工業互聯網是“新基建”的七大領域之一，未來三年，中國工業互聯網市場將以14.4%的年均復合增長率穩定增長，近日，賽迪顧問發布的《2022-2023年中國工業互聯網市場研究年度報告》顯示，2022年中國工業互聯網市場規模總量達到8647.5億元，同比增長13.6%。以工業互聯網為載體的新型工業和經濟模式成為中國經濟復蘇的發力點。預計到2025年，中國工業互聯網市場規模達到12688.4億元，預測增長率為13.8%。工業互聯網迅猛發展，必將帶來工業控制系統、控制器、智能傳感器、工業機器人、邊緣計算終端等組件的大規模接入。

供應鏈安全作為工業互聯網穩步、健康安全發展的基石，企業針對工業互聯網供應鏈各類組件開展安全檢測、認證，是順應工業互聯網市場發展需要的必然選擇，是開展國家網絡安全防護建設的“第一道防線”。

目前，我國工控生產控制設備主要以西門子、艾默生、霍尼韋爾等國外品牌為主，約占80%，核心控制系統采用國外品牌，安全性不可控、完全受制于人——當下供應鏈產品安全問題顯得越發突出。解決供應鏈產品安全問題，“廠企聯合、共筑安全”已為大勢所趨。

順應時代與技術發展之潮流，威努特面向工業企業提出了共建供應鏈產品安全檢測實驗室服務新模式，通過借助自主研發、國內首款工控漏洞挖掘平臺實現對生產網中的PLC、DCS、SIS等自控系統進行健壯性和安全性測試，挖掘未知漏洞，識別未知風險，協助工業企業快速識別供應鏈產品安全問題與潛在風險。

圖1 技術先進自有知識產權、且平臺成熟的檢測、認證體系

值得一提的是威努特工控漏洞挖掘平臺 VHunter IVM作為全面通過ISCI（國際自動化協會安全合規學會）EDSA和SSA雙重認證的全球六款產品之一，安全測試能力已達到了國際先進水平。

圖2 安全檢測、認證實驗室業務邏輯

威努特發放ISASecure認證證書可以證明檢測工具（威努特工業互聯網漏洞挖掘平臺）與IEC62443-4-2、ISCI EDSA系列標準一致性，相關材料提交中國合格評定國家認證委可順利通過審查，可保證順利通過CNAS申請或擴項，亦可為檢測認證中心提供與國際接軌的檢測能力。

安全漏洞檢測成果舉例

表1 已公開安全漏洞舉例

表2 未公開安全漏洞舉例

安全漏洞發現案例

一、率先發現PLC拒絕服務漏洞

2020年8月，威努特工業互聯網漏洞挖掘系統（以下簡稱“漏挖”）測試發現SIMATIC S7-300 PLC存在拒絕服務漏洞，基于漏挖發送的特定測試報文將引發102端口拒絕服務，經威努特安全檢測實驗室驗證，SIMATIC S7-300 CPU全系列均存在該漏洞。

二、西門子官方公告漏洞細節

2020年11月，Siemens ProductCERT發布了S7-300 CPU和SINUMERIK控制器存在拒絕服務漏洞（CVE-2020-15783）的安全公告，證實了由威努特報送的漏洞影響SIMATIC S7-300 CPU系列的所有版本以及SINUMERIK 840D sl的所有版本，該漏洞已收錄于CVE和CNNVD，編號分別為CVE-2020-15783、CNNVD-202011-741。

圖3 西門子S7-300拒絕服務漏洞安全公告

圖4 CVE和CNNVD漏洞收錄

三、權威漏洞庫認定為高危漏洞

考慮到SIMATIC S7-300 PLC在石油、化工、鋼鐵、電力、建材、機械制造、汽車制造等工業控制系統中應用廣泛，而該漏洞利用極為簡單，無需提權遠程即可觸發拒絕服務，服務異常后只有斷電重啟才能恢復正常，美國國家漏洞庫（NVD）將此漏洞CVSS 3.1標記為7.5分,屬于高危漏洞。

圖5 美國國家漏洞庫將該漏洞標記為高危漏洞

圖6 CNNVD將該漏洞標記高危資源管理錯誤漏洞

四、威努特獲得西門子官方致謝

依賴于威努特工業互聯網漏洞挖掘系統自動化的漏洞挖掘過程，威努特安全研究人員得以關注到此漏洞引發的異常現象，出于對威努特安全研究人員在此漏洞發現過程中突出貢獻的感謝，Siemens ProductCERT在安全公告中專門對威努特公司及安全研究人員進行了致謝。

圖7 來自西門的致謝信