中國信通院：2020年上半年工業互聯網安全態勢綜述（11頁）.pdf

《中國信通院：2020年上半年工業互聯網安全態勢綜述（11頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：2020年上半年工業互聯網安全態勢綜述（11頁）.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、 2020 年上半年工業互聯網 安全態勢綜述 中國信息通信研究院 工業互聯網產業聯盟 2020 年 9 月 前前 言言 在工業和信息化部網絡安全管理局的指導下，中國信息 通信研究院和工業互聯網產業聯盟編制形成了 2020 年上半 年工業互聯網安全態勢綜述，通過對工業互聯網領域重點 行業和相關企業 2020 年上半年的安全威脅監測、分析研判 和響應處置等情況進行梳理和分析，總結提出了上半年工業 互聯網安全態勢的十大突出特點，并對下半年工業互聯網的 安全態勢進行了預測。 本報告版權屬于中國信息通信研究院，并受法律保護。 2020 年上半年工業互聯網安全態勢綜述 一、上半年工業互聯網安全態勢 202

2、0 年上半年，我國工業互聯網安全態勢整體平穩，未 發現重大網絡安全事件，但惡意網絡行為持續活躍，對工業 控制系統及設備的攻擊持續增多、受攻擊的行業范圍廣，工 業互聯網安全形勢嚴峻。 （一）我國工業互聯網相關惡意網絡行為的次數呈現增（一）我國工業互聯網相關惡意網絡行為的次數呈現增 加趨勢，安全隱患突出。加趨勢，安全隱患突出。2020 年 1 月 1 日至 2020 年 6 月 30 日，國家工業互聯網安全態勢感知與風險預警平臺持續對全 國 136 個主要工業互聯網平臺、10 萬多家工業企業、900 多 萬臺聯網設備進行安全監測，累計監測發現惡意網絡行為 1356.3 萬次，涉及 2039 家企業

3、。其中，攻擊方式以異常流 量、非法外聯、僵尸網絡三類為主，均超過 300 萬次，累計 占惡意行為總數的 81%，惡意網絡行為排名見圖 1。與此同 時，異常流量中包含大量掃描、嗅探行為，表明當前針對工 業互聯網的網絡攻擊大部分為實施攻擊前的信息搜集，安全 隱患不容忽視。 圖 1 工業互聯網惡意網絡行為 （二）工業互聯網網絡攻擊主要集中于基礎性行業，疫（二）工業互聯網網絡攻擊主要集中于基礎性行業，疫 情期間醫療相關行業成關注重點。情期間醫療相關行業成關注重點。當前針對工業互聯網的惡 意網絡行為持續活躍，主要集中于制造業等基礎性行業，僅 計算機、通信和其他電子設備制造業遭受攻擊次數就將近 288 萬

4、次。疫情期間，醫藥制造、醫療器械服務、紡織等疫 情相關行業遭受惡意網絡行為數量較 2019 年有所上升，但 已隨疫情好轉而持續走低，從 1 月占全部工業企業惡意網絡 行為的 38.9%降至 6 月占比 10.4%，上半年工業企業及重點 行業惡意網絡行為態勢如圖 2 所示。 圖 2 工業互聯網惡意網絡行為態勢圖 4364253 3558594 3058019 1341167 779793 170494 701415467645962 22514 0 500000 1000000 1500000 2000000 2500000 3000000 3500000 4000000 4500000 500

5、0000 惡意行為類型TOP10 （三）（三）來自來自境外境外的的掃描掃描攻擊次數不斷攀升，部分物聯網攻擊次數不斷攀升，部分物聯網 設備權限長期被控制。設備權限長期被控制。我境內工業互聯網遭受境外攻擊占比 接近 5 成，多個境外 IP 段對我國工業互聯網企業進行長期 的掃描嗅探、嘗試攻擊以及外聯通信，主要境外攻擊來源惡 意行為變化趨勢如圖 3 所示。此外，監測發現僵尸網絡行為 305 萬起，控制端近 7 成位于境外，其中經研判分析的僵尸 網絡事件共 121 起，以 Mirai 家族為主，占總量 32.2%。境 內部分物聯網設備存在持續與境外通信的行為，存在被用于 發動 DDoS 攻擊的潛在風險

6、。 圖 3 攻擊來源惡意行為變化趨勢 （四）工業互聯網安全威脅信息通報處置機制（四）工業互聯網安全威脅信息通報處置機制初步建立初步建立， 疫情期間發揮重要作用。疫情期間發揮重要作用。建立安全威脅信息監測預警、通報 處置閉環機制，對相關威脅信息開展監測、研判和處置，為 疫情防控提供堅實網絡安全保障。截至 2020 年 6 月 30 日， 累計研判威脅信息 424 例，其中包括 152 家疫情物資生產、 醫藥制造相關企業感染僵尸網絡或木馬后門， 69 家醫療機構 0 500000 1000000 1500000 2000000 1月2月3月4月5月6月 攻擊來源惡意行為變化趨勢 境內境外 存在遠程

