工业互联网安全现状分析.docx

工业互联网安全现状分析.docx

《工业互联网安全现状分析.docx》由会员分享，可在线阅读，更多相关《工业互联网安全现状分析.docx（28页珍藏版）》请在冰豆网上搜索。

工业互联网安全现状分析

工业互联网安全现状分析

第一章中国工业互联网安全发展现状

1.1中国工业互联网发展

工业互联网是新一代信息通信技术与现代工业技术深度融合的产物，是制造业数字化、网络化、智能化的重要载体，它满足了工业智能化发展需求，具有低时延、高可靠、广覆盖特点的关键网络基础设施，是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。

我国工业互联网发展越来越向智能化生产、网络化协同、个性化定制和服务化延伸方向发展：

◆面向企业内部的生产率提升，智能工厂路径能够打通设备、产线、生产和运营系统，获取数据，实现提质增效，决策优化，通过数据驱动，促进电子信息、家电、医药、航空航天、汽车、石化、钢铁等行业的智能生产能力。

◆面向企业外部的价值链延伸，智能产品/服务/协同路径，能够打通企业内外部价值链，实现产品、生产和服务创新，利用数据驱动促进家电、纺织、服装、家具、工程机械、航空航天、汽车、船舶等不同行业的业务创新能力。

◆面向开放生态的平台运营，工业互联网平台路径，能够汇聚协作企业、产品、用户等产业链资源，实现向平台运营的转变，利用数据驱动，促进装备、工程机械、家电等、航空航天等行业生态运营能力。

1.1.1.中国工业互联网发展特点

2018年，我国工业互联网发展进入了新的阶段，主要有以下七大特点：

一是顶层设计基本形成，战略与政策层面，国务院发布《关于深化“互联网

+先进制造业”发展工业互联网的指导意见》，从技术体系层面实现了从三大要素

（网络、数据、安全）到三大功能体系（网络、平台、安全）。

工业和信息化部出台《工业互联网发展行动计划（2018-2020年）》，明确了三大功能体系的行动目标和行动任务。

二是应用实践层面不断丰富，构架在丰富工业场景和强劲转型需求上的应用创新和模式创新，数据驱动的初步智能化，包括逐见成效的工业和ICT（包括互联网）界的相互融合。

充分体现了中国企业对数字技术和互联网更高的接受和理解以及进取性的企业家精神。

三是网络体系进一步完善，网络化的补课和新体系的创新，标识解析体系逐渐成为关注的新焦点。

四是平台体系快速增长，工业互联网平台快速增长，为企业带来了极为丰富的模式创新，同时也面临着基础能力相对不足的差距，工业互联网应用将继续发展成熟。

五是安全体系逐步建立，工业互联网安全框架已完成初步设计，安全标准体系也在建设中，同时结合工业环境的特点，在Safety（功能安全）的前提下保证Security（信息安全），未来的工业互联网信息安全体系需要充分考虑已知威胁与未知威胁的安全防护。

六是各种已有技术的深层次综合应用与新技术的突破，包括新型网络、边缘计算、人工智能、区块链、工业APP等。

七是工业互联网产业生态快速形成，工业互联网产业联盟成员队伍迅速扩大，并不断向垂直行业延伸。

但产业生态内生力量还存在不足，亟需联合产学研用多方力量，共同推动构建安全可靠的工业互联网发展环境。

1.1.2.中国工业互联网发展现状

从宏观层面看，我国工业互联网发展形成了“一大联盟”、“两大阵营”“三大路径”、“四大模式”的现状与特色：

Ø“一大联盟”指工业互联网产业联盟（AII），AII成为推动我国产业发展的重要载体，截止到2019年2月，AII已有1027家会员单位，涵盖国内外主要工业和ICT企业，AII内有21个工作组/任务组、12个垂直行业领域，AII自成立以来，共发布了33份报告、建设了45个测试床、推出了44个工业互联网优秀应用案例；

