近日，工業控製係統安全國家地方聯合工程實驗室發布了《IT/OT一體化工業信息安全態勢報告》。報告顯示
，工控係統相關漏洞增長情況居高不小，安全形勢十分嚴峻。在2019年工業應急響應安全事件中
，病毒攻擊仍然是工業企業遭受失陷的主要原因，其中
，病毒多為"永恒之藍"蠕蟲變種、挖礦蠕蟲。

工控係統漏洞增長情況居高不下

根據中國國家信息安全漏洞共享平台最新統計，截止到2019年12月
，CNVD收錄的與工業控製係統相關的漏洞高達2306個，2019年新增的工業控製係統漏洞數量達到413個，基本和2018年持平。而另據CVE、NVD、CNVD、CNNVD四大漏洞平台收錄的漏洞信息顯示
，2019年共收錄了690條漏洞工業控製係統漏洞。數據居高不下
，安全形勢十分嚴峻。

2000-2019年CNVD收錄的工控係統漏數量分布圖

其中，高危漏洞占比57.3%，中危漏洞占比為35.5%
，中高危漏洞占比高達92.8%。且漏洞成因多樣化特征明顯
，技術類型多達30種以上。無論攻擊者利用何種漏洞造成生產廠區的異常運行，均會影響工控係統組件及設備的可用性和可靠性。

2019年四大漏洞庫平台收錄的工控係統漏洞危險等級圖

在收錄的工業控製係統安全漏洞中
，多數分布在製造業、能源、水務
、商業設施、石化、醫療、交通、農業、信息技術、航空等關鍵基礎設施行業。一個漏洞可能涉及多個行業

，在690個漏洞中，有566個漏洞涉及到製造業，也是占比最高的行業。涉及到的能源行業漏洞數量高達502個。

2019年四大漏洞庫平台收錄的工控漏洞涉及行業分布圖

工控係統互聯網暴露總數持續攀升，中國同比增長2.7倍

造成工控係統暴露的主要原因之一是"商業網絡（IT）"與"工業網絡（OT）"的不斷融合。隨著雲計算、物聯網
、大(da)數(shu)據(ju)技(ji)術(shu)的(de)廣(guang)泛(fan)應(ying)用(yong)
，工(gong)控(kong)係(xi)統(tong)已(yi)漸(jian)漸(jian)從(cong)最(zui)初(chu)的(de)封(feng)閉(bi)狀(zhuang)態(tai)向(xiang)開(kai)放(fang)狀(zhuang)態(tai)改(gai)變(bian)。暴(bao)露(lu)在(zai)互(hu)聯(lian)網(wang)上(shang)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)設(she)備(bei)也(ye)隨(sui)之(zhi)越(yue)來(lai)越(yue)多(duo)，從(cong)而(er)增(zeng)加(jia)了(le)攻(gong)擊(ji)者(zhe)的(de)攻(gong)擊(ji)麵(mian)積(ji)。

根據Positive Technologies研究數據顯示：當前全球工控係統聯網暴露組件總數量約為22.4萬個，同比去年增長27%。將可通過互聯網訪問的工業控製係統組件（工控設備、協議、軟件、工控係統等）數量按照國家進行分類，美國聯網的工控設備暴露情況最為嚴重，達到95661個，其次為德國
，聯網工控組件達到21449個，相比去年而言，中國工控係統互聯網暴露數量呈現明顯增長趨勢，由6223個增長到16843個，增長比例高達2.7倍，排名第三。

世界各國工控係統聯網組件暴露數量分布圖

需要注意的是，一方麵
，某地區工控係統在互聯網上暴露的越多
，往往說明該地區工業係統的信息化程度越高，工業互聯網越發達；而另一方麵，暴露的比例越大，也往往意味著工控設備將直接麵對來自互聯網的威脅。

勒索病毒攻擊仍是工業安全麵臨的主要威脅

2019年奇安信工業安全應急響應中心和安全服務團隊共同為全國工業企業提供應急求助273起
，涉及醫療衛生、交通運輸
、製造業

、nengyuandengzhongyaoguanjianxinxijichusheshixingye。shujuxianshi
，zaoshoulesuobingdugongjirengranshigongyeqiyemianlindezuidatiaozhan。xuyaozhuyideshi，bingdugongjidezhuyaomubiaoshigongyezhuji，ranergongyezhujidaduoshuchuyuluobenzhuangtai，yinci
，gongyeqiyeyingluoshigongyezhujideanquanfanghu。

2019年2月，某大型製造企業的臥式爐、厚度檢測儀
、四探針測試儀、銅區等多個車間的機台主機以及MES（製造執行係統）客戶端都不同程度的遭受蠕蟲病毒攻擊，出現藍屏、重啟現象。工業安全應急響應中心人員到達現場後發現，當前網絡中存在的主要問題是工業生產網和辦公網網絡邊界模糊不清
，MES與工控係統無明顯邊界，在工業生產網中引入了"永恒之藍"等勒索蠕蟲變種，感染了大量主機。

三級協同建設全麵提升工業互聯網安全保障水平

隨著工業安全形勢的日益嚴峻
，傳統的"圍牆式"網絡安全建設、業務和安全"兩張皮"、IT安全管理和OT安全管理"兩張皮"式的安全防護體係已經不能滿足越來越複雜的網絡安全環境。規劃建設三級協同的"工業互聯網安全技術保障平台"有利於全麵提高工業互聯網安全建設水平。

平台基於"監測-響應"的技術路線進行建設實施
，有利於工業生產的長期可靠、穩定運行。因此
，旁路的、非侵入式的平台建設結合關鍵節點串接、阻斷式的安全防護是工業互聯網安全建設的發展趨勢。

三級協同的工業互聯網安全技術保障平台

同時需要注意，目前很多企業存在著輕視安全運營的現象。對此報告認為，工業企業可以利用外部資源，特別是安全公司提供的遠程

、駐場或托管式安全運營服務開展工作。工業企業也可以把安全運營工作上移到集團
、行業等平台，通過委托方式用專業安全團隊來提供安全保障。基於此
，不僅可以在威脅發現、風險預測、處置響應、追蹤溯源等方麵大幅度提高工業企業網絡安全防護能力
，還可以減少人力資源投入、降低工業企業安全運營成本。

關於工業控製係統安全國家地方聯合工程實驗室

工業控製係統安全國家地方聯合工程實驗室（簡稱：工業安全國家聯合實驗室）是由國家發展與改革委員會批準授牌成立，由奇安信集團承建的對外開放的工業控製安全技術方麵的公共研究平台。

工業安全國家聯合實驗室以對工業控製係統安全領域有重大影響的前沿性、戰略性技術作為研究目標
，建立以工程實驗室為主
，聯合高等院校
、科研院所和國家需求部門、企業共同參加的，產、學、研
、用相結合的合作機製，發揮高等院校、科研院所在基礎理論研究方麵的力量和優勢
，發揮國家需求部門
、企業在技術創新和應用方麵的主體作用，共享科研成果。