導(dǎo)讀

為順應(yīng)國家形勢，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設(shè)計并實(shí)現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎，并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布了2018年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書，讀者可以通過報告了解2018年典型工控安全標(biāo)準(zhǔn)、法規(guī)分析及典型工控安全事件分析，同時報告對工控系統(tǒng)漏洞、工控系統(tǒng)攻擊、聯(lián)網(wǎng)工控設(shè)備進(jìn)行了闡釋及分析。

一、前言

工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”，超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動化作業(yè)。隨著經(jīng)濟(jì)與技術(shù)發(fā)展，工業(yè)控制系統(tǒng)在應(yīng)對傳統(tǒng)功能安全威脅的同時，也面臨越來越多的病毒、木馬、黑客入侵等工控信息安全威脅。

******在黨的十九大報告中指出，“堅持總體國家安全觀。統(tǒng)籌發(fā)展和安全，增強(qiáng)憂患意識，做到居安思危，是我們黨治國理政的一個重大原則?！惫I(yè)信息安全作為國家安全的重要組成部分，事關(guān)經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定和國家安全。當(dāng)前，隨著云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，工業(yè)信息安全形勢日趨嚴(yán)峻，亟須加快提升工業(yè)信息安全保障能力，為工業(yè)生產(chǎn)安全和兩化融合健康發(fā)展撐起“保護(hù)傘”，為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施筑牢“防護(hù)墻”。

“十三五”規(guī)劃開始，網(wǎng)絡(luò)空間安全已上升至國家安全戰(zhàn)略，工控網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全的中的薄弱而又至關(guān)重要部分，全方位感知工控系統(tǒng)的安全態(tài)勢成為亟待解決的重要問題之一。 2017年底，國家工業(yè)和信息化部制定并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》，為全面落實(shí)國家安全戰(zhàn)略，提升工業(yè)企業(yè)工控安全防護(hù)能力，加快我國工控安全保障體系建設(shè)，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)健康發(fā)展指明了道路。2018年3月，為加強(qiáng)黨中央對涉及黨和國家事業(yè)全局的重大工作的集中統(tǒng)一領(lǐng)導(dǎo)，強(qiáng)化決策和統(tǒng)籌協(xié)調(diào)職責(zé)，根據(jù)中共中央印發(fā)了《深化黨和國家機(jī)構(gòu)改革方案》，將中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改為中央網(wǎng)絡(luò)安全和信息化委員會。為順應(yīng)國家形勢，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設(shè)計并實(shí)現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（http://www.ditecting.com），并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布了2018年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書，讀者可以通過報告了解2018年典型工控安全標(biāo)準(zhǔn)、法規(guī)分析及典型工控安全事件分析，同時報告對工控系統(tǒng)漏洞、工控系統(tǒng)攻擊、聯(lián)網(wǎng)工控設(shè)備進(jìn)行了闡釋及分析，有助于全面了解工業(yè)控制系統(tǒng)安全現(xiàn)狀，多方位感知工業(yè)控制系統(tǒng)安全態(tài)勢，為研究工控安全相關(guān)人員提供參考。

二、2018年典型工控安全政策法規(guī)分析

2018年，我國在信息安全和產(chǎn)業(yè)安全體系建設(shè)等方面均加快了腳步，工業(yè)控制系統(tǒng)信息安全政策法規(guī)日趨完善，工業(yè)企業(yè)越發(fā)重視，市場規(guī)模逐步釋放。

2018年是工控信息安全領(lǐng)域政策、法規(guī)密集發(fā)布的一年，相信在這些政策法規(guī)的引領(lǐng)下，中國的工控信息安全事業(yè)會走向深入，成為確保國家安全的重要組成部分。下面就介紹這些重量級的發(fā)布。

2.1 《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018-2020年）》

2018年5月31日，根據(jù)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》），2018-2020年是我國工業(yè)互聯(lián)網(wǎng)建設(shè)起步階段，對未來發(fā)展影響深遠(yuǎn)。為貫徹落實(shí)《指導(dǎo)意見》要求，深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，推動實(shí)體經(jīng)濟(jì)與數(shù)字經(jīng)濟(jì)深度融合，制訂本行動計劃。到2020年底，初步建成工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和產(chǎn)業(yè)體系。

2.2 《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則公告》

認(rèn)監(jiān)委和國家互聯(lián)網(wǎng)信息辦公室根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國認(rèn)證認(rèn)可條例》和《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）>的公告》，發(fā)布了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施要求的公告。

2.3 《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》

2018年6月27日，公安部發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》?！兑庖姼濉诽岢?，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，對網(wǎng)絡(luò)實(shí)施分等級保護(hù)、分等級監(jiān)管。提出了網(wǎng)絡(luò)安全等級保護(hù)工作的基本原則：應(yīng)當(dāng)按照突出重點(diǎn)、主動防御、綜合防控的原則，建立健全網(wǎng)絡(luò)安全防護(hù)體系，重點(diǎn)保護(hù)涉及國家安全、國計民生、社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、運(yùn)行安全和數(shù)據(jù)安全。

2.4 國家標(biāo)準(zhǔn)《電力信息系統(tǒng)安全檢查規(guī)范》

為規(guī)范電力信息系統(tǒng)安全的檢查流程、內(nèi)容和方法，防范網(wǎng)絡(luò)與信息安全攻擊對電力信息系統(tǒng)造成的侵害，保障電力信息系統(tǒng)的安全穩(wěn)定運(yùn)行，保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全，依據(jù)國家有關(guān)信息安全和電力行業(yè)信息系統(tǒng)安全的規(guī)定和要求，制定國家標(biāo)準(zhǔn)《電力信息系統(tǒng)安全檢查規(guī)范》。該標(biāo)準(zhǔn)于2018年3月15日發(fā)布，2018年10月1日起開始實(shí)施。

