2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書(shū)

21.前言 52.2022年工控安全相關(guān)政策法規(guī)報(bào)告 62.1《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見(jiàn)稿)》 62.2《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》 62.3《電力可靠性管理辦法(暫行)》 72.4《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見(jiàn)稿)》 7 72.6《關(guān)于開(kāi)展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見(jiàn)(征求意見(jiàn)稿)》 82.7《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定(征求意見(jiàn)稿)》 82.8《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》 82.9《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》 92.10《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》 92.11《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》 92.12《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》 93.2022年典型工控安全事件分析 113.1德國(guó)主要燃料儲(chǔ)存供應(yīng)商遭網(wǎng)絡(luò)攻擊 113.2FBI警報(bào)：美國(guó)關(guān)鍵基礎(chǔ)設(shè)施正遭受BlackByte勒索軟件入侵 113.3白俄羅斯鐵路遭到Anonymou入侵，所有網(wǎng)絡(luò)服務(wù)中斷 113.4東歐大型加油站遭勒索攻擊，官網(wǎng)、APP等全部下線 123.5烏克蘭的能源供應(yīng)商成為Industroyer2ICS惡意軟件的目標(biāo) 1233.6農(nóng)業(yè)機(jī)械巨頭愛(ài)科遭勒索攻擊，美國(guó)種植季拖拉機(jī)供應(yīng)受影響 123.7得克薩斯州一家液化天然氣廠遭黑客攻擊導(dǎo)致爆炸 133.8伊朗lycaeumAPT組織利用新的DNS后門(mén)攻擊能源行業(yè) 133.9德國(guó)建材巨頭Knauf被BlackBasta勒索軟件團(tuán)伙襲擊 133.10希臘天然氣分銷商DESFA部分基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)襲擊 143.11黑客組織GhostSec入侵以色列各地的55個(gè)PLC 143.12黑客組織KILLNET對(duì)美國(guó)機(jī)場(chǎng)網(wǎng)站發(fā)起分布式拒絕服務(wù)(DDoS)攻擊 143.13網(wǎng)絡(luò)攻擊導(dǎo)致丹麥最大鐵路公司火車全部停運(yùn) 153.14烏克蘭政府機(jī)構(gòu)和國(guó)家鐵路遭受新一波網(wǎng)絡(luò)釣魚(yú)攻擊 154.工控系統(tǒng)安全漏洞概況 175.聯(lián)網(wǎng)工控設(shè)備分布 205.1國(guó)際工控設(shè)備暴露情況 225.2國(guó)內(nèi)工控設(shè)備暴露情況 245.3國(guó)內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計(jì)情況 275.4俄烏沖突以來(lái)暴露設(shè)備數(shù)量變化 296.工控蜜罐數(shù)據(jù)相關(guān)分析 326.1工控蜜罐全球捕獲流量概況 326.2工控系統(tǒng)攻擊流量分析 346.3工控系統(tǒng)攻擊類型識(shí)別 376.4工控蜜罐與威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析 396.5工控網(wǎng)絡(luò)探針 4147.工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展 447.1工業(yè)互聯(lián)網(wǎng)與智能制造 457.2工業(yè)互聯(lián)網(wǎng)與產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型 477.3工業(yè)互聯(lián)網(wǎng)與典型工業(yè)環(huán)境 488.總結(jié) 53參考文獻(xiàn) 541.前言5關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等，對(duì)國(guó)家的穩(wěn)定發(fā)展發(fā)揮著極端重要的作用。工業(yè)控制系統(tǒng)是關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵核心。隨著制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的持續(xù)推進(jìn)，機(jī)械、航空、船舶、汽車、輕工、紡織、食品、電子等行業(yè)生產(chǎn)設(shè)備逐漸步入智能化階段。與此同時(shí)，5G技術(shù)、人工智能、云計(jì)算等新一代信息技術(shù)與制造技術(shù)的加速融合，使得工業(yè)控制系統(tǒng)正從封閉獨(dú)立逐步走向開(kāi)放互聯(lián)。工業(yè)控制網(wǎng)絡(luò)正與IT網(wǎng)絡(luò)進(jìn)行著深度融合，在促進(jìn)工業(yè)進(jìn)一步發(fā)展的同時(shí)，傳統(tǒng)信息網(wǎng)絡(luò)中的各種安全威脅已經(jīng)逐步延伸至工業(yè)控制網(wǎng)絡(luò)中。在黨的二十大報(bào)告中，習(xí)近平總書(shū)記著重強(qiáng)調(diào)了：“要推進(jìn)國(guó)家安全體系和能力現(xiàn)代化，堅(jiān)決維護(hù)國(guó)家安全和社會(huì)穩(wěn)定?！苯陙?lái)，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密等危及國(guó)家安全行為，給社會(huì)生產(chǎn)生活帶來(lái)了不少安全隱患。如何有效保障網(wǎng)絡(luò)與信息安全，是數(shù)字時(shí)代的重要課題。2022年4月，為貫徹落實(shí)2022年《政府工作報(bào)告》關(guān)于“加快發(fā)展工業(yè)互聯(lián)網(wǎng)”的部署要求，扎實(shí)推進(jìn)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃(2021-2023年)》任務(wù)安排，工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組2022年工作計(jì)劃》。從夯實(shí)基礎(chǔ)設(shè)施、深化融合應(yīng)用、強(qiáng)化技術(shù)創(chuàng)新、完善要素保障等方面，提出了網(wǎng)絡(luò)體系強(qiáng)基、標(biāo)識(shí)解析增強(qiáng)、平臺(tái)體系壯大等15大類任務(wù)83項(xiàng)具體舉措。為順應(yīng)當(dāng)前形勢(shì)，東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)基于自身傳統(tǒng)的安全研究?jī)?yōu)勢(shì)開(kāi)發(fā)設(shè)計(jì)并實(shí)現(xiàn)了“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎()，并根據(jù)“諦聽(tīng)”收集的各類安全數(shù)據(jù)，撰寫(xiě)并發(fā)布《2022年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書(shū)》，讀者可以通過(guò)報(bào)告了解2022年工控安全相關(guān)政策法規(guī)報(bào)告及典型工控安全事件分析，同時(shí)報(bào)告對(duì)工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐、威脅情報(bào)數(shù)據(jù)及工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展情況進(jìn)行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢(shì)，為研究工控安全相關(guān)人員提供參考。2.2022年工控安全相關(guān)政策法規(guī)報(bào)告6隨著互聯(lián)網(wǎng)的快速發(fā)展，云計(jì)算等新型信息技術(shù)開(kāi)始與傳統(tǒng)工業(yè)進(jìn)行融合，工業(yè)控制系統(tǒng)逐漸走向智能化。但與此同時(shí)，一些網(wǎng)絡(luò)安全事件層出不窮，工業(yè)控制系統(tǒng)在信息安全方面受到了嚴(yán)峻挑戰(zhàn)。因此，我國(guó)開(kāi)始逐步完善工業(yè)信息安全政策標(biāo)準(zhǔn)，以便于提升工業(yè)信息安全保障技術(shù)，推動(dòng)整個(gè)安全產(chǎn)業(yè)的發(fā)展。通過(guò)梳理2022年度發(fā)布的相關(guān)政策法規(guī)報(bào)告，整理各大工業(yè)信息安全研究院及機(jī)構(gòu)針對(duì)不同法規(guī)所發(fā)布的解讀文件，現(xiàn)摘選部分重要內(nèi)容并對(duì)其進(jìn)行簡(jiǎn)要分析，以供讀者進(jìn)一步了解國(guó)家層面關(guān)于工控安全領(lǐng)域的政策導(dǎo)向。2.1《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見(jiàn)稿)》2022年2月10日，工信部再次公開(kāi)征求對(duì)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法 (試行)》(征求意見(jiàn)稿)的意見(jiàn)。此次發(fā)布的征求意見(jiàn)稿調(diào)整了數(shù)據(jù)定義、監(jiān)管機(jī)構(gòu)和核心數(shù)據(jù)目錄備案等條款。在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者責(zé)任方面，征求意見(jiàn)稿明確了其對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任，對(duì)各類數(shù)據(jù)實(shí)行分級(jí)防護(hù)，保證數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。該征求意見(jiàn)稿增加了核心數(shù)據(jù)跨主體處理以及日志留存條款，要求需要跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)時(shí)，應(yīng)當(dāng)評(píng)估安全風(fēng)險(xiǎn)，采取必要的安全保護(hù)措施，并經(jīng)由地方工業(yè)和信息化主管部門(mén)(工業(yè)領(lǐng)域)或通信管理局(電信領(lǐng)域)或無(wú)線電管理機(jī)構(gòu)(無(wú)線電領(lǐng)域)報(bào)工業(yè)和信息化部。工業(yè)和信息化部嚴(yán)格按照有關(guān)規(guī)定對(duì)其進(jìn)行審查。2.2《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》2022年4月15日，根據(jù)國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告(2022年第6號(hào))，國(guó)家標(biāo)準(zhǔn)GB/T41400-2022《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》正式發(fā)布，并將于2022年11月進(jìn)行正式實(shí)施。