諦聽網絡安全團隊：2022年工業控制網絡安全態勢白皮書（55頁）.pdf

1、2目錄1.前言.52.2022 年工控安全相關政策法規報告.62.1 工業和信息化領域數據安全管理辦法（試行）（征求意見稿）.62.2 信息安全技術 工業控制系統信息安全防護能力成熟度模型.62.3 電力可靠性管理辦法（暫行）.72.4 電力行業網絡安全管理辦法（修訂征求意見稿）.72.5 數據出境安全評估辦法.72.6 關于開展網絡安全服務認證工作的實施意見（征求意見稿）.82.7 關于修改中華人民共和國網絡安全法的決定（征求意見稿）.82.8 信息安全技術 關鍵信息基礎設施安全保護要求.82.9 工業互聯網 總體網絡架構.92.10 網絡產品安全漏洞收集平臺備案管理辦法.92.11 信息安

2、全技術 網絡安全服務能力要求.92.12 信息安全技術 關鍵信息基礎設施網絡安全應急體系框架.93.2022 年典型工控安全事件分析.113.1 德國主要燃料儲存供應商遭網絡攻擊.113.2 FBI 警報：美國關鍵基礎設施正遭受 BlackByte 勒索軟件入侵.113.3 白俄羅斯鐵路遭到 Anonymou 入侵，所有網絡服務中斷.113.4 東歐大型加油站遭勒索攻擊，官網、APP 等全部下線.123.5 烏克蘭的能源供應商成為 Industroyer2 ICS 惡意軟件的目標.12UVmVpNpNVVlWqU0ZvXaQ9R7NnPrRoMmPfQrRoPkPmOqQ8OpOtPNZnMm

3、QwMsQnQ33.6 農業機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響.123.7 得克薩斯州一家液化天然氣廠遭黑客攻擊導致爆炸.133.8 伊朗 lycaeum APT 組織利用新的 DNS 后門攻擊能源行業.133.9 德國建材巨頭 Knauf 被 Black Basta 勒索軟件團伙襲擊.133.10 希臘天然氣分銷商 DESFA 部分基礎設施遭受網絡襲擊.143.11 黑客組織 GhostSec 入侵以色列各地的 55 個 PLC.143.12 黑客組織 KILLNET 對美國機場網站發起分布式拒絕服務(DDoS)攻擊.143.13 網絡攻擊導致丹麥最大鐵路公司火車全部停運.1

4、53.14 烏克蘭政府機構和國家鐵路遭受新一波網絡釣魚攻擊.154.工控系統安全漏洞概況.175.聯網工控設備分布.205.1 國際工控設備暴露情況.225.2 國內工控設備暴露情況.245.3 國內工控協議暴露數量統計情況.275.4 俄烏沖突以來暴露設備數量變化.296.工控蜜罐數據相關分析.326.1 工控蜜罐全球捕獲流量概況.326.2 工控系統攻擊流量分析.346.3 工控系統攻擊類型識別.376.4 工控蜜罐與威脅情報數據關聯分析.396.5 工控網絡探針.4147.工業互聯網安全創新發展.447.1 工業互聯網與智能制造.457.2 工業互聯網與產業數字化轉型.477.3 工業互

5、聯網與典型工業環境.488.總結.53參考文獻.5451.前言關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等，對國家的穩定發展發揮著極端重要的作用。工業控制系統是關鍵信息基礎設施的關鍵核心。隨著制造強國、網絡強國戰略的持續推進，機械、航空、船舶、汽車、輕工、紡織、食品、電子等行業生產設備逐漸步入智能化階段。與此同時，5G 技術、人工智能、云計算等新一代信息技術與制造技術的加速融合，使得工業控制系統正從封閉獨立逐步走向

6、開放互聯。工業控制網絡正與 IT 網絡進行著深度融合，在促進工業進一步發展的同時，傳統信息網絡中的各種安全威脅已經逐步延伸至工業控制網絡中。在黨的二十大報告中，習近平總書記著重強調了：“要推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定?！苯陙?，網絡攻擊、網絡竊密等危及國家安全行為，給社會生產生活帶來了不少安全隱患。如何有效保障網絡與信息安全，是數字時代的重要課題。2022 年 4 月，為貫徹落實 2022 年政府工作報告關于“加快發展工業互聯網”的部署要求，扎實推進工業互聯網創新發展行動計劃(2021-2023 年)任務安排，工信部印發工業互聯網專項工作組 2022 年工作計劃。從

7、夯實基礎設施、深化融合應用、強化技術創新、完善要素保障等方面，提出了網絡體系強基、標識解析增強、平臺體系壯大等 15 大類任務 83 項具體舉措。為順應當前形勢，東北大學“諦聽”網絡安全團隊基于自身傳統的安全研究優勢開發設計并實現了“諦聽”網絡空間工控設備搜索引擎（http:/），并根據“諦聽”收集的各類安全數據，撰寫并發布 2022 年工業控制網絡安全態勢白皮書，讀者可以通過報告了解 2022年工控安全相關政策法規報告及典型工控安全事件分析，同時報告對工控系統漏洞、聯網工控設備、工控蜜罐、威脅情報數據及工業互聯網安全創新發展情況進行了闡釋及分析，有助于全面了解工控系統安全現狀，多方位感知工控

8、系統安全態勢，為研究工控安全相關人員提供參考。62.2022 年工控安全相關政策法規報告隨著互聯網的快速發展，云計算等新型信息技術開始與傳統工業進行融合，工業控制系統逐漸走向智能化。但與此同時，一些網絡安全事件層出不窮，工業控制系統在信息安全方面受到了嚴峻挑戰。因此，我國開始逐步完善工業信息安全政策標準，以便于提升工業信息安全保障技術，推動整個安全產業的發展。通過梳理 2022 年度發布的相關政策法規報告，整理各大工業信息安全研究院及機構針對不同法規所發布的解讀文件，現摘選部分重要內容并對其進行簡要分析，以供讀者進一步了解國家層面關于工控安全領域的政策導向。2.1 工業和信息化領域數據安全管理

9、辦法（試行）（征求意見稿）2022 年 2 月 10 日，工信部再次公開征求對工業和信息化領域數據安全管理辦法（試行）（征求意見稿）的意見。此次發布的征求意見稿調整了數據定義、監管機構和核心數據目錄備案等條款。在工業和信息化領域數據處理者責任方面，征求意見稿明確了其對數據處理活動負安全主體責任，對各類數據實行分級防護，保證數據持續處于有效保護和合法利用的狀態。該征求意見稿增加了核心數據跨主體處理以及日志留存條款，要求需要跨主體提供、轉移、委托處理核心數據時，應當評估安全風險，采取必要的安全保護措施，并經由地方工業和信息化主管部門（工業領域）或通信管理局（電信領域）或無線電管理機構（無線電領域）

10、報工業和信息化部。工業和信息化部嚴格按照有關規定對其進行審查。2.2 信息安全技術 工業控制系統信息安全防護能力成熟度模型2022 年 4 月 15 日，根據國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2022 年第 6 號），國家標準 GB/T 41400-2022信息安全技術 工業控制系統信息安全防護能力成熟度模型正式發布，并將于 2022 年 11 月進行正式實施。該標準由中國電子技術標準化研究院聯合“產學研用測”41 家單位共同研制，意在貫徹落實國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見有關要求、進一步推動工業企業落實工業控制系統信息安

11、全防護指南防護要點。72.3 電力可靠性管理辦法（暫行）2022 年 4 月 25 日，國家發改委官網公布了電力可靠性管理辦法（暫行），并于 6 月 1 日起開始實施。辦法第七章對電力網絡安全做出了明確要求，其中提出了電力網絡安全堅持積極防御和綜合防范的方針；電力企業應當落實網絡安全保護責任，健全網絡安全組織體系；電力企業應當強化電力監控系統安全防護；電力用戶應當根據國家有關規定和標準開展網絡安全防護，預防網絡安全事件，防止對公用電網造成影響；國家能源局依法依規履行電力行業網絡安全監督管理職責等具體要求。2.4 電力行業網絡安全管理辦法（修訂征求意見稿）2022 年 6 月 14 日，國家能源

12、局對電力行業網絡與信息安全管理辦法（國能安全2014317 號，為加強電力行業網絡安全監督管理以及規范電力行業網絡安全工作，根據中華人民共和國網絡安全法中華人民共和國密碼法中華人民共和國數據安全法中華人民共和國個人信息保護法中華人民共和國計算機信息系統安全保護條例關鍵信息基礎設施安全保護條例及國家有關規定，制定本辦法。）、電力行業信息安全等級保護管理辦法（國能安全2014318 號，為規范電力行業網絡安全等級保護管理，提高電力行業網絡安全保障能力和水平，維護國家安全、社會穩定和公共利益，根據中華人民共和國網絡安全法中華人民共和國密碼法中華人民共和國計算機信息系統安全保護條例關鍵信息基礎設施安全

13、保護條例信息安全等級保護管理辦法 等法律法規和規范性文件，制定本辦法。）進行修訂，形成了電力行業網絡安全管理辦法（修訂征求意見稿）電力行業網絡安全等級保護管理辦法（修訂征求意見稿），向社會公開征求意見。2.5 數據出境安全評估辦法2022 年 7 月 7 日，國家互聯網信息辦公室公布了數據出境安全評估辦法（以下簡稱辦法），并于 2022 年 9 月 1 日起開始施行。出臺辦法是為了更好的落實網絡安全法、數據安全法、個人信息保護法的規定，并且有利于保護個人信息的權益，社會公共的利益，規范數據出境的活動以及維護國家的安全。該辦法8也規定了數據出境安全評估的范圍、條件和程序，并具體指明數據出境安全評

14、估工作的方法。2.6 關于開展網絡安全服務認證工作的實施意見（征求意見稿）2022 年 7 月 21 日，市監總局發布 關于開展網絡安全服務認證工作的實施意見（征求意見稿），公開征求意見至 8 月 21 日。應當依法設立從事網絡安全服務認證活動的認證機構，保證其具備從事網絡安全服務認證活動的專業能力，并嚴格經過市場監管總局征求中央網信辦、公安部意見后批準取得資質。嚴格要求網絡安全服務認證機構公開認證收費標準和認證證書有效、暫停、注銷或者撤銷等狀態，按照有關規定報送網絡安全服務認證實施情況及認證證書信息。2.7 關于修改中華人民共和國網絡安全法的決定（征求意見稿）2022 年 9 月 14 日，

15、國家互聯網信息辦公室會同相關部門起草了關于修改中華人民共和國網絡安全法的決定（征求意見稿），并向社會公開征求意見。意見反饋截止時間為 2022 年 9 月 29 日。自 2017 年中華人民共和國網絡安全法開始實施后，其為維護網絡空間主權和國家安全、社會公共利益，保護公民等合法權益，提供了有力法律保障。隨著社會形勢的發展，擬對中華人民共和國網絡安全法進行修改，使其法律責任制度能夠更加完善，能夠更加有效的保障網絡的安全。2.8 信息安全技術 關鍵信息基礎設施安全保護要求2022 年 10 月 12 日，國家標準化管理委員會發布 2022 年第 14 號中華人民共和國國家標準公告，批準發布國家標準

16、 GB/T 39204-2022信息安全技術 關鍵信息基礎設施安全保護要求，信息安全技術 關鍵信息基礎設施安全保護要求規定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估等方面的安全要求。此次標準的發布，意味著我國的國家關鍵信息基礎設施（電力，燃氣，水力，石化等）工業控制系統的網絡安全保護將納入國家監督成為強制要求，標志著我國關鍵信息基礎設施安全保障體系的建設進一步完善，為運營者開展關鍵信息基礎設施的安全保護工作提供更有效的規范和引領。標準將于 2023 年 5 月 1 日開始實施。92.9 工業互聯網 總體網絡架構2022 年 10 月 14 日，國家標準化管理委員會發布 2022 年

