摘要:该文以山西省工业互联网安全态势为分析目标,主要对全省核心联网工控设备、智能联网设备对外通联情况和资产规模进行了分析,对发现的资产存在的漏洞进行了说明,对工业互联网平稳发展提出了安全建议,有效降低了省内工业互联网的网络安全风险。
关键词:工业互联网;关键信息基础设施;网络安全
1背景概述
随着工业互联网、物联网、云计算、大数据、移动互联网等技术快速发展和应用,IT与OT技术加速融合,工业体系加速与互联网融合,逐渐成为网络攻击的目标,2019年3月7日,委内瑞拉国家电力系统遭受网络攻击,造成全国大面积断电,当地人民生活面临困境。工业互联网安全问题越来越受到各国的重视,同时工业互联网也成为全球主要工业国家寻求经济新增长点的共同选择,是抢占新一轮工业革命发展制高点、加强网络安全工作的重要基石。许多发达国家的重点工业企业和网络安全企业以加强合作,比如法国的工业企业施耐德和以色列工业互联网安全企业Waterfall合作,为其200多个国家的用户提供安全服务。2018年5月31日,工业和信息化部印发《工业互联网发展行动计划(2018-2020年)》[1],2019年7月26日,工业和信息化部等十部门联合印发《加强工业互联网安全工作的指导意见》[2],提出“加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障”、“推动工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定”等要求,提升工业互联网安全保障能力。加强工业互联网安全工作,是加快构建工业互联网安全保障体系,落实国家总体安全观、保障“两个强国”建设的关键举措,是筑牢网络安全防线、应对日益复杂网络安全形势的必然要求。
1.1基本情况
山西省人民政府2018年8月24日印发了《山西省人民政府关于深化“互联网+先进制造业”发展工业互联网的实施意见》,明确提出2018-2020年,结合山西省工业发展区域特点,以特色制造业和产业聚集区为载体,推动标识解析、工业互联网平台等工业互联网关键技术在山西落地应用,提升产业竞争能力,打造工业互联网产业生态[3]。山西省作为国内重工业和制造业大省,当前煤炭、冶金、化工、机电等行业正面临自动化、数字化、智能化改造的关键时期,大量传统工业控制系统向工业互联网方向转型升级,其中工业互联网安全是专项升级的重要保障,是关键信息基础设施保护的主要环节[3]。
1.2面临的安全挑战
随着工业企业封闭的工业控制系统逐步实现开放互联,工业企业内外部安全问题交织在一起,有组织的网络对抗加剧,工业互联网系统面临严峻的网络安全挑战,国家安全和利益面临严重威胁。山西作为能源和制造业大省,工业互联网安全成为经济稳定发展的前提和保障,因此需要对山西省工业互联网终端设备、云平台、工业APP等要素相关的网络安全事件进行监测和预警。
2工业互联网暴露资产
对山西省联网工控设备进行监测分析,发现来自Shodan、Umich等境外探测组织针对主流工控协议端口的探测事件共计999357起;发现针对山西省重点云平台网络攻击事件100余起,攻击类型涉及漏洞利用、拒绝服务等。
2.1核心联网工控设备
对山西省联网核心工控设备常用通信协议及端口(例如S7comm、Modbus、BACnet、Fox等)开展主动探测与识别分析,共探测发现山西省联网核心工控设备41例,其资产统计分析如图1和图2所示。
2.2智能监控设备
通过探测分析,发现山西省联网智能监控设备3914例。
3工业互联网资产安全漏洞风险分析
通过对山西省工业互联网暴露的资产进行分析,同时对漏洞存在情况进行整理,共发现暴露资产主要存在以下4个类型的高危安全漏洞:(1)CNVD-2019-00986(漏洞评分7.8):该漏洞为SiemensSIMATICS7-300CPU拒绝服务漏洞。该漏洞是由于受影响的CPU未能正确地验证S7通信包,允许攻击者利用该漏洞导致CPU的拒绝服务状态。(2)CNVD-2019-14437(漏洞评分7.8):该漏洞为CiscoIOS和IOSIPSLA拒绝服务漏洞。由于CiscoIOS和IOSXE中对IP服务等级协议数据包的处理过程存在安全漏洞,攻击者可通过发送特制的IPSLA数据包利用该漏洞造成拒绝服务。(3)CNVD-2019-17496(漏洞评分7.2):该漏洞为大华IP摄像机缓冲区溢出漏洞。漏洞存在于用于串口打印信息重定向显示的功能,产品基础业务使用不到此功能。攻击者在本地登录后,可以利用此漏洞导致设备重启或任意代码执行。(4)CNVD-2018-17379(漏洞评分7.3):该漏洞为海康威视网络摄像机缓冲区溢出漏洞。该漏洞源于未能充分的验证输入信息。攻击者可通过向受影响的设备发送特制的消息利用该漏洞损坏内存,执行任意代码或造成进程崩溃。
4措施和建议
本次对山西省工业互联网网络设备和资产的探测发现了目前省内一些暴露在互联网中的漏洞,网络攻击者可以利用这些漏洞对工业联网设备发起攻击,严重影响工业互联网网络安全。通过对监测数据的分析整理,提出如下建议[4-7]。(1)加快建立工业互联网标识解析系统和认证工作。着手建设工业互联网标识解析体系。(2)大力开展可信计算在工业互联网中的应用。构建安全计算环境、可靠的安全传输数据机制,充分应用可信计算技术,大力推广可信产品在工业领域的应用。(3)建立健全法律体系、提倡自主可控。加快工业信息安全法制建设,积极开展工业互联网产品和系统的安全审查工作,鼓励各企业广泛使用自主可控的产品。(4)开展工控安全研究、实践、评估和攻防演练。定期开展重要工业互联网和系统的安全评估、定期开展工业互联网的攻防演练,以实操锻炼攻防队伍,提升应急处置的能力。(5)大力开展人员意识和技能培训。制定人才培养的策略和机制,定期开展人员安全意识和技术技能培训。
5总结
在国家大力推动工业互联网发展的背景下,所面临的网络安全问题愈加凸显,网络攻击已逐渐渗透到OT(OperationTechnology)环境,安全防护是当务之急[8-9]。本文通过对山西省工业互联网网络安全发现的现状进行监测分析,对山西省工业互联网面临的安全风险、漏洞情况进行了介绍,希望可以为工业互联网网络安全的发展提供帮助,为关键信息基础设施保护提供参考。
作者:刘泳锐 单位:国家计算机网络与信息安全管理中心山西分中心
