绿盟工控漏洞扫描系统

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。绿盟工控漏洞扫描系统产品白皮书©2014绿盟科技目录一.概述......................................................................................................................................................1二.工控安全评估面临的挑战...................................................................................................................32.1工业控制系统面临更加苛刻的安全性要求...................................................................................32.2如何把成熟的IT风险评估技术移植到工业控制系统环境中......................................................4三.绿盟工控漏洞扫描系统.......................................................................................................................53.1产品概述...........................................................................................................................................53.2产品特性...........................................................................................................................................63.2.1覆盖多样的工业控制系统.......................................................................................................63.2.2基于协议转换的漏洞扫描技术...............................................................................................73.2.3无损扫描技术...........................................................................................................................93.2.4可视化的工控风险展示...........................................................................................................93.2.5基于工控资产的漏洞跟踪.......................................................................................................93.2.6完善的漏洞管理流程.............................................................................................................103.2.7高可靠的自身安全性.............................................................................................................103.2.8持续快速漏洞响应机制.........................................................................................................103.3典型部署模式.................................................................................................................................11四.结语....................................................................................................................................................11五.附录....................................................................................................................................................12-1-密级：完全公开©2014绿盟科技绿盟工控漏洞扫描系统产品白皮书一.概述实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标，党的十八大提出要“坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路”。相比西方发达国家因为历史原因形成的“先工业化再信息化”的发展路径(比如德国政府在2013年提出的“工业4.0”国家战略)，我国成功抓住了新一轮全球科技革命和产业变革机遇，实现了工业化和信息化同步发展。而工业控制系统在工业信息化中有着举足轻重的位置，其广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业，被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节，保证工业设施的正常运转，是国家关键基础设施和信息系统的重要组成部分。同时，正因为这些关键基础设施在国计民生中的重要性，也往往成为国际敌对势力、敌对组织、黑客的攻击目标。ICS-CERT公布数据中，2013年全年的工控安全事件达632件，其中多集中能源行业（59%）和关键制造业（20%），工控安全事件呈快速增长的趋势(如图1-1所示)。图1-1ICS-CERT历年的公布工控安全事件统计分析-2-密级：完全公开©2014绿盟科技绿盟工控漏洞扫描系统产品白皮书其中：①代表性的伊朗布什尔核电站震网病毒事件自从2010年震网病毒、Flame、Duqu7事件的爆发，因其危害的规模、发起者的属性(国家级别)、操作的复杂性，震惊了全世界，也极大促使了各国政府对工控安全的重视。②专门针对工控系统的新型攻击—Havex2014年又出现了继震网病毒以后的超级病毒，专门针对工控系统的新型攻击—Havex，其变种多(F-Secure声称他们已收集和分析了HavexRAT的88个变种)、危害大（Havex可感染SCADA和工控系统中使用的工业控制软件，这种木马可能有能力禁用水电大坝、使核电站过载，甚至可以做到按一下键盘就能关闭一个国家的电网）、范围广(ICS-CERT的安全通告称当前至少已发现3个著名的工业控制系统提供商的Web网站已受到该恶意代码的感染)。③持续威胁的黑客组织—“蜻蜓组织”在2014年1月，网络安全公司CrowdStrike曾披露了一项被称为“EnergeticBear”的网络间谍活动，在这项活动中黑客们可能试图渗透欧洲、美国和亚洲能源公司的计算机网络。根据赛门铁克的研究报告称，黑客组织EnergeticBear也被称为“蜻蜓Dragonfly”，这是一个至少自2011年起便开始活跃的东欧黑客团体。蜻蜓组织最初的攻击目标是美国和加拿大的国防和航空企业，但从2013年开始，蜻蜓组织的主要目标转向许多国家的石油管道运营商、发电企业和其他能源工控设备提供商，即以那些使用工控系统来管理电、水、油、气和数据系统的机构为新的攻击目标。总的来说，面对攻击技术与手段日益先进、复杂、成熟的针对工控系统进行攻击的行为，工控系统所面临的安全威胁也将日益严峻。而通过对这些众多的工控安全事件深入分析可以看到，其有一个核心的关键环节就是利用了工业控制系统的“漏洞”，进而攻陷了整个工业控制系统。而工业控制系统公开的漏洞也是呈现出快速增长的趋势(如图1-2所示)。-3-密级：完全公开©2014绿盟科技绿盟工控漏洞扫描系统产品白皮书图1-2公开的ICS漏洞的年度变化趋势其中：①公开漏洞中以SCADA/HMI系统相关的漏洞为主，其占比超过40%②2014年的新增漏洞中“高危”漏洞（CVSS值范围7.0~10.0）超过一半（51%），且基本上都是严重性程度为“中”以上（CVSS值大于等于4.0）的漏洞③公开漏洞所涉及的工业控制系统厂商仍然是以国际著名的工业控制系统厂商为主，西门子（Siemens）、施耐德电气（Schneider）、研华科技（Advantech）、通用电气（GE）与罗克韦尔（Rockwell）占据漏洞数排行榜的前五名因此，如何在黑客成功攻击工业控制系统之前帮助企业发现漏洞，进而促使其完善系统，成为保障工业控制系统安全运行、增强企业安全健壮性的必要手段。二.工控安全评估面临的挑战2.1工业控制系统面临更加苛刻的安全性要求在工业控制系统中，无论是一次系统还是二次系统，以及间隔层还是过程层，业务的连续性、健康性是至关重要的，尤其对石化、电力、交通、核工业、水利等行业的核心监控、生产系统。而工业控制系统由于其长期封闭、独立的特性，造成了在安全方面建设的欠缺，-4-密级：完全公开©2014绿盟科技绿盟工控漏洞扫描系统产品白皮书不具备更多的容错处理，比如异常指令的处理，不具备较大压力的处理，比如快速数据传输、访问等。工业控制系统安全性相比IT环境的一些主要区别包括：①工业控制系统安全问题将直接对物理环境造成影响，有可能导致死亡、受伤、环境破坏和大规模关键业务中断等②工业控制系统安全相比IT安全有更广泛的威胁向量，包括安全限制和特有网络协议的支持③工业控制系统安全涉及的系统厂商多，测试和开发环境多种多样④一些工业控制系统安全环境面临预算限制，这是与那些需要严格监管的IT不同之处⑤在传统的安全性和可用性作为主要安全特性的IT行业，工业控制系统行业还会关注对产品质量的协调影响，运营资产和下游后果的安全问题2.2如何把成熟的IT风险评估技术移植到工业控制系统环境中在面对与IT系统不一样的安全性要求的工业控制系统时，如果把成熟的IT风险评估技术移植到工业控制系统中成为必须解决的问题，主要包括两个方面：①如何覆盖多样的工业控制系统在安全风险评估时，不仅需要对在工业控制系统中使用的传统IT设备/系统，比如操作系统、交换机、路由器、弱口令、FTP服务器、Web服务器等，进行安全评估，还需要覆盖工业控制系统中所特有的设备/系统，比如SCADA、DCS、PLC等，以及处于上游的数字化设计制造软件等；同时，不仅要包括对漏洞的评估，还需要对一些关键系统的配置进行安全性评估；以及需要对主流的工控协议的支持。同时，根据IHS最近的研究报告“2013全球工业