水电行业工控网络安全研究报告
一、前言
2018年全球网络安全事件频发,网络安全形势严峻,近年来,针对工业控制系统网络安全事件时有发生。随着越来越多的工控系统暴露在互联网上,工控系统日益成为“众矢之的”,黑客有目的地探测并锁定攻击目标变得更加容易。加上针对工控系统的漏洞挖掘和发布与日俱增,大量工控系统安全漏洞、攻击方法可以通过互联网等多种公开或半公开渠道扩散,极易被黑客等不法分子获取利用。如今,对工控系统的入侵攻击已不再神秘,进一步加剧了工控系统的安全风险。随着能源的重要性日益突显,水电管理部门、水电企业和研究单位集中存储大量涉及国家能源核心秘密的数据,已经成为国际谍战、经济战等各种活动的重要目标。例如通过网络攻击造成的大规模的停电事件,对企业利益甚至国家安全造成不可挽回的重大损失。
目前,我国水电行业中,工业控制系统主要包括计算机监控系统、水调自动化系统、水情自动测报系统、主设备状态监测系统、电能量采集和报竞价系统、继电保护及故障信息管理系统、大坝安全监测管理系统、水电站下泄流量在线监控系统、水库水位监测系统、大坝填筑施工过程智能化监控系统等,各个系统相辅相成,实现电站的无人值班运行,以及电站的经济运行和优化调度。并已成为水电行业重要基础设施。
为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”、“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,国家互联网应急中(以下简称“CNCERT”)联合中国电建集团成都勘测设计研究院有限公司,在我国工控网络安全监测研究的基础上,对水电行业联网监控管理系统(“生产监控系统和生产管理系统”)、工业控制设备的安全状况进行了调研和研究,分析总结了我国水电行业工控网络安全状况。
二、水电行业联网系统暴露情况和风险分析
2.1 水电联网监控管理系统巡检对象
根据前期调研,水电行业已建信息系统主要包含三种类型:生产监控类系统、生产管理类系统和企业门户类系统。我们重点关注那些遭受攻击时,可能会对企业生产运行产生干扰或破坏等较严重影响的系统,主要对生产监控系统和生产管理类系统进行安全巡检,最终选取暴露在互联网上与水电行业相关的139个监控管理类Web系统(网站),作为本次安全巡检的目标对象。
经过初步分析,CNCERT在全国范围共发现的暴露在互联网上的139个水电监控管理系统中,生产管理类系统企业117个,生产监控类系统22个。其中:
生产管理类包括:办公系统、网上服务平台、邮件系统、项目管理系统、采购系统、电能量传控管理系统、水电站汛情信息系统,具体如下:
生产监控类包括:大坝填筑施工过程智能化监控系统、下泄流量在线监控系统、配电监控系统、水电站监控系统,具体如下:
图1联网生产类系统的占比(水电行业)
我们对上述系统使用IP地址的所属省份进行统计,发现系统分布于25个省、直辖市和自治区。选取出其中TOP 10(图2),可以看出,这些系统主要分布在水电资源丰富的西南、中南和东南沿海省份,例外的是北京,经过分析,IP地址为北京的水电工业系统主要原因为其他省市的水电站将系统部署在北京的云平台所致。
图2联网生产类系统按省份分布TOP10(水电行业)
图3联网生产类系统数量TOP10的省份(水电行业)
2.2 存在安全漏洞的水电监控管理系统
通过对这些暴露在互联网上的水电企业联网监控管理系统进行深入的巡检,发现其中共有65个系统存在各种类型的安全漏洞,即有超过47%的系统存在明显的安全隐患。其中生产监控类21个,生产管理类44个。
按省份进行统计,可得到图4:
图4发现安全漏洞的系统按省份分布图
统计发现,联网监控管理系统较多的省份同样也是安全问题较多的省份。值得着重指出的是通过安全巡检,发现其中一个IP位于境外(新加坡),该系统是“电力变压器维保可视化平台”。通过查询得知,电力变压器维保可视化平台又称充电站变压器健康状态监测系统,该IP地址属于新加坡IDC机房。根据系统功能来看其作用较为重要,存在关键数据跨境传输的潜在隐患。
