新聞中心

當前頁面: 首頁 >新聞中心 >業界動態 >西門子等企業的產品都有安全漏洞,工業互聯如何邁步?

西門子等企業的產品都有安全漏洞,工業互聯如何邁步?

供稿:中國工控網 2019/10/11 18:12:39
0 人氣:--

本文將從安全漏洞事件、gongkong?市場調查、國家政策等多方面來闡述政策制定者、工控市場供應商以及使用者對工控安全的認知。

近年來,工控安全事件頻發,工控安全漏洞數量持續增長,工業控制系統面臨著日益嚴峻的安全形勢。

2018年重大工控安全漏洞:大牌企業赫然在列

◆ 羅克韋爾工控設備曝多項嚴重漏洞

2018年3月,思科Talos安全研究團隊發文指出羅克韋爾自動化公司的Allen-BradleyMicroLogix1400系列可編程邏輯控制器(PLC)中存在多項嚴重安全漏洞。并且該系列的可編程邏輯控制器被各關鍵基礎設施部門廣泛運用于工業控制系統(ICS)的執行過程控制。

◆ 西門子繼電保護設備曝高危漏洞

2018年4月,ICS-CERT(美國工控系統網絡應急響應小組)發布安全通告稱使用EN100以太網通信模塊和DIGSI4軟件的西門子繼電保護設備SIPROTEC4、SIPROTECCompact、Reyrolle存在三個高危漏洞。此類設備用于控制和保護變電站及其他電力基礎設施。

◆ 思科產品存在SAML身份驗證系統漏洞

2018年4月,思科公司發布了一個關于SAML身份驗證系統的嚴重漏洞通告(CVE-2018-0229)。該漏洞允許未經身份驗證的遠程攻擊者通過運行ASA(自適應安全設備軟件)或FTD(威脅防御軟件)來建立偽造的AnyConnect(桌面移動客戶端軟件)會話。AnyConnect、ASA、FTD等基礎套件被廣泛應用于思科的工業安全設備、工業防火墻等設備中,一旦被利用將會導致嚴重的網絡安全風險。

根據國家信息安全漏洞共享平臺(CNVD)已收錄的工業控制系統漏洞涉及20多個工業相關產品顯示,2018年數量最多的五大工控廠商的安全漏洞數量中,羅克韋爾最多,為19個,其次是研華18個,西門子和施耐德電氣均為15個。

【需要說明的是,收錄的漏洞越多,不等于相關廠商的設備越不安全,因為往往是使用越廣泛的系統,越受安全工作者的關注,所以被發現和披露的漏洞也越多。】

gognkong?調查:缺乏足夠認知

gognkong?通過對石化、油氣、化工、冶金、造紙等30余家用戶的實地調研發現:工業控制系統信息安全在全球范圍內都處于初步發展階段,工控安全防護、認證、標準等體系仍有待于進一步完善,中國也不例外。市場仍然以工業隔離網關和工業防火墻等隔離類產品為主。

屏幕快照 2019-10-10 下午9.09.57.png

數據來源:gongkong

目前,由于整體性的工控安全解決方案尚不成熟,并且防護成本過高,用戶企業基本不會考慮。即使考慮信息安全防護,一般也只是選擇局部性信息安全方案。目前市場上,多數用戶企業對于信息安全缺乏足夠的認知,認知比例很低。

少部分認知較高的用戶企業,在導入局部工控安全方案時,一般會將DCS生產系統和MES系統分開考慮。比如石化、化工等對于安全性要求較高的行業,在預算經費能夠承擔的前提下,部分企業會選擇在新建項目時,要求DCS系統附帶信息安全,此時DCS生產系統供應商一般會向廠商推薦標配方案。而在MES系統層級,用戶企業多會選擇內資信息安全品牌。

典型用戶需求分析:

屏幕快照 2019-10-10 下午9.13.27.png

◆ 工控安全配套現狀(左圖):

企業用戶普遍沒有整體的工控安全解決方案,目前以系統配套殺毒軟件/防火墻和網關類信息安全產品為主,殺毒軟件不運行和病毒庫不更新情況比比皆是。

◆ 工控安全計劃規劃(中圖):

多數企業無明確的工控安全解決方案實施規劃,部分外資企業在全球總部的主導下,進行信息安全解決方案優化外,部分其他企業主要規劃網關類產品的配套引進。

◆ 工控安全規劃原因(右圖):

信息安全解決方案規劃決策一般都由企業集團相關信息化部主導,分發到各地分公司統一執行,因而集團分公司往往無相關規劃,除此之外企業虧損無預算和缺乏信息安全意識也是重要原因。

國家政策:催生工控安全市場需求

如今,網絡安全已上升為國家戰略,網絡安全體系系列標準日趨完善,國家網絡安全等級保護2.0機制的推進,多重政策導向利好,將促進中國工控安全防護能力的提升。

具體表現在:

網絡安全已上升為國家戰略,國家對工控安全的監管會更加嚴格

2018年《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護條例》等與工控安全相關的系列法規、條例出臺。隨后,國家發改委、工信部、能源局也相應制定、修訂與工控安全防護相關的管理和技術規定。今后,行業運營者、網絡安全產品/服務的提供者和有關管理部門等不履行法定的網絡安全保護職責的,則會承擔法律責任。

