目錄1.........................................................................................................................................42.2024年工控安全相關政策法規標準.........................................................................................52.1《鐵路關鍵信息基礎設施安全保護管理辦法》...................................................................52.2《工業控制系統網絡安全防護指南》...................................................................................52.3《工業互聯網標識解析體系“貫通”行動計劃（2024-2026年）》62.4《工業領域數據安全能力提升實施方案（2024-2026年）》62.5《網絡安全標準實踐指南——網絡安全產品互聯互通資產信息格式》..........................62.6《數據安全技術數據分類分級規則》.................................................................................72.7《工業和信息化領域數據安全風險評估實施細則（試行）》...........................................72.8《電力網絡安全事件應急預案》...........................................................................................72.9《工業領域云安全實踐指南》...............................................................................................82.10《網絡數據安全管理條例》82.11《工業網絡安全態勢感知技術規范》82.12《工業互聯網企業網絡安全》82.13《工業互聯網與電力行業融合應用參考指南（2024年）》..........................................92.14《關于提升新能源和新型并網主體涉網安全能力服務新型電力系統高質量發展》92.15《工業和信息化領域數據安全事件應急預案（試行）》92.16《工業和信息化領域數據安全合規指引》102.17《電力監控系統安全防護規定》103.2024年典型工控安全事件.....................................................................................................123.1美國海軍造船廠遭勒索軟件攻擊泄露近17000人信息123.2俄羅斯地方電網遭網絡攻擊大停電，涉事黑客被起訴123.3烏克蘭使用破壞性ICS惡意軟件FUXNET攻擊俄羅斯基礎設施133.4美國多地水務工控系統疑遭俄攻擊.....................................................................................133.5俄黑客組織沙蟲發力，烏克蘭多處關鍵基礎設施被破壞.................................................133.6全球首例光伏電場網絡攻擊事件曝光.................................................................................143.7俄羅斯電力公司、IT公司和政府機構遭遇DECOYDOG木馬攻擊................................143.8城市供暖系統遭網絡攻擊被關閉，大量居民在寒冬下停暖近2天153.9全球領先的油田服務商美國哈里伯頓公司遭受網絡攻擊導致運營中斷.........................1523.10網絡攻擊迫使美國超級機場IT系統癱瘓、航班延誤.....................................................153.11勒索組織利用VEEAM軟件漏洞攻擊尼日利亞的關鍵基礎設施.....................................163.12黎巴嫩尋呼機爆炸，傳呼設備成為奪命炸彈163.13美國水務公司IT系統遭網絡攻擊計費系統暫停.............................................................163.14伊朗核設施等多部門遭網絡攻擊，美歐實施相關制裁舉措174.工控系統安全漏洞概況..........................................................................................................195.聯網工控設備分布.................................................................................................................235.1國際工控設備暴露情況285.2國內工控設備暴露情況305.3國內工控協議暴露數量統計情況.........................................................................................335.4俄烏沖突以來暴露設備數量變化.........................................................................................356.