2.3水电联网监控管理系统安全漏洞的统计分析
对监测发现的水电联网监控管理系统安全巡检过程中,共计发现123个安全漏洞,其中高危漏洞31个,占比达到25%。我们对系统存在的安全漏洞进行归类与统计分析,主要包括:弱口令漏洞、SQL注入漏洞、任意文件上传、敏感信息泄露、目录遍历等。其中弱口令、SQL注入、文件上传、命令执行等属于高危漏洞,攻击者利用此类漏洞可获取服务器或数据库的控制权。
各类漏洞的数量比例如图5所示:
图5各类型安全漏洞的具体数量
从图6可知,高危漏洞占比高达25%,中危漏洞占比42%,低危漏洞占比33%,数据反映出水电行业部分监控管理系统的安全状况较为严重。从各个细分种类来看,弱口令漏洞和逻辑漏洞数量最多,反映出水电行业的系统开发和运维人员的安全意识较为薄弱。
图 6 安全漏洞风险等级分布图
三、水电行业工业控制设备漏洞分析
3.1 工业控制设备漏洞总体态势
工业控制设备网络安全漏洞数量连年呈现高发态势,近年来CVE、 NVD、CNVD和CNNVD收录的全球工控漏洞数量居高不下,尤其在 2011年漏洞数量发生急剧增长。截止到2019年4月30日,CNCERT下属的工业互联网应急响应中心(以下简称“ICS-CERT”)收录的工业控制设备漏洞3038条,其中1916条被国家信息安全漏洞共享平台(CNVD)收录。
通过对披露的3038条工控漏洞统计分析发现(如图),高危漏洞占比为1371个,占比为45.13%,中危漏洞1424个,占比为46.87%,低危漏洞243个。工控产品漏洞中高中危漏洞比例远远大于传统行业信息系统产品。
图 7 ICS-CERT收录的工控产品漏洞等级分布情况
通过对3038个工控漏洞的产品所属厂商进行统计发现,排名前十的厂商分别为:西门子(德国)、施耐德(法国)、日立(日本)、研华(中国台湾)、摩莎(中国台湾)、罗克韦尔(美国)、铂勒睿斯(加拿大)、ABB(瑞士)、D-LINK(中国台湾)和台达(中国台湾)。由此可见,漏洞数量排名靠前的工控产品大多来自国外厂商和中国台湾厂商。
图8 ICS-CERT收录的工控产品漏洞数量排名前十的厂商分布
2010年“震网”攻击伊朗核设施事件开始,工控类漏洞数量激增,2015至2016年多起工控攻击事件如乌克兰电厂两次大规模停电攻击、纽约鲍曼水库防洪控制系统攻击、德国核电站网络攻击、针对西门子ICS/SCADA的IronGate病毒攻击等的影响,使得工控漏洞数量再一次急剧增长。由于披露的工控相关漏洞大多重要程度高,危险性大,一旦被利用,极易造成破坏性的后果。此外,披露的工控安全漏洞类型呈现多样化特征,对业务连续性、实时性要求高的工控系统来说,无论是利用这些漏洞造成业务中断、获得控制权限还是窃取敏感生产数据,都将对工控系统造成极大的安全威胁。当前,各个企业对工控漏洞的修复进度较为迟缓,全球新增的工控漏洞数量要明显高于修复的漏洞数量,究其原因在于,一方面供应商漏洞修复工作的优先级别较低,还要受到软件开发迭代周期的限制;另一方面工业企业出于维持业务连续性的考虑,及时更新和安装补丁的积极性不高。
3.2 工业控制设备漏洞分析对象
本报告选取2018年CNCERT联合中国电建集团成都勘测设计研究院有限公司开展的水电行业工控系统现状及安全风险研究中,通过现场调研,选取的19个国内外厂商中的86款水电行业广泛使用的工业控制设备进行漏洞风险分析。
3.3 水电行业工控设备漏洞风险分析
通过对调研采集到的水电行业工控设备型号的统计分析来看,施耐德、西门子、美国通用的工业控制设备在水电行业应用非常广泛、且涉及的产品类型较多。国内南瑞集团的工业控制设备的渗透率要高于国内其他工业控制设备。
