工业互联网安全现状分析Word格式文档下载.docx

1、“两大阵营”指应用性企业阵营和基础设施性企业两大阵营。应用性企业主要包括各类离散制造与流程型制造企业；基础设施性企业包括网络与电信运营商、互联网平台企业、自动化设备、软件商、集成商和部分先发性制造企业等；“三大路径”包括：面向企业内部的生产率提升智能工厂；面向企业外部的价值链延伸智能产品/服务/协同；面向开放生态的平台运营工业互联网平台；“四大模式”包括：基于现场连接的智能化生产模式、基于企业互联的网络化协同模式、基于产品联网的服务化延伸模式和基于供需精准对接的个性化定制模式。中国工业互联网正面临着一个重要的高速发展期，但与此同时，工业互联网所面临的安全问题日益凸现。在设备、控制、网络、平台、

2、数据等工业互联网主要环节，仍然存在传统的安全防护技术不能适应当前的网络安全新形势、安全人才不足等诸多问题。1.2中国工业互联网安全框架中国工业互联网安全框架1是工业互联网产业联盟在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上，并结合我国工业互联网的特点提出的，旨在指导工业互联网相关企业开展安全防护体系建设，提升安全防护能力。工业互联网安全框架从防护对象、防护措施及防护管理三个视角构建。针对不同的防护对象部署相应的安全防护措施，根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。同时加强防护管理，明确基于安全目标的可持续改进的管理方针，从而保障工业互联网的安全。工

3、业互联网安全框架如图 1 所示。图 1 工业互联网安全框架1其中，防护对象视角涵盖设备、控制、网络、应用和数据五大安全重点：1、设备安全：包括工厂内单点智能器件、成套智能终端等智能设备的安全， 以及智能产品的安全，具体涉及操作系统/应用软件安全与硬件安全两方面。2、控制安全：包括控制协议安全、控制软件安全以及控制功能安全。3、网络安全：包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。4、应用安全：包括工业互联网平台安全与工业应用程序安全。5、数据安全：包括涉及采集、传输、存储、处理等各个环节的数据以及用户信息的安全。图 2 工业互联网防护对象防护措施视角包括威胁防护、

4、监测感知和处置恢复三大环节：图 3 防护措施视角1、威胁防护：针对五大防护对象，部署主被动防护措施，阻止外部入侵， 构建安全运行环境，消减潜在安全风险。2、监测感知：部署相应的监测措施，实时感知内部、外部的安全风险。3、处置恢复：建立响应恢复机制，及时应对安全威胁，并及时优化防护措施，形成闭环防御。工业互联网安全框架的三个防护视角之间相对独立，但彼此之间又相互关联。从防护对象视角来看，安全框架中的每个防护对象，都需要采用一系列合理的防 护措施并依据完备的防护管理流程对其进行安全防护；从防护措施视角来看，每 一类防护措施都有其适用的防护对象，并在具体防护管理流程指导下发挥作用； 从防护管理视角来

5、看，防护管理流程的实现离不开对防护对象的界定，并需要各 类防护措施的有机结合使其能够顺利运转。工业互联网安全框架的三个防护视角 相辅相成、互为补充，形成一个完整、动态、持续的防护体系。图 4 防护管理视角防护管理视角根据工业互联网安全目标对其面临的安全风险进行安全评估， 并选择适当的安全策略作为指导，实现防护措施的有效部署。并在此过程中不断对管理流程进行改进。第二章 中国工业互联网安全威胁现状我国的工业互联网建设非常快，据不完全统计，截止到 2018 年上半年，我国的工业互联网平台数量达到 269 家，其中具有一定行业和区域影响力的平台就超过了 50 家，重点平台平均连接的设备数量达到了 59

6、 万台以上，飞速发展的同时，也带来了很多安全问题。综合对 2018 年工业互联网的漏洞情况、安全事件、平台安全与应用安全等方面的统计来看， 2018 年工业互联网面临的主要问题是这四大方面：工业终端成为安全最薄弱环节。工业终端保有量大，但安全防护相对不足，继勒索病毒、挖矿木马在 2017 年出现后，2018 年继续发酵，工业主机终端成为工业网络安全的脆弱环节。工业控制系统安全形势依然严峻。2018 年爆多起工业控制系统有重大漏洞，影响多类生产系统。工业互联网平台的安全没有形成体系。平台的安全安全尚没有形成体系化的安全防护机制，一方面平台自身的安全性不足，另一方面平台 PaaS 层也缺乏健全的安