2.5 《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》

2018年9月13日，國家能源局發(fā)布了《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》?！兑庖姟芬?*****關(guān)于網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要論述為指導(dǎo)，全面貫徹落實(shí)黨中央、國務(wù)院關(guān)于網(wǎng)絡(luò)安全工作決策部署，以及《網(wǎng)絡(luò)安全法》《電力監(jiān)管條例》等法律法規(guī)要求，對提升電力行業(yè)網(wǎng)絡(luò)安全防護(hù)能力，筑牢堅強(qiáng)網(wǎng)絡(luò)安全防御體系，防范和遏制重大網(wǎng)絡(luò)安全事件，保障電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)，具有重要意義。

2.6 《GB/T36627-2018 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》

2018年9月17日，由上海市信息安全測評認(rèn)證中心參與編制的國家標(biāo)準(zhǔn)《GB/T 36627-2018 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》正式發(fā)布，該標(biāo)準(zhǔn)將于2019年4月1日正式實(shí)施。

此次發(fā)布的國家標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)安全等級保護(hù)測評中的相關(guān)測評技術(shù)的分類和定義，提出了技術(shù)性測試評估的要素、原則，并對測評結(jié)果的分析和應(yīng)用提出了建議。該標(biāo)準(zhǔn)適用于測評機(jī)構(gòu)開展等級測評工作，以及主管部門及運(yùn)營使用單位開展安全評估。

2.7 《國家智能制造標(biāo)準(zhǔn)體系建設(shè)指南（2018年版）》

2018年10月，按照標(biāo)準(zhǔn)體系動態(tài)更新機(jī)制，扎實(shí)構(gòu)建滿足產(chǎn)業(yè)發(fā)展需求、先進(jìn)適用的智能制造標(biāo)準(zhǔn)體系，推動裝備質(zhì)量水平的整體提升，工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會共同組織制定了《國家智能制造標(biāo)準(zhǔn)體系建設(shè)指南（2018年版）》。

2.8 《關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見》

2018年5月31日，國家發(fā)展改革委、國家能源局、生態(tài)環(huán)境部、國防科工局四部委聯(lián)合發(fā)布《關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見》。《意見》指出，將網(wǎng)絡(luò)安全納入核電安全管理體系，加強(qiáng)能力建設(shè)，保障核電廠網(wǎng)絡(luò)安全。開展網(wǎng)絡(luò)安全能力建設(shè)，做好網(wǎng)絡(luò)等級保護(hù)測評，開展網(wǎng)絡(luò)安全培訓(xùn)及評估工作。

三、2018典型工控安全事件分析

近年來，隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)環(huán)境變得更加開放與多變，工業(yè)控制系統(tǒng)則相對變得更加脆弱，工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足。工業(yè)控制系統(tǒng)的安全性面臨巨大的挑戰(zhàn)?！爸B聽”團(tuán)隊匯總了2018典型工控安全事件，以了解工業(yè)控制系統(tǒng)所面臨的安全威脅，促進(jìn)國內(nèi)工控網(wǎng)絡(luò)安全事業(yè)不斷發(fā)展。

3.1 羅克韋爾工控設(shè)備曝多項嚴(yán)重漏洞

2018年3月，思科Talos安全研究團(tuán)隊發(fā)文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列可編程邏輯控制器( PLC )中存在多項嚴(yán)重安全漏洞，這些漏洞可用來發(fā)起拒絕服務(wù)攻擊、篡改設(shè)備的配置和梯形邏輯、寫入或刪除內(nèi)存模塊上的數(shù)據(jù)等。該系列可編程邏輯控制器被各關(guān)鍵基礎(chǔ)設(shè)施部門廣泛運(yùn)用于工業(yè)控制系統(tǒng)（ICS）的執(zhí)行過程控制，一旦被利用將會導(dǎo)致嚴(yán)重的損害。思科Talos團(tuán)隊建議使用受影響設(shè)備的組織機(jī)構(gòu)將固件升級到最新版本，并盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)直接暴露在互聯(lián)網(wǎng)中。

3.2 俄黑客對美國核電站和供水設(shè)施攻擊事件

2018年3月，美國計算機(jī)應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A，詳細(xì)描述了俄羅斯黑客針對美國某發(fā)電廠的網(wǎng)絡(luò)攻擊事件。通告稱俄黑客組織通過（1）收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼；（2）盜用合法賬號發(fā)送魚叉式釣魚電子郵件；（3）在受信任網(wǎng)站插入JavaScript或PHP代碼進(jìn)行水坑攻擊；（4）利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息；（5）構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關(guān)計算機(jī)的詳細(xì)信息，并在該計算機(jī)上保存有關(guān)用戶帳戶的信息。此安全事件告誡我們：加強(qiáng)員工安全意識教育和管理是十分必要的，如密碼定期更換且不復(fù)用，安裝防病毒軟件并確保及時更新等。

3.3 俄羅斯黑客入侵美國電網(wǎng)

2018年7月，一位美國國土安全部官員稱：“我們跟蹤到一個行蹤隱秘的俄羅斯黑客，該人有可能為政府資助組織工作。他先是侵入了主要供應(yīng)商的網(wǎng)絡(luò)，并利用前者與電力公司建立的信任關(guān)系輕松侵入到電力公司的安全網(wǎng)絡(luò)系統(tǒng)?！?/p>

11月30日，火眼的分析員Alex Orleans指出“目前仍然有瞄準(zhǔn)美國電網(wǎng)的俄羅斯網(wǎng)絡(luò)間諜活動，電網(wǎng)仍然會遭受到不斷的攻擊”，火眼（FireEye）已經(jīng)識別出一組俄羅斯網(wǎng)絡(luò)集團(tuán)通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進(jìn)行試探和攻擊。這組黑客依賴于現(xiàn)成黑客工具和自制后門技術(shù)的組合，盡管美國的電網(wǎng)已經(jīng)通過NERC發(fā)布的一系列CIP 標(biāo)準(zhǔn)增強(qiáng)了網(wǎng)絡(luò)防御能力。但是并不是每一處的電網(wǎng)組成設(shè)施都固若金湯，比如部分承包給本地企業(yè)的地方電網(wǎng)的網(wǎng)絡(luò)防御能力就非常差，這留給了來自俄羅斯（包括伊朗和朝鮮）的網(wǎng)絡(luò)黑客們可乘之機(jī)。

