​CVSS(Common Vulerability Scoring System), 通用漏洞评估方法)提供了一种捕获漏洞主要特征并生成反映其严重性的数字评分的方法。数字评分以文本形式来表示，通常将数字分数转换为定性表示形式（例如低，中，高），以帮助组织正确评估漏洞管理流程并确定漏洞修复优先级^[1]。

工业互联网安全高危漏洞分析

漏洞库平台根据CVSS分级标准对漏洞进行0至10之间的数字评分，10分为最高分，表示该漏洞的严重程度最高，一旦被攻击者利用，造成的损失也较大。本文分析2020年1月至6月CVSS v3.X（CVSS v3.0或CVSS v3.1）为10的工业互联网安全高危漏洞，如表1所示，并对AutomationDirect、Moxa、Emerson、Schneider Electric不同供应商的高危漏洞进行详细分析，并参考美国网络安全和基础设施安全局（CISA）的建议给出漏洞的缓解措施。

表1：CVSS v3.X为10的工业互联网安全高危漏洞

一AutomationDirect C-More Touch Panels EA9 Series 凭证管理漏洞（CVE-2020-6969）^[3]

漏洞描述：AutomationDirect C-More Touch Panels EA9 是美国AutomationDirect公司的一款软件管理平台。

威胁预警：CVSS v3 10

风险评估：攻击者成功利用该漏洞，能够获取帐户信息（例如用户名和密码），进而访问系统并修改系统配置。

受影响的产品：AutomationDirect C-More Touch Panels EA9 6.53之前的版本

CISA漏洞缓解措施：

●厂商已发布升级补丁以修复漏洞：

https://support.automationdirect.com/products/cmore.html

● 最小化工业控制系统/设备的网络暴露面

● 在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离

● 采用VPN的安全方式进行远程访问

二Moxa PT-7528和PT-7828 缓冲区溢出漏洞（CVE-2020-6989）^[4]

漏洞描述：Moxa PT-7528和Moxa PT-7828都是中国台湾摩莎（Moxa）公司的一款管理型机架式以太网交换机。

威胁预警：CVSS v3 10

风险评估：攻击者成功利用该漏洞可执行任意代码或造成拒绝服务。

受影响的产品：

Moxa PT-7528 series firmware 4.0 之前的版本

Moxa PT-7828 series firmware 3.9 之前的版本

CISA漏洞缓解措施：

●  厂商已发布升级补丁以修复漏洞：

https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities

● 最小化工业控制系统/设备的网络暴露面

● 在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离

● 采用VPN的安全方式进行远程访问

三多款Emerson Electric产品访问控制漏洞（CVE-2020-12030）^[5]

漏洞描述：Emerson Electric Wireless 1410 Gateway等都是美国艾默生电气（Emerson Electric）公司的一款智能无线网关产品。

威胁预警：CVSS v3 10

风险评估：攻击者成功利用该漏洞可能会禁用内部网关防火墙，一旦禁用了网关的防火墙，攻击者便可以向网关发出特定命令，然后将这些命令转发到最终用户的无线设备上。

受影响的产品：

Emerson Electric Wireless 1410 Gateway 4.6.43版本至4.7.84版本

Wireless 1420 Gateway 4.6.43版本至4.7.84版本

Wireless 1552WU Gateway 4.6.43版本至4.7.84版本

CISA漏洞缓解措施：

● 厂商已发布升级补丁以修复漏洞：

https://www.emerson.com/en-br/catalog/emerson-sku-1410-wireless-gateway

● 禁用所有未使用的功能

● 最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备。

● 在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离

● 采用VPN的安全方式进行远程访问

四Schneider Electric Unity Loader和OS Loader Software 使用硬编码凭证漏洞（CVE-2020-7498）^[6]

漏洞描述：Schneider Electric Unity Loader和OS Loader Software都是法国施耐德电气（Schneider Electric）公司的产品。Unity Loader是一款数据交换实用程序。OS Loader Software是一款系统加载实用程序。

威胁预警：CVSS v3 10

风险评估：攻击者成功利用该漏洞可访问文件传输服务。

受影响的产品：

Schneider Electric Unity Loader和OS Loader Software（全部版本）

施耐德漏洞缓解措施：

● 厂商已发布升级补丁以修复漏洞：

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-02_Unity_Loader_and_OS_Loader_Software_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-02 

● 设置网络分段并实施防火墙以阻止所有对端口TCP/21的未经授权的访问

● 安装物理控件，以防止未经授权的人员访问工业控制系统、组件、设备和网络

● 将所有控制器放置在上锁的机柜中，切勿使其处于“程序”模式

● 切勿将编程软件连接到用于设备网络以外的任何网络上

● 最小化工业控制系统/设备的网络暴露面，并确保不能从互联网上访问到设备

● 采用VPN的安全方式进行远程访问

针对以上漏洞进行分析发现，不管是美国网络安全和基础设施安全局（CISA）还是漏洞涉及到的厂商给出的缓解措施中，除了更新漏洞补丁外，设置网络分段（网络区域），与业务系统隔离；缩小网络攻击面（减少暴露面、不将软件连接到用于设备网络以外的任何网络上）；采用VPN的方式进行远程访问是最常用的缓解措施。具体防护措施在下文中详细展开。