工控蜜罐數據分析.................................................................................................................386.1工控蜜罐全球捕獲流量概況386.2工控系統攻擊流量分析416.3工控系統攻擊類型識別446.4工控蜜罐與威脅情報數據關聯分析477.工業互聯網安全發展現狀及未來展望.....................................................................................517.1工業互聯網安全發展現狀517.1.1517.1.2527.2工業互聯網安全當前面臨風險與挑戰547.3工業互聯網安全發展趨勢與展望557.3.1557.3.2567.3.3安全技術升級與融合..................................................................................................578.......................................................................................................................................59參考文獻....................................................................................................................................6031.前言截至2024年11達102.6297.1%系迫在眉睫，是當下的首要任務。2024年22024—2026《2024年工業控制網絡安全態勢白皮書》，讀者可以通過報告了解2024年工控安全相2024知工控系統安全態勢，為研究工控安全相關人員提供參考。42.2024年工控安全相關政策法規標準2024工業互聯網的安全體系建設，為工業互聯網的穩健發展提供堅實后盾。通過對2024年度發布的一系列政策法規標準進行梳理，并整合各大工業信息安全助讀者把握國家在工控安全領域的戰略走向。2.1《鐵路關鍵信息基礎設施安全保護管理辦法》2024年1月22023年第20號2024年2月1全體系建設。2.2《工業控制系統網絡安全防護指南》2024年1月30日，工業和信息化部發布《工業控制系統網絡安全防護指南》，指指南從安全管理、技術防護、安全運營和責任落實四個方面提出33項基線要求，重點推動解決走好新型工業化道路過程中工業控制系統網絡安全面臨的突出問題。52.3《工業互聯網標識解析體系“貫通”行動計劃（2024-2026年）》2024年1月31日，工業和信息化部等十二部門發布文件《工業互聯網標識解析體系“貫通”行動計劃（2024-2026年）》（以下簡稱《行動計劃》）。《行動計劃》明確總體目標為“到2026年，建成自主可控的標識解析體系，在制造業及經濟社會重點色低碳管理體系、強化安全管理能力、提升城市數字化水平，以及助力產業集群升級。2.4《工業領域數據安全能力提升實施方案（2024-2026年）》2024年2月23日，為了推動《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《工業和信息化領域數據安全管理辦法（試行）》等在工業領域落地實施，工業和信息化部發布《工業領域數據安全能力提升實施方案（2024-2026年）》（以下監管能力、提升數據安全產業支撐能力。《實施方案》明確提出到2026年底工業領域提供了明確方向和具體措施。2.5《網絡安全標準實踐指南——網絡安全產品互聯互通資產信息格式》2024年3月15日，全國網絡安全標準化技術委員會發布《網絡安全標準實踐指南——網絡安全產品互聯互通資產信息格式》。《網絡安全標準實踐指南》聚焦網絡安提供了重要保障。62.6《數據安全技術數據分類分級規則》2024年3月15日，全國網絡安全標準化技術委員會發布GB/T43697-2024國家標準《數據安全技術數據分類分級規則》（以下簡稱《規則》），以推動國家數據分類大學等36家單位共同研制，并在國家數據安全工作協調機制的指導下編制完成。《規則》的發布為我國數據安全管理提供規范化指引。2.7《工業和信息化領域數據安全風險評估實施細則（試行）》2024年5月10日，工業和信息化部發布《工業和信息化領域數據安全風險評估實施細則（試行）》（以下簡稱《實施細則》），自2024年6月1日起施行。《實施細和信息化領域數據處理者規范開展數據安全風險評估工作，提升數據安全管理水平。2.8《電力網絡安全事件應急預案》2024年6月7全事件對電力系統的危害。《預案》所指的“電力網絡安全事件”包括因計算機病毒、網絡攻擊等因素導致電力網絡和信息系統受損，影響電力供應或系統穩定運行的情況。力安全監管司承擔，以確保電力系統的安全穩定運行。72.9《工業領域云安全實踐指南》2024年7月232024安全體系，提高云環境下的安全保障能力。2.10《網絡數據安全管理條例》2024年9月30自2025年1月1日起施行。該《條例》規范了網絡數據安全管理，保護了個人、組織堅實基礎。2.11《工業網絡安全態勢感知技術規范》2024年9月30DB21/T4011—2024《工業網絡安全態勢感知技術規范》（以下簡稱《規范》）正式獲批，于2024年9月30日對外發布，并將于2024年10月30日起全面實施。《規范》規定了工業網絡安全作。該規范的發布將為行業提供一套全面的參考標準。2.12《工業互聯網企業網絡安全》2024年10月8日，國家市場監督管理總局（國家標準化管理委員會）批準發布了第1部分：8第2第3互聯網安全分類分級管理提供指導，助力企業網絡安全體系建設與能力提升。2.13《工業互聯網與電力行業融合應用參考指南（2024年）》2024年10月15（20248大應用模式、27類應用領域、85項原則、實施流程和要素保。2.14《關于提升新能源和新型并網主體涉網安全能力服務新型電力系統高質量發展》2024年10月30強管理和技術監督，確保并網主體按照標準建設，避免“帶病入網”。此外，《通知》理，推動營造安全發展的良好環境。2.15《工業和信息化領域數據安全事件應急預案（試行）》2024年10月319事件的應對能力，從而有效地控制和減輕數據安全事件帶來的危害和損失，保護個人、組織合法權益，維護國家安全和公共利益。