河北省工业控制系统信息安全态势分析及对策建议

李浩伟，光鹏云，杨志辉

（河北省工业和信息化发展研究院，河北 石家庄 050000）

0 引言

随着云计算、大数据、人工智能等新一代信息技术与制造技术加速融合，病毒、木马等传统网络威胁持续向工业控制系统蔓延，勒索攻击等新型攻击模式不断涌现，安全事件频发，整体安全形势严峻。为应对日趋严峻的工业控制系统信息安全形势，对低防护联网设备、网络攻击、高危风险、安全漏洞数据的分析可为为主管部门决策支撑、工业企业安全防护提供精准服务。本文以河北省工控信息安全态势感知和监测预警平台为依托，介绍了工业控制系统信息安全态势感知技术，分析了河北省工业控制系统信息安全态势，对下一步提升全省工业控制系统信息安全防护能力提出建议[1-2]。

1 工业控制系统定义及分类

工业控制系统是指工业生产控制各业务环节涉及的有关人员、软硬件系统和平台的集合。包括但不限于：可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监控系统（SCADA）等工业生产控制系统；紧急停车系统（ESD）、安全仪表系统（SIS）等工业控制过程安全保护系统；制造执行系统（MES）、企业资源计划系统（ERP）等工业生产调度与管理信息系统；工业云平台、工业大数据平台等工业服务应用系统[3-4]。

2 工业控制系统信息安全态势感知技术介绍

为洞悉工业控制系统及设备面临的安全风险，在国家《工业控制系统信息安全行动计划（2018-2020年）》的支持下，工信部及地方工信主管部门牵头启动建设了国家、省、企业三级联动的国家工业控制系统信息安全态势感知体系[5]。通过威胁匹配、大数据分析等技术，实现工业控制系统信息安全态势的实时感知与可视化展示，体系建设过程中综合使用了以下4种核心技术[6-7]。

2.1 在线监测技术

在线监测技术是发现暴露在互联网上工业控制系统及设备的最有效方式之一，其核心技术是在互联网搜索引擎的基础上加入工业控制系统及设备的资产特征，通过搜索引擎扫描抓取公网目标网段IP地址返回的工控资产特征信息，从而确定暴露在互联网上的工业控制系统及设备。

2.2 蜜罐仿真技术

蜜罐仿真技术是一种通过欺骗恶意攻击者，进而采集黑客攻击手段、方法，保护真实系统的诱骗技术，蜜罐通常被安装在公网中，用来吸引黑客对其进行扫描和攻击。

2.3 网络流量分析技术

网络流量分析技术是对网络侧流量特征、性能特征、可靠性与安全性特征以及网络行为模型的分析及处理，关系到工业互联网资源的充分利用与风险监测。

2.4 工业企业侧探针技术

工业企业侧探针技术是采用旁路监听的方式将企业探针设备部署在交换机旁，通过对工业网络流量的采集、分析、监测，再结合特定的安全策略，快速、有效识别出工业控制网络中存在的网络异常行为和网络攻击行为，并进行实时记录。

3 河北省工业控制系统信息安全态势分析

3.1 低防护联网设备情况

（1）低防护联网设备数量持续增长。据统计显示，截至2021年7月底，河北省暴露在公共互联网上的各类低防护设备数量总计超过22万个，其中工业控制系统设备数量已达到788个，在全国占比超过3.5%，排名第10。数量最多的工业控制系统设备为SCADA和电力系统，分别为244个和183个，占工业控制系统设备的30.9%和23.2%。如图1为河北省低防护联网工控设备类型分布图。

图1 河北省低防护联网工控设备类型分布

（2）联网设备多集中在工业发达地市。从地区分布来看，暴露在互联网上的工控设备更集中在工业较发达的地市，其中石家庄市、唐山市、保定市数量最多，在全省占比分别为36.8%、14.4%、12.5%，如图2为各地市低防护联网工控设备数量分布图。

（3）联网设备系统覆盖国内外主要品牌。暴露在互联网上的工控设备涵盖多个品牌和设备类型，具体包括力控、宏电、西门子、亚控、Wonderware、紫金桥等品牌的PLC、SCADA、组态软件、数据库等，其中力控、宏电、西门子的工业控制系统数量最多，占比分别为17.1%、14.0%、12.0%，如图3所示为低防护联网工控设备品牌分布情况。