該標(biāo)準(zhǔn)由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合“產(chǎn)學(xué)研用測(cè)”41家單位共同研制，意在貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》有關(guān)要求、進(jìn)一步推動(dòng)工業(yè)企業(yè)落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》防護(hù)要點(diǎn)。72.3《電力可靠性管理辦法(暫行)》2022年4月25日，國(guó)家發(fā)改委官網(wǎng)公布了《電力可靠性管理辦法(暫行)》，并于6月1日起開(kāi)始實(shí)施?！掇k法》第七章對(duì)電力網(wǎng)絡(luò)安全做出了明確要求，其中提出了電力網(wǎng)絡(luò)安全堅(jiān)持積極防御和綜合防范的方針；電力企業(yè)應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任，健全網(wǎng)絡(luò)安全組織體系；電力企業(yè)應(yīng)當(dāng)強(qiáng)化電力監(jiān)控系統(tǒng)安全防護(hù)；電力用戶應(yīng)當(dāng)根據(jù)國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)開(kāi)展網(wǎng)絡(luò)安全防護(hù)，預(yù)防網(wǎng)絡(luò)安全事件，防止對(duì)公用電網(wǎng)造成影響；國(guó)家能源局依法依規(guī)履行電力行業(yè)網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)等具體要求。2.4《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見(jiàn)稿)》2022年6月14日，國(guó)家能源局對(duì)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》(國(guó)能安全〔2014〕317號(hào)，為加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全監(jiān)督管理以及規(guī)范電力行業(yè)網(wǎng)絡(luò)安全工作，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及國(guó)家有關(guān)規(guī)定，制定本辦法。)、《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》(國(guó)能安全〔2014〕318號(hào)，為規(guī)范電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理，提高電力行業(yè)網(wǎng)絡(luò)安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息安全等級(jí)保護(hù)管理辦法》等法律法規(guī)和規(guī)范性文件，制定本辦法。)進(jìn)行修訂，形成了《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見(jiàn)稿)》《電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法 (修訂征求意見(jiàn)稿)》，向社會(huì)公開(kāi)征求意見(jiàn)。2.5《數(shù)據(jù)出境安全評(píng)估辦法》2022年7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)，并于2022年9月1日起開(kāi)始施行。出臺(tái)《辦法》是為了更好的落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》的規(guī)定，并且有利于保護(hù)個(gè)人信息的權(quán)益，社會(huì)公共的利益，規(guī)范數(shù)據(jù)出境的活動(dòng)以及維護(hù)國(guó)家的安全。該《辦法》8也規(guī)定了數(shù)據(jù)出境安全評(píng)估的范圍、條件和程序，并具體指明數(shù)據(jù)出境安全評(píng)估工作的方法。2.6《關(guān)于開(kāi)展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見(jiàn)(征求意見(jiàn)稿)》2022年7月21日，市監(jiān)總局發(fā)布《關(guān)于開(kāi)展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見(jiàn)(征求意見(jiàn)稿)》，公開(kāi)征求意見(jiàn)至8月21日。應(yīng)當(dāng)依法設(shè)立從事網(wǎng)絡(luò)安全服務(wù)認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)，保證其具備從事網(wǎng)絡(luò)安全服務(wù)認(rèn)證活動(dòng)的專業(yè)能力，并嚴(yán)格經(jīng)過(guò)市場(chǎng)監(jiān)管總局征求中央網(wǎng)信辦、公安部意見(jiàn)后批準(zhǔn)取得資質(zhì)。嚴(yán)格要求網(wǎng)絡(luò)安全服務(wù)認(rèn)證機(jī)構(gòu)公開(kāi)認(rèn)證收費(fèi)標(biāo)準(zhǔn)和認(rèn)證證書(shū)有效、暫停、注銷或者撤銷等狀態(tài)，按照有關(guān)規(guī)定報(bào)送網(wǎng)絡(luò)安全服務(wù)認(rèn)證實(shí)施情況及認(rèn)證證書(shū)信息。2.7《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定(征求意見(jiàn)稿)》2022年9月14日，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)起草了《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定(征求意見(jiàn)稿)》，并向社會(huì)公開(kāi)征求意見(jiàn)。意見(jiàn)反饋截止時(shí)間為2022年9月29日。自2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》開(kāi)始實(shí)施后，其為維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民等合法權(quán)益，提供了有力法律保障。隨著社會(huì)形勢(shì)的發(fā)展，擬對(duì)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》進(jìn)行修改，使其法律責(zé)任制度能夠更加完善，能夠更加有效的保障網(wǎng)絡(luò)的安全。2.8《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》2022年10月12日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布2022年第14號(hào)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告，批準(zhǔn)發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T39204-2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在識(shí)別分析、安全防護(hù)、檢測(cè)評(píng)估等方面的安全要求。此次標(biāo)準(zhǔn)的發(fā)布，意味著我國(guó)的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施(電力，燃?xì)?，水力，石化?工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)將納入國(guó)家監(jiān)督成為強(qiáng)制要求，標(biāo)志著我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的建設(shè)進(jìn)一步完善，為運(yùn)營(yíng)者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作提供更有效的規(guī)范和引領(lǐng)。標(biāo)準(zhǔn)將于2023年5月1日開(kāi)始實(shí)施。92.9《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》2022年10月14日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布2022年第13號(hào)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告，批準(zhǔn)發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T42021-2022《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》?！豆I(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》是我國(guó)首個(gè)在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)領(lǐng)域中發(fā)布的國(guó)家標(biāo)準(zhǔn)，其規(guī)范了工業(yè)互聯(lián)網(wǎng)工廠內(nèi)外網(wǎng)絡(luò)架構(gòu)的目標(biāo)架構(gòu)和功能要求，并且表明了工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)實(shí)施的框架以及對(duì)安全方面的要求，相關(guān)標(biāo)準(zhǔn)的規(guī)定有助于提升全行業(yè)全產(chǎn)業(yè)的數(shù)字化、網(wǎng)絡(luò)化以及智能化水平，能夠進(jìn)一步促進(jìn)相關(guān)產(chǎn)業(yè)向數(shù)字化轉(zhuǎn)型。該標(biāo)準(zhǔn)將于2023年5月1日開(kāi)始實(shí)施。2.10《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》2022年10月28日，工業(yè)和信息化部近日印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》?！掇k法》規(guī)定，將采取網(wǎng)上備案的形式進(jìn)行，通過(guò)工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)對(duì)漏洞收集平臺(tái)進(jìn)行備案。相關(guān)參與者需在該共享平臺(tái)上如實(shí)填報(bào)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)的備案登記信息。該《辦法》將于2023年1月1日起施行。2.11《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》2022年11月9日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》(征求意見(jiàn)稿)，并向社會(huì)公開(kāi)征求意見(jiàn)，該意見(jiàn)征求截止時(shí)間為12月9日。該文件嚴(yán)格要求了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)所提供的安全服務(wù)應(yīng)該具備的能力水平。該文件能夠?qū)W(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全服務(wù)能力建設(shè)進(jìn)行有效指導(dǎo)，同時(shí)也可以幫助政務(wù)部門(mén)以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者選擇合適的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。