17、第 13 號中華人民共和國國家標準公告，批準發布國家標準 GB/T 42021-2022工業互聯網 總體網絡架構。工業互聯網 總體網絡架構是我國首個在工業互聯網網絡領域中發布的國家標準，其規范了工業互聯網工廠內外網絡架構的目標架構和功能要求，并且表明了工業互聯網網絡實施的框架以及對安全方面的要求，相關標準的規定有助于提升全行業全產業的數字化、網絡化以及智能化水平，能夠進一步促進相關產業向數字化轉型。該標準將于 2023 年 5月 1 日開始實施。2.10 網絡產品安全漏洞收集平臺備案管理辦法2022 年 10 月 28 日，工業和信息化部近日印發 網絡產品安全漏洞收集平臺備案管理辦法。辦法規定

18、，將采取網上備案的形式進行，通過工業和信息化部網絡安全威脅和漏洞信息共享平臺對漏洞收集平臺進行備案。相關參與者需在該共享平臺上如實填報網絡產品安全漏洞收集平臺的備案登記信息。該辦法將于 2023 年 1 月 1 日起施行。2.11 信息安全技術 網絡安全服務能力要求2022 年 11 月 9 日，全國信息安全標準化技術委員會秘書處發布 信息安全技術 網絡安全服務能力要求（征求意見稿），并向社會公開征求意見，該意見征求截止時間為 12 月 9 日。該文件嚴格要求了網絡安全服務機構所提供的安全服務應該具備的能力水平。該文件能夠對網絡安全服務機構開展網絡安全服務能力建設進行有效指導，同時也可以幫助政

19、務部門以及關鍵信息基礎設施運營者選擇合適的網絡安全服務機構。2.12 信息安全技術 關鍵信息基礎設施網絡安全應急體系框架2022 年 11 月 17 日，全國信息安全標準化技術委員會秘書處發布 信息安全技術關鍵信息基礎設施網絡安全應急體系框架（征求意見稿），并向社會征求意見，該意見征求截止時間為 2023 年 1 月 16 日。征求意見稿給出了關鍵信息基礎設施網絡安全應急體系框架，其中主要包括機構設立、分析識別以及事后恢復與總結等。該文件有助于關10鍵信息基礎設施運營者建立健全網絡安全應急體系、開展網絡安全應急活動，同時可以為關鍵信息基礎設施安全保護的其他相關方提供參考。表 2-1 2022

20、年國內部分出臺政策序號月份出臺政策12 月工業和信息化領域數據安全管理辦法（試行）（征求意見稿）22 月工業和信息化部辦公廳關于做好工業領域數據安全管理試點工作的通知32 月工業互聯網安全標準體系44 月信息安全技術 工業控制系統信息安全防護能力成熟度模型54 月電力可靠性管理辦法（暫行）66 月電力行業網絡安全管理辦法（修訂征求意見稿）77 月數據出境安全評估辦法87 月關于開展網絡安全服務認證工作的實施意見（征求意見稿）97 月信息安全技術 信息安全管理體系 概述和詞匯108 月公路水路關鍵信息基礎設施安全保護管理辦法（征求意見稿）119 月關于修改（中華人民共和國網絡安全法）的決定（征求

21、意見稿）1210 月信息安全技術 關鍵信息基礎設施安全保護要求1310 月工業互聯網 總體網絡架構1410 月數字化轉型 價值效益參考模型、供應鏈數字化管理指南、生產設備運行管理規范、生產設備運行績效評價指標集1510 月網絡產品安全漏洞收集平臺備案管理辦法1611 月信息安全技術 網絡安全服務能力要求（征求意見稿）1711 月信息安全技術 關鍵信息基礎設施網絡安全應急體系框架（征求意見稿）1812 月工業互聯網企業網絡安全 第 4 部分：數據防護要求（征求意見稿）1912 月電力行業網絡安全管理辦法2012 月電力行業網絡安全等級保護管理辦法2112 月工業和信息化領域數據安全管理辦法（試行

22、）113.2022 年典型工控安全事件分析時至 2022，全球局勢變化風云莫測，工控安全是國家安全保障、社會穩定運行的重要基石。工控網絡的應用涉及了社會中的各個重要行業如通信、電力、燃油等。社會中的各個機構、組織、企業在疫情下穩步的復產復工，恢復工作秩序，離不開工控網絡的安全。以下介紹 2022 年發生的一些典型工控安全相關事件，通過以下事件可以了解工業控制網絡環境下各種攻擊的技術特性和趨勢，以此來制定更加有效的相關策略應對未來可能遭受的攻擊。3.1 德國主要燃料儲存供應商遭網絡攻擊2022 年 1 月 29 日，德國的一家名為 Oiltanking GmbH Group 的石油儲存公司遭到了

23、網絡攻擊。本次攻擊主要是針對 Oiltanking 公司以及礦物油貿易公司 Mabanaft，對其造成了一定的影響。Oiltanking 和 Mabanaft 在他們的聯合聲明中表示他們正在盡力解決該問題，并了解其波及的范圍。同時由于受到本次攻擊事件的影響，歐洲西北部地區餾分柴油的價格有略微的漲幅。3.2 FBI 警報：美國關鍵基礎設施正遭受 BLACKBYTE勒索軟件入侵2022 年 2 月 11 日，美國聯邦調查局和美國特勤局聯合發布了聯合網絡安全咨詢公告。公告中指出：名為 BlackByte 的軟件勒索組織在過去的 3 個月期間，入侵了至少 3 個美國關鍵基礎設施組織，尤其是政府設施、金

24、融服務以及食品和農業領域。該組織會將其勒索軟件基礎設施出租給他人，以此來換取一定比例的勒索收益，該組織自2021 年 7 月開始開發軟件漏洞，全球范圍內的企業都可能成為其目標。3.3 白俄羅斯鐵路遭到 ANONYMOU入侵，所有網絡服務中斷2022 年 2 月 27 日，黑客組織 Anonymou 聲稱已經入侵了白俄羅斯鐵路的內部網絡，并且攻擊并關閉了其內部網絡的所有服務。目前網站 pass.rw.by、portal.rw.by、rw.by 都處于無法訪問的狀態，該國的鐵路系統被迫轉入手動控制模式，這對白俄羅斯鐵路列車12的正常運營以及鐵路秩序都造成了極大的影響和破壞。Anonymou 組織還

25、入侵了白俄羅斯的武器制造商 Tetraedr，并竊取了大約 200GB 的電子郵件。3.4 東歐大型加油站遭勒索攻擊，官網、APP 等全部下線2022 年 3 月 6 日，東歐國家羅馬尼亞的一家加油站遭到了勒索軟件攻擊，該加油站的 Fill&Go 服務以及官方網站都因本次攻擊而被迫下線。本次攻擊影響到了該公司的大部分業務，導致了官網、APP 都無法正常訪問，顧客只能使用現金和刷卡進行支付。這家公司名為 Rompetrol，是羅馬尼亞國內最大的煉油廠 Petromidia Navodari 的配套加油站運營商。攻擊者還入侵了 Petromdia 煉油廠內部的網絡，但該網絡的運營暫未發現受到了影響

26、。3.5 烏克蘭的能源供應商成為 INDUSTROYER2 ICS 惡意軟件的目標2022 年 4 月 12 日，一種新的能夠操控工業控制系統造成損害的惡意軟件最近將烏克蘭的一家能源供應商作為了攻擊的目標。該攻擊主要針對的是變電站，烏克蘭的計算機應急響應小組、網絡安全公司和微軟公司已經對其進行了分析。經分析發現，該攻擊行動與一個威脅組織 Sandworm 有關，該組織據信代表俄羅斯 GRU 軍事情報機構運作。根據網絡安全公司的說法，該攻擊的目的可能是在目標能源設施中執行破壞性的操作進而導致停電，本次安全事件涉及了在 ICS 網絡以及運行 Solaris 和 Linux 的系統中部署的幾種惡意軟

27、件。3.6 農業機械巨頭愛科遭勒索攻擊，美國種植季拖拉機供應受影響2022 年 5 月 7 日，美國農業機械巨頭愛科遭到了勒索軟件的攻擊，對部分生產設施的運營造成了影響，并且該影響可能會持續多天。本次事件中，愛科公司并沒有提供任何關于業務中斷的細節信息，為了阻止攻勢蔓延該公司可能會關閉部分系統。有經銷商表示，這導致拖拉機銷售在美國最重要的種植季節停滯不前。近一年來已經有多家農業供應鏈企業遭到攻擊，可見農業逐漸成為了勒索攻擊的重點目標。同時受到緊張的國際政治局勢的影響，部分網絡攻擊可能還具有報復性動機，目的是破壞美國關鍵基礎設施企業的生產活動。133.7 得克薩斯州一家液化天然氣廠遭黑客攻擊導致

28、爆炸2022 年 6 月 8 日，德克薩斯州一家液化天然氣廠發生爆炸。爆炸發生在德克薩斯州金塔納島的自由港液化天然氣液化廠（名為 Freeport LNG 公司）和出口碼頭。華盛頓時報一國家安全作家 Rogan 證實：德克薩斯州的液化天然氣設施爆炸與 APT 組織進行的黑客活動一致。Freeport LNG 擁有運營技術以及工業控制系統網絡檢測系統，但否認了將網絡攻擊視為事件發生的根本原因。除非 Freeport LNG 適當部署了 OT/ICS 網絡檢測系統并完成了取證調查，否則不能排除網絡攻擊。此次爆炸事故將對自由港液化天然氣的運營產生持久的影響。3.8 伊朗LYCAEUMAPT 組織利用

29、新的 DNS 后門攻擊能源行業2022 年 6 月 10 日，伊朗 Lycaeum APT 黑客組織使用新的基于.NET 的 DNS 后門，以對能源和電信行業的公司進行攻擊。Lyceum 曾使用 DNS 隧道后門瞄準中東的通信服務提供商。Zscaler 最近的一項分析提出了一種新的 DNS 后門，該后門基于 DIG.net 開源工具可以執行“DNS 劫持”攻擊、執行命令、丟棄更多有效負載并泄露數據。DNS 劫持是一種重定向攻擊，它依賴于 DNS 查詢操作，將嘗試訪問合法站點的用戶帶到威脅參與者控制下的服務器上托管的惡意克隆。3.9 德國建材巨頭 KNAUF被 BLACKBASTA勒索軟件團伙襲

30、擊2022 年 7 月 19 日消息，德國建材巨頭 Knauf 集團表示它已成為網絡攻擊的目標，該攻擊擾亂了其業務運營。據悉，網絡攻擊發生在 6 月 29 日晚上，目前，可耐夫仍在進行調查取證、事件處理和補救工作。雖然 Knauf 沒有公布他們所遭受的網絡攻擊的類型，但根據恢復正常運營的時間、影響和難度可以推斷這大概率是一起勒索軟件事件。名為 Black Basta 的勒索軟件團伙已經在其勒索網站上發布公告宣布對這次攻擊負責，并于 7 月 16 日將 Knauf 列為受害者。勒索軟件團伙目前已經泄露了 20%的被盜文件，超過 350 名訪問者訪問了這些文件。并非所有文件都已在線泄露的事實表明，

