2021工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書

摘要： 東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)撰寫并發(fā)布了2021年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書。

摘要：東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)基于自身傳統(tǒng)的安全研究?jī)?yōu)勢(shì)開發(fā)設(shè)計(jì)并實(shí)現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（https://www.ditecting.com），并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布了2021年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書，讀者可以通過報(bào)告了解2021年工控安全相關(guān)政策法規(guī)報(bào)告及典型工控安全事件分析，同時(shí)報(bào)告對(duì)工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐與威脅情報(bào)數(shù)據(jù)等情況進(jìn)行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢(shì)，為研究工控安全的相關(guān)人員提供參考。

1.前言
工業(yè)互聯(lián)網(wǎng)由新一代互聯(lián)網(wǎng)技術(shù)與制造業(yè)融合而成，是工業(yè)轉(zhuǎn)向智能化、數(shù)字化的關(guān)鍵基礎(chǔ)設(shè)施。在去年2020年新基建政策的支持下，工業(yè)互聯(lián)網(wǎng)的發(fā)展邁向了新的階段^[1]。工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全密切相關(guān)，隨著工業(yè)互聯(lián)網(wǎng)的應(yīng)用領(lǐng)域日益廣泛，相關(guān)安全事件接連發(fā)生，工業(yè)控制系統(tǒng)安全問題需要持續(xù)關(guān)注。工業(yè)控制系統(tǒng)通常應(yīng)用于電力、石油和天然氣、化工、交通運(yùn)輸?shù)雀鱾€(gè)行業(yè)，發(fā)揮著重要的紐帶作用。在全黨和全國(guó)各族人民的共同努力下，我國(guó)新冠疫情防控形勢(shì)逐漸好轉(zhuǎn)，各行各業(yè)風(fēng)雨同舟，經(jīng)濟(jì)持續(xù)健康發(fā)展。如何推動(dòng)工業(yè)經(jīng)濟(jì)實(shí)現(xiàn)更為安全的發(fā)展、發(fā)揮出工業(yè)互聯(lián)網(wǎng)的巨大優(yōu)勢(shì)、促進(jìn)產(chǎn)業(yè)生態(tài)欣欣向榮，仍然是我國(guó)在后新冠時(shí)代需要不斷努力和踐行的使命。
 2021中國(guó)5G+工業(yè)互聯(lián)網(wǎng)大會(huì)開幕式成功召開，新一代信息基礎(chǔ)設(shè)施建設(shè)工作需高度重視，要推動(dòng)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)融合發(fā)展。必須認(rèn)真學(xué)習(xí)領(lǐng)會(huì)，堅(jiān)決貫徹落實(shí)。“5G+工業(yè)互聯(lián)網(wǎng)”是傳統(tǒng)產(chǎn)業(yè)跨越式發(fā)展的歷史性機(jī)遇^[2]。在“十四五”時(shí)期，為加快數(shù)字化轉(zhuǎn)型，工業(yè)互聯(lián)網(wǎng)與大數(shù)據(jù)、人工智能、5G技術(shù)的融合是發(fā)展的必然趨勢(shì)。新冠肺炎疫情席卷全球的今天，加快新型基礎(chǔ)設(shè)施建設(shè)，切實(shí)保障工業(yè)互聯(lián)網(wǎng)安全是促進(jìn)經(jīng)濟(jì)平穩(wěn)提升的關(guān)鍵舉措。
2021年11月，工業(yè)和信息化部對(duì)外發(fā)布了《“十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃》?！兑?guī)劃》指出，信息化和工業(yè)化深度融合是中國(guó)特色新型工業(yè)化道路的集中體現(xiàn)，是新發(fā)展階段制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的必由之路，也是數(shù)字經(jīng)濟(jì)時(shí)代建設(shè)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)和數(shù)字中國(guó)的扣合點(diǎn)。為順應(yīng)國(guó)家形勢(shì)，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)基于自身傳統(tǒng)的安全研究?jī)?yōu)勢(shì)開發(fā)設(shè)計(jì)并實(shí)現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（https://www.ditecting.com），并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布了2021年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書，讀者可以通過報(bào)告了解2021年工控安全相關(guān)政策法規(guī)報(bào)告及典型工控安全事件分析，同時(shí)報(bào)告對(duì)工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐與威脅情報(bào)數(shù)據(jù)等情況進(jìn)行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢(shì)，為研究工控安全的相關(guān)人員提供參考。