2.12《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》2022年11月17日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》(征求意見(jiàn)稿)，并向社會(huì)征求意見(jiàn)，該意見(jiàn)征求截止時(shí)間為2023年1月16日。征求意見(jiàn)稿給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架，其中主要包括機(jī)構(gòu)設(shè)立、分析識(shí)別以及事后恢復(fù)與總結(jié)等。該文件有助于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開(kāi)展網(wǎng)絡(luò)安全應(yīng)急活動(dòng)，同時(shí)可以為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方提供參考。序號(hào)月份出臺(tái)政策12月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(征求意見(jiàn)稿)22月《工業(yè)和信息化部辦公廳關(guān)于做好工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作的通知》32月《工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系》44月《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》54月《電力可靠性管理辦法(暫行)》66月《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見(jiàn)稿)》77月《數(shù)據(jù)出境安全評(píng)估辦法》87月《關(guān)于開(kāi)展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見(jiàn)(征求意見(jiàn)稿)》97月《信息安全技術(shù)信息安全管理體系概述和詞匯》8月《公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法(征求意見(jiàn)稿)》9月《關(guān)于修改(中華人民共和國(guó)網(wǎng)絡(luò)安全法)的決定(征求意見(jiàn)稿)》10月《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》10月《工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡(luò)架構(gòu)》10月《數(shù)字化轉(zhuǎn)型價(jià)值效益參考模型》、《供應(yīng)鏈數(shù)字化管理指南》、《生產(chǎn)設(shè)備運(yùn)行管理規(guī)范》、《生產(chǎn)設(shè)備運(yùn)行績(jī)效評(píng)價(jià)指標(biāo)集》10月《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》11月《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》(征求意見(jiàn)稿)11月《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》(征求意見(jiàn)稿)12月《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第4部分：數(shù)據(jù)防護(hù)要求》(征求意見(jiàn)稿)12月《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》2012月《電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法》2112月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》3.2022年典型工控安全事件分析時(shí)至2022，全球局勢(shì)變化風(fēng)云莫測(cè)，工控安全是國(guó)家安全保障、社會(huì)穩(wěn)定運(yùn)行的重要基石。工控網(wǎng)絡(luò)的應(yīng)用涉及了社會(huì)中的各個(gè)重要行業(yè)如通信、電力、燃油等。社會(huì)中的各個(gè)機(jī)構(gòu)、組織、企業(yè)在疫情下穩(wěn)步的復(fù)產(chǎn)復(fù)工，恢復(fù)工作秩序，離不開(kāi)工控網(wǎng)絡(luò)的安全。以下介紹2022年發(fā)生的一些典型工控安全相關(guān)事件，通過(guò)以下事件可以了解工業(yè)控制網(wǎng)絡(luò)環(huán)境下各種攻擊的技術(shù)特性和趨勢(shì)，以此來(lái)制定更加有效的相關(guān)策略應(yīng)對(duì)未來(lái)可能遭受的攻擊。3.1德國(guó)主要燃料儲(chǔ)存供應(yīng)商遭網(wǎng)絡(luò)攻擊2022年1月29日，德國(guó)的一家名為OiltankingGmbHGroup的石油儲(chǔ)存公司遭到了網(wǎng)絡(luò)攻擊。本次攻擊主要是針對(duì)Oiltanking公司以及礦物油貿(mào)易公司Mabanaft，對(duì)其造成了一定的影響。Oiltanking和Mabanaft在他們的聯(lián)合聲明中表示他們正在盡力解決該問(wèn)題，并了解其波及的范圍。同時(shí)由于受到本次攻擊事件的影響，歐洲西北部地區(qū)餾分柴油的價(jià)格有略微的漲幅。3.2FBI警報(bào)：美國(guó)關(guān)鍵基礎(chǔ)設(shè)施正遭受BLACKBYTE勒索軟件入侵2022年2月11日，美國(guó)聯(lián)邦調(diào)查局和美國(guó)特勤局聯(lián)合發(fā)布了《聯(lián)合網(wǎng)絡(luò)安全咨詢公告》。公告中指出：名為BlackByte的軟件勒索組織在過(guò)去的3個(gè)月期間，入侵了至少3個(gè)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施組織，尤其是政府設(shè)施、金融服務(wù)以及食品和農(nóng)業(yè)領(lǐng)域。該組織會(huì)將其勒索軟件基礎(chǔ)設(shè)施出租給他人，以此來(lái)?yè)Q取一定比例的勒索收益，該組織自2021年7月開(kāi)始開(kāi)發(fā)軟件漏洞，全球范圍內(nèi)的企業(yè)都可能成為其目標(biāo)。3.3白俄羅斯鐵路遭到ANONYMOU入侵，所有網(wǎng)絡(luò)服務(wù)中斷2022年2月27日，黑客組織Anonymou聲稱已經(jīng)入侵了白俄羅斯鐵路的內(nèi)部網(wǎng)絡(luò)，并且攻擊并關(guān)閉了其內(nèi)部網(wǎng)絡(luò)的所有服務(wù)。目前網(wǎng)站pass.rw.by、portal.rw.by、rw.by都處于無(wú)法訪問(wèn)的狀態(tài)，該國(guó)的鐵路系統(tǒng)被迫轉(zhuǎn)入手動(dòng)控制模式，這對(duì)白俄羅斯鐵路列車的正常運(yùn)營(yíng)以及鐵路秩序都造成了極大的影響和破壞。Anonymou組織還入侵了白俄羅斯的武器制造商Tetraedr，并竊取了大約200GB的電子郵件。3.4東歐大型加油站遭勒索攻擊，官網(wǎng)、APP等全部下線2022年3月6日，東歐國(guó)家羅馬尼亞的一家加油站遭到了勒索軟件攻擊，該加油站的Fill&Go服務(wù)以及官方網(wǎng)站都因本次攻擊而被迫下線。本次攻擊影響到了該公司的大部分業(yè)務(wù)，導(dǎo)致了官網(wǎng)、APP都無(wú)法正常訪問(wèn)，顧客只能使用現(xiàn)金和刷卡進(jìn)行支付。這家公司名為Rompetrol，是羅馬尼亞國(guó)內(nèi)最大的煉油廠PetromidiaNavodari的配套加油站運(yùn)營(yíng)商。攻擊者還入侵了Petromdia煉油廠內(nèi)部的網(wǎng)絡(luò)，但該網(wǎng)絡(luò)的運(yùn)營(yíng)暫未發(fā)現(xiàn)受到了影響。3.5烏克蘭的能源供應(yīng)商成為INDUSTROYER2ICS惡意軟件的目標(biāo)2022年4月12日，一種新的能夠操控工業(yè)控制系統(tǒng)造成損害的惡意軟件最近將烏克蘭的一家能源供應(yīng)商作為了攻擊的目標(biāo)。該攻擊主要針對(duì)的是變電站，烏克蘭的計(jì)算機(jī)應(yīng)急響應(yīng)小組、網(wǎng)絡(luò)安全公司和微軟公司已經(jīng)對(duì)其進(jìn)行了分析。經(jīng)分析發(fā)現(xiàn)，該攻擊行動(dòng)與一個(gè)威脅組織Sandworm有關(guān)，該組織據(jù)信代表俄羅斯GRU軍事情報(bào)機(jī)構(gòu)運(yùn)作。根據(jù)網(wǎng)絡(luò)安全公司的說(shuō)法，該攻擊的目的可能是在目標(biāo)能源設(shè)施中執(zhí)行破壞性的操作進(jìn)而導(dǎo)致停電，本次安全事件涉及了在ICS網(wǎng)絡(luò)以及運(yùn)行Solaris和Linux的系統(tǒng)中部署的幾種惡意軟件。3.6農(nóng)業(yè)機(jī)械巨頭愛(ài)科遭勒索攻擊，美國(guó)種植季拖拉機(jī)供應(yīng)受影響2022年5月7日，美國(guó)農(nóng)業(yè)機(jī)械巨頭愛(ài)科遭到了勒索軟件的攻擊，對(duì)部分生產(chǎn)設(shè)施的運(yùn)營(yíng)造成了影響，并且該影響可能會(huì)持續(xù)多天。本次事件中，愛(ài)科公司并沒(méi)有提供任何關(guān)于業(yè)務(wù)中斷的細(xì)節(jié)信息，為了阻止攻勢(shì)蔓延該公司可能會(huì)關(guān)閉部分系統(tǒng)。有經(jīng)銷商表示，這導(dǎo)致拖拉機(jī)銷售在美國(guó)最重要的種植季節(jié)停滯不前。近一年來(lái)已經(jīng)有多家農(nóng)業(yè)供應(yīng)鏈企業(yè)遭到攻擊，可見(jiàn)農(nóng)業(yè)逐漸成為了勒索攻擊的重點(diǎn)目標(biāo)。同時(shí)受到緊張的國(guó)際政治局勢(shì)的影響，部分網(wǎng)絡(luò)攻擊可能還具有報(bào)復(fù)性動(dòng)機(jī)，目的是破壞美國(guó)關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的生產(chǎn)活動(dòng)。3.7得克薩斯州一家液化天然氣廠遭黑客攻擊導(dǎo)致爆炸2022年6月8日，德克薩斯州一家液化天然氣廠發(fā)生爆炸。爆炸發(fā)生在德克薩斯州金塔納島的自由港液化天然氣液化廠(名為FreeportLNG公司)和出口碼頭。華盛頓時(shí)報(bào)一國(guó)家安全作家Rogan證實(shí)：德克薩斯州的液化天然氣設(shè)施爆炸與APT組織進(jìn)行的黑客活動(dòng)一致。FreeportLNG擁有運(yùn)營(yíng)技術(shù)以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)檢測(cè)系統(tǒng)，但否認(rèn)了將網(wǎng)絡(luò)攻擊視為事件發(fā)生的根本原因。除非FreeportLNG適當(dāng)部署了OT/ICS網(wǎng)絡(luò)檢測(cè)系統(tǒng)并完成了取證調(diào)查，否則不能排除網(wǎng)絡(luò)攻擊。此次爆炸事故將對(duì)自由港液化天然氣的運(yùn)營(yíng)產(chǎn)生持久的影響。3.8伊朗LYCAEUMAPT組織利用新的DNS后門(mén)攻擊能源行業(yè)2022年6月10日，伊朗LycaeumAPT黑客組織使用新的基于.NET的DNS后門(mén)，以對(duì)能源和電信行業(yè)的公司進(jìn)行攻擊。Lyceum曾使用DNS隧道后門(mén)瞄準(zhǔn)中東的通信服務(wù)提供商。Zscaler最近的一項(xiàng)分析提出了一種新的DNS后門(mén)，該后門(mén)基于DIG.net開(kāi)源工具可以執(zhí)行“DNS劫持”攻擊、執(zhí)行命令、丟棄更多有效負(fù)載并泄露數(shù)據(jù)。DNS劫持是一種重定向攻擊，它依賴于DNS查詢操作，將嘗試訪問(wèn)合法站點(diǎn)的用戶帶到威脅參與者控制下的服務(wù)器上托管的惡意克隆。3.9德國(guó)建材巨頭KNAUF被BLACKBASTA勒索軟件團(tuán)伙襲擊2022年7月19日消息，德國(guó)建材巨頭Knauf集團(tuán)表示它已成為網(wǎng)絡(luò)攻擊的目標(biāo)，該攻擊擾亂了其業(yè)務(wù)運(yùn)營(yíng)。