2.16《工業和信息化領域數據安全合規指引》2024年11月1916溝通，指導企業全面遵守相關法規，提高數據安全保障水平。2.17《電力監控系統安全防護規定》2024年12月11全防護規定》（以下簡稱《規定》），并明確于2025年1月1日起實施。《規定》著應的安全穩定運行。表2-12024國內部分出臺政策法規標準出臺政策法規標準11月《鐵路關鍵信息基礎設施安全保護管理辦法》21月《工業控制系統網絡安全防護指南》31月《工業互聯網標識解析體系“貫通”行動計劃（2024-2026年）》41月《基于隱私計算的電力數據共享業務互聯互通接口規范（征求意見稿）》52月2024年電力安全監管重點任務》62月《工業領域數據安全能力提升實施方案（2024-2026年）》73月《網絡安全標準實踐指南——網絡安全產品互聯互通資產信息格式》83月《數據安全技術數據分類分級規則》《信息技術安全技術抗抵賴第1部分安全技術抗抵賴第93月3部分采用非對稱技術的機制》、《信息技術安全技術實體鑒別第4部分采和評價》104月《全國網絡安全標準化技術委員會2024年度工作要點》115月《工業和信息化領域數據安全風險評估實施細則（試行）》126月《電力網絡安全事件應急預案》136月《網絡安全物聯網安全與隱私家庭物聯網指南》147月《工業領域云安全實踐指南》159月《人工智能安全治理框架》169月《網絡安全標準實踐指南——敏感個人信息識別指南》179月《網絡數據安全管理條例》189月《工業網絡安全態勢感知技術規范》《工業互聯網企業網絡安全第1部分：應用工業互聯網的工業企業防護要求》1910月《工業互聯網企業網絡安全第2部分：平臺企業防護要求》《工業互聯網企業網絡安全第3部分：標識解析企業防護要求》2010月《工業互聯網與電力行業融合應用參考指南（2024年）》2110月《關于提升新能源和新型并網主體涉網安全能力服務新型電力系統高質量發展》2210月《工業和信息化領域數據安全事件應急預案（試行）》2311月《工業和信息化領域數據安全合規指引》2411月《新型工業控制藍皮書》2512月《電力監控系統安全防護規定》2612月《保護關鍵基礎設施(計算機系統)條例草案》3.2024年典型工控安全事件2024在破壞性和規模上呈現出顯著增長趨勢，波及多個關鍵行業，包括能源、交通、軍工、制造等領域。以下將介紹2024年發生的一些典型工控安全事件，通過這些案例，可以更清晰地應對未來潛在的攻擊威脅。3.1美國海軍造船廠遭勒索軟件攻擊泄露近17000人信息2024年1月5日，意大利造船公司芬坎蒂尼集團（Fincantieri）的美國子公司芬坎蒂尼海事集團（FincantieriMarineGroup，FMG）向緬因州監管機構提交了一封違規通2023年4月6日至2023年4月12環境中的某些系統國海軍學院在2023年4月的報道稱，該造船廠建造了美國海軍的自由級瀕海戰斗艦和星座級導彈護衛艦。3.2俄羅斯地方電網遭網絡攻擊大停電，涉事黑客被起訴2024年2月2749實施網絡攻擊，導致沃洛格達地區38個村莊陷入黑暗，將面臨最長達8年的監禁。該電網攻擊發生在一年前。俄羅斯聯邦安全局沃洛格達地區部門的新聞處向塔斯社表示：“我們已經完成對黑客切斷沃洛格達地區38個定居點電力供應一事的刑事調查。”俄19752023年2月巴巴耶沃區共38個定居點的電力供應。3.3烏克蘭使用破壞性ICS惡意軟件Fuxnet攻擊俄羅斯基礎設施2024年4月15日，SecurityWeek和Claroty部門的一個名為Blackjack的黑客組織對俄羅斯多個重要組織發起了攻擊。Blackjack披露了針對Moscollector的涉嫌攻擊的細節，Moscollector是一家總部位于莫斯科的公司，NOC們還聲稱已經禁用了87000Fuxnet網”的惡意軟件，這使得他們能夠物理破壞傳感器設備。3.4美國多地水務工控系統疑遭俄攻擊2024年4月18Mandiant1月對美國得克薩斯州一處水處理設施發動網營，這類攻擊在過去是十分罕見的。去年11月，賓夕法尼亞州也遭到了類似的網絡攻擊，當時美國官員指責伊朗是幕后黑手。繆爾舒鎮城市經理RamonSanchez告訴CNN統操作水罐的權限。Sanchez在一封電子郵件中表示，被攻擊的水罐溢出了大約30-45政府建議各州官員制定安全計劃，保護他們的水務系統免受黑客攻擊。3.5俄黑客組織沙蟲發力，烏克蘭多處關鍵基礎設施被破壞2024年4月19CERT-UASandworm）旨在破壞烏克蘭約20家關鍵基礎設施的運行。該黑客組織也被稱作APT44GRUCERT-UA2024年3APT44破壞了烏克蘭10個地區的能源、水務、供暖供應商的信息和通信系統。在某些情況下，Sandworm會通過操縱軟件供應鏈或者利用軟件提供商的權限來進入目標網絡，也可能部署被篡改的軟件或者利用軟件漏洞，成功滲透到系統中。CERT-UA對受影響實體的日志進行調查后發現，Sandworm主要依靠QUEUESEED/IcyWell/KapekaBIASBOAT、LOADGRIP、GOSSIPFLOW等惡意軟件對烏克蘭公共事業供應商進行攻擊。烏克蘭機構認為，這些攻擊的目的是增強俄羅斯導彈對目標基礎設施的打擊效果。3.6全球首例光伏電場網絡攻擊事件曝光2024年5月1Contec生產的SolarViewCompact大型光伏電網中的800臺遠程監控設備，用于銀行賬戶盜竊。攻擊者利用了PaloAltoNetworks在2023年6月發現的一個漏洞（CVE-2022-29303Mirai5月7日，Contec版本。3.7俄羅斯電力公司、IT公司和政府機構遭遇DecoyDog木馬攻擊2024年6月6日，FreeBuf早報稱，俄羅斯的組織正遭遇網絡攻擊，這些攻擊被發現是傳遞一種名為DogWindows跟蹤這一活動集群，并將其歸因于一個名為“HellHounds”的高級持續威脅（APT）組織。HellHounds中，該小組利用了主要的入侵向量，從漏洞的Web服務到可信賴的關系。HellHounds首次被該公司記錄是在2023年11Dog木馬48工業公司和電信供應商。有證據表明，自2021年以來，該威脅行為者一直在針對俄羅斯公司，惡意軟件的開發可以追溯到2019年11月。3.8城市供暖系統遭網絡攻擊被關閉，大量居民在寒冬下停暖近2天2024年7月23日，有消息稱，今年1月中旬烏克蘭利沃夫市一家市政能源公司遭DragosFrostyGoop的新型惡意軟件。