2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書_第1頁
2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書_第2頁
2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書_第3頁
2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書_第4頁
2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書_第5頁
已閱讀5頁,還剩92頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

21.前言 52.2022年工控安全相關(guān)政策法規(guī)報告 62.1《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》 62.2《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》 62.3《電力可靠性管理辦法(暫行)》 72.4《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》 7 72.6《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實施意見(征求意見稿)》 82.7《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》 82.8《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》 82.9《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》 92.10《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》 92.11《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》 92.12《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》 93.2022年典型工控安全事件分析 113.1德國主要燃料儲存供應(yīng)商遭網(wǎng)絡(luò)攻擊 113.2FBI警報:美國關(guān)鍵基礎(chǔ)設(shè)施正遭受BlackByte勒索軟件入侵 113.3白俄羅斯鐵路遭到Anonymou入侵,所有網(wǎng)絡(luò)服務(wù)中斷 113.4東歐大型加油站遭勒索攻擊,官網(wǎng)、APP等全部下線 123.5烏克蘭的能源供應(yīng)商成為Industroyer2ICS惡意軟件的目標(biāo) 1233.6農(nóng)業(yè)機(jī)械巨頭愛科遭勒索攻擊,美國種植季拖拉機(jī)供應(yīng)受影響 123.7得克薩斯州一家液化天然氣廠遭黑客攻擊導(dǎo)致爆炸 133.8伊朗lycaeumAPT組織利用新的DNS后門攻擊能源行業(yè) 133.9德國建材巨頭Knauf被BlackBasta勒索軟件團(tuán)伙襲擊 133.10希臘天然氣分銷商DESFA部分基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)襲擊 143.11黑客組織GhostSec入侵以色列各地的55個PLC 143.12黑客組織KILLNET對美國機(jī)場網(wǎng)站發(fā)起分布式拒絕服務(wù)(DDoS)攻擊 143.13網(wǎng)絡(luò)攻擊導(dǎo)致丹麥最大鐵路公司火車全部停運(yùn) 153.14烏克蘭政府機(jī)構(gòu)和國家鐵路遭受新一波網(wǎng)絡(luò)釣魚攻擊 154.工控系統(tǒng)安全漏洞概況 175.聯(lián)網(wǎng)工控設(shè)備分布 205.1國際工控設(shè)備暴露情況 225.2國內(nèi)工控設(shè)備暴露情況 245.3國內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計情況 275.4俄烏沖突以來暴露設(shè)備數(shù)量變化 296.工控蜜罐數(shù)據(jù)相關(guān)分析 326.1工控蜜罐全球捕獲流量概況 326.2工控系統(tǒng)攻擊流量分析 346.3工控系統(tǒng)攻擊類型識別 376.4工控蜜罐與威脅情報數(shù)據(jù)關(guān)聯(lián)分析 396.5工控網(wǎng)絡(luò)探針 4147.工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展 447.1工業(yè)互聯(lián)網(wǎng)與智能制造 457.2工業(yè)互聯(lián)網(wǎng)與產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型 477.3工業(yè)互聯(lián)網(wǎng)與典型工業(yè)環(huán)境 488.總結(jié) 53參考文獻(xiàn) 541.前言5關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等,對國家的穩(wěn)定發(fā)展發(fā)揮著極端重要的作用。工業(yè)控制系統(tǒng)是關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵核心。隨著制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的持續(xù)推進(jìn),機(jī)械、航空、船舶、汽車、輕工、紡織、食品、電子等行業(yè)生產(chǎn)設(shè)備逐漸步入智能化階段。與此同時,5G技術(shù)、人工智能、云計算等新一代信息技術(shù)與制造技術(shù)的加速融合,使得工業(yè)控制系統(tǒng)正從封閉獨(dú)立逐步走向開放互聯(lián)。工業(yè)控制網(wǎng)絡(luò)正與IT網(wǎng)絡(luò)進(jìn)行著深度融合,在促進(jìn)工業(yè)進(jìn)一步發(fā)展的同時,傳統(tǒng)信息網(wǎng)絡(luò)中的各種安全威脅已經(jīng)逐步延伸至工業(yè)控制網(wǎng)絡(luò)中。在黨的二十大報告中,習(xí)近平總書記著重強(qiáng)調(diào)了:“要推進(jìn)國家安全體系和能力現(xiàn)代化,堅決維護(hù)國家安全和社會穩(wěn)定?!苯陙?,網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密等危及國家安全行為,給社會生產(chǎn)生活帶來了不少安全隱患。如何有效保障網(wǎng)絡(luò)與信息安全,是數(shù)字時代的重要課題。2022年4月,為貫徹落實2022年《政府工作報告》關(guān)于“加快發(fā)展工業(yè)互聯(lián)網(wǎng)”的部署要求,扎實推進(jìn)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)》任務(wù)安排,工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)專項工作組2022年工作計劃》。從夯實基礎(chǔ)設(shè)施、深化融合應(yīng)用、強(qiáng)化技術(shù)創(chuàng)新、完善要素保障等方面,提出了網(wǎng)絡(luò)體系強(qiáng)基、標(biāo)識解析增強(qiáng)、平臺體系壯大等15大類任務(wù)83項具體舉措。為順應(yīng)當(dāng)前形勢,東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設(shè)計并實現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎(),并根據(jù)“諦聽”收集的各類安全數(shù)據(jù),撰寫并發(fā)布《2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書》,讀者可以通過報告了解2022年工控安全相關(guān)政策法規(guī)報告及典型工控安全事件分析,同時報告對工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐、威脅情報數(shù)據(jù)及工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展情況進(jìn)行了闡釋及分析,有助于全面了解工控系統(tǒng)安全現(xiàn)狀,多方位感知工控系統(tǒng)安全態(tài)勢,為研究工控安全相關(guān)人員提供參考。2.2022年工控安全相關(guān)政策法規(guī)報告6隨著互聯(lián)網(wǎng)的快速發(fā)展,云計算等新型信息技術(shù)開始與傳統(tǒng)工業(yè)進(jìn)行融合,工業(yè)控制系統(tǒng)逐漸走向智能化。但與此同時,一些網(wǎng)絡(luò)安全事件層出不窮,工業(yè)控制系統(tǒng)在信息安全方面受到了嚴(yán)峻挑戰(zhàn)。因此,我國開始逐步完善工業(yè)信息安全政策標(biāo)準(zhǔn),以便于提升工業(yè)信息安全保障技術(shù),推動整個安全產(chǎn)業(yè)的發(fā)展。通過梳理2022年度發(fā)布的相關(guān)政策法規(guī)報告,整理各大工業(yè)信息安全研究院及機(jī)構(gòu)針對不同法規(guī)所發(fā)布的解讀文件,現(xiàn)摘選部分重要內(nèi)容并對其進(jìn)行簡要分析,以供讀者進(jìn)一步了解國家層面關(guān)于工控安全領(lǐng)域的政策導(dǎo)向。2.1《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》2022年2月10日,工信部再次公開征求對《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法 (試行)》(征求意見稿)的意見。此次發(fā)布的征求意見稿調(diào)整了數(shù)據(jù)定義、監(jiān)管機(jī)構(gòu)和核心數(shù)據(jù)目錄備案等條款。在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者責(zé)任方面,征求意見稿明確了其對數(shù)據(jù)處理活動負(fù)安全主體責(zé)任,對各類數(shù)據(jù)實行分級防護(hù),保證數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。該征求意見稿增加了核心數(shù)據(jù)跨主體處理以及日志留存條款,要求需要跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)時,應(yīng)當(dāng)評估安全風(fēng)險,采取必要的安全保護(hù)措施,并經(jīng)由地方工業(yè)和信息化主管部門(工業(yè)領(lǐng)域)或通信管理局(電信領(lǐng)域)或無線電管理機(jī)構(gòu)(無線電領(lǐng)域)報工業(yè)和信息化部。