7、全 API 供 SaaS 层调用。工业 APP 缺乏安全机制。目前工业 APP 形态各异、种类繁多，缺乏安全机制和标准安全 API。3.1互联网安全风险工业互联网是新一代信息通信技术与现代工业技术深度融合的产物，是制造业数字化、网络化、智能化的重要载体，它并不是独立于互联网环境的特殊个体， 因此，传统的互联网漏洞风险，都会在不同层次对在工业互联网环境里的主机、网络、各类应用系统造成危害。3.1.1互联网漏洞统计与分布综 合 参 考 了 Common Vulnerabilities & Exposures （ CVE ）、 NationalVulnerability Database（NVD）、

8、中国国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）所发布的漏洞信息，我们可以看到，2018 年的互联网漏洞数量仍然是呈增加趋势，截至 2018 年 12 月，中国国家信息安全漏洞库（CNNVD）新增漏洞 18780 个，其中没有修复的漏洞数量是 5056 个，国家信息安全漏洞平台（CNVD）新增漏洞 14216 个，如图 6 所示。18000160001400012000100008000600040002000CNVD年度漏洞统计2012年 2013年 2014年 2015年 2016年 2017年 2018年图 6 2018 年 CNVD 与 CNNVD 的漏洞新增

9、数量根据 CNNVD 收录的 2018 年的漏洞数据显示，涉及漏洞类型主要有如下： 权限许可和访问控制、跨站脚本、SQL 注入、缓冲区溢出、信息泄露等。其中跨站脚本攻击位居高位，如图 7 所示，占比为 34%。2%8%34%10%1%13%7%2018年漏洞分布图7% 8%SQL注入信息泄露加密问题授权问题操作系统命令注入 权限许可和访问控制缓冲区溢出图 7 2018 年 CNNVD 漏洞类型分布情况3.1.2云平台与虚拟化漏洞统计自 2010 年初至到 2018 年底，国家信息安全漏洞共享平台（CNVD）收录的云及虚拟化相关的漏洞数以千计，经关键字查询计有 1648 个；漏洞数量也呈快速增长

10、的趋势，如图 8 所示，2018 年度云及虚拟化相关漏洞数目较 2017 年有轻微下滑，但总体数目依然居高不下，能反映出厂商对于自身产品的安全重视程度（漏洞挖掘分析与修复）有所提升，但依然需要加倍努力。云及虚拟化相关系统的脆弱性问题近几年来已经引起安全业内的重点关注。图 8 近十年云及虚拟化相关漏洞数变化趋势经统计分析，CNVD 所收录的云及虚拟化漏洞的严重程度，以中等程度的居多（漏洞数目多达 1084 个）,占比 65.77%,其次是高危漏洞（漏洞数目 379），占比22.99%，如图 9 所示。图 9 云及虚拟化相关漏洞的严重性分析其中，针对虚拟化漏洞的统计,我们针对性的选取 VMWare

11、、Xen、KVM、OpenVZ、Hyper-V 等业界主流的 5 种虚拟化软件，其占比统计如下图所示，可以看出商业化产品 VMWare 和开源软件 Xen 中爆出的漏洞最多，分别为 47.93% 和 34.92%，而此两款软件也是所有虚拟化软件中用户量覆盖面较大的。图 10 业界 5 种主流虚拟化软件漏洞占比统计面对大量的高危级别的漏洞以及大多数漏洞具有被远程利用攻击的可能（图11 所示），工业互联网利用云及虚拟化技术所构建的应用系统被远程利用攻击的可能性空前提高。图 11 云及虚拟化漏洞的攻击位置统计利用云及虚拟化相关漏洞所造成的安全威胁，主要涉及未授权的信息泄露、管理员访问权限获取、拒绝服

12、务攻击、未授权的信息修改以及普通用户的访问权限获取等。根据 CNVD 收录的云及虚拟化漏洞的统计分析发现，未授权的信息泄露、管理员访问权限获取以及拒绝服务相关的漏洞占了大多数，也就是说云计算相关的应用及服务系统的安全防护的重点将是云上的数据安全、系统管理员的账户安全以及提升抗拒绝服务攻击能力以保障云服务的业务连续性。3.2工业互联网终端安全3.2.1工业互联网终端安全现状工业环境里大量使用计算机设备，例如 MES 系统的数据采集分析与显示的工业计算机、以及对工业控制系统进行控制操作和监控的上位机等等，这些工业主机终端都使用通用操作系统（Windows 或 Linux），采用通用操作系统的优势是