图2 河北省低防护联网工控设备数量

图3 河北省低防护联网工控设备品牌分布

3.2 设备漏洞情况

（1）低防护联网设备携带大量漏洞。根据低防护联网设备信息和公开漏洞库关联数据显示，截至2021年7月底，河北省暴露在互联网上的各类低防护联网设备共关联到322516个漏洞，其中Modbus协议设备漏洞3345个，SCADA漏洞1679个，PLC漏洞1420个，EtherNetIP协议设备漏洞91个。暴露在互联网上的低防护设备极易受到不法分子的利用，需要引起重视。

（2）摄像头高危漏洞占比较高。在所有低防护联网设备种，摄像头的高危漏洞占比最高，有289748个，占比91.7%。在低防护工业控制系统及设备漏洞中，EtherNetIP协议设备高危漏洞占比较高，有63个，占比69.2%。此外，SCADA协议设备高危漏洞1117个，占比66.5%；Modbus协议设备高危漏洞2007个，占比60%；PLC高危漏洞413个，占比29.1%，如表1所示。

表1 低防护联网工控设备关联漏洞数量（数据来源：国家工业信息安全发展研究中心）

3.3 攻击捕获情况

（1）网络攻击多来自欧美国家。根据蜜罐网络捕获攻击数据显示，2021年1月至7月，针对河北省工业控制系统发起的探测扫描、恶意命令上传等网络攻击活动近27.5万次，涉及3000余个恶意IP地址。其中，7月共捕获来自境外37个国家和地区对河北地区工业控制系统实施的恶意行为共计7.2万次，来自荷兰的攻击次数最多，达2.6万次，占比35.7%，其次是法国和加拿大，分别为1.4万次和1.2万次，占比20%和16.7%，如图4为捕获攻击的境外来源国家分布图。

图4 工控蜜罐捕获攻击的来源国家（境外）分布图

（2）IEC104协议蜜罐是网络黑客攻击主要目标。从协议种类看，2021年1月至7月期间，IEC104、S7comm、ATGs等工控协议设备受到的攻击次数最多，其中IEC104协议蜜罐捕获攻击高达163624次/蜜罐，IEC104协议蜜罐主要模拟仿真的是电力系统和城市轨道交通工控环境，电力系统和城市轨道交通安全对于经济社会发展和稳定至关重要，需尽快对其工控信息安全状态进行密切监测。如图5为受攻击工控协议数量分布图。

图5 受攻击工控协议设备数量分布图

4 对策建议

提升工业控制系统信息安全防护能力是一项开创性工作，也是一项极具复杂性和艰巨性的系统工程，应坚持技术管理并重，强化安全管理机制建设，着力推动企业主体责任落实[8]。

4.1 建立工业控制系统信息安全预警通报机制

建立工业信息安全通报机制，建设完善省级工业信息安全通报平台，强化企业主体责任落实和重大活动保障，提升企业侧工控安全监测预警能力。

4.2 建立工业控制系统信息安全应急管理体系

构建省市两级的工业领域工控系统信息安全应急预案体系，加强应急队伍建设和应急资源储备，定期开展应急演练，提高全省工控安全应急处置能力。

4.3 建立工业控制系统信息安全长效管理机制

落实企业主体责任，提高企业安全意识，定期开展重点行业工控安全风险评估和检查工作，形成可推广可复制的安全防范典型案例，组织开展工业控制系统信息安全培训。

5 结语

河北省工业正处于数字化转型的关键时期，在全面进入信息时代并逐步迈向智能时代的今天，工业信息安全保障体系建设，对支撑河北工业转型升级和制造强省建设至关重要。河北应在保障工业控制系统信息安全方面做好顶层规划，健全工业信息安全保障体系，鼓励工业企业与京津高新、科研院所开展产学研用协同创新，尽快推出面向工业企业的工业信息安全整体解决方案，加强培训，引导企业主体责任落实和方案推广，全面提升工业企业工业信息安全保障能力和水平。