31、威脅行為者仍有希望獲得成功的談判結果并獲得贖金。143.10 希臘天然氣分銷商 DESFA 部分基礎設施遭受網絡襲擊2022 年 8 月 20 日，希臘最大的天然氣分銷商 DESFA 表示在其部分基礎設施上遭受了網絡攻擊，攻擊者試圖非法訪問電子數據，并可能泄露了許多目錄和文件。8 月 19日，Ragnar Locker 勒索軟件組織在其暗網數據泄露網站上泄露了 DESFA 的數據樣本及被盜數據列表，這也證實了此次攻擊。泄露的數據樣本不包含機密信息。Ragnar Locker在其暗網上表示，DESFA 的系統中存在多個安全漏洞，會導致公司的敏感數據受到損害。Ragnar Locker 已將此類漏

32、洞通知了 DESFA，然而并沒有收到回應。因此 RagnarLocker 發布了從 DESFA 網絡下載的數據列表，并威脅如果 DESFA 沒有在規定時間內采取行動，也沒有聯系威脅行為者以解決安全問題，將發布文件列表中包含的所有文件。3.11 黑客組織 GHOSTSEC入侵以色列各地的 55 個 PLC2022年9月12日，巴勒斯坦的黑客組織GhostSec聲稱他們破壞了多達55個Berghof可編程邏輯控制器（PLC），這些 PLC 被以色列組織用作“Free Palestine”運動的一部分。GhostSec 于 2015 年首次被發現，自稱治安組織，最初成立的目的是針對宣揚伊斯蘭極端主義

33、的 ISIS 網站。9 月 4 日，GhostSec 在其 Telegram 頻道上分享了一段視頻，展示了成功登錄 PLC 管理面板的過程，此外還轉儲了被黑客入侵控制器的數據。同時，GhostSec 發布了更多的截圖，聲稱已經獲得了另一個控制面板的權限，可以用來改變水中的氯含量和 PH 值。工業網絡安全公司 OTORIO 對此事進行了更深入的調查后表示，發生此次入侵的原因可能是因為 PLC 可以通過互聯網訪問，而且使用的是可以輕易猜到的憑證。3.12 黑客組織 KILLNET 對美國機場網站發起分布式拒絕服務(DDOS)攻擊2022 年 10 月 10 日，親俄黑客組織 KillNet 聲稱對

34、美國幾個主要機場的網站進行了大規模分布式拒絕服務(DDoS)攻擊，導致其無法訪問。DDoS 攻擊通過垃圾請求使托管這些網站的服務器無法運作，使旅客無法連接并獲取有關其定期航班或預訂機場服務的更新。被攻擊的機場包括芝加哥奧黑爾國際機場(ORD)、奧蘭多國際機場(MCO)、丹佛國際機場(DIA)、鳳凰城天港國際機場(PHX)，以及肯塔基州、密西西比州和夏威夷的一些機場。雖然 DDoS 攻擊不會影響航班，但仍然對關鍵經濟部門的運作產生了不利影響，15可能將會造成相關服務的暫緩甚至是癱瘓。KillNet 的創始人 KillMilk 還表示，他們正在計劃進一步的攻擊，涉及更嚴重的技術，包括旨在破壞數據的

35、擦除器攻擊。3.13 網絡攻擊導致丹麥最大鐵路公司火車全部停運2022 年 11 月 5 日，由于遭受了網絡攻擊導致服務器關閉，丹麥最大的鐵路運營公司 DSB 旗下所有列車均陷入停運，且連續數個小時未能恢復。遭受攻擊的是丹麥公司Supeo，該公司是一家專為鐵路、交通基礎設施和公共客運提供資產管理解決方案的外包供應商。Supeo 可能經受了一次勒索軟件攻擊，但該公司并未披露任何信息。Supeo公司提供了一款移動應用，可供火車司機訪問各項關鍵運營信息，例如限速指標和鐵路運行信息。由于服務器關閉，導致該應用停止工作，司機們只能被迫停車，最終引發了列車運營中斷事件。3.14 烏克蘭政府機構和國家鐵路遭

36、受新一波網絡釣魚攻擊2022 年 12 月 8 日，烏克蘭計算機應急響應小組報道，烏克蘭政府機構和國家鐵路遭受網絡釣魚攻擊。攻擊者被響應小組追蹤為 UAC-0140，他們使用電子郵件分發由Delphi 編程語言開發的名為 DolphinCape 惡意軟件。這種惡意軟件可以采集被攻擊電腦的信息，包括主機名、用戶名、比特率和操作系統版本等等，該軟件還會運行可執行文件、提取其他關鍵數據、并對目標設備進行屏幕截圖等操作，嚴重影響被攻擊者的電腦的運行安全。烏克蘭安全官員認為，俄羅斯黑客是大多數攻擊的幕后黑手。表 3-1 2022 年部分安全事件序號時間國家/地區行業方式影響11 月德國制造業未知歐洲北部

37、地區柴油漲價21 月荷蘭能源業勒索軟件石油裝卸和轉運受阻32 月美國農業勒索軟件勒索高額贖金42 月白俄羅斯運輸業未知鐵路運營秩序受影響，資料泄露52 月瑞士運輸業勒索軟件運營受到干擾63 月羅馬尼亞能源業勒索軟件油站官網、APP 無法訪問1673 月德國能源業勒索軟件近 6000 臺風力發電機失去遠程控制84 月烏克蘭能源業惡意軟件變電站停電94 月德國制造業網絡攻擊被迫關閉多個業務部門的系統104 月加拿大制造業網絡攻擊航班延誤，大量旅客滯留機場115 月美國農業勒索軟件公司被迫關閉系統、銷售停滯125 月印度航空業勒索軟件航班延誤、旅客滯留機場136 月美國建筑業惡意流量混合探測到更多新

38、的惡意軟件變種和與攻擊者相關的 TTP146 月土耳其航空業未知嚴重的數據泄露156 月美國能源業網絡攻擊液化天然氣廠的運營產生了持久影響167 月德國制造業勒索軟件文件泄露、被索要高額贖金177 月伊朗制造業網絡攻擊嚴重擾亂工廠運營187 月西班牙工業網絡攻擊輻射警報網絡無法響應輻射激增事件198 月希臘能源業勒索軟件大量數據遭到泄露208 月英國醫療業網絡攻擊急救熱線持續性中斷219 月巴勒斯坦工業網絡入侵多個 PLC 可以被攻擊者控制2210 月美國航空業DDoS 攻擊航空公司網站的服務器無法運作2310 月德國新聞業勒索軟件系統陷入癱瘓，電子版文件無法訪問2411 月烏克蘭互聯網勒索軟

39、件惡意腳本入侵網絡2511 月德國制造業網絡攻擊數據泄露，被索要贖金2612 月烏克蘭運輸業網絡釣魚攻擊電腦被惡意操控、數據泄露2712 月哥倫比亞能源業勒索軟件大量數據泄露2812 月德國制造業網絡攻擊有可能造成數據泄露174.工控系統安全漏洞概況隨著工業 4.0、智能制造、工業互聯網等概念的產生和發展，全球工控產業體系迅速擴大，工控系統的獨立性日益降低，理論上來說對工控系統的攻擊實現將更加簡單，例如 PLC 等 ICS 的核心構成將面對更多樣的攻擊手段、更隱蔽的攻擊形式等。相關數據顯示，2022 年西門子（Siemens）、施耐德（Schneider）、北京亞控科技發展有限公司（Welli

40、nTech）、三菱（Mitsubishi）、歐姆龍（Omron）等工業控制系統廠商也均被發現包含各種信息安全漏洞。然而本團隊從采集到的工控漏洞數據中注意到，近兩年的工控安全漏洞數量呈逐年下降的趨勢。圖 4-1 2012-2022 年工控漏洞走勢圖（數據來源 CNVD、“諦聽”）根據 CNVD（國家信息安全漏洞共享平臺）12和“諦聽”的數據，2012-2022 年工控漏洞走勢如圖 4-1 所示。從圖中可以看出，2015 年到 2020 年期間工控漏洞數量呈顯著的逐年增長趨勢，出現這種情況的主要原因，本團隊分析認為是：2015 年后，技術融合加速工控產業發展的同時破壞了傳統工控系統的體系結構，在產

41、業標準、政策尚不成熟的情況下攻擊者可能會采取更加豐富的攻擊手段攻擊工控系統，導致工控漏洞的數量逐年上升。然而從 2021 年開始，工控漏洞數量呈逐年下降的趨勢，與 2020 年的 568 條漏18洞信息相比，2021 年減少了 416 條，漏洞數量大幅降低，減少數量占 2020 年的 73%，2022 年的漏洞數量降幅雖不及 2021 年的 73%，但仍達到了 37%，本團隊猜測出現的原因是：一方面，由于新冠疫情在全球反復暴發，大量從業人員線上辦公，工控產業活力低下，導致工控攻擊目標的數量與類型較往年有所減少，工控漏洞的產生和發現可能會因此減少；另一方面，隨著工控信息安全政策、體系、法規的不斷

42、完善，工控安全方面的產品體系和解決方案愈發健全，客觀上的漏洞數量下降應在情理之中。圖 4-2 2022 年工控系統行業漏洞危險等級餅狀圖（數據來源 CNVD、“諦聽”）如圖 4-2 所示，2022 年工控系統行業漏洞危險等級餅狀圖，截至 2022 年 12 月 31日，2022 年新增工控系統行業漏洞 96 個，其中高危漏洞 35 個，中危漏洞 51 個，低危漏洞 10 個。與去年相比，漏洞數量減少了 56 個，高危、中危和低危漏洞數量均有一定減少，其中，中高危漏洞數量減少了 54 個，占 2021 年中高危漏洞總數的 39%。2022全年高危工控安全漏洞占全年漏洞總數量中的 36%，與 20

43、21 年相比相差不大。由此可見，今年的全球工控安全體系建設更加完備，工控產業相關廠商、企業的研究更加深入，情況較為樂觀，但同時高危漏洞數量占比仍然較大，需要持續完善工控方面的協議、政策，增加對工控信息安全產業的投入。19以上數據表明，在 2022 年，雖然工控漏洞數量的降幅較 2021 年有所降低，但全球工控系統的安全維護水平依然持續提升；同時我們注意到高危漏洞數量占比變化不大，理想情況下，風險等級被標記為“高?！钡穆┒磾盗繎斣诠た叵嚓P協議、設備設計之初盡量避免，或在被工控系統安全人員發現時及時解決，其相比中低危漏洞具有更高的處理優先級，故工控系統所遭受攻擊數量雖然在近兩年逐年減少，但工控系

44、統所遭受的攻擊強度可能并沒有降低，或者說工控系統方面設計缺陷可能并沒有得到及時完善，同時工控產業相關單位有必要進一步加強對工業漏洞的防范，并持續增加對工控系統安全建設的投入。圖 4-3 2022 年工控系統行業廠商漏洞數量柱狀圖（數據來源 CNVD、“諦聽”）如圖4-3是2022年工控系統行業廠商漏洞數量柱狀圖，由圖中可知，西門子（Siemens）廠商具有的漏洞數量最多，多達 37 個。漏洞數量排在其后的廠商分別是：施耐德（Schneider）、亞控科技（WellinTech）、三菱（Mitsubishi）、臺達（Delta）、歐姆龍（Omron），這些廠商也存在著一定數量的工控系統行業漏洞。

