本文分析了工业控制系统的公开漏洞,指出安全事件呈上升趋势,尤其在能源等行业。美国ICS-CERT和CVE数据库揭示了工业控制系统软件存在的脆弱性,主要涉及错误输入验证、密码管理和权限问题。2013年,安全事件数量超过2012年,而漏洞主要集中在几家知名厂商。研究强调建立安全测评机制和漏洞通报系统的必要性。
引言
研究背景
工业控制系统的重要性、脆弱的安全状况以及日益严重的攻击威胁,已引起了世界各国的 高度重视,并在政策、标准、技术、方案等方面展开了积极应对[LYHC2012]。进入 2013 年以来 工业控制系统安全更成为备受工业和信息安全
领域研究机构关注的研究热点。因为历史上相对封闭的使用环境,工业控制系统在开发时多重视系统的功能实现,对安全 的关注相对缺乏。不像传统 IT 信息系统
软件在开发时拥有严格的安全软件开发规范及安全测 试流程,这必然造成工业控制系统不可避免地拥有较多的安全缺陷。因此,针对工业控制系 统软件自身的安全性评测分析及脆弱性评估是当前首要考虑的问题。美国国土安全部(The U.S. Department of Homeland Securty,DHS)的控制系统安全 计划(Control System Security Program,CSSP)建立了依托工业控制系统模拟仿真平台、 综合采用现场检查测评与实验室
测评相结合的测评方法[DHS2011],以实施工业控制系统产品的 脆弱性验证和分析工作。美国国土安全部下属的 ICS-CERT(工业控制系统应急响应小组)及 CSSP 通过对工业控制系统软件的缺陷性分析发现,工业控制系统软件的安全脆弱性问题主要 涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面(如图 1.1 所示)。 尤其是错误输入验证方面的脆弱性在 2009-2010 年度参与测评的工业控制系统软件中占到 45%,这可能会轻易地通过输入不正确的参数,而造成系统故障,显然这种脆弱性对工业控 制系统的正常运行具有极大的威胁。图 1.1 ICS-CERT 及 CSSP 对工业控制系统软件的脆弱性评估分析
同时,工业控制系统应急响应小组(ICS-CERT)更是专注于工业控制系统相关的安全事 故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持;通过信息产品、 安全通告以及漏洞及威胁信息的共享提供工业控制系统安全事件监控及行业安全态势分析, 并以季度报告的方式公开发布[ICSCERT1] [ICSCERT2]。2012年 10月至 2013年 3月期间,ICS-CERT 监测到 200 多起工业控制系统安全事件,其中主要集中在能源、关键制造业、交通、通信、 水利、核能等领域(图 1.2),而能源行业的安全事故则超过了一半。
图 1.2 ICS-CERT 关于安全事件行业分布分析(2012.10-2013.03)
结合 ICS-CERT 往年的安全事件统计数据结果可知,近年来,工业控制系统相关的安全 事件正在呈快速增长的趋势(如图 1.3 所示)。由图中可知,ICS—CERT 在 2013 年上半年 统计到的安全事件数已经超过了 2012 年全年的安全事件数。
ICS-CERT统计的工控安全事件(按财年)
工控事件 
100
图 1.3 ICS-CERT 统计的工业控制系统安全事件(按财年①统计)
此
最低0.47元/天 解锁文章
扫一扫
710
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
