1、工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)綜述2020 年上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)綜述一、上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)2020 年上半年，我國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)整體平穩(wěn)，未發(fā)現(xiàn)重大網(wǎng)絡(luò)安全事件，但惡意網(wǎng)絡(luò)行為持續(xù)活躍，對(duì)工業(yè)控制系統(tǒng)及設(shè)備的攻擊持續(xù)增多、受攻擊的行業(yè)范圍廣，工業(yè)互聯(lián)網(wǎng)安全形勢(shì)嚴(yán)峻。（一）我國(guó)工業(yè)互聯(lián)網(wǎng)相關(guān)惡意網(wǎng)絡(luò)行為的次數(shù)呈現(xiàn)增 加趨勢(shì)，安全隱患突出。2020 年 1 月 1 日至 2020 年 6 月 30 日，國(guó)家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知與風(fēng)險(xiǎn)預(yù)警平臺(tái)持續(xù)對(duì)全國(guó) 136 個(gè)主要工業(yè)互聯(lián)網(wǎng)平臺(tái)、10 萬(wàn)多家工業(yè)企業(yè)、900 多萬(wàn)臺(tái)聯(lián)網(wǎng)設(shè)備進(jìn)行安全監(jiān)測(cè)，累計(jì)監(jiān)測(cè)發(fā)現(xiàn)惡意網(wǎng)絡(luò)行為1356.3 萬(wàn)次，涉及 20

2、39 家企業(yè)。其中，攻擊方式以異常流量、非法外聯(lián)、僵尸網(wǎng)絡(luò)三類為主，均超過 300 萬(wàn)次，累計(jì)占惡意行為總數(shù)的 81%，惡意網(wǎng)絡(luò)行為排名見圖 1。與此同時(shí)，異常流量中包含大量掃描、嗅探行為，表明當(dāng)前針對(duì)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊大部分為實(shí)施攻擊前的信息搜集，安全隱患不容忽視。35585943058019134116777979317049470141546764596222514惡意行為類型TOP1050000004500000400000035000003000000250000020000001500000100000050000004364253圖 1 工業(yè)互聯(lián)網(wǎng)惡意網(wǎng)絡(luò)行為（二）工業(yè)互聯(lián)網(wǎng)網(wǎng)

3、絡(luò)攻擊主要集中于基礎(chǔ)性行業(yè)，疫 情期間醫(yī)療相關(guān)行業(yè)成關(guān)注重點(diǎn)。當(dāng)前針對(duì)工業(yè)互聯(lián)網(wǎng)的惡意網(wǎng)絡(luò)行為持續(xù)活躍，主要集中于制造業(yè)等基礎(chǔ)性行業(yè)，僅計(jì)算機(jī)、通信和其他電子設(shè)備制造業(yè)遭受攻擊次數(shù)就將近288 萬(wàn)次。疫情期間，醫(yī)藥制造、醫(yī)療器械服務(wù)、紡織等疫情相關(guān)行業(yè)遭受惡意網(wǎng)絡(luò)行為數(shù)量較 2019 年有所上升，但已隨疫情好轉(zhuǎn)而持續(xù)走低，從 1 月占全部工業(yè)企業(yè)惡意網(wǎng)絡(luò)行為的 38.9%降至 6 月占比 10.4%，上半年工業(yè)企業(yè)及重點(diǎn)行業(yè)惡意網(wǎng)絡(luò)行為態(tài)勢(shì)如圖 2 所示。圖 2 工業(yè)互聯(lián)網(wǎng)惡意網(wǎng)絡(luò)行為態(tài)勢(shì)圖（三）來(lái)自境外的掃描攻擊次數(shù)不斷攀升，部分物聯(lián)網(wǎng) 設(shè)備權(quán)限長(zhǎng)期被控制。我境內(nèi)工業(yè)互聯(lián)網(wǎng)遭受境外攻擊占比接