工業(yè)和信息化部嚴(yán)格按照有關(guān)規(guī)定對其進(jìn)行審查。2.2《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》2022年4月15日,根據(jù)國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告(2022年第6號),國家標(biāo)準(zhǔn)GB/T41400-2022《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》正式發(fā)布,并將于2022年11月進(jìn)行正式實施。該標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合“產(chǎn)學(xué)研用測”41家單位共同研制,意在貫徹落實《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》有關(guān)要求、進(jìn)一步推動工業(yè)企業(yè)落實《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》防護(hù)要點(diǎn)。72.3《電力可靠性管理辦法(暫行)》2022年4月25日,國家發(fā)改委官網(wǎng)公布了《電力可靠性管理辦法(暫行)》,并于6月1日起開始實施?!掇k法》第七章對電力網(wǎng)絡(luò)安全做出了明確要求,其中提出了電力網(wǎng)絡(luò)安全堅持積極防御和綜合防范的方針;電力企業(yè)應(yīng)當(dāng)落實網(wǎng)絡(luò)安全保護(hù)責(zé)任,健全網(wǎng)絡(luò)安全組織體系;電力企業(yè)應(yīng)當(dāng)強(qiáng)化電力監(jiān)控系統(tǒng)安全防護(hù);電力用戶應(yīng)當(dāng)根據(jù)國家有關(guān)規(guī)定和標(biāo)準(zhǔn)開展網(wǎng)絡(luò)安全防護(hù),預(yù)防網(wǎng)絡(luò)安全事件,防止對公用電網(wǎng)造成影響;國家能源局依法依規(guī)履行電力行業(yè)網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)等具體要求。2.4《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》2022年6月14日,國家能源局對《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》(國能安全〔2014〕317號,為加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全監(jiān)督管理以及規(guī)范電力行業(yè)網(wǎng)絡(luò)安全工作,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及國家有關(guān)規(guī)定,制定本辦法。)、《電力行業(yè)信息安全等級保護(hù)管理辦法》(國能安全〔2014〕318號,為規(guī)范電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理,提高電力行業(yè)網(wǎng)絡(luò)安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息安全等級保護(hù)管理辦法》等法律法規(guī)和規(guī)范性文件,制定本辦法。)進(jìn)行修訂,形成了《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理辦法 (修訂征求意見稿)》,向社會公開征求意見。2.5《數(shù)據(jù)出境安全評估辦法》2022年7月7日,國家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),并于2022年9月1日起開始施行。出臺《辦法》是為了更好的落實《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》的規(guī)定,并且有利于保護(hù)個人信息的權(quán)益,社會公共的利益,規(guī)范數(shù)據(jù)出境的活動以及維護(hù)國家的安全。該《辦法》8也規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序,并具體指明數(shù)據(jù)出境安全評估工作的方法。2.6《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實施意見(征求意見稿)》2022年7月21日,市監(jiān)總局發(fā)布《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實施意見(征求意見稿)》,公開征求意見至8月21日。應(yīng)當(dāng)依法設(shè)立從事網(wǎng)絡(luò)安全服務(wù)認(rèn)證活動的認(rèn)證機(jī)構(gòu),保證其具備從事網(wǎng)絡(luò)安全服務(wù)認(rèn)證活動的專業(yè)能力,并嚴(yán)格經(jīng)過市場監(jiān)管總局征求中央網(wǎng)信辦、公安部意見后批準(zhǔn)取得資質(zhì)。嚴(yán)格要求網(wǎng)絡(luò)安全服務(wù)認(rèn)證機(jī)構(gòu)公開認(rèn)證收費(fèi)標(biāo)準(zhǔn)和認(rèn)證證書有效、暫停、注銷或者撤銷等狀態(tài),按照有關(guān)規(guī)定報送網(wǎng)絡(luò)安全服務(wù)認(rèn)證實施情況及認(rèn)證證書信息。2.7《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》2022年9月14日,國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門起草了《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》,并向社會公開征求意見。意見反饋截止時間為2022年9月29日。自2017年《中華人民共和國網(wǎng)絡(luò)安全法》開始實施后,其為維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益,保護(hù)公民等合法權(quán)益,提供了有力法律保障。隨著社會形勢的發(fā)展,擬對《中華人民共和國網(wǎng)絡(luò)安全法》進(jìn)行修改,使其法律責(zé)任制度能夠更加完善,能夠更加有效的保障網(wǎng)絡(luò)的安全。2.8《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》2022年10月12日,國家標(biāo)準(zhǔn)化管理委員會發(fā)布2022年第14號中華人民共和國國家標(biāo)準(zhǔn)公告,批準(zhǔn)發(fā)布國家標(biāo)準(zhǔn)GB/T39204-2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》,《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在識別分析、安全防護(hù)、檢測評估等方面的安全要求。此次標(biāo)準(zhǔn)的發(fā)布,意味著我國的國家關(guān)鍵信息基礎(chǔ)設(shè)施(電力,燃?xì)猓?,石化?工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)將納入國家監(jiān)督成為強(qiáng)制要求,標(biāo)志著我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的建設(shè)進(jìn)一步完善,為運(yùn)營者開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作提供更有效的規(guī)范和引領(lǐng)。標(biāo)準(zhǔn)將于2023年5月1日開始實施。92.9《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》2022年10月14日,國家標(biāo)準(zhǔn)化管理委員會發(fā)布2022年第13號中華人民共和國國家標(biāo)準(zhǔn)公告,批準(zhǔn)發(fā)布國家標(biāo)準(zhǔn)GB/T42021-2022《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》?!豆I(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》是我國首個在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)領(lǐng)域中發(fā)布的國家標(biāo)準(zhǔn),其規(guī)范了工業(yè)互聯(lián)網(wǎng)工廠內(nèi)外網(wǎng)絡(luò)架構(gòu)的目標(biāo)架構(gòu)和功能要求,并且表明了工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)實施的框架以及對安全方面的要求,相關(guān)標(biāo)準(zhǔn)的規(guī)定有助于提升全行業(yè)全產(chǎn)業(yè)的數(shù)字化、網(wǎng)絡(luò)化以及智能化水平,能夠進(jìn)一步促進(jìn)相關(guān)產(chǎn)業(yè)向數(shù)字化轉(zhuǎn)型。該標(biāo)準(zhǔn)將于2023年5月1日開始實施。2.10《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》2022年10月28日,工業(yè)和信息化部近日印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》?!掇k法》規(guī)定,將采取網(wǎng)上備案的形式進(jìn)行,通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺對漏洞收集平臺進(jìn)行備案。相關(guān)參與者需在該共享平臺上如實填報網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺的備案登記信息。該《辦法》將于2023年1月1日起施行。2.11《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》2022年11月9日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》(征求意見稿),并向社會公開征求意見,該意見征求截止時間為12月9日。該文件嚴(yán)格要求了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)所提供的安全服務(wù)應(yīng)該具備的能力水平。