《諦聽：2023年工業控制網絡安全態勢白皮書（62頁）.pdf》由會員分享，可在線閱讀，更多相關《諦聽：2023年工業控制網絡安全態勢白皮書（62頁）.pdf（62頁珍藏版）》請在三個皮匠報告上搜索。

1、 2 目錄 1.前言.4 2.2023 年工控安全相關政策法規標準.5 2.1 網絡安全標準實踐指南網絡數據安全風險評估實施指引.5 2.2 商用密碼管理條例.5 2.3 網絡數據安全風險評估實施指引（公開征求意見稿）.6 2.4 工業領域數據安全標準體系建設指南（征求意見稿）.6 2.5 信息安全技術網絡安全保險應用指南（公開征求意見稿）.6 2.6 網絡關鍵設備安全技術要求可編程邏輯控制器（PLC）（開征求意見稿.7 2.7 工業互聯網安全分類分級管理辦法（公開征求意見稿）.7 2.8 工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）.7 2.9 信息安全技術 網絡安全態勢感知通

2、用技術要求.8 2.10 信息安全技術 網絡和終端隔離產品技術規范.8 2.11 網絡安全工業互聯網平臺安全參考模型.8 2.12 網絡安全設備與服務建立可信連接的安全建議.9 2.13 信息安全技術 大數據服務安全能力要求.9 3.2023 年典型工控安全事件.11 3.1 GhostSec 黑客組織對白俄羅斯的工業遠程終端單元進行攻擊.11 3.2 GE Digital 的服務器被發現存在 5 個可利用的漏洞，影響了多個關鍵基礎設施部門 11 3.3 北非國家軍事 ICS 基礎設施遭到黑客攻擊.12 3.4 半導體設備制造商 MKS Instruments 遭勒索軟件攻擊.12 3.5 加

3、密 ATM 制造商 General Bytes 遭黑客攻擊，至少 150 萬美元被盜.13 3.6 黑客對以色列關鍵基礎設施進行新一輪網絡攻擊.13 3.7 電力和自動化技術巨頭 ABB 遭到勒索軟件團隊攻擊.13 3.8 工控安全公司 Dragos 遭到勒索軟件團隊攻擊.14 3.9 Suncor Energy 遭受網絡攻擊影響全國加油站：線上支付或癱瘓，僅支持現金.14 3.10 日本名古屋港口遭到勒索攻擊導致貨運業務暫停.14 3.11 澳大利亞基礎設施公司遭受 Ventia 網絡攻擊.15 3.12 美國芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊.15 3.13 APT28 組織針對烏克蘭關

4、鍵能源基礎設施進行網絡攻擊.15 3.14 研究人員披露針對俄羅斯國防工業的 MataDoor 后門攻擊.16 3.15 朝鮮黑客攻擊韓國造船業竊取軍事機密.16 3 3.16 DP World 遭遇網絡攻擊導致約 3 萬個集裝箱滯留港口.16 3.17 愛爾蘭一家自來水公司遭遇網絡攻擊導致供水中斷 2 天.17 4.工控系統安全漏洞概況.19 5.聯網工控設備分布.23 5.1 國際工控設備暴露情況.27 5.2 國內工控設備暴露情況.29 5.3 國內工控協議暴露數量統計情況.32 5.4 俄烏沖突以來暴露設備數量變化.33 5.5 工業控制系統暴露數量數據變化分析.36 6.工控蜜罐數據

5、分析.37 6.1 工控蜜罐全球捕獲流量概況.37 6.2 工控系統攻擊流量分析.40 6.3 工控系統攻擊類型識別.43 6.4 工控蜜罐與威脅情報數據關聯分析.46 6.5 工控網絡探針.48 6.5.1 數據處理之 Honeyeye.48 6.5.2 網絡安全態勢可視化.49 7.工業互聯網安全發展現狀及未來展望.50 7.1 工業互聯網安全發展現狀.50 7.1.1 工業互聯網安全產業發展現狀.50 7.1.2 工業互聯網安全技術發展現狀.51 7.1.3 工業互聯網安全目前面臨的風險和挑戰.51 7.2 政策標準完善.53 7.3 安全技術融合.54 7.4 產業協同創新.56 8.

6、總結.59 參考文獻.60 4 1.前言 工業控制網絡是工業生產的“核心大腦”，用于監控、管理工業生產過程中的物理設備，確保生產的穩定性和可靠性，提高生產效率，在關鍵信息基礎設施領域得到廣泛應用。隨著工業互聯網與自動控制技術的融合發展，數字時代的步伐愈發堅定，工業控制網絡在推動國家安全、經濟繁榮中扮演著愈發關鍵的角色。中國互聯網絡信息中心發布的第 52 次中國互聯網絡發展狀況統計報告顯示，工業互聯網網絡體系迅速擴大，截至 2023 年 6 月，中國工業互聯網標識解析體系覆蓋 31 個?。▍^、市），其中超過 240 家工業互聯網平臺具有一定影響力，一個綜合型、特色型、專業型的多層次工業互聯網平臺

7、體系基本形成。隨著國家級工業互聯網安全技術監測服務體系不斷完善，態勢感知、風險預警和基礎資源匯聚能力進一步增強，“5G+工業互聯網”等融合應用不斷涌現，快速發展。新一代互聯網技術的發展給工業互聯網帶來全新的發展機遇，但同時又帶來更加嚴峻的安全風險與挑戰，工業互聯網安全問題不僅關系到每個企業和個體的切身利益，更關系到國家的長遠發展。為貫徹落實國家網絡安全、數據安全相關法律要求，進一步提升工業企業的工控安全保障能力，2023 年 11 月 8 日，主題為“筑牢工控安全防線 護航新型工業化發展”的“2023 年工業信息安全大會工業控制系統網絡安全專題論壇”在北京舉行，為工業控制網絡的安全發展籌謀定策

8、。工控安全與網絡安全密切相關，保障工業控制系統的安全、保護關鍵信息基礎設施免受攻擊是確保國家安全的關鍵環節。在此背景下，東北大學“諦聽”網絡安全團隊基于自身傳統的安全研究優勢開發設計并實現了“諦聽”網絡空間工控設備搜索引擎（http:/），并根據“諦聽”收集的各類安全數據，撰寫并發布2023 年工業控制網絡安全態勢白皮書，讀者可以通過報告了解 2023 年工控安全相關政策法規報告及典型工控安全事件分析，同時報告對工控系統漏洞、聯網工控設備、工控蜜罐、威脅情報數據及工業互聯網安全創新發展情況進行了闡釋及分析，有助于全面了解工控系統安全現狀，多方位感知工控系統安全態勢，為研究工控安全相關人員提供參

9、考。5 2.2023 年工控安全相關政策法規標準 工業互聯網不僅是促使信息技術與工業經濟深度融合的關鍵動力，同時也在我國制造強國和網絡強國戰略中發揮著重要作用?；厥?2023 年，我國在工業信息安全領域取得顯著進展，不僅進一步完善了政策標準，同時在垂直行業的安全保障工作推進步伐明顯加快。工業信息安全保障技術水平得到大幅提升，為整個網絡安全產業的發展注入強勁動力。為了進一步加強工業互聯網的安全體系建設，提高安全建設水平，我國在 2023年陸續推出了多項涉及工業互聯網安全的政策法規報告。通過梳理 2023 年度發布的相關政策法規標準，整理各大工業信息安全研究院和機構基于不同法規發布的解讀文件，現摘

10、選部分重要內容并進行簡要分析，旨在讓讀者更深入了解國家在工控安全領域的政策導向。2.1 網絡安全標準實踐指南網絡數據安全風險評估實施指引 2023 年 5 月 28 日，網絡安全標準實踐指南網絡數據安全風險評估實施指引（以下簡稱評估指引）發布，旨在引導網絡數據安全風險評估工作，遵循中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法等法律法規，并參考相關國家標準。該指引明確了網絡數據安全風險評估的思路、工作流程和內容，強調從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面進行評估。2.2 商用密碼管理條例 2023 年 4 月 14 日，國務院第 4 次常務

11、會議修訂通過商用密碼管理條例，該條例自 2023 年 7 月 1 日起施行。隨著商用密碼在網絡與信息系統中廣泛應用，其維護國家主權、安全和發展利益的作用越來越凸顯。黨的十八大以來，黨中央、國務院對商用密碼創新發展和行政審批制度改革提出了一系列要求，2020 年施行的密碼法對商用密碼管理制度進行了結構性重塑。條例鼓勵公民、法人和其他組織依法使用商用密碼保護網絡與信息安全，支持網絡產品和服務使用商用密碼提升安全性；明確關鍵信息基 6 礎設施的商用密碼使用要求和國家安全審查要求。2.3 網絡數據安全風險評估實施指引（公開征求意見稿）2023 年 4 月 18 日，全國信息安全標準化技術委員會秘書處發

12、布網絡安全標準實踐指南網絡數據安全風險評估實施指引（征求意見稿），現公開向社會征求意見。文件詳細闡述了進行網絡數據安全風險評估的思路、主要工作內容、流程和方法。文件明確提到，進行數據安全保護和數據處理活動的風險評估時，應始終以預防為主、主動發現和積極防范為基本原則，及時發現數據存在的潛在風險，以提升數據安全的防御能力，包括防范攻擊、防止破壞、防御竊取、防止泄露以及防范濫用。2.4 工業領域數據安全標準體系建設指南（征求意見稿）2023 年 5 月 22 日，工信部發布工業領域數據安全標準體系建設指南(2023 版)(征求意見稿)，其中規定了工業領域數據安全標準體系的建設目標。到 2024 年，

13、將初步構建該標準體系，切實貫徹數據安全管理要求，滿足工業領域數據安全需求，推動標準在關鍵行業和企業中應用，研發 30 項以上的數據安全國家、行業或團體標準；2026 年，將形成更為完善的工業領域數據安全標準體系，全面遵循相關法律法規和政策制度，標準的技術水平、應用效果和國際化程度顯著提高，基礎性、規范性、引領性作用凸顯，貫標工作全面展開，有力支持工業領域數據安全的關鍵工作，研制 100 項以上的數據安全國家、行業或團體標準。2.5 信息安全技術網絡安全保險應用指南（公開征求意見稿）2023 年 9 月 13 日，全國信息安全標準化技術委員會秘書處發布 信息安全技術 網絡安全保險應用指南（以下簡

14、稱應用指南）征求意見稿。應用指南汲取了國際網絡安全保險標準成果，結合我國網絡安全保險產業和風險管理實踐，提煉適合我國國情的應用指南，以協助組織通過網絡安全保險有效處理和管理風險。該指南明確了網絡安全保險應用的關鍵環節，包括投保前的風險評估、保險期間的風險控制以及事故發生后的事件評估。提供了在不同環節中可行的方法和內容，為網絡安全保險的實際應用 7 提供操作性的指導建議，解決了應用中涉及的基本安全技術和差異性問題。2.6 網絡關鍵設備安全技術要求可編程邏輯控制器（PLC）（開征求意見稿 2023 年 9 月 21 日，全國信息安全標準化技術委員會發布了網絡關鍵設備安全技術要求 可編程邏輯控制器（

15、PLC）國家標準的征求意見稿。該文件明確了將可編程邏輯控制器（PLC）納入網絡關鍵設備范疇的相關規定，涵蓋了設備標識安全、余弦、備份恢復與異常檢測、漏洞和惡意程序防范、預裝軟件啟動及更新安全、用戶身份標識與鑒別、訪問控制安全、日志審計安全、通信安全和數據安全等方面的安全功能要求，以及相應的安全保障要求。2.7 工業互聯網安全分類分級管理辦法（公開征求意見稿）2023 年 10 月 24 日，為加快建立健全工業互聯網安全管理制度體系，深入實施工業互聯網安全分類分級管理，工信部公開征求對工業互聯網安全分類分級管理辦法（公開征求意見稿）的意見。意見稿指出，工業互聯網企業應當按照工業互聯網安全定級相關

16、標準規范，結合企業規模、業務范圍、應用工業互聯網的程度、運營重要系統的程度、掌握重要數據的程度、對行業發展和產業鏈及供應鏈安全的重要程度以及發生網絡安全事件的影響后果等要素，開展自主定級。工業互聯網企業級別由高到低依次分為三級、二級、一級。2.8 工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）2023 年 12 月 15 日，推進工業和信息化領域數據安全應急處置工作的制度化和規范化，工業和信息化部網絡安全管理局起草了工業和信息化領域數據安全事件應急預案（試行）。該預案根據數據安全事件對國家安全、企業網絡設施和信息系統、生產運營、經濟運行等的影響程度，分為特別重大、重大、較大和一般四

17、個級別。預案強調應急工作要實現統一領導、分級負責，實行統一指揮、協同協作、快速反應、科學處置，并明確了責任分工，以確保數據安全處理者履行數據安全主體責任。8 2.9 信息安全技術 網絡安全態勢感知通用技術要求 2023 年 3 月 17 日，由公安部第三研究所牽頭編制的信息安全國家標準 GB/T 42453-2023 信息安全技術 網絡安全態勢感知通用技術要求，已由國家標準化管理委員會正式發布，標準于 2023 年 10 月 1 日正式實施。作為國內首份網絡安全態勢感知的國家標準，該標準規范了網絡安全態勢感知體系的核心組件，包括數據匯聚、數據分析、態勢展示、監測預警、數據服務接口、系統管理等方

18、面的通用技術要求。此標準的發布為中國網絡安全態勢感知的規范化發展提供了重要的指導標準，對國內網絡安全態勢感知建設具有重要的參考和指導價值。2.10 信息安全技術 網絡和終端隔離產品技術規范 2023 年 5 月 15 日，信安標委發布 信息安全技術 網絡和終端隔離產品技術規范。標準作為信息安全等級保護技術要求系列標準的關鍵組成部分，同時規定了網絡和終端隔離產品的分類、級別劃分、安全技術要求以及測評方法。其目的在于指導設計者如何設計和實現符合特定安全等級需求的隔離部件，主要通過對隔離部件安全保護等級的劃分來闡述技術要求，即詳細說明為實現各個保護等級所需的安全要求，以及在不同安全級別下各安全技術要