與中國情況不同，美國的電網(wǎng)是由很多獨(dú)立的企業(yè)管控，在安全性、可控性方面比較弱。入侵者攻擊該系統(tǒng)不受保護(hù)的弱點(diǎn)，而數(shù)以百計的承包商和分包商毫無防備。所以連美國官方都無法統(tǒng)計有多少企業(yè)和供應(yīng)商被攻擊并蒙受損失。

3.4 臺積電遭勒索病毒入侵，致三個生產(chǎn)基地停擺

8月3日晚間，臺積電位于臺灣新竹科學(xué)園區(qū)的12英寸晶圓廠和營運(yùn)總部的部分生產(chǎn)設(shè)備受到魔窟勒索病毒W(wǎng)annaCry勒索病毒的一個變種感染，具體現(xiàn)象是電腦藍(lán)屏，鎖各類文檔、數(shù)據(jù)庫，設(shè)備宕機(jī)或重復(fù)開機(jī)。幾個小時之內(nèi)，臺積電位于臺中科學(xué)園區(qū)的Fab 15廠，以及臺南科學(xué)園區(qū)的Fab 14廠也陸續(xù)被感染，這代表臺積電在臺灣北、中、南三處重要生產(chǎn)基地，同步因為病毒入侵而導(dǎo)致生產(chǎn)線停擺。經(jīng)過應(yīng)急處置，截止8月5日下午2點(diǎn)，該公司約80%受影響設(shè)備恢復(fù)正常，至8月6日下午，生產(chǎn)線已經(jīng)全部恢復(fù)生產(chǎn)。損失高達(dá)26億。

此次事件原因是員工在安裝新設(shè)備的過程時，沒有事先做好隔離和離線安全檢查工作，導(dǎo)致新設(shè)備連接到公司內(nèi)部網(wǎng)絡(luò)后，病毒快速傳播，并最終影響整個生產(chǎn)線。

3.5 西門子PLC、SCADA等工控系統(tǒng)曝兩個高危漏洞，影響廣泛

8月7日，西門子發(fā)布官方公告稱，其用于SIMATIC STEP7和SIMATIC WinCC產(chǎn)品的TIA Portal（Totally Integrated Automation Portal全集成自動化門戶）軟件存在兩個高危漏洞（CVE-2018-11453和CVE-2018-11454）。影響范圍包括兩款產(chǎn)品V10、V11、V12、V13的所有版本，以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西門子的一款可讓企業(yè)不受限制地訪問公司自動化服務(wù)的軟件。由于TIA Portal廣泛適用于西門子PLC（如S7-1200、S7-300/400、S7-1500等）、SCADA等工控系統(tǒng)，以上兩個漏洞將對基于西門子產(chǎn)品的工業(yè)控制系統(tǒng)環(huán)境造成重大風(fēng)險。據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測發(fā)現(xiàn)，我國可能受到該漏洞影響的聯(lián)網(wǎng)西門子STEP 7、Wincc產(chǎn)品達(dá)138個。

本次發(fā)現(xiàn)的兩個高危漏洞中，CVE-2018-11453可讓攻擊者在得到訪問本地文件系統(tǒng)的權(quán)限后，通過插入特制文件實(shí)現(xiàn)對TIA Portal的拒絕服務(wù)攻擊或執(zhí)行任意代碼；CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯誤文件權(quán)限配置，操縱目錄內(nèi)的資源（如添加惡意負(fù)載等），并在該資源被合法用戶發(fā)送到目標(biāo)設(shè)備后實(shí)現(xiàn)遠(yuǎn)程控制。

3.6 Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發(fā)布通報

2018年9月，Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發(fā)布通報稱， Rockwell的RSLinx Classic軟件存在三個高危漏洞（CVE-2018-14829、CVE-2018-14821和CVE-2018-14827），影響范圍包括RSLinx Classic 4.00.01及之前版本，一旦被成功利用可能實(shí)現(xiàn)任意代碼執(zhí)行甚至導(dǎo)致設(shè)備系統(tǒng)崩潰。

RSLinx Classic是一款Rockwell開發(fā)的專用工業(yè)軟件，用于實(shí)現(xiàn)對Rockwell相關(guān)設(shè)備、網(wǎng)絡(luò)產(chǎn)品的統(tǒng)一配置管理，具有數(shù)據(jù)采集、控制器編程、人機(jī)交互等功能，廣泛應(yīng)用于能源、制造、污水處理等領(lǐng)域。

這三個高危漏洞的利用方式都是通過44818端口進(jìn)行遠(yuǎn)程攻擊或破壞，其中CVE-2018-14829為基于棧的緩沖區(qū)溢出漏洞，攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包，實(shí)現(xiàn)在主機(jī)上的任意代碼執(zhí)行、讀取敏感信息或?qū)е孪到y(tǒng)崩潰等；CVE-2018-14821為基于堆的緩沖區(qū)溢出漏洞，攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包，導(dǎo)致應(yīng)用程序終止運(yùn)行；CVE-2018-14827為資源耗盡漏洞，攻擊者可以通過發(fā)送特制的Ethernet/IP數(shù)據(jù)包，導(dǎo)致應(yīng)用程序崩潰。

3.7 意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊

12月10日，意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊，主要影響了其在中東的服務(wù)器，包括沙特阿拉伯、阿拉伯聯(lián)合酋長國和科威特，造成公司10%的主機(jī)數(shù)據(jù)被破壞。Saipem發(fā)布公告證實(shí)此次網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)资荢hamoon惡意軟件的變種。