網絡安全系列標準規定日趨完善,工控安全技術和管理更加規范

近年來,國家制定發布了數百項網絡安全標準,與工控網絡安全相關并已實施的有:GB/T 26333“工業控制網絡安全風險評估規范”、GB/T 33007“工業通信網絡 網絡和系統安全 建立工業自動化和控制系統安全程序”、GB/T 33008.1“工業自動化和控制系統網絡安全 可編程序控制器(PLC) 第1部分:系統要求”、GB/T 33009.1“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第1部分:防護要求”、GB/T 33009.2“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第2部分:管理要求”、GB/T 33009.3“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第3部分:評估指南”、GB/T 33009.4“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第4部分:風險與脆弱性檢測要求”等。

隨著“等保2.0”機制的推進,預計工控安全需求將有邊際改善

隨著智能制造持續推進,智能設備、遠程運維應用的大量普及,橫向、縱向、端到端集成互聯范圍的逐漸擴大,云計算、大數據、移動互聯、工業物聯網等新一代技術的加快應用,工控系統面臨的安全脆弱性和安全風險不斷增高。

2019年5月,國家標準《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》(“等保2.0“)正式發布。新推出的等級保護2.0在繼承了等級保護1.0中以資產防護為目標的基礎上,增加了云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求、大數據安全擴展要求等五項新的安全防護要求。gongkong?預計,整個工控安全行業需求將會迎來重要的邊際改善。

gognkong?調查:

廠商紛紛布局,但分歧依然較大

2018年,越來越多的信息安全廠商開始覬覦工業這個細分市場,開展工控安全業務,與此同時,一些傳統的自動化廠商也開始紛紛布局信息安全市場。上有政策導向,下有企業積極行動,市場從業人士無不期望2018成為工控安全產業發展的爆發年。

然而,通過對工控安全市場的實地調研,gongkong?發現:受行業景氣度下滑、工控安全標準不統一、用戶安全認知有限等因素綜合影響,當前工控安全市場發展較為平穩,業界期望的市場爆發仍未到來。

主要表現在:

一方面,2018年中國工業市場需求相對低迷,制造業景氣指數持續下滑,電力、煙草等關鍵領域投資和利潤均有下降,用戶最迫切的需求為提升企業盈利水平,在未出現重大安全事故的背景下,工控安全未列入近期行動計劃表。

另一方面,受限于終端用戶認知影響,多數用戶認為,工控安全產品和服務不能給其自身帶來切實的經濟效益,甚至有些用戶認為,一旦實施工控安全項目后,還可能對現有生產運行系統帶來隱患,導致用戶控制對工控安全產品和服務的投入。

2019年工控安全市場處于爆發臨界階段,受益于“等保2.0”正式發布、相關配套政策條例制定、工控安全標準日趨完善、網絡安全技術應用試點示范項目的實施等因素影響,工控安全市場發展或將加速前進。面對當前的市場環境,工控安全市場存在三種不同的聲音:

樂觀積極派

接近20%的供應商認為,工控安全市場是一片藍海,擁有龐大的市場規模,縱然當前市場存在一些痛點,比如用戶對信息安全意識不強、產品缺少技術標準,但仍然堅信工控安全產業前景,布局完善工控安全市場。廠商通過積極獲取機構融資,擴充專家技術人員、加大產品研發和市場投入等手段,不斷完善既有優勢行業布局。例如,聚焦電力行業工控安全的某廠商表示,電力行業的工控安全市場規模將達到數百億元,其中僅電網行業未來5年對工控安全的投入將達到上百億元。

穩扎穩打派

約45%的供應商則認為,從政策和需求這兩個關鍵驅動因素看,工控安全產業的發展已然不斷提速,雖然市場尚未達到爆發期,但是廠商會堅持苦練內功,實現跨越式發展。例如,廠商會通過積極研發產品、部署安全解決方案等手段,實現從單點安全產品推廣到到解決方案轉變,也為從工控安全到工業互聯網安全的擴展打基礎。與此同時,還有一些廠商會實施重點行業壓強策略、組建城市服務中心,距離用戶更近,促使解決方案深入行業、貼近行業需求。此外,上述廠商普遍在深挖優勢行業的基礎上,努力向其他重點行業做遷移和拓展,截至目前,已有部分廠商獲得了新突破和進展。

謹慎觀望派

超過35%的供應商保持觀望態度,認為政府積極推動市場發展,工控安全政策法規頻出,國家政策要求是市場需求增長的重要推動力。但是,由于發布文件多屬于推薦性標準,從政策發布到行業應用之間存在差距,部分廠商認為政策標準對業主影響力有限,沒有政府持續有效的嚴格監管,工控安全項目的大批量落地仍然需要時間。此外,工業經濟整體增速放緩、下游用戶投資預算收縮,更加重了他們對工控安全市場的擔憂。目前,該類廠商主要服務于石油、石化、電力等能源行業,選擇大中型國企業作為重點服務對象,推廣工控安全解決方案。

審核編輯(王妍)
更多內容請訪問 中國工控網(http://www.mrfnaw.live)

手機掃描二維碼分享本頁

工控網APP下載安裝

工控速派APP下載安裝

 

我來評價

評價:
一般
3d试机号后分析