工控网络和普通网络在安全防护上不同之处

       工控安全与传统安全行业最大的不同，在于工控安全需要主动、不间断的探测联网设备可能存在的漏洞。这么做的原因是因为联网工控设备不同于传统设备，不一定一直活跃于网络中，而是偶尔与网络进行连接。因此要求的安全层级更高。随着云计算、大数据、物联网、区块链等新兴技术的发展，网络安全攻击手段越来越多样化，网络安全事件层出不穷，尤其是针对城市重点网站、云平台、数据中心、联网工控等关键信息基础设施的攻击事件越来越频繁，其中以联网工控遭受攻击造成的经济损失最为严峻。

       2017年，CNVD收录的安全漏洞中，关于联网智能设备的安全漏洞有2440个，同比增长118.4%。这些安全漏洞涉及的类型主要包括设备权限绕过、远程代码执行、弱口令等；涉及的设备类型主要包括家用路由器、网络摄像头、会议系统等；涉及的厂商主要是Google、Cisco、HUAWEI、D-Link等。

据CNCERT/CC监测，2017年全年发现超过245万起（较2016年增长178.4%）境外针对我国联网工业控制系统和设备的恶意嗅探事件，我国境内4772个联网工业控制系统或设备型号、参数等数据信息遭泄露，涉及西门子、摩莎、施耐德等多达25家国内外知名厂商的产品和应用。

工业控制信息系统面临的网络安全威胁主要有：

• Ø 开发对外接口，带来安全隐患；
• Ø 系统极少升级，易受病毒攻击感染；
• Ø 系统缺乏监测手段，无法感知未知设备；
• Ø 工控设备存在诸多漏洞，RTU/PLC安全隐患突出；
• Ø 执行服务器操作，缺乏系统审计；
• Ø 执行关键操作，缺乏日志记录；
• Ø 网络流量异常，导致设备工作异常。

       常用的工控漏洞互联网深度扫描技术，是对目标区域的工控接入互联网设备进行深度扫描，基于大数据分析算法，识别目标主机开放端口、运行服务、安全漏洞等信息。深度分析联网工控设备的 OS 版本信息、开放端口协议栈指纹信息，对各个开放端口运行的服务进行旗语匹配，持续跟踪各服务的运行状态，可以分析出连网工控设备的地理位置、设备类型、设备参数、设备所属厂商、设备使用的协议等。结合数据挖掘技术进一步识别设备的开发端口、运行服务服务及漏洞信息等。能识别的工控设备厂商有三维力控，施耐德，通用，三菱，西门子等40余种主流工控厂商，能够识别的工控协议有支持opcua，s7，dnp3，modbus等20余种主流工业控制系统通信协议，能够识别的工控设备类型有识别不少于10种的工控产品类别（如PLC、SCADA、DCS、RTU、HMI、远程IO、摄像头），从而实现攻击威胁和风险隐患识别预警，有效提升监察监管机构对工业控制系统信息安全的技术监管能力。