急处理事件的行业分布、失陷方式、影响范围和攻击类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。

一、工业互联网安全漏洞态势分析

（一）工业互联网安全漏洞总体态势

在2022年，联合实验室综合参考了CommonVulnerabilitiesExposure（s

CVE）、National

VulnerabilityDatabase（NVD）和国家信息安全漏洞库（CNNVD）三大漏洞平台收录的工控系统安全漏洞信息共达370个，较2021年的636个下降了41.8%。工控系统漏洞数量月度分布如下图。

新增工控系统安全漏洞的成因多样化特征依然明显，技术类型多达30种以上。其中，SQL注入漏洞（54个）、缓冲区溢出漏洞（37个）和代码注入漏洞（26个）数量最多。2022年工控系统新增漏洞类型分布如下：

攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。

在三大漏洞平台收录的工控系统漏洞中，高危漏洞占比68.9%，中危漏洞占比为20.5%，中高危漏洞占比高达89.4%。工业控制系统多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。2022年工控系统新增漏洞危险等级分布如下：

在收录的工业控制系统漏洞中，涉及到的前十大工控厂商分别为台达电子（DeltaElectronics）、西门子（Siemens）、三菱（Mitsubishi）、3S-Smart、思科（Cisco）、艾默生

（Emerson）、罗克韦尔（Rockwell）、施耐德（Schneider）、欧姆龙（Omron）、霍尼韦尔

（Honeywell）。2022年工控新增漏洞涉及主要厂商情况如下图所示：

需要说明的是，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。

（二）制造业安全漏洞态势分析

三大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、商业设施、水务、农业、石化等关键基础设施行业。一个漏洞可能涉及多个行业，在370个漏洞中，有328个

漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达213个。对比

2021年的数据，依然是制造业和能源行业工控漏洞较多，应持续加强这两个行业工业安全建设。2022年工控新增漏洞行业分布图如下：

对2022年新增的与制造业相关的安全漏洞做进一步统计分析发现，SQL注入漏洞（54个）、缓冲区溢出漏洞（20个）、输入验证漏洞（14个）、路径遍历漏洞（14个）等最为常见。2021年制造业新增漏洞类型分布如下：

针对制造业控制系统设备，按照PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类，涉及到的前五大设备漏洞中，工业网络软件最多，数量为63个，PLC设备（38个）、SCADA（21个）、工业网络设备（7个）和HMI（4个）。制造业新增漏洞设备类型数据如下：

（三）新公开工业互联网安全CVSS10.0高危漏洞

CVSS（CommonVulerabilityScoringSystem,通用漏洞评估方法）提供了一种捕获漏洞主要特征并生成反映其严重性的数字评分的方法。数字评分以文本形式来表示，通常将数字分数转换为定性表示形式（例如低，中，高），以帮助组织正确评估漏洞管理流程并确定漏洞修复优先级。

漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分，10分为最高分，表示该漏洞的严重程度最高，一旦被攻击者利用，造成的损失也较大。本文分析2022年CVSSv3.X（CVSSv3.0或CVSSv3.1）为10的工业互联网安全高危漏洞，如表1所示，并对Rockwell和Siemens不同供应商的高