13、使用简单、操作方便，但不可避免的问题是这些操作系统都存在安全风险，尤其是 Windows 系统存在大量漏洞，很容易被病毒感染。工业互联网产业联盟在 2018 年初发起过一项针对联盟内工业企业主机操作系统的调查，统计表明， Windows 操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数，其中Windows 7 数量占据首位，但 Windows XP 的使用比例依然超过 40%，Windows 操作系统的安全性仍然值得工业企业的高度重视。图 12 工业环境服务器操作系统调查（多选）工业环境主机操作系统调查（多选）国产Linux 非国产Linux Windows 10Windows 7W

14、indows XP0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00%图 13 工业环境主机操作系统调查（多选）勒索软件是一种恶意加密病毒，主要通过钓鱼邮件、程序木马、网页挂马的形式进行传播，利用操作系统的漏洞，向受害终端主机或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复，危害极大。自从 2017 年 5 月 12 日勒索软件 Wannacry 席卷全球互联网Windows 系统以来，勒索病毒事件一直呈现暴涨趋势，很多工业

15、企业使用旧版的操作系统，没有及时打上补丁，加上内部安全意识的缺乏和安全管理措施的疏漏，大量工业内网终端主机常常是处于“无补丁”“无防护”的脆弱状态，因此终端主机极容易受勒索软件的感染，一旦感染将迅速蔓延整个工业内网，造成工业企业的巨大损失。根据奇安信的统计数据，2018 年共计 430 余万台计算机遭受勒索病毒攻击2018年勒索病毒攻击量趋势6000005000004000003000002000001000001月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月（只包括国内且不含 WannaCry 数据）。值得关注的是，在 2018 年 11 月和 12 月， 由于

16、GandCrab 勒索病毒增加了蠕虫式（蠕虫下载器）攻击手段以及 Satan 勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。图 14 勒索病毒攻击力量趋势22018 年，瑞星检测平台共截获勒索软件感染次数 687 万次，其中广东省感染179 万次，位列全国第一，其次为上海市 77 万次，北京市 52 万次及江苏省 33 万次。2018年勒索病毒感染地域分布（单位：万次）20018016014012010080604020广东 上海 北京 江苏 浙江 山东 辽宁 四川 安徽 河南图 15 勒索病毒感染地域分布4勒苏病毒针对企业用户常见的传播方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件

17、攻击、web 服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。系统漏洞指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。攻击者利用系统漏洞主要有两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。网上有大量的漏洞攻击工具， 尤其是武器级别的 NSA 方程式组织

18、工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。远程访问。由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。钓鱼邮件攻击。企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含

19、有病毒，就会导致企业整个网络遭受攻击。web 服务漏洞和弱口令攻击。很多企业服务器运行了 web 服务器软件， 开源 web 框架，CMS 管理系统等，这些程序也经常会出现漏洞。如果不及时修补，攻击者可以利用漏洞上传运行勒索病毒。此外如果 web 服务使用弱口令也会被暴力破解，有些企业甚至一直采用默认密码从没有修改过。Apache Struts2 是世界上最流行的 JavaWeb 服务器框架之一， 2017 年 Struts2 被曝存在重大安全漏洞 S2-045，攻击者可在受影响服务器上执行系统命令，进一步可完全控制该服务器，从而上传并运行勒索病毒。数据库漏洞和弱口令攻击。数据库管理软件也存在

20、漏洞，很多企业多年没有更新过数据库软件，甚至从服务器搭建以来就没有更新过数据库管理软件，有的是因为疏忽，也有的是因为兼容问题，担心数据丢失。如果不及时更新，会被攻击者利用漏洞上传运行勒索病毒。3.2.22018 常见的勒索病毒说明1、WannaCry 家族：利用“永恒之蓝”漏洞传播，危害巨大4WannaCry 勒索病毒，最早出现在 2017 年 5 月，通过永恒之蓝漏洞传播，短时间内对整个互联网造成非常大的影响。受害者文件被加上.WNCRY 后缀，并弹出勒索窗口，要求支付赎金，才可以解密文件。由于网络中仍存在不少未打补丁的机器，此病毒至今仍然有非常大的影响。图 16 WannaCry 勒索病毒