據(jù)悉，網(wǎng)絡(luò)攻擊發(fā)生在6月29日晚上，目前，可耐夫仍在進(jìn)行調(diào)查取證、事件處理和補(bǔ)救工作。雖然Knauf沒(méi)有公布他們所遭受的網(wǎng)絡(luò)攻擊的類型，但根據(jù)恢復(fù)正常運(yùn)營(yíng)的時(shí)間、影響和難度可以推斷這大概率是一起勒索軟件事件。名為BlackBasta的勒索軟件團(tuán)伙已經(jīng)在其勒索網(wǎng)站上發(fā)布公告宣布對(duì)這次攻擊負(fù)責(zé)，并于7月16日將Knauf列為受害者。勒索軟件團(tuán)伙目前已經(jīng)泄露了20%的被盜文件，超過(guò)350名訪問(wèn)者訪問(wèn)了這些文件。并非所有文件都已在線泄露的事實(shí)表明，威脅行為者仍有希望獲得成功的談判結(jié)果并獲得贖金。3.10希臘天然氣分銷商DESFA部分基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)襲擊2022年8月20日，希臘最大的天然氣分銷商DESFA表示在其部分基礎(chǔ)設(shè)施上遭受了網(wǎng)絡(luò)攻擊，攻擊者試圖非法訪問(wèn)電子數(shù)據(jù)，并可能泄露了許多目錄和文件。8月19日，RagnarLocker勒索軟件組織在其暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站上泄露了DESFA的數(shù)據(jù)樣本及被盜數(shù)據(jù)列表，這也證實(shí)了此次攻擊。泄露的數(shù)據(jù)樣本不包含機(jī)密信息。RagnarLocker在其暗網(wǎng)上表示，DESFA的系統(tǒng)中存在多個(gè)安全漏洞，會(huì)導(dǎo)致公司的敏感數(shù)據(jù)受到損害。RagnarLocker已將此類漏洞通知了DESFA，然而并沒(méi)有收到回應(yīng)。因此RagnarLocker發(fā)布了從DESFA網(wǎng)絡(luò)下載的數(shù)據(jù)列表，并威脅如果DESFA沒(méi)有在規(guī)定時(shí)間內(nèi)采取行動(dòng)，也沒(méi)有聯(lián)系威脅行為者以解決安全問(wèn)題，將發(fā)布文件列表中包含的所有文件。3.11黑客組織GHOSTSEC入侵以色列各地的55個(gè)PLC可編程邏輯控制器(PLC)，這些PLC被以色列組織用作“FreePalestine”運(yùn)動(dòng)的一部分。GhostSec于2015年首次被發(fā)現(xiàn)，自稱治安組織，最初成立的目的是針對(duì)宣揚(yáng)伊斯蘭極端主義的ISIS網(wǎng)站。9月4日，GhostSec在其Telegram頻道上分享了一段視頻，展示了成功登錄PLC管理面板的過(guò)程，此外還轉(zhuǎn)儲(chǔ)了被黑客入侵控制器的數(shù)據(jù)。同時(shí)，GhostSec發(fā)布了更多的截圖，聲稱已經(jīng)獲得了另一個(gè)控制面板的權(quán)限，可以用來(lái)改變水中的氯含量和PH值。工業(yè)網(wǎng)絡(luò)安全公司OTORIO對(duì)此事進(jìn)行了更深入的調(diào)查后表示，發(fā)生此次入侵的原因可能是因?yàn)镻LC可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)，而且使用的是可以輕易猜到的憑證。3.12黑客組織KILLNET對(duì)美國(guó)機(jī)場(chǎng)網(wǎng)站發(fā)起分布式拒絕服務(wù)(DDOS)攻擊2022年10月10日，親俄黑客組織KillNet聲稱對(duì)美國(guó)幾個(gè)主要機(jī)場(chǎng)的網(wǎng)站進(jìn)行了大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊，導(dǎo)致其無(wú)法訪問(wèn)。DDoS攻擊通過(guò)垃圾請(qǐng)求使托管這些網(wǎng)站的服務(wù)器無(wú)法運(yùn)作，使旅客無(wú)法連接并獲取有關(guān)其定期航班或預(yù)訂機(jī)場(chǎng)服務(wù)的更新。被攻擊的機(jī)場(chǎng)包括芝加哥奧黑爾國(guó)際機(jī)場(chǎng)(ORD)、奧蘭多國(guó)際機(jī)場(chǎng)(MCO)、丹佛國(guó)際機(jī)場(chǎng)(DIA)、鳳凰城天港國(guó)際機(jī)場(chǎng)(PHX)，以及肯塔基州、密西西比州和夏威夷的一些機(jī)場(chǎng)。雖然DDoS攻擊不會(huì)影響航班，但仍然對(duì)關(guān)鍵經(jīng)濟(jì)部門(mén)的運(yùn)作產(chǎn)生了不利影響，可能將會(huì)造成相關(guān)服務(wù)的暫緩甚至是癱瘓。KillNet的創(chuàng)始人KillMilk還表示，他們正在計(jì)劃進(jìn)一步的攻擊，涉及更嚴(yán)重的技術(shù)，包括旨在破壞數(shù)據(jù)的擦除器攻擊。3.13網(wǎng)絡(luò)攻擊導(dǎo)致丹麥最大鐵路公司火車全部停運(yùn)2022年11月5日，由于遭受了網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)器關(guān)閉，丹麥最大的鐵路運(yùn)營(yíng)公司DSB旗下所有列車均陷入停運(yùn)，且連續(xù)數(shù)個(gè)小時(shí)未能恢復(fù)。遭受攻擊的是丹麥公司Supeo，該公司是一家專為鐵路、交通基礎(chǔ)設(shè)施和公共客運(yùn)提供資產(chǎn)管理解決方案的外包供應(yīng)商。Supeo可能經(jīng)受了一次勒索軟件攻擊，但該公司并未披露任何信息。Supeo公司提供了一款移動(dòng)應(yīng)用，可供火車司機(jī)訪問(wèn)各項(xiàng)關(guān)鍵運(yùn)營(yíng)信息，例如限速指標(biāo)和鐵路運(yùn)行信息。由于服務(wù)器關(guān)閉，導(dǎo)致該應(yīng)用停止工作，司機(jī)們只能被迫停車，最終引發(fā)了列車運(yùn)營(yíng)中斷事件。3.14烏克蘭政府機(jī)構(gòu)和國(guó)家鐵路遭受新一波網(wǎng)絡(luò)釣魚(yú)攻擊2022年12月8日，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組報(bào)道，烏克蘭政府機(jī)構(gòu)和國(guó)家鐵路遭受網(wǎng)絡(luò)釣魚(yú)攻擊。攻擊者被響應(yīng)小組追蹤為UAC-0140，他們使用電子郵件分發(fā)由Delphi編程語(yǔ)言開(kāi)發(fā)的名為DolphinCape惡意軟件。這種惡意軟件可以采集被攻擊電腦的信息，包括主機(jī)名、用戶名、比特率和操作系統(tǒng)版本等等，該軟件還會(huì)運(yùn)行可執(zhí)行文件、提取其他關(guān)鍵數(shù)據(jù)、并對(duì)目標(biāo)設(shè)備進(jìn)行屏幕截圖等操作，嚴(yán)重影響被攻擊者的電腦的運(yùn)行安全。烏克蘭安全官員認(rèn)為，俄羅斯黑客是大多數(shù)攻擊的幕后黑手。序號(hào)時(shí)間國(guó)家/地區(qū)行業(yè)方式影響1德國(guó)制造業(yè)未知?dú)W洲北部地區(qū)柴油漲價(jià)2荷蘭能源業(yè)勒索軟件石油裝卸和轉(zhuǎn)運(yùn)受阻32月美國(guó)農(nóng)業(yè)勒索軟件勒索高額贖金42月俄羅斯運(yùn)輸業(yè)未知鐵路運(yùn)營(yíng)秩序受影響，資料泄露52月瑞士運(yùn)輸業(yè)勒索軟件運(yùn)營(yíng)受到干擾63月羅馬尼亞能源業(yè)勒索軟件油站官網(wǎng)、APP無(wú)法訪問(wèn)73月德國(guó)能源業(yè)勒索軟件近6000臺(tái)風(fēng)力發(fā)電機(jī)失去遠(yuǎn)程控制84月烏克蘭能源業(yè)惡意軟件變電站停電94月德國(guó)制造業(yè)網(wǎng)絡(luò)攻擊被迫關(guān)閉多個(gè)業(yè)務(wù)部門(mén)的系統(tǒng)4月加拿大制造業(yè)網(wǎng)絡(luò)攻擊航班延誤，大量旅客滯留機(jī)場(chǎng)5月美國(guó)農(nóng)業(yè)勒索軟件公司被迫關(guān)閉系統(tǒng)、銷售停滯5月航空業(yè)勒索軟件航班延誤、旅客滯留機(jī)場(chǎng)6月美國(guó)建筑業(yè)惡意流量混合探測(cè)到更多新的惡意軟件變種和與攻擊者相關(guān)的TTP6月土耳其航空業(yè)未知嚴(yán)重的數(shù)據(jù)泄露6月美國(guó)能源業(yè)網(wǎng)絡(luò)攻擊液化天然氣廠的運(yùn)營(yíng)產(chǎn)生了持久影響7月德國(guó)制造業(yè)勒索軟件文件泄露、被索要高額贖金7月伊朗制造業(yè)網(wǎng)絡(luò)攻擊嚴(yán)重?cái)_亂工廠運(yùn)營(yíng)7月西班牙工業(yè)網(wǎng)絡(luò)攻擊輻射警報(bào)網(wǎng)絡(luò)無(wú)法響應(yīng)輻射激增事件8月希臘能源業(yè)勒索軟件大量數(shù)據(jù)遭到泄露208月英國(guó)醫(yī)療業(yè)網(wǎng)絡(luò)攻擊急救熱線持續(xù)性中斷219月巴勒斯坦工業(yè)網(wǎng)絡(luò)入侵多個(gè)PLC可以被攻擊者控制2210月美國(guó)航空業(yè)DDoS攻擊航空公司網(wǎng)站的服務(wù)器無(wú)法運(yùn)作2310月德國(guó)新聞業(yè)勒索軟件系統(tǒng)陷入癱瘓，電子版文件無(wú)法訪問(wèn)2411月烏克蘭互聯(lián)網(wǎng)勒索軟件惡意腳本入侵網(wǎng)絡(luò)2511月德國(guó)制造業(yè)網(wǎng)絡(luò)攻擊數(shù)據(jù)泄露，被索要贖金2612月烏克蘭運(yùn)輸業(yè)網(wǎng)絡(luò)釣魚(yú)攻擊電腦被惡意操控、數(shù)據(jù)泄露2712月哥倫比亞能源業(yè)勒索軟件大量數(shù)據(jù)泄露2812月德國(guó)制造業(yè)網(wǎng)絡(luò)攻擊有可能造成數(shù)據(jù)泄露4.工控系統(tǒng)安全漏洞概況隨著工業(yè)4.0、智能制造、工業(yè)互聯(lián)網(wǎng)等概念的產(chǎn)生和發(fā)展，全球工控產(chǎn)業(yè)體系迅速擴(kuò)大，工控系統(tǒng)的獨(dú)立性日益降低，理論上來(lái)說(shuō)對(duì)工控系統(tǒng)的攻擊實(shí)現(xiàn)將更加簡(jiǎn)單，例如PLC等ICS的核心構(gòu)成將面對(duì)更多樣的攻擊手段、更隱蔽的攻擊形式等。相關(guān)數(shù)據(jù)顯示，2022年西門(mén)子(Siemens)、施耐德(Schneider)、北京亞控科技發(fā)展有限公司(WellinTech)、三菱(Mitsubishi)、歐姆龍(Omron)等工業(yè)控制系統(tǒng)廠商也均被發(fā)現(xiàn)包含各種信息安全漏洞。然而本團(tuán)隊(duì)從采集到的工控漏洞數(shù)據(jù)中注意到，近兩年的工控安全漏洞數(shù)量呈逐年下降的趨勢(shì)。D根據(jù)CNVD(國(guó)家信息安全漏洞共享平臺(tái))[1][2]和“諦聽(tīng)”的數(shù)據(jù)，2012-2022年工控漏洞走勢(shì)如圖4-1所示。從圖中可以看出，2015年到2020年期間工控漏洞數(shù)量呈顯著的逐年增長(zhǎng)趨勢(shì)，出現(xiàn)這種情況的主要原因，本團(tuán)隊(duì)分析認(rèn)為是：2015年后，技術(shù)融合加速工控產(chǎn)業(yè)發(fā)展的同時(shí)破壞了傳統(tǒng)工控系統(tǒng)的體系結(jié)構(gòu)，在產(chǎn)業(yè)標(biāo)準(zhǔn)、政策尚不成熟的情況下攻擊者可能會(huì)采取更加豐富的攻擊手段攻擊工控系統(tǒng)，導(dǎo)致工控漏洞的數(shù)量逐年上升。然而從2021年開(kāi)始，工控漏洞數(shù)量呈逐年下降的趨勢(shì)，與2020年的568條漏洞信息相比，2021年減少了416條，漏洞數(shù)量大幅降低，減少數(shù)量占2020年的73%，2022年的漏洞數(shù)量降幅雖不及2021年的73%，但仍達(dá)到了37%，本團(tuán)隊(duì)猜測(cè)出現(xiàn)的原因是：一方面，由于新冠疫情在全球反復(fù)暴發(fā)，大量從業(yè)人員線上辦公，工控產(chǎn)業(yè)活力低下，導(dǎo)致工控攻擊目標(biāo)的數(shù)量與類型較往年有所減少，工控漏洞的產(chǎn)生和發(fā)現(xiàn)可能會(huì)因此減少；另一方面，隨著工控信息安全政策、體系、法規(guī)的不斷完善，工控安全方面的產(chǎn)品體系和解決方案愈發(fā)健全，客觀上的漏洞數(shù)量下降應(yīng)在情理之中。