19、求的具體實現差異。2.11 網絡安全工業互聯網平臺安全參考模型 2023 年 7 月，我國牽頭提出的國際標準 ISO/IEC 24392：2023網絡安全工業互聯網平臺安全參考模型正式發布。ISO/IEC 24392 作為首個工業互聯網安全領域的國際標準，基于工業互聯網平臺安全域、系統生命周期和業務場景三個視角構建了工業互聯網平臺安全參考模型。該國際標準用于解決工業互聯網應用和發展過程中的平臺安全問題，可以系統指導工業互聯網企業及相關研究機構，針對不同的工業場景，分析工業互聯網平臺的安全目標，設計工業互聯網平臺安全防御措施，增強工業互聯網平臺基礎設施的安全性。9 2.12 網絡安全設備與服務建

20、立可信連接的安全建議 2023 年 8 月 8 日，我國牽頭提出的國際標準 ISO/IEC 27071:2023網絡安全設備與服務建立可信連接的安全建議 正式發布。該提案于2015年提交至ISO/IEC JTC1/SC27，后經研究，于 2019 年 4 月正式立項，2023 年 7 月正式發布。ISO/IEC 27071 給出了設備和服務建立可信連接的框架和安全建議，內容涵蓋硬件安全模塊、信任根、身份、身份鑒別和密鑰建立、環境證明、數據完整性和真實性等組件的安全建議。該標準適用于基于硬件安全模塊在設備和服務之間建立可信連接的場景，如移動支付、車聯網、工業物聯網等，有助于提高從設備到服務的全過

21、程數據安全性。2.13 信息安全技術 大數據服務安全能力要求 2023 年 9 月 7 日，國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2023 年第 9 號），全國信息安全標準化技術委員會歸口的 4 項國家標準正式發布，包括 GB/T32914-2023信息安全技術 網絡安全服務能力要求、GB/T43206-2023信息安全技術 信息安全控制評估指南、GB/T 43206-2023信息安全技術 信息系統密碼應用測評要求、GB/Z 43207-2023信息安全技術 信息系統密碼應用設計指南，均將于 2024 年 4 月 1 日實施。其中 GB/T 35274-2

22、023信息安全技術 大數據服務安全能力要求需要重點關注，由于網絡安全服務需求不斷增加，出現了低價競標、交付質量差、不規范流程、安全風險等問題，影響了行業健康發展。為貫徹網絡安全法數據安全法關鍵信息基礎設施安全保護條例等法律法規，確保服務質量、防范安全風險，提升規范性和可持續性，制定此標準。表 2-1 2023 國內部分出臺政策法規標準 序號 月份 出臺政策法規標準 1 3 月 信息安全技術 網絡安全態勢感知通用技術要求 2 4 月 信息安全技術 信息安全控制（征求意見稿）3 4 月 商用密碼管理條例 4 5 月 工業領域數據安全標準體系建設指南（征求意見稿）10 5 5 月 網絡安全標準實踐指

23、南網絡數據安全風險評估實施指引 6 5 月 公路水路關鍵信息基礎設施安全保護管理辦法 7 6 月 商用密碼應用安全性評估管理辦法（征求意見稿）8 7 月 安全工業互聯網平臺安全參考模型 9 7 月 鐵路關鍵信息基礎設施安全保護管理辦法（征求意見稿）10 7 月 信息安全技術網絡安全產品互聯互通框架（征求意見稿）11 8 月 網絡安全設備與服務建立可信連接的安全建議 12 9 月 信息安全技術網絡安全保險應用指南（征求意見稿）13 9 月 信息安全技術 大數據服務安全能力要求 14 9 月 網絡關鍵設備安全技術要求可編程邏輯控制器（PLC）（開征求意見稿 15 10 月 工業互聯網安全分類分級管

24、理辦法（征求意見稿）16 10 月 工業和信息化領域數據安全風險評估實施細則（試行）（征求意見稿）17 10 月 商用密碼檢測機構管理辦法 18 10 月 商用密碼應用安全性評估管理辦法 19 11 月 網絡安全標準實踐指南網絡安全產品互聯互通 資產信息格式（征求意見稿）20 11 月 工業和信息化領域數據安全行政處罰裁量指引（試行）（征求意見稿）21 12 月 工業領域數據安全標準體系建設指南（2023 版）22 12 月 工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）23 12 月 網絡安全事件報告管理辦法（征求意見稿）24 12 月 民用航空生產運行工業控制系統網絡安全防護技

25、術要求 25 12 月 信息安全技術 政務計算機終端核心配置規范（征求意見稿）26 12 月 信息安全技術 網絡安全應急能力評估準則 11 3.2023 年典型工控安全事件 2023 年全球工控安全事件依然層出不窮，給工業企業數字化轉型帶來了極高的安全風險。眾多工控系統遭受了不同程度的網絡攻擊，給大量企業造成了不可估量的損失，甚至危及國家安全。本年度針對工控系統攻擊的破壞程度及規模呈現擴大趨勢，影響了多個行業，涵蓋能源、交通、軍工、制造、醫療等領域。以下介紹 2023 年發生的一些典型的工控安全事件，通過以下事件可以了解工業網絡面臨的風險和發展趨勢，以此來制定更加有效的相關策略應對未來可能遭受

26、的攻擊。3.1 GhostSec 黑客組織對白俄羅斯的工業遠程終端單元進行攻擊 2023 年 1 月 11 日，GhostSec 黑客組織聲稱對白俄羅斯的工業遠程終端單元(RTU)進行了攻擊，RTU 是一種用于遠程監控工業自動化設備的操作技術(OT)設備。GhostSec是 Anonymous 旗下的一個黑客主義行動組織，主要從事出于政治動機的黑客攻擊。從Telegram 小組提供的屏幕截圖看出，攻擊者加密了設備 TELEOFIS RTU968 V2 上的文件，并且將加密文件后綴修改為.fuckPutin。TELEOFIS RTU968 V2 是一款新型 3G 路由器，由于其支持工業接口 RS

27、-232 和 RS-485，并且能夠將工業協議 Modbus RTU/ASCII轉換為 Modbus TCP，因此可以被視為遠程終端單元(RTU)。此次攻擊活動使得受害設備上的文件均被加密，攻擊者只留下了一封內容為“沒有通知信”的文件。經安全人員研究發現，TELEOFIS RTU968 V2 默認開啟 22 端口的 SSH 服務并且允許使用 root 密碼遠程登錄。攻擊者可能通過這些配置弱點進入設備內部，從而實現設備文件加密。目前 GhostSec 黑客組織表現出在某些情況下破壞企業和運營的能力。GhostSec 最新的攻擊活動也再次表明，這些組織有興趣尋找 ICS 設備，如果這些設備受到攻擊

28、，可能會影響工業自動化環境中的生產和系統安全性。3.2 GE Digital 的服務器被發現存在 5 個可利用的漏洞，影響了多個關鍵基礎設施部門 2023 年 1 月 17 日，工業網絡安全公司 Claroty 的研究人員透露，其 Team82 團隊在GE Digital 的 Proficy Historian 服務器中發現了五個可利用的漏洞，影響了多個關鍵基礎設施部門。威脅行為者可以利用安全漏洞訪問歷史記錄、使設備崩潰或遠程執行代碼。12 這批漏洞影響 GE Proficy Historian v7.0 及更高版本。這些漏洞的存在與 ICS 和操作技術(OT)環境有關，因為這些歷史數據庫服務

29、器與企業系統共享過程信息，從而為攻擊者從IT 網絡跳轉到 OT 系統創造了一個有吸引力的支點。通過這批漏洞，攻擊者可以在遠程GE Proficy Historian 服務器上以 SYSTEM 權限執行任意代碼。此外，攻擊者還能構建一個功能齊全的 shell 命令行界面(CLI)，該界面支持多種命令，包括繞過身份驗證、上傳任意文件、讀取任意文件、刪除任意文件以及遠程執行代碼。美國網絡安全和基礎設施安全局(CISA)很快發布了一份工業控制系統(ICS)公告，將這些漏洞確定為使用備用路徑或通道繞過身份驗證、不受限制地上傳危險類型的文件、不正確的訪問控制和弱口令編碼。目前 GE 公司表示 GE Pro

30、ficy Historian v8.0.1598.0 受到影響，針對最近發布的 GE Proficy Historian 中的所有漏洞已發布相應緩解措施，并敦促用戶升級以獲得保護。3.3 北非國家軍事 ICS 基礎設施遭到黑客攻擊 2023 年 1 月 27 日，美國 Cyble 研究與情報實驗室（Cyble Research&Intelligence Labs，CRIL）發布博客，發現一名黑客訪問由北非國家的軍事組織所使用的監督控制和數據采集系統（SCADA）和熱成像攝像機（Thermal Imaging，TI），該黑客發布了一張TI 相機系統的訪問面板的圖像，CRIL 研究人員確定該面板屬

31、于一家著名的原始設備制造商，該公司為全球幾支武裝部隊制造軍用級 TI 相機，黑客利用這些系統數據獲得了對軍事資產的網絡訪問。經過進一步調查，CRIL 發現暴露的 TI 相機有多個漏洞，如信息披露、未經授權的遠程代碼執行（RCE）和硬編碼憑證問題，這些漏洞的存在不僅可以為黑客提供對軍事基地的監視能力，還可以讓他們滲透到操作技術（Operational Technology，OT）網絡。3.4 半導體設備制造商 MKS Instruments 遭勒索軟件攻擊 2023 年 2 月 3 日，半導體設備制造商 MKS Instruments 遭受勒索軟件的攻擊，此事件影響了其生產相關系統，該公司發現勒

32、索軟件造成的影響后，立即采取行動啟動事件響應和業務連續性協議以遏制其危害繼續擴散。MKS Instruments 的網站在很長一段時間內無法被訪問。該公司表示，它已通知執法部門，同時通過聘請事件響應專業人員調 13 查和評估事件的影響。MKS Instruments 高級副總裁說：“該事件影響了某些業務系統，包括與生產相關的系統，作為遏制措施的一部分，公司已決定暫時停止某些設施的運營?！痹摴颈硎?，正在努力盡快恢復系統和受影響的運營。3.5 加密 ATM 制造商 General Bytes 遭黑客攻擊，至少 150 萬美元被盜 2023 年 3 月 17 日，加密 ATM 制造商 Genera

33、l Bytes 發生了一起安全事件，導致至少 150 萬美元被盜，迫使其關閉大部分位于美國的自動取款機，General Bytes 將其描述為“最高”級別的違規行為。一些自助服務終端只允許現金換加密貨幣交易，而其他是“雙向”的，這意味著客戶可以用他們的數字貨幣獲取現金。根據其創始人 Karel Kyovsky 詳細描述該事件的聲明，黑客利用用于上傳視頻的主服務接口中的漏洞，將自己的 Java 應用程序遠程上傳到該公司的服務器上。該事件使攻擊者能夠讀取和解密 API 密鑰，并訪問交易所和在線維護的“熱”加密貨幣錢包上的資金，他們還能夠竊取用戶名和密碼，并關閉雙因素身份驗證。3.6 黑客對以色列關

34、鍵基礎設施進行新一輪網絡攻擊 2023 年 4 月 9 日，據英國信息安全、網絡犯罪新聞平臺 HACKREAD 報道，以色列的灌溉系統遭到了一系列網絡攻擊，導致數個水位監測器發生故障，同時針對該國的主要基礎設施機構網站（包括航空公司、交通、郵政和灌溉系統的網站）的網絡攻擊數量激增。同日，據 JPost 報道，在灌溉系統遭到攻擊的前一周，以色列國家網絡組織曾發出警告，在 4 月 14 日的“伊朗耶路撒冷日”慶?；顒又暗哪滤沽铸S月期間，針對以色列基礎設施的網絡攻擊可能會增加，當局認為，這些網絡攻擊可能是由親巴勒斯坦的黑客組織 OpIsrael 策劃。3.7 電力和自動化技術巨頭 ABB 遭到勒索

35、軟件團隊攻擊 2023 年 5 月 7 日，據美國網絡安全媒體 BLEEPINGCOMPUTER 報道，電力和自動化技術巨頭 ABB 遭受了 Black Basta 勒索軟件團伙發起的網絡攻擊。ABB 是一家行業領先的電氣化和自動化技術的跨國提供商，該公司為多家制造業和能源供應商開發工業控制系統(ICS)和 SCADA 系統，單在美國就運營著 40 多家工程、制造、研究和服務設施，14 并為多種聯邦機構提供服務。BLEEPINGCOMPUTER 從多名員工處獲悉，勒索軟件攻擊影響了公司的 Windows Active Directory，影響了數百臺設備的正常工作，為解決該問題 ABB 已經采

36、取一些措施如終止與其客戶的 VPN 連接防止勒索軟件傳播來控制事件。目前 ABB 絕大多數系統和工廠現已重新啟動并運行，繼續為客戶提供服務。3.8 工控安全公司 Dragos 遭到勒索軟件團隊攻擊 2023 年 5 月 8 日，一個已知的勒索軟件犯罪組織試圖破壞工控安全公司 Dragos 的安全防御系統并滲透到內網加密設備。Dragos 表示其公司網絡和安全平臺在攻擊中并未遭到破壞，攻擊者的橫向移動、提權、加密、駐留等攻擊手段大多被 Dragos 的多層安全控制和基于角色的訪問控制阻止了，但攻擊者成功入侵了該公司的 SharePoint 云服務和合同管理系統。Dragos 已經調查了公司安全信

