該高危漏洞的漏洞號(hào)為 CVE-2022-38465，CVSS評(píng)分為 9.3，西門(mén)子公司已在 2022 年 10 月 11 日發(fā)布的安全更新中予以解決。

該高危漏洞能夠通過(guò)利用西門(mén)子 PLC 中先前披露的 CVE-2020-15782 漏洞來(lái)獲得控制器的讀寫(xiě)權(quán)限，從而可以恢復(fù)私鑰。這樣做攻擊者不僅可以繞過(guò)訪(fǎng)問(wèn)控制并覆蓋本機(jī)代碼，而且還可以完全控制每個(gè)受影響的西門(mén)子產(chǎn)品線(xiàn)的每個(gè) PLC 設(shè)備。

作為緩解措施，西門(mén)子公司建議客戶(hù)僅在受信任的網(wǎng)絡(luò)環(huán)境中使用傳統(tǒng)的 PG/PC 和 HMI 通信，并安全訪(fǎng)問(wèn) TIA Portal 和 CPU，以防止未經(jīng)授權(quán)的連接。西門(mén)子公司還采取措施，在 TIA Portal 版本 17 中使用傳輸層安全 (TLS) 對(duì)工程師站、PLC 和 HMI 面板之間的通信進(jìn)行加密。

該高危漏洞反映了去年在羅克韋爾自動(dòng)化 PLC (CVE-2021-22681) 中發(fā)現(xiàn)的另一個(gè)高危漏洞，攻擊者能夠遠(yuǎn)程連接到控制器，上傳惡意代碼，從 PLC 下載信息，或安裝新固件等惡意行為。

很多制造企業(yè)都在思考，如何提升工控系統(tǒng)的安全等級(jí)？

鑒于這些工業(yè)安全事件造成的重大經(jīng)濟(jì)損失或社會(huì)影響，工控安全在全球的重視程度也在逐步提升。如何有效強(qiáng)化工控系統(tǒng)的安全防御能力，提升工控行業(yè)的廠(chǎng)商實(shí)力，已經(jīng)成為國(guó)家政策重點(diǎn)關(guān)注的領(lǐng)域，同時(shí)也是我國(guó)制造企業(yè)在推進(jìn)智能工廠(chǎng)改造以及數(shù)字化轉(zhuǎn)型必須重視的問(wèn)題。

從國(guó)家政策層面來(lái)看，工控網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、法律法規(guī)近幾年密集出臺(tái)。早在2016年，我國(guó)就發(fā)布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。2017年至今，工業(yè)和信息化部又接連發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)措施》、《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》等相應(yīng)的法規(guī)，為工控安全提出了新的要求，并有了具體的指導(dǎo)和落地方向。

在需求和政策的驅(qū)動(dòng)下，工業(yè)安全市場(chǎng)規(guī)模還在逐步擴(kuò)展。根據(jù)《中國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(shū)(2019-2020)》披露，2019年全球工業(yè)信息安全市場(chǎng)規(guī)模達(dá)164.01億美元，而我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模為99.74億元，市場(chǎng)增長(zhǎng)率達(dá)41.84%。2020年受到疫情影響，前瞻產(chǎn)業(yè)研究院估計(jì)全球工業(yè)信息安全市場(chǎng)規(guī)模增速會(huì)有所放緩，約為172億美元，而國(guó)內(nèi)市場(chǎng)整體規(guī)模預(yù)計(jì)增長(zhǎng)至122.81億元。

工控安全作為工業(yè)信息安全的重要組成部分，近年來(lái)市場(chǎng)發(fā)展迅速，出現(xiàn)了不少有實(shí)力的廠(chǎng)商。從國(guó)內(nèi)來(lái)看，目前能夠給廣大工業(yè)企業(yè)提供工控安全產(chǎn)品和解決方案的廠(chǎng)商，主要分為三類(lèi)：

（1）專(zhuān)業(yè)的工控安全廠(chǎng)商。例如北京威努特技術(shù)有限公司、北京神州慧安科技有限公司、杭州木鏈物聯(lián)網(wǎng)科技有限公司、長(zhǎng)揚(yáng)科技(北京)有限公司、北京匡恩網(wǎng)絡(luò)科技有限公司、谷神星網(wǎng)絡(luò)科技(北京)有限公司等。這類(lèi)廠(chǎng)商基本屬于近幾年成立的創(chuàng)業(yè)公司，整合了不少信息安全與工業(yè)自動(dòng)化方面的人才，并且100%專(zhuān)注于工控安全領(lǐng)域，具備很強(qiáng)的實(shí)力。

（2）自動(dòng)化背景廠(chǎng)商。例如青島海天煒業(yè)自動(dòng)化控制系統(tǒng)有限公司、北京力控華康科技有限公司在工控安全市場(chǎng)上有較大的影響力，珠海市鴻瑞軟件技術(shù)有限公司在電力行業(yè)影響較大。由于這類(lèi)企業(yè)在工業(yè)自動(dòng)化領(lǐng)域的深耕，其自身自動(dòng)化產(chǎn)品也有工控安全方面的需求，因而更能了解工業(yè)企業(yè)的行業(yè)“Know-How”。 

（3）傳統(tǒng)IT安全廠(chǎng)商背景。例如啟明星辰信息技術(shù)有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、北京神州綠盟信息安全科技股份有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司等。這類(lèi)企業(yè)以IT技術(shù)見(jiàn)長(zhǎng)，在工控安全市場(chǎng)上有一定的影響力。

 總結(jié)

為加強(qiáng)我國(guó)整體的工控安全實(shí)力，政府層面應(yīng)該不斷加強(qiáng)對(duì)工業(yè)控制領(lǐng)域安全法律、法規(guī)的建設(shè)，同時(shí)國(guó)內(nèi)的技術(shù)廠(chǎng)商應(yīng)該借助新一輪IT發(fā)展浪潮，提升工控安全技術(shù)的自主研發(fā)創(chuàng)新能力，為企業(yè)的工業(yè)控制應(yīng)用保駕護(hù)航。制造行業(yè)用戶(hù)也應(yīng)加快制定“未來(lái)信任”戰(zhàn)略，根據(jù)業(yè)務(wù)發(fā)展的不同階段落實(shí)策略與方案的部署，助力IT與OT融合，促進(jìn)業(yè)務(wù)的快速發(fā)展。相信隨著相關(guān)政策標(biāo)準(zhǔn)的推出，技術(shù)、產(chǎn)品和解決方案的不斷完善，我國(guó)工控安全市場(chǎng)會(huì)不斷發(fā)展，整個(gè)工控安全行業(yè)也會(huì)愈加成熟。