該文件能夠?qū)W(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全服務(wù)能力建設(shè)進(jìn)行有效指導(dǎo),同時也可以幫助政務(wù)部門以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者選擇合適的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。2.12《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》2022年11月17日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》(征求意見稿),并向社會征求意見,該意見征求截止時間為2023年1月16日。征求意見稿給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架,其中主要包括機(jī)構(gòu)設(shè)立、分析識別以及事后恢復(fù)與總結(jié)等。該文件有助于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開展網(wǎng)絡(luò)安全應(yīng)急活動,同時可以為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方提供參考。序號月份出臺政策12月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(征求意見稿)22月《工業(yè)和信息化部辦公廳關(guān)于做好工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作的通知》32月《工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系》44月《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》54月《電力可靠性管理辦法(暫行)》66月《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》77月《數(shù)據(jù)出境安全評估辦法》87月《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實施意見(征求意見稿)》97月《信息安全技術(shù)信息安全管理體系概述和詞匯》8月《公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法(征求意見稿)》9月《關(guān)于修改(中華人民共和國網(wǎng)絡(luò)安全法)的決定(征求意見稿)》10月《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》10月《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》10月《數(shù)字化轉(zhuǎn)型價值效益參考模型》、《供應(yīng)鏈數(shù)字化管理指南》、《生產(chǎn)設(shè)備運(yùn)行管理規(guī)范》、《生產(chǎn)設(shè)備運(yùn)行績效評價指標(biāo)集》10月《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》11月《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》(征求意見稿)11月《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》(征求意見稿)12月《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第4部分:數(shù)據(jù)防護(hù)要求》(征求意見稿)12月《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》2012月《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理辦法》2112月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》3.2022年典型工控安全事件分析時至2022,全球局勢變化風(fēng)云莫測,工控安全是國家安全保障、社會穩(wěn)定運(yùn)行的重要基石。工控網(wǎng)絡(luò)的應(yīng)用涉及了社會中的各個重要行業(yè)如通信、電力、燃油等。社會中的各個機(jī)構(gòu)、組織、企業(yè)在疫情下穩(wěn)步的復(fù)產(chǎn)復(fù)工,恢復(fù)工作秩序,離不開工控網(wǎng)絡(luò)的安全。以下介紹2022年發(fā)生的一些典型工控安全相關(guān)事件,通過以下事件可以了解工業(yè)控制網(wǎng)絡(luò)環(huán)境下各種攻擊的技術(shù)特性和趨勢,以此來制定更加有效的相關(guān)策略應(yīng)對未來可能遭受的攻擊。3.1德國主要燃料儲存供應(yīng)商遭網(wǎng)絡(luò)攻擊2022年1月29日,德國的一家名為OiltankingGmbHGroup的石油儲存公司遭到了網(wǎng)絡(luò)攻擊。本次攻擊主要是針對Oiltanking公司以及礦物油貿(mào)易公司Mabanaft,對其造成了一定的影響。Oiltanking和Mabanaft在他們的聯(lián)合聲明中表示他們正在盡力解決該問題,并了解其波及的范圍。同時由于受到本次攻擊事件的影響,歐洲西北部地區(qū)餾分柴油的價格有略微的漲幅。3.2FBI警報:美國關(guān)鍵基礎(chǔ)設(shè)施正遭受BLACKBYTE勒索軟件入侵2022年2月11日,美國聯(lián)邦調(diào)查局和美國特勤局聯(lián)合發(fā)布了《聯(lián)合網(wǎng)絡(luò)安全咨詢公告》。公告中指出:名為BlackByte的軟件勒索組織在過去的3個月期間,入侵了至少3個美國關(guān)鍵基礎(chǔ)設(shè)施組織,尤其是政府設(shè)施、金融服務(wù)以及食品和農(nóng)業(yè)領(lǐng)域。該組織會將其勒索軟件基礎(chǔ)設(shè)施出租給他人,以此來換取一定比例的勒索收益,該組織自2021年7月開始開發(fā)軟件漏洞,全球范圍內(nèi)的企業(yè)都可能成為其目標(biāo)。3.3白俄羅斯鐵路遭到ANONYMOU入侵,所有網(wǎng)絡(luò)服務(wù)中斷2022年2月27日,黑客組織Anonymou聲稱已經(jīng)入侵了白俄羅斯鐵路的內(nèi)部網(wǎng)絡(luò),并且攻擊并關(guān)閉了其內(nèi)部網(wǎng)絡(luò)的所有服務(wù)。目前網(wǎng)站pass.rw.by、portal.rw.by、rw.by都處于無法訪問的狀態(tài),該國的鐵路系統(tǒng)被迫轉(zhuǎn)入手動控制模式,這對白俄羅斯鐵路列車的正常運(yùn)營以及鐵路秩序都造成了極大的影響和破壞。Anonymou組織還入侵了白俄羅斯的武器制造商Tetraedr,并竊取了大約200GB的電子郵件。3.4東歐大型加油站遭勒索攻擊,官網(wǎng)、APP等全部下線2022年3月6日,東歐國家羅馬尼亞的一家加油站遭到了勒索軟件攻擊,該加油站的Fill&Go服務(wù)以及官方網(wǎng)站都因本次攻擊而被迫下線。本次攻擊影響到了該公司的大部分業(yè)務(wù),導(dǎo)致了官網(wǎng)、APP都無法正常訪問,顧客只能使用現(xiàn)金和刷卡進(jìn)行支付。這家公司名為Rompetrol,是羅馬尼亞國內(nèi)最大的煉油廠PetromidiaNavodari的配套加油站運(yùn)營商。攻擊者還入侵了Petromdia煉油廠內(nèi)部的網(wǎng)絡(luò),但該網(wǎng)絡(luò)的運(yùn)營暫未發(fā)現(xiàn)受到了影響。3.5烏克蘭的能源供應(yīng)商成為INDUSTROYER2ICS惡意軟件的目標(biāo)2022年4月12日,一種新的能夠操控工業(yè)控制系統(tǒng)造成損害的惡意軟件最近將烏克蘭的一家能源供應(yīng)商作為了攻擊的目標(biāo)。該攻擊主要針對的是變電站,烏克蘭的計算機(jī)應(yīng)急響應(yīng)小組、網(wǎng)絡(luò)安全公司和微軟公司已經(jīng)對其進(jìn)行了分析。經(jīng)分析發(fā)現(xiàn),該攻擊行動與一個威脅組織Sandworm有關(guān),該組織據(jù)信代表俄羅斯GRU軍事情報機(jī)構(gòu)運(yùn)作。根據(jù)網(wǎng)絡(luò)安全公司的說法,該攻擊的目的可能是在目標(biāo)能源設(shè)施中執(zhí)行破壞性的操作進(jìn)而導(dǎo)致停電,本次安全事件涉及了在ICS網(wǎng)絡(luò)以及運(yùn)行Solaris和Linux的系統(tǒng)中部署的幾種惡意軟件。3.6農(nóng)業(yè)機(jī)械巨頭愛科遭勒索攻擊,美國種植季拖拉機(jī)供應(yīng)受影響2022年5月7日,美國農(nóng)業(yè)機(jī)械巨頭愛科遭到了勒索軟件的攻擊,對部分生產(chǎn)設(shè)施的運(yùn)營造成了影響,并且該影響可能會持續(xù)多天。本次事件中,愛科公司并沒有提供任何關(guān)于業(yè)務(wù)中斷的細(xì)節(jié)信息,為了阻止攻勢蔓延該公司可能會關(guān)閉部分系統(tǒng)。有經(jīng)銷商表示,這導(dǎo)致拖拉機(jī)銷售在美國最重要的種植季節(jié)停滯不前。近一年來已經(jīng)有多家農(nóng)業(yè)供應(yīng)鏈企業(yè)遭到攻擊,可見農(nóng)業(yè)逐漸成為了勒索攻擊的重點(diǎn)目標(biāo)。同時受到緊張的國際政治局勢的影響,部分網(wǎng)絡(luò)攻擊可能還具有報復(fù)性動機(jī),目的是破壞美國關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的生產(chǎn)活動。3.7得克薩斯州一家液化天然氣廠遭黑客攻擊導(dǎo)致爆炸2022年6月8日,德克薩斯州一家液化天然氣廠發(fā)生爆炸。爆炸發(fā)生在德克薩斯州金塔納島的自由港液化天然氣液化廠(名為FreeportLNG公司)和出口碼頭。華盛頓時報一國家安全作家Rogan證實:德克薩斯州的液化天然氣設(shè)施爆炸與APT組織進(jìn)行的黑客活動一致。FreeportLNG擁有運(yùn)營技術(shù)以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)檢測系統(tǒng),但否認(rèn)了將網(wǎng)絡(luò)攻擊視為事件發(fā)生的根本原因。除非FreeportLNG適當(dāng)部署了OT/ICS網(wǎng)絡(luò)檢測系統(tǒng)并完成了取證調(diào)查,否則不能排除網(wǎng)絡(luò)攻擊。此次爆炸事故將對自由港液化天然氣的運(yùn)營產(chǎn)生持久的影響。3.8伊朗LYCAEUMAPT組織利用新的DNS后門攻擊能源行業(yè)2022年6月10日,伊朗LycaeumAPT黑客組織使用新的基于.NET的DNS后門,以對能源和電信行業(yè)的公司進(jìn)行攻擊。