4、近 5 成，多個(gè)境外 IP 段對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)企業(yè)進(jìn)行長(zhǎng)期的掃描嗅探、嘗試攻擊以及外聯(lián)通信，主要境外攻擊來(lái)源惡意行為變化趨勢(shì)如圖 3 所示。此外，監(jiān)測(cè)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)行為境外境內(nèi)6月5月4月3月2月1月0500000100000015000002000000攻擊來(lái)源惡意行為變化趨勢(shì)305 萬(wàn)起，控制端近 7 成位于境外，其中經(jīng)研判分析的僵尸網(wǎng)絡(luò)事件共 121 起，以 Mirai 家族為主，占總量 32.2%。境內(nèi)部分物聯(lián)網(wǎng)設(shè)備存在持續(xù)與境外通信的行為，存在被用于發(fā)動(dòng)DDoS 攻擊的潛在風(fēng)險(xiǎn)。圖 3 攻擊來(lái)源惡意行為變化趨勢(shì)（四）工業(yè)互聯(lián)網(wǎng)安全威脅信息通報(bào)處置機(jī)制初步建立， 疫情期間發(fā)揮重要作用。建

5、立安全威脅信息監(jiān)測(cè)預(yù)警、通報(bào) 處置閉環(huán)機(jī)制，對(duì)相關(guān)威脅信息開展監(jiān)測(cè)、研判和處置，為 疫情防控提供堅(jiān)實(shí)網(wǎng)絡(luò)安全保障。截至 2020 年 6 月 30 日，累計(jì)研判威脅信息 424 例，其中包括 152 家疫情物資生產(chǎn)、醫(yī)藥制造相關(guān)企業(yè)感染僵尸網(wǎng)絡(luò)或木馬后門，69 家醫(yī)療機(jī)構(gòu)存在遠(yuǎn)程代碼執(zhí)行、任意文件寫入等高危漏洞。與此同時(shí)， 按照公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制完成通報(bào)處置 119 例，其中包括疫情重點(diǎn)醫(yī)院、醫(yī)療器械制造企業(yè)等相關(guān)單位 55 例。（五）聯(lián)網(wǎng)工業(yè)設(shè)備漏洞數(shù)量多、級(jí)別高，潛在威脅不容忽視。截至 2020 年 6 月 30 日，累計(jì)監(jiān)測(cè)發(fā)現(xiàn)聯(lián)網(wǎng)工控設(shè)備漏洞隱患 946 個(gè)，其中高危漏洞

6、385 個(gè)，中危漏洞 472 個(gè)， 中、高危漏洞占漏洞總數(shù)的 90.6%。漏洞隱患類型將近 20 種， 主要為緩沖區(qū)堆溢出、設(shè)計(jì)缺陷、非法授權(quán)和跨站腳本等， 占漏洞隱患總量的 63.2%，漏洞危害等級(jí)和漏洞類型分布如圖 4 所示。部分漏洞存在公開利用代碼，被攻擊者獲取后可輕易取得設(shè)備控制權(quán)限，存在較大安全風(fēng)險(xiǎn)。圖 4 聯(lián)網(wǎng)工控設(shè)備漏洞隱患危害等級(jí)分布和漏洞隱患類型圖（六）聯(lián)網(wǎng)工業(yè)設(shè)備及系統(tǒng)“帶病運(yùn)行”情況普遍存在， 被攻擊門檻低。上半年發(fā)現(xiàn)的 946 個(gè)漏洞共涉及 212 個(gè)工業(yè)設(shè)備及控制系統(tǒng)，包括人機(jī)交互接口（HMI）、企業(yè)資源計(jì)劃系統(tǒng)（ERP）和可編程邏輯控制器（PLC）等，占總數(shù)的 92

7、%。這些漏洞主要在 2011 年-2013 年間對(duì)外發(fā)布，表明當(dāng)前存在大量老舊工業(yè)控制系統(tǒng)或設(shè)備，未及時(shí)升級(jí)或更新補(bǔ)丁，存在較大安全風(fēng)險(xiǎn)，更容易遭受黑客的攻擊，會(huì)影響電力、制造等行業(yè)，對(duì)基礎(chǔ)設(shè)施安全形成較大威脅。（七）多個(gè) 0DAY 漏洞被爆出，給我國(guó)工業(yè)互聯(lián)網(wǎng)造成嚴(yán)重安全隱患。工業(yè)互聯(lián)網(wǎng)設(shè)備和控制系統(tǒng)越來(lái)越多地被挖掘存在 0DAY 漏洞，如某工控廠商 PLC 設(shè)備存在一系列未公開的 0DAY 漏洞，近萬(wàn)臺(tái)正在產(chǎn)線上使用的工控設(shè)備受此漏洞威脅。惡意用戶無(wú)需任何權(quán)限即可訪問這些管理接口， 黑客可通過刪除安全訪問限制后直接控制 PLC，遠(yuǎn)程修改其中的各種配置信息，導(dǎo)致系統(tǒng)故障、停產(chǎn)，甚至引發(fā)安全生

