工业控制系统信息安全态势分析.pdf

工业控制系统信息安全态势分析

，工业控制系统信息安全总体形势并不乐观。其一，工业控制

系统面临的安全威胁持续增长，工控安全漏洞仍处高发状态，

针对工控网络的APT攻击明显增加，已对工业生产运行造成

“实质性”影响。其二，工业领域虽已关注工控系统的信息安

全问题，但受限于工业环境特殊性、安全防护技术成熟度、基

层人员安全意识等多种因素的限制，目前我国工业控制系统的

信息安全防护水平相对前几年状况并未好转。其三，随着“互

联网+”、物联网、智能制造、智慧城市、车联网等各种创新

应用不断发展和深入，工业控制系统未来面临网络攻击风险将

进一步加大。

一、工控安全漏洞与安全事件依然突出

通过对国家信息安全漏洞库(CNNVD)的数据进行分析，工

控安全漏洞呈现以下几个特点：

1.工控安全漏洞披露数量居高不下，总体呈递增趋势。受

“震网病毒”事件影响，工控信息安全迅速成为安全领域的焦

点。国内外掀起针对工控安全漏洞的研究热潮，因此自以后工

控漏洞披露数量激增，占全部数量的96%以上。随着国内外对

工控安全的研究逐渐深入，以及工控漏洞的公开披露开始逐渐

制度化、规范化，近几年漏洞披露数量趋于稳定。

2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的

工控系统漏洞中软件漏洞数量仍高居首位，但近几年工控硬件

漏洞数量增长明显，所占比例有显著提高。例如，工控硬件漏

洞占比不足10%，但是其占比高达37.5%。其中，工控硬件包

括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设

备(IED)及离散控制系统(DCS)等。

3.漏洞已覆盖工控系统主要组件，主流工控厂商无一幸

免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还

是国内工控厂商(研华)，其产品普遍存在安全漏洞，且许多漏

洞很难修补。在新披露的工控漏洞中，西门子、施耐德、罗克

韦尔、霍尼韦尔产品的漏洞数量分列前四位。

二、工控信息安全标准需求强烈，标准制定工作正全面推

进

尽管工控信息安全问题已得到世界各国普遍重视，但在工

业生产环境中如何落实信息安全管理和技术却没有切实可行的

方法，工控信息安全防护面临着“无章可循”，工控信息安全

标准已迫在眉睫。当前，无论是国外还是国内，工控信息安全

标准的需求非常强烈，标准制定工作也如火如荼在开展，但工

控系统的特殊性导致目前工控安全技术和管理仍处探索阶段，

目前绝大多数标准正处于草案或征求意见阶段，而且在设计思

路上存在较为明显的差异，这充分反映了目前不同人员对工控

信息安全标准认识的不同，因此工控信息安全标准的制定与落

地任重道远。

1.国外工控信息安全标准建设概况

IEC62443(工业自动化控制系统信息安全)标准是当前国

际最主要的工控信息安全标准，起始于，但至今标准制定工作

仍未结束，特别是在涉及到系统及产品的具体技术要求方面尚

有一段时日。

此外，美国在工控信息安全标准方面也在不断推进。其国

家标准技术研究院NIST早在发布了《工业控制系统安全指

南》(NISTSP800-82)，并发布了修订版2，对其控制和控制

基线进行了调整，增加了专门针对工控系统的补充指南。在奥

巴马政府发布美国总统第13636号行政令《提高关键基础设计

网络安全》后，NIST也随即发布了《关键基础设施网络安全

框架》，提出“识别→保护→检测→响应→恢复”的总体框

架。

2.国内工控信息安全标准建设概况

在国内，两个标准化技术委员会都在制定工控信息安全标

准工作，分别是：全国信息安全标准化技术委员会

(SAC/TC260)，以及全国工业过程测量与控制标准化技术委员

会(SAC/TC124)。

其中，由TC260委员会组织制定的《工业控制系统现场测

控设备安全功能要求》和《工业控制系统安全控制应用指南》

处于报批稿阶段，《工业控制系统安全管理基本要求》、《工

业控制系统安全检查指南》、《工业控制系统风险影响等级划

分规范》、《工业控制系统安全防护技术要求和测试评价方

法》和《安全可控信息系统(电力系统)安全指标体系》正在制

定过程中，并且在新启动了《工业控制系统产品信息安全通用

评估准则》、《工业控制系统漏洞检测技术要求》、《工业控

制系统网络监测安全技术要求和测试评价方法》、《工业控制

网络安全隔离与信息交换系统安全技术要求》、《工业控制系

统网络审计产品安全技术要求》、《工业控制系统