37、息和事件管理中的警報并阻止了受感染的帳戶。3.9 Suncor Energy 遭受網絡攻擊影響全國加油站：線上支付或癱瘓，僅支持現金 2023 年 6 月 25 日，加拿大最大的合成原油生產商之一的 Suncor Energy 發布新聞稿稱其遭受了網絡攻擊，雖然新聞稿中表示尚未發現任何證據表明客戶、供應商或員工的數據遭到泄露或濫用，但目前其子公司 Petro-Canada 遍布加拿大的加油站已經無法支持客戶使用信用卡或獎勵積分付款，甚至其官網的賬戶登錄也已經癱瘓，并且“洗車季通行證”的持有客戶無法在 Petro-Canada 的洗車中心使用其特權。新聞稿表示目前公司正在采取措施并與第三方專家合

38、作調查和解決這一情況，并已通知當局有關部門，近期與客戶和供應商的一些交易可能會受到影響。3.10 日本名古屋港口遭到勒索攻擊導致貨運業務暫停 2023 年 7 月 5 日，日本最大且最繁忙的港口名古屋港發布了關于其統一碼頭系統（NUTS）遭到攻擊的通知，NUTS 是控制該港所有集裝箱碼頭的中央系統。根據通知，勒索攻擊發生于當地時間 7 月 4 日凌晨 06:30 左右。名古屋港務局預計系統將于 7 月 5日恢復上線，貨運業務于 7 月 6 日恢復，在相關業務恢復之前，所有使用拖車在碼頭進行的集裝箱裝卸作業均已取消，這給港口造成了巨大的財務損失，并嚴重擾亂了進出日 15 本的貨物流通。7 月 2

39、6 日，名古屋港再次發布調查通知，表示截至 7 月 6 日 18 時 15分，所有碼頭業務已恢復運營，并且在愛知縣警察本部和系統維護公司的共同調查下，名古屋港務局確認此次事件的原因是勒索軟件感染。據報道，該機構曾于 7 月 4 日上午收到了一份用辦公室打印機遠程打印的贖金要求。3.11 澳大利亞基礎設施公司遭受 Ventia 網絡攻擊 2023 年 7 月 8 日，基礎設施提供商 Ventia 發布公告表示其發現了一起網絡入侵事件，該事件影響了 Ventia 的部分系統，目前 Ventia 已采取包括關閉關鍵系統等措施來遏制該事件，并聘請了外部網絡安全專家，積極與監管機構和執法部門合作。Ven

40、tia 是澳大利亞和新西蘭最大的基礎設施提供商之一，業務涉及國防、能源、醫療保健、采礦、電信和水務行業。在 7 月 9 日的后續的聲明中 Ventia 表示，他們仍在處理此次攻擊事件，且其業務正在持續運營。3.12 美國芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊 2023 年 8 月 12 日，據 Recorded Future New 報道，美國最大的轉轍和樞紐鐵路正在調查勒索軟件組織竊取數據的事件。芝加哥貝爾特鐵路公司由美國和加拿大的六家鐵路公司共同擁有，每家鐵路公司都使用該公司的轉運和換乘設施。當地時間 8 月 10 日晚，Akira 勒索軟件團伙將該公司添加到其泄露網站，聲稱竊取了 85GB

41、 的數據。貝爾特鐵路總法律顧問 Christopher Steinway 稱，該公司最近意識到“一個威脅組織在其網站上發布消息稱其已獲得某些公司信息”，但“該事件沒有影響我們的運營，我們已聘請一家領先的網絡安全公司來調查這一事件，并正在與聯邦執法部門合作”，目前貝爾特鐵路公司仍然在調查此事件。3.13 APT28 組織針對烏克蘭關鍵能源基礎設施進行網絡攻擊 2023 年 9 月 4 日，烏克蘭計算機緊急響應小組（CERT-UA）發布公告稱其發現了一起針對烏克蘭關鍵能源基礎設施的網絡攻擊。公告表示，此次網絡入侵始于一封釣魚電子郵件，其中包含指向激活感染鏈的惡意 ZIP 存檔的鏈接。CERT-UA

42、 表示：“訪問該鏈接會將包含三個 JPG 誘餌圖像和 BAT 文件 weblinks.cmd 的 ZIP 存檔下載到受害者 16 的計算機上”，并將此次攻擊歸因于名為 APT28（又名 BlueDelta）的俄羅斯威脅行為者。該攻擊會竊取目標主機信息，同時下載 TOR 隱藏服務來路由惡意流量。CERT-UA表示，關鍵能源基礎設施的負責員工設法通過限制對 Mockbin 網絡資源服務（mockbin.org、mocky.io）的訪問并阻止在計算機上的啟動 Windows Script Host，成功阻止了該網絡攻擊。3.14 研究人員披露針對俄羅斯國防工業的 MataDoor 后門攻擊 2023

43、 年由 9 月 27 日，俄羅斯網絡安全公司 Positive Technologies 發布安全分析報告，稱其在 2022 年 10 月對一家俄羅斯工業企業的安全事件進行調查的期間，發現該企業被入侵的計算機上運行著以前從未見過的惡意軟件樣本。這些惡意軟件可執行文件的名稱與受感染計算機上安裝的合法軟件的名稱相似，而且一些樣本具有有效的數字簽名。此外，已識別的可執行文件和庫經過 Themida 保護程序的處理，使其更難被檢測和分析。Positive Technologies 對這些樣本進行后續分析后認為被識別的惡意軟件是一個相當復雜的模塊化后門，并稱之為 MataDoor，其設計目的是為了長期在

44、計算機中隱蔽運行。3.15 朝鮮黑客攻擊韓國造船業竊取軍事機密 2023 年 10 月 4 日，韓國國家情報院發布名為國家情報局就“朝鮮針對造船業的黑客攻擊蔓延”發出警告的新聞稿。新聞稿指出在去年 8 月和 9 月就已經發現了幾起朝鮮黑客組織企圖入侵主要造船廠的案件，朝鮮黑客組織之所以將目標對準韓國造船企業，是因為金正恩下達了建造大中型軍艦的命令，并預測朝鮮的攻擊趨勢今后仍將持續，呼吁包括大型造船企業和船舶零部件制造商在內的相關企業進行徹底的安全管理。韓國國家情報院認為，黑客攻擊的方法是奪取和繞過 IT 維護公司的個人主機，或向內部員工分發釣魚郵件，然后安裝惡意軟件。韓國國家情報院敦促業界加強

45、安全措施，包括“對黑客行為的蔓延發出警告并禁止查看不明確的電子郵件”。3.16 DP World 遭遇網絡攻擊導致約 3 萬個集裝箱滯留港口 2023 年 11 月 12 日，國際物流公司 DP World Australia 發布媒體公告，稱其遭遇了嚴重破壞澳大利亞多個大型港口正常貨運的網絡攻擊。根據報告，11 月 10 日的一次網 17 絡攻擊中斷了其港口的陸上貨運業務，為此，DP World 啟動了應急計劃，并與網絡安全專家展開合作，前公司正在測試恢復正常業務運營所需的關鍵系統。另外，媒體聲明中還提到公司的部分數據很可能已經被非法訪問、甚至遭到泄露，然而內部調查仍在進行中，該情況尚未證實

46、。DP World 專注于貨運物流、港口碼頭運營、海事服務和自由貿易區，負責運營 40 個國家的 82 個海運和內陸碼頭，其每年處理由 70000 艘船只運送的約7000 萬個集裝箱，相當于全球集裝箱運輸量的約 10%。3.17 愛爾蘭一家自來水公司遭遇網絡攻擊導致供水中斷 2 天 2023 年 12 月 7 日，愛爾蘭媒體 WesternPeople 報道，黑客攻擊了愛爾蘭埃里斯地區的一家私人集團供水公司，導致供水中斷兩天并影響到 180 戶業主，之后工作人員努力修復 Eurotronics 以色列制造的抽水系統。攻擊者出于政治動機，選擇對該供水公司中源于以色列的設備進行攻擊并破壞了抽水系統

47、的用戶界面，張貼了反以色列的信息。工作人員表示這些引進的設備防火墻安全系統可能不夠強大，目前正在改進他們的安全系統，并與都柏林網絡犯罪局密切合作。表 3-1 2023 年部分安全事件 序號 時間 國家/地區 行業 方式 影響 1 1 月 白俄羅斯 工業 網絡攻擊 受害設備上的文件均被加密 2 1 月 北非 軍工業 未知 軍事資料被訪問 3 1 月 挪威 運輸業 勒索軟件 約 1000 艘船舶出行受到影響 4 2 月 美國 制造業 勒索軟件 生產系統被影響，公司網站無法被訪問 5 2 月 英國 能源業 網絡攻擊 部分系統被關閉 6 2 月 德國 航空業 DDoS 攻擊 數千名乘客取消和延誤航班

48、7 3 月 荷蘭 運輸業 勒索軟件 公司系統宕機，私密數據被竊取 8 3 月 印度 國防業 惡意軟件 國防資料被竊取 9 3 月 美國 金融業 漏洞利用攻擊 至少 150 萬美元被盜 18 10 4 月 以色列 農業 網絡攻擊 水位監測器發生故障 11 5 月 美國 制造業 惡意軟件 生產設備出現故障 12 5 月 美國 制造業 勒索軟件 數百臺設備無法正常工作 13 5 月 美國 互聯網 勒索軟件 內網加密設備被滲透 14 6 月 荷蘭 能源業 勒索軟件 服務器的數據庫被滲透 15 6 月 加拿大 能源業 網絡攻擊 官網癱瘓、用戶數據被泄露 16 7 月 日本 運輸業 勒索攻擊 造成巨大的財

49、務損失，并嚴重擾亂了進出日本的貨物流通 17 7 月 澳大利亞 制造業 網絡攻擊 部分系統停止運行 18 7 月 以色列 能源業 網絡攻擊 BAZAN 的數據采集與監視控制系統的屏幕截圖被泄露 19 8 月 美國 運輸業 勒索軟件 85GB 的數據被泄露 20 8 月 南非 能源業 惡意軟件 公司數據被發送到遠程服務器中 21 9 月 伊朗 工業 網絡入侵 部分設備被攻擊者控制 22 9 月 英國 農業 DDoS 攻擊 灌溉系統無法正常運行 23 9 月 烏克蘭 能源業 網絡釣魚攻擊 主機信息被竊取，同時下載 TOR 隱藏服務來路由惡意流量 24 9 月 俄羅斯 軍工業 后門攻擊 入侵的計算機

50、上被運行著惡意軟件 25 10 月 韓國 制造業 網絡攻擊 員工計算機上被安裝惡意軟件 26 11 月 澳大利亞 運輸業 網絡攻擊 3 萬個集裝箱被滯留港口 27 12 月 哥倫比亞 工業 網絡釣魚攻擊 大量公司員工信息被竊取 28 12 月 愛爾蘭 供水業 網絡攻擊 抽水系統的用戶界面被破壞 19 4.工控系統安全漏洞概況 隨著 5G 網絡、工業 4.0、和工業互聯網的發展，傳統的工業生產模式逐漸被智能化所取代，工控設備也因此遭受著越來越多的攻擊，并且攻擊形式日漸多元，攻擊手段更加復雜，工控安全事件呈現連年高發態勢。其中，最常見的攻擊方式就是利用工控系統的漏洞。PLC（Programmabl

51、e Logic Controller，可編程邏輯控制器、DCS（Distributed Control System，分布式控制系統）、SCADA（Supervisory Control And Data Acquisition，數據采集與監視控制系統）乃至工業應用軟件均被發現存在大量信息安全漏洞。相關數據顯示，2023 年西門子（Siemens）、施耐德（Schneider）、LS 電氣集團（LS ELECTRIC）、羅克韋爾自動化（Rockwell Automation）等工業控制系統廠商均被發現包含各種信息安全漏洞。諦聽團隊采集到的工控漏洞數據顯示，2023 年工控安全漏洞數量較 202

52、2 年相比有所回升，但 2021 年到 2023 年整體工控安全漏洞數量較 2020 年之前依舊偏少。圖 4-1 2013-2023 年工控漏洞走勢圖（數據來源 CNVD、“諦聽”）根據 CNVD（國家信息安全漏洞共享平臺）12和“諦聽”的數據，2013-2023 年工控漏洞走勢如圖 4-1 所示。根據圖表顯示，2015 年至 2020 年期間，工控漏洞數量呈現顯著的遞增趨勢。對于這一現象，我們的團隊分析認為主要原因在于自 2015 年以來，技 年工控漏洞 勢（數據來源 ）20 術融合的飛速推進迅速推動了工業控制（工控）產業的蓬勃發展，同時也瓦解了傳統工控系統的體系結構。在產業標準和政策尚未達

53、到成熟水平的情況下，攻擊者可能采取更加多樣化的手段，對工控系統進行攻擊，從而導致工控漏洞的不斷增加。然而，自 2021年開始，工控漏洞數量總體呈下降的趨勢。與 2020 年的 568 條漏洞信息相比，2023 年減少了 449 條，漏洞數量大幅減少，減少數量占 2020 年的 79%。2023 年與 2022 年的96 個漏洞相比增加了 24%，漏洞數量雖有小幅回升，但仍低于 2020 年。我們的團隊推測這一變化的原因是多方面的。首先，相較于發展迅猛的 IT 行業，工業領域業務較為成熟，工控行業的廠商產品較為穩定，工控系統的更新迭代較慢，2015-2020 期間發現的新增漏洞中，很大比重是來源