Dragos表示，FrostyGoop惡意軟件旨在通過ModbusICSModbus是一不太可能引起大范圍停運，但它表明惡意黑客正在加大對關鍵基礎設施（如能源電網）的攻擊力度。3.9全球領先的油田服務商美國哈里伯頓公司遭受網絡攻擊導致運營中斷2024年8月21CNN正在與網絡安全專家合作解決這一問題。3.10網絡攻擊迫使美國超級機場IT系統癱瘓、航班延誤2024年8月26日，美國西雅圖-塔科馬國際機場確認，日前出現的系統中斷可運營商最新消息，“西雅圖港，包括西雅圖-塔科馬機場的系統中斷仍在繼續。港口團索軟件組織或其他威脅行為者宣布對這次攻擊負責。3.11勒索組織利用Veeam軟件漏洞攻擊尼日利亞的關鍵基礎設施2024年9月13日，尼日利亞計算機應急響應中心（ngCERT）發布了緊急警報，VeeamBackupandReplication（VBR）軟件中的一個高危漏洞（CVE-2023-27532，CVSSv3：7.5分）進行攻擊，并且此次事件涉及Phobos勒索組織。CVE-2023-27532影響12及以下版本，允許攻擊者未經授權訪問敏感數據，包括存儲在Veeam配置數據庫中的加密和明文憑據。攻Phobos勒索組織利用此Veeam漏洞攻擊尼日利亞的云基礎設施。成功入侵網絡后，攻擊者部署勒索軟件，加密關鍵數據，并向受害者索要贖金。3.12黎巴嫩尋呼機爆炸，傳呼設備成為奪命炸彈2024年9月17日下午，黎巴嫩首都貝魯特以及黎巴嫩東南部和東北部多地發生大量尋呼機（機）爆炸事件。黎巴嫩真主黨第一時間發布消息稱，爆炸發生在當地時間下午3時30分左右，影響了真主黨各機構的“工作人員”，有“大量”人受傷。截至18日16時，以色列時報援引黎巴嫩公共衛生部門數據稱，爆炸造成11人死亡，約4000人受傷，其中約500人雙目失明。當地時間19日，包括對講機爆炸事件，黎巴嫩公共衛生部長表示，爆炸事件已致37人死亡。3.13美國水務公司IT系統遭網絡攻擊計費系統暫停2024年10月7日，美國水務公司披露了一起網絡攻擊事件。這家總部位于新澤西州的美國水務公司擁有超過650024個州和18個軍事基地的1400多萬人提供供水服務。據報道，當地時間10月3日該公司發現其系統受到了網絡攻擊，導致計司表示無法預測攻擊的全部影響，未來將根據調查結果采取進一步措施。3.14伊朗核設施等多部門遭網絡攻擊，美歐實施相關制裁舉措2024年10月12日，中東局勢持續緊張之際，伊朗于12日遭遇大規模網絡攻擊。前對以色列的導彈襲擊。美國試圖通過制裁阻止伊朗為其核計劃和導彈計劃提供資金。沖突、制裁等多方面因素交織下愈發復雜緊張。表3-12024年部分安全事件國家11月制造業安全設備的遠程命令注入漏洞被放在暗網出售21月制造業勒索軟件海軍造船廠遭泄露近17000人信息32月制造業配置錯誤公司密鑰等敏感數據遭暴露42月制造業勒索軟件1.5TB數據遭泄露52月俄羅斯能源業木馬攻擊地方電網遭攻擊，38個定居點大停電63月比利時制造業勒索軟件據73月俄羅斯勒索軟件87000個傳感器遭到禁用84月設備漏洞水處理設施遭攻擊，水罐溢出94月烏克蘭惡意軟件多處關鍵基礎設施被破壞105月能源業漏洞攻擊800賬戶盜竊116月俄羅斯多行業木馬攻擊IT48個組織遭攻擊。126月制造業惡意軟件工廠生產被迫中斷137月烏克蘭能源業惡意軟件市部分供暖停止兩天148月能源業核設施長期暴露關鍵安全信息158月制造業勒索軟件240G敏感信息遭泄露168月能源業勒索軟件油田服務商運營停止178月制造業惡意軟件生產能力受損188月物流業惡意軟件超級機場癱瘓、航班延誤199月尼日利亞勒索軟件云基礎設施遭攻擊并被索要贖金209月黎巴嫩通信業后門程序尋呼機爆炸造成大量人員傷亡219月交通業惡意軟件19個火車站遭到網絡攻擊2210月水利業勒索軟件1400多萬人用水受到影響2310月海灣地區勒索軟件大海灣地區關鍵基礎設施遭到攻擊2410月能源業核設施等多部門遭網絡攻擊2511月制造業勒索軟件75000個電子郵件地址和400000戶數據遭泄露4.工控系統安全漏洞概況隨著工業互聯網、工業4.0及5G網絡的蓬勃興起，傳統工業生產模式正加速向智成為常態，無論是PLC（ProgrammableLogicController，可編程邏輯控制器）、DCS（DistributedControlSystemSCADASupervisoryControlAndDataAcquisition，數據采集與監視控制系統），還是各類工業應用軟件，均廣泛暴露出眾多2024SiemensRockwellAutomationDeltaElectronicsAdvantech自動化公司（mySCADA）、施耐德（Schneider）等工業控制系統廠商均被發現包含各種信息安全漏洞。諦聽團隊采集到的工控漏洞數據顯示，2024年工控安全漏洞數量較20232021年到2024年整體工控安全漏洞數量較2020年之前依舊偏少。圖4-12014-2024年工控漏洞走勢圖（數據來源CNVD“諦聽”）根據（國家信息安全漏洞共享平臺和諦聽2014-2024年工控漏洞走勢如圖4-1所示。根據圖表顯示，2015年至2020年間，工控領域的漏洞數量呈2015統進行攻擊，從而導致工控漏洞的不斷增加。自2021年起，工控漏洞數量迎來了一個轉折點，從上年的568條下降至152條，之后漏洞數量總體呈出V字形的走勢，2022年僅有9620222024年發現的漏洞數量達到了207條，顯著高于2023年的119條。我們的團隊推測這一變化的原因是多方面的。首先，不同于日新月異的行業，工業控制領域較為成熟，相關產手段的影響下，2015-2020期間發現的新增漏洞中，多年長期運行在工控系統中的“存量”漏洞具有很大占比，到了2020年，這類“存量”漏洞的挖掘達到頂峰，而隨著新2023年和2024ERP量的上升是必然趨勢。圖4-22024年工控系統行業漏洞危險等級餅狀圖（數據來源CNVD“諦聽”）圖4-2是2024年工控高危漏洞業漏洞危險等級餅狀圖，截至2024年12月31日，2024年新增工控系統行業漏洞207個，其中高危漏洞122個，中危漏洞78個，低危漏洞7個。相較于去年，漏洞數量增加了88個，各種危險級別的漏洞數量都有所增長。其中，低危漏洞相較于去年依然維持約3%的總數占比，沒有較大變化。高危漏洞數量相較于去年增多了約1.4420232024年的高危漏洞整體占比從2023年的71%下降到了59%。2024年的中危漏洞相較于去年的數量出現了大幅度的增加，并且在2024年的整體工控漏洞數量中占據較大的比例。