公告顯示，Shamoon惡意軟件襲擊了該公司在中東，印度等地的服務(wù)器，導(dǎo)致數(shù)據(jù)和基礎(chǔ)設(shè)施受損，公司通過備份緩慢的恢復(fù)數(shù)據(jù)，沒有造成數(shù)據(jù)丟失，此次攻擊來自印度金奈，但攻擊者的身份尚不明確。

Shamoon主要“功能”為擦除主機(jī)數(shù)據(jù)，并向受害者展示一條消息，通常與政治有關(guān)，另外Shamoon還包括一個功能完備的勒索軟件模塊擦拭功能。攻擊者獲取被感染計算機(jī)網(wǎng)絡(luò)的管理員憑證后，利用管理憑證在組織內(nèi)廣泛傳播擦除器。然后在預(yù)定的日期激活磁盤擦除器，擦除主機(jī)數(shù)據(jù)。

3.8 施耐德聯(lián)合ICS-CERT發(fā)布高危漏洞

2018年12月，施耐德電氣有限公司（Schneider Electric SA）和CNCERT下屬的工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心ICS-CERT發(fā)布通報稱，Modicon M221全系PLC存在數(shù)據(jù)真實(shí)性驗證不足高危漏洞（CVE-2018-7798），一旦被成功利用可遠(yuǎn)程更改PLC的IPv4配置致使通信異常。

Modicon M221全系PLC是施耐德電氣有限公司所設(shè)計的可編程邏輯控制器，可通過以太網(wǎng)和Modbus協(xié)議進(jìn)行網(wǎng)絡(luò)通訊。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS協(xié)議的網(wǎng)絡(luò)配置模塊實(shí)現(xiàn)不合理，未對數(shù)據(jù)真實(shí)性進(jìn)行充分驗證，導(dǎo)致攻擊者可遠(yuǎn)程更改IPv4配置參數(shù)，例如IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)等，從而攔截目標(biāo)PLC的網(wǎng)絡(luò)流量。

四、工控系統(tǒng)安全漏洞概況

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是兩化融合以及物聯(lián)網(wǎng)的快速發(fā)展，越來越多的通用協(xié)議、硬件和軟件在工業(yè)控制系統(tǒng)產(chǎn)品中采用，并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，使得針對工業(yè)控制系統(tǒng)的攻擊行為大幅度增長。其中，最常見的攻擊方式就是利用工業(yè)控制系統(tǒng)的漏洞，PLC(Programmable Logic Controller，可編程邏輯控制器)、DCS(Distributed Control System，分布式控制系統(tǒng))、SCADA(Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)) 乃至應(yīng)用軟件均被發(fā)現(xiàn)存在大量信息安全漏洞，如 ABB 施耐德電(Schneider)、通用電氣(GE)、研華科技(Advantech)及羅克韋爾(Rockwell)等工業(yè)控制系統(tǒng)廠商產(chǎn)品均被發(fā)現(xiàn)包含各種信息安全漏洞。

圖4-1 2000-2018年工控漏洞走勢圖（數(shù)據(jù)來源CNVD、“諦聽”）

根據(jù)CNVD（國家信息安全漏洞共享平臺）和“諦聽”的數(shù)據(jù)，2008-2018年工控漏洞走勢如圖4-1所示。從圖中可以看出，2010年之后工控漏洞數(shù)量顯著增長，出現(xiàn)此趨勢的主要原因是2010年后工業(yè)控制系統(tǒng)安全問題的關(guān)注度日益增高。

圖4-2 工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖（數(shù)據(jù)來源CNVD、“諦聽”）

如圖4-2是工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖，由圖中可知，高危工控安全漏洞占所有漏洞中的15%。截至2018年12月31日，2018年新增工控系統(tǒng)行業(yè)漏洞125個，其中高危漏洞19個，中危漏洞2個，低危漏洞104個。這些數(shù)據(jù)都表明，工控系統(tǒng)存在巨大的潛在安全風(fēng)險，需要引起高度重視。

五、聯(lián)網(wǎng)工控設(shè)備分布

“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持26種服務(wù)的協(xié)議指紋識別，圖5-1展示了“諦聽“網(wǎng)絡(luò)安全團(tuán)隊識別的工控協(xié)議相關(guān)信息及2018年感知的IP數(shù)量。了解這些協(xié)議的詳細(xì)信息請參照“諦聽”網(wǎng)絡(luò)安全團(tuán)隊以前發(fā)布的工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢分析白皮書，或登錄查看，此處不再贅述。

圖5-1 “諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎支持的協(xié)議

“諦聽”官方網(wǎng)站（www.ditecing.com）公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請與東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊直接聯(lián)系獲取。根據(jù)“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù)，經(jīng)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊分析，得出如圖5-2、5-3和5-4的可視化展示，下面做簡要說明。

圖5-2 “諦聽”暴露工控設(shè)備總覽全球視角

如圖5-2所示是以全球視角分析工控設(shè)備的暴露情況（Demo展示），圖5-3為全球工控設(shè)備暴露Top-10國家。由于 2018 年“諦聽”團(tuán)隊新增多個協(xié)議的解析工具，并且提高了對快掃結(jié)果的深度交互和蜜罐識別能力，因此國家排名較過去有較大變化。

圖5-3 全球工控設(shè)備暴露Top-10

全球范圍內(nèi)，美國作為世界上最發(fā)達(dá)的工業(yè)化國家暴露出的工控設(shè)備仍然保持第一，巴西近年工業(yè)產(chǎn)值增長迅速位居第二，韓國在電子、半導(dǎo)體等產(chǎn)業(yè)均處于領(lǐng)先水平位居第三，南非、法國等緊隨其后，中國排名全球第六位。以下著重介紹國內(nèi)及美國、巴西、南非的工控設(shè)備暴露情況。