45、由此可見，各個廠商應該密切關注工控系統行業漏洞，通過部署終端安全防護組件、部署防火墻、入侵檢測系統、入侵防護系統或安全監測系統等方式進一步提升系統防護水平，確保工控系統信息安全。205.聯網工控設備分布“諦聽”網絡空間工控設備搜索引擎共支持 31 種服務的協議識別，表 5-1 展示了“諦聽”網絡安全團隊識別的工控協議等的相關信息。如想了解這些協議的詳細信息請參照“諦聽”網絡安全團隊之前發布的工控網絡安全態勢分析白皮書。表 5-1“諦聽”網絡空間工控設備搜索引擎支持的協議工控協議端口概述Modbus502/503應用于電子控制器上的一種通用語言Tridium Niagara Fox1911Tri

46、dium 公司專用協議，用于智能電網等領域SSL/Niagara Fox4911智能建筑、基礎設置管理、安防系統的網絡協議BACnet47808智能建筑的通信協議ATGs Devices10001工控協議Moxa Nport4800虛擬串口協議EtherNet/IP44818以太網協議Siemens S7102西門子通信協議DNP320000分布式網絡協議Codesys2455PLC 協議ilon Smartserver1628/1629智能服務器協議Redlion Crimson3789工控協議IEC 60870-5-1042404IEC 系列協議OMRON FINS9600歐姆龍工業控制協

47、議CSPV42222工控協議GE SRTP18245美國通用電器產品協議PCWorx1962菲尼克斯電氣產品協議ProConOs20547科維公司操作系統協議MELSEC-Q5006/5007三菱通信協議21opc-ua4840OPC UA 接口協議DDP5002用于數據的傳輸和 DTU 管理Profinet80基于工業以太網技術的自動化總線標準IEC 61850-8-1102IEC 系列協議Lantronix30718專為工業應用而設計，解決串口和以太網通信問題物聯網協議端口概述AMQP5672提供統一消息服務的應用層標準高級消息隊列協議XMPP5222基于 XML 的可擴展通訊和表示協議S

48、OAP8089基于 XML 簡單對象訪問協議ONVIF3702開放型網絡視頻接口標準協議MQTT1883基于客戶端-服務器的消息發布/訂閱傳輸協議攝像頭協議端口概述Dahua Dvr37777大華攝像頭與服務器通信協議hikvision81-90?？低晹z像頭與服務器通信協議“諦聽”官方網站（）公布的數據為 2017 年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯系獲取。根據“諦聽”網絡空間工控設備搜索引擎收集的內部數據，經“諦聽”網絡安全團隊分析，得出如圖 5-1 的可視化展示，下面做簡要說明。圖 5-1 為 2022 年全球工控設備暴露 Top-10 國家。在圖

49、中可以看到，國家排名較 2021年基本沒有發生太大變化。在全球范圍內，美國作為世界上最發達的工業化國家暴露出的工控設備仍然保持第一；中國繼續大力發展先進制造業，推動新型基礎設施建設，工業產值大幅增加，位居第二；2022 年波蘭的 GDP 有所增長，暴露的工控設備也有所增長，位居第三。以下著重介紹國內及美國、波蘭的工控設備暴露情況。22圖 5-1 全球工控設備暴露 Top10 柱狀圖（數據來源“諦聽”）5.1 國際工控設備暴露情況國際工控設備的暴露情況以美國和波蘭為例進行簡要介紹。美國是世界上工業化程度最高的國家之一，同時也是 2022 年全球工控設備暴露最多的國家，如圖 5-2 所示為美國 2

50、022 年工控協議暴露數量和占比。自 2012 年美國通用電氣公司（GE）提出工業互聯網的概念以來，美國政府就十分重視工業控制領域。依托互聯網技術的發展優勢，大力推動工控相關技術的發展，以應對經濟全球化可能帶來的機遇與挑戰。在推動工業互聯網革命的同時，美國政府也關注到了由于缺乏監管而泄露的數據可能帶來的一系列互聯網安全問題。2022 年 9 月，美國網絡安全和基礎設施安全局（CISA）發布了2023 年至 2025 年戰略規劃（2023-2025 Strategic Plan），該規劃是 CISA 自 2018 年成立以來發布的首個綜合性戰略規劃，規劃中明確了美國未來三年網絡防御、減少風險和增

51、強恢復能力、業務協作、統一機構 4 個總的網絡安全目標。23圖 5-2 美國工控協議暴露數量和占比（數據來源“諦聽”）雖然美國是最早投身網絡安全建設的國家之一，但在工業控制系統網絡安全方面的表現仍然有待提高。與 2021 年相比，美國 2022 年暴露的工控設備數有所減少?？赡苁鞘芏頌鯌馉幍挠绊?，美國政府認識到工控設備及其之上運行的大量關鍵基礎設施的重要性，因此更加重視工控領域的安全問題。2022 年的全球網絡空間安全形勢愈發復雜，美國政府愈發重視工業控制系統安全。2022 年波蘭工控設備暴露數量位居全球第三。波蘭地處歐洲中部，屬于發展中國家，但其人均 GDP 基本接近末流發達國家的水平。波蘭

52、的工業化程度很高，是歐盟第六大工業強國，在波蘭的諸多工業產業中，以制造業的表現最為突出。據波蘭中央統計局發布的數據，自 2022 年年初，波蘭的工業產值一直以每月兩位數的速度在增長。通過圖5-3 可以看到，在波蘭所暴露的協議中，Modbus 協議的數量居于首位。Modbus 協議由于其公開免費，部署較為簡單，自問世以來受到了諸多供應商的青睞，但由于其缺乏認證加密等機制，Modbus 協議被廣泛使用的同時，也為波蘭工業控制系統的安全性帶來了巨大的風險。24圖 5-3 波蘭工控協議暴露數量和占比（數據來源“諦聽”）綜上，相較于 2021 年，美國政府在發展工業的同時，更加重視國家工控系統安全性的問

53、題，2022 年暴露的工控設備數量略有下降。而波蘭由于汽車制造業的繁榮發展，國家 GDP 增長的同時暴露的工控設備數量也大幅增長，這勢必會給國家的后續健康發展埋下一定的隱患。5.2 國內工控設備暴露情況2022 年中國暴露的工控設備數量排全球第二。近幾年來，中國的產業結構不斷優化升級，工業互聯網發展迅速，實體經濟也在逐步轉型升級中。下面詳細分析一下國內工控設備暴露情況。在全國暴露工控設備數量的條形圖 5-4 中可以直觀的看出江蘇省的工控設備暴露數量躋身至全國首位，與去年相比，多省的工控設備暴露數量都有了很大程度的增長。2021年由于新冠疫情的肆虐，全國很多地方停工停產，國內工控設備暴露數量也隨

54、之減少。2022 年在政策穩步推動、經濟企穩復蘇及企業數字轉型需求增加等因素交織影響下，中國工業互聯網市場繼續保持穩定增長，工業化與信息化在高層次進行了深度融合，國內工控設備暴露數量相比 2021 年有了爆發式增長。25圖 5-4 國內各地區工控設備暴露數量（數據來源“諦聽”）2022 年，江蘇省是暴露工控設備數量最多的省份。據中國經濟新聞網報道，江蘇省2022 年信息化和工業化融合發展水平指數達到 66.4，年平均增速 3%左右，較 2022 年全國平均水平 59.6 高出 11.4%。發達的工業體系是江蘇省實現信息化和工業化的基礎。近年來，江蘇立足制造業優勢，堅持“實體強基”，先后出臺關于

55、深化“互聯網+先進制造業”發展工業互聯網的實施意見江蘇省制造業智能化改造和數字化轉型三年行動計劃等文件，把工業互聯網創新工程作為戰略性任務，融入到制造業數字化轉型全過程。制定實施江蘇省加快推進工業互聯網創新發展三年行動計劃（20212023 年）等文件，推進“數實融合”發展3。江蘇省多年來一直以兩化(信息化、工業化)融合為行為指南，實現了多個行業智能化改造以及數字化轉型，其正以工業互聯網、大數據中心、5G 基站等新基建夯實數據基底，著力打造領先世界的工業互聯生態圈。2022 年，臺灣地區工控設備暴露數量依然名列前茅，位列全國第二。臺灣工業體系發展完善且依然在全國各地區中處于領先的位置，其與大陸

56、的交流合作也十分密切。2022 年九月，兩岸工業互聯網融合發展研討會在昆山舉辦，會上聚焦“產業升級”展開交流，助力雙方合作共贏。近年來，大陸在工業互聯網、大數據以及 5G 基站等新基建方面有著堅實的基底，而臺灣在集成電路等領域也積攢了雄厚的實力，雙方的交流合作有26利于社會數字化轉型和智能化改造，推動工業互聯網在更廣范圍、更深程度、更高水平上融合創新。廣東 2022 年工控設備暴露數量排全國第三。近年來，廣東深化工業互聯網國家示范區建設，推進工業化和信息化深度融合成效顯著，工業互聯網相關企業數量也位居全國前列。據羊城新聞晚報報道，截至 2022 年 6 月底，廣東省累計推動 2.25 萬家規上

57、工業企業運用工業互聯網數字化轉型，帶動 65 萬家中小企業“上云用云”。從制造業強省到數字化強省，廣東一直走在全國前面，廣東的工業互聯網企業也在加快全球化布局，輸出積累的數字化轉型經驗。長江三角洲地區工控設備暴露數量的排名變動不大。隨著經濟的逐步復蘇，長三角地區（江蘇、安徽、浙江和上海）正利用區位和資源優勢，加速推進長三角工業互聯網一體化發展，為全國國際化、區域聯動發展等方面進行了前沿探索。2022 年 11 月，為加快構建長三角工業互聯網體系，促進長三角產業轉型升級，長三角工業互聯網峰會在合肥市奧體中心隆重召開。此次大會全面展示了長三角區域工業互聯網的最新發展成果，推動長三角工業互聯網一體化

58、發展再升級、再提速。把握重大戰略機遇，加快發展工業互聯網，是長三角實現制造業高質量發展、構筑工業競爭新優勢的必然選擇4。北京今年排名相較去年有所下降，作為中國首都，北京經轉人流量過多，疫情時常反復，對工業互聯網的發展還是產生了一定的影響。并且現階段的北京，綠色發展是基礎，工業產業大量轉移出去，使暴露的工控設備數量與其他地區相比顯得相對較少。與 2021 年工控設備暴露數量相比，遼寧 2022 年工控設備暴露的數量反超黑龍江和吉林，成為東北地區工控設備暴露數量最多的省份。東北地區（遼寧、吉林、黑龍江）作為中國工業的搖籃，在我國發展史上寫下了光輝燦爛的篇章。遼寧省于 2022 年 11 月舉辦了全

59、球工業互聯網大會，此次大會對于加快工業互聯網創新發展、推動數字遼寧智造強省建設取得新突破，具有重大意義。據遼寧省政府新聞辦報道，遼寧省認真貫徹習近平總書記關于工業互聯網創新發展的重要指示精神，把工業互聯網創新發展作為助推經濟高質量發展的重要力量，出臺了 工業互聯網創新發展三年行動計劃 等政策文件，設立了省級專項資金，加快推動制造業數字化轉型，使得遼寧省工業互聯網進入了新的發展階段5。中國工業互聯網研究院院長魯春叢于此次大會上發表了全球工業互聯網27創新發展報告講話，他指出，未來五年將是工業互聯網從起步探索轉向快速發展的重要階段，也是我國推進新型工業化，加快建設制造強國、網絡強國、數字中國的關鍵