8、產(chǎn)事故，安全隱患突出。（八）勒索軟件對(duì)工業(yè)互聯(lián)網(wǎng)威脅加劇，安全事件頻繁 曝出。勒索病毒通過互通的工業(yè)網(wǎng)絡(luò)在站與站之間、供應(yīng)鏈上游與下游之間造成大面積傳播，在汽車、能源、制造業(yè)等重要領(lǐng)域均爆出相關(guān)安全事件，后果影響嚴(yán)重。某國(guó)際知名汽車公司遭勒索軟件重創(chuàng)，引起其計(jì)算機(jī)服務(wù)器和相關(guān)網(wǎng)絡(luò)毀損以及電子郵件無(wú)法使用，對(duì)部分產(chǎn)線和業(yè)務(wù)運(yùn)作造成影響。美國(guó)某芯片制造商遭 Maze 勒索軟件攻擊，造成 10.3GB 的會(huì)計(jì)和財(cái)務(wù)信息泄漏。歐洲某能源系統(tǒng)商遭到 SNAKE 勒索軟件攻擊，導(dǎo)致其內(nèi)部 IT 網(wǎng)絡(luò)中斷。（九）車聯(lián)網(wǎng)領(lǐng)域成為網(wǎng)絡(luò)攻擊新趨向，大量用戶數(shù)據(jù) 和個(gè)人隱私面臨泄露風(fēng)險(xiǎn)。隨著車聯(lián)網(wǎng)智能化和網(wǎng)聯(lián)化的不

9、斷推進(jìn)，該領(lǐng)域安全威脅事件日益劇增。2020 年 5 月，英國(guó)謝菲爾德市爆發(fā)大規(guī)模道路通行記錄數(shù)據(jù)泄露事件，約 860 萬(wàn)條記錄道路通行數(shù)據(jù)被泄露；同月，匿名黑客從交警登記處獲取超過 1.29 億俄羅斯車主的數(shù)據(jù)，并將其暴露在“暗網(wǎng)” 上以獲取加密貨幣。英國(guó)某媒體調(diào)查報(bào)告披露，汽車行業(yè)兩大巨頭公司的兩款暢銷車存在嚴(yán)重安全漏洞，黑客可利用該漏洞發(fā)動(dòng)攻擊，竊取車主的個(gè)人隱私信息甚至操控車輛。（十）安全投資融資活躍，推動(dòng)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)快速發(fā)展。隨著工業(yè)互聯(lián)網(wǎng)政策的持續(xù)利好，網(wǎng)絡(luò)安全關(guān)注度持續(xù)上升，工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)投融資高漲，奇安信、啟明星辰、六方云等安全企業(yè)積極推進(jìn)工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)突破，

10、紅杉資本、盈動(dòng)資本等專業(yè)投資機(jī)構(gòu)等相繼發(fā)力布局。根據(jù)網(wǎng)上公開信息統(tǒng)計(jì)，2020 年上半年國(guó)內(nèi)累計(jì)投融資事件26 起，投融資規(guī)模達(dá) 15 億元。其中工業(yè)互聯(lián)網(wǎng)安全、數(shù)據(jù)安全、云安全等領(lǐng)域成為 2020 年上半年市場(chǎng)投融資熱點(diǎn)，上半年國(guó)內(nèi)網(wǎng)絡(luò)安全投融資領(lǐng)域分布情況圖 5 所示。圖 5 國(guó)內(nèi)投資領(lǐng)域分布情況二、下半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)預(yù)判（一）“新基建”下的工業(yè)互聯(lián)網(wǎng)面臨安全新挑戰(zhàn)。隨 著人工智能、5G 等新一代信息技術(shù)和機(jī)器人等高端裝備與工業(yè)互聯(lián)網(wǎng)融合應(yīng)用，設(shè)備聯(lián)網(wǎng)、企業(yè)上云加速安全風(fēng)險(xiǎn)傳導(dǎo)延展，網(wǎng)絡(luò)攻擊面從邊界向核心不斷擴(kuò)大，推動(dòng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)工作逐步向動(dòng)態(tài)協(xié)同轉(zhuǎn)變，安全風(fēng)險(xiǎn)挑戰(zhàn)進(jìn)一步升級(jí)。