由此可見，2024年工控系推動工控系統的安全對抗技術發展迫在眉睫。圖4-32024年工控系統行業廠商漏洞數量柱狀圖（數據來源CNVD“諦聽”）如圖4-3是2024年工控系統行業廠商漏洞數量柱狀圖，圖中數據顯示，西門子（Siemens117RockwellAutomation38個漏洞。此外，臺達電子工業（DeltaElectronics）、研華科技（Advantech）、捷克工業自動化公司（mySCADA）、施耐德（Schneider）等廠商也存在著一定數量的工控數量呈現上升趨勢。以上數據表明，2024年的工控安全漏洞相對于2023年出現了較大幅度的增長，全全漏洞。雖然相較于前兩年來看，近幾年的安全漏洞數量維持在較低水平，但是2023年、2024年的安全漏洞數量呈現顯著的上升趨勢。各廠商應當密切關注工控行業漏洞，確保工控系統信息安全。5.聯網工控設備分布濟發展的基本要求，也是社會穩定運行的重要基礎。根據2024年工業和信息化部印發設備、軟件、數據等資產，建立工業控制系統清單并定期更新，實施重點保護。開展戰略意義。“諦聽”網絡空間工控設備搜索引擎共支持31種服務的協議識別，表5-1展示了參照“諦聽”網絡安全團隊之前發布的工控網絡安全態勢分析白皮書。表5-1“諦聽”網絡空間工控設備搜索引擎支持的協議工控協議Modbus502/503應用于電子控制器上的一種通用語言TridiumNiagaraFox1911Tridium公司專用協議，用于智能電網等領域NiagaraFox4911智能建筑、基礎設置管理、安防系統的網絡協議BACnet47808智能建筑的通信協議Devices10001工控協議MoxaNPort4800虛擬串口協議EtherNet/IP44818以太網協議Siemens102西門子通信協議20000分布式網絡協議Codesys2455ilonSmartserver1628/1629智能服務器協議RedlionCrimson3789工控協議60870-5-1042404系列協議9600歐姆龍工業控制協議CSPV42222工控協議GESRTP18245美國通用電器產品協議PCWorx1962菲尼克斯電氣產品協議ProConOs20547科維公司操作系統協議MELSEC-Q5006/5007三菱通信協議opc-ua4840UA接口協議DDP5002用于數據的傳輸和Profinet80基于工業以太網技術的自動化總線標準61850-8-1102系列協議Lantronix30718專為工業應用而設計，解決串口和以太網通信問題物聯網協議5672提供統一消息服務的應用層標準高級消息隊列協議XMPP5222的可擴展通訊和表示協議8089簡單對象訪問協議MQTT1883基于客戶端-服務器的消息發布/訂閱傳輸協議攝像頭協議DahuaDvr37777大華攝像頭與服務器通信協議hikvision81-90海康威視攝像頭與服務器通信協議ONVIF3702開放型網絡視頻接口標準協議“諦聽”官方網站（）公布的數據為2017年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯系獲取。根據“諦聽”5-1的柱狀圖展示，下面做簡要說明。圖5-1顯示了2024年全球工控+物聯網設備暴露Top-10國家/地區。分析圖中數據可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機械領域表現突出，其排名與2023年相比保持不變，仍然位列第三。本章節著重介紹國內及美國、加拿大的工控設備暴露情況。圖5-1全球工控物聯網設備暴露Top10柱狀圖（數據來源“諦聽”）圖5-1顯示了2024年全球工控+物聯網設備暴露Top-10國家/地區。分析圖中數據可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機械領域表現突出，其排名與2023年相比保持不變，仍然位列第三。本章節著重介紹國內及美國、加拿大的工控設備暴露情況。工業互聯網中設備之間的高效、可靠互聯和數據交換。圖5-2和圖5-3分別為全球工控設備暴露Top10柱狀圖和全球物聯網設備暴露Top10露排名中，美國、加拿大、中國分別位列前三。美國的漏洞數量遠超其他國家，達到143,999個。加拿大以22,427個漏洞排在第二，和美國相比，數量差距很大。接下來中16,49614,31211,30710,592西班牙（10,462）、英國（7,186）、意大利（7,034）和瑞典（7,026）的漏洞數量相對接近，顯示出這些國家在工控系統安全方面的問題比較一致。圖5-2全球工控設備暴露Top10柱狀圖（數據來源“諦聽”）圖5-3全球物聯網設備暴露Top10柱狀圖（數據來源“諦聽”）流傳輸和數據交互的標準。常見的攝像頭協議有ONVIF，hikvision，DahuaDvr等。圖5-4為全球攝像頭設備暴露Top102023一，中國位列第二，美國位列第三。圖5-4全球攝像頭設備暴露Top10柱狀圖（數據來源“諦聽”）5.1國際工控設備暴露情況國際工控設備的暴露情況以美國和加拿大為例進行簡要介紹。美國是世界上工業化程度最高的國家之一，同時也是2024年全球工控設備暴露最產效率。圖5-5為美國2024年暴露工控協議數量及占比。圖5-5美國工控協議暴露數量和占比（數據來源“諦聽”）20231613462024少至143998臺。這一變化不僅反映了美國在工業互聯網安全問題上的高度重視，也體現了其在加強相關安全措施方面所付出的努力。2024年6月13日，美國網絡安全和基CISA入2024年10月29日，CISA發布了《2025-2026財年國際戰略計劃》，旨在加強CISA與國網絡安全環境，保護關鍵基礎設施和敏感數據。2024年，加拿大的工控設備和物聯網設備暴露數量位居全球第三，與2023年的排術和自動化系統，推動數字化轉型。通過圖5-6可以看到，在加拿大暴露的工業協議數量中，排名第一，Modbus協議暴露數量排名第二。圖加拿大工控協議暴露數量和占比（數據來源“諦聽”）綜合來看，2024年相較于2023年，伴隨工業控制互聯網安全的發展，全球工控協入越來越多。加拿大工控協議設備暴露數量相比2023年略微降低。美國和加拿大作為控互聯網安全對國家經濟發展的重要性。5.2國內工控設備暴露情況2024年，中國暴露的工控設備數量在全球范圍內依舊位居第二，相比于2023年，業互聯網創新發展戰略，今年以來，我國加快工業互聯網創新發展，加速千行百業融合應用，為推動經濟高質量發展提供強勁動能。