21、2、BadRabbit 家族：弱口令攻击，加密文件和 MBR4Bad Rabbit 勒索病毒，主要通过水坑网站传播，攻击者攻陷网站，将勒索病毒植入，伪装为 adobe 公司的 flash 程序图标，诱导浏览网站的用户下载运行。用户一旦下载运行，勒索病毒就会加密受害者计算机中的文件，加密计算机的MBR，并且会使用弱口令攻击局域网中的其它机器。图 17 BadRabbit 勒索病毒3、GlobeImposter 家族：变种众多持续更新4GlobeImposter 勒索病毒是一种比较活跃的勒索病毒，病毒会加密本地磁盘与共享文件夹的所有文件，导致系统、数据库文件被加密破坏，由于Globelmposte

22、r 采用 RSA 算法加密，因此想要解密文件需要作者的 RSA 私钥，文件加密后几乎无法解密，被加密文件后缀曾用过 Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444 等。图 18 GlobeImposter 勒索病毒4、GandCrab 家族：使用达世币勒索，更新频繁4Gandcrab 是首个以达世币（DASH）作为赎金的勒索病毒，此病毒自出现以来持续更新对抗查杀。被加密文件后缀通常被追加上.CRAB .GDCB .KRAB 等后缀。从新版本勒索声明上看没有直接指明赎金类型及金额，而是要求受害用户使用 Tor 网络或者 Jabber 即时

23、通讯软件获得下一步行动指令，极大地增加了追踪难度。随着版本的不断更新，Gandcrab 的传播方式多种多样，包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。此病毒至今已出现多个版本，该家族普遍采用较为复杂的 RSA+AES 混合加密算法，文件加密后几乎无法解密，最近的几个版本为了提高加密速度，对文件加密的算法开始使用 Salsa20 算法，秘钥被非对称加密算法加密，若没有病毒作者的私钥，正常方式通常无法解密，给受害者造成了极大的损失。图 19 Gandcrab 勒索病毒5、Crysis 家族：加密文件，删除系统自带卷影备份4Crysis 勒索病毒家族是比较活跃的勒索家族之一。攻击者使用

24、弱口令暴力破解受害者机器，很多公司都是同一个密码，就会导致大量机器中毒。此病毒运行后，加密受害者机器中的文件，删除系统自带的卷影备份，被加密文件后缀格式通常为“编号+邮箱+后缀”，例如：id-编号.gracey1c6rwhite.bip id-编号.chivasaolonline.top.arena病毒使用 AES 加密文件，使用 RSA 加密密钥，在没有攻击者的 RSA 私钥的情况下，无法解密文件，因此危害较大。图 20 Crysis 勒索病毒6、Cerber 家族：通过垃圾邮件和挂马网页传播4Cerber 家族是 2016 年年初出现的一种勒索软件。从年初的 1.0 版本一直更新到 4.0

25、 版。传播方式主要是垃圾邮件和 EK 挂马，索要赎金为 1-2 个比特币。到目前为止加密过后的文件没有公开办法进行解密。图 21 Cerber 勒索病毒7、Locky 家族：早期勒索病毒，持续更新多个版本4Locky 家族是 2016 年流行的勒索软件之一，和 Cerber 的传播方式类似，主要采用垃圾邮件和 EK，勒索赎金 0.5-1 个比特币。图 22 Locky 勒索病毒8、Satan 家族：使用多种 web 漏洞和“永恒之蓝”漏洞传播4撒旦 Satan 勒索病毒运行之后加密受害者计算机文件并勒索赎金，被加密文件后缀为.satan。自诞生以来持续对抗查杀，新版本除了使用永恒之蓝漏洞攻击之

26、外，还增加了其它漏洞攻击。病毒内置了大量的 IP 列表，中毒后会继续攻击他人。此病毒危害巨大，也给不打补丁的用户敲响了警钟。幸运的是此病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。瑞星最早开发出了针对此病毒的解密工具。图 23 Satan 勒索病毒9、Hc 家族：Python 开发，攻击门槛低，危害较大4Hc 家族勒索病毒使用 python 编写，之后使用 pyinstaller 打包。攻击者使用弱口令扫描互联网中机器植入病毒。此病毒的出现使勒索病毒的开发门槛进一步降低，但是危险指数并没有降低。通常使用 RDP 弱口令入侵受害机器植入病毒。早期版本使用对称加密算法，密钥硬编码在病毒文件中，新版本开始使用命令行传递密钥。图 24 Hc 勒索病毒10、LockCrypt 家族：加密文件，开机提示勒索4LockCrypt 病毒运行后会加密受害者系统中的文件，并修改文件的名称格式为:$FileID=ID $UserID.lock。其中$FileID 为原始文件名加密 base64 编码得到，$UserID 为随机数生成。重启后会弹出勒索信息，要求受害者支付赎金，才可解密文