2.2021年工控安全相關(guān)政策法規(guī)報(bào)告
隨著制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的實(shí)施，工業(yè)互聯(lián)網(wǎng)扮演著越來越重要的角色?；仡?021年，我國(guó)工業(yè)信息安全政策標(biāo)準(zhǔn)日趨完善，垂直行業(yè)建設(shè)提速，工業(yè)信息安全保障技術(shù)得到大幅提升，從而推動(dòng)了整個(gè)安全產(chǎn)業(yè)的蓬勃發(fā)展。為加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，進(jìn)一步提升工業(yè)互聯(lián)網(wǎng)安全建設(shè)水平，我國(guó)2021年度相繼推出了多項(xiàng)與工業(yè)互聯(lián)網(wǎng)信息安全相關(guān)的政策法規(guī)報(bào)告。
通過梳理2021年度發(fā)布的相關(guān)政策法規(guī)報(bào)告，整理各大工業(yè)信息安全研究院及機(jī)構(gòu)針對(duì)不同法規(guī)所發(fā)布的解讀文件，現(xiàn)摘選部分重要內(nèi)容并對(duì)其進(jìn)行簡(jiǎn)要分析，以供讀者進(jìn)一步了解國(guó)家層面關(guān)于工控安全領(lǐng)域的政策導(dǎo)向。
2.1《建設(shè)高標(biāo)準(zhǔn)市場(chǎng)體系行動(dòng)方案》
2020年1月，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《建設(shè)高標(biāo)準(zhǔn)市場(chǎng)體系行動(dòng)方案》^[3]。方案中提出強(qiáng)化市場(chǎng)基礎(chǔ)設(shè)施建設(shè)要求。要求推動(dòng)市場(chǎng)基礎(chǔ)設(shè)施互聯(lián)互通。持續(xù)完善綜合立體交通網(wǎng)絡(luò)。加強(qiáng)新一代信息技術(shù)在鐵路、公路、水運(yùn)、民航、郵政等領(lǐng)域的應(yīng)用，提升綜合運(yùn)行效能。加大新型基礎(chǔ)設(shè)施投資力度，推動(dòng)第五代移動(dòng)通信、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，人工智能、云計(jì)算、區(qū)塊鏈等新技術(shù)基礎(chǔ)設(shè)施，數(shù)據(jù)中心、智能計(jì)算中心等算力基礎(chǔ)設(shè)施建設(shè)。
2.2《大數(shù)據(jù)平臺(tái)安全研究報(bào)告》
2021年2月中國(guó)信通院發(fā)布了《大數(shù)據(jù)平臺(tái)安全研究報(bào)告》^[4]。中國(guó)信通院在2020年發(fā)起了卓信大數(shù)據(jù)平臺(tái)安全專項(xiàng)行動(dòng)，行動(dòng)中發(fā)現(xiàn)了企業(yè)大數(shù)據(jù)平臺(tái)在建設(shè)和運(yùn)維方面存在一定安全隱患?！洞髷?shù)據(jù)平臺(tái)安全研究報(bào)告》以本次專項(xiàng)行動(dòng)中積累的安全檢測(cè)數(shù)據(jù)為基礎(chǔ)，從平臺(tái)配置安全隱患和安全漏洞的分布規(guī)律、產(chǎn)生原因、危害影響、修復(fù)難度等維度分析了大數(shù)據(jù)平臺(tái)的安全現(xiàn)狀。同時(shí)，詳細(xì)分析了形成該安全現(xiàn)狀的問題根源，并給出了相應(yīng)的解決方案建議。最后，從監(jiān)管、標(biāo)準(zhǔn)、技術(shù)研究等方面提出了大數(shù)據(jù)平臺(tái)安全未來的工作方向。
2.3《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》
2021年3月5日，十三屆全國(guó)人大四次會(huì)議公布《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃 和2035年遠(yuǎn)景目標(biāo)綱要》^[5]。綱要提出要培育壯大人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計(jì)算、網(wǎng)絡(luò)安全等新興數(shù)字產(chǎn)業(yè)，提升通信設(shè)備、核心電子元器件、關(guān)鍵軟件等產(chǎn)業(yè)水平。健全國(guó)家網(wǎng)絡(luò)安全法律法規(guī)和制度標(biāo)準(zhǔn)，加強(qiáng)重要領(lǐng)域數(shù)據(jù)資源、重要網(wǎng)絡(luò)和信息系統(tǒng)安全保障。建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力。加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和審查。加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，強(qiáng)化跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測(cè)預(yù)警、應(yīng)急指揮、攻擊溯源能力。加強(qiáng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)，加快人工智能安全技術(shù)創(chuàng)新，提升網(wǎng)絡(luò)安全產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力。加強(qiáng)網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)。