1.國內(nèi)工控設(shè)備暴露情況

中國暴露工控設(shè)備數(shù)量在全球排名第六。工業(yè)是也逐漸發(fā)展為中國經(jīng)濟(jì)的重要支柱，經(jīng)過幾十年的發(fā)展，中國基本上建立了部門比較齊全、以委托加工型態(tài)為主體、以高新科技產(chǎn)業(yè)中的信息電子產(chǎn)業(yè)、制造業(yè)中的鋼鐵、石油和紡織業(yè)等為支柱的工業(yè)體系，工控系統(tǒng)面臨的安全風(fēng)險應(yīng)該引起足夠的重視。

圖5-4 國內(nèi)暴露各協(xié)議占比

在全國暴露的工控設(shè)備數(shù)量圖5-5中可以看到，臺灣地區(qū)暴露的工控設(shè)備最多。工業(yè)是臺灣經(jīng)濟(jì)的重要支柱，經(jīng)過幾十年的發(fā)展，臺灣基本上建立了部門比較齊全、以委托加工型態(tài)為主體、以高新科技產(chǎn)業(yè)中的信息電子產(chǎn)業(yè)、制造業(yè)中的鋼鐵、石油和紡織業(yè)等為支柱的工業(yè)體系，因此工控系統(tǒng)面臨較大安全風(fēng)險。

香港提出“再工業(yè)化”，近年來大力推動工業(yè)發(fā)展，暴露的工控設(shè)備數(shù)量位居國內(nèi)第二。從成立“智能制造技術(shù)展示中心”到“智能產(chǎn)業(yè)聯(lián)盟”，從創(chuàng)建“知創(chuàng)空間”，到推出“工業(yè)4.0先導(dǎo)項目”，為協(xié)助制造企業(yè)轉(zhuǎn)型升級，香港推動工業(yè)產(chǎn)業(yè)多元化，制造業(yè)近年來蓬勃發(fā)展。

圖5-5 國內(nèi)各地區(qū)暴露工控設(shè)備數(shù)量

大陸范圍內(nèi)廣東省暴露工控設(shè)備數(shù)量最多。廣東以制造業(yè)為主，發(fā)揮毗鄰港澳的優(yōu)勢，深化先進(jìn)制造業(yè)方面的區(qū)域合作，具有食品、紡織業(yè)、機(jī)械、家用電器、汽車、醫(yī)藥、建材、冶金工業(yè)體系。作為廣東省支柱產(chǎn)業(yè)的裝備制造業(yè)、汽車制造業(yè)平穩(wěn)快速發(fā)展。同時，廣東省倡導(dǎo)傳統(tǒng)制造業(yè)企業(yè)加快推進(jìn)智能化改造，智能手機(jī)、家電等行業(yè)處于領(lǐng)先水平。廣東省是經(jīng)濟(jì)的核心發(fā)展區(qū)，卻有很大的安全隱患，可見加強(qiáng)此地區(qū)的安全服務(wù)是當(dāng)務(wù)之急。

北京市走新型工業(yè)化道路，加快形成以高新技術(shù)產(chǎn)業(yè)和現(xiàn)代制造業(yè)為主體，以優(yōu)化改造后的傳統(tǒng)優(yōu)勢產(chǎn)業(yè)為基礎(chǔ)，以都市型工業(yè)為重要補(bǔ)充的新型工業(yè)結(jié)構(gòu)。工業(yè)結(jié)構(gòu)顯著改善，工業(yè)由傳統(tǒng)重工業(yè)發(fā)展到以汽車、電子為主導(dǎo)的現(xiàn)代制造業(yè)。在軟件、集成電路、計算機(jī)和網(wǎng)絡(luò)、通信、生物醫(yī)藥、能源環(huán)保等重點(diǎn)領(lǐng)域形成國內(nèi)優(yōu)勢產(chǎn)業(yè)集群。北京市成為大陸地區(qū)工控設(shè)備暴露第二多地區(qū)。

長江三角洲地區(qū)暴露數(shù)量僅次于北京。長三角地區(qū)（江蘇浙江全省和上海市）是我國經(jīng)濟(jì)最發(fā)達(dá)、產(chǎn)業(yè)配套最完善、整體競爭力最強(qiáng)的地區(qū)。隨著工業(yè)化進(jìn)程的不斷加快，長三角地區(qū)三大產(chǎn)業(yè)之間的比例關(guān)系進(jìn)一步優(yōu)化。上海將發(fā)展現(xiàn)代服務(wù)業(yè)和先進(jìn)制造業(yè)放在優(yōu)先地位；浙江抓住產(chǎn)業(yè)結(jié)構(gòu)調(diào)整的機(jī)遇，著力提升先進(jìn)制造業(yè)的競爭力，加快承擔(dān)國際產(chǎn)業(yè)轉(zhuǎn)移；江蘇以發(fā)展現(xiàn)代制造業(yè)來增強(qiáng)自主創(chuàng)業(yè)能力，堅持以信息化帶動工業(yè)化，促進(jìn)信息技術(shù)和信息產(chǎn)業(yè)的快速發(fā)展，推進(jìn)信息技術(shù)在各行業(yè)各領(lǐng)域的普及和應(yīng)用。同時，江蘇還要建設(shè)現(xiàn)代國際制造業(yè)基地，有選擇、高起點(diǎn)地承接國際產(chǎn)業(yè)。