如圖4-2所示，2022年工控系統(tǒng)行業(yè)漏洞危險(xiǎn)等級(jí)餅狀圖，截至2022年12月31日，2022年新增工控系統(tǒng)行業(yè)漏洞96個(gè)，其中高危漏洞35個(gè)，中危漏洞51個(gè)，低危漏洞10個(gè)。與去年相比，漏洞數(shù)量減少了56個(gè)，高危、中危和低危漏洞數(shù)量均有一定減少，其中，中高危漏洞數(shù)量減少了54個(gè)，占2021年中高危漏洞總數(shù)的39%。2022全年高危工控安全漏洞占全年漏洞總數(shù)量中的36%，與2021年相比相差不大。由此可見(jiàn)，今年的全球工控安全體系建設(shè)更加完備，工控產(chǎn)業(yè)相關(guān)廠商、企業(yè)的研究更加深入，情況較為樂(lè)觀，但同時(shí)高危漏洞數(shù)量占比仍然較大，需要持續(xù)完善工控方面的協(xié)議、政策，增加對(duì)工控信息安全產(chǎn)業(yè)的投入。以上數(shù)據(jù)表明，在2022年，雖然工控漏洞數(shù)量的降幅較2021年有所降低，但全球工控系統(tǒng)的安全維護(hù)水平依然持續(xù)提升；同時(shí)我們注意到高危漏洞數(shù)量占比變化不大，理想情況下，風(fēng)險(xiǎn)等級(jí)被標(biāo)記為“高?！钡穆┒磾?shù)量應(yīng)當(dāng)在工控相關(guān)協(xié)議、設(shè)備設(shè)計(jì)之初盡量避免，或在被工控系統(tǒng)安全人員發(fā)現(xiàn)時(shí)及時(shí)解決，其相比中低危漏洞具有更高的處理優(yōu)先級(jí)，故工控系統(tǒng)所遭受攻擊數(shù)量雖然在近兩年逐年減少，但工控系統(tǒng)所遭受的攻擊強(qiáng)度可能并沒(méi)有降低，或者說(shuō)工控系統(tǒng)方面設(shè)計(jì)缺陷可能并沒(méi)有得到及時(shí)完善，同時(shí)工控產(chǎn)業(yè)相關(guān)單位有必要進(jìn)一步加強(qiáng)對(duì)工業(yè)漏洞的防范，并持續(xù)增加對(duì)工控系統(tǒng)安全建設(shè)的投入。如圖4-3是2022年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，由圖中可知，西門(mén)子(Siemens)廠商具有的漏洞數(shù)量最多，多達(dá)37個(gè)。漏洞數(shù)量排在其后的廠商分別是：施耐德 (Schneider)、亞控科技(WellinTech)、三菱(Mitsubishi)、臺(tái)達(dá)(Delta)、歐姆龍 (Omron)，這些廠商也存在著一定數(shù)量的工控系統(tǒng)行業(yè)漏洞。由此可見(jiàn)，各個(gè)廠商應(yīng)該密切關(guān)注工控系統(tǒng)行業(yè)漏洞，通過(guò)部署終端安全防護(hù)組件、部署防火墻、入侵檢測(cè)系統(tǒng)、入侵防護(hù)系統(tǒng)或安全監(jiān)測(cè)系統(tǒng)等方式進(jìn)一步提升系統(tǒng)防護(hù)水平，確保工控系統(tǒng)信息安全。5.聯(lián)網(wǎng)工控設(shè)備分布“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持31種服務(wù)的協(xié)議識(shí)別，表5-1展示了“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別的工控協(xié)議等的相關(guān)信息。如想了解這些協(xié)議的詳細(xì)信息請(qǐng)參照“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)之前發(fā)布的工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析白皮書(shū)。工控協(xié)議ModbusTridiumNiagaraFoxSSL/NiagaraFoxBACnetATGsDevicesMoxaNportEtherNet/IPSiemensS7DNP3CodesysilonSmartserverRedlionCrimson3IEC60870-5-104OMRONFINSCSPV4GESRTPPCWorxProConOsMELSEC-Q端口502/5034911478081000148004481820000245578924049600222218245205475006/5007概述應(yīng)用于電子控制器上的一種通用語(yǔ)言Tridium公司專用協(xié)議，用于智能電網(wǎng)等領(lǐng)域智能建筑、基礎(chǔ)設(shè)置管理、安防系統(tǒng)的網(wǎng)絡(luò)協(xié)議智能建筑的通信協(xié)議工控協(xié)議虛擬串口協(xié)議以太網(wǎng)協(xié)議西門(mén)子通信協(xié)議分布式網(wǎng)絡(luò)協(xié)議PLC協(xié)議智能服務(wù)器協(xié)議工控協(xié)議IEC系列協(xié)議歐姆龍工業(yè)控制協(xié)議工控協(xié)議美國(guó)通用電器產(chǎn)品協(xié)議菲尼克斯電氣產(chǎn)品協(xié)議科維公司操作系統(tǒng)協(xié)議三菱通信協(xié)議opc-ua4840OPCUA接口協(xié)議DDP5002用于數(shù)據(jù)的傳輸和DTU管理Profinet基于工業(yè)以太網(wǎng)技術(shù)的自動(dòng)化總線標(biāo)準(zhǔn)IEC61850-8-1IEC系列協(xié)議Lantronix30718專為工業(yè)應(yīng)用而設(shè)計(jì)，解決串口和以太網(wǎng)通信問(wèn)題物聯(lián)網(wǎng)協(xié)議端口概述AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級(jí)消息隊(duì)列協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議SOAP8089基于XML簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議ONVIF3702開(kāi)放型網(wǎng)絡(luò)視頻接口標(biāo)準(zhǔn)協(xié)議MQTT基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議攝像頭協(xié)議端口概述DahuaDvr37777大華攝像頭與服務(wù)器通信協(xié)議hikvision81-90海康威視攝像頭與服務(wù)器通信協(xié)議“諦聽(tīng)”官方網(wǎng)站()公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請(qǐng)與東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)直接聯(lián)系獲取。根據(jù)“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù)，經(jīng)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)分析，得出如圖5-1的可視化展示，下面做簡(jiǎn)要說(shuō)明。年基本沒(méi)有發(fā)生太大變化。在全球范圍內(nèi)，美國(guó)作為世界上最發(fā)達(dá)的工業(yè)化國(guó)家暴露出的工控設(shè)備仍然保持第一；中國(guó)繼續(xù)大力發(fā)展先進(jìn)制造業(yè)，推動(dòng)新型基礎(chǔ)設(shè)施建設(shè)，工業(yè)產(chǎn)值大幅增加，位居第二；2022年波蘭的GDP有所增長(zhǎng)，暴露的工控設(shè)備也有所增長(zhǎng)，位居第三。以下著重介紹國(guó)內(nèi)及美國(guó)、波蘭的工控設(shè)備暴露情況。5.1國(guó)際工控設(shè)備暴露情況國(guó)際工控設(shè)備的暴露情況以美國(guó)和波蘭為例進(jìn)行簡(jiǎn)要介紹。美國(guó)是世界上工業(yè)化程度最高的國(guó)家之一，同時(shí)也是2022年全球工控設(shè)備暴露最多的國(guó)家，如圖5-2所示為美國(guó)2022年工控協(xié)議暴露數(shù)量和占比。自2012年美國(guó)通用電氣公司(GE)提出工業(yè)互聯(lián)網(wǎng)的概念以來(lái)，美國(guó)政府就十分重視工業(yè)控制領(lǐng)域。依托互聯(lián)網(wǎng)技術(shù)的發(fā)展優(yōu)勢(shì)，大力推動(dòng)工控相關(guān)技術(shù)的發(fā)展，以應(yīng)對(duì)經(jīng)濟(jì)全球化可能帶來(lái)的機(jī)遇與挑戰(zhàn)。在推動(dòng)工業(yè)互聯(lián)網(wǎng)革命的同時(shí)，美國(guó)政府也關(guān)注到了由于缺乏監(jiān)管而泄露的數(shù)據(jù)可能帶來(lái)的一系列互聯(lián)網(wǎng)安全問(wèn)題。2022年9月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了《2023年至2025年戰(zhàn)略規(guī)劃》(2023-2025StrategicPlan)，該規(guī)劃是CISA自2018年成立以來(lái)發(fā)布的首個(gè)綜合性戰(zhàn)略規(guī)劃，規(guī)劃中明確了美國(guó)未來(lái)三年網(wǎng)絡(luò)防御、減少風(fēng)險(xiǎn)和增強(qiáng)恢復(fù)能力、業(yè)務(wù)協(xié)作、統(tǒng)一機(jī)構(gòu)4個(gè)總的網(wǎng)絡(luò)安全目標(biāo)。雖然美國(guó)是最早投身網(wǎng)絡(luò)安全建設(shè)的國(guó)家之一，但在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的表現(xiàn)仍然有待提高。與2021年相比，美國(guó)2022年暴露的工控設(shè)備數(shù)有所減少?？赡苁鞘芏頌鯌?zhàn)爭(zhēng)的影響，美國(guó)政府認(rèn)識(shí)到工控設(shè)備及其之上運(yùn)行的大量關(guān)鍵基礎(chǔ)設(shè)施的重要性，因此更加重視工控領(lǐng)域的安全問(wèn)題。2022年的全球網(wǎng)絡(luò)空間安全形勢(shì)愈發(fā)復(fù)雜，美國(guó)政府愈發(fā)重視工業(yè)控制系統(tǒng)安全。2022年波蘭工控設(shè)備暴露數(shù)量位居全球第三。波蘭地處歐洲中部，屬于發(fā)展中國(guó)家，但其人均GDP基本接近末流發(fā)達(dá)國(guó)家的水平。波蘭的工業(yè)化程度很高，是歐盟第六大工業(yè)強(qiáng)國(guó)，在波蘭的諸多工業(yè)產(chǎn)業(yè)中，以制造業(yè)的表現(xiàn)最為突出。據(jù)波蘭中央統(tǒng)計(jì)局發(fā)布的數(shù)據(jù)，自2022年年初，波蘭的工業(yè)產(chǎn)值一直以每月兩位數(shù)的速度在增長(zhǎng)。通過(guò)圖5-3可以看到，在波蘭所暴露的協(xié)議中，Modbus協(xié)議的數(shù)量居于首位。Modbus協(xié)議由于其公開(kāi)免費(fèi)，部署較為簡(jiǎn)單，自問(wèn)世以來(lái)受到了諸多供應(yīng)商的青睞，但由于其缺乏認(rèn)證加密等機(jī)制，Modbus協(xié)議被廣泛使用的同時(shí)，也為波蘭工業(yè)控制系統(tǒng)的安全性帶來(lái)了巨大的風(fēng)險(xiǎn)。綜上，相較于2021年，美國(guó)政府在發(fā)展工業(yè)的同時(shí)，更加重視國(guó)家工控系統(tǒng)安全性的問(wèn)題，2022年暴露的工控設(shè)備數(shù)量略有下降。而波蘭由于汽車制造業(yè)的繁榮發(fā)展，國(guó)家GDP增長(zhǎng)的同時(shí)暴露的工控設(shè)備數(shù)量也大幅增長(zhǎng)，這勢(shì)必會(huì)給國(guó)家的后續(xù)健康發(fā)展埋下一定的隱患。