Ø“两大阵营”指应用性企业阵营和基础设施性企业两大阵营。

应用性企业主要包括各类离散制造与流程型制造企业；基础设施性企业包括网络

与电信运营商、互联网平台企业、自动化设备、软件商、集成商和部分先发性制造企业等；

Ø“三大路径”包括：

面向企业内部的生产率提升——智能工厂；面向企业外部的价值链延伸——智能产品/服务/协同；面向开放生态的平台运营——工业互联网平台；

Ø“四大模式”包括：

基于现场连接的智能化生产模式、基于企业互联的网络化协同模式、基于产品联网的服务化延伸模式和基于供需精准对接的个性化定制模式。

中国工业互联网正面临着一个重要的高速发展期，但与此同时，工业互联网所面临的安全问题日益凸现。

在设备、控制、网络、平台、数据等工业互联网主要环节，仍然存在传统的安全防护技术不能适应当前的网络安全新形势、安全人才不足等诸多问题。

1.2中国工业互联网安全框架

中国工业互联网安全框架[1]是工业互联网产业联盟在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上，并结合我国工业互联网的特点提出的，旨在指导工业互联网相关企业开展安全防护体系建设，提升安全防护能力。

工业互联网安全框架从防护对象、防护措施及防护管理三个视角构建。

针对不同的防护对象部署相应的安全防护措施，根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。

同时加强防护管理，明确基于安全目标的可持续改进的管理方针，从而保障工业互联网的安全。

工业互联网安全框架如图1所示。

图1工业互联网安全框架[1]

其中，防护对象视角涵盖设备、控制、网络、应用和数据五大安全重点：

1、设备安全：

包括工厂内单点智能器件、成套智能终端等智能设备的安全，以及智能产品的安全，具体涉及操作系统/应用软件安全与硬件安全两方面。

2、控制安全：

包括控制协议安全、控制软件安全以及控制功能安全。

3、网络安全：

包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。

4、应用安全：

包括工业互联网平台安全与工业应用程序安全。

5、数据安全：

包括涉及采集、传输、存储、处理等各个环节的数据以及用户信息的安全。

图2工业互联网防护对象

防护措施视角包括威胁防护、监测感知和处置恢复三大环节：

图3防护措施视角

1、威胁防护：

针对五大防护对象，部署主被动防护措施，阻止外部入侵，构建安全运行环境，消减潜在安全风险。

2、监测感知：

部署相应的监测措施，实时感知内部、外部的安全风险。

3、处置恢复：

建立响应恢复机制，及时应对安全威胁，并及时优化防护措施，形成闭环防御。

工业互联网安全框架的三个防护视角之间相对独立，但彼此之间又相互关联。

从防护对象视角来看，安全框架中的每个防护对象，都需要采用一系列合理的防护措施并依据完备的防护管理流程对其进行安全防护；从防护措施视角来看，每一类防护措施都有其适用的防护对象，并在具体防护管理流程指导下发挥作用；从防护管理视角来看，防护管理流程的实现离不开对防护对象的界定，并需要各类防护措施的有机结合使其能够顺利运转。

工业互联网安全框架的三个防护视角相辅相成、互为补充，形成一个完整、动态、持续的防护体系。

图4防护管理视角

防护管理视角根据工业互联网安全目标对其面临的安全风险进行安全评估，并选择适当的安全策略作为指导，实现防护措施的有效部署。

并在此过程中不断对管理流程进行改进。

第二章中国工业互联网安全威胁现状

我国的工业互联网建设非常快，据不完全统计，截止到2018年上半年，我

国的工业互联网平台数量达到269家，其中具有一定行业和区域影响力的平台就

超过了50家，重点平台平均连接的设备数量达到了59万台以上，飞速发展的同时，也带来了很多安全问题。

综合对2018年工业互联网的漏洞情况、安全事件、平台安全与应用安全等

方面的统计来看，2018年工业互联网面临的主要问题是这四大方面：

Ø工业终端成为安全最薄弱环节。

工业终端保有量大，但安全防护相对不足，继勒索病毒、挖矿木马在2017年出现后，2018年继续发酵，工业主机终端成为工业网络安全的脆弱环节。

Ø工业控制系统安全形势依然严峻。

2018年爆多起工业控制系统有重大漏洞，影响多类生产系统。

Ø工业互联网平台的安全没有形成体系。

平台的安全安全尚没有形成体系化的安全防护机制，一方面平台自身的安全性不足，另一方面平台PaaS层也缺乏健全的安全API供SaaS层调用。

Ø工业APP缺乏安全机制。

目前工业APP形态各异、种类繁多，缺乏安全机制和标准安全API。

3.1互联网安全风险

工业互联网是新一代信息通信技术与现代工业技术深度融合的产物，是制造业数字化、网络化、智能化的重要载体，它并不是独立于互联网环境的特殊个体，因此，传统的互联网漏洞风险，都会在不同层次对在工业互联网环境里的主机、网络、各类应用系统造成危害。