60、時期6。當前，隨著技術的不斷發展，實現工業化和信息化高水平融合已是中國特色新型工業化道路的集中體現，工業互聯網為產業數字化、網絡化以及智能化發展提供了新的機遇。2022 年，香港排名雖然較去年有所下降，但暴露設備數量卻上升了將近三倍。香港以往是一個主要以服務業為主的經濟體，所以香港的工控設備暴露數量并不能與廣東以及臺灣等地相比。但近年來，隨著 5G 專網工業模組成本的降低，香港積極資助 5G 技術應用，多方面推動 5G 發展，完善 5G 網絡覆蓋，開展 5G 企業網絡以及 5G 工業互聯網的融合應用以及部署，推動香港新型工業化的發展。香港抓住機遇，積極融入國家發展大局，為中國獨立自主建設工業互

61、聯網絡起到了表率作用。5.3 國內工控協議暴露數量統計情況圖 5-5 國內工控協議暴露數量和占比（數據來源“諦聽”）“諦聽”團隊統計了國內暴露的各協議總量，從圖 5-5 中可以看出 Modbus 協議在網絡中暴露的數量最多，領先于第二位的 Moxa Nport。Modbus 是一種串行通信協議，是28Modicon 公司（現在的 Schneider Electric）于 1979 年為使用可編程邏輯控制器（PLC）通信所發行的。在我國，Modbus 協議已經被納入國家標準 GB/T19582-2008。雖然Modbus協議支持多個設備在同一網絡中的透明通信，幀格式緊湊、簡潔，兼容多種電氣接口。

62、且 Modbus 憑借易部署、限制少、門檻低的優點，成為工業領域通信協議的業界標準，是國內工業電子設備之間最常用的連接方式。然而該協議缺乏有效的認證和加密手段，亦缺少對功能碼的有效管理，因此造成許多安全問題，可見該協議排在國內暴露協議第一位屬情理之中。Moxa Nport，Moxa 串口服務器專為工業應用而設計，Moxa Nport 是其中的一個串口服務器系列，在世界范圍內具有廣泛的應用。不同配置和組合的服務器能滿足多種工業場景的需要，因此適用性強。Tridium Niagara Fox，Tridium Niagara Fox 被廣泛應用于國家的智能建筑、設施管理、安防、電力、空調設備等領域。

63、Tridium 是 Honeywell 旗下獨立品牌運作的子公司，開發了軟件框架“Niagara Framework”?；?Niagara 框架，客戶可以開發專有產品和應用，也可以集成、連接各種智能設備和系統，不受生產廠家和協議的影響，在實現設備互聯的同時可以通過網絡進行實時控制和管理。NiagaraAX 平臺時至今日已經整合了多種系統，例如建筑、園區的基礎硬件設施、安防系統、訪客管理、電網系統、設施管理等。NiagaraAX 把這些設備和系統進行連接，使用 Tridium Niagara Fox 協議通信，具有極高的使用價值，因此排在第三位亦在意料之中。EtherNet/IP 是由 ODV

64、A（Open DeviceNet Vendor Association）指定的工業以太網協議，它使用 ODVA 已知的應用層“通用工業協議”（CIP）。CIP 是一種由 ODVA 支持的開放工業協議，它被使用在例如 EtherNet/IP 等串行通信協議中。美國的工控設備制造商 Rockwell/Allen-Bradley 對 EtherNet/IP 進行了標準化處理，其他的廠商也在其設備上支持了 EtherNet/IP 協議。當前，EtherNet/IP 的使用已經十分廣泛，然而協議層面的安全問題仍值得我們重視。BACnet 是用于樓宇自動化和控制網絡的簡短形式的數據通信協議，亦是主要行業供

65、應商產品中常用的自動化和控制協議之一，其目的是提高服務供應商之間的互操作性，減少因設備廠商的專有系統所造成的使用限制問題。此協議的泄露往往是由用戶缺乏安29全意識導致，意味著該 IP 對應的行業供應商的產品設備已經暴露，因此容易造成用戶的網絡安全隱患和財產損失。5.4 俄烏沖突以來暴露設備數量變化俄烏沖突開始于 2022 年三月份，目前俄羅斯和烏克蘭的緊張局勢依然在持續中，近期的沖突仍然在加劇。發動網絡戰能夠削弱一個國家的通信能力以及戰場感知能力，而且隨著軍隊依靠軟件，利用獲取的情報在戰場上進行部署，這場競賽變得越來越重要。為了能夠了解俄羅斯和烏克蘭的工控領域的相關狀況，“諦聽”網絡安全團隊對

66、此進行了持續關注。表 5-2 列舉了俄羅斯、烏克蘭暴露工控設備的相關協議。表 5-2 俄羅斯、烏克蘭暴露工控設備相關協議探測發現協議探測端口協議概述Siemens S7102西門子通信協議Modbus502應用于電子控制器上的一種通用語言ilon Smartserver1628智能服務器協議Moxa Nport4800Moxa 專用的虛擬串口協議XMPP5222基于 XML 的可擴展通訊和表示協議AMQP5672提供統一消息服務的應用層標準高級消息隊列協議IEC 60870-5-1042404IEC 系列協議同時，“諦聽”網絡安全團隊每月都會收集俄烏暴露的設備數量情況，根據收集的數據，得到了俄

67、羅斯和烏克蘭自沖突爆發以來暴露的設備的數量變化情況。從圖 5-6 沖突前后俄羅斯各協議暴露設備數量來看，AMQP 協議從沖突前到沖突開始持續到 8 月份變化幅度較大，總體呈現先降后升的趨勢，后續趨于平緩；Siemens S7協議從沖突前至 3 月份呈現下降趨勢，之后整體趨勢呈現先升后降；IEC 60870-5-104協議整體變化趨勢與 Siemens S7 協議相同，但在 11 月至 12 月份突然呈現迅速上升的趨30勢，猜測與 11 月發生了工控事件有關；ilon Smart-server 協議在 5 月份變化較大，10月份之后呈現下降趨勢；其它協議整體的變化幅度不大。圖 5-6 俄羅斯暴露

68、設備數量變化（數據來源“諦聽”）圖 5-7 烏克蘭暴露設備數量變化（數據來源“諦聽”）31從圖 5-7 沖突前后烏克蘭各協議暴露設備數量變化情況中我們可以看到，首先AMQP、Modbus、Moxa Nport、XMPP 以及 Siemens S7 等協議從沖突前到 4 月份變化較大，猜測是期間發生了重大的工控事件導致的。隨后，除 AMQP 以外的四種協議在 10月到 12 月份發生了小幅度的變化；其它兩種協議沒有變化?？傊?，從上面兩幅圖可以看出，俄烏暴露設備的數量變化較大的月份主要集中在 3月至 5 月以及 10 月至 12 月這幾個月份，猜測其變化趨勢與當時發生的工控事件有直接或間接的關系，

69、表 5-3 列舉自俄烏沖突以來與之相關的主要的工控事件。表 5-3 俄烏沖突相關的主要的工控事件時間主要工控事件2022 年年 3 月月俄羅斯聯邦儲蓄銀行（Sberbank）和莫斯科交易所的網站遭到烏克蘭 IT 軍攻擊黑客組織“匿名者”入侵并泄漏了俄羅斯經濟發展部等政府單位以及俄羅斯國家原子能公司 Rosatom 數據，攻擊了包括俄羅斯航空公司 PegasusFly、俄國防產品出口公司（Rosoboronexport）、俄羅斯緊急情況部、俄羅斯能源巨頭 Rosneft 位于德國的子公司以及俄羅斯管道巨頭 Transneft 內部研發部門 Omega 公司等相關網站黑客組織 AnonGh0st

70、入侵俄羅斯 SCADA 系統并共享了與供水系統相關的數據俄羅斯黑客組織攻擊了覆蓋烏克蘭地區的美國衛星運營商 Viasat俄羅斯有關 APT 組織 InvisiMole 主要針對烏克蘭國家機構發起攻擊未知組織攻擊了烏克蘭互聯網服務提供商 Triolan 以及主要的通信運營商Ukrtelecom，導致網絡嚴重中斷未知組織入侵了包括烏克蘭政府機構、智囊團、國防軍招募和金融等相關網站2022 年年 4 月月烏克蘭某能源公司遭惡意軟件攻擊俄羅斯石油巨頭 Gazprom Neft 網站遭黑客攻擊2022 年年 10 月月親俄黑客組織對美國關鍵基礎設施發起大規模攻擊2022 年年 11 月月黑客成功入侵烏軍

71、戰場指揮系統，戰場數據泄露2022 年年 12 月月俄羅斯黑客試圖入侵北約某國的大型煉油廠未遂326.工控蜜罐數據相關分析如今，工業互聯網的蓬勃發展給工業控制領域帶來了新的發展機遇，與此同時也帶來了新的網絡安全問題。蜜罐技術是增強工控系統網絡安全防護能力的有效方法，東北大學“諦聽”網絡安全團隊對工控蜜罐技術展開了研究。經過多年努力，“諦聽”網絡安全團隊研發出了可以模擬多種工控協議和工控設備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前，“諦聽”蜜罐支持 11 種協議，且已經部署在多個國家和地區?！爸B聽”網絡安全團隊在 2021 年進一步改進了基于 ICS 蜜網的攻擊流量指紋識別方法（以下簡稱“

72、識別方法”），有效地提高了識別各類針對工控網絡的攻擊流量的效率，并根據不同類型的攻擊流量制定出更加有效的工控系統防御措施。6.1 工控蜜罐全球捕獲流量概況“諦聽”工控蜜罐可支持 ATGs Devices、DNP3、Modbus、EGD 等 11 種協議，其中，EGD 協議是今年新增的協議。目前“諦聽”工控蜜罐已經部署在了中國華北地區、中國華南地區、東歐地區、東南亞地區、美國東北部等國內外多個地區。截止到 2022 年 12 月31 日，“諦聽”蜜罐收集到大量攻擊數據。圖 6-1、6-2 和 6-3 中展示了經過統計和分析后的數據。下面將對各個圖表進行簡要解釋說明。圖 6-1 蜜罐各協議攻擊量（

73、數據來源“諦聽”）33圖 6-1 展示了不同協議下各蜜罐受到的攻擊量。從圖中可以看出，ATGs Devices、DNP3 和 Modbus 協議下蜜罐所受攻擊量仍然保持在前三名。但與 2021 年相比，曾大幅領先的Modbus 協議被ATGs Devices 協議和DNP3協議超越，降至第三名，ATGs Devices協議從第二名躍居第一，這表明 ATGs Devices 協議受到的關注大幅度增加。另外，今年新增的 EGD 協議具有簡便高效的特性，其所受攻擊量位于第六位。這些變化表明工控系統協議在不斷發展，攻擊者的攻擊方向也在不斷調整和變化。前四種協議所受的攻擊量總計占比接近 70%，這表明這

74、些協議比較受攻擊者的關注，因此工控網絡安全研究人員應根據需求情況，加強這些協議下設備的網絡安全防護?！爸B聽”網絡安全團隊對收集到的攻擊數據的 IP 來源進行分析，得到了來自不同國家和地區攻擊源的數量統計，圖 6-2 僅展示攻擊量最多的 10 個國家。從圖中可以看到，美國的攻擊量遙遙領先，甚至超過了其他 9 個國家攻擊量的總和；排在第二的國家是荷蘭，其攻擊量雖遠少于美國但也處于較高的數量水平，這在一定程度上表明兩國攻擊者對本國工控設備的高度關注。英國、俄羅斯和德國的攻擊量相差不大，分別位于第三到五位。從排名第六位的斯洛伐克開始，攻擊量顯著減少。圖 6-2 其他各國對蜜罐的攻擊量 TOP10（數據