5.2國(guó)內(nèi)工控設(shè)備暴露情況2022年中國(guó)暴露的工控設(shè)備數(shù)量排全球第二。近幾年來(lái)，中國(guó)的產(chǎn)業(yè)結(jié)構(gòu)不斷優(yōu)化升級(jí)，工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，實(shí)體經(jīng)濟(jì)也在逐步轉(zhuǎn)型升級(jí)中。下面詳細(xì)分析一下國(guó)內(nèi)工控設(shè)備暴露情況。在全國(guó)暴露工控設(shè)備數(shù)量的條形圖5-4中可以直觀的看出江蘇省的工控設(shè)備暴露數(shù)量躋身至全國(guó)首位，與去年相比，多省的工控設(shè)備暴露數(shù)量都有了很大程度的增長(zhǎng)。2021年由于新冠疫情的肆虐，全國(guó)很多地方停工停產(chǎn)，國(guó)內(nèi)工控設(shè)備暴露數(shù)量也隨之減少。2022年在政策穩(wěn)步推動(dòng)、經(jīng)濟(jì)企穩(wěn)復(fù)蘇及企業(yè)數(shù)字轉(zhuǎn)型需求增加等因素交織影響下，中國(guó)工業(yè)互聯(lián)網(wǎng)市場(chǎng)繼續(xù)保持穩(wěn)定增長(zhǎng)，工業(yè)化與信息化在高層次進(jìn)行了深度融合，國(guó)內(nèi)工控設(shè)備暴露數(shù)量相比2021年有了爆發(fā)式增長(zhǎng)。2022年，江蘇省是暴露工控設(shè)備數(shù)量最多的省份。據(jù)中國(guó)經(jīng)濟(jì)新聞網(wǎng)報(bào)道，江蘇省2022年信息化和工業(yè)化融合發(fā)展水平指數(shù)達(dá)到66.4，年平均增速3%左右，較2022年全國(guó)平均水平59.6高出11.4%。發(fā)達(dá)的工業(yè)體系是江蘇省實(shí)現(xiàn)信息化和工業(yè)化的基礎(chǔ)。近年來(lái)，江蘇立足制造業(yè)優(yōu)勢(shì)，堅(jiān)持“實(shí)體強(qiáng)基”，先后出臺(tái)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實(shí)施意見(jiàn)》《江蘇省制造業(yè)智能化改造和數(shù)字化轉(zhuǎn)型三年行動(dòng)計(jì)劃》等文件，把工業(yè)互聯(lián)網(wǎng)創(chuàng)新工程作為戰(zhàn)略性任務(wù)，融入到制造業(yè)數(shù)字化轉(zhuǎn)型全過(guò)程。制定實(shí)施《江蘇省加快推進(jìn)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展三年行動(dòng)計(jì)劃(2021—2023年)》等文件，推進(jìn)“數(shù)實(shí)融合”發(fā)展[3]。江蘇省多年來(lái)一直以兩化(信息化、工業(yè)化)融合為行為指南，實(shí)現(xiàn)了多個(gè)行業(yè)智能化改造以及數(shù)字化轉(zhuǎn)型，其正以工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心、5G基站等新基建夯實(shí)數(shù)據(jù)基底，著力打造領(lǐng)先世界的工業(yè)互聯(lián)生態(tài)圈。2022年，臺(tái)灣地區(qū)工控設(shè)備暴露數(shù)量依然名列前茅，位列全國(guó)第二。臺(tái)灣工業(yè)體系發(fā)展完善且依然在全國(guó)各地區(qū)中處于領(lǐng)先的位置，其與大陸的交流合作也十分密切。2022年九月，兩岸工業(yè)互聯(lián)網(wǎng)融合發(fā)展研討會(huì)在昆山舉辦，會(huì)上聚焦“產(chǎn)業(yè)升級(jí)”展開(kāi)交流，助力雙方合作共贏。近年來(lái)，大陸在工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)以及5G基站等新基建方面有著堅(jiān)實(shí)的基底，而臺(tái)灣在集成電路等領(lǐng)域也積攢了雄厚的實(shí)力，雙方的交流合作有利于社會(huì)數(shù)字化轉(zhuǎn)型和智能化改造，推動(dòng)工業(yè)互聯(lián)網(wǎng)在更廣范圍、更深程度、更高水平上融合創(chuàng)新。廣東2022年工控設(shè)備暴露數(shù)量排全國(guó)第三。近年來(lái)，廣東深化工業(yè)互聯(lián)網(wǎng)國(guó)家示范區(qū)建設(shè)，推進(jìn)工業(yè)化和信息化深度融合成效顯著，工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)數(shù)量也位居全國(guó)前列。據(jù)羊城新聞晚報(bào)報(bào)道，截至2022年6月底，廣東省累計(jì)推動(dòng)2.25萬(wàn)家規(guī)上工業(yè)企業(yè)運(yùn)用工業(yè)互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型，帶動(dòng)65萬(wàn)家中小企業(yè)“上云用云”。從制造業(yè)強(qiáng)省到數(shù)字化強(qiáng)省，廣東一直走在全國(guó)前面，廣東的工業(yè)互聯(lián)網(wǎng)企業(yè)也在加快全球化布局，輸出積累的數(shù)字化轉(zhuǎn)型經(jīng)驗(yàn)。長(zhǎng)江三角洲地區(qū)工控設(shè)備暴露數(shù)量的排名變動(dòng)不大。隨著經(jīng)濟(jì)的逐步復(fù)蘇，長(zhǎng)三角地區(qū)(江蘇、安徽、浙江和上海)正利用區(qū)位和資源優(yōu)勢(shì)，加速推進(jìn)長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)一體化發(fā)展，為全國(guó)國(guó)際化、區(qū)域聯(lián)動(dòng)發(fā)展等方面進(jìn)行了前沿探索。2022年11月，為加快構(gòu)建長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)體系，促進(jìn)長(zhǎng)三角產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)峰會(huì)在合肥市奧體中心隆重召開(kāi)。此次大會(huì)全面展示了長(zhǎng)三角區(qū)域工業(yè)互聯(lián)網(wǎng)的最新發(fā)展成果，推動(dòng)長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)一體化發(fā)展再升級(jí)、再提速。把握重大戰(zhàn)略機(jī)遇，加快發(fā)展工業(yè)互聯(lián)網(wǎng)，是長(zhǎng)三角實(shí)現(xiàn)制造業(yè)高質(zhì)量發(fā)展、構(gòu)筑工業(yè)競(jìng)爭(zhēng)新優(yōu)勢(shì)的必然選擇[4]。北京今年排名相較去年有所下降，作為中國(guó)首都，北京經(jīng)轉(zhuǎn)人流量過(guò)多，疫情時(shí)常反復(fù)，對(duì)工業(yè)互聯(lián)網(wǎng)的發(fā)展還是產(chǎn)生了一定的影響。并且現(xiàn)階段的北京，綠色發(fā)展是基礎(chǔ)，工業(yè)產(chǎn)業(yè)大量轉(zhuǎn)移出去，使暴露的工控設(shè)備數(shù)量與其他地區(qū)相比顯得相對(duì)較少。與2021年工控設(shè)備暴露數(shù)量相比，遼寧2022年工控設(shè)備暴露的數(shù)量反超黑龍江和吉林，成為東北地區(qū)工控設(shè)備暴露數(shù)量最多的省份。東北地區(qū)(遼寧、吉林、黑龍江)作為中國(guó)工業(yè)的搖籃，在我國(guó)發(fā)展史上寫(xiě)下了光輝燦爛的篇章。遼寧省于2022年11月舉辦了全球工業(yè)互聯(lián)網(wǎng)大會(huì)，此次大會(huì)對(duì)于加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展、推動(dòng)數(shù)字遼寧智造強(qiáng)省建設(shè)取得新突破，具有重大意義。據(jù)遼寧省政府新聞辦報(bào)道，遼寧省認(rèn)真貫徹習(xí)近平總書(shū)記關(guān)于工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的重要指示精神，把工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展作為助推經(jīng)濟(jì)高質(zhì)量發(fā)展的重要力量，出臺(tái)了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展三年行動(dòng)計(jì)劃》等政策文件，設(shè)立了省級(jí)專項(xiàng)資金，加快推動(dòng)制造業(yè)數(shù)字化轉(zhuǎn)型，使得遼寧省工業(yè)互聯(lián)網(wǎng)進(jìn)入了新的發(fā)展階段[5]。中國(guó)工業(yè)互聯(lián)網(wǎng)研究院院長(zhǎng)魯春叢于此次大會(huì)上發(fā)表了《全球工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展報(bào)告》講話，他指出，未來(lái)五年將是工業(yè)互聯(lián)網(wǎng)從起步探索轉(zhuǎn)向快速發(fā)展的重要階段，也是我國(guó)推進(jìn)新型工業(yè)化，加快建設(shè)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的關(guān)鍵時(shí)期[6]。當(dāng)前，隨著技術(shù)的不斷發(fā)展，實(shí)現(xiàn)工業(yè)化和信息化高水平融合已是中國(guó)特色新型工業(yè)化道路的集中體現(xiàn)，工業(yè)互聯(lián)網(wǎng)為產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化以及智能化發(fā)展提供了新的機(jī)遇。2022年，香港排名雖然較去年有所下降，但暴露設(shè)備數(shù)量卻上升了將近三倍。香港以往是一個(gè)主要以服務(wù)業(yè)為主的經(jīng)濟(jì)體，所以香港的工控設(shè)備暴露數(shù)量并不能與廣東以及臺(tái)灣等地相比。但近年來(lái)，隨著5G專網(wǎng)工業(yè)模組成本的降低，香港積極資助5G技術(shù)應(yīng)用，多方面推動(dòng)5G發(fā)展，完善5G網(wǎng)絡(luò)覆蓋，開(kāi)展5G企業(yè)網(wǎng)絡(luò)以及5G工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用以及部署，推動(dòng)香港新型工業(yè)化的發(fā)展。香港抓住機(jī)遇，積極融入國(guó)家發(fā)展大局，為中國(guó)獨(dú)立自主建設(shè)工業(yè)互聯(lián)網(wǎng)絡(luò)起到了表率作用。5.3國(guó)內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計(jì)情況“諦聽(tīng)”團(tuán)隊(duì)統(tǒng)計(jì)了國(guó)內(nèi)暴露的各協(xié)議總量，從圖5-5中可以看出Modbus協(xié)議在網(wǎng)絡(luò)中暴露的數(shù)量最多，領(lǐng)先于第二位的MoxaNport。Modbus是一種串行通信協(xié)議，是Modicon公司(現(xiàn)在的SchneiderElectric)于1979年為使用可編程邏輯控制器(PLC)協(xié)議支持多個(gè)設(shè)備在同一網(wǎng)絡(luò)中的透明通信，幀格式緊湊、簡(jiǎn)潔，兼容多種電氣接口。且Modbus憑借易部署、限制少、門(mén)檻低的優(yōu)點(diǎn)，成為工業(yè)領(lǐng)域通信協(xié)議的業(yè)界標(biāo)準(zhǔn)，是國(guó)內(nèi)工業(yè)電子設(shè)備之間最常用的連接方式。然而該協(xié)議缺乏有效的認(rèn)證和加密手段，亦缺少對(duì)功能碼的有效管理，因此造成許多安全問(wèn)題，可見(jiàn)該協(xié)議排在國(guó)內(nèi)暴露協(xié)議第一位屬情理之中。