東北地區(qū)作為中國工業(yè)的搖籃，遼寧、吉林、黑龍江三省一度成為中國經(jīng)濟(jì)的火車頭。東北是中國最重要的工業(yè)基地之一，東北地區(qū)在構(gòu)建社會主義和諧社會中起著舉足輕重地作用，已形成以鋼鐵、機(jī)械、石油、化工等為核心的完整工業(yè)體系。工業(yè)區(qū)由南向北逐步推進(jìn)，除原有的沈陽—撫順—鞍山—本溪重工業(yè)區(qū)外，還出現(xiàn)了以機(jī)械、化工為主的旅大工業(yè)區(qū)，以煤炭、化工等為主的遼西走廊工業(yè)區(qū)，以機(jī)械、化工、造紙等為主的長春—吉林中部工業(yè)區(qū)，以電機(jī)、石油、機(jī)械工業(yè)等為主的哈爾濱—大慶—齊齊哈爾工業(yè)區(qū)，以煤炭—森林工業(yè)為主的黑龍江西部工業(yè)區(qū)等，另外東北也是中國主要的軍工業(yè)基地，軍工關(guān)系到一個國家的安全命脈，所以更易成為首要攻擊的目標(biāo)。

2.國際工控設(shè)備暴露情況

國際工控設(shè)備的暴露情況以美國、巴西和南非為例進(jìn)行簡要介紹。美國作為世界上最發(fā)達(dá)的工業(yè)化國家暴露的工控設(shè)備最多。美國企業(yè)、政府、科研機(jī)構(gòu)相互聯(lián)手，主導(dǎo)著全球網(wǎng)絡(luò)信息技術(shù)和產(chǎn)業(yè)的發(fā)展進(jìn)程，包括英特爾、IBM、高通、思科、蘋果、微軟、甲骨文、谷歌等一批IT巨頭控制著全球網(wǎng)絡(luò)信息產(chǎn)業(yè)鏈的主干，同時在半導(dǎo)體（集成電路）、通信網(wǎng)絡(luò)、操作系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)庫、搜索引擎、云計算、大數(shù)據(jù)技術(shù)等關(guān)鍵技術(shù)領(lǐng)域也占據(jù)明顯的先發(fā)優(yōu)勢。在互聯(lián)網(wǎng)的新時代背景下，工業(yè)化遇上了信息化，美國倡導(dǎo)“工業(yè)互聯(lián)網(wǎng)”，將智能設(shè)備、人和數(shù)據(jù)連接起來，通過互聯(lián)網(wǎng)，實(shí)現(xiàn)內(nèi)外服務(wù)的網(wǎng)絡(luò)化，并以智能的方式利用這些交換的數(shù)據(jù)，形成開放而全球化的工業(yè)網(wǎng)絡(luò)。在制造業(yè)巨頭通用電氣的領(lǐng)導(dǎo)下，美國五家行業(yè)龍頭企業(yè)聯(lián)手組建了工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)，將工業(yè)互聯(lián)網(wǎng)推廣開來，以促進(jìn)信息化和工業(yè)化的深度融合。

圖5-6 美國暴露各工控協(xié)議占比

同時，美國的網(wǎng)絡(luò)空間軍事力量建設(shè)強(qiáng)大，已經(jīng)具備全球網(wǎng)絡(luò)空間作戰(zhàn)控制能力。美國一直大規(guī)模發(fā)展網(wǎng)絡(luò)監(jiān)控和攻防力量，在不斷提升國家的網(wǎng)絡(luò)能力的同時，也在監(jiān)聽其他國家的網(wǎng)絡(luò)活動，收集情報。期諾登曝光“棱鏡門”事件后，美國也絲毫沒有放松網(wǎng)絡(luò)空間軍事力量建設(shè)。正因如此，美國也成為眾矢之的，頻繁遭受有組織的犯罪集團(tuán)或國家級的網(wǎng)絡(luò)戰(zhàn)攻擊。據(jù)美媒報道，由伊朗支持的黑客集團(tuán)，一直對美國能源、金融、水利、電力等行業(yè)進(jìn)行網(wǎng)絡(luò)攻擊，也曾成功地獲取美國企業(yè)的控制系統(tǒng)軟件權(quán)限，足以破壞石油與天然氣管道設(shè)備。

巴西工控設(shè)備暴露數(shù)量位居第二。巴西的經(jīng)濟(jì)非常發(fā)達(dá)，在整個拉美洲地區(qū)，巴西的經(jīng)濟(jì)是首位的。巴西在70年代建成了比較完整的工業(yè)體系，主要工業(yè)部門有鋼鐵、汽車、造船、石油、水泥、化工、冶金、電力、紡織、建筑等。核電、通訊、電子、飛機(jī)制造、軍工等已跨入世界先進(jìn)國家的行列。在第二次世界大戰(zhàn)后，為改變單一的經(jīng)濟(jì)結(jié)構(gòu)，政府加快了工業(yè)化的步伐。巴西政府加快了工業(yè)化的步伐。巴西的鐵礦儲量大，質(zhì)地優(yōu)良，產(chǎn)量和出口量都居世界前列。在現(xiàn)代工業(yè)方面，鋼鐵，造船，汽車，飛機(jī)制造等已經(jīng)躍居世界重要生產(chǎn)國家的行列。巴西是南美鋼鐵大國，為世界第六大產(chǎn)鋼國，鋼材出口達(dá)1200萬噸，占全國鋼材總量的54%。也是拉美第一、世界第九大汽車生產(chǎn)國。

由圖5-8所示，圣保羅（Sao Paulo）暴露的工控設(shè)備數(shù)量極其突出。由于圣保羅是巴西最大的城市和最大的工業(yè)中心，大型工業(yè)企業(yè)有3000多家，工人達(dá)200余萬，整體工業(yè)實(shí)力雄踞南美諸城市之首。圣保羅州盛產(chǎn)棉花、稻米和咖啡，所以作為州首府的圣保羅市的工業(yè)以棉紡、糧食加工、咖啡加工的傳統(tǒng)工業(yè)為主。后來，逐漸發(fā)展了冶金、機(jī)械、汽車、電力、食品、水泥、化學(xué)、橡膠、煙草、造紙等工業(yè)，而這些工業(yè)部門能夠大力發(fā)展的主要原因是城市附近有豐富的水力資源，工業(yè)原料的大部分可從圣保羅州及附近地區(qū)獲得。近二三十年來，圣保羅又建有巴西電子工業(yè)中心、汽車工業(yè)基地和全國最大的煉油廠。這也說明了越是重點(diǎn)的經(jīng)濟(jì)發(fā)展區(qū)，工業(yè)發(fā)展越繁榮的地區(qū)，工控系統(tǒng)的暴露數(shù)量越多。