54、于多年長期運行的工控系統中的“存量”漏洞。隨著 2020年此類漏洞的挖掘達到頂峰，隨著新產品推出而產生的新漏洞數量自然出現明顯下降。其次，隨著疫情逐漸得到控制，工業界和產業界的從業人員逐漸回歸正常的線下工作環境，這對工控系統的活力和正常運營產生積極影響。在新冠疫情期間，大量從業人員轉向線上辦公，導致工控產業的活力下降，攻擊者的工控攻擊目標數量與類型相對減少。然而隨著工業系統的運作逐步恢復正常，各類設備和系統的上線運行。新的業務需求、系統升級或集成可能引入新的漏洞，導致 2023 年漏洞數量有小幅度的回升。第三，隨著工控信息安全政策、體系和法規的不斷完善，工控安全方面的產品體系和解決方案逐漸健全

55、，工控廠商對其產品的漏洞管理更加嚴格?？陀^上，漏洞數量的下降是符合情理的趨勢。21 圖 4-2 2023 年工控系統行業漏洞危險等級餅狀圖（數據來源 CNVD、“諦聽”）如圖 4-2 是 2023 年工控系統行業漏洞危險等級餅狀圖，截至 2023 年 12 月 31 日，2023 年新增工控系統行業漏洞 119 個，其中高危漏洞 85 個，中危漏洞 31 個，低危漏洞3 個。與去年相比，漏洞數量增加了 23 個，中危和低危漏洞數量均有一定減少，高危數量顯著增加，其中，高危漏洞數量增加了 50 個，相比 2022 年高危漏洞總數增加了 1.43倍。2023 全年高危工控安全漏洞占全年漏洞總數的

56、71%，與 2022 年相比增加了 35%。綜合分析，這些趨勢表明 2023 年工控系統行業面臨更加嚴峻的漏洞安全挑戰。高危漏洞的占比提高意味著增加了系統受到攻擊的概率和危害程度。這也反映了攻擊者針對工控系統可能采用更為復雜和危險的攻擊手段。因此，業界在工控系統安全方面需要加強防護和響應措施，以降低潛在的風險。年工控系統行業漏洞 險 級 狀（數據來源 ，中，中 22 圖 4-3 2023 年工控系統行業廠商漏洞數量柱狀圖（數據來源 CNVD、“諦聽”）如圖4-3是2023年工控系統行業廠商漏洞數量柱狀圖，由圖中可知，西門子（Siemens）廠商具有的漏洞數量最多，多達 87 個。漏洞數量排在其

57、后的廠商分別是：施耐德（Schneider）、LS 電氣集團（LS ELECTRIC）、羅克韋爾自動化（Rockwell Automation），這些廠商也存在著一定數量的工控系統漏洞。以上數據表明，盡管在 2023 年新增工控漏洞數量相比 2022 年有所回升，但總體數量依舊呈較低水平，全球工控系統的安全防護水平仍在持續提升。高危漏洞的顯著增加表明工控系統仍然面臨嚴重的安全挑戰。理論上，高危漏洞應在工控相關協議和設備設計初期避免，或在被安全人員發現時及時解決，但實際情況可能并非如此。盡管近兩年工控系統所遭受的攻擊數量逐年減少，但高危漏洞的顯著增加體現出攻擊強度可能仍未降低，工控系統的設計缺陷

58、可能未能得到及時完善。在這種情況下，工控產業相關單位有必要進一步加強對工業漏洞的防范，持續增加對工控系統安全建設的投入。特別是在工控系統安全防護中需要針對高危漏洞建立系統安全性設計、漏洞管理監控、漏洞響應修復等全方位漏洞防護能力，降低工控系統面臨的安全風險。年工控系統行業 商漏洞數 狀（數據來源 ）23 5.聯網工控設備分布 隨著工業互聯網的快速發展，聯網工控設備的暴露數量與日俱增，有效管控聯網工控設備資產對于確保工業生產、社會穩定和經濟平穩運行具有重要支撐作用。工業和信息化部印發的工業控制系統網絡安全防護指南中強調，要“建立工業控制系統資產清單，并根據資產狀態變化及時更新，定期開展工業控制系

59、統資產核查”3。聯網工控設備的探測與分析對于梳理、核查并重點保護聯網工控資產，確保關鍵基礎設施的安全性和穩定運行有重要意義?！爸B聽”網絡空間工控設備搜索引擎共支持 31 種服務的協議識別，表 5-1 展示了“諦聽”網絡安全團隊識別的工控協議等的相關信息。如想了解這些協議的詳細信息請參照“諦聽”網絡安全團隊之前發布的工控網絡安全態勢分析白皮書。表 5-1“諦聽”網絡空間工控設備搜索引擎支持的協議 工控協議 端口 概述 Modbus 502/503 應用于電子控制器上的一種通用語言 Tridium Niagara Fox 1911 Tridium 公司專用協議，用于智能電網等領域 SSL/Niag

60、ara Fox 4911 智能建筑、基礎設置管理、安防系統的網絡協議 BACnet 47808 智能建筑的通信協議 ATGs Devices 10001 工控協議 Moxa Nport 4800 虛擬串口協議 EtherNet/IP 44818 以太網協議 Siemens S7 102 西門子通信協議 DNP3 20000 分布式網絡協議 Codesys 2455 PLC 協議 ilon Smartserver 1628/1629 智能服務器協議 24 Redlion Crimson3 789 工控協議 IEC 60870-5-104 2404 IEC 系列協議 OMRON FINS 9600

61、 歐姆龍工業控制協議 CSPV4 2222 工控協議 GE SRTP 18245 美國通用電器產品協議 PCWorx 1962 菲尼克斯電氣產品協議 ProConOs 20547 科維公司操作系統協議 MELSEC-Q 5006/5007 三菱通信協議 opc-ua 4840 OPC UA 接口協議 DDP 5002 用于數據的傳輸和 DTU 管理 Profinet 80 基于工業以太網技術的自動化總線標準 IEC 61850-8-1 102 IEC 系列協議 Lantronix 30718 專為工業應用而設計，解決串口和以太網通信問題 物聯網協議 端口 概述 AMQP 5672 提供統一消息

62、服務的應用層標準高級消息隊列協議 XMPP 5222 基于 XML 的可擴展通訊和表示協議 SOAP 8089 基于 XML 簡單對象訪問協議 MQTT 1883 基于客戶端-服務器的消息發布/訂閱傳輸協議 攝像頭協議 端口 概述 Dahua Dvr 37777 大華攝像頭與服務器通信協議 hikvision 81-90 ?？低晹z像頭與服務器通信協議 ONVIF 3702 開放型網絡視頻接口標準協議 25 “諦聽”官方網站（）公布的數據為 2017 年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯系獲取。根據“諦聽”網絡空間工控設備搜索引擎收集的內部數據，經“諦聽”

63、網絡安全團隊分析，得到一系列結論，具體如下。圖 5-1 為 2023 年全球工控+物聯網設備暴露 Top-10 國家/地區。圖中顯示，與 2022年相比，國家排名變化比較穩定，但是全球暴露工控設備的總數量遠遠超越去年。在全球范圍內，美國作為世界上最發達的工業化國家，其工控設備暴露數量排名首位。中國持續推動先進制造業和新型基礎設施建設，工業產值顯著增長，排名第二。加拿大作為一個工業發達的國家，在能源、制造、礦業、航空航天和信息技術等領域都具有世界領先的實力。其排名相較于與 2022 年進步較大，排名第三位。圖 5-1 全球工控+物聯網設備暴露 Top10 柱狀圖（數據來源“諦聽”）在工業互聯網領

64、域中，工控設備協議與物聯網設備協議協同合作，以實現設備的協同工作和數據交互。工控設備協議專注于實時控制和監測，確保工業控制系統的高效運行，而物聯網設備協議注重通用性和靈活性，使得不同類型設備能夠互聯，實現數據的共享。這兩者的結合促進系統集成，創造出智能的工業生態系統，實現對整個生產過程的全面監控。在實際應用中，這些協議的協同作用使工業互聯網中的設備能夠高效、可 26 靠地實現互聯和數據交換。圖 5-2 和圖 5-3 分別為全球工控設備暴露 Top10 柱狀圖和全球物聯網設備暴露 Top10 柱狀圖?？梢钥吹?，在工控設備暴露排名中，加拿大超過了中國排名第二位。圖 5-2 全球工控設備暴露 Top

65、10 柱狀圖（數據來源“諦聽”）圖 5-3 全球物聯網設備暴露 Top10 柱狀圖（數據來源“諦聽”）27 攝像頭協議是一種約定，規定了攝像頭與其他設備之間的通信方式，包括實時視頻流傳輸和數據交互的標準。常見的攝像頭協議有 ONVIF，hikvision，Dahua Dvr 等。圖5-4 為全球攝像頭設備暴露 Top10 柱狀圖。由于?？低暫痛笕A兩家安防企業的發展，在全球范圍內中國攝像頭設備的暴露數量排名首位，波蘭排名第二，美國排名第三。圖 5-4 全球攝像頭設備暴露 Top10 柱狀圖（數據來源“諦聽”）5.1 國際工控設備暴露情況 國際工控設備的暴露情況以美國和加拿大為例進行簡要介紹。美

66、國是世界上工業化程度最高的國家之一，同時也是 2023 年全球工控設備暴露最多的國家，如圖 5-5 所示為美國 2023 年工控協議暴露數量和占比。由于日益增長的數字化依賴，美國政府一直致力于制定和加強網絡安全政策，以保護國家的關鍵基礎設施和敏感信息。同時在工業化領域，政府一直關注制造業的創新和發展，采取措施促進技術進步，提高生產效率。2023 年 6 月，美國網絡安全和基礎設施安全局（CISA）發布了一項網絡安全指令，要求聯邦機構強化其網絡邊緣和遠程管理設備，以應對近期的網絡攻擊。這一規定被視為對聯邦行政部門和機構的強制性要求。這一舉措旨在提高聯邦機構的網絡安全水平，以有效抵御潛在的網絡威脅

67、。2023 年 8 月，美國紐約州推出了該 28 州首個全州范圍的網絡安全戰略。這一戰略被構想為各個公共和私人利益相關者如何協同工作，以保護關鍵基礎設施和全州居民個人數據免受惡意攻擊和數據泄露的藍圖。圖 5-5 美國工控協議暴露數量和占比（數據來源“諦聽”）相較于 2022 年，今年美國在工控領域的安全事件有所減少，也得益于美國自身可以排查出相應的安全隱患。3 月 21 日，美國網絡安全和基礎設施安全局（CISA）發布了八項工業控制系統（ICS）公告，發出警告指出存在嚴重缺陷可能影響 Delta Electronics和 Rockwell Automation 設備。CISA 的舉措強調了對工

68、業控制系統安全的高度關切，并鼓勵相關組織積極應對以保護其關鍵基礎設施免受可能的網絡攻擊。美國在未來的工控安全領域將不斷增強技術能力，以迎接不斷增長的挑戰。2023 年加拿大工控設備和物聯網設備暴露數量位居全球第三，上升明顯。加拿大是一個工業發達的國家，以其在多個領域的世界領先實力而聞名。在能源行業方面，加拿大擁有豐富的自然資源，尤其是石油、天然氣和水力資源，使其成為全球能源生產的關鍵參與者。高科技制造業也是加拿大的強項之一，尤其在航空航天、信息技術和生物醫藥領域，加拿大企業在全球市場上占據重要地位。通過圖 5-6 可以看到，在加拿大暴露的工業協議數量中，Fox 排名第一，Modbus 協議暴露

69、數量排名第二。29 圖 5-6 加拿大工控協議暴露數量和占比（數據來源“諦聽”）綜上，相較于 2022 年，伴隨著經濟的全面復蘇，受疫情的影響越來越少，工業控制設備暴露數量有大幅的提升。美國政府對國家工控系統安全性以及網絡安全、人工智能等問題更加重視。加拿大暴露工控協議數量占比較 2022 年有較大變化。美國和加拿大工業的發展體現出北美強勁的經濟實力，但是隨著國家 GDP 增長的同時，暴露的工控設備數量大幅增長，將對以后國家的工業化管理留下隱患。5.2 國內工控設備暴露情況 2023 年，中國暴露的工控設備數量在全球范圍內位居第二，并相較以往明顯增加。疫情期間，由于工控設備的封鎖，數量出現下降

70、趨勢。然而，隨著 2023 年經濟全面重振，暴露的工控設備數量大幅增加。近年來，中國不斷優化升級產業結構，為經濟的可持續增長和全球競爭力提供了顯著的動力和支持。其中，工業互聯網作為一項重要的戰略發展領域，經歷了迅猛的發展。在產業結構優化方面，我國政府推動了傳統制造業向高科技和服務業轉變，并且實體經濟正在經歷向數字化經濟的轉型。下面詳細分析一下國內工控設備暴露情況。從圖 5-7 國內各地區工控設備暴露數量 Top10 柱狀圖中可以看出，在 2023 年內，浙江省的工控設備暴露數量與去年相比有了大幅度的提高。在 2023 年之前，由于疫情 30 的影響，全國多地停工停產，國內工控設備暴露數量有所減

71、少。但在 2023 年內，在中國政府的及時干預和經濟復蘇措施的實行下，中國工業互聯網市場迅速恢復發展，工業化與信息化在高層次進行了深度融合，國內工控設備暴露數量迅速上升。據新華社報道，2023 年中國 GDP 同比增長 5.2%，增速上漲了兩個百分點，也側面反映出工業方面的迅速復蘇。圖 5-7 國內各地區工控設備暴露數量 Top10（數據來源“諦聽”）2023 年，全國暴露工控設備數量最多的是浙江省。據央廣網報道，2023 年內浙江省工業增加值比去年增長 4.9%，其中，規模以上工業增加值 22388 億元，增長 6.0%3。工業的快速發展加大了企業在生產自動化、智能化及節能減排等方面的相關需