2.4《我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)白皮書》
2021年5月，中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全研究所，賽迪區(qū)塊鏈研究院發(fā)布了《我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)白皮書》^[6]白皮書從關(guān)鍵信息基礎(chǔ)設(shè)施概述、重點(diǎn)國(guó)家和地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的做法與啟示、我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)現(xiàn)狀及問題、提升我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)水平的對(duì)策建議等方面對(duì)國(guó)內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)策略進(jìn)行了系統(tǒng)性梳理，旨在為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)提供參考意見。
2.5《中華人民共和國(guó)數(shù)據(jù)安全法》
2021年6月10日，國(guó)家主席習(xí)近平簽署了第八十四號(hào)主席令，《中華人民共和國(guó)數(shù)據(jù)安全法》[7]已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過，現(xiàn)予公布，自2021年9月1日起施行?！稊?shù)據(jù)安全法》明確提出國(guó)家需要負(fù)責(zé)推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施的建設(shè)，數(shù)據(jù)基礎(chǔ)設(shè)施包括數(shù)據(jù)和承載數(shù)據(jù)的設(shè)施兩個(gè)部分，像5G、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心等都屬于承載數(shù)據(jù)的基礎(chǔ)設(shè)施部分。工業(yè)互聯(lián)網(wǎng)作為我國(guó)新基建的一部分，是工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的重要手段，是工業(yè)企業(yè)數(shù)據(jù)流轉(zhuǎn)過程中必不可少的一個(gè)環(huán)節(jié)。《數(shù)據(jù)安全法》的出臺(tái)將為各行業(yè)領(lǐng)域制定相應(yīng)的配套制度、標(biāo)準(zhǔn)和規(guī)范指明方向，為工業(yè)互聯(lián)網(wǎng)行業(yè)的健康發(fā)展提供監(jiān)管和評(píng)判依據(jù)，讓工業(yè)企業(yè)能夠放心的使用工業(yè)互聯(lián)網(wǎng)平臺(tái)所提供的各類數(shù)據(jù)服務(wù)。
2.6《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》
2021年7月30日，國(guó)務(wù)院總理李克強(qiáng)簽署中華人民共和國(guó)國(guó)務(wù)院令第745號(hào)，公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》^[8]，自2021年9月1日起施行，明確關(guān)鍵信息基礎(chǔ)設(shè)施范圍和保護(hù)工作原則目標(biāo)?！稐l例》明確重點(diǎn)行業(yè)和領(lǐng)域重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施，國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，采取措施，監(jiān)測(cè)、防御、處置來源于境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治違法犯罪活動(dòng)。保護(hù)工作應(yīng)當(dāng)堅(jiān)持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù)，強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體責(zé)任，充分發(fā)揮政府及社會(huì)各方面的作用，共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。
2.7 《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》
2021年8月1日《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》^[9]正式實(shí)施，該標(biāo)準(zhǔn)是繼GB17859-1999《計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)之后的又一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的強(qiáng)制性標(biāo)準(zhǔn)。標(biāo)準(zhǔn)規(guī)定了對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備的設(shè)備標(biāo)識(shí)安全、備份恢復(fù)與異常監(jiān)測(cè)、漏洞與惡意程序防范、預(yù)裝軟件啟動(dòng)與更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問控制安全、日志審計(jì)安全、通信安全、數(shù)據(jù)安全、密碼要求等功能要求，以及設(shè)計(jì)和開發(fā)、生產(chǎn)和交付、運(yùn)行和維護(hù)等方面的安全保障要求。標(biāo)準(zhǔn)的發(fā)布將在提升網(wǎng)絡(luò)關(guān)鍵設(shè)備安全性、可控性，減少用戶在使用產(chǎn)品中的各種風(fēng)險(xiǎn)等方面發(fā)揮重要作用。