3.1.1互联网漏洞统计与分布

综合参考了CommonVulnerabilities&Exposures（CVE）、National

VulnerabilityDatabase（NVD）、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）所发布的漏洞信息，我们可以看到，2018年的互联网漏洞数量仍然是呈增加趋势，截至2018年12月，中国国家信息安全漏洞库

（CNNVD）新增漏洞18780个，其中没有修复的漏洞数量是5056个，国家信息

安全漏洞平台（CNVD）新增漏洞14216个，如图6所示。

18000

16000

14000

12000

10000

8000

6000

4000

2000

0

CNVD年度漏洞统计

2012年2013年2014年2015年2016年2017年2018年

图62018年CNVD与CNNVD的漏洞新增数量

根据CNNVD收录的2018年的漏洞数据显示，涉及漏洞类型主要有如下：

权限许可和访问控制、跨站脚本、SQL注入、缓冲区溢出、信息泄露等。

其中跨站脚本攻击位居高位，如图7所示，占比为34%。

2%

8%

34%

2%

10%

1%

13%

7%

1%

7%

2018年漏洞分布图

7%8%

SQL注入信息泄露加密问题授权问题

操作系统命令注入权限许可和访问控制

缓冲区溢出

图72018年CNNVD漏洞类型分布情况

3.1.2云平台与虚拟化漏洞统计

自2010年初至到2018年底，国家信息安全漏洞共享平台（CNVD）收录的

云及虚拟化相关的漏洞数以千计，经关键字查询计有1648个；漏洞数量也呈快

速增长的趋势，如图8所示，2018年度云及虚拟化相关漏洞数目较2017年有轻微下滑，但总体数目依然居高不下，能反映出厂商对于自身产品的安全重视程度（漏洞挖掘分析与修复）有所提升，但依然需要加倍努力。

云及虚拟化相关系统的脆弱性问题近几年来已经引起安全业内的重点关注。

图8近十年云及虚拟化相关漏洞数变化趋势

经统计分析，CNVD所收录的云及虚拟化漏洞的严重程度，以中等程度的居多（漏洞数目多达1084个）,占比65.77%,其次是高危漏洞（漏洞数目379），占比22.99%，如图9所示。

图9云及虚拟化相关漏洞的严重性分析

其中，针对虚拟化漏洞的统计,我们针对性的选取VMWare、Xen、KVM、OpenVZ、Hyper-V等业界主流的5种虚拟化软件，其占比统计如下图所示，可以看出商业化产品VMWare和开源软件Xen中爆出的漏洞最多，分别为47.93%和34.92%，而此两款软件也是所有虚拟化软件中用户量覆盖面较大的。

图10业界5种主流虚拟化软件漏洞占比统计

面对大量的高危级别的漏洞以及大多数漏洞具有被远程利用攻击的可能（图11所示），工业互联网利用云及虚拟化技术所构建的应用系统被远程利用攻击的可能性空前提高。

图11云及虚拟化漏洞的攻击位置统计

利用云及虚拟化相关漏洞所造成的安全威胁，主要涉及未授权的信息泄露、管理员访问权限获取、拒绝服务攻击、未授权的信息修改以及普通用户的访问权限获取等。

根据CNVD收录的云及虚拟化漏洞的统计分析发现，未授权的信息泄露、管理员访问权限获取以及拒绝服务相关的漏洞占了大多数，也就是说云计算相关的应用及服务系统的安全防护的重点将是云上的数据安全、系统管理员的账户安全以及提升抗拒绝服务攻击能力以保障云服务的业务连续性。

3.2工业互联网终端安全

3.2.1工业互联网终端安全现状

工业环境里大量使用计算机设备，例如MES系统的数据采集分析与显示的工业计算机、以及对工业控制系统进行控制操作和监控的上位机等等，这些工业主机终端都使用通用操作系统（Windows或Linux），采用通用操作系统的优势是使用简单、操作方便，但不可避免的问题是这些操作系统都存在安全风险，尤其