圖5-8巴西各地區(qū)暴露工控設(shè)備數(shù)量

南非是非洲經(jīng)濟(jì)最發(fā)達(dá)的國家，經(jīng)濟(jì)發(fā)展水平較高，基礎(chǔ)設(shè)施良好，資源豐富，國內(nèi)生產(chǎn)總值、對外貿(mào)易額均占非洲之首。南非擁有非洲最先進(jìn)的交通、電力、通訊等工業(yè)基礎(chǔ)設(shè)施。制造業(yè)、建筑業(yè)、能源業(yè)和礦業(yè)是南非工業(yè)四大部門。主要產(chǎn)品有鋼鐵、金屬制品、化工、運(yùn)輸設(shè)備、機(jī)器制造、食品加工、紡織、服裝等。鋼鐵工業(yè)是南非制造業(yè)的支柱，擁有六大鋼鐵聯(lián)合公司、130多家鋼鐵企業(yè)。南非已成為世界最大的黃金生產(chǎn)國和出口國。發(fā)電量占全非洲的60%。圖5-8中可發(fā)現(xiàn)用于電氣電力行業(yè)的自動化系統(tǒng)通信標(biāo)準(zhǔn)IEC 60870-5-104暴露占比最大，也說明了南非的電力、交通等基礎(chǔ)設(shè)施發(fā)展繁榮。

圖5-9 南非暴露各工控協(xié)議占比

由圖5-4、5-6、5-7、5-9可見，對于中國、美國、南非、巴西幾個工控設(shè)備暴露數(shù)量較多的幾個國家而言，使用占比最多的是Tridium Niagara Fox，因其獨(dú)創(chuàng)的“Niagara Framework”框架，可以集成、連接各種智能設(shè)備和系統(tǒng)，而無需考慮它們的制造廠家和所使用的協(xié)議，形成一個統(tǒng)一的平臺，給客戶創(chuàng)造價值而受到全球大部分客戶的青睞。

同樣使用占比較高的工控服務(wù)為Modbus協(xié)議，Modbus協(xié)議現(xiàn)屬于施耐德公司，是全球第一個真正用于工業(yè)現(xiàn)場的總線協(xié)議，因其公開發(fā)表無版稅要求，工業(yè)網(wǎng)絡(luò)部署相對容易，對供應(yīng)商來說，修改移動原生的位元或字節(jié)沒有很多限制等優(yōu)點(diǎn)，得到全球的廣泛應(yīng)用。

常用于電氣電力行業(yè)的自動化系統(tǒng)通信標(biāo)準(zhǔn)IEC 60870-5-104使用占比也較高（南非尤為明顯）。IEC 60870-5-104是國際電工委員會制定的一個規(guī)范，用于適應(yīng)和引導(dǎo)電力系統(tǒng)調(diào)度自動化的發(fā)展，規(guī)范調(diào)度自動化及遠(yuǎn)動設(shè)備的技術(shù)性能。IEC 60870-5-104可用于交通行業(yè)，利用IEC104規(guī)約實(shí)現(xiàn)城市軌道交通中變電站與基于城域網(wǎng)的綜合監(jiān)控系統(tǒng)的集成通信是非常好的一個方法，它既保證了電力監(jiān)控系統(tǒng)的開放性，又能很好的滿足城市軌道交通系統(tǒng)對電力監(jiān)控系統(tǒng)信息傳輸?shù)膶?shí)時、可靠等要求，又有利于利用標(biāo)準(zhǔn)化的優(yōu)勢帶來開發(fā)的便捷性。

其余的工控服務(wù)像OMRON FINS、樓宇BACnet等也被應(yīng)用，但占比較小。協(xié)議最初設(shè)計時候，為了兼顧工業(yè)控制系統(tǒng)通信的實(shí)時性，很多都忽略了協(xié)議通信的機(jī)密性、可認(rèn)證性等。但是隨著工業(yè)控制系統(tǒng)與信息網(wǎng)絡(luò)的聯(lián)系密切，傳統(tǒng)觀念認(rèn)為工業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離已經(jīng)不存在了，所以幾乎所有的現(xiàn)場總線協(xié)議都是明碼通信。近幾年，出現(xiàn)了很多針對工控網(wǎng)絡(luò)的新型攻擊方法，如PLC-Blaser病毒，這種病毒是研究人員在實(shí)驗室測試成功的蠕蟲病毒，它能夠從一臺PLC向另一臺PLC傳播而無需一臺PC或服務(wù)器，它的設(shè)計是針對Siemens S7系列的PLC的?？梢?，越是使用廣泛的協(xié)議越要保證其傳輸數(shù)據(jù)的安全性。

由以上的統(tǒng)計圖表和分析可知，越是重點(diǎn)的經(jīng)濟(jì)發(fā)展區(qū)，工控系統(tǒng)的暴露數(shù)量越多，也就越容易成為首要攻擊的目標(biāo)。同時，“諦聽”團(tuán)隊發(fā)現(xiàn)，部分暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)存在已經(jīng)被惡意利用的跡象，需引起高度重視。