7、代碼執行、任意文件寫入等高危漏洞。與此同時， 按照公共互聯網網絡安全應急處置機制完成通報處置 119 例， 其中包括疫情重點醫院、 醫療器械制造企業等相關單位 55 例。 （五）聯網工業設備漏洞數量多、級別高，潛在威脅不（五）聯網工業設備漏洞數量多、級別高，潛在威脅不 容忽視。容忽視。截至 2020 年 6 月 30 日，累計監測發現聯網工控設 備漏洞隱患 946 個， 其中高危漏洞 385 個， 中危漏洞 472 個， 中、 高危漏洞占漏洞總數的 90.6%。 漏洞隱患類型將近 20 種， 主要為緩沖區堆溢出、設計缺陷、非法授權和跨站腳本等， 占漏洞隱患總量的 63.2%，漏洞危害等級和漏洞

8、類型分布如 圖 4 所示。部分漏洞存在公開利用代碼，被攻擊者獲取后可 輕易取得設備控制權限，存在較大安全風險。 圖 4 聯網工控設備漏洞隱患危害等級分布和漏洞隱患類型圖 （六） 聯網工業設備及系統 “帶病運行” 情況普遍存在，（六） 聯網工業設備及系統 “帶病運行” 情況普遍存在， 被攻擊門檻低。被攻擊門檻低。上半年發現的 946 個漏洞共涉及 212 個工業 設備及控制系統，包括人機交互接口（HMI）、企業資源計 劃系統 （ERP） 和可編程邏輯控制器 （PLC） 等， 占總數的 92%。 這些漏洞主要在 2011 年-2013 年間對外發布，表明當前存在 大量老舊工業控制系統或設備，未及時

9、升級或更新補丁，存 在較大安全風險，更容易遭受黑客的攻擊，會影響電力、制 造等行業，對基礎設施安全形成較大威脅。 （七）多個（七）多個 0DAY0DAY 漏洞被爆出，給我國工業互聯網造成漏洞被爆出，給我國工業互聯網造成 嚴重安全隱患。嚴重安全隱患。工業互聯網設備和控制系統越來越多地被挖 掘存在 0DAY 漏洞，如某工控廠商 PLC 設備存在一系列未 公開的 0DAY 漏洞，近萬臺正在產線上使用的工控設備受此 漏洞威脅。惡意用戶無需任何權限即可訪問這些管理接口， 黑客可通過刪除安全訪問限制后直接控制 PLC，遠程修改其 中的各種配置信息，導致系統故障、停產，甚至引發安全生 產事故，安全隱患突出。

10、 （八）勒索軟件對工業互聯網威脅加劇，安全事件頻繁（八）勒索軟件對工業互聯網威脅加劇，安全事件頻繁 曝出。曝出。勒索病毒通過互通的工業網絡在站與站之間、供應鏈 上游與下游之間造成大面積傳播，在汽車、能源、制造業等 重要領域均爆出相關安全事件，后果影響嚴重。某國際知名 汽車公司遭勒索軟件重創，引起其計算機服務器和相關網絡 毀損以及電子郵件無法使用，對部分產線和業務運作造成影 響。美國某芯片制造商遭 Maze 勒索軟件攻擊，造成 10.3GB 的會計和財務信息泄漏。歐洲某能源系統商遭到 SNAKE 勒 索軟件攻擊，導致其內部 IT 網絡中斷。 （九）車聯網領域（九）車聯網領域成為成為網絡攻擊網絡攻

11、擊新趨向新趨向，大量用戶數據，大量用戶數據 和個人隱私面臨泄露風險。和個人隱私面臨泄露風險。隨著車聯網智能化和網聯化的不 斷推進，該領域安全威脅事件日益劇增。2020 年 5 月，英國 謝菲爾德市爆發大規模道路通行記錄數據泄露事件，約 860 萬條記錄道路通行數據被泄露；同月，匿名黑客從交警登記 處獲取超過 1.29 億俄羅斯車主的數據，并將其暴露在“暗網” 上以獲取加密貨幣。英國某媒體調查報告披露，汽車行業兩 大巨頭公司的兩款暢銷車存在嚴重安全漏洞，黑客可利用該 漏洞發動攻擊，竊取車主的個人隱私信息甚至操控車輛。 （十）安全投資融資活躍，推動工業互聯網安全產業快（十）安全投資融資活躍，推動工