安全防护一：设置网络分段（网络区域），做好安全隔离

如何实现网络区域之间的隔离呢？《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》安全通信网络中网络架构对网络区域划分进行了明确的要求。以等保三级为例，网络架构要求如下：

a）工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；

b）工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；

c）涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

工业互联网企业在进行安全建设时，应优化网络架构恰当分区分域，基于工业控制系统业务特点并参考等保2.0中功能层次模型将安全域划分为三部分，L0现场设备层、L1现场控制层、L2过程监控层划分为一个安全域，L3生产管理层划分为一个安全域，L4企业资源层划分为一个安全域，在办公网与互联网之间部署智慧防火墙（IT防火墙），在办公网和生产网之间部署工业网闸或工业防火墙，在生产网各安全域边界部署工业防火墙。具体的网络拓扑实施架构图如下：

图1：网络拓扑实施架构图

工业网闸采用工业应用协议隔离技术实现办公网和生产网两个安全域之间访问控制、协议转换、内容过滤和信息交换，阻止来自办公网的病毒、木马、网络入侵等安全威胁。工业防火墙采用四重白名单的深度防御和一体化引擎机制实现办公网和生产网、生产网之间的网络安全防护。

安全防护二：缩小网络攻击面

如何缩小网络攻击面呢？一方面关闭工业控制设备不常用的端口，可以减少工业控制系统/设备在网上的暴露面。另一方面通过网络设备进行访问控制时关闭不必要的端口。第三，工业软件不要跨网段访问，同时在终端做好工业主机安全防护。

工业主机是信息世界通往物理世界的“大门”，且工业主机的生命周期往往比较长,操作系统老旧,存在大量漏洞,并且由于工业生产连续性的特点,工业主机很难定期升级补丁,因此工业主机已成为各类网络攻击和安全事件的首要攻击目标。根据奇安信在汽车、钢铁、制造等行业处理过的上百起工业安全事件来看，很多病毒、木马的入侵最终都是落脚在了工业主机上，那么在投入有限的条件下，做好工业主机的安全防护性价比相对较高。

工业主机安全防护系统基于智能匹配的白名单管控技术、基于ID的USB移动存储外设管控技术、入口拦截、运行拦截、扩散拦截关卡式病毒拦截技术，防范恶意程序的运行、非法外设接入。工业主机安全防护系统投运后，工业主机上的软件不会随意升级或增加新的软件、插件，可以大大缩小网络攻击面。

安全防护三：采用VPN的方式进行远程访问

随着工业互联网的不断发展，越来越多的工业企业内的操作人员通过安全远程连接的方式控制自动化、能源等工业应用。此外，工业控制系统设备供应商较为广泛，包括西门子、施耐德、罗克韦尔等，供应商倾向于通过远程运维的方式维护设备。当远程访问或远程运维时如果没有部署安全防护措施是极易被攻击者利用的。

VPN通常部署在办公网和生产网安全区域边界处，如上图1所示。通过VPN的方式进行远程运维，在满足远程运维人员身份认证、传输加密、访问授权等多种安全需求基础上，可以提供统一的安全接入入口，满足工业行业需要。

针对通过工业应用APP来进行远程访问的情况，可以采用应用APP与VPN进行封装的方式来落实安全防护，在不改变操作人员使用习惯的前提下，既能提高操作人员的工作效率，又能解决APP数据加密传输及身份认证的问题。

安全防护四：对工业互联网资产及漏洞进行安全监测

除了以上CISA 推荐的3种安全防护措施外，看清、看透、看全工业互联网生产中的风险，是保障工业互联网安全的基础和前提，因此，做好对工业互联网的安全监测也是至关重要的一步。

恐惧源于未知，看见才能安全，通过工业安全监测能够及时发现工业互联网资产中的安全漏洞，为工业互联网安全管理提供抓手。工业安全监测主要以工业资产为中心，安全检测与审计为主线，具有资产自动发现、漏洞无损识别、威胁实时检测、行为异常分析、工业协议审计等核心功能，帮助工业企业自动匹配资产漏洞，发现潜在的安全隐患，及时处置，保障生产连续性。

总结

工业互联网企业在进行安全防护且安全预算有限的情况下，可优先做好以上4种防护措施，实现“投入少、见效大”的效果，后续再持续完善工业互联网安全防护体系建设，通过产业协同机制来构建工业互联网的安全。

参考文献

[1]. https://www.first.org/cvss/v3.1/user-guide

[2]. https://nvd.nist.gov/vuln-metrics/cvss#

[3]. https://www.us-cert.gov/ics/advisories/icsa-20-035-01

[4]. https://www.us-cert.gov/ics/advisories/icsa-20-056-03

[5]. https://www.us-cert.gov/ics/advisories/icsa-20-135-02

[6]. https://www.se.com/ww/en/download/document/SEVD-2020-161-02/

 

 

原文来源：关键基础设施安全应急响应中心