Lyceum曾使用DNS隧道后門瞄準(zhǔn)中東的通信服務(wù)提供商。Zscaler最近的一項分析提出了一種新的DNS后門,該后門基于DIG.net開源工具可以執(zhí)行“DNS劫持”攻擊、執(zhí)行命令、丟棄更多有效負(fù)載并泄露數(shù)據(jù)。DNS劫持是一種重定向攻擊,它依賴于DNS查詢操作,將嘗試訪問合法站點(diǎn)的用戶帶到威脅參與者控制下的服務(wù)器上托管的惡意克隆。3.9德國建材巨頭KNAUF被BLACKBASTA勒索軟件團(tuán)伙襲擊2022年7月19日消息,德國建材巨頭Knauf集團(tuán)表示它已成為網(wǎng)絡(luò)攻擊的目標(biāo),該攻擊擾亂了其業(yè)務(wù)運(yùn)營。據(jù)悉,網(wǎng)絡(luò)攻擊發(fā)生在6月29日晚上,目前,可耐夫仍在進(jìn)行調(diào)查取證、事件處理和補(bǔ)救工作。雖然Knauf沒有公布他們所遭受的網(wǎng)絡(luò)攻擊的類型,但根據(jù)恢復(fù)正常運(yùn)營的時間、影響和難度可以推斷這大概率是一起勒索軟件事件。名為BlackBasta的勒索軟件團(tuán)伙已經(jīng)在其勒索網(wǎng)站上發(fā)布公告宣布對這次攻擊負(fù)責(zé),并于7月16日將Knauf列為受害者。勒索軟件團(tuán)伙目前已經(jīng)泄露了20%的被盜文件,超過350名訪問者訪問了這些文件。并非所有文件都已在線泄露的事實表明,威脅行為者仍有希望獲得成功的談判結(jié)果并獲得贖金。3.10希臘天然氣分銷商DESFA部分基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)襲擊2022年8月20日,希臘最大的天然氣分銷商DESFA表示在其部分基礎(chǔ)設(shè)施上遭受了網(wǎng)絡(luò)攻擊,攻擊者試圖非法訪問電子數(shù)據(jù),并可能泄露了許多目錄和文件。8月19日,RagnarLocker勒索軟件組織在其暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站上泄露了DESFA的數(shù)據(jù)樣本及被盜數(shù)據(jù)列表,這也證實了此次攻擊。泄露的數(shù)據(jù)樣本不包含機(jī)密信息。RagnarLocker在其暗網(wǎng)上表示,DESFA的系統(tǒng)中存在多個安全漏洞,會導(dǎo)致公司的敏感數(shù)據(jù)受到損害。RagnarLocker已將此類漏洞通知了DESFA,然而并沒有收到回應(yīng)。因此RagnarLocker發(fā)布了從DESFA網(wǎng)絡(luò)下載的數(shù)據(jù)列表,并威脅如果DESFA沒有在規(guī)定時間內(nèi)采取行動,也沒有聯(lián)系威脅行為者以解決安全問題,將發(fā)布文件列表中包含的所有文件。3.11黑客組織GHOSTSEC入侵以色列各地的55個PLC可編程邏輯控制器(PLC),這些PLC被以色列組織用作“FreePalestine”運(yùn)動的一部分。GhostSec于2015年首次被發(fā)現(xiàn),自稱治安組織,最初成立的目的是針對宣揚(yáng)伊斯蘭極端主義的ISIS網(wǎng)站。9月4日,GhostSec在其Telegram頻道上分享了一段視頻,展示了成功登錄PLC管理面板的過程,此外還轉(zhuǎn)儲了被黑客入侵控制器的數(shù)據(jù)。同時,GhostSec發(fā)布了更多的截圖,聲稱已經(jīng)獲得了另一個控制面板的權(quán)限,可以用來改變水中的氯含量和PH值。工業(yè)網(wǎng)絡(luò)安全公司OTORIO對此事進(jìn)行了更深入的調(diào)查后表示,發(fā)生此次入侵的原因可能是因為PLC可以通過互聯(lián)網(wǎng)訪問,而且使用的是可以輕易猜到的憑證。3.12黑客組織KILLNET對美國機(jī)場網(wǎng)站發(fā)起分布式拒絕服務(wù)(DDOS)攻擊2022年10月10日,親俄黑客組織KillNet聲稱對美國幾個主要機(jī)場的網(wǎng)站進(jìn)行了大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊,導(dǎo)致其無法訪問。DDoS攻擊通過垃圾請求使托管這些網(wǎng)站的服務(wù)器無法運(yùn)作,使旅客無法連接并獲取有關(guān)其定期航班或預(yù)訂機(jī)場服務(wù)的更新。被攻擊的機(jī)場包括芝加哥奧黑爾國際機(jī)場(ORD)、奧蘭多國際機(jī)場(MCO)、丹佛國際機(jī)場(DIA)、鳳凰城天港國際機(jī)場(PHX),以及肯塔基州、密西西比州和夏威夷的一些機(jī)場。雖然DDoS攻擊不會影響航班,但仍然對關(guān)鍵經(jīng)濟(jì)部門的運(yùn)作產(chǎn)生了不利影響,可能將會造成相關(guān)服務(wù)的暫緩甚至是癱瘓。KillNet的創(chuàng)始人KillMilk還表示,他們正在計劃進(jìn)一步的攻擊,涉及更嚴(yán)重的技術(shù),包括旨在破壞數(shù)據(jù)的擦除器攻擊。3.13網(wǎng)絡(luò)攻擊導(dǎo)致丹麥最大鐵路公司火車全部停運(yùn)2022年11月5日,由于遭受了網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)器關(guān)閉,丹麥最大的鐵路運(yùn)營公司DSB旗下所有列車均陷入停運(yùn),且連續(xù)數(shù)個小時未能恢復(fù)。遭受攻擊的是丹麥公司Supeo,該公司是一家專為鐵路、交通基礎(chǔ)設(shè)施和公共客運(yùn)提供資產(chǎn)管理解決方案的外包供應(yīng)商。Supeo可能經(jīng)受了一次勒索軟件攻擊,但該公司并未披露任何信息。Supeo公司提供了一款移動應(yīng)用,可供火車司機(jī)訪問各項關(guān)鍵運(yùn)營信息,例如限速指標(biāo)和鐵路運(yùn)行信息。由于服務(wù)器關(guān)閉,導(dǎo)致該應(yīng)用停止工作,司機(jī)們只能被迫停車,最終引發(fā)了列車運(yùn)營中斷事件。3.14烏克蘭政府機(jī)構(gòu)和國家鐵路遭受新一波網(wǎng)絡(luò)釣魚攻擊2022年12月8日,烏克蘭計算機(jī)應(yīng)急響應(yīng)小組報道,烏克蘭政府機(jī)構(gòu)和國家鐵路遭受網(wǎng)絡(luò)釣魚攻擊。攻擊者被響應(yīng)小組追蹤為UAC-0140,他們使用電子郵件分發(fā)由Delphi編程語言開發(fā)的名為DolphinCape惡意軟件。這種惡意軟件可以采集被攻擊電腦的信息,包括主機(jī)名、用戶名、比特率和操作系統(tǒng)版本等等,該軟件還會運(yùn)行可執(zhí)行文件、提取其他關(guān)鍵數(shù)據(jù)、并對目標(biāo)設(shè)備進(jìn)行屏幕截圖等操作,嚴(yán)重影響被攻擊者的電腦的運(yùn)行安全。烏克蘭安全官員認(rèn)為,俄羅斯黑客是大多數(shù)攻擊的幕后黑手。序號時間國家/地區(qū)行業(yè)方式影響1德國制造業(yè)未知?dú)W洲北部地區(qū)柴油漲價2荷蘭能源業(yè)勒索軟件石油裝卸和轉(zhuǎn)運(yùn)受阻32月美國農(nóng)業(yè)勒索軟件勒索高額贖金42月俄羅斯運(yùn)輸業(yè)未知鐵路運(yùn)營秩序受影響,資料泄露52月瑞士運(yùn)輸業(yè)勒索軟件運(yùn)營受到干擾63月羅馬尼亞能源業(yè)勒索軟件油站官網(wǎng)、APP無法訪問73月德國能源業(yè)勒索軟件近6000臺風(fēng)力發(fā)電機(jī)失去遠(yuǎn)程控制84月烏克蘭能源業(yè)惡意軟件變電站停電94月德國制造業(yè)網(wǎng)絡(luò)攻擊被迫關(guān)閉多個業(yè)務(wù)部門的系統(tǒng)4月加拿大制造業(yè)網(wǎng)絡(luò)攻擊航班延誤,大量旅客滯留機(jī)場5月美國農(nóng)業(yè)勒索軟件公司被迫關(guān)閉系統(tǒng)、銷售停滯5月航空業(yè)勒索軟件航班延誤、旅客滯留機(jī)場6月美國建筑業(yè)惡意流量混合探測到更多新的惡意軟件變種和與攻擊者相關(guān)的TTP6月土耳其航空業(yè)未知嚴(yán)重的數(shù)據(jù)泄露6月美國能源業(yè)網(wǎng)絡(luò)攻擊液化天然氣廠的運(yùn)營產(chǎn)生了持久影響7月德國制造業(yè)勒索軟件文件泄露、被索要高額贖金7月伊朗制造業(yè)網(wǎng)絡(luò)攻擊嚴(yán)重擾亂工廠運(yùn)營7月西班牙工業(yè)網(wǎng)絡(luò)攻擊輻射警報網(wǎng)絡(luò)無法響應(yīng)輻射激增事件8月希臘能源業(yè)勒索軟件大量數(shù)據(jù)遭到泄露208月英國醫(yī)療業(yè)網(wǎng)絡(luò)攻擊急救熱線持續(xù)性中斷219月巴勒斯坦工業(yè)網(wǎng)絡(luò)入侵多個PLC可以被攻擊者控制2210月美國航空業(yè)DDoS攻擊航空公司網(wǎng)站的服務(wù)器無法運(yùn)作2310月德國新聞業(yè)勒索軟件系統(tǒng)陷入癱瘓,電子版文件無法訪問2411月烏克蘭互聯(lián)網(wǎng)勒索軟件惡意腳本入侵網(wǎng)絡(luò)2511月德國制造業(yè)網(wǎng)絡(luò)攻擊數(shù)據(jù)泄露,被索要贖金2612月烏克蘭運(yùn)輸業(yè)網(wǎng)絡(luò)釣魚攻擊電腦被惡意操控、數(shù)據(jù)泄露2712月哥倫比亞能源業(yè)勒索軟件大量數(shù)據(jù)泄露2812月德國制造業(yè)網(wǎng)絡(luò)攻擊有可能造成數(shù)據(jù)泄露4.工控系統(tǒng)安全漏洞概況隨著工業(yè)4.0、智能制造、工業(yè)互聯(lián)網(wǎng)等概念的產(chǎn)生和發(fā)展,全球工控產(chǎn)業(yè)體系迅速擴(kuò)大,工控系統(tǒng)的獨(dú)立性日益降低,理論上來說對工控系統(tǒng)的攻擊實現(xiàn)將更加簡單,例如PLC等ICS的核心構(gòu)成將面對更多樣的攻擊手段、更隱蔽的攻擊形式等。相關(guān)數(shù)據(jù)顯示,2022年西門子(Siemens)、施耐德(Schneider)、北京亞控科技發(fā)展有限公司(WellinTech)、三菱(Mitsubishi)、歐姆龍(Omron)等工業(yè)控制系統(tǒng)廠商也均被發(fā)現(xiàn)包含各種信息安全漏洞。然而本團(tuán)隊從采集到的工控漏洞數(shù)據(jù)中注意到,近兩年的工控安全漏洞數(shù)量呈逐年下降的趨勢。D根據(jù)CNVD(國家信息安全漏洞共享平臺)[1][2]和“諦聽”的數(shù)據(jù),2012-2022年工控漏洞走勢如圖4-1所示。從圖中可以看出,2015年到2020年期間工控漏洞數(shù)量呈顯著的逐年增長趨勢,出現(xiàn)這種情況的主要原因,本團(tuán)隊分析認(rèn)為是:2015年后,技術(shù)融合加速工控產(chǎn)業(yè)發(fā)展的同時破壞了傳統(tǒng)工控系統(tǒng)的體系結(jié)構(gòu),在產(chǎn)業(yè)標(biāo)準(zhǔn)、政策尚不成熟的情況下攻擊者可能會采取更加豐富的攻擊手段攻擊工控系統(tǒng),導(dǎo)致工控漏洞的數(shù)量逐年上升。