72、求，也導致了工業控制設備暴露數量的顯著增加。據中國工業新聞網公布的 2023 年中國工業百強縣榜單5可以看出，浙江省在工業領域擁有強大的實力和競爭力，在該榜單中，浙江省登榜的縣級市高達 24 個，穩居全國首位。從浙江省推動新能源制造業高質量發展實施意見（2023-2025 年）中可以看出，浙江省正積極在多種新能源領域做新的規劃和布局，包括在光伏、風電、儲能、氫能領域以及核電相關產業和一些其他新能源技術領域的創新發展，而此類新能源技術的研發與產業化進程自然離不開工業互聯網安全的保駕護航。31 2023 年，臺灣地區工控設備暴露數量依然名列前茅，較去年排名沒有變化，依然為全國第二，但是工控設備暴露

73、數量明顯大幅度上升。2023 年 11 月 13 日，以“人工智能與制造業數字化轉型”為主題，由中國工業互聯網研究院和臺灣區電機電子工業同業公會聯合主辦的“2023 兩岸工業互聯網融合發展研討會”在江蘇省昆山市舉辦。兩岸企業家峰會信息產業合作推進小組召集人劉利華，資訊、通信產業合作推動小組召集人李詩欽出席會議并致辭，李詩欽表示，兩岸工業互聯網產業具有廣闊的優勢互補和合作發展空間，期待加強兩岸數字經濟合作，深化工業互聯網、新能源汽車、數字貿易、跨境電商等領域的務實合作6。2023 年，北京市工控設備暴露數量大幅上升，位列第三名，較之去年排名上升 14位。隨著工業 4.0 和智能制造的推進，北京市

74、作為中國重要的經濟和技術中心，其工業控制系統逐漸走向智能化和網絡化。大量的工業生產設備接入互聯網，形成工業物聯網，這也使得更多的工控設備暴露在網絡環境中。早在 2022 年 1 月，北京市就頒布了北京工業互聯網發展行動計劃（2021-2023 年），近年來北京市正積極促進數字化轉型和智能化升級，以工業互聯網為核心的新一代信息技術賦能傳統行業，不斷催生新的經濟增長點，推動實體經濟高質量發展。與去年相比，東北地區工業控制設備暴露數量排名略微下降，位于全國中游，與去年相比，吉林省工控設備暴露的數量有較大幅度上升，成為東北地區工控設備暴露數量最多的省份。作為中國工業曾經發展最輝煌的地區，東北地區工業近

75、年來經歷了產業結構調整和轉型升級。面臨過經濟下滑和產能過剩的困境，東北地區通過政策扶持，大力推動高端制造業和新能源技術等新興工業產業的發展，為國家“振興東北”的戰略做出了巨大貢獻。2023 年 10 月 2023 全球工業互聯網大會在遼寧沈陽召開，本屆大會以“聚焦工業數字化轉型，助力新型工業化發展”為主題。在大會上發布了2023 工業互聯網行業融合創新應用報告和首個“工業數字化轉型評價綜合指數”等成果。此外，本次大會還介紹了年度典型案例、細分領域優秀案例和行業應用優秀案例，對于打造國際化發布平臺，推動工業互聯網行業典型案例的分享與交流，構建數字驅動的工業新生態具有重要意義。32 5.3 國內工

76、控協議暴露數 統計情況 圖 5-8 國內工控協議暴露數量和占比（數據來源“諦聽”）“諦聽”團隊統計了國內暴露的各協議總量，從圖 5-8 中可以看出 Modbus 協議在網絡中暴露的數量最多，領先于第二位的 Nport。Modbus 協議是一種應用于工業領域的通信協議，用于在各種工業設備之間進行數據交換。它由 Modicon 公司（現為施耐德電氣公司）于 1979 年開發，現已成為工業領域最常用的通信協議之一。Modbus 協議采用主從模式，一個主設備可以與多個從設備進行通信。協議報文由報文頭和報文體組成，報文頭包含協議標識、地址信息、功能碼等，報文體包含數據。Modbus 協議支持多種通信介質

77、，包括串行通信（RS-232、RS-422、RS-485）和以太網（TCP/IP、UDP/IP）。Modbus 協議廣泛應用于工業控制、監測系統、數據采集系統等領域。其優勢在于開放標準、簡單易用、兼容性強，但安全性不高、通信效率低。Moxa NPort 協議是一種專為 Moxa NPort 串口服務器設計的通信協議，基于 TCP/IP協議，允許用戶通過網絡訪問連接到 NPort 服務器的串口設備。該協議支持讀寫串口數據、控制串口參數、配置 NPort 服務器等功能，并提供簡單易用、安全可靠、靈活擴展 33 等優勢，廣泛應用于工業控制、數據采集、遠程監控等領域。用戶可通過 Web 瀏覽器、應用程

78、序或腳本等方式使用 Moxa NPort 協議訪問和管理串口設備。Niagara Fox 是 Tridium 公司為其 Niagara Framework 提供的通信協議之一。Niagara Framework 是一種用于建筑自動化和物聯網（IoT）應用的開放式平臺，它提供了一個統一的框架，使得不同品牌和類型的設備能夠相互通信和協同工作。Niagara Fox 提供了一種開放且標準化的通信方式，允許不同廠商的設備在同一網絡中進行數據交換、控制和監測。Niagara Fox 的設計目標是支持多種電氣接口，實現設備的透明通信，并在 Niagara Framework 中為各種應用場景提供靈活的集成

79、解決方案。EtherNet/IP 是由 ODVA（Open DeviceNet Vendor Association）指定的工業以太網協議，它使用 ODVA 已知的應用層“通用工業協議”（CIP）。它具有功能豐富、可靠性高、應用廣泛等特點，支持多種通信模式、數據類型和功能，可用于各種工業控制應用。最新版本還支持 CIP 安全、多網絡、虛擬化等功能，進一步增強了安全性、靈活性和擴展性。OMRON FINS 協議 是一種由歐姆龍公司開發的用于 PLC 通信的網絡協議，具有簡單易用、可靠性高、功能豐富等特點。它支持多種通信模式、數據類型和功能，可用于各種 PLC 應用需求。最新版本還支持 TCP/I

80、P 協議、加密、遠程訪問等功能，進一步增強了靈活性和安全性。5.4 俄烏沖突以來暴露設備數 變化 俄烏沖突開始于 2022 年三月份，目前俄羅斯和烏克蘭的緊張局勢依然在持續中，時隔近兩年，兩國沖突仍然在加劇。實施網絡戰能夠影響一個國家的通信能力和戰場感知能力，特別是隨著軍隊越來越依賴軟件，通過獲取情報進行戰場部署的重要性日益突顯，這場競賽變得愈發緊迫。為了能夠了解俄羅斯和烏克蘭的工控領域的相關狀況，“諦聽”網絡安全團隊對此進行了持續關注。表 5-2 列舉了俄羅斯、烏克蘭暴露工控設備的相關協議。34 表 5-2 俄羅斯、烏克蘭暴露工控設備相關協議 探測發現協議 探測端口 協議概述 Siemens

81、 S7 102 西門子通信協議 Modbus 502 應用于電子控制器上的一種通用語言 ilon Smartserver 1628 智能服務器協議 Moxa Nport 4800 Moxa 專用的虛擬串口協議 XMPP 5222 基于 XML 的可擴展通訊和表示協議 AMQP 5672 提供統一消息服務的應用層標準高級消息隊列協議 IEC 60870-5-104 2404 IEC 系列協議 同時，“諦聽”網絡安全團隊每月都會收集俄烏暴露的設備數量情況，根據收集的數據，得到了俄羅斯和烏克蘭自沖突爆發以來暴露的設備的數量變化情況。從圖 5-9 沖突后 2023 年烏克蘭各協議暴露設備數量來看，AM

82、QP 協議從沖突前到23 年 5 月份變化幅度較大，總體呈現先降后升的趨勢，后續趨于平緩；Modbus 協議從22 年 12 月份至 23 年 6 月份呈現下降趨勢，之后整體趨勢呈現先升后降；Moxa Nport協議在 23 年期間略有下降，總體平穩；其它協議整體的變化幅度不大。35 圖 5-9 烏克蘭暴露設備數量變化（數據來源“諦聽”)從圖 5-10 沖突后 2023 年俄羅斯各協議暴露設備數量來看，AMQP 協議變化較大，在 2023 年 2 月到 4 月期間有大幅度的下降，之后回升并趨于平緩，小幅度下降；與AMQP 在同一數量級的 Modbus 和 Nport 協議都略有下降，總體趨于平

83、緩；其他協議整體變化幅度不大。圖 5-10 俄羅斯暴露設備數量變化（數據來源“諦聽”)36 總的來說，2023 年的關鍵時期集中在 2 月至 6 月，此時工控設備的暴露情況出現了顯著的波動，但在隨后的時間里逐漸趨于穩定。通過仔細分析俄烏暴露設備的變化趨勢，我們能夠窺見俄烏戰爭對工業系統的深遠影響。這種趨勢分析不僅提供了對工控設備暴露情況的細致洞察，同時也為理解戰爭對工業基礎設施的沖擊提供了實質性的線索。團隊將會在來年中繼續跟進。5.5 工業控制系統暴露數 數據變化分析 網絡安全評級公司 Bitsight 發布的報告表示，在過去幾年中，互聯網上暴露的工業控制系統數量持續減少，并在 2023 年

84、6 月降至 10 萬以下，而每個協議的表現并不一致。例如，Bitsight 表示，約 2021 年后，采用 Niagara Fox 的暴露 ICS 數量持續下降，使用 Modbus 及 S7 協議的暴露系統、設備則在今年 6 月變得更加常見?！爸B聽”團隊對以上信息進行調查，調查結果顯示工業控制系統的暴露數量數據正在逐步回升，具體分析結果如下。在總體數據數量與個別常見協議的變化方面，從 2023 年 4 月上旬開始，全球工業控制系統暴露數量呈下降趨勢，尤其在 6 月下旬后下降最為顯著，直至 8 月上旬達到最低值。然后數據量開始回升。然而，具體協議表現卻不一致，Modbus 與 Fox 在這期間呈

85、現下降趨勢，而 BACnet 與 S7 協議波動相對較小。在協議變化階段分析中，Fox 協議在下降階段減少最多，而在上升階段增加最為顯著。此外，國家及地區方面，中國內地及中國香港、法國、波蘭以及美國在下降階段減少量領先，而在上升階段這些地區的數據量均有明顯回升。這表明工業控制系統的網絡安全狀況存在波動，需要持續關注和改進。37 6.工控蜜罐數據分析 隨著工業網絡的不斷發展，工業控制系統（ICS）面臨著日益復雜和多樣化的網絡威脅。為了有效地應對這些威脅，工業蜜罐作為一種安全工具在工業環境中得到了廣泛應用。工業和信息化部印發的工業控制系統網絡安全防護指南中指出，工業控制網絡與企業管理網或互聯網的邊

86、界，可采用工業控制系統蜜罐等威脅誘捕技術，捕獲網絡攻擊行為，提升主動防御能力7。東北大學“諦聽”網絡安全團隊深入分析工業蜜罐在模擬和檢測工業網絡攻擊中的作用，并探討其在提高工業網絡安全性方面的潛在價值。經過多年努力，“諦聽”網絡安全團隊研發出了可以模擬多種工控協議和工控設備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前，“諦聽”蜜罐支持 12 種協議，且已經部署在多個國家和地區?！爸B聽”網絡安全團隊在 2021 年進一步改進了基于 ICS 蜜網的攻擊流量指紋識別方法（以下簡稱“識別方法”），有效地提高了識別各類針對工控網絡的攻擊流量的效率，并根據不同類型的攻擊流量制定出更加有效的工控系統防御措

87、施。6.1 工控蜜罐全球捕獲流 概況“諦聽”工控蜜罐可支持 ATGs Devices、OMRON FINs、DNP3、Modbus、EGD 等 12種協議，其中，Modbus/UDP 協議是今年新增的協議。目前“諦聽”工控蜜罐已經部署在了中國華北地區、中國華南地區、東歐地區、東南亞地區、美國東北部等國內外多個地區。截止到 2023 年 12 月 31 日，“諦聽”蜜罐收集到大量攻擊數據。圖 6-1、6-2 和 6-3 中展示了經過統計和分析后的數據。下面將對各個圖表進行簡要解釋說明。38 圖 6-1 2023 年蜜罐各協議攻擊量（數據來源“諦聽”）圖 6-1 展示了不同協議下各蜜罐受到的攻擊量

88、。從圖中可以看出 ATGs Devices、OMRON FINs 和 DNP3 協議下蜜罐所受攻擊量仍然保持在前三名，相較于 2022 年統計數據，ATGs Devices、OMRON FINs、DNP3、Modbus 等協議受攻擊的數量都有明顯增加。而 OMRON FINs 協議超過 DNP3 協議和 Modbus 協議上升至第二名，Modbus 協議則降至第四名，這表明 OMRON FINs 協議受到的關注大幅度增加。另外，今年新增的Modbus/UDP 協議具有簡便高效的特性，由于 Modbus/UDP 不需要建立持久連接，它更適用于一些實時性較強、要求低延遲的工業控制系統。然而，Mod

89、bus/UDP 的使用增加了安全風險，但是受限于應用場景的限制，導致受到的攻擊量較小。這些變化表明工控系統協議在不斷發展，攻擊者的攻擊方向也在不斷調整和變化.前四種協議受攻擊總占比為 66%，表明它們是攻擊者關注的重點。因此，工控網絡安全研究人員應根據需求，加強這些協議下設備的網絡安全防護?！爸B聽”網絡安全團隊對攻擊數據的源 IP 地址進行了分析統計，圖 6-2 展示了攻擊量最多的 10 個國家的攻擊源數量。從數據統計結果來看，美國的攻擊量處于首位，甚至超越其他 9 國總和，說明美國對于工業控制系統網絡安全領域的極大關注，其由于惡意活動和攻擊嘗試存在多樣性。荷蘭、比利時、俄羅斯、加拿大和英國的

