6月15日，媒体曝光美国加大对俄罗斯网络攻击力度，将可能造成严重损害的恶意软件植入电网系统。6月23日，美国对伊朗发动网络攻击，并宣布将对伊朗进行新的重要制裁措施，包括网络战在内的新的打击方式都在考虑和实验中。

网络安全已成为各国国防安全的重要一环，通过网络攻击打击对手的国家基础设施，从而造成的破坏性远胜于常规炮火的打击。近年来，越来越多工业控制系统和关键基础设施成为了网络攻击的受害，安全形势严峻。全球工业信息安全漏洞呈现连年高发态势，2016年至2017年，漏洞增长率超过50%，其中半数以上为高危漏洞，广泛分布在能源、制造、商业设施、水务、市政等关键领域，主动发现工业互联网设备漏洞对于解决工业互联网安全问题至关重要。

当前工控系统多数是在隔离的网络环境中运行，但是网络的隔离封闭并没有带来工控系统的安全。50%以上的工控系统带毒运行（国内发现的重要病毒木马，详见下图），100%的工控系统带漏洞运转。短期甚至未来几年都不可能改变上述状况，因为大量的工控系统需要7×24小时不间断运转，没有机会及时修复补丁，也没有官方的渠道获取已验证的漏洞补丁。

我国绝大多数工业控制系统在没有防护措施的情况下暴露于互联网，可以轻易被远程控制，约20%的重要工控系统可被远程入侵并完全接管。针对工控系统的攻击已从原来一个代码攻击一两种漏洞，进化成一个代码嵌入数十种底层系统漏洞，大量工控系统漏洞可被用于入侵感染工控系统，引发高频次、大规模的网络攻击，为安全埋下了重大隐患。

因此，漏洞库的建设十分必要，可以让企业及时获知哪些设备存在安全问题，哪些漏洞补丁已经经过官方验证。企业在工控系统的维护期间，可以在厂商的指导下，及时修复补丁，彻底解决安全隐患。

近几年国内工控系统中发现的重要病毒木马

2019年6月21日，国家工业信息安全漏洞库（CICSVD）正式上线。国家工业信息安全发展研究中心积极推进工业信息安全应急资源库建设，并在工业信息安全产业发展联盟框架下，联合10家单位共同发起建立国家工业信息安全漏洞库。其中，威努特作为CICSVD技术支持组成员单位，助力国家工业信息安全漏洞库的建设，在漏洞上报工作中贡献排名第一，共上报2296个漏洞。

国家工业信息安全漏洞库揭牌仪式

CICSVD技术支持组成员单位证书

威努特2017年10月就推出了工控系统行业漏洞库平台，旨在收集工控系统领域内的漏洞，方便客户快速检索哪些设备存在漏洞，并提供专业的漏洞修补方案。

本次上报CICSVD的漏洞中，按危害等级统计，其中53%的为高危漏洞，41%的为中危漏洞，中高危漏洞的占比超过90%。

漏洞危害等级分布

根据漏洞厂商统计，其中西门子、施耐德、研华、SAP、罗克韦尔这五个厂商的设备发现的漏洞最多。

漏洞厂商Top15排名

根据漏洞分类统计，其中SCADA软件、安防监控设备、网络设备、PLC设备和服务器的漏洞排名前5。

漏洞分类Top15排名

威努特经过多年的积累，形成了针对工业互联网设备的成熟的漏洞挖掘技术。主要包括：基于通信协议的模糊测试和基于二进制文件的逆向分析。

针对工业互联网设备的漏洞挖掘技术

通过上述漏洞挖掘技术，威努特迄今承担漏洞挖掘相关国家课题5项，中央或地方网络安全项目6项，申请漏洞挖掘技术直接相关发明专利21项，已挖掘出近百个工业互联网零日漏洞，累计给CNNVD、CNVD国家漏洞库提交35个。

威努特提交的部分零日漏洞

威努特从2015年开始自主研发工控漏洞挖掘平台，填补了我国商用产品在此领域的空白，支撑我国工控设备安全检测与国际接轨，为我国建立健全工控设备安全检测、市场准入认证制度体系以及工控网络安全审查体系提供强有力的技术保障。该产品是全面通过ISCI （ISASecurity Compliance Institute 国际自动化协会安全合规学会）EDSA和SSA双重认证的全球6款产品之一。

ISASecureCRT Tool认证证书

ISAS网站截图

威努特是国家信息安全漏洞库技术支撑单位，2018年获得工信部网络安全试点示范项目，工控漏洞挖掘平台已应用于中国信息通信研究院、国家互联网应急中心、电力科学研究院等12个客户，并获得高度认可，已逐渐成为中国工控设备安全检测认证的标准化测试工具。

国家信息安全漏洞库支撑单位

工信部网络安全试点示范项目