然而從2021年開始,工控漏洞數(shù)量呈逐年下降的趨勢,與2020年的568條漏洞信息相比,2021年減少了416條,漏洞數(shù)量大幅降低,減少數(shù)量占2020年的73%,2022年的漏洞數(shù)量降幅雖不及2021年的73%,但仍達(dá)到了37%,本團(tuán)隊猜測出現(xiàn)的原因是:一方面,由于新冠疫情在全球反復(fù)暴發(fā),大量從業(yè)人員線上辦公,工控產(chǎn)業(yè)活力低下,導(dǎo)致工控攻擊目標(biāo)的數(shù)量與類型較往年有所減少,工控漏洞的產(chǎn)生和發(fā)現(xiàn)可能會因此減少;另一方面,隨著工控信息安全政策、體系、法規(guī)的不斷完善,工控安全方面的產(chǎn)品體系和解決方案愈發(fā)健全,客觀上的漏洞數(shù)量下降應(yīng)在情理之中。如圖4-2所示,2022年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖,截至2022年12月31日,2022年新增工控系統(tǒng)行業(yè)漏洞96個,其中高危漏洞35個,中危漏洞51個,低危漏洞10個。與去年相比,漏洞數(shù)量減少了56個,高危、中危和低危漏洞數(shù)量均有一定減少,其中,中高危漏洞數(shù)量減少了54個,占2021年中高危漏洞總數(shù)的39%。2022全年高危工控安全漏洞占全年漏洞總數(shù)量中的36%,與2021年相比相差不大。由此可見,今年的全球工控安全體系建設(shè)更加完備,工控產(chǎn)業(yè)相關(guān)廠商、企業(yè)的研究更加深入,情況較為樂觀,但同時高危漏洞數(shù)量占比仍然較大,需要持續(xù)完善工控方面的協(xié)議、政策,增加對工控信息安全產(chǎn)業(yè)的投入。以上數(shù)據(jù)表明,在2022年,雖然工控漏洞數(shù)量的降幅較2021年有所降低,但全球工控系統(tǒng)的安全維護(hù)水平依然持續(xù)提升;同時我們注意到高危漏洞數(shù)量占比變化不大,理想情況下,風(fēng)險等級被標(biāo)記為“高?!钡穆┒磾?shù)量應(yīng)當(dāng)在工控相關(guān)協(xié)議、設(shè)備設(shè)計之初盡量避免,或在被工控系統(tǒng)安全人員發(fā)現(xiàn)時及時解決,其相比中低危漏洞具有更高的處理優(yōu)先級,故工控系統(tǒng)所遭受攻擊數(shù)量雖然在近兩年逐年減少,但工控系統(tǒng)所遭受的攻擊強(qiáng)度可能并沒有降低,或者說工控系統(tǒng)方面設(shè)計缺陷可能并沒有得到及時完善,同時工控產(chǎn)業(yè)相關(guān)單位有必要進(jìn)一步加強(qiáng)對工業(yè)漏洞的防范,并持續(xù)增加對工控系統(tǒng)安全建設(shè)的投入。如圖4-3是2022年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖,由圖中可知,西門子(Siemens)廠商具有的漏洞數(shù)量最多,多達(dá)37個。漏洞數(shù)量排在其后的廠商分別是:施耐德 (Schneider)、亞控科技(WellinTech)、三菱(Mitsubishi)、臺達(dá)(Delta)、歐姆龍 (Omron),這些廠商也存在著一定數(shù)量的工控系統(tǒng)行業(yè)漏洞。由此可見,各個廠商應(yīng)該密切關(guān)注工控系統(tǒng)行業(yè)漏洞,通過部署終端安全防護(hù)組件、部署防火墻、入侵檢測系統(tǒng)、入侵防護(hù)系統(tǒng)或安全監(jiān)測系統(tǒng)等方式進(jìn)一步提升系統(tǒng)防護(hù)水平,確保工控系統(tǒng)信息安全。5.聯(lián)網(wǎng)工控設(shè)備分布“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持31種服務(wù)的協(xié)議識別,表5-1展示了“諦聽”網(wǎng)絡(luò)安全團(tuán)隊識別的工控協(xié)議等的相關(guān)信息。如想了解這些協(xié)議的詳細(xì)信息請參照“諦聽”網(wǎng)絡(luò)安全團(tuán)隊之前發(fā)布的工控網(wǎng)絡(luò)安全態(tài)勢分析白皮書。工控協(xié)議ModbusTridiumNiagaraFoxSSL/NiagaraFoxBACnetATGsDevicesMoxaNportEtherNet/IPSiemensS7DNP3CodesysilonSmartserverRedlionCrimson3IEC60870-5-104OMRONFINSCSPV4GESRTPPCWorxProConOsMELSEC-Q端口502/5034911478081000148004481820000245578924049600222218245205475006/5007概述應(yīng)用于電子控制器上的一種通用語言Tridium公司專用協(xié)議,用于智能電網(wǎng)等領(lǐng)域智能建筑、基礎(chǔ)設(shè)置管理、安防系統(tǒng)的網(wǎng)絡(luò)協(xié)議智能建筑的通信協(xié)議工控協(xié)議虛擬串口協(xié)議以太網(wǎng)協(xié)議西門子通信協(xié)議分布式網(wǎng)絡(luò)協(xié)議PLC協(xié)議智能服務(wù)器協(xié)議工控協(xié)議IEC系列協(xié)議歐姆龍工業(yè)控制協(xié)議工控協(xié)議美國通用電器產(chǎn)品協(xié)議菲尼克斯電氣產(chǎn)品協(xié)議科維公司操作系統(tǒng)協(xié)議三菱通信協(xié)議opc-ua4840OPCUA接口協(xié)議DDP5002用于數(shù)據(jù)的傳輸和DTU管理Profinet基于工業(yè)以太網(wǎng)技術(shù)的自動化總線標(biāo)準(zhǔn)IEC61850-8-1IEC系列協(xié)議Lantronix30718專為工業(yè)應(yīng)用而設(shè)計,解決串口和以太網(wǎng)通信問題物聯(lián)網(wǎng)協(xié)議端口概述AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊列協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議SOAP8089基于XML簡單對象訪問協(xié)議ONVIF3702開放型網(wǎng)絡(luò)視頻接口標(biāo)準(zhǔn)協(xié)議MQTT基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議攝像頭協(xié)議端口概述DahuaDvr37777大華攝像頭與服務(wù)器通信協(xié)議hikvision81-90海康威視攝像頭與服務(wù)器通信協(xié)議“諦聽”官方網(wǎng)站()公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù),若需要最新版的數(shù)據(jù)請與東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊直接聯(lián)系獲取。根據(jù)“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù),經(jīng)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊分析,得出如圖5-1的可視化展示,下面做簡要說明。年基本沒有發(fā)生太大變化。在全球范圍內(nèi),美國作為世界上最發(fā)達(dá)的工業(yè)化國家暴露出的工控設(shè)備仍然保持第一;中國繼續(xù)大力發(fā)展先進(jìn)制造業(yè),推動新型基礎(chǔ)設(shè)施建設(shè),工業(yè)產(chǎn)值大幅增加,位居第二;2022年波蘭的GDP有所增長,暴露的工控設(shè)備也有所增長,位居第三。以下著重介紹國內(nèi)及美國、波蘭的工控設(shè)備暴露情況。5.1國際工控設(shè)備暴露情況國際工控設(shè)備的暴露情況以美國和波蘭為例進(jìn)行簡要介紹。美國是世界上工業(yè)化程度最高的國家之一,同時也是2022年全球工控設(shè)備暴露最多的國家,如圖5-2所示為美國2022年工控協(xié)議暴露數(shù)量和占比。自2012年美國通用電氣公司(GE)提出工業(yè)互聯(lián)網(wǎng)的概念以來,美國政府就十分重視工業(yè)控制領(lǐng)域。依托互聯(lián)網(wǎng)技術(shù)的發(fā)展優(yōu)勢,大力推動工控相關(guān)技術(shù)的發(fā)展,以應(yīng)對經(jīng)濟(jì)全球化可能帶來的機(jī)遇與挑戰(zhàn)。在推動工業(yè)互聯(lián)網(wǎng)革命的同時,美國政府也關(guān)注到了由于缺乏監(jiān)管而泄露的數(shù)據(jù)可能帶來的一系列互聯(lián)網(wǎng)安全問題。2022年9月,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了《2023年至2025年戰(zhàn)略規(guī)劃》(2023-2025StrategicPlan),該規(guī)劃是CISA自2018年成立以來發(fā)布的首個綜合性戰(zhàn)略規(guī)劃,規(guī)劃中明確了美國未來三年網(wǎng)絡(luò)防御、減少風(fēng)險和增強(qiáng)恢復(fù)能力、業(yè)務(wù)協(xié)作、統(tǒng)一機(jī)構(gòu)4個總的網(wǎng)絡(luò)安全目標(biāo)。雖然美國是最早投身網(wǎng)絡(luò)安全建設(shè)的國家之一,但在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的表現(xiàn)仍然有待提高。與2021年相比,美國2022年暴露的工控設(shè)備數(shù)有所減少??赡苁鞘芏頌鯌?zhàn)爭的影響,美國政府認(rèn)識到工控設(shè)備及其之上運(yùn)行的大量關(guān)鍵基礎(chǔ)設(shè)施的重要性,因此更加重視工控領(lǐng)域的安全問題。2022年的全球網(wǎng)絡(luò)空間安全形勢愈發(fā)復(fù)雜,美國政府愈發(fā)重視工業(yè)控制系統(tǒng)安全。2022年波蘭工控設(shè)備暴露數(shù)量位居全球第三。波蘭地處歐洲中部,屬于發(fā)展中國家,但其人均GDP基本接近末流發(fā)達(dá)國家的水平。波蘭的工業(yè)化程度很高,是歐盟第六大工業(yè)強(qiáng)國,在波蘭的諸多工業(yè)產(chǎn)業(yè)中,以制造業(yè)的表現(xiàn)最為突出。據(jù)波蘭中央統(tǒng)計局發(fā)布的數(shù)據(jù),自2022年年初,波蘭的工業(yè)產(chǎn)值一直以每月兩位數(shù)的速度在增長。通過圖5-3可以看到,在波蘭所暴露的協(xié)議中,Modbus協(xié)議的數(shù)量居于首位。