90、排名分別位列第二位至第六位，其攻擊量遠少于美國，統計數量總體差距不大。新加坡、保加利亞、西班牙和德國的排名分別位列第七位至第十位。39 圖 6-2 2023 年其他各國對蜜罐的攻擊量 Top 10（數據來源“諦聽”）對中國國內攻擊源的 IP 地址進行相關分析，列出了前十名 IP 流量的省份排名，如圖 6-3 所示?？梢钥闯?，攻擊主要圍繞在華北，東部沿海及中部地區，相較于 2022 年統計數據，浙江省 IP 攻擊量大幅度提升排在了第一位，北京則緊隨其后。浙江省和北京市統計數量占比高達 65%，體現出二者在網絡安全支撐工作方面的領先地位。圖 6-3 2023 年中國國內各省份流量（數據來源“諦聽”

91、）40 2023 年，“諦聽”網絡安全團隊調整了已部署的蜜罐，進一步拓展了罐可支持協議的范圍，未來將會進一步提升誘騙和分析技術，持續推進相關研究。6.2 工控系統攻擊流 分析 “諦聽”網絡安全團隊首先對部署在不同地區的蜜罐所捕獲的攻擊流量數據進行了初步分析，然后我們選取了應用范圍較廣的 Modbus 和 Ethernet/IP 兩種協議對其使用識別方法進行攻擊流量檢測。從各協議在不同地區部署的蜜罐中，我們選取了最具代表性的兩個地區部署的蜜罐，對其捕獲的攻擊流量數據分別進行統計分析。對于 Modbus 協議，我們選擇了分別部署在中國華東地區和美國東海岸地區的蜜罐，統計結果如表 6-1、6-2 所

92、示。表 6-1 中國華東地區 Modbus 蜜罐捕獲攻擊總量來源 TOP10（數據來源“諦聽”）攻擊源 攻擊總 攻擊 IP 數 IP 平均攻擊數 United States 1439 288 5.0 China 695 60 11.6 Netherlands 119 28 4.3 Canada 115 72 1.6 Italy 110 1 110.0 Belgium 110 72 1.5 United Kingdom 108 4 27.0 Greece 27 1 27.0 France 17 4 4.3 Spain 10 1 10.0 41 表 6-2 美國東海岸地區 Modbus 蜜罐捕獲攻

93、擊總量來源 TOP10（數據來源“諦聽”）攻擊源 攻擊總 攻擊 IP 數 IP 平均攻擊數 United States 1474 476 3.1 China 588 18 32.7 Belgium 215 102 2.1 Netherlands 151 17 8.9 Canada 149 100 1.5 United Kingdom 93 4 23.3 Singapore 44 2 22.0 Italy 40 1 40.0 India 23 5 4.6 Russia 17 12 1.4 根據表 6-1、6-2 可知，在攻擊總量來源方面，美國在中國華東地區的攻擊總量顯著高于其他國家，但低于去年同

94、期數據。在美國東海岸地區 Modbus 協議蜜罐捕獲攻擊總量中，美國仍然保持第一位，且與去年相比仍然呈現上升趨勢。在攻擊 IP 數量方面，美國仍在兩個地區中均排名第一且遠超于其他國家。以表 6-2 為例，美國在美國東海岸地區的攻擊 IP 數量約是排名第二的比利時的 4.7 倍。針對 Ethernet/IP 協議，我們選擇的是中國華南地區和美國西海岸地區部署的蜜罐，統計結果如表 6-3、6-4 所示。表 6-3 中國華南地區 Ethernet/IP 蜜罐捕獲攻擊總量來源 TOP10（數據來源“諦聽”）攻擊源 攻擊總 攻擊 IP 數 IP 平均攻擊數 China 2317 47 49.3 42 U

95、nited States 379 234 1.6 Canada 37 35 1.1 Netherlands 9 7 1.3 Germany 7 7 1.0 Slovak Republic 3 3 1.0 South Africa 2 1 2.0 France 2 2 1.0 Saudi Arabia 1 1 1.0 United Kingdom 1 1 1.0 表 6-4 美國西海岸地區 Ethernet/IP 蜜罐捕獲攻擊總量來源 TOP5（數據來源“諦聽”）攻擊源 攻擊總 攻擊 IP 數 IP 平均攻擊數 United States 122 91 1.3 China 41 14 2.9 C

96、anada 15 15 1.0 Japan 7 1 7.0 Singapore 2 1 2.0 由表 6-3、6-4 分析可知，在攻擊總量來源和攻擊 IP 數量方面，中國在中國華南地區攻擊總量排名第一，美國排名第二，但美國的攻擊 IP 數量是中國的 5 倍。美國在美國西海岸地區攻擊總量和攻擊 IP 數量均排名第一，且遠超其他國家。根據對 Modbus 協議蜜罐和 Ethernet/IP 協議蜜罐所捕獲攻擊數量的統計分析，發現Modbus 協議蜜罐受到的攻擊總次數高于 Ethernet/IP 協議蜜罐。這種差異可能主要是由于 Modbus 協議在工業自動化領域的廣泛應用歷史較長，導致潛在的攻擊面

97、更廣，成熟度和已暴露的安全問題可能吸引了更多攻擊者的關注與嘗試，網絡環境中 Modbus 協議設備的數量和暴露程度也可能高于 Ethernet/IP 協議設備，從而增加了 Modbus 協議蜜罐 43 被攻擊的可能性。因此 Modbus 協議在工控系統中廣泛應用的同時也面臨更高的攻擊風險。在確定攻擊源的國家中，我們發現攻擊總量排名前三的國家的攻擊數量高于所有國家攻擊總數的 90%。這可能是由以下原因導致：首先，這些國家的云計算產業發達，云服務器資源豐富且被全球范圍內的用戶廣泛租用，部分用戶可能出于安全檢測或漏洞挖掘的目的，持續進行大規模的網絡掃描活動，這在一定程度上提高了源自這些國家的攻擊記錄

98、數量。其次，這些國家在網絡和信息安全領域的研究實力雄厚，擁有眾多專業人才和研究機構，其內部開展的大量網絡安全研究、演練及防御技術測試等活動，會產生一定數量的對蜜罐系統的探測與模擬攻擊行為，從而計入了攻擊統計數據中。此外，這些國家可能存在規?；膼阂饩W絡攻擊組織。這些組織依托于其所在國的網絡基礎設施，對全球互聯網系統進行有組織、有目的的惡意掃描和攻擊，而這些惡意掃描和攻擊被“諦聽”團隊部署的蜜罐成功有效捕獲。6.3 工控系統攻擊類型識別“諦聽”網絡安全團隊提出一種基于 ICS 蜜網的攻擊流量指紋識別方法，該方法可以對于 Ethernet/IP 協議蜜罐和 Modbus 協議蜜罐捕獲的流量數據進行

99、攻擊類型識別。圖6-4 和圖 6-5 分別顯示了對 Ethernet/IP 和 Modbus 協議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中，“E”表示 Ethernet/IP 協議，“M”表示 Modbus 協議。由于國內和國外的蜜罐程序不同，“E”和“E”同一編號表示不同的攻擊類型，“M”和“M”同一編號表示不同的攻擊類型，環形圖中各部分為不同的攻擊類型。44 圖 6-4 Ethernet/IP 協議攻擊類型占比圖（數據來源“諦聽”）“諦聽”團隊將 Ethernet/IP 協議蜜罐部署在中國華南地區和美國西海岸，兩地區的經濟發展迅速，網絡基礎設施完善且網絡活動相對頻繁。在這些經濟科技發達的

100、地區部署蜜罐，可以收集到更全面的攻擊信息，也易于發現新型攻擊手段。由圖 6-4 可知，中國華南地區的 Ethernet/IP 協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為 E-1、E-2、E-3，其中 E-1 約占所捕獲總流量的 80%。美國西海岸地區的 Ethernet/IP 協議蜜罐捕獲的攻擊流量采用 E-1、E-2、E-3 三種攻擊類型，其中，E-1 以 87%的高占比成為該地區Ethernet/IP 協議蜜罐所捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對Ethernet/IP 協議進行攻擊的主要手段。45 圖 6-5 Modbus 協議攻擊類型占比圖（數據來源“諦聽”）“諦聽”

101、團隊將 Modbus 協議蜜罐部署在中國華東地區和美國東海岸，兩地區均為工業發達地區，工業控制設備數量龐大，將 Modbus 協議蜜罐部署在該地區不但易于偽裝隱藏，且易于收集更多的攻擊信息，也易于發現新型的滲透攻擊手段。由圖 6-5 可知，中國華東地區的 Modbus 協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為 M-1、M-2 類型，其中 M-1 攻擊類型占所捕獲總流量的 35%，M-2 攻擊類型占所捕獲總流量的 31%。美國東海岸 Modbus 協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為 M-1、M-2、M-3，其中 M-1 攻擊類型占所捕獲總流量的 46%，約為 M-2 與 M-3 兩種攻

102、擊類型占比之和，M-2 與 M-3 相互之間占比差距較小。由此可見以上攻擊類型是對 Modbus 協議進行攻擊的主要手段。本團隊對 Ethernet/IP 和 Modbus 的 ICS 網絡流量進行了解析、建模、評估，但其中還存在部分未知的攻擊類型，針對未知的攻擊類型還需開展 進一步的深入研究，以便提供更有效的 ICS 流量檢測與攻擊預警，評估其潛在的攻擊意圖，制定針對性的防御措施。46 6.4 工控蜜罐與威脅情報數據關聯分析 近年來，工控攻擊行為頻發，攻擊者利用不同類型的攻擊方式竊取信息、損壞系統或勒索錢財。目前，工控攻擊呈現出多樣化、廣泛傳播、難以追蹤等特征。威脅情報（TI）在預防和監控工

103、控攻擊方面起著至關重要的作用，通過與蜜罐數據的關聯分析更加充分說明了這一點。與此同時，基于威脅情報（TI）的分析技術能夠積極收集和整合全球范圍內分散的攻擊與威脅信息，通過收集和分析來自多個來源的情報，能夠及時了解最新的威脅趨勢和攻擊活動，從而采用智能化的攻擊響應措施，實現對大規模網絡攻擊的預防與對抗。我們的團隊對 2023 年全年采集到的威脅情報和蜜罐數據進行了關聯分析。由“諦聽”網絡安全團隊開發并于 2021 年 2 月上線的威脅情報搜索引擎（https:/www.TI）是基于“諦聽”威脅情報中心而研發的應用服務。威脅情報中心存有海量威脅情報數據，提供全面準確、內容詳細的相關決策支持信息，為

104、行業系統安全提供保障。面對復雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報搜索引擎刻不容緩，旨在為工業、企業、組織以及個人提供更加全面的情報信息，打造以威脅情報平臺為基石的網絡安全空間。2023 年“諦聽”蜜罐和威脅情報中心均采集到大量新數據，為探尋數據間潛在的相關性，“諦聽”團隊計算威脅情報數據和蜜罐數據的重疊部分，并根據攻擊類型的不同將數據分為 5 類。其中包括代理 IP（proxy）、命令執行與控制攻擊（command execution and control attacks）、惡意 IP（reputation）、垃圾郵件（spamming）和洋蔥路由（tor）。每種類型數據與蜜

105、罐數據重疊部分在二者中的占比如圖 6-6，本團隊對該圖的分析如下。47 圖 6-6 威脅情報與蜜罐數據關聯占比（數據來源“諦聽”）圖 6-6 中威脅情報數據來源于“諦聽”威脅情報中心，該系統所記錄的數據為安全網站或安全數據庫中的情報數據，本團隊根據情報數據攻擊類型不同分別記錄在不同的數據表中。而直接在部署在國內外網絡節點上的工控蜜罐通過模擬暴露在互聯網上的工業控制設備，開放設備對應工業網絡協議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時，監聽捕捉流經此節點的網絡流量，以保證攻擊信息的真實性與可用性。因此，圖中威脅情報數據與工控蜜罐數據有重疊的部分表示情報中心收集到的 IP 地址確實發生了

106、工控攻擊，這可以讓系統更有針對性的對攻擊進行防御。下面對具體的數據進行分析。首先，與 2022 年類似，2023 年占蜜罐數據最多的攻擊類型依然是“惡意 IP”，達到了 10.403（經過 ln 函數計算后），本團隊認為發起代理 IP、命令執行與控制攻擊、垃圾郵件和洋蔥路由攻擊的攻擊者 IP 在主觀上均可以標識為“惡意 IP”，這可能是“惡意 IP”的關聯占比最高的原因，未來工控產業可能需要更加嚴格地細分“惡意 IP”的認證標準，將工控網絡中的“惡意 IP”概念與其他網絡作準確的區別。其次，與 2022 年相同的是，今年“命令執行與控制攻擊”關聯仍然占比排名第二，但 2023 年“命令執行與控

107、制攻擊”關聯占比有所回升?！懊顖绦信c控制攻擊”是指攻擊者通過操控惡意代碼或程序，在目標系統中執行指令并控制其行為。在工控網絡中，威脅情報與蜜罐數據關聯 （數據來源 ）理 行與控制攻擊 意 件 路 威脅情報蜜罐 48 攻擊者可能通過遠程命令執行，實現對工控系統的遠程控制。這種情況下，攻擊者可以修改控制系統的參數，改變生產流程，或者導致設備異常運行，造成生產中斷或質量問題。因為工業控制系統負責監控和管理實際的物理過程，如電力系統、制造過程、水處理等，這種類型的攻擊可能導致嚴重的安全威脅。最后，在蜜罐數據中，攻擊中涉及“代理 IP”的情報數量最少。本團隊推測：代理IP 作為一種特殊的 IP 地址，