工信部印發《打造“5G+工業互聯網”512促進實體經濟和數字經濟深度融合。下面詳細分析一下國內工控設備暴露情況。圖5-7為國內各地區設備暴露數量Top10所減少。2024業化邁出新的堅實步伐，工業體系全、品種多、規模大的優勢進一步鞏固。預計全年，規模以上工業增加值同比增長5.7%國各地區工控設備暴露數量的減少，側面反映了國內工控互聯網安全防護水平的提升，工控互聯網安全工作卓有成效。圖5-7國內各地區工控設備暴露數量Top10（數據來源“諦聽”）20242024年前11個月，浙江省規模以上工業增加值同比增長了7.3%1.5個百分點省經信廳表示，2025浙江特色的現代化產業體系，為浙江作為經濟大省做出更大的貢獻。而在推進浙江省效執行，實現工業的長期發展。2023年，臺灣在工控領域暴露的設備數量為15366臺，而到了2024年，設備數量減少至1300612月9日，2024動兩岸工業互聯網創新促進兩岸產業融合發展”為主題，發布了《2024兩岸工業互聯化協同、數字化管理、綠色化生產等方面的19個典型案例，充分展示了工業互聯網推成熱烈反響[9]。此次會議為進一步促進兩岸工業互聯網的融合發展奠定了堅實的基礎，也為兩岸產業在全球產業鏈中的升級與發展注入了新的活力與動力。與2023年相比較，北京市工控設備暴露數量排名小幅度下降，位列第三名，“十四五”以來，北京在數字經濟產業的前沿領域不斷探索，催生出豐富的數字經濟業態，全市規模以上工業增加值同比增長6.9%，居近年來的高位，對北京經濟增長的貢獻率達15%制造業分別增長19.5%和18.4%；新能源汽車、工業機器人和風力發電機組產量分別增長5.5倍、62.8%和21.2%。這些競相跑出加速度的高技術制造業、戰略性新興產業，共同鋪展出北京制造業向高端化、智能化轉型的圖景。的發展，努力實現經濟重振，為國家“振興東北”的戰略目標貢獻了重要力量。2024全球工業互聯網大會于2024年9月11日至14以造業數字供應鏈平臺等一系列創新成果2024年11月，遼寧省工業和信息化廳印發《遼寧省工業領域數據安全能力提升實施方案(2024-2026年)》，該文件中提到要以字遼寧20265G+5G+5G+5G+設備工業高質量發展取得積極進展。5.3國內工控協議暴露數量統計情況圖國內工控協議暴露數量和占比（數據來源“諦聽”）20245-8中的數據可以看出，Modbus協議暴露的數量位居首位，其次是MoxaNPort協議。Modbus協議是一種被廣泛應用于工業領域的通信協議，它是由Modicon公司（現施耐德電氣SchneiderElectric）于1979年發表。Modbus是一種主從式協議，一個主節點（master）與一個或多個從節點（slave）進行通信。Modbus協議兼容多種通信介質，常見的Modbus實現方式有基于串行通信的ModbusRTUModbusASCII和基于以太網的ModbusTCP/IP。Modbus協議具有開放性、易實現等特點，被廣泛應用于工業自動化、過程控制、監測管理等領域。盡管Modbus存在著安全性低、實時性弱等局限性，但它仍然是當前工業領域最常用的通信協議之一。MoxaNPort協議是由Moxa公司開發，專為MoxaNPort串口設備聯網服務器設計ModbusTCP/IPTelnetMoxaNPort協議具輸等領域。EtherNet/IPODVA（OpenDeviceNetVendorAssociation）推廣和維護，用于工業控制系統中的設備數據交換。EhterNet/IP支持顯示聯網領域中。Niagara協議是由TridumNiagaraFramework的一種通信協議。NiagaraFramework是一個基于Web的開放的集成平臺，能夠連接和協同不同制BASNiagara協議與Niagara生態系統緊密集成，提供了設備管理、數據采集、數據集成等功能，用于在Niagara節點之間進行高效的數據交換。OMRON協議是由OMRONOMRON公司自動化設備之間的數據交換，特別是用于通信。該協議能夠提供高效可靠的通信，互聯網、能源管理等領域。5.4俄烏沖突以來暴露設備數量變化2022間，網絡戰已然成為現代戰爭中不可或缺的一部分。網絡戰以其低成本高效能的特點，5-2列舉了目前俄羅斯和烏克蘭暴露工控設備的相關協議。表5-2俄羅斯、烏克蘭暴露工控設備相關協議探測發現協議探測端口協議概述Siemens102西門子通信協議Modbus502應用于電子控制器上的一種通用語言ilonSmartserver1628智能服務器協議MoxaNPort4800Moxa專用的虛擬串口協議XMPP5222的可擴展通訊和表示協議5672提供統一消息服務的應用層標準高級消息隊列協議60870-5-1042404系列協議趨勢。圖5-9展示了2024年烏克蘭各協議暴露設備的數量，可以看出AMQP協議暴露的設備數量總體從沖突前到24年1月下降幅度較大，后續隨小有波動，但總體呈現緩慢下降趨勢；Modbus協議協議在24年基本呈現平穩下降趨勢；MoxaNPort協議在24年初小幅度上升，隨后趨于平穩；其他協議呈現波動變化，整體比較穩定。圖烏克蘭暴露設備數量變化（數據來源諦聽）圖5-10展示了2024年俄羅斯各協議暴露設備的數量，AMQP協議暴露設備數量在24年變化幅度不大，總體趨于穩定；Modbus協議在24年3月到7月出現大幅度下降，24年8月到924年初水平；MoxaNPort協議在24年2月至6月逐漸下降，隨后緩緩回升；其他協議變化雖有波動，但幅度不大。圖5-10俄羅斯暴露設備數量變化（數據來源諦聽”)總體來看，2024年的關鍵時期集中在3月到6持續跟進情況。6.工控蜜罐數據分析隨著工業互聯網的持續演進，工業控制系統（ICS）所處的網絡安全環境愈發復雜諦聽”網絡安全團隊長期致諦聽”工控蜜罐。目前，諦聽”工控蜜罐已經支持12種工控協議，并且在多個國家與地區實現部署。2021年，“諦聽網絡安全團隊進一步改進了基于蜜網的攻擊流量指紋識別方法（以下簡稱識別方法”出針對多類型攻擊流量且更加有效的工控系統防御措施。6.1工控蜜罐全球捕獲流量概況諦聽”工控蜜罐在原10種協議基礎上，于2022年新增了EGD協議，2023年進一步加入了Modbus/UDP協議。目前“諦聽”工控蜜罐涵蓋了Modbus、ATGsDevices、DNP3IEC104Niagara等12諦聽”工控蜜罐已經部署在了中國華北2024年12月31“諦聽蜜罐成功收集到了大量攻擊數據。