MoxaNport，Moxa串口服務(wù)器專為工業(yè)應(yīng)用而設(shè)計(jì)，MoxaNport是其中的一個(gè)串口服務(wù)器系列，在世界范圍內(nèi)具有廣泛的應(yīng)用。不同配置和組合的服務(wù)器能滿足多種工業(yè)場(chǎng)景的需要，因此適用性強(qiáng)。TridiumNiagaraFox，TridiumNiagaraFox被廣泛應(yīng)用于國(guó)家的智能建筑、設(shè)施管理、安防、電力、空調(diào)設(shè)備等領(lǐng)域。Tridium是Honeywell旗下獨(dú)立品牌運(yùn)作的子公司，開(kāi)發(fā)了軟件框架“NiagaraFramework”?；贜iagara框架，客戶可以開(kāi)發(fā)專有產(chǎn)品和應(yīng)用，也可以集成、連接各種智能設(shè)備和系統(tǒng)，不受生產(chǎn)廠家和協(xié)議的影響，在實(shí)現(xiàn)設(shè)備互聯(lián)的同時(shí)可以通過(guò)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)控制和管理。NiagaraAX平臺(tái)時(shí)至今日已經(jīng)整合了多種系統(tǒng)，例如建筑、園區(qū)的基礎(chǔ)硬件設(shè)施、安防系統(tǒng)、訪客管理、電網(wǎng)系統(tǒng)、設(shè)施管理等。NiagaraAX把這些設(shè)備和系統(tǒng)進(jìn)行連接，使用TridiumNiagaraFox協(xié)議通信，具有極高的使用價(jià)值，因此排在第三位亦在意料之中。EtherNet/IP是由ODVA(OpenDeviceNetVendorAssociation)指定的工業(yè)以太網(wǎng)協(xié)議，它使用ODVA已知的應(yīng)用層“通用工業(yè)協(xié)議”(CIP?)。CIP是一種由ODVA支持的開(kāi)放工業(yè)協(xié)議，它被使用在例如EtherNet/IP等串行通信協(xié)議中。美國(guó)的工控設(shè)備制造商Rockwell/Allen-Bradley對(duì)EtherNet/IP進(jìn)行了標(biāo)準(zhǔn)化處理，其他的廠商也在其設(shè)備上支持了EtherNet/IP協(xié)議。當(dāng)前，EtherNet/IP的使用已經(jīng)十分廣泛，然而協(xié)議層面的安全問(wèn)題仍值得我們重視。BACnet是用于樓宇自動(dòng)化和控制網(wǎng)絡(luò)的簡(jiǎn)短形式的數(shù)據(jù)通信協(xié)議，亦是主要行業(yè)供應(yīng)商產(chǎn)品中常用的自動(dòng)化和控制協(xié)議之一，其目的是提高服務(wù)供應(yīng)商之間的互操作性，減少因設(shè)備廠商的專有系統(tǒng)所造成的使用限制問(wèn)題。此協(xié)議的泄露往往是由用戶缺乏安全意識(shí)導(dǎo)致，意味著該IP對(duì)應(yīng)的行業(yè)供應(yīng)商的產(chǎn)品設(shè)備已經(jīng)暴露，因此容易造成用戶的網(wǎng)絡(luò)安全隱患和財(cái)產(chǎn)損失。5.4俄烏沖突以來(lái)暴露設(shè)備數(shù)量變化俄烏沖突開(kāi)始于2022年三月份，目前俄羅斯和烏克蘭的緊張局勢(shì)依然在持續(xù)中，近期的沖突仍然在加劇。發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)能夠削弱一個(gè)國(guó)家的通信能力以及戰(zhàn)場(chǎng)感知能力，而且隨著軍隊(duì)依靠軟件，利用獲取的情報(bào)在戰(zhàn)場(chǎng)上進(jìn)行部署，這場(chǎng)競(jìng)賽變得越來(lái)越重要。為了能夠了解俄羅斯和烏克蘭的工控領(lǐng)域的相關(guān)狀況，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)此進(jìn)行了持續(xù)關(guān)注。表5-2列舉了俄羅斯、烏克蘭暴露工控設(shè)備的相關(guān)協(xié)議。探測(cè)發(fā)現(xiàn)協(xié)議探測(cè)端口協(xié)議概述SiemensS7西門(mén)子通信協(xié)議Modbus502應(yīng)用于電子控制器上的一種通用語(yǔ)言ilonSmartserver智能服務(wù)器協(xié)議MoxaNport4800Moxa專用的虛擬串口協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級(jí)消息隊(duì)列協(xié)議IEC60870-5-1042404IEC系列協(xié)議同時(shí)，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)每月都會(huì)收集俄烏暴露的設(shè)備數(shù)量情況，根據(jù)收集的數(shù)據(jù)，得到了俄羅斯和烏克蘭自沖突爆發(fā)以來(lái)暴露的設(shè)備的數(shù)量變化情況。從圖5-6沖突前后俄羅斯各協(xié)議暴露設(shè)備數(shù)量來(lái)看，AMQP協(xié)議從沖突前到?jīng)_突開(kāi)始持續(xù)到8月份變化幅度較大，總體呈現(xiàn)先降后升的趨勢(shì)，后續(xù)趨于平緩；SiemensS7協(xié)議從沖突前至3月份呈現(xiàn)下降趨勢(shì)，之后整體趨勢(shì)呈現(xiàn)先升后降；IEC60870-5-104協(xié)議整體變化趨勢(shì)與SiemensS7協(xié)議相同，但在11月至12月份突然呈現(xiàn)迅速上升的趨勢(shì)，猜測(cè)與11月發(fā)生了工控事件有關(guān)；ilonSmart-server協(xié)議在5月份變化較大，10月份之后呈現(xiàn)下降趨勢(shì)；其它協(xié)議整體的變化幅度不大。從圖5-7沖突前后烏克蘭各協(xié)議暴露設(shè)備數(shù)量變化情況中我們可以看到，首先AMQP、Modbus、MoxaNport、XMPP以及SiemensS7等協(xié)議從沖突前到4月份變化較大，猜測(cè)是期間發(fā)生了重大的工控事件導(dǎo)致的。隨后，除AMQP以外的四種協(xié)議在10月到12月份發(fā)生了小幅度的變化；其它兩種協(xié)議沒(méi)有變化。總之，從上面兩幅圖可以看出，俄烏暴露設(shè)備的數(shù)量變化較大的月份主要集中在3月至5月以及10月至12月這幾個(gè)月份，猜測(cè)其變化趨勢(shì)與當(dāng)時(shí)發(fā)生的工控事件有直接或間接的關(guān)系，表5-3列舉自俄烏沖突以來(lái)與之相關(guān)的主要的工控事件。時(shí)間時(shí)間主要工控事件俄羅斯聯(lián)邦儲(chǔ)蓄銀行(Sberbank)和莫斯科交易所的網(wǎng)站遭到烏克蘭IT軍攻擊黑客組織“匿名者”入侵并泄漏了俄羅斯經(jīng)濟(jì)發(fā)展部等政府單位以及俄羅斯國(guó)家原子能公司Rosatom數(shù)據(jù)，攻擊了包括俄羅斯航空公司PegasusFly、俄國(guó)防產(chǎn)品出口公司(Rosoboronexport)、俄羅斯緊急情況部、俄羅斯能源巨頭Rosneft位于德國(guó)的子公司以及俄羅斯管道巨頭Transneft內(nèi)部研發(fā)部門(mén)Omega公司等相關(guān)網(wǎng)站黑客組織AnonGh0st入侵俄羅斯SCADA系統(tǒng)并共享了與供水系統(tǒng)相關(guān)的數(shù)據(jù)2022年3月俄羅斯黑客組織攻擊了覆蓋烏克蘭地區(qū)的美國(guó)衛(wèi)星運(yùn)營(yíng)商Viasat俄羅斯有關(guān)APT組織InvisiMole主要針對(duì)烏克蘭國(guó)家機(jī)構(gòu)發(fā)起攻擊未知組織攻擊了烏克蘭互聯(lián)網(wǎng)服務(wù)提供商Triolan以及主要的通信運(yùn)營(yíng)商Ukrtelecom，導(dǎo)致網(wǎng)絡(luò)嚴(yán)重中斷未知組織入侵了包括烏克蘭政府機(jī)構(gòu)、智囊團(tuán)、國(guó)防軍招募和金融等相關(guān)網(wǎng)站烏克蘭某能源公司遭惡意軟件攻擊2022年4月俄羅斯石油巨頭GazpromNeft網(wǎng)站遭黑客攻擊2022年10月親俄黑客組織對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起大規(guī)模攻擊2022年11月黑客成功入侵烏軍戰(zhàn)場(chǎng)指揮系統(tǒng)，戰(zhàn)場(chǎng)數(shù)據(jù)泄露2022年12月俄羅斯黑客試圖入侵北約某國(guó)的大型煉油廠未遂6.工控蜜罐數(shù)據(jù)相關(guān)分析如今，工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展給工業(yè)控制領(lǐng)域帶來(lái)了新的發(fā)展機(jī)遇，與此同時(shí)也帶來(lái)了新的網(wǎng)絡(luò)安全問(wèn)題。蜜罐技術(shù)是增強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力的有效方法，東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)工控蜜罐技術(shù)展開(kāi)了研究。經(jīng)過(guò)多年努力，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)研發(fā)出了可以模擬多種工控協(xié)議和工控設(shè)備并且全面捕獲攻擊者流量的“諦聽(tīng)”工控蜜罐。目前，“諦聽(tīng)”蜜罐支持11種協(xié)議，且已經(jīng)部署在多個(gè)國(guó)家和地區(qū)?！爸B聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)在2021年進(jìn)一步改進(jìn)了基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法(以下簡(jiǎn)稱“識(shí)別方法”)，有效地提高了識(shí)別各類針對(duì)工控網(wǎng)絡(luò)的攻擊流量的效率，并根據(jù)不同類型的攻擊流量制定出更加有效的工控系統(tǒng)防御措施。6.1工控蜜罐全球捕獲流量概況ATGsDevicesDNPModbusEGD等11種協(xié)議，其中，EGD協(xié)議是今年新增的協(xié)議。目前“諦聽(tīng)”工控蜜罐已經(jīng)部署在了中國(guó)華北地區(qū)、中國(guó)華南地區(qū)、東歐地區(qū)、東南亞地區(qū)、美國(guó)東北部等國(guó)內(nèi)外多個(gè)地區(qū)。截止到2022年12月31日，“諦聽(tīng)”蜜罐收集到大量攻擊數(shù)據(jù)。圖6-1、6-2和6-3中展示了經(jīng)過(guò)統(tǒng)計(jì)和分析后的數(shù)據(jù)。下面將對(duì)各個(gè)圖表進(jìn)行簡(jiǎn)要解釋說(shuō)明。圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看出，ATGsDevices、DNP3和Modbus協(xié)議下蜜罐所受攻擊量仍然保持在前三名。但與2021年相比，曾大幅協(xié)議從第二名躍居第一，這表明ATGsDevices協(xié)議受到的關(guān)注大幅度增加。另外，今年新增的EGD協(xié)議具有簡(jiǎn)便高效的特性，其所受攻擊量位于第六位。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展，攻擊者的攻擊方向也在不斷調(diào)整和變化。前四種協(xié)議所受的攻擊量總計(jì)占比接近70%，這表明這些協(xié)議比較受攻擊者的關(guān)注，因此工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求情況，加強(qiáng)這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護(hù)?！爸B聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)收集到的攻擊數(shù)據(jù)的IP來(lái)源進(jìn)行分析，得到了來(lái)自不同國(guó)家和地區(qū)攻擊源的數(shù)量統(tǒng)計(jì)，圖6-2僅展示攻擊量最多的10個(gè)國(guó)家。