Modbus協(xié)議由于其公開免費(fèi),部署較為簡單,自問世以來受到了諸多供應(yīng)商的青睞,但由于其缺乏認(rèn)證加密等機(jī)制,Modbus協(xié)議被廣泛使用的同時,也為波蘭工業(yè)控制系統(tǒng)的安全性帶來了巨大的風(fēng)險。綜上,相較于2021年,美國政府在發(fā)展工業(yè)的同時,更加重視國家工控系統(tǒng)安全性的問題,2022年暴露的工控設(shè)備數(shù)量略有下降。而波蘭由于汽車制造業(yè)的繁榮發(fā)展,國家GDP增長的同時暴露的工控設(shè)備數(shù)量也大幅增長,這勢必會給國家的后續(xù)健康發(fā)展埋下一定的隱患。5.2國內(nèi)工控設(shè)備暴露情況2022年中國暴露的工控設(shè)備數(shù)量排全球第二。近幾年來,中國的產(chǎn)業(yè)結(jié)構(gòu)不斷優(yōu)化升級,工業(yè)互聯(lián)網(wǎng)發(fā)展迅速,實體經(jīng)濟(jì)也在逐步轉(zhuǎn)型升級中。下面詳細(xì)分析一下國內(nèi)工控設(shè)備暴露情況。在全國暴露工控設(shè)備數(shù)量的條形圖5-4中可以直觀的看出江蘇省的工控設(shè)備暴露數(shù)量躋身至全國首位,與去年相比,多省的工控設(shè)備暴露數(shù)量都有了很大程度的增長。2021年由于新冠疫情的肆虐,全國很多地方停工停產(chǎn),國內(nèi)工控設(shè)備暴露數(shù)量也隨之減少。2022年在政策穩(wěn)步推動、經(jīng)濟(jì)企穩(wěn)復(fù)蘇及企業(yè)數(shù)字轉(zhuǎn)型需求增加等因素交織影響下,中國工業(yè)互聯(lián)網(wǎng)市場繼續(xù)保持穩(wěn)定增長,工業(yè)化與信息化在高層次進(jìn)行了深度融合,國內(nèi)工控設(shè)備暴露數(shù)量相比2021年有了爆發(fā)式增長。2022年,江蘇省是暴露工控設(shè)備數(shù)量最多的省份。據(jù)中國經(jīng)濟(jì)新聞網(wǎng)報道,江蘇省2022年信息化和工業(yè)化融合發(fā)展水平指數(shù)達(dá)到66.4,年平均增速3%左右,較2022年全國平均水平59.6高出11.4%。發(fā)達(dá)的工業(yè)體系是江蘇省實現(xiàn)信息化和工業(yè)化的基礎(chǔ)。近年來,江蘇立足制造業(yè)優(yōu)勢,堅持“實體強(qiáng)基”,先后出臺《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實施意見》《江蘇省制造業(yè)智能化改造和數(shù)字化轉(zhuǎn)型三年行動計劃》等文件,把工業(yè)互聯(lián)網(wǎng)創(chuàng)新工程作為戰(zhàn)略性任務(wù),融入到制造業(yè)數(shù)字化轉(zhuǎn)型全過程。制定實施《江蘇省加快推進(jìn)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展三年行動計劃(2021—2023年)》等文件,推進(jìn)“數(shù)實融合”發(fā)展[3]。江蘇省多年來一直以兩化(信息化、工業(yè)化)融合為行為指南,實現(xiàn)了多個行業(yè)智能化改造以及數(shù)字化轉(zhuǎn)型,其正以工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心、5G基站等新基建夯實數(shù)據(jù)基底,著力打造領(lǐng)先世界的工業(yè)互聯(lián)生態(tài)圈。2022年,臺灣地區(qū)工控設(shè)備暴露數(shù)量依然名列前茅,位列全國第二。臺灣工業(yè)體系發(fā)展完善且依然在全國各地區(qū)中處于領(lǐng)先的位置,其與大陸的交流合作也十分密切。2022年九月,兩岸工業(yè)互聯(lián)網(wǎng)融合發(fā)展研討會在昆山舉辦,會上聚焦“產(chǎn)業(yè)升級”展開交流,助力雙方合作共贏。近年來,大陸在工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)以及5G基站等新基建方面有著堅實的基底,而臺灣在集成電路等領(lǐng)域也積攢了雄厚的實力,雙方的交流合作有利于社會數(shù)字化轉(zhuǎn)型和智能化改造,推動工業(yè)互聯(lián)網(wǎng)在更廣范圍、更深程度、更高水平上融合創(chuàng)新。廣東2022年工控設(shè)備暴露數(shù)量排全國第三。近年來,廣東深化工業(yè)互聯(lián)網(wǎng)國家示范區(qū)建設(shè),推進(jìn)工業(yè)化和信息化深度融合成效顯著,工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)數(shù)量也位居全國前列。據(jù)羊城新聞晚報報道,截至2022年6月底,廣東省累計推動2.25萬家規(guī)上工業(yè)企業(yè)運(yùn)用工業(yè)互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型,帶動65萬家中小企業(yè)“上云用云”。從制造業(yè)強(qiáng)省到數(shù)字化強(qiáng)省,廣東一直走在全國前面,廣東的工業(yè)互聯(lián)網(wǎng)企業(yè)也在加快全球化布局,輸出積累的數(shù)字化轉(zhuǎn)型經(jīng)驗。長江三角洲地區(qū)工控設(shè)備暴露數(shù)量的排名變動不大。隨著經(jīng)濟(jì)的逐步復(fù)蘇,長三角地區(qū)(江蘇、安徽、浙江和上海)正利用區(qū)位和資源優(yōu)勢,加速推進(jìn)長三角工業(yè)互聯(lián)網(wǎng)一體化發(fā)展,為全國國際化、區(qū)域聯(lián)動發(fā)展等方面進(jìn)行了前沿探索。2022年11月,為加快構(gòu)建長三角工業(yè)互聯(lián)網(wǎng)體系,促進(jìn)長三角產(chǎn)業(yè)轉(zhuǎn)型升級,長三角工業(yè)互聯(lián)網(wǎng)峰會在合肥市奧體中心隆重召開。此次大會全面展示了長三角區(qū)域工業(yè)互聯(lián)網(wǎng)的最新發(fā)展成果,推動長三角工業(yè)互聯(lián)網(wǎng)一體化發(fā)展再升級、再提速。把握重大戰(zhàn)略機(jī)遇,加快發(fā)展工業(yè)互聯(lián)網(wǎng),是長三角實現(xiàn)制造業(yè)高質(zhì)量發(fā)展、構(gòu)筑工業(yè)競爭新優(yōu)勢的必然選擇[4]。北京今年排名相較去年有所下降,作為中國首都,北京經(jīng)轉(zhuǎn)人流量過多,疫情時常反復(fù),對工業(yè)互聯(lián)網(wǎng)的發(fā)展還是產(chǎn)生了一定的影響。并且現(xiàn)階段的北京,綠色發(fā)展是基礎(chǔ),工業(yè)產(chǎn)業(yè)大量轉(zhuǎn)移出去,使暴露的工控設(shè)備數(shù)量與其他地區(qū)相比顯得相對較少。與2021年工控設(shè)備暴露數(shù)量相比,遼寧2022年工控設(shè)備暴露的數(shù)量反超黑龍江和吉林,成為東北地區(qū)工控設(shè)備暴露數(shù)量最多的省份。東北地區(qū)(遼寧、吉林、黑龍江)作為中國工業(yè)的搖籃,在我國發(fā)展史上寫下了光輝燦爛的篇章。遼寧省于2022年11月舉辦了全球工業(yè)互聯(lián)網(wǎng)大會,此次大會對于加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展、推動數(shù)字遼寧智造強(qiáng)省建設(shè)取得新突破,具有重大意義。據(jù)遼寧省政府新聞辦報道,遼寧省認(rèn)真貫徹習(xí)近平總書記關(guān)于工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的重要指示精神,把工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展作為助推經(jīng)濟(jì)高質(zhì)量發(fā)展的重要力量,出臺了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展三年行動計劃》等政策文件,設(shè)立了省級專項資金,加快推動制造業(yè)數(shù)字化轉(zhuǎn)型,使得遼寧省工業(yè)互聯(lián)網(wǎng)進(jìn)入了新的發(fā)展階段[5]。中國工業(yè)互聯(lián)網(wǎng)研究院院長魯春叢于此次大會上發(fā)表了《全球工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展報告》講話,他指出,未來五年將是工業(yè)互聯(lián)網(wǎng)從起步探索轉(zhuǎn)向快速發(fā)展的重要階段,也是我國推進(jìn)新型工業(yè)化,加快建設(shè)制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國的關(guān)鍵時期[6]。當(dāng)前,隨著技術(shù)的不斷發(fā)展,實現(xiàn)工業(yè)化和信息化高水平融合已是中國特色新型工業(yè)化道路的集中體現(xiàn),工業(yè)互聯(lián)網(wǎng)為產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化以及智能化發(fā)展提供了新的機(jī)遇。2022年,香港排名雖然較去年有所下降,但暴露設(shè)備數(shù)量卻上升了將近三倍。香港以往是一個主要以服務(wù)業(yè)為主的經(jīng)濟(jì)體,所以香港的工控設(shè)備暴露數(shù)量并不能與廣東以及臺灣等地相比。但近年來,隨著5G專網(wǎng)工業(yè)模組成本的降低,香港積極資助5G技術(shù)應(yīng)用,多方面推動5G發(fā)展,完善5G網(wǎng)絡(luò)覆蓋,開展5G企業(yè)網(wǎng)絡(luò)以及5G工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用以及部署,推動香港新型工業(yè)化的發(fā)展。香港抓住機(jī)遇,積極融入國家發(fā)展大局,為中國獨(dú)立自主建設(shè)工業(yè)互聯(lián)網(wǎng)絡(luò)起到了表率作用。5.3國內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計情況“諦聽”團(tuán)隊統(tǒng)計了國內(nèi)暴露的各協(xié)議總量,從圖5-5中可以看出Modbus協(xié)議在網(wǎng)絡(luò)中暴露的數(shù)量最多,領(lǐng)先于第二位的MoxaNport。Modbus是一種串行通信協(xié)議,是Modicon公司(現(xiàn)在的SchneiderElectric)于1979年為使用可編程邏輯控制器(PLC)協(xié)議支持多個設(shè)備在同一網(wǎng)絡(luò)中的透明通信,幀格式緊湊、簡潔,兼容多種電氣接口。