75、來源“諦聽”）34對中國國內流量來源的 IP 地址進行相關分析，列出了 IP 流量的省份排名，如圖 6-3所示，這里僅展示前十名?？梢钥吹?，來自中國華北地區的 IP 流量較多，北京同去年一樣排在了第一位，體現出其作為首都在網絡安全支撐工作方面的領先地位。山西省躍升至第二位，浙江省由去年的第五名上升至第三名，由此可見山西省和浙江省在網絡安全方面做出的努力。圖 6-3 中國國內各省份流量（top10）（數據來源“諦聽”）2022 年，“諦聽”網絡安全團隊調整了已部署的蜜罐，拓展了蜜罐可支持協議的范圍，未來將會與更多高新技術應用進行融合，相關的研究將會持續推進。6.2 工控系統攻擊流量分析“諦聽”團

76、隊首先對來自不同地區的蜜罐捕獲的攻擊流量數據進行初步分析，然后使用識別方法對 Modbus、Ethernet/IP 兩個應用范圍較廣的協議進行攻擊流量檢測，并從每個協議在不同地區部署的蜜罐中選擇最具代表性的兩個地區進行攻擊流量數據統計。針對 Modbus 協議，我們選擇了中國華東地區和美國東海岸地區部署的蜜罐，統計結果如表 6-1、6-2 所示。35表 6-1 中國華東地區 Modbus 協議蜜罐捕獲攻擊總量來源 TOP10（數據來源“諦聽”）攻擊源攻擊總量攻擊 IP 數量IP 平均攻擊數Netherlands54228563.8United States20084015.0China5735

77、99.7United Kingdom395849.4Germany72107.2Japan62320.7Russia61144.4Belgium48341.4Canada34211.6Greece15121.3表 6-2 美國東海岸地區 Modbus 協議蜜罐捕獲攻擊總量來源 TOP10（數據來源“諦聽”）攻擊源攻擊總量攻擊 IP 數量IP 平均攻擊數United States8652433.6Netherlands2821125.6Germany183199.6China85127.1United Kingdom74710.6Singapore42314.0Belgium38281.4Can

78、ada22181.2Ukraine919.036Japan818.0由表 6-1、6-2 可知，在攻擊總量來源方面，荷蘭在中國華東地區的攻擊總量顯著高于其他國家，且遠高于去年同期數據。在美國東海岸地區 Modbus 協議蜜罐捕獲攻擊總量中，美國仍然保持第一位，且與去年相比呈現上升趨勢。在攻擊 IP 數量方面，美國仍在兩個地區中均排名第一，并遠超于其他國家。以表 6-2 為例，美國在美國東海岸地區的攻擊 IP 數量約是排名第二的比利時的 8.7 倍。在 IP 平均攻擊數方面，荷蘭在兩個地區中均處于第一位。針對 Ethernet/IP 協議，我們選擇的是中國華南地區和美國西海岸地區部署的蜜罐，統計

79、結果如表 6-3、6-4 所示。表 6-3 中國華南地區 Ethernet/IP 協議蜜罐捕獲攻擊總量來源 TOP10（數據來源“諦聽”）攻擊源攻擊總量攻擊 IP 數量IP 平均攻擊數United States4521193.8China89293.1Kazakhstan55318.3Netherlands1963.2Germany861.3Japan616.0India212.0Ukraine111.0United Kingdom111.0Vienna212.0表 6-4 美國西海岸地區 Ethernet/IP 協議蜜罐捕獲攻擊總量來源 TOP5（數據來源“諦聽”）37攻擊源攻擊總量攻擊 I

80、P 數量IP 平均攻擊數United States333694.8China17111.5Germany851.6Netherlands871.1Japan422.0由表 6-3、6-4 分析可知，在攻擊總量來源和攻擊 IP 數量方面，美國在兩個地區中均位列第一，且遠超其他國家。在 IP 平均攻擊數方面，哈薩克斯坦在中國華南地區排名第一，是排名第二的日本的 3.05 倍。美國在美國西海岸地區的 IP 平均攻擊數最高。通過上述統計的 Modbus 協議蜜罐和 Ethernet/IP 協議蜜罐捕獲的攻擊總量來源數據，可以看出 Modbus 協議蜜罐受攻擊的總次數遠大于 Ethernet/IP 協議

81、蜜罐，推測其原因為Modbus 協議具有公開免費、開源工具多、部署和維護簡單等特點，從而當前應用范圍更廣泛，因此所受攻擊更多。此外，在確定攻擊源的情況下，排名前三的國家的攻擊方來源數占總數的近 90%，可能的原因包括：一是由于這些國家的公司提供的云服務器被租賃用于長期掃描；二是由于這些國家的安全行業從業者及研究人員較多，相關研究行為較活躍；三是由于這些國家存在大量惡意攻擊團隊，其對互聯網進行的惡意攻擊被諦聽部署的蜜罐有效誘捕。6.3 工控系統攻擊類型識別“諦聽”網絡安全團隊提出一種基于ICS蜜網的攻擊流量指紋識別方法，針對Modbus、Ethernet/IP 協議蜜罐捕獲的流量數據進行了攻擊類

82、型識別。圖 6-4 和圖 6-5 分別顯示了對 Modbus 和 Ethernet/IP 協議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中的“E”表示 Ethernet/IP 協議，其中的“M”表示 Modbus 協議，由于國內和國外的蜜罐程序不同，“E”和“E”同一編號表示不同的攻擊類型，“M”和“M”同一編號表示不同的攻擊類型，環形圖中各部分為不同的攻擊類型。38圖 6-4 Ethernet/IP 協議攻擊類型占比圖（數據來源“諦聽”）圖 6-5 Modbus 協議攻擊類型占比圖（數據來源“諦聽”）Ethernet/IP 協議蜜罐部署地區為中國華南地區和美國西海岸，兩地區的經濟發展迅速，高新

83、技術產業發達，各種網絡活動較頻繁。蜜罐部署在經濟科技發達地區，便于收39集更多、更詳細的攻擊信息。由圖 6-4 可知，中國華南地區的 Ethernet/IP 協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為 E-1、E-2、E-3，其中 E-1 約占所捕獲總流量的一半。美國西海岸地區的 Ethernet/IP 協議蜜罐捕獲的攻擊流量采用 E-1、E-2、E-3 三種攻擊類型，其中，E-1 以 54%的高占比成為該地區 Ethernet/IP 協議蜜罐捕獲的攻擊流量的主要攻擊類型。由此可見以上攻擊類型是對 Ethernet/IP 協議蜜罐進行攻擊的主要手段。Modbus 協議蜜罐部署地區為中國華東地區

84、和美國東海岸，二者均為工業發達地區，蜜罐部署在該地區便于偽裝隱藏，且易于收集更多的攻擊信息。由圖 6-5 可知，中國華東地區的 Modbus 協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為 M-1、M-2，其中 M-1占到了41%。美國東海岸 Modbus協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1、M-2、M-3，且相互之間占比差距較小。由此可見以上攻擊類型是對 Modbus 協議蜜罐進行攻擊的主要手段。本團隊對 Ethernet/IP 和 Modbus 的 ICS 網絡流量進行了解析、建模、評估，但其中還存在部分未知的攻擊類型，針對未知的攻擊類型還需進一步的研究，以便提供有效的 ICS 流

85、量檢測與攻擊預警，評估其潛在的攻擊意圖，制定針對性的防御措施。6.4 工控蜜罐與威脅情報數據關聯分析近年來，網絡安全風險持續向工業控制領域擴散，工控網絡也逐漸成為網絡安全的重要一環。當前工控攻擊具有類型豐富、途徑泛濫、追蹤困難等特點，傳統的被動式防御手段“老三樣”防火墻、查殺病毒、入侵檢測以及針對單點的攻擊取證與溯源技術難以應對高級持續性威脅（APT）、新型高危漏洞等復雜安全威脅，而以威脅情報（TI）為基礎的分析技術能夠收集整合全球范圍內的分散攻擊與威脅，進而采取智能化的攻擊響應措施，實現大規模網絡攻擊的防護與對抗，本團隊也對 2022 全年采集到的大量威脅情報及蜜罐數據進行了關聯分析。由“諦

86、聽”網絡安全團隊開發并于 2021 年 2 月上線的威脅情報搜索引擎（https:/www.TI）是基于“諦聽”威脅情報中心而研發的應用服務。威脅情報中心存有海量威脅情報數據，提供全面準確、內容詳細的相關決策支持信息，為行業系統安全提供保障。面對復雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報搜40索引擎刻不容緩，旨在為工業、企業、組織以及個人提供更加全面的情報信息，打造以威脅情報平臺為基石的網絡安全空間。2022 年“諦聽”蜜罐和威脅情報中心均采集到大量新數據，為探尋數據間潛在的相關性，“諦聽”團隊計算威脅情報數據和蜜罐數據的重疊部分，并根據攻擊類型的不同將數據分為 5 類。其中包括代

87、理 IP（proxy）、命令執行與控制攻擊（command execution andcontrol attacks）、惡意 IP（reputation）、垃圾郵件（spamming）和洋蔥路由（tor）。每種類型數據與蜜罐數據重疊部分在二者中的占比如圖 6-6，本團隊對該圖的分析如下。圖 6-6 威脅情報與蜜罐數據關聯占比（數據來源“諦聽”）圖 6-6 中威脅情報數據來源于“諦聽”威脅情報中心，該系統所記錄的數據為安全網站或安全數據庫中的情報數據，本團隊根據情報數據攻擊類型不同分別記錄在不同的數據表中。而直接在部署在國內外網絡節點上的工控蜜罐通過模擬暴露在互聯網上的工業控制設備，開放設備對應

88、工業網絡協議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時，監聽捕捉流經此節點的網絡流量，以保證攻擊信息的真實性與可用性。因此，圖中威脅情報數據與工控蜜罐數據有重疊的部分表示情報中心收集到的 IP 地址確實發生了工控攻擊，這可以讓系統更有針對性的對攻擊進行防御。下面對具體的數據進行分析。41首先，與 2021 年類似，2022 年占蜜罐數據最多的攻擊類型依然是“惡意 IP”，達到了 6.737（經過 ln 函數計算后），本團隊認為發起代理 IP、命令執行與控制攻擊、垃圾郵件和洋蔥路由攻擊的攻擊者 IP 在主觀上均可以標識為“惡意 IP”，這可能是“惡意 IP”的關聯占比最高的原因，未來工控

89、產業可能需要更加嚴格地細分“惡意 IP”的認證標準，將工控網絡中的“惡意 IP”概念與其他網絡作準確的區別。其次，與 2021 年僅“洋蔥路由”在蜜罐數據中的關聯占比排名第二不同的是，今年“命令執行與控制攻擊”、“垃圾郵件”與“洋蔥路由”的關聯占比相差不大，可以視為緊隨“惡意 IP”之后均排名第二。本團隊猜測，基于 Tor 網絡協議內部固有的脆弱性特征且目前相關研究并不成熟的現狀，工控系統在設計時可能就會避免部署 Tor 網絡結構，這就使得工控攻擊者失去攻擊目標而采取其他類型的攻擊方式，其中可能就包括“命令執行與控制攻擊”與“垃圾郵件”，當然工控系統安全人員也不能對“洋蔥路由”攻擊掉以輕心。最

90、后，通過“代理 IP”進行攻擊的情報數量在蜜罐數據中占比最小，本團隊猜想：代理 IP 是一種特定的 IP 地址，用戶購買代理 IP 并不代表可以隨意使用，一般情況下會有特定的管理人員對代理 IP 進行管理，一旦發現某用戶頻繁通過該 IP 進行攻擊，管理人員會對該 IP 進行回收，不再授予使用權；同時目前針對“代理 IP”攻擊的防護方案較為成熟，攻擊者傾向于使用多種方式對工控系統進行立體攻擊。6.5 工控網絡探針6.5.1 數據處理之 Honeyeye隨著網絡信息技術的飛速發展，互聯網與工業融合創新不斷推進，通信、金融、交通、能源等基礎行業設施日益依賴于網絡，并逐步與公共互聯網連接。隨之而來的是