2.8 《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南》
2021年10月工業(yè)和信息化部印發(fā)《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南（2021版）》^[10]。提出到2022年，初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制重點(diǎn)行業(yè)標(biāo)準(zhǔn)10項(xiàng)以上，明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺(tái)等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求，滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要，促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。到2025年，推動(dòng)形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系，研制行業(yè)標(biāo)準(zhǔn)30項(xiàng)以上，提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度，提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平，保障消費(fèi)者安全使用。
2.9 《網(wǎng)絡(luò)安全數(shù)據(jù)管理?xiàng)l例（征求意見稿）》
2021年11月14日，國(guó)家網(wǎng)信辦發(fā)布了《網(wǎng)絡(luò)安全數(shù)據(jù)管理?xiàng)l例》^[11]（征求意見稿），共九章七十五條。《條例》在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》三部上位法的基礎(chǔ)上制定，在實(shí)施細(xì)則、責(zé)任界定、規(guī)范要求、懲罰措施等方面更加清晰細(xì)致，同時(shí)也增加了一些新的內(nèi)容，進(jìn)一步強(qiáng)化和落實(shí)數(shù)據(jù)處理者的主體責(zé)任，共同保護(hù)重要數(shù)據(jù)和個(gè)人信息的安全。具體包括數(shù)據(jù)分類與保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全、網(wǎng)絡(luò)安全審查、個(gè)人信息保護(hù)、互聯(lián)網(wǎng)平臺(tái)監(jiān)管等方面?！稐l例》的出臺(tái)進(jìn)一步增加企業(yè)和社會(huì)對(duì)于數(shù)據(jù)安全的認(rèn)知，進(jìn)一步鞏固了國(guó)家數(shù)據(jù)主權(quán)，體現(xiàn)出我國(guó)對(duì)于數(shù)據(jù)安全這個(gè)大前提不動(dòng)搖的戰(zhàn)略決心。
2.10 《“十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃》
11月30日,工信部對(duì)外發(fā)布《“十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃》^[12]?！兑?guī)劃》指出，信息化和工業(yè)化深度融合是中國(guó)特色新型工業(yè)化道路的集中體現(xiàn)，是新發(fā)展階段制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的必由之路，也是數(shù)字經(jīng)濟(jì)時(shí)代建設(shè)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)和數(shù)字中國(guó)的扣合點(diǎn)。推動(dòng)兩化深度融合，對(duì)于加快新一代信息技術(shù)在制造業(yè)的深度融合，打造數(shù)據(jù)驅(qū)動(dòng)、軟件定義、平臺(tái)支撐、服務(wù)增值、智能主導(dǎo)的現(xiàn)代化產(chǎn)業(yè)體系，推進(jìn)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)以及數(shù)字中國(guó)建設(shè)具有重要意義。“十四五”時(shí)期是建設(shè)制造強(qiáng)國(guó)、構(gòu)建現(xiàn)代化產(chǎn)業(yè)體系和實(shí)現(xiàn)經(jīng)濟(jì)高質(zhì)量發(fā)展的重要階段，兩化深度融合面臨新的機(jī)遇和挑戰(zhàn)。同時(shí)明確了“十四五”兩化深度融合發(fā)展目標(biāo)。到2025年，信息化和工業(yè)化在更廣范圍、更深程度、更高水平上實(shí)現(xiàn)融合發(fā)展，新一代信息技術(shù)向制造業(yè)各領(lǐng)域加速滲透，制造業(yè)數(shù)字化轉(zhuǎn)型步伐明顯加快，全國(guó)兩化融合發(fā)展指數(shù)達(dá)到105，企業(yè)經(jīng)營(yíng)管理數(shù)字化普及率達(dá)80%，數(shù)字化研發(fā)設(shè)計(jì)工具普及率達(dá)85%，關(guān)鍵工序數(shù)控化率達(dá)68%，工業(yè)互聯(lián)網(wǎng)平臺(tái)普及率達(dá)45%。

3.  2021年典型工控安全事件分析
2021