3.工控IP與威脅情報關(guān)聯(lián)分析

我們利用暴露在互聯(lián)網(wǎng)上的工控IP地址與互聯(lián)網(wǎng)上（例如西刺等網(wǎng)站）爬取的威脅情報進(jìn)行關(guān)聯(lián)了分析，其中包括代理IP庫（約133萬條）、洋蔥路由IP庫（約25萬條）、惡意IP庫（約480萬條）、僵尸節(jié)點(diǎn)IP庫（約113萬條）。將工控IP與其他各庫內(nèi)的IP進(jìn)行對比，計算工控資產(chǎn)IP相鄰網(wǎng)絡(luò)的分布情況，按照IP網(wǎng)絡(luò)號相差≦±2、≦±4、≦±8、≦±16、≦±32進(jìn)行比較統(tǒng)計，得到如下結(jié)果。

圖5-10 工控IP與威脅情報關(guān)聯(lián)分析

可以看出工控IP與洋蔥路由（TOR）IP關(guān)聯(lián)較大，且與僵尸節(jié)點(diǎn)IP、代理IP、惡意IP均存在大量關(guān)聯(lián)。這部分與威脅情報關(guān)聯(lián)極大的工控IP很有可能已經(jīng)被應(yīng)用于惡意攻擊，值得引起高度關(guān)注。

六、工控系統(tǒng)攻擊分析

針對工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為近年來大幅度增長，能夠引發(fā)整個控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。東北大學(xué)“諦聽”團(tuán)隊研發(fā)了工控安全蜜罐“諦聽左耳”，模擬多種工控協(xié)議和工控設(shè)備，并全面捕獲攻擊者的訪問流量。通過蜜罐數(shù)據(jù)與威脅情報數(shù)據(jù)的關(guān)聯(lián)分析，能夠有效檢測針對工業(yè)控制網(wǎng)絡(luò)的入侵行為，并對其進(jìn)行進(jìn)一步的分析和研究，為網(wǎng)絡(luò)安全事件的預(yù)警預(yù)測提供數(shù)據(jù)支撐，有效防護(hù)工控網(wǎng)絡(luò)系統(tǒng)安全。

“諦聽”蜜罐目前支持8個協(xié)議，根據(jù)其中已運(yùn)行一年以上的蜜罐所收集的數(shù)據(jù)，經(jīng)關(guān)聯(lián)分析，得出如圖6-1、6-2和6-3的可視化展示，下面做簡要說明。其中，圖6-1展示了“諦聽”蜜罐捕獲攻擊者數(shù)據(jù)的多維度可視化分析（Demo）。

圖6-1 威脅IP可視化展示

圖6-2為各協(xié)議攻擊量占比。S7通信協(xié)議是西門子S7系列PLC內(nèi)部集成的一種通信協(xié)議，DNP3.0是電力、水廠常用的分布式網(wǎng)絡(luò)協(xié)議，此外，Omron fins協(xié)議、Modbus協(xié)議可以說是工業(yè)自動化領(lǐng)域應(yīng)用十分廣泛的通訊協(xié)議。因此，以上協(xié)議受到了網(wǎng)絡(luò)安全研究人員的關(guān)注，截獲到的訪問流量較多。

圖6-2 各協(xié)議攻擊量占比（數(shù)據(jù)來源“諦聽”）

圖6-3 各國家攻擊IP量排名（數(shù)據(jù)來源“諦聽”）

多個蜜罐所采集的數(shù)據(jù)從IP地址進(jìn)行分析，圖6-3可直觀地展現(xiàn)2018年采集到各國攻擊IP的排名。由于當(dāng)前“諦聽”蜜罐主要部署在國內(nèi)地址上，因此監(jiān)控到的來自國內(nèi)IP的攻擊流量最高、美國、德國的攻擊流量排在第二、第三位?！爸B聽”團(tuán)隊正在對此類數(shù)據(jù)進(jìn)行深入的分析和研究，將持續(xù)發(fā)布相關(guān)的研究成果。

七、總結(jié)

隨著國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》，我國工業(yè)互聯(lián)網(wǎng)發(fā)展面臨新的發(fā)展機(jī)遇，同時也給保障工控安全帶來更為嚴(yán)峻的挑戰(zhàn)。我國互聯(lián)網(wǎng)普及和工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、數(shù)字化工廠等新技術(shù)、新業(yè)務(wù)的快速發(fā)展與應(yīng)用，使工業(yè)控制系統(tǒng)網(wǎng)絡(luò)復(fù)雜度在不斷提高，各生產(chǎn)單元內(nèi)部系統(tǒng)與受控系統(tǒng)信息交換的需求也不斷增長，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全需求也在快速的增長。近年來，隨著工業(yè)控制系統(tǒng)安全面臨高危安全漏洞層出不窮、暴露互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備有增無減、網(wǎng)絡(luò)攻擊難度逐漸降低，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全威脅與風(fēng)險不斷加大。工控系統(tǒng)漏洞及入侵案例細(xì)節(jié)公開、美國網(wǎng)絡(luò)“武器庫”泄露、APT組織依然活躍等問題，對我國工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。工業(yè)與IT的高度融合，II/OT一體化把安全威脅從虛擬世界帶到現(xiàn)實(shí)世界，尤其是關(guān)鍵基礎(chǔ)設(shè)施，一旦遭受攻擊會帶來巨大的損失。

縱觀整個2018年，各類威脅數(shù)據(jù)持續(xù)上升。但是幸運(yùn)的是，政產(chǎn)學(xué)研各界已經(jīng)紛紛意識到工控系統(tǒng)網(wǎng)絡(luò)安全的重要性，并采取措施加強(qiáng)預(yù)警，爭取防患于未然。工業(yè)互聯(lián)網(wǎng)在國內(nèi)的推進(jìn)無論從國家政策層面還是企業(yè)實(shí)際落地層面都得到了積極的重視，而對工業(yè)互聯(lián)網(wǎng)的信息安全保障也是一樣的，伴隨著國家“互聯(lián)網(wǎng)+制造業(yè)”等政策的不斷推進(jìn)落實(shí)，工業(yè)互聯(lián)網(wǎng)的推進(jìn)速度必將不斷加快，工控安全行業(yè)任重而道遠(yuǎn)。