12、業互聯網安全產業快 速發展。速發展。隨著工業互聯網政策的持續利好，網絡安全關注度 持續上升，工業互聯網安全市場投融資高漲，奇安信、啟明 星辰、六方云等安全企業積極推進工業互聯網安全技術研發 突破， 紅杉資本、 盈動資本等專業投資機構等相繼發力布局。 根據網上公開信息統計， 2020 年上半年國內累計投融資事件 26 起，投融資規模達 15 億元。其中工業互聯網安全、數據 安全、 云安全等領域成為 2020 年上半年市場投融資熱點， 上 半年國內網絡安全投融資領域分布情況圖 5 所示。 圖 5 國內投資領域分布情況 二、下半年工業互聯網安全態勢預判 （一）“新基建”下的工業互聯網面臨（一）“新基

13、建”下的工業互聯網面臨安全新安全新挑戰。挑戰。隨 著人工智能、5G 等新一代信息技術和機器人等高端裝備與 工業互聯網融合應用，設備聯網、企業上云加速安全風險傳 導延展，網絡攻擊面從邊界向核心不斷擴大，推動工業互聯 網安全防護工作逐步向動態協同轉變，安全風險挑戰進一步 升級。 （二）惡意網絡行為將有增無減。（二）惡意網絡行為將有增無減。2020 年上半年，源于 境外的攻擊不斷增多，包括持續性嗅探掃描、僵尸網絡遠控 等，預計下半年該趨勢將延續。從監測角度看，僵尸網絡控 制端與境內被控端可能通過加密傳輸信息，監測難度將大幅 增加。來自境外 IP 對我國工業互聯網進行長期、持續、廣泛 的嗅探掃描，需引

14、起關注。 （三）（三）0DAY0DAY 漏洞數量將進一步提高，漏洞影響范圍將進漏洞數量將進一步提高，漏洞影響范圍將進 一步擴大。一步擴大。2020 上半年 CNVD 新增的工業控制系統漏洞數 量達到 315 個， 廣泛涉及制造業、 能源、 交通、 醫療等行業， 僅上半年的數量已達到 2019 年全年新增數量的 76.3%， 下半 年 0DAY 漏洞數量將會持續增加，行業分布依舊廣泛。從工 業企業角度看，工控設備中不僅存在老舊且利用門檻低的漏 洞， 更存在曝出0DAY漏洞的風險， 企業安全防護面臨挑戰。 （四）工業互聯網數據安全將成為企業（四）工業互聯網數據安全將成為企業亟待應對的關鍵亟待應對的

15、關鍵 問問題題。工業互聯網數據種類和保護需求多種多樣，設計、生 產、操控等各類數據分布在云平臺、用戶端、生態端等多種 設施上，目前單點、離散的數據保護措施難以有效保護工業 互聯網數據安全。工業互聯網承載著事關企業生產、社會經 濟乃至國家安全的重要工業數據，一旦被竊取、篡改或流動 至境外，將對國家安全造成嚴重威脅。 （五）工業互聯網安全融合應用解決方案將不斷涌現。（五）工業互聯網安全融合應用解決方案將不斷涌現。 安全廠商紛紛積極探索 5G、大數據、人工智能、區塊鏈等新 興技術在工業互聯網安全解決方案中的應用。例如，某廠商 推出 AI 安全免疫系統，通過流量監測、結合機器學習和人 工智能算法，為每

16、個設備和用戶建立起各自的健康模型，形 成新型威脅感知方案。工業互聯網產業聯盟將持續編制工 業互聯網安全典型解決方案 ， 不斷探索與新興技術的融合， 為企業部署安全防護措施提供可參考的模式。 （六）跨部門、跨行業、跨平臺的威脅信息通報處置機（六）跨部門、跨行業、跨平臺的威脅信息通報處置機 制將協同推進。制將協同推進。隨著越來越多的設備聯網、企業上云，企業 很難進行單獨的防御，行業及地方主管部門、工業互聯網企 業、設備提供商、安全服務商等需要建立協同機制，共同應 對來自各領域的安全威脅與挑戰。工業互聯網安全監測預警、 重大網絡安全事件報告、威脅信息通報、應急處置等系列機 制將進一步完善，逐步形成行業協同、政企聯動、動態閉環 的主動防御模式。 本報告由工業和信息化部網絡安全管理局指導，由中國 信息通信研究院和工業互聯網產業聯盟共同完成。國家工業 信息安全發展研究中心、中國電子技術產業發展研究院、中 國電子技術標準化研究院、中國工業互聯網研究院以及六方 云、綠盟、啟明星辰、東方國信、特變電工、亞鴻世紀、富 士康、樹根互聯、和利時、頂象、徐工信息、恒安嘉新等多 家企事業單位對本報告的編寫提供了大力支持。