91、工業領域逐漸成為網絡攻擊重災區，工業互聯網安全防護急需加強與提升。網絡探針是一個用于捕獲、分析網絡數據包的組件，在確保網絡信息產業的安全可控中有著重要的意義。由“諦聽”網絡安全團隊研發的 Honeyeye 工控網絡探針支持對 30余種工控協議解析的同時，亦可進行數據預處理。分析網絡特征與行為是實現工控安全中一個重要的環節，因此獲得有效且易于分析的數據至關重要。PCAP 文件被廣泛應用于網絡流量存儲，但因其文件格式是二進制格42式，可讀性較差。相較于現有的網絡流量捕獲系統（如 TCPDump、Windump 和 Wireshark）只將捕獲的原始二進制數據保存在 PCAP 文件中，Honeyey

92、e 能夠將捕獲的數據轉換為所需格式對外輸出。圖 6-7 不同流量上 Honeyeye 和 Wireshark 解析時間對比（數據來源“諦聽”）從圖 6-7 可以看出，相較與主流的網絡流量解析工具 Wireshark，本團隊所研發的探針 Honeyeye 解析速度更快。Honeyeye 可以捕獲流量以及導入 PCAP 文件作為輸入進行解析，輸出結果以 Json 格式保存及傳輸到遠端服務器，從而易于人閱讀和編寫，同時也易于機器解析，為下一步分析提供支撐。此外，Honeyeye 可以作為插件被其他框架所整合，從而提高 Honeyeye 的可用性。未來，本團隊將繼續致力于 Honeyeye 的改進，包

93、括但不限于改進框架跨不同系統和網絡運行的能力，以及收集防火墻日志和攻擊者擊鍵操作等其他信息的能力。6.5.2 網絡安全態勢可視化利用 Honeyeye 輸出的數據進行網絡安全態勢可視化為用戶監控網絡環境、發現網絡異常、定位故障節點等提供了便利。43本團隊所開發的網絡安全態勢可視化系統中主要包括設備監測、流量統計以及帶寬變化等模塊。其中設備監測對 CPU 和內存使用率、設備 IP 以及部署時間等信息進行展示，能夠幫助用戶掌握系統運行狀態，減少突發事件，一定程度上提高運維效率。流量統計中的總體流量統計有助于用戶從宏觀上了解近期流量變化；而實時流量統計能夠展示每秒的流量變化趨勢，并顯示上下限之外的異

94、常流量，以便定位異常。重要網絡設備的帶寬變化可以有效檢測可疑網絡活動，進而為網絡安全提供保障。目前，網絡安全態勢可視化還是一項剛剛發展的技術，通過可視化圖形方式將網絡中蘊含的態勢展示給用戶，方便用戶對網絡異常的檢測、預防及處理。未來，基于大數據和人工智能的網絡安全態勢需要進一步探索，從而獲得并展示更多、更深層次的數據，最終協助網絡安全管理人員實現網絡安全智能化管理。447.工業互聯網安全創新發展隨著近年來技術的發展，工業互聯網的應用越來越廣泛。工業互聯網（IndustrialInternet）是新一代信息通信技術與工業經濟深度融合的新型基礎設施、應用模式和工業生態，通過對人、機、物、系統等的全

95、面連接，構建起覆蓋全產業鏈、全價值鏈的全新制造和服務體系，為工業乃至產業數字化、網絡化、智能化發展提供了實現途徑，是第四次工業革命的重要基石。工業互聯網不是互聯網在工業的簡單應用，而是具有更為豐富的內涵和外延。它以網絡為基礎、平臺為中樞、數據為要素、安全為保障，既是工業數字化、網絡化、智能化轉型的基礎設施，也是互聯網、大數據、人工智能與實體經濟深度融合的應用模式，同時也是一種新業態、新產業，將重塑企業形態、供應鏈和產業鏈7。近年來，工業化與信息化的深度融合使得互聯網與工業控制系統相結合，改變了傳統工業控制系統封閉的環境。在享受互聯網便利的同時，工業領域也同樣開始面臨互聯網的安全威脅。遠在千里之

96、外的黑客可以通過互聯網，攻擊原本封閉的工業控制系統，這使得網絡型攻擊可以直達生產現場，造成生產中斷甚至威脅工作人員的生命安全。例如 2022 年 1 月 29 日，位于荷蘭阿姆斯特丹和鹿特丹、比利時安特衛普的幾處港口因遭到勒索軟件的攻擊，石油裝卸和轉運受阻，至少有 7 艘油輪被迫在安特衛普港外等候，無法靠港。同月，黑客組織勒索攻擊鐵路相關基礎設施，試圖謀求政治訴求。網絡攻擊帶來的巨大利益訴求讓工業領域面臨嚴峻的安全挑戰。目前的工業互聯網安全技術大體分為安全防護技術、安全評測技術、安全監測技術。首先，工業互聯網安全防護技術是對工業互聯網各層級部署邊界控制、身份鑒別與訪問控制等的技術措施，是工業互

97、聯網安全技術的核心。工業互聯網安全評測技術是采取技術手段對工業互聯網各層級的安全防護對象進行測試和評價，了解其安全狀態，從而增強防護能力，主要包括漏洞掃描、漏洞挖掘、滲透測試等技術。工業互聯網安全監測技術就是通過技術手段實現對各層級的安全威脅的發現識別、理解分析、響應處置，主要包括安全監測審計、安全態勢感知等關鍵技術。隨著相關安全技術的發展，未來工業互聯網行業的安全性會愈來愈好。45據目前情況來看，我國發展工業互聯網有優勢也有缺點，可以說是機遇與困難并存。從優勢上來講，一是我國有著一定的工業基礎，自 19 世紀第一個五年計劃起，我國就開始了工業化建設，這也讓我國工業門類齊全；二是市場需求充足，

98、我國作為世界第二大經濟體，有著極大的市場需求，很多東西都能自產自銷；三是擁有相應的網絡配置以及政策傾向，我國 5G 的研發處于世界領先水平，5G 的覆蓋率使得我們擁有很好的網絡配置。與此同時，我國政策一直都是科技導向，發展以工業互聯網為基礎的高新技術產業。四是我國人口眾多，14 億的人口基數能讓我們擁有龐大的人才資源儲備。相應的，有優勢就有缺點，一是思想觀念上的挑戰，當今社會科學技術日新月異，這要求我們從業者有破釜沉舟的勇氣，有敢為天下先的擔當，從業者要敢于走出舒適圈，將互聯網融于傳統工業企業中，積極響應國家號召，適應當前飛速發展的時代。二是商業模式的挑戰，工業互聯網相對于傳統工業還是小眾行業

99、，國內目前還沒形成統一的評價標準，社會各界認知不統一；三是關鍵技術的挑戰，我國工業互聯網平臺產業空心化問題是一道邁不過的難關，目前國內很多工業互聯網平臺都是基于國外基礎產業體系而建立的。雖然我國很多技術已實現彎道超車，但仍有許多被卡脖子的技術需要攻克。核心技術必須掌握在自己手里，這是不可退步的原則問題。7.1 工業互聯網與智能制造智能制造與工業互聯網二者密不可分，相輔相成。根據工業互聯網產業聯盟（Allianceof Industrial Internet，AII）發布的工業互聯網術語與定義，智能制造（Intelligent Manufacturing，IM）包含了智能制造技術和智能制造系統兩

100、方面。而智能制造的實現主要依托兩個基礎能力，一個是工業制造技術，主要包括了先進裝備、先進材料和先進工藝等，工業制造技術是決定制造邊界與制造能力的根本；另一個就是工業互聯網。工業互聯網包括智能傳感控制軟硬件、新型工業網絡、工業互聯網平臺等，是充分發揮工業裝備、工藝和材料潛能，提高生產效率、優化資源配置效率、創造差異化產品和實現服務增值的關鍵8。46圖 7-1 工業互聯網與智能制造的關系9工業互聯網是實現智能制造的基礎，工業互聯網主要通過五大技術來支持實現智能制造，包括工業軟件技術、工業網絡技術、工業平臺技術、工業安全技術、工業智能技術9。智能制造依托工業互聯網發展的同時，反過來也推動著工業互聯網

101、的改造與升級。制造自動化、智能化的宏偉目標，也在不斷促進著工業互聯網朝高速度、低延遲的方向發展。自工業互聯網相關概念被提出以來，實現智能制造就一直是人們談論的熱點話題。而如今隨著人工智能、大數據等新興互聯網技術的突破，更是為智能制造的實現提供了新的可能性。2021 年 12 月，工業和信息化部、國家發展改革委、教育部、科技部、財政部、人力資源社會保障部、市場監管總局、國資委等八部門聯合發布了“十四五”智能制造發展規劃，“十四五”智能制造發展規劃中對我國智能制造的現狀與形勢、未來發展的重點任務等方面進行了詳細的闡述，其中更是提出到 2035 年相關國家重點骨干企業基本實現智能化的宏偉目標。477

102、.2 工業互聯網與產業數字化轉型產業數字化轉型是利用數字技術進行全方位、多角度、全鏈條的改造過程，是利用數字技術破解企業、產業發展中的難題，重新定義、設計產品和服務，實現業務的轉型、創新和增長10。產業數字化轉型對推動我國經濟高質量發展具有重要意義。十九大以來，我國不斷推動工業互聯網創新戰略走深走實，與我國的產業發展相互適應、齊頭并進。工業互聯網創新發展行動計劃（2021-2023 年）確立了未來三年我國工業互聯網發展目標：到 2023 年，新型基礎設施進一步完善，融合應用成效進一步彰顯，技術創新能力進一步提升，產業發展生態進一步健全，安全保障能力進一步增強11。目前，工業互聯網創新進入高速發

103、展階段，我國正加快工業互聯網與制造業融合的腳步，充分發揮我國的人才優勢、市場優勢及制造業優勢，深化工業互聯網與重點企業、集團的合作。產學研緊密結合，工業互聯網新技術相繼落地，在企業維護、工廠監管、生產技術、銷售渠道等方面為企業提供優秀的數字化轉型方案。工信部最新統計數據顯示，截至 2022 年上半年，工業互聯網高質量外網覆蓋全國 300 多個城市?！?G+工業互聯網”全國建設項目2022年第二季度新增700個，累計已超過3100個。(數據來源12)如今，工業互聯網平臺已經成為產業升級的關鍵組成、數據交互的集散地、政府與產業的溝通橋梁、拓展市場的重要途徑。近年來，工業互聯網帶動國民經濟迅猛發展，

104、影響力顯著提高。至 2022 年 8 月，工業互聯網已經全面融入 45 個國民經濟大類(數據來源12)，工業互聯網實現了產業的增速增效，也助推了全產業鏈的協同高效運轉，是實現產業鏈數字化和智能化的基礎。工業互聯網創新逐漸成為我國產業數字化轉型升級、建設制造強國和構建發展新格局的主要切入點，為推動經濟高質量發展提供動力?，F階段，工業互聯網還需要融入更多行業，鞏固跨界合作，提高深度與廣度，為其他行業提供技術、方案支持，推進產業數字化全面向好發展。在未來，工業互聯網創新將會繼續帶動我國產業的迭代創新，提升我國產業的核心競爭力。487.3 工業互聯網與典型工業環境7.3.1 工業互聯網與電力行業電力系