是Windows系统存在大量漏洞，很容易被病毒感染。

工业互联网产业联盟在2018年初发起过一项针对联盟内工业企业主机操作系统的调查，统计表明，Windows操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数，其中Windows7数量占据首位，但WindowsXP的使用比例依然超过40%，Windows操作系统的安全性仍然值得工业企业的高度重视。

图12工业环境服务器操作系统调查（多选）

工业环境主机操作系统调查（多选）

国产Linux非国产LinuxWindows10

Windows7

WindowsXP

0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%

图13工业环境主机操作系统调查（多选）

勒索软件是一种恶意加密病毒，主要通过钓鱼邮件、程序木马、网页挂马的形式进行传播，利用操作系统的漏洞，向受害终端主机或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，

如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复，危害极大。

自从2017年5月12日勒索软件Wannacry席卷全球互联网Windows系统以

来，勒索病毒事件一直呈现暴涨趋势，很多工业企业使用旧版的操作系统，没有及时打上补丁，加上内部安全意识的缺乏和安全管理措施的疏漏，大量工业内网终端主机常常是处于“无补丁”“无防护”的脆弱状态，因此终端主机极容易受勒索软件的感染，一旦感染将迅速蔓延整个工业内网，造成工业企业的巨大损失。

根据奇安信的统计数据，2018年共计430余万台计算机遭受勒索病毒攻击

2018年勒索病毒攻击量趋势

600000

500000

400000

300000

200000

100000

0

1月2月3月4月5月6月7月8月9月10月11月12月

（只包括国内且不含WannaCry数据）。

值得关注的是，在2018年11月和12月，由于GandCrab勒索病毒增加了蠕虫式（蠕虫下载器）攻击手段以及Satan勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。

图14勒索病毒攻击力量趋势[2]

2018年，瑞星检测平台共截获勒索软件感染次数687万次，其中广东省感染

179万次，位列全国第一，其次为上海市77万次，北京市52万次及江苏省33万次。

2018年勒索病毒感染地域分布

（单位：

万次）

200

180

160

140

120

100

80

60

40

20

0

广东上海北京江苏浙江山东辽宁四川安徽河南

图15勒索病毒感染地域分布[4]

勒苏病毒针对企业用户常见的传播方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。

Ø系统漏洞指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。

攻击者利用系统漏洞主要有两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。

大部分企业的网络无法做到绝对的隔离，一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。

有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

Ø远程访问。

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。

如果密码过于简单，就会给攻击者可乘之机。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

通过弱口令攻击还有另一种

方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

Ø钓鱼邮件攻击。

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个网络遭受攻击。

Øweb服务漏洞和弱口令攻击。

很多企业服务器运行了web服务器软件，开源web框架，CMS管理系统等，这些程序也经常会出现漏洞。

如果不及时修补，攻击者可以利用漏洞上传运行勒索病毒。

此外如果web服务使用弱口令也会被暴力破解，有些企业甚至一直采用默认密码从没有修改过。

ApacheStruts2是世界上最流行的JavaWeb服务器框架之一，2017年Struts2被曝存在重大安全漏洞S2-045，攻击者可在受影响服务器上执行系统命令，进一步可完全控制该服务器，从而上传并运行勒索病毒。

Ø数据库漏洞和弱口令攻击。

数据库管理软件也存在漏洞，很多企业多年没有更新过数据库软件，甚至从服务器搭建以来就没有更新过数据库管理软件，有的是因为疏忽，也有的是因为兼容问题，担心数据丢失。

如果不及时更新，会被攻击者利用漏洞上传运行勒索病毒。

3.2.22018常见的勒索病毒说明

1、WannaCry家族：

利用“永恒之蓝”漏洞传播，危害巨大[4]

WannaCry勒索病毒，最早出现在2017年5月，通过永恒之蓝漏洞传播，短时间内对整个互联网造成非常大的影响。

受害者文件被加上.WNCRY后缀，并弹出勒索窗口，要求支付赎金，才可以解密文件。

由于网络中仍存在不少未打补丁的机器，此病毒至今仍然有非常大的影响。

图16WannaCry勒索病毒

2、BadRabbit家族：

弱口令攻击，加密文件和MBR[4]

BadRabbit勒索病毒，主要通过水坑网站传播，攻击者攻陷网站，将勒索病毒植入，伪装为adobe公司的flash程序图标，诱导浏览网站的用户下载运行。

用户一旦下载运行，勒索病毒就会加密受害者计算机中的文件，加密计算机的MBR，并且会使用弱口令攻击局域网中的其它机器。

图17BadRabbit勒索病毒

3、GlobeImposter家族：

变种众多持续更新[4]