圖6-16-2和6-3展示了對這些數據統計和分析后的結果。下面將對各個圖表進行簡要的解釋說明。圖6-12024年蜜罐各協議攻擊量（數據來源“諦聽”）圖6-1展示了不同協議下各蜜罐受到的攻擊頻次。從圖中可以看出ModbusDNP3和ATGsDevices2023名前三的協議分別為ATGsDevices、OMRON和DNP3，而OMRON協議在Modbus協議從2023且受攻擊量遙遙領先其他協議，這表明Modbus協議受到的關注大幅度增加。此外，除OMRON和Modbus/UDP協議外，其他協議受攻擊的數量都相較于2023年均呈現79.9%，些協議下設備的網絡安全防護措施。“諦聽”網絡安全團隊對攻擊數據的源地址進行了分析，統計了來自各個國家和地區的攻擊源數量信息。圖6-2特別呈現了攻擊次數最多的前十個國家的概況。從圖中數據可以觀察到，德國在攻擊量上顯著領先，以348,869次攻擊量位列第一，甚至超過了其他9國以117,364次攻擊量位列第二，盡管攻擊量遠低于德國，但依然遠在其他國家之上。加利亞、俄羅斯、日本和荷蘭排名第六至第十位，其攻擊量均低于1萬。圖6-22024年其他各國對蜜罐的攻擊量Top（數據來源諦聽）圖6-3對中國國內流量來源的地址進行分析，列出了流量排名前十的省份。41%22%，位列第二。雖然較2023年有所下降，并被北京超越，但其依然是國內流量的主要來源位。除此以外，江蘇和上海的流量占比也較高，分別為13%和11%，其余各省都低于3%。圖6-32024年中國國內各省份流量（數據來源“諦聽”）2024團隊會融合更多前沿技術，持續推進相關研究。6.2工控系統攻擊流量分析分析。隨后，我們選取了應用廣泛的Modbus和Ethernet/IP兩種協議，采用相應的識別兩個地區，分別對其部署的蜜罐所捕獲的攻擊流量數據進行了詳細的統計分析。對于Modbus協議，我們選擇了部署在中國華東地區和美國東海岸地區的蜜罐，統計結果如表6-1、6-2所示。表6-1中國華東地區Modbus蜜罐捕獲攻擊總量來源TOP10（數據來源“諦聽”）攻擊源攻擊總量平均攻擊數UnitedStates609755311.0Kingdom16962373.7Italy156211562.09641715.6Germany4812024.1Canada4681553.03223107.3Belgium2781422.0Greece151437.8Russia73164.6表6-2美國東海岸地區Modbus蜜罐捕獲攻擊總量來源TOP10（數據來源“諦聽”）攻擊源攻擊總量平均攻擊數UnitedStates30958143.87001225.7Belgium3241412.3Canada3071851.7UnitedKingdom236653.6Italy1401140.0Germany138413.4Netherlands110225.0Japan3374.7India2847.0根據表6-1、6-2可知，在攻擊總量來源方面，中國華東地區和美國東海岸地區Modbus協議蜜罐捕獲的攻擊總量中，來自美國的攻擊總量均顯著高于其他國家，且高于去年同期數據。在攻擊數量方面，美國仍在兩個地區中均排名第一且遠超于其他國家。以表6-2為例，美國在美國東海岸地區的攻擊數量約是排名第二的比利時的9.6倍。針對Ethernet/IP協議，我們選擇的是中國華南地區和美國西海岸地區部署的蜜罐，統計結果如表6-3、6-4所示。表6-3中國華南地區Ethernet/IP蜜罐捕獲攻擊總量來源TOP10（數據來源“諦聽”）攻擊源攻擊總量平均攻擊數States9123342.7136344.0Canada38351.1Belgium34331.0Netherlands1452.8UnitedStates531.7Germany551.0Seychelles321.5Kingdom321.5France212.0表6-4美國西海岸地區Ethernet/IP蜜罐捕獲攻擊總量來源TOP5（數據來源“諦聽”）攻擊源攻擊總量平均攻擊數UnitedStates11723903.0303545.6Canada50461.1Belgium37351.1Netherlands29142.1由表6-3、6-4分析可知，在攻擊總量來源和攻擊數量方面，美國在中國華南地區和美國西海岸地區的攻擊總量和攻擊數量均排名第一，且遠超其他國家。通過對Modbus協議蜜罐和Ethernet/IP現Modbus協議蜜罐遭受的攻擊次數高于Ethernet/IPModbus協議在工業自動化領域的廣泛和長期應用，使其潛在攻擊面更大，且協議的復雜度和已知安全漏洞可能吸引了更多攻擊者。同時，網絡中Modbus協議設備的數量和暴露程度可能也高于Ethernet/IPModbus協議蜜罐受到攻擊的概率。因此，雖然Modbus協議在工控系統中應用廣泛，但也面臨更高的攻擊風險。家攻擊總數的90%為了發現系統漏洞、測試防御機制，可能會進行大量的網絡掃描和攻擊模擬。“諦聽”團隊布署的蜜罐能夠成功捕獲這些行為。6.3工控系統攻擊類型識別能夠對Ethernet/IP協議和Modbus6-4和圖6-5分別展示了對Ethernet/IP和Modbus協議蜜罐捕獲的攻擊流量的攻擊類型識別結果。其中，“E”代表Ethernet/IP協議，“M”代表Modbus協議。由于國內外使用的蜜罐程序有所不同，同一編號的“EE'MM'”也表示不同的攻擊類型。環形圖中的各個部分則對應不同的攻擊類型。圖6-4Ethernet/IP協議攻擊類型占比圖（數據來源“諦聽”）Ethernet/IP部署蜜罐，可以收集到更全面的攻擊信息，也易于發現新型攻擊手段。由圖6-4可知，中國華南地區的Ethernet/IP協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為E-1、E-2、E-3、E-4、E-5，其中E-1以53%的高占比成為該地區Ethernet/IP協議蜜罐所捕獲的攻擊流量的主要攻擊類型。美國西海岸地區的Ethernet/IP協議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3、E'-4、E'-5五種攻擊類型，其中，E'-1約占所捕獲總流量的48%。由此可見以上攻擊類型是對Ethernet/IP協議進行攻擊的主要手段。