從圖中可以看到，美國(guó)的攻擊量遙遙領(lǐng)先，甚至超過(guò)了其他9個(gè)國(guó)家攻擊量的總和；排在第二的國(guó)家是荷蘭，其攻擊量雖遠(yuǎn)少于美國(guó)但也處于較高的數(shù)量水平，這在一定程度上表明兩國(guó)攻擊者對(duì)本國(guó)工控設(shè)備的高度關(guān)注。英國(guó)、俄羅斯和德國(guó)的攻擊量相差不大，分別位于第三到五位。從排名第六位的斯洛伐克開(kāi)始，攻擊量顯著減少。對(duì)中國(guó)國(guó)內(nèi)流量來(lái)源的IP地址進(jìn)行相關(guān)分析，列出了IP流量的省份排名，如圖6-3所示，這里僅展示前十名。可以看到，來(lái)自中國(guó)華北地區(qū)的IP流量較多，北京同去年一樣排在了第一位，體現(xiàn)出其作為首都在網(wǎng)絡(luò)安全支撐工作方面的領(lǐng)先地位。山西省躍升至第二位，浙江省由去年的第五名上升至第三名，由此可見(jiàn)山西省和浙江省在網(wǎng)絡(luò)安全方面做出的努力。2022年，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)調(diào)整了已部署的蜜罐，拓展了蜜罐可支持協(xié)議的范圍，未來(lái)將會(huì)與更多高新技術(shù)應(yīng)用進(jìn)行融合，相關(guān)的研究將會(huì)持續(xù)推進(jìn)。6.2工控系統(tǒng)攻擊流量分析“諦聽(tīng)”團(tuán)隊(duì)首先對(duì)來(lái)自不同地區(qū)的蜜罐捕獲的攻擊流量數(shù)據(jù)進(jìn)行初步分析，然后使用識(shí)別方法對(duì)Modbus、Ethernet/IP兩個(gè)應(yīng)用范圍較廣的協(xié)議進(jìn)行攻擊流量檢測(cè)，并從每個(gè)協(xié)議在不同地區(qū)部署的蜜罐中選擇最具代表性的兩個(gè)地區(qū)進(jìn)行攻擊流量數(shù)據(jù)統(tǒng)計(jì)。針對(duì)Modbus協(xié)議，我們選擇了中國(guó)華東地區(qū)和美國(guó)東海岸地區(qū)部署的蜜罐，統(tǒng)計(jì)攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)Netherlands542263.8UnitedStates20084015.0China573599.7UnitedKingdom395849.4Germany727.2Japan62320.7Russia614.4Belgium4834Canada3421Greece攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates8652433.6Netherlands28225.6Germany9.6China7.1UnitedKingdom747.6Singapore4230Belgium3828Canada22Ukraine919.0Japan818.0由表6-1、6-2可知，在攻擊總量來(lái)源方面，荷蘭在中國(guó)華東地區(qū)的攻擊總量顯著高于其他國(guó)家，且遠(yuǎn)高于去年同期數(shù)據(jù)。在美國(guó)東海岸地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量中，美國(guó)仍然保持第一位，且與去年相比呈現(xiàn)上升趨勢(shì)。在攻擊IP數(shù)量方面，美國(guó)仍在兩個(gè)地區(qū)中均排名第一，并遠(yuǎn)超于其他國(guó)家。以表6-2為例，美國(guó)在美國(guó)東海岸地區(qū)的攻擊IP數(shù)量約是排名第二的比利時(shí)的8.7倍。在IP平均攻擊數(shù)方面，荷蘭在兩個(gè)地區(qū)中均處于第一位。針對(duì)Ethernet/IP協(xié)議，我們選擇的是中國(guó)華南地區(qū)和美國(guó)西海岸地區(qū)部署的蜜罐，、6-4所示。攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates4523.8China293.1Kazakhstan553.3Netherlands63.2Germany86Japan616.0India212.0Ukraine11UnitedKingdom11Vienna212.0攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates333694.8ChinaGermany85Netherlands871.1Japan422.0由表6-3、6-4分析可知，在攻擊總量來(lái)源和攻擊IP數(shù)量方面，美國(guó)在兩個(gè)地區(qū)中均位列第一，且遠(yuǎn)超其他國(guó)家。在IP平均攻擊數(shù)方面，哈薩克斯坦在中國(guó)華南地區(qū)排名第一，是排名第二的日本的3.05倍。美國(guó)在美國(guó)西海岸地區(qū)的IP平均攻擊數(shù)最高。通過(guò)上述統(tǒng)計(jì)的Modbus協(xié)議蜜罐和Ethernet/IP協(xié)議蜜罐捕獲的攻擊總量來(lái)源數(shù)據(jù)，可以看出Modbus協(xié)議蜜罐受攻擊的總次數(shù)遠(yuǎn)大于Ethernet/IP協(xié)議蜜罐，推測(cè)其原因?yàn)镸odbus協(xié)議具有公開(kāi)免費(fèi)、開(kāi)源工具多、部署和維護(hù)簡(jiǎn)單等特點(diǎn)，從而當(dāng)前應(yīng)用范圍更廣泛，因此所受攻擊更多。此外，在確定攻擊源的情況下，排名前三的國(guó)家的攻擊方來(lái)源數(shù)占總數(shù)的近90%，可能的原因包括：一是由于這些國(guó)家的公司提供的云服務(wù)器被租賃用于長(zhǎng)期掃描；二是由于這些國(guó)家的安全行業(yè)從業(yè)者及研究人員較多，相關(guān)研究行為較活躍；三是由于這些國(guó)家存在大量惡意攻擊團(tuán)隊(duì)，其對(duì)互聯(lián)網(wǎng)進(jìn)行的惡意攻擊被諦聽(tīng)部署的蜜罐有效誘捕。6.3工控系統(tǒng)攻擊類型識(shí)別“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)提出一種基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法，針對(duì)Modbus、Ethernet/IP協(xié)議蜜罐捕獲的流量數(shù)據(jù)進(jìn)行了攻擊類型識(shí)別。圖6-4和圖6-5分別顯示了對(duì)Modbus和Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識(shí)別結(jié)果。其中的“E”表示Ethernet/IP協(xié)議，其中的“M”表示Modbus協(xié)議，由于國(guó)內(nèi)和國(guó)外的蜜罐程序不同，“E”和“E'”同一編號(hào)表示不同的攻擊類型，“M”和“M'”同一編號(hào)表示不同的攻擊類型，環(huán)形圖中各部分為不同的攻擊類型。Ethernet/IP協(xié)議蜜罐部署地區(qū)為中國(guó)華南地區(qū)和美國(guó)西海岸，兩地區(qū)的經(jīng)濟(jì)發(fā)展迅速，高新技術(shù)產(chǎn)業(yè)發(fā)達(dá)，各種網(wǎng)絡(luò)活動(dòng)較頻繁。蜜罐部署在經(jīng)濟(jì)科技發(fā)達(dá)地區(qū)，便于收集更多、更詳細(xì)的攻擊信息。由圖6-4可知，中國(guó)華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲美國(guó)西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型，其中，E'-1以54%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的主要攻擊類型。由此可見(jiàn)以上攻擊類型是對(duì)Ethernet/IP協(xié)議蜜罐進(jìn)行攻擊的主要手段。Modbus協(xié)議蜜罐部署地區(qū)為中國(guó)華東地區(qū)和美國(guó)東海岸，二者均為工業(yè)發(fā)達(dá)地區(qū)，蜜罐部署在該地區(qū)便于偽裝隱藏，且易于收集更多的攻擊信息。由圖6-5可知，中國(guó)華M'-2、M'-3，且相互之間占比差距較小。由此可見(jiàn)以上攻擊類型是對(duì)Modbus協(xié)議蜜罐進(jìn)行攻擊的主要手段。本團(tuán)隊(duì)對(duì)Ethernet/IP和Modbus的ICS網(wǎng)絡(luò)流量進(jìn)行了解析、建模、評(píng)估，但其中還存在部分未知的攻擊類型，針對(duì)未知的攻擊類型還需進(jìn)一步的研究，以便提供有效的ICS流量檢測(cè)與攻擊預(yù)警，評(píng)估其潛在的攻擊意圖，制定針對(duì)性的防御措施。6.4工控蜜罐與威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析近年來(lái)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)持續(xù)向工業(yè)控制領(lǐng)域擴(kuò)散，工控網(wǎng)絡(luò)也逐漸成為網(wǎng)絡(luò)安全的重要一環(huán)。當(dāng)前工控攻擊具有類型豐富、途徑泛濫、追蹤困難等特點(diǎn)，傳統(tǒng)的被動(dòng)式防御手段“老三樣”——防火墻、查殺病毒、入侵檢測(cè)以及針對(duì)單點(diǎn)的攻擊取證與溯源技術(shù)難以應(yīng)對(duì)高級(jí)持續(xù)性威脅(APT)、新型高危漏洞等復(fù)雜安全威脅，而以威脅情報(bào)(TI)為基礎(chǔ)的分析技術(shù)能夠收集整合全球范圍內(nèi)的分散攻擊與威脅，進(jìn)而采取智能化的攻擊響應(yīng)措施，實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊的防護(hù)與對(duì)抗，本團(tuán)隊(duì)也對(duì)2022全年采集到的大量威脅情報(bào)及蜜罐數(shù)據(jù)進(jìn)行了關(guān)聯(lián)分析。 (https://www.TI)是基于“諦聽(tīng)”威脅情報(bào)中心而研發(fā)的應(yīng)用服務(wù)。威脅情報(bào)中心存有海量威脅情報(bào)數(shù)據(jù)，提供全面準(zhǔn)確、內(nèi)容詳細(xì)的相關(guān)決策支持信息，為行業(yè)系統(tǒng)安全提供保障。面對(duì)復(fù)雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報(bào)搜40索引擎刻不容緩，旨在為工業(yè)、企業(yè)、組織以及個(gè)人提供更加全面的情報(bào)信息，打造以威脅情報(bào)平臺(tái)為基石的網(wǎng)絡(luò)安全空間。2022年“諦聽(tīng)”蜜罐和威脅情報(bào)中心均采集到大量新數(shù)據(jù)，為探尋數(shù)據(jù)間潛在的相關(guān)性，“諦聽(tīng)”團(tuán)隊(duì)計(jì)算威脅情報(bào)數(shù)據(jù)和蜜罐數(shù)據(jù)的重疊部分，并根據(jù)攻擊類型的不同將數(shù)據(jù)分為5類。其中包括代理IP(proxy)、命令執(zhí)行與控制攻擊(commandexecutionandcontrolattacks)、惡意IP(reputation)、垃圾郵件(spamming)和洋蔥路由(tor)。每種類型數(shù)據(jù)與蜜罐數(shù)據(jù)重疊部分在二者中的占比如圖6-6，本團(tuán)隊(duì)對(duì)該圖的分析如下。圖6-6中威脅情報(bào)數(shù)據(jù)來(lái)源于“諦聽(tīng)”威脅情報(bào)中心，該系統(tǒng)所記錄的數(shù)據(jù)為安全網(wǎng)站或安全數(shù)據(jù)庫(kù)中的情報(bào)數(shù)據(jù)，本團(tuán)隊(duì)根據(jù)情報(bào)數(shù)據(jù)攻擊類型不同分別記錄在不同的數(shù)據(jù)表中。而直接在部署在國(guó)內(nèi)外網(wǎng)絡(luò)節(jié)點(diǎn)上的工控蜜罐通過(guò)模擬暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備，開(kāi)放設(shè)備對(duì)應(yīng)工業(yè)網(wǎng)絡(luò)協(xié)議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時(shí)，監(jiān)聽(tīng)捕捉流經(jīng)此