且Modbus憑借易部署、限制少、門檻低的優(yōu)點(diǎn),成為工業(yè)領(lǐng)域通信協(xié)議的業(yè)界標(biāo)準(zhǔn),是國內(nèi)工業(yè)電子設(shè)備之間最常用的連接方式。然而該協(xié)議缺乏有效的認(rèn)證和加密手段,亦缺少對功能碼的有效管理,因此造成許多安全問題,可見該協(xié)議排在國內(nèi)暴露協(xié)議第一位屬情理之中。MoxaNport,Moxa串口服務(wù)器專為工業(yè)應(yīng)用而設(shè)計,MoxaNport是其中的一個串口服務(wù)器系列,在世界范圍內(nèi)具有廣泛的應(yīng)用。不同配置和組合的服務(wù)器能滿足多種工業(yè)場景的需要,因此適用性強(qiáng)。TridiumNiagaraFox,TridiumNiagaraFox被廣泛應(yīng)用于國家的智能建筑、設(shè)施管理、安防、電力、空調(diào)設(shè)備等領(lǐng)域。Tridium是Honeywell旗下獨(dú)立品牌運(yùn)作的子公司,開發(fā)了軟件框架“NiagaraFramework”?;贜iagara框架,客戶可以開發(fā)專有產(chǎn)品和應(yīng)用,也可以集成、連接各種智能設(shè)備和系統(tǒng),不受生產(chǎn)廠家和協(xié)議的影響,在實現(xiàn)設(shè)備互聯(lián)的同時可以通過網(wǎng)絡(luò)進(jìn)行實時控制和管理。NiagaraAX平臺時至今日已經(jīng)整合了多種系統(tǒng),例如建筑、園區(qū)的基礎(chǔ)硬件設(shè)施、安防系統(tǒng)、訪客管理、電網(wǎng)系統(tǒng)、設(shè)施管理等。NiagaraAX把這些設(shè)備和系統(tǒng)進(jìn)行連接,使用TridiumNiagaraFox協(xié)議通信,具有極高的使用價值,因此排在第三位亦在意料之中。EtherNet/IP是由ODVA(OpenDeviceNetVendorAssociation)指定的工業(yè)以太網(wǎng)協(xié)議,它使用ODVA已知的應(yīng)用層“通用工業(yè)協(xié)議”(CIP?)。CIP是一種由ODVA支持的開放工業(yè)協(xié)議,它被使用在例如EtherNet/IP等串行通信協(xié)議中。美國的工控設(shè)備制造商Rockwell/Allen-Bradley對EtherNet/IP進(jìn)行了標(biāo)準(zhǔn)化處理,其他的廠商也在其設(shè)備上支持了EtherNet/IP協(xié)議。當(dāng)前,EtherNet/IP的使用已經(jīng)十分廣泛,然而協(xié)議層面的安全問題仍值得我們重視。BACnet是用于樓宇自動化和控制網(wǎng)絡(luò)的簡短形式的數(shù)據(jù)通信協(xié)議,亦是主要行業(yè)供應(yīng)商產(chǎn)品中常用的自動化和控制協(xié)議之一,其目的是提高服務(wù)供應(yīng)商之間的互操作性,減少因設(shè)備廠商的專有系統(tǒng)所造成的使用限制問題。此協(xié)議的泄露往往是由用戶缺乏安全意識導(dǎo)致,意味著該IP對應(yīng)的行業(yè)供應(yīng)商的產(chǎn)品設(shè)備已經(jīng)暴露,因此容易造成用戶的網(wǎng)絡(luò)安全隱患和財產(chǎn)損失。5.4俄烏沖突以來暴露設(shè)備數(shù)量變化俄烏沖突開始于2022年三月份,目前俄羅斯和烏克蘭的緊張局勢依然在持續(xù)中,近期的沖突仍然在加劇。發(fā)動網(wǎng)絡(luò)戰(zhàn)能夠削弱一個國家的通信能力以及戰(zhàn)場感知能力,而且隨著軍隊依靠軟件,利用獲取的情報在戰(zhàn)場上進(jìn)行部署,這場競賽變得越來越重要。為了能夠了解俄羅斯和烏克蘭的工控領(lǐng)域的相關(guān)狀況,“諦聽”網(wǎng)絡(luò)安全團(tuán)隊對此進(jìn)行了持續(xù)關(guān)注。表5-2列舉了俄羅斯、烏克蘭暴露工控設(shè)備的相關(guān)協(xié)議。探測發(fā)現(xiàn)協(xié)議探測端口協(xié)議概述SiemensS7西門子通信協(xié)議Modbus502應(yīng)用于電子控制器上的一種通用語言ilonSmartserver智能服務(wù)器協(xié)議MoxaNport4800Moxa專用的虛擬串口協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊列協(xié)議IEC60870-5-1042404IEC系列協(xié)議同時,“諦聽”網(wǎng)絡(luò)安全團(tuán)隊每月都會收集俄烏暴露的設(shè)備數(shù)量情況,根據(jù)收集的數(shù)據(jù),得到了俄羅斯和烏克蘭自沖突爆發(fā)以來暴露的設(shè)備的數(shù)量變化情況。從圖5-6沖突前后俄羅斯各協(xié)議暴露設(shè)備數(shù)量來看,AMQP協(xié)議從沖突前到?jīng)_突開始持續(xù)到8月份變化幅度較大,總體呈現(xiàn)先降后升的趨勢,后續(xù)趨于平緩;SiemensS7協(xié)議從沖突前至3月份呈現(xiàn)下降趨勢,之后整體趨勢呈現(xiàn)先升后降;IEC60870-5-104協(xié)議整體變化趨勢與SiemensS7協(xié)議相同,但在11月至12月份突然呈現(xiàn)迅速上升的趨勢,猜測與11月發(fā)生了工控事件有關(guān);ilonSmart-server協(xié)議在5月份變化較大,10月份之后呈現(xiàn)下降趨勢;其它協(xié)議整體的變化幅度不大。從圖5-7沖突前后烏克蘭各協(xié)議暴露設(shè)備數(shù)量變化情況中我們可以看到,首先AMQP、Modbus、MoxaNport、XMPP以及SiemensS7等協(xié)議從沖突前到4月份變化較大,猜測是期間發(fā)生了重大的工控事件導(dǎo)致的。隨后,除AMQP以外的四種協(xié)議在10月到12月份發(fā)生了小幅度的變化;其它兩種協(xié)議沒有變化??傊瑥纳厦鎯煞鶊D可以看出,俄烏暴露設(shè)備的數(shù)量變化較大的月份主要集中在3月至5月以及10月至12月這幾個月份,猜測其變化趨勢與當(dāng)時發(fā)生的工控事件有直接或間接的關(guān)系,表5-3列舉自俄烏沖突以來與之相關(guān)的主要的工控事件。時間時間主要工控事件俄羅斯聯(lián)邦儲蓄銀行(Sberbank)和莫斯科交易所的網(wǎng)站遭到烏克蘭IT軍攻擊黑客組織“匿名者”入侵并泄漏了俄羅斯經(jīng)濟(jì)發(fā)展部等政府單位以及俄羅斯國家原子能公司Rosatom數(shù)據(jù),攻擊了包括俄羅斯航空公司PegasusFly、俄國防產(chǎn)品出口公司(Rosoboronexport)、俄羅斯緊急情況部、俄羅斯能源巨頭Rosneft位于德國的子公司以及俄羅斯管道巨頭Transneft內(nèi)部研發(fā)部門Omega公司等相關(guān)網(wǎng)站黑客組織AnonGh0st入侵俄羅斯SCADA系統(tǒng)并共享了與供水系統(tǒng)相關(guān)的數(shù)據(jù)2022年3月俄羅斯黑客組織攻擊了覆蓋烏克蘭地區(qū)的美國衛(wèi)星運(yùn)營商Viasat俄羅斯有關(guān)APT組織InvisiMole主要針對烏克蘭國家機(jī)構(gòu)發(fā)起攻擊未知組織攻擊了烏克蘭互聯(lián)網(wǎng)服務(wù)提供商Triolan以及主要的通信運(yùn)營商Ukrtelecom,導(dǎo)致網(wǎng)絡(luò)嚴(yán)重中斷未知組織入侵了包括烏克蘭政府機(jī)構(gòu)、智囊團(tuán)、國防軍招募和金融等相關(guān)網(wǎng)站烏克蘭某能源公司遭惡意軟件攻擊2022年4月俄羅斯石油巨頭GazpromNeft網(wǎng)站遭黑客攻擊2022年10月親俄黑客組織對美國關(guān)鍵基礎(chǔ)設(shè)施發(fā)起大規(guī)模攻擊2022年11月黑客成功入侵烏軍戰(zhàn)場指揮系統(tǒng),戰(zhàn)場數(shù)據(jù)泄露2022年12月俄羅斯黑客試圖入侵北約某國的大型煉油廠未遂6.工控蜜罐數(shù)據(jù)相關(guān)分析如今,工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展給工業(yè)控制領(lǐng)域帶來了新的發(fā)展機(jī)遇,與此同時也帶來了新的網(wǎng)絡(luò)安全問題。蜜罐技術(shù)是增強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力的有效方法,東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊對工控蜜罐技術(shù)展開了研究。經(jīng)過多年努力,“諦聽”網(wǎng)絡(luò)安全團(tuán)隊研發(fā)出了可以模擬多種工控協(xié)議和工控設(shè)備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前,“諦聽”蜜罐支持11種協(xié)議,且已經(jīng)部署在多個國家和地區(qū)。“諦聽”網(wǎng)絡(luò)安全團(tuán)隊在2021年進(jìn)一步改進(jìn)了基于ICS蜜網(wǎng)的攻擊流量指紋識別方法(以下簡稱“識別方法”),有效地提高了識別各類針對工控網(wǎng)絡(luò)的攻擊流量的效率,并根據(jù)不同類型的攻擊流量制定出更加有效的工控系統(tǒng)防御措施。6.1工控蜜罐全球捕獲流量概況ATGsDevicesDNPModbusEGD等11種協(xié)議,其中,EGD協(xié)議是今年新增的協(xié)議。目前“諦聽”工控蜜罐已經(jīng)部署在了中國華北地區(qū)、中國華南地區(qū)、東歐地區(qū)、東南亞地區(qū)、美國東北部等國內(nèi)外多個地區(qū)。截止到2022年12月31日,“諦聽”蜜罐收集到大量攻擊數(shù)據(jù)。圖6-1、6-2和6-3中展示了經(jīng)過統(tǒng)計和分析后的數(shù)據(jù)。下面將對各個圖表進(jìn)行簡要解釋說明。圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看出,ATGsDevices、DNP3和Modbus協(xié)議下蜜罐所受攻擊量仍然保持在前三名。但與2021年相比,曾大幅協(xié)議從第二名躍居第一,這表明ATGsDevices協(xié)議受到的關(guān)注大幅度增加。另外,今年新增的EGD協(xié)議具有簡便高效的特性,其所受攻擊量位于第六位。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展,攻擊者的攻擊方向也在不斷調(diào)整和變化。前四種協(xié)議所受的攻擊量總計占比接近70%,這表明這些協(xié)議比較受攻擊者的關(guān)注,因此工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求情況,加強(qiáng)這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護(hù)。