圖6-5Modbus協議攻擊類型占比圖（數據來源“諦聽”）“諦聽”團隊將Modbus協議蜜罐部署在工業發達的中國華東地區和美國東海岸，這兩個地區的工業控制設備數量龐大，將Modbus協議蜜罐部署在兩地不但易于偽裝隱藏，且能夠收集更多的攻擊信息，也易于發現新型的滲透攻擊手段。由圖6-5國華東地區的Modbus協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1M-2M-3類型，這三種攻擊的數量大致相當，均約占捕獲總流量的23%Modbus協議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M'-1、M'-2，其中M'-1攻擊類型占所捕獲總流量的40%占比約30%Modbus協議進行攻擊的主要手段。本團隊對Ethernet/IP和Modbus的ICS仍有一些未知的攻擊類型尚未被完全識別。針對這些未知攻擊，仍需深入研究和分析，以便更有效地檢測流量中的異常行為并進行攻擊預警，從而評估潛在的攻擊意圖，并制定相應的防御策略。6.4工控蜜罐與威脅情報數據關聯分析進行勒索。當前，工控攻擊展現出多樣化、廣泛傳播及難以溯源的特點。在此背景下，TI現潛在的威脅趨勢和攻擊模式，從而提前采取防范措施。我們的團隊對2024年全年采集到的威脅情報和蜜罐數據進行了關聯分析。由“諦聽”網絡安全團隊開發并于2021年2月上線的威脅情報搜索引擎（https://www.TI）是基于“諦聽”威脅情報中心而研發的應用服務。威脅情以威脅情報平臺為基石的網絡安全空間。2024將數據分為5（proxycommandexecutionandcontrolattacks（reputationspammingtor每種類型數據與蜜罐數據重疊部分在二者中的占比如圖6-6圖6-6威脅情報與蜜罐數據關聯占比（數據來源諦聽”）圖6-6中威脅情報數據來源于“諦聽”威脅情報中心，該系統所記錄的數據為安全的地址確實發生了工控攻擊，這可以讓系統更有針對性的對攻擊進行防御。下面對具體的數據進行分析。2022年和2023年類似，2024IPln函數計算后達到了9.871‰。本團隊認為發起代理IP、命令執行與控制攻擊、垃圾郵件和洋蔥路由攻擊的地址，在主觀判斷上均可被歸類為“惡意IP”，IPIPIP但今年“命令執行與控制攻擊”關聯占比出現了小幅度的下降。“命令執行與控制攻擊”理過程，如電力系統、制造過程、水處理等，此類攻擊所構成的安全威脅極為嚴峻。IP作為一種特殊的資源，其使用常常受到嚴格管理。這些會由專門的管理人員進行監管，一旦發現某用戶頻繁通過特定的代理發起攻擊行為，管理人員會迅速回收該IP得攻擊者更趨向于采用多樣化的手段對工控系統進行全方位的攻擊。為支撐高精度數據采集，“諦聽”團隊同步研發了工控網絡探針——一種專為工業控制系統設計的網絡數據捕獲與協議解析工具。支持超過30種工式轉換。不僅能夠高效捕獲原始網絡流量，還可以將網絡流量數據轉換為更json其進行異常檢測等進一步分析。圖6-7不同流量上Honeyeye和Wireshark解析時間對比（數據來源諦聽”）從圖6-7Wireshark針可以作為插件被其他框架所整合，從而提高的可用性。未來，將持續優化其性能，擴展對更多工控協議的支持，并計劃加入對力。7.工業互聯網安全發展現狀及未來展望7.1工業互聯網安全發展現狀7.1.1工業互聯網安全產業發展現狀業經濟發展報告（2024年）》顯示，2023年我國包括安全在內的工業互聯網核心產業規模達1.399.80%2024年規模達到1.5310.65%。工業互聯網安全產業分為安全產品和安全服務兩大類按照功能又劃分為防護類和管理類產、確保系統與業務流程符合安全規范，從根本上降低了風險發生的可能。MSS越來越多企業的青睞。務......國際企業在全球市場中憑借技術聯盟和跨行業合作已經形成了多層次布局。數字化轉型提供了有力保障。表7-1工業互聯網安全產業結構[18][19]一級分類二級分類典型產品或服務防護類產品防病毒軟件、應用白名單、工業安全審計等安全產品管理類產品態勢感知、安全合規管理、身份認證管理、資產管理、補丁管理等工業互聯網安全產業結實施類服務安全集成、安全加固等構運營類服務安全應急、安全培訓、安全托管等

安全服務管理類服務安全運維管理、身份認證管理、安全結構管理等咨詢類服務安全評估、安全咨詢等7.1.2工業互聯網安全技術發展現狀擊手段層出不窮，從惡意軟件入侵、網絡釣魚到高級持續性威脅，攻擊方式花樣繁多。技術深度融合，成為了增強工業互聯網安全防護體系的必然選擇。序，幫助企業及時進行修復和防范。冊、認證和管理，確保只有合法的設備能夠接入，防止非法設備的入侵和攻擊，同時，管理。發現和處理潛在的安全威脅，實現邊緣設備、云端和本地系統之間的安全協同與聯動，設備進行聯動，共同應對安全威脅，提高整體安全防護能力。Azure等科技巨頭紛紛推出針對工信等通信運營商積極推進“5G+工業互聯網”的融合應用，通過構建高可靠性的5G專國電信合作實現了5G專網全覆蓋，打造了智能制造工廠，即所謂的“無人車間”。天中落地。7.2工業互聯網安全當前面臨風險與挑戰IoT5G據、云計算、人工智能等技術的深度融合，這使得其面臨的安全風險更為復雜和嚴峻，其中設備安全、平臺安全和網絡安全是最為突出的三個方面。量化設計，因此其計算和存儲能力受限，安全防護能力較低。APT對平臺安全構成直接威脅。網這種依賴于局域網的快速交換網絡中更容易迅速擴散。例如，Egregor是一種專門針對企業和工業控制系統的高危勒索軟件，一旦Egregor病毒侵入工控網絡，就會迅速加密系統中的關鍵數據和文件，導致生產流程中斷，嚴重威脅工控系統安全。5G網絡與工控網絡的深度融合也給工控網絡安全帶來了新的挑戰。5G網絡使得更多的物聯網設備得以接入網絡進行實時的數據交換，在5G網絡的切片結構導致網絡管理的復雜度增強的情況下，攻擊者有更多的機會找到并利用漏洞進行入侵。另外，5G技術的低延遲特性也使得攻擊者能夠更快地發動攻擊，并在更短的時間內造成更大的破壞。面對5G與工控網絡融合帶來的新風險，加強工控網絡的安全防護顯得尤為迫切。層次、立體化的安全防護體系，以應對不斷演變的安全威脅。7.3工業互聯網安全發展趨勢與展望7.3.1政策標準完善與優化2024年1月30日，工業和信息化部發布了《工業控制系統網絡安全防護指南》。一個安全、可靠的網絡環境，推動工業數字化轉型的順利進行。2024年9月9會（簡稱“網安標委”）發布了《人工智能安全治理框架》1.0版（簡稱《框架》）。必須考慮其對社會和環境的影響，