108、依據通常的使用習慣，用戶購買代理 IP 并不能隨意使用。這些IP會由專門的管理人員進行監管，當發現某用戶頻繁通過特定的代理IP進行攻擊，管理人員會迅速回收該 IP，停止其使用權限。同時，當前針對“代理 IP”攻擊的防護解決方案較為成熟，因此攻擊者更趨向于采用多種手段對工控系統進行全方位的攻擊。6.5 工控網絡探針 6.5.1 數據處理之 Honeyeye 隨著信息網絡與現代工業不斷高度融合，大量工控系統逐漸與公共互聯網連接，這為其本身帶來了巨大的網絡安全風險。如今網絡攻擊日益復雜和隱蔽，針對工控系統進行攻擊的技術和方式層出不窮。傳統的網絡安全防護措施在面對網絡攻擊時，可能會出現抓取不到網絡流量

109、導致后續檢測不到網絡攻擊的情況，因此網絡探針技術應運而生，為網絡安全防護提供數據支撐。網絡探針是一個用于捕獲網絡數據并進行實時監控和分析的組件，它通常被部署在工控網絡中的關鍵位置，對工控網絡的安全防護有著十分重要的意義。由“諦聽”網絡安全團隊研發的 Honeyeye 工控網絡探針主要由終端硬件和功能軟件組成，支持 30 余種工控協議的解析。Honeyeye 捕獲到工控系統的網絡流量之后，對其捕獲到的數據進行分析和預處理，將網絡流量數據解析成可讀性更高以及機器更易處理的格式，然后將所需數據傳輸到數據中心。后續通過對 Honeyeye 輸出的數據綜合處理分析可實現對工控網絡進行異常行為識別和處理。

110、49 圖 6-7 不同流量上 Honeyeye 和 Wireshark 解析時間對比（數據來源“諦聽”）從圖 6-7 可以看出，相較與主流的網絡流量解析工具 Wireshark，本團隊所研發的探針 Honeyeye 解析速度更快。Wireshark 僅僅將捕獲的原始二進制數據保存在 PCAP 文件中，未對數據進行任何轉換。相比之下，Honeyeye 捕獲網絡流量并進行解析后，將數據轉換為更易處理的格式，并以 Json 格式傳輸到遠端服務器，便于人員查看以及處理分析。6.5.2 網絡安全態勢可視化 本團隊開發的網絡安全態勢可視化系統便于用戶查看設備網絡情況以及通信數據，為用戶監控設備網絡環境、查

111、看網絡流量、發現網絡異常等提供了便利。Honeyeye 把捕獲到的網絡流量數據的格式進行轉換并發送到遠端服務器后，網絡安全態勢可視化系統分析其中的數據并進行相關展示。網絡安全態勢可視化系統包括設備狀態監測、網絡流量統計、工控協議數據包數量統計、設備交互地址統計等模塊，用戶通過此系統可查看設備的運行狀態、傳輸速率、實時流量統計、帶寬變化等數據。此外用戶可根據這些數據來判斷設備和通信網絡是否發生異常，以便減少突發事件，進而為網絡安全提供保障。50 7.工業互聯網安全發展現狀及未來展望 7.1 工業互聯網安全發展現狀 7.1.1 工業互聯網安全產業發展現狀 隨著工業互聯網的普及與發展，互聯網與工業的

112、融合不斷向前推進，隨之而來的是工業領域安全事件頻發。企業對工控網絡安全的關注加深，工業互聯網安全需求量持續增大，據中國工業信息安全產業發展態勢研究顯示，2021 年，我國工業信息安全產業規模達 168 億元，其中工業互聯網安全產業規模為 75.7 億元8；2022 年，我國工業信息安全產業規模達 204.86 億元，市場增長率達 21.62%9。我國工業互聯網安全市場需求不斷增長、產業生態逐漸完善，整體產業規模呈持續增長態勢。目前，工業互聯網安全產業的組成主要分為安全產品和安全服務兩大類10。在安全產品方面，防護類產品主要包括邊界和終端安全防護，這是目前市場上發展較為成熟且市場占有率較大的形態

113、。在管理類產品方面，態勢感知、安全合規管理和安全運維等產品成為安全廠商布局的重要方向。在國家和行業政策的推動下，我國工業企業對合規安全和內生安全的需求加速增長，未來這類產品的市場規模也將保持穩定增長。在工業互聯網安全服務方面，由于工業網絡威脅趨向多樣化和復雜化，傳統的單一安全產品模式已經難以滿足用戶的安全防護需求。因此，以風險評估、安全管理咨詢、安全應急響應、安全托管服務為主的安全服務受到更多關注。工業互聯網安全評估和安全培訓的需求逐漸增加，科研院所和高校對工業信息安全人才培養的重視也促使安全培訓服務市場快速增長。表 7-1 工業互聯網安全產業結構 名稱 一級分類 二級分類 典型產品或服務 工

114、業互聯網安全產業結構 安全產品 防護類產品 防火墻、防病毒軟件、終端入侵檢測、網絡入侵檢測、工業安全審計等 管理類產品 身份認證管理、安全運維管理、補丁管理等 51 安全服務 實施類服務 安全加固、安全集成等 運營類服務 安全培訓、安全代理等 管理類服務 安全運維管理、身份認證管理、安全結構管理等 咨詢類服務 安全咨詢、安全評估等 7.1.2 工業互聯網安全技術發展現狀 工業互聯網安全是工業系統安全和網絡空間安全相融合的領域，涵蓋工業領域數字化、網絡化、智能化過程中各個要素和各個環節的安全。我國工業互聯網安全技術體系可以分為外建安全（IT 安全）和內嵌安全（OT 安全）兩大類。隨著工業互聯網的

115、加速推進，來自工控系統、工業智能設備、數據的安全問題不容忽視，以 IT 安全為主的安全產品和防護并不能滿足工業互聯網安全，目前 IT 安全和 OT 安全充分結合進行縱深發展。隨著大數據、云計算、人工智能、邊緣計算等新一代信息技術在工業互聯網領域快速應用，IT 和 OT 的融合進程也在加速。這一系列技術的變化對安全理念和技術提出了新的要求，推動安全態勢感知、安全可視化、威脅情報、大數據處理等新技術在工業互聯網安全領域取得持續突破。促使定制化安全產品加速出現，滿足客戶不同產品形態、性能的需求；安全服務將由現場服務為主、遠程服務為輔轉向遠程化、云化、自動化、平臺化發展。整體而言，圍繞設備、控制、網絡

116、、應用、數據五大安全領域，結合多領域、新技術的工業互聯網安全解決方案將不斷出現，為工業企業部署安全防護措施提供可參考的模式。7.1.3 工業互聯網安全目前面臨的風險和挑戰 工業互聯網平臺具有安全風險。工業互聯網平臺邊緣層存在對海量工業設備狀態感知、安全配置自動更新和主動管理等方面的不足，由此導致利用大量工業設備發起的高級持續性威脅（APT）攻擊的感染范圍更廣、傳播性更強。工業互聯網平臺上的工業應用系統越發多樣，需要集成多個低耦合的工業微服務組件。然而，由于缺乏詳細的安全 52 設計，這些系統容易受到內部入侵、跳板入侵、內部外聯、社會攻擊和非法訪問等多方面的安全威脅。工業互聯網網絡具有安全風險。

117、工業互聯網標識解析系統是工業互聯網網絡結構的關鍵組成部分，是實現全球制造業發展和工業互聯網運營的基礎設施，為互聯互通提供關鍵資源和基礎服務。標識解析系統的安全性涉及到 DNS、數字證書、域名注冊、路由與 IP 地址等方面，很容易受到來自于外部的非法入侵。在 5G 網絡安全方面，隨著 5G與工業互聯網的深度融合，引入了邊緣計算等新技術，大量工業設備接入網絡。這一趨勢打破了傳統工業相對封閉可信的安全環境，導致了病毒、勒索軟件、系統漏洞以及DDoS 攻擊等安全風險在工業領域不斷增加，這些安全威脅對工業系統的威脅日益加劇。工業互聯網設備具有安全風險。在工業控制設備安全方面，工業控制系統雖然集成度高，但

118、安全防護相對薄弱，存在被非法訪問控制的風險，可能導致工業生產中斷或設備損壞。不同工業控制設備的安全能力參差不齊，缺乏統一的安全標準和規范，這使得整體安全防護水平無法得到有效提升。工業主機安全風險方面，隨著企業信息網絡的廣泛應用與不斷改進，越來越多的工業主機被引入工業環境。這些主機系統的復雜性導致存在各種軟硬件和接口漏洞，如操作系統漏洞、工控系統平臺漏洞等，這些漏洞可能被黑客利用，從而導致系統被入侵和控制。隨著工業互聯網發展的同時，其設備漏洞的數量和種類逐漸增多，這給企業甚至國家帶來了極高的網絡安全風險，如果能夠及時發現設備漏洞的種類和數量并將其漏洞修復，那么將會規避大部分的網絡威脅，根據 CN

119、VD 統計的發生數量最多的 100 例漏洞類型來看，緩沖區溢出類型漏洞數量占比最多，以 13%位居首位，任意文件上傳類型漏洞數量最少，占比 4%，其他類型漏洞占比 44%11，根據圖 7-1 所示。53 圖 7-1 Top100 漏洞類型統計 7.2 政策標準完善 這些年來，我國工業互聯網發展取得顯著成效，政策體系持續健全，技術產業創新突破，數字賦能氣勢磅礴，生態建設日益完善。工業互聯網作為新型工業化的重要組成部分和關鍵驅動，對實現量的增長、質的提升、技的進步、數的轉型、碳的治理、鏈的安全具有重要作用12。二十大以來，我國不斷推動工業互聯網創新戰略走深走實，與我國的產業發展相互適應、齊頭并進。

120、2023 年 6 月，工信部印發了工業互聯網專項工作組 2023 年工作計劃，啟動“5G+工業互聯網”512 升級版工作方案，全方位、多層次的政策體系將持續引領“5G+工業互聯網”向更大規模、更廣范圍、更深層次發展。計劃要求，開展平臺體系壯大行動。一是推動工業互聯網平臺在企業、園區、產業集群應用推廣。二是強化平臺設施建設，遴選跨行業跨領域綜合型、面向重點行業和區域的特色型、面向特定技術領域的專業型工業互聯網平臺。三是加快工業設備和業務系統上云上平臺，加速已有工業軟件云化遷移。四是加快推進工業設備數據字典標準研制與推廣應用。五是研制分類型工業互聯網平臺供應商能力畫像，推動平臺與用戶需求對接與適配

121、13。以計 54 劃為指引，未來將繼續完善與制定政策，在工業互聯網安全領域，積極制定并不斷完善相關政策法規，以適應科技快速發展的變化；建立健全的標準體系，促進工業互聯網安全的全面發展。政策標準將涉及設備安全、數據安全、應用安全等各個方面，并引入認證機制以確保相關產品和服務符合這些標準；加強規范管理，企業在工業互聯網安全方面應建立完善的管理制度，確保各級責任和權限的明確，并通過有效的執行機制保障各項安全措施的實施?？傮w來看，我國的工業互聯網已實現起步發展，在基礎設施建設、公共平臺打造、優質企業及供應商培育、新模式新業態發展等方面初顯成效。在未來的發展中，工業互聯網將加速向細分垂直領域延伸，制定和

122、完善政策，建立健全的標準體系，加強規范管理，深度解決行業發展的痛點問題。隨著新型基礎設施的建設量質并進，新模式、新業態的大范圍推廣，預計產業綜合實力會顯著提升。7.3 安全技術融合 工業互聯網的快速發展為制造業帶來了前所未有的機遇，同時也伴隨著新的安全挑戰。將工業互聯網安全與新興技術（如人工智能、區塊鏈和邊緣計算等）深度融合，能夠構建更強大、更可靠的工業互聯網系統，為工業界帶來持續的增長和繁榮。人工智能與工業互聯網安全結合為威脅檢測和防御提供了更高效和準確的方法。通過運用機器學習和深度學習算法，可以實時監測并預警異常行為，增強對未知攻擊和高級威脅的識別能力。區塊鏈技術的引入為工業互聯網系統的數

123、據和通信安全提供了新的保障。區塊鏈技術以其分布式、不可篡改及可追溯性，為工業互聯網數據和通信安全提供了有力保障。其去中心化特點減少了單點故障和攻擊風險，強化了系統的穩健性和抗攻擊性，同時也在身份驗證、訪問控制以及供應鏈安全管理等方面發揮重要作用。邊緣計算的發展為工業互聯網安全帶來了更高效的實時監測和響應能力。通邊緣計算可以將計算和數據處理推向網絡的邊緣，減少了數據傳輸和處理的延遲。邊緣計算還可結合安全技術，以實現分布式的入侵檢測和防御，將安全功能與設備和傳感器緊密集成，提高系統整體的安全性。55 信息技術（IT）與操作技術（OT）的日益融合，驅動著工業數字化轉型和制造業高質量發展。以工業互聯網

124、為代表的數字化應用正深刻改變著工業生產管理、運營決策及制造執行等多個環節。然而，IT 與 OT 融合也加劇了工業生產安全問題的復雜性。因此，在數字化轉型背景下，確保工業生產安全運行至關重要，企業須構建全面適應網絡威脅變化的安全體系，實現 IT 與 OT 安全的有效融合。因此我們從網絡融合14、安全標準15、授權訪問16、實時監控和響應17四個方面深入探討了 IT 與 OT 融合的關鍵要素。網絡融合：在將 IT 與 OT 網絡整合為一個統一的架構時，必須認識到它們之間在網絡通信協議、網絡架構和安全需求方面的顯著差異。雖然這種整合可以提高信息流通效率和實時性，但也帶來了新的網絡安全挑戰，增加了潛在