GlobeImposter勒索病毒是一种比较活跃的勒索病毒，病毒会加密本地磁盘与共享文件夹的所有文件，导致系统、数据库文件被加密破坏，由于Globelmposter采用RSA算法加密，因此想要解密文件需要作者的RSA私钥，文件加密后几乎无法解密，被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。

图18GlobeImposter勒索病毒

4、GandCrab家族：

使用达世币勒索，更新频繁[4]

Gandcrab是首个以达世币（DASH）作为赎金的勒索病毒，此病毒自出现以来持续更新对抗查杀。

被加密文件后缀通常被追加上.CRAB.GDCB.KRAB等后缀。

从新版本勒索声明上看没有直接指明赎金类型及金额，而是要求受害用户使用Tor网络或者Jabber即时通讯软件获得下一步行动指令，极大地增加了追踪难度。

随着版本的不断更新，Gandcrab的传播方式多种多样，包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。

此病毒至今已出现多个版本，该家族普遍采用较为复杂的RSA+AES混合加密算法，文件加密后几乎无法解密，最近的几个版本为了提高加密速度，对文件加密的算法开始使用Salsa20算法，秘钥被非对称加密算法加密，若没有病毒作者的私钥，正常方式通常无法解密，给受害者造成了极大的损失。

图19Gandcrab勒索病毒

5、Crysis家族：

加密文件，删除系统自带卷影备份[4]

Crysis勒索病毒家族是比较活跃的勒索家族之一。

攻击者使用弱口令暴力破解受害者机器，很多公司都是同一个密码，就会导致大量机器中毒。

此病毒运行后，加密受害者机器中的文件，删除系统自带的卷影备份，被加密文件后缀格式通常为“编号+邮箱+后缀”，例如：

id-{编号}.[gracey1c6rwhite@].bipid-{编号}.[chivas@aolonline.top].arena

病毒使用AES加密文件，使用RSA加密密钥，在没有攻击者的RSA私钥的情况下，无法解密文件，因此危害较大。

图20Crysis勒索病毒

6、Cerber家族：

通过垃圾邮件和挂马网页传播[4]

Cerber家族是2016年年初出现的一种勒索软件。

从年初的1.0版本一直更新到4.0版。

传播方式主要是垃圾邮件和EK挂马，索要赎金为1-2个比特币。

到目前为止加密过后的文件没有公开办法进行解密。

图21Cerber勒索病毒

7、Locky家族：

早期勒索病毒，持续更新多个版本[4]

Locky家族是2016年流行的勒索软件之一，和Cerber的传播方式类似，主要采用垃圾邮件和EK，勒索赎金0.5-1个比特币。

图22Locky勒索病毒

8、Satan家族：

使用多种web漏洞和“永恒之蓝”漏洞传播[4]

撒旦Satan勒索病毒运行之后加密受害者计算机文件并勒索赎金，被加密文件后缀为.satan。

自诞生以来持续对抗查杀，新版本除了使用永恒之蓝漏洞攻击之外，还增加了其它漏洞攻击。

病毒内置了大量的IP列表，中毒后会继续攻击他人。

此病毒危害巨大，也给不打补丁的用户敲响了警钟。

幸运的是此病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。

瑞星最早开发出了针对此病毒的解密工具。

图23Satan勒索病毒

9、Hc家族：

Python开发，攻击门槛低，危害较大[4]

Hc家族勒索病毒使用python编写，之后使用pyinstaller打包。

攻击者使用弱口令扫描互联网中机器植入病毒。

此病毒的出现使勒索病毒的开发门槛进一步降低，但是危险指数并没有降低。

通常使用RDP弱口令入侵受害机器植入病毒。

早期版本使用对称加密算法，密钥硬编码在病毒文件中，新版本开始使用命令行传递密钥。

图24Hc勒索病毒

10、LockCrypt家族：

加密文件，开机提示勒索[4]

LockCrypt病毒运行后会加密受害者系统中的文件，并修改文件的名称格式为:

[$FileID]=ID[$UserID].lock。

其中$FileID为原始文件名加密base64编码得到，

$UserID为随机数生成。

重启后会弹出勒索信息，要求受害者支付赎金，才可解密文