图 9 2018年调研的水电行业的工控产品型号分布
通过在ICS-CERT工业控制设备漏洞库中检索发现,调研的86个工业控制设备型号中,共发现159个漏洞,其中高危漏洞98个,中危漏洞58个,低危漏洞1个。
图 10 2018年调研的水电行业的工控产品漏洞等级分布
159个漏洞主要集中在西门子、施耐德、美国通用、三菱等四个国外厂商的设备,涉及23个工控产品型号。
图 11 2018年调研的水电行业的工控产品漏洞等级分布
四、水电行业工控安全问题总结分析
通过安全巡检发现水电行业监控管理系统存在诸如逻辑漏洞、弱口令漏洞、敏感信息泄露和SQL注入漏洞等共计123个风险点,其中逻辑漏洞出现频率最高,弱口令漏洞、敏感信息泄露、SQL注入漏洞排名次之。通过本次安全巡检工作,发现水电行业生产管理类系统存在大量安全隐患,不法分子可以利用常见漏洞,顺利进入内网,获取服务器权限或者数据库权限,破坏企业正常生产,造成严重的经济损失。同时还会导致大量的用户数据泄露,具体总结如下:
4.1 系统代码安全问题突出
本次安全巡检发现逻漏洞、敏感信息泄漏、SQL注入漏洞、任意文件上传和目录遍历等安全漏洞问题,说明系统在开发阶段代码设计不规范,在系统验收时,未做全面安全测试,导致开发阶段的漏洞遗留到运维阶段。典型案例分析如下:
案例一、某数字流域系统存未授权访问漏洞,可操作参数配置
该系统主要负责各流域基础水利参数和输出节点及阈值等功能。此信息系统存在未授权访问漏洞,可在未登录的情况下直接访问后台管理,可进行参数配置、定时任务下发等操作,存在造成恶意修改等风险。
案例二、某大坝安全监测信息管理系统存在敏感信息泄露漏洞
该系统主要负责对某水库主副坝测压管、孔隙压力计、山体位移计、应变计、渗流量及环境量(水位、降雨量)等进行实时监控和数据分析。此信息系统存在敏感信息泄露漏洞,通过匿名账户登录可获取管理员账号,并结合弱口令可登录管理后台。
4.2 系统弱口令问题严重
本次安全巡检发现大量的弱口令、默认口令问题,说明各单位对信息系统存在密码管理缺失等重要安全问题,没有对系统账户口令进行复杂度限制、定期检查和修改。对不同系统应设置不同密码,提高信息系统的安全性。典型案例分析如下:
案例一、某数字化大坝施工质量监控系统存在弱口令,可操作系统中用户信息和配置信息
该系统主要是面向大坝施工项目的管理,包括人员管理、项目监控和管理。系统内包括大量项目相关信息,例如项目组织架构、项目工作区域信息等敏感信息。此信息系统存在弱口令漏洞,获取大量敏感数据并可针对用户信息、配置数据做增删改查。
案例二、某水电站生态流量管理系统存在弱口令,泄漏大量的基本信息和监测信息
该系统主要负责对水电站监测设备等进行综合管理,同时可以查询水电站地址和流量情况。此信息系统存在弱口令漏洞,可直接登录后台,获取大量敏感信息,同时具备对设备的信息进行处理的操作权限和修改系统配置的权限。
4.3 系统第三方应用欠缺安全管理
通过安全巡检发现,水电信息系统使用了大量的第三方应用,例如Apache Struts 2、JEECMS、Apache Tomcat、phpMyAdmin、Jboss、FCKeditor等,针对第三方应用存在默认页面泄漏、版本漏洞等,说明水电信息系统使用的第三方应用欠缺安全管理,可利用公开的应用信息或漏洞进行攻击,获取敏感数据等。典型案例分析如下:
案例一、某行政审批移动办公系统使用的Apache Struts 2存在s2-045远程代码执行漏洞
该系统主要负责将用户所有的文件进行逻辑和物理地组织,对目录的结构和内容进行管理,并能高效的找出用户需要的文件。且控制用户新增、修改、删除、查询、审批等功能权限。管理单位、部门、用户、人员、权限及系统日志等功能。此信息系统使用了Apache Struts 2开发框架,且使用的版本存在s2-045远程代码执行漏洞,可利用获取系统权限。
4.4 水电行业工控产品漏洞不容忽视