105、統作為重要的工業基礎設施之一，便利了人民日常生活，也對社會穩定起到重大作用，由于電網系統的脆弱性和低攻擊容忍性，一旦電力系統受到攻擊，會對國家安全，人民安全產生巨大威脅。一些不法分子通過網絡攻擊來損害電網系統達到擾亂社會的目的。2019 年 3 月，黑客組織利用電力系統漏洞對美國可再生能源電力 SPower 公司發動 DDos 攻擊，攻擊導致控制系統與太陽能和風力發電設備之間通訊中斷。2020 年，巴西電力公司 Light S.A 遭黑客入侵系統，并被勒索 1400 萬美元的贖金。隨著信息化電網的建設，各種電力設備以網絡為媒介互聯互通，工業控制系統的開放程度越來越高，在為工業生產帶來極大推動的

106、同時，也減弱了電力工業控制系統與外界的隔離，致使外界攻擊者可以通過互聯網來攻擊電網。圖 7-2 電力工業控制系統的安全防護體系132009 年我國正式提出“智能電網”的概念，意圖建設信息化，自動化的堅強智能電網，近年來已經成為了國家電網的主要發展方向。2022 年 7 月，發改委、住建部印發“十四五”全國城市基礎設施建設規劃，其中提到開展城市韌性電網和智能電網建設。49智能電網也被稱作“電網 2.0”，是電網的智能化，是世界電力產業發展的體現，也是新能源發展實施的重要基礎，具有智能化的信息架構，通過先進的測量技術、控制方法、決策系統，可以為人民提供安全、經濟、環保的電力服務，其應具有高度的可自

107、愈性，抵御攻擊以及滿足所有用戶的用電需求。隨著工業互聯網和傳統電力系統的發展融合，需要加大對電網安全問題的注意，時刻防范針對電網的惡意攻擊，守護國家安全。7.3.2 工業互聯網與能源行業能源產業是國民經濟的重要基礎工業，關系到國家戰略儲備，百姓日常生活?！爸刭Y產、資源型”的特點決定了其實踐工業互聯網的必要性和創新性。能源行業在自動化、信息化等方面已經有了一定程度的普及，PLC、傳感器、DCS 等較為完善14。能源行業連續生產需要設備高可靠、安全運行，通過技術手段優化運行效率、實現節能降耗更是核心的工業需求14。工業互聯網能夠有效地滿足上述需求，通過實時監測設備狀態從而保證設備的可靠性、易控制性

108、，設備不間斷運行產生海量的工業時序數據在分析故障、分析產能以及分析能耗等方面起到重要的作用。石油被稱為工業血液，是國家生存和發展必不可少的資源。從當前形勢來看，石油行業在滿足其他行業對于石油需求的同時，得到的經濟效益是有限的。此外，在“雙碳”背景下，如何在石油開發中減少碳排放實現綠色開發，也是一個值得考慮的問題。工業互聯網的引入能夠有效地節約石油行業中的物耗成本、人員成本、時間成本，進而提高石油行業的經濟效益。同時，對于設備的實時監測可以實現排污主動處理，從源頭上解決部分的污染問題。因此，與工業互聯網結合是越來越多石油企業的必然選擇。工業互聯網的高速發展推動煤炭行業生產管理方式改革，并為煤炭行

109、業發展助力。我國煤炭行業的變革已經從機械化走向了今天的自動化，但這并不意味著我國煤炭行業已無發展空間，各系統間協同合作程度低，不同技術難以整合等問題的解決需要工業互聯網的支持。工業互聯網的應用可實現實時掌控作業環境情況、提高設備工作效率、保障礦井工人安全等。但就目前來看，我國煤炭工業互聯網還處于前期，未來技術創新、與煤炭行業適配任重而道遠。50在新能源迅速發展的背景下，工業互聯網的價值得到進一步地體現。構建新能源體系不僅是社會主義現代化強國的必然要求，同時對實現“雙碳”目標意義重大15。然而，新能源開發利用仍存在一些制約因素，比如新能源各類設備種類雜、多系統間存在數據壁壘等問題16，這與工業互

110、聯網的主攻方向恰恰契合。工業互聯網的應用能夠通過設備的自我監測和報備，將以往設備定期維護和檢修轉向預防為主的維護方式，從而降低了設備突發宕機的概率。此外，當設備發生故障時，工業互聯網能夠通過實時數據上報，快速定位告警、故障節點，達到縮短維修周期的效果?？v觀整個能源行業，工業互聯網在實現降低能耗、智能管理、提高效率，最終達到降本增效的過程中起到至關重要的作用。但也因此，能源行業成為網絡攻擊重災區，隨著與工業互聯網合作的持續深入，越來越多的網絡安全問題也會接踵而至。所以，在能源行業應用工業互聯網的過程中，需要考慮可能存在的網絡安全問題以及注重網絡安全防護。7.3.3 工業互聯網與交通行業工業互聯網

111、快速發展，逐漸與傳統工業行業進行融合旨在推動傳統工業向數字化與智能化方向轉化，在交通基礎設施建設行業也有所體現。在工業互聯網的輔助下，交通基建企業可以設計協同管理等應用來提高施工質量、生產安全水平等，將工業互聯網融合至工業生產過程以及運行管理模塊，利用新型信息技術彌補傳統工業模式上的不足，提高企業整個生產的效率并保障生產過程的安全。在城市交通的地鐵領域中，工業互聯網已應用于地鐵綜合監控系統的搭建，該系統包含中央綜合監控系統以及車站綜合監控系統，并由綜合監控系統骨干網連接而成。中央綜合監控系統致力于保證交通各線路上的各車站的各個子系統都能夠處于正確的運行狀態并正確實現中心級下達的操作控制功能指令

112、，該系統被安裝于線路控制中心處；車站級監控網則是具有雙冗余高速交換特點的以太網，其數據傳輸速率可以高達100Mbit/s 或 1000Mbit/s。圖 7-3 則為一個典型的綜合監控系統架構示例圖，該系統構建在廣域網上，也是地理分散的大型 SCADA 系統。51圖 7-3 典型的綜合監控系統架構圖17隨著工業互聯網在交通領域的快速發展，其也存在著安全責任邊界模糊、安全防護意識不足等問題。因此在交通工業環境中，解決城市軌道交通信息系統、地鐵綜合監控系統以及公交管家系統等的安全問題的意識在不斷增強，解決措施也在不斷完善。以城市軌道交通信息系統為例，在工業互聯網的介入后，該系統需要著重對防病毒軟件以

113、及防火墻這兩個安全設備進行加強防護，并注意及時升級防病毒軟件的病毒庫，以防出現惡意病毒入侵、系統外的非授權訪問等一系列網絡安全問題。工業互聯網應用在交通領域后，可以實現行業數據共享交換、地鐵運行自動化以及智能化等，推動了這個領域的發展以及進步。與此同時，使得該領域也面臨一定的信息安全風險，例如網絡安全責任邊界不清晰、信息泄露以及數據竊取風險增加、工業互聯網設備長期遭受惡意攻擊、工業互聯網軟件設備更新慢以及漏洞無法及時修補等安全風險。因此，在提高網絡安全意識以及技術的基礎上，也需要不斷根據實際情況來擬定和出臺相關戰略或有針對性的信息安全政策來輔助解決一系列潛在或待解決的信息安全的問題。538.總

114、結2022 年黨的二十大報告對推進新型工業化、構建現代化基礎設施體系做出重大戰略部署。工業互聯網作為構建工業環境下人、機、物全面互聯的關鍵基礎設施18，已經連續五年寫入政府工作報告，被明確為重點發展的任務之一，加強工業互聯網安全防護的重要性日益凸顯。為貫徹落實中華人民共和國網絡安全法等法律法規，國家標準化管理委員會發布了信息安全技術 關鍵信息基礎設施安全保護要求。同時，我國在2022 年相繼推出了一大批工業互聯網信息安全相關的政策法規及報告，以保證工業互聯網高質量發展。隨著工業互聯網應用范圍的不斷擴大，工控領域面臨的安全風險不斷增加。2022年工控安全事件頻發，各類網絡攻擊威脅持續上升。這些攻

115、擊行為涉及到各行各業，給個人、企業、國家帶來了不同程度的損失。值得注意的是，針對關鍵基礎設施的攻擊呈現上升態勢，加強關鍵基礎設施安全工作刻不容緩?；谝酝墓た匕踩蝿?，工控系統行業漏洞數量呈逐年下降的趨勢。相比于 2021 年，全球在工控設備暴露數量方面的排名除前兩名外發生了較為明顯的變化，各國工控設備暴露數量有所回升。通過威脅情報和蜜罐數據的關聯分析，進一步體現了威脅情報在工控網絡安全領域中具備極高的應用價值。萬物互聯時代，工業互聯網的發展與普及無論從政策制定層面還是實際落地層面都得到了國家的大力支持。建立安全保障體系，提高安全防護水平，對工業互聯網的創新發展具有重要意義。在未來，工業互聯

116、網將持續為智能制造與產業數字化轉型賦能，促進與各行業的融合創新應用，為推進新型工業化、構建現代化基礎設施體系提供強勁動力。參考文獻1 國家信息安全漏洞共享平臺工業控制系統漏洞列表EB/OL.https:/ 國家信息安全漏洞共享平臺工控漏洞子庫EB/OL.https:/ 中國工業經濟發展形勢展望（2022年）發布：重點行業運行穩健,表現出較強韌性EB/OL.https:/ 長三角工業互聯網峰會在合肥舉行，專家代表共話工業互聯網發展新趨勢EB/OL.https:/ 遼寧工業互聯網進入新發展階段EB/OL.https:/ 2022全球工業互聯網大會在沈陽盛大開幕EB/OL.https:/ 工業互聯網

117、（概念）EB/OL.https:/ 中華人民共和國國家互聯網信息辦公室.工業互聯網你知道多少.EB/OL.http:/ 工云智慧.一文讀懂智能制造與工業互聯網的區別.EB/OL.https:/ 產業數字化轉型是什么意思EB/OL.https:/ 工業互聯網創新發展行動計劃（2021-2023年）解讀EB/OL.http:/ 工業互聯網：制造業數字化轉型重要力量EB/OL.https:/ 應歡,劉松華,韓麗芳,繆思薇,周亮.電力工業控制系統安全技術綜述J.電力信息與通信技術,2018,16(03):56-63.DOI:10.16543/j.2095-641x.electric.power.ict

118、.2018.03.009.14 毛旭初.能源行業工業互聯網發展的核心是工業智能化EB/OL.http:/ 陳洪波.構建新型能源體系的戰略意義J.上海企業,2022(12):84.16 顧維璽,王為民.構建國家級新能源工業互聯網平臺EB/OL.https:/ 典型工業領域的工業控制網絡EB/OL.https:/ 3 名博士，7 名博士研究生，23 名碩士研究生。團隊的研究方向為工業互聯網安全，重點研究內容主要包括工業互聯網安全測繪、工業流量探針、工業流量異常檢測、工控蜜罐/蜜網、威脅情報、工業安全態勢感知等。課題組發表學術論文50 余篇，專利 8 項，軟件著作權 2 項，主編國內首部工業信息安全專著工控網絡安全技術與實踐，獲省部級以上科技獎勵二項、中國國際互聯網+大學生創新創業大賽國獎及省級金獎、“挑戰杯”遼寧省大學生創業計劃競賽金獎、中國高校計算機大賽網絡技術挑戰賽特等獎、ChinaVis 數據可視化分析挑戰賽一等獎等，制定國家、地方標準 3 項，連續 6 年發布工業控制網絡安全態勢白皮書。56