11、（二）惡意網(wǎng)絡(luò)行為將有增無(wú)減。2020 年上半年，源于境外的攻擊不斷增多，包括持續(xù)性嗅探掃描、僵尸網(wǎng)絡(luò)遠(yuǎn)控等，預(yù)計(jì)下半年該趨勢(shì)將延續(xù)。從監(jiān)測(cè)角度看，僵尸網(wǎng)絡(luò)控制端與境內(nèi)被控端可能通過加密傳輸信息，監(jiān)測(cè)難度將大幅增加。來(lái)自境外 IP 對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)進(jìn)行長(zhǎng)期、持續(xù)、廣泛的嗅探掃描，需引起關(guān)注。（三）0DAY 漏洞數(shù)量將進(jìn)一步提高，漏洞影響范圍將進(jìn)一步擴(kuò)大。2020 上半年 CNVD 新增的工業(yè)控制系統(tǒng)漏洞數(shù)量達(dá)到 315 個(gè)，廣泛涉及制造業(yè)、能源、交通、醫(yī)療等行業(yè)， 僅上半年的數(shù)量已達(dá)到 2019 年全年新增數(shù)量的 76.3%，下半年 0DAY 漏洞數(shù)量將會(huì)持續(xù)增加，行業(yè)分布依舊廣泛。從工業(yè)企業(yè)

12、角度看，工控設(shè)備中不僅存在老舊且利用門檻低的漏洞，更存在曝出 0DAY 漏洞的風(fēng)險(xiǎn)，企業(yè)安全防護(hù)面臨挑戰(zhàn)。（四）工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全將成為企業(yè)亟待應(yīng)對(duì)的關(guān)鍵問題。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和保護(hù)需求多種多樣，設(shè)計(jì)、生產(chǎn)、操控等各類數(shù)據(jù)分布在云平臺(tái)、用戶端、生態(tài)端等多種設(shè)施上，目前單點(diǎn)、離散的數(shù)據(jù)保護(hù)措施難以有效保護(hù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全。工業(yè)互聯(lián)網(wǎng)承載著事關(guān)企業(yè)生產(chǎn)、社會(huì)經(jīng)濟(jì)乃至國(guó)家安全的重要工業(yè)數(shù)據(jù)，一旦被竊取、篡改或流動(dòng)至境外，將對(duì)國(guó)家安全造成嚴(yán)重威脅。（五）工業(yè)互聯(lián)網(wǎng)安全融合應(yīng)用解決方案將不斷涌現(xiàn)。 安全廠商紛紛積極探索 5G、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)在工業(yè)互聯(lián)網(wǎng)安全解決方案中的應(yīng)用。例如，某廠商推出 AI 安全免疫系統(tǒng)，通過流量監(jiān)測(cè)、結(jié)合機(jī)器學(xué)習(xí)和人工智能算法，為每個(gè)設(shè)備和用戶建立起各自的健康模型，形成新型威脅感知方案。工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟將持續(xù)編制工業(yè)互聯(lián)網(wǎng)安全典型解決方案，不斷探索與新興技術(shù)的融合，為企業(yè)部署安全防護(hù)措施提供可參考的模式。（六）跨部門、跨行業(yè)、跨平臺(tái)的威脅信息通報(bào)處置機(jī) 制將協(xié)同推進(jìn)。隨著越來(lái)越多的設(shè)備聯(lián)網(wǎng)、企業(yè)上云，企業(yè) 很難進(jìn)行單獨(dú)的防御，行業(yè)及地方主管部門、工業(yè)互聯(lián)網(wǎng)企 業(yè)、設(shè)備提供商、安全服務(wù)商等需要建立協(xié)同機(jī)制，共同應(yīng) 對(duì)來(lái)自各領(lǐng)域的安全威脅與挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警、重大網(wǎng)絡(luò)安全事件報(bào)告、威脅信息通報(bào)、應(yīng)急處置等系列機(jī) 制將進(jìn)一步完