CNCERT监测发现2018年国内暴露在公网的工控设备共计14728台,涉及Siemens、Schneider、Moxa等多家厂商生产的工控产品,大量设备存在拒绝服务、信息泄露、缓冲区溢出等高危漏洞。通过本次调研发现,当前水电行业工控产品数量庞大、大多应用发电、电力监控等重要生产环节,这些重要生产环节采用的工控产品漏洞数量巨大,一旦这些工控系统被恶意程序感染或遭受网络攻击,这些漏洞若被黑客恶意利用,可能造成相关系统生产停摆或大量生产、用户数据泄露,水企业的生产经营将造成严重的损失。
五、我们的建议
随着我国互联网普及和工业4.0、大数据、数字化工程等新技术、新业务的快速发展与应用,工业控制系统网络复杂度在不断提高,各生产单元内部系统与受控系统信息交换的需求也不断增长,工业控制系统网络安全需求也在快速的增长。近年来,随着工业控制系统安全面临高危安全漏洞层出不穷、暴露互联网上的工控系统及设备有增无减、网络攻击难度逐渐降低,工业控制系统网络安全威胁与风险不断加大。工控系统漏洞及入侵案例细节公开、美国网络“武器库”泄露、APT组织依然活跃等问题,对我国工控系统安全不断提出新的挑战。工业与IT的高度融合,II/OT一体化把安全威胁从虚拟世界带到现实世界,尤其是能源行业,一旦遭受攻击会带来巨大的损失。因此,我国水电行业必须不断加强网络安全风险管理,按照行业主管部门国家能源局《关于加强电力行业网络安全工作的指导意见》的要求积极开展网络安全管理体系、网络安全技术体系以及网络安全运维体系的建设,并通过教育培训等手段,提升行业就业人员的网络安全技能,加强安全风险防范意识,全面提升我国水电行业的网络安全水平,为我国水电业务生产的健康稳定发展保驾护航。同时水电企业必须加强新技术网络安全风险的防范意识,加强网络安全保护机制建设,为了更好应对日益严重的工业控制系统网络安全隐患,CNCERT建议如下:
5.1健全组织结构,落实网络安全责任制
建议水电行业行业各单位以《网络安全法》为依据,按照中央、各省和行业主管部门针对网络安全工作的相关要求,建立健全网络安全和信息化领导机构,明确各级网络安全职能部门的工作职责,加强网络安全人才队伍建设,结合网络安全法律法规、网络安全意识、网络安全管理、网络安全技能等多个层面,对于网络安全管理人员、技术人员等不同角色,根据其实际工作需求组织开展不同内容的安全培训,提升人员的安全素养。完善各类安全岗位设置,落实网络安全工作责任到人,提高水电行业网络安全人才力量储备,增强制度保障。
5.2统筹安全规划,完善运维管理体系
以工业控制关键设备为核心,依据相关标准规范,建立安全运维整体策略,制定明确的安全运维目标和内容,建立安全运维体系,明确安全运维团队的工作职责,以满足工业控制系统、数据应用全生命周期的安全运维需求。改变以往重建设、轻运维的思维,减少对工控厂商的依赖,逐步加强对水电行业工业控制网络的自主运维水平,提升安全运维能力。
5.3开展工控安全检测和定期评估,提高工控产品和网络的安全性
在工控产品上线前,开展工控产品安全检测认证,确保工控产品的网络安全性。建立完善的安全检查和风险评估体系。定期开展工控网络安全风险评估,及时发现工业控制网络的安全问题,并采取相应的风险防范措施,减少工业控制系统和设备的在互联网上的暴露面,及时修复工控产品安全漏洞,最大程度减少工控产品和工控网络面临的网络安全风险。
5.4加大工控安全技术投入,积极建设工控安全防护技术体系
为提高关键信息基础设施的整体网络安全能力,水电行业应当积极引进网络安全性较高的工业控制设备和工控安全防护产品,结合企业工控系统的应用情况,形成符合企业实际的工业控制系统安全技术方案。提高水电行业整体安全保障能力和防御性能,有效抵御病毒和恶意入侵,为工业控制系统的安全稳定运行奠定基础。
来源:国家互联网应急中心;中国电建集团成都勘测设计研究院有限公司