“諦聽”網(wǎng)絡(luò)安全團(tuán)隊對收集到的攻擊數(shù)據(jù)的IP來源進(jìn)行分析,得到了來自不同國家和地區(qū)攻擊源的數(shù)量統(tǒng)計,圖6-2僅展示攻擊量最多的10個國家。從圖中可以看到,美國的攻擊量遙遙領(lǐng)先,甚至超過了其他9個國家攻擊量的總和;排在第二的國家是荷蘭,其攻擊量雖遠(yuǎn)少于美國但也處于較高的數(shù)量水平,這在一定程度上表明兩國攻擊者對本國工控設(shè)備的高度關(guān)注。英國、俄羅斯和德國的攻擊量相差不大,分別位于第三到五位。從排名第六位的斯洛伐克開始,攻擊量顯著減少。對中國國內(nèi)流量來源的IP地址進(jìn)行相關(guān)分析,列出了IP流量的省份排名,如圖6-3所示,這里僅展示前十名。可以看到,來自中國華北地區(qū)的IP流量較多,北京同去年一樣排在了第一位,體現(xiàn)出其作為首都在網(wǎng)絡(luò)安全支撐工作方面的領(lǐng)先地位。山西省躍升至第二位,浙江省由去年的第五名上升至第三名,由此可見山西省和浙江省在網(wǎng)絡(luò)安全方面做出的努力。2022年,“諦聽”網(wǎng)絡(luò)安全團(tuán)隊調(diào)整了已部署的蜜罐,拓展了蜜罐可支持協(xié)議的范圍,未來將會與更多高新技術(shù)應(yīng)用進(jìn)行融合,相關(guān)的研究將會持續(xù)推進(jìn)。6.2工控系統(tǒng)攻擊流量分析“諦聽”團(tuán)隊首先對來自不同地區(qū)的蜜罐捕獲的攻擊流量數(shù)據(jù)進(jìn)行初步分析,然后使用識別方法對Modbus、Ethernet/IP兩個應(yīng)用范圍較廣的協(xié)議進(jìn)行攻擊流量檢測,并從每個協(xié)議在不同地區(qū)部署的蜜罐中選擇最具代表性的兩個地區(qū)進(jìn)行攻擊流量數(shù)據(jù)統(tǒng)計。針對Modbus協(xié)議,我們選擇了中國華東地區(qū)和美國東海岸地區(qū)部署的蜜罐,統(tǒng)計攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)Netherlands542263.8UnitedStates20084015.0China573599.7UnitedKingdom395849.4Germany727.2Japan62320.7Russia614.4Belgium4834Canada3421Greece攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates8652433.6Netherlands28225.6Germany9.6China7.1UnitedKingdom747.6Singapore4230Belgium3828Canada22Ukraine919.0Japan818.0由表6-1、6-2可知,在攻擊總量來源方面,荷蘭在中國華東地區(qū)的攻擊總量顯著高于其他國家,且遠(yuǎn)高于去年同期數(shù)據(jù)。在美國東海岸地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量中,美國仍然保持第一位,且與去年相比呈現(xiàn)上升趨勢。在攻擊IP數(shù)量方面,美國仍在兩個地區(qū)中均排名第一,并遠(yuǎn)超于其他國家。以表6-2為例,美國在美國東海岸地區(qū)的攻擊IP數(shù)量約是排名第二的比利時的8.7倍。在IP平均攻擊數(shù)方面,荷蘭在兩個地區(qū)中均處于第一位。針對Ethernet/IP協(xié)議,我們選擇的是中國華南地區(qū)和美國西海岸地區(qū)部署的蜜罐,、6-4所示。攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates4523.8China293.1Kazakhstan553.3Netherlands63.2Germany86Japan616.0India212.0Ukraine11UnitedKingdom11Vienna212.0攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates333694.8ChinaGermany85Netherlands871.1Japan422.0由表6-3、6-4分析可知,在攻擊總量來源和攻擊IP數(shù)量方面,美國在兩個地區(qū)中均位列第一,且遠(yuǎn)超其他國家。在IP平均攻擊數(shù)方面,哈薩克斯坦在中國華南地區(qū)排名第一,是排名第二的日本的3.05倍。美國在美國西海岸地區(qū)的IP平均攻擊數(shù)最高。通過上述統(tǒng)計的Modbus協(xié)議蜜罐和Ethernet/IP協(xié)議蜜罐捕獲的攻擊總量來源數(shù)據(jù),可以看出Modbus協(xié)議蜜罐受攻擊的總次數(shù)遠(yuǎn)大于Ethernet/IP協(xié)議蜜罐,推測其原因為Modbus協(xié)議具有公開免費(fèi)、開源工具多、部署和維護(hù)簡單等特點(diǎn),從而當(dāng)前應(yīng)用范圍更廣泛,因此所受攻擊更多。此外,在確定攻擊源的情況下,排名前三的國家的攻擊方來源數(shù)占總數(shù)的近90%,可能的原因包括:一是由于這些國家的公司提供的云服務(wù)器被租賃用于長期掃描;二是由于這些國家的安全行業(yè)從業(yè)者及研究人員較多,相關(guān)研究行為較活躍;三是由于這些國家存在大量惡意攻擊團(tuán)隊,其對互聯(lián)網(wǎng)進(jìn)行的惡意攻擊被諦聽部署的蜜罐有效誘捕。6.3工控系統(tǒng)攻擊類型識別“諦聽”網(wǎng)絡(luò)安全團(tuán)隊提出一種基于ICS蜜網(wǎng)的攻擊流量指紋識別方法,針對Modbus、Ethernet/IP協(xié)議蜜罐捕獲的流量數(shù)據(jù)進(jìn)行了攻擊類型識別。圖6-4和圖6-5分別顯示了對Modbus和Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識別結(jié)果。其中的“E”表示Ethernet/IP協(xié)議,其中的“M”表示Modbus協(xié)議,由于國內(nèi)和國外的蜜罐程序不同,“E”和“E'”同一編號表示不同的攻擊類型,“M”和“M'”同一編號表示不同的攻擊類型,環(huán)形圖中各部分為不同的攻擊類型。Ethernet/IP協(xié)議蜜罐部署地區(qū)為中國華南地區(qū)和美國西海岸,兩地區(qū)的經(jīng)濟(jì)發(fā)展迅速,高新技術(shù)產(chǎn)業(yè)發(fā)達(dá),各種網(wǎng)絡(luò)活動較頻繁。蜜罐部署在經(jīng)濟(jì)科技發(fā)達(dá)地區(qū),便于收集更多、更詳細(xì)的攻擊信息。由圖6-4可知,中國華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲美國西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型,其中,E'-1以54%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對Ethernet/IP協(xié)議蜜罐進(jìn)行攻擊的主要手段。Modbus協(xié)議蜜罐部署地區(qū)為中國華東地區(qū)和美國東海岸,二者均為工業(yè)發(fā)達(dá)地區(qū),蜜罐部署在該地區(qū)便于偽裝隱藏,且易于收集更多的攻擊信息。由圖6-5可知,中國華M'-2、M'-3,且相互之間占比差距較小。由此可見以上攻擊類型是對Modbus協(xié)議蜜罐進(jìn)行攻擊的主要手段。本團(tuán)隊對Ethernet/IP和Modbus的ICS網(wǎng)絡(luò)流量進(jìn)行了解析、建模、評估,但其中還存在部分未知的攻擊類型,針對未知的攻擊類型還需進(jìn)一步的研究,以便提供有效的ICS流量檢測與攻擊預(yù)警,評估其潛在的攻擊意圖,制定針對性的防御措施。6.4工控蜜罐與威脅情報數(shù)據(jù)關(guān)聯(lián)分析近年來,網(wǎng)絡(luò)安全風(fēng)險持續(xù)向工業(yè)控制領(lǐng)域擴(kuò)散,工控網(wǎng)絡(luò)也逐漸成為網(wǎng)絡(luò)安全的重要一環(huán)。當(dāng)前工控攻擊具有類型豐富、途徑泛濫、追蹤困難等特點(diǎn),傳統(tǒng)的被動式防御手段“老三樣”——防火墻、查殺病毒、入侵檢測以及針對單點(diǎn)的攻擊取證與溯源技術(shù)難以應(yīng)對高級持續(xù)性威脅(APT)、新型高危漏洞等復(fù)雜安全威脅,而以威脅情報(TI)為基礎(chǔ)的分析技術(shù)能夠收集整合全球范圍內(nèi)的分散攻擊與威脅,進(jìn)而采取智能化的攻擊響應(yīng)措施,實現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊的防護(hù)與對抗,本團(tuán)隊也對2022全年采集到的大量威脅情報及蜜罐數(shù)據(jù)進(jìn)行了關(guān)聯(lián)分析。 (https://www.TI)是基于“諦聽”威脅情報中心而研發(fā)的應(yīng)用服務(wù)。威脅情報中心存有海量威脅情報數(shù)據(jù),提供全面準(zhǔn)確、內(nèi)容詳細(xì)的相關(guān)決策支持信息,為行業(yè)系統(tǒng)安全提供保障。面對復(fù)雜的攻擊形式和不斷迭代的攻擊手段,建立完善的威脅情報搜40索引擎刻不容緩,旨在為工業(yè)、企業(yè)、組織以及個人提供更加全面的情報信息,打造以威脅情報平臺為基石的網(wǎng)絡(luò)安全空間。2022年“諦聽”蜜罐和威脅情報中心均采集到大量新數(shù)據(jù),為探尋數(shù)據(jù)間潛在的相關(guān)性,“諦聽”團(tuán)隊計算威脅情報數(shù)據(jù)和蜜罐數(shù)據(jù)的重疊部分,并根據(jù)攻擊類型的不同將數(shù)據(jù)分為5類。其中包括代理IP(proxy)、命令執(zhí)行與控制攻擊(commandexecutionandcontrolattacks)、惡意IP(reputation)、垃圾郵件(spamming)和洋蔥路由(tor)。每種類型數(shù)據(jù)與蜜罐數(shù)據(jù)重疊部分在二者中的占比如圖6-6,本團(tuán)隊對該圖的分析如下。圖6-6中威脅情報數(shù)據(jù)來源于“諦聽”威脅情報中心,該系統(tǒng)所記錄的數(shù)據(jù)為安全網(wǎng)站或安全數(shù)據(jù)庫中的情報數(shù)據(jù),本團(tuán)隊根據(jù)情報數(shù)據(jù)攻擊類型不同分別記錄在不同的數(shù)據(jù)表中。而直接在部署在國內(nèi)外網(wǎng)絡(luò)節(jié)點(diǎn)上的工控蜜罐通過模擬暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備,開放設(shè)備對應(yīng)工業(yè)網(wǎng)絡(luò)協(xié)議端口吸引攻擊者,在記錄每一次攻擊者的攻擊信息的同時,監(jiān)聽捕捉流經(jīng)此

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論