125、威脅的曝露范圍，導致安全問題頻發。因為傳統的 IT 安全措施可能不足以應對工業控制系統的需求，同時 OT 系統的特殊性也需要考慮不同的安全策略。因此可以通過網絡隔離和分段，確保 IT 和 OT 系統的獨立性，以防止橫向傳播攻擊。同時，加強訪問控制和身份驗證，實施嚴格的權限控制。對于敏感數據的傳輸，采用加密通信技術來保障數據的機密性。在防御層面，部署專門為 IT 和 OT 系統設計的防火墻和入侵檢測系統（IDS），以及使用虛擬專用網絡（VPN）來保障遠程連接的安全性。此外，定期進行網絡安全審計，漏洞管理也是確保網絡安全的關鍵步驟。這種綜合的安全策略旨在平衡信息流通效率和網絡安全性，以應對不斷演變

126、的網絡威脅。在追求高效性的同時，確保整合后系統的穩健性和抗攻擊性，以應對日益復雜和智能化的網絡威脅。安全標準：建立適用于 IT 和 OT 的統一全標準是確保工業系統全面抵御威脅的基礎。這種標準化的方法有助于統一安全策略、流程和技術實施，以確保在數字化轉型過程中整體安全性的一致性。IT 和 OT 通常涉及到不同的技術、流程和文化。通過建立統一的安全標準，可以確保在 IT 和 OT 之間實現一致性，消除可能存在的差異性和不一致性。而且統一的安全標準可以為 IT 和 OT 提供共同的風險評估方法，通過共享風險信息，可以更好地理解整個系統的安全狀態。統一的安全標準確保在 IT 和 OT 之間制定一致的

127、安全策略和控制措施，這包括身份和訪問管理、數據加密、網絡防御等方面，以確保全面的安全性覆蓋。建立適用于 IT 與 OT 的統一安全標準有助于確保工業系統在數字化轉型中更加安全、穩定，并能夠有效地抵御各種威脅。這是一個綜合性的方法，通過標準化的安全措施促使整個組織在 IT 和 OT 的融合中更好地應對安全挑戰。56 授權訪問：通過身份驗證、訪問控制和權限管理等技術，限制對數據的訪問權限，確保只有經過授權的人員能夠訪問關鍵系統和數據，從而有效保護敏感信息免受泄露。同時，采用數據加密算法對在 IT 和 OT 系統之間傳輸的數據進行加密，即使數據在傳輸過程中被截獲，攻擊者也無法輕松解讀其內容。此外，對

128、于存儲在數據庫或其他媒體上的數據，同樣應采用適當的加密算法來提高數據安全性。實時監控和響應：實現對 IT 和 OT 融合后網絡攻擊的實時監控和響應是關鍵的網絡安全措施。首先，在攻擊發生前利用安全信息與事件管理（Security information and event management,SIEM）系統集成并分析來自各種 IT 和 OT 系統的安全事件日志，以實現對網絡活動的實時監控，從而提前采取措施防止潛在的攻擊和入侵行為。SIEM 系統能夠自動檢測異常模式和潛在的威脅，提供及時的報警和警報。其次，在攻擊實施過程期間，利用實時流量分析工具和結合深度學習技術的入侵檢測方法，如入侵檢測系統（

129、IDS）和入侵防御系統（IPS），監控 IT 和 OT 系統之間的網絡流量，通過檢測異常流量模式、不尋常的通信和數據傳輸行為來發現潛在的攻擊活動。另外，在網絡中部署蜜罐，模擬真實系統，吸引攻擊者并記錄攻擊活動。通過以上方法可以提供對潛在攻擊者行為的實時了解，并幫助改善安全防護策略。最后，當攻擊發生后，利用 IT 和 OT 系統之間實施網絡隔離和切割策略，減少攻擊傳播的可能性。一旦檢測到異?；顒?，迅速隔離受影響的部分，阻止潛在的威脅在終端設備上擴散，以降低損害程度。7.4 產業協同創新 工業互聯網與產業協同創新，宛若現代產業蓬勃發展的引擎，正在引領著各個領域的深刻演變。在這個充滿無限機遇和巨大挑

130、戰的時代，人們對產業的前景充滿期待，涉足多個至關重要的領域。其中，突破傳統安全生產的束縛，有效建設業務安全，以及引領產業數字化智能化轉型，成為引領未來的關鍵驅動力。這一系列展望不僅將為產業創新打下堅實基礎，更將雕刻出一個更加活力充沛、可持續發展的未來畫卷。在安全生產方面，這是一個需要企業、政府、從業人員等多方通力合作的復雜系統工程。通過科學、規范、有序的安全生產管理，事故的發生概率得以有效降低，從而最大限度地保障從業人員的安全和健康。這全面的安全管理不僅是企業履行社會責任的體現，同時也是推動可持續經濟發展的不可或缺的要素。在這一背景下，工業互聯網技術 57 的應用成為提升生產安全性的關鍵手段。

131、通過實時監測和控制生產過程，工業互聯網技術顯著提高了生產的安全性水平。展望未來，工業互聯網將更深度地與安全生產相融合，通過智能手段預防潛在事故風險，確保生產過程的持續穩定和可靠性。這不僅有助于保障從業人員的安全，也為企業履行社會責任、推動經濟可持續發展提供了堅實的支持。工業互聯網在安全生產中的應用可以從 4 個方面展開：設備監測和維護，預警與預測，安全生產培訓，協同管理18。在設備監測和維護方面，通過引入傳感器和物聯網技術，能夠實時監測設備的運行狀態和故障情況。這使得問題能夠及時被發現和解決，通過工業互聯網，設備的數據能夠傳輸到云端進行深度分析和處理，從而有效避免因設備故障引發的安全生產事故，

132、保障生產的穩定性和可靠性。在預警與預測方面，大數據和人工智能技術的運用成為了強有力的手段。通過對設備運行數據和環境數據的深度分析和預測，能夠提前發現潛在的安全隱患和事故風險，并采取及時的措施進行防范。安全生產培訓方面，借助工業互聯網技術，企業能夠為員工提供豐富的培訓資源，包括在線課程和培訓視頻等。這樣的培訓方式有助于提高員工的安全意識和技能水平，使其更具備應對潛在危險的能力。最后，在協同管理方面，通過工業互聯網平臺的應用，企業內部和供應鏈之間實現了高效的信息共享和協作。這提高了安全管理的效率和準確性，使得各方能夠更迅速、準確地響應潛在安全風險，共同維護整體生產體系的穩定和安全。綜合來看，工業互

133、聯網技術全方位提升安全生產水平，通過監測、預警、培訓和協同管理等手段，有效減少安全事故發生率。產業數字化轉型是通過全方位、多角度、全鏈條的數字技術改造，旨在解決企業和產業發展中的難題。這一過程涉及重新定義和設計產品、服務，以實現業務的轉型、創新和增長。產業數字化轉型對推動我國經濟實現高質量發展具有至關重要的意義。工業互聯網技術為產業數字化智能化轉型提供了有力支持。借助工業互聯網，企業能夠實現生產環節的實時監測、數據交互和智能決策。這一技術連接了設備和系統，構建了更為智能的生產網絡，使得信息能夠更快速地流通，生產過程也更加智能化。工業互聯網與產業數字化智能化轉型相互促進，共同推動了企業數字化升級

134、和產業創新。未來，隨著工業互聯網技術的不斷發展，產業將更深度地整合先進的數字技術，包括更廣泛的人工智能應用、更復雜的大數據分析，以及更為智能的自動化系統。這將進一步提升生產效率、產品質量和企業創新能力，引領產業朝著數字化時代的新高度發展。通過工業互聯 58 網在產業數字化智能化轉型中的引領作用，企業將更好地適應未來數字化時代的挑戰，實現可持續發展。2023 年 10 月，全球工業互聯網大會在中國沈陽召開，本次會議以“賦能新型工業化 打造新質生產力”為主題，通過舉辦開幕式、主旨論壇、制造業數字化轉型對接活動、專題論壇、平行論壇、工業互聯網創新成果展等系列活動，助力推進工業互聯網創新發展。會上發布

135、了工業互聯網創新發展報告(2023)。報告顯示，當前，我國工業互聯網發展取得顯著成效。工業互聯網功能體系不斷完善，產業規模超 1.2 萬億元，5G 基站達到 313.8 萬個，培育 50 家“雙跨”工業互聯網平臺，應用已拓展至 45 個國民經濟大類，各地建設數字化車間和智能工廠近 8000 個，百余所院校增設工業互聯網相關專業，多地設立產業投資基金，工業互聯網平臺創新合作中心會員單位超 1100 家19。雖然工業互聯網已經融合進制造業，仍需在更多行業中深度融入，鞏固跨界合作，提高應用深度與廣度，為其他行業提供技術和解決方案支持，推動產業數字化全面向好發展。未來，工業互聯網創新將持續引領我國產業

136、的迭代創新，提升我國產業的核心競爭力。59 8.總結 2023 年，工業控制網絡安全仍然是我國發展的焦點。黨的二十大報告對推進新型工業化和構建現代化基礎設施體系進行了重大戰略部署，其中工業互聯網作為構建全面互聯的關鍵基礎設施被連續五年明確為政府工作報告的重點發展任務之一。這些舉措旨在確保工業互聯網的高質量發展，并加強工業互聯網安全防護，表明政府對工業控制網絡安全的高度重視。然而，隨著工業互聯網應用范圍的不斷擴大，安全風險也隨之增加。2023 年，工控領域仍然面臨著頻發的安全事件，各類網絡攻擊威脅持續上升。特別值得關注的是，針對關鍵基礎設施的攻擊呈現上升趨勢，這使得加強關鍵基礎設施安全工作刻不容

137、緩。全球工控設備暴露數量方面的排名發生了一定的變化，各國工控設備暴露數量回升。雖然2023 年工控系統行業漏洞數量相比去年有所回升，但近幾年的漏洞數量總體呈現下降趨勢。這表明在政府及行業的共同努力下，工業控制網絡的整體安全水平有所提升。威脅情報在工控網絡安全領域中發揮著關鍵的作用，通過與蜜罐數據的關聯分析，可以更好地理解網絡攻擊的趨勢和威脅形勢，從而采取更有針對性的防護措施?？傮w而言，2023 年工業控制網絡安全在政府戰略層面和實際執行層面都取得了一定的進展。工業互聯網作為新一輪產業革命的推動力，得到了國家大力支持。在未來，工業互聯網將促進不同產業之間的融合與創新，推動傳統產業向高質量、高效率

138、、高附加值的方向升級，加快智能制造、數字化轉型和基礎設施現代化的進程，為社會的可持續發展提供有力支持。參考文獻 1 國家信息安全漏洞共享平臺工業控制系統漏洞列表EB/OL.https:/ 國家信息安全漏洞共享平臺工控漏洞子庫EB/OL.https:/ 工業和信息化部關于印發工業控制系統網絡安全防護指南的通知EB/OLhttps:/ 4 2023年浙江經濟“成績單”出爐EB/OL.https:/ 5 GDP占全國9.9%2023年中國工業百強縣榜單出爐EB/OL.https:/ 6 2023兩岸工業互聯網融合發展研討會在昆山舉辦EB/OL.https:/www.china- 7 https:/

139、8 工業信息安全產業市場增長率達32.94%產業將繼續保持高景氣度EB/OLhttps:/ 9 我國工業信息安全產業發展趨勢EB/OLhttps:/ 10 我國工業互聯網安全產業發展態勢及路徑EB/OLhttps:/ 11 天融信發布2023年網絡空間安全漏洞態勢分析研究報告，持續加強防御力EB/OLhttps:/ 12 中國經濟網:工業互聯網迎規?；l展https:/ 13 工業互聯網的2023：邁入新階段、新方向、新模式年度盤點https:/ 14 安啟玲,鄭通.工業互聯網環境下IT/OT融合的安全防御技術的研究J.中國新通信,2022,24(06):131-133.15 彭瑜.IT/OT

140、融合的全方位理解和實現途徑J.自動化儀表,2022,43(04):1-5+9.DOI:10.16086/ki.issn1000-0380.2022030025.16 石永杰.工業互聯網環境下IT/OT融合的安全防御技術研究J.信息技術與網絡安全,2019,38(07):1-5+18.DOI:10.19358/j.issn.2096-5133.2019.07.001.17 萬喬喬,鐘一冉,周恒等.一種IT和OT安全融合的思路J.信息安全與通信保密,2023(01):79-86.18 工業互聯網+安全生產,如何實現雙贏EB/OLhttps:/ 61 19 產業規模逾萬億！實探2023全球工業互聯網

141、大會EB/OLhttps:/ 62 “”網絡安全團隊簡介“諦聽”網絡安全團隊，由東北大學姚羽教授帶領課題組師生組建，依托復雜網絡系統安全保障技術教育部工程研究中心，被遼寧省工信委授予“遼寧省工業信息安全支撐單位（首批）”，包括 3 名博士，10 名博士研究生，25 名碩士研究生。團隊的研究方向為工業互聯網安全，重點研究內容主要包括工業互聯網安全測繪、工業流量探針、工業流量異常檢測、工控蜜罐/蜜網、威脅情報、工業安全態勢感知等。課題組發表學術論文50 余篇，專利 8 項，軟件著作權 2 項，主編國內首部工業信息安全專著工控網絡安全技術與實踐，獲省部級以上科技獎勵二項、中國國際互聯網+大學生創新創業大賽國獎及省級金獎、“挑戰杯”遼寧省大學生創業計劃競賽金獎、中國高校計算機大賽網絡技術挑戰賽特等獎、ChinaVis 數據可視化分析挑戰賽一等獎等，制定國家、地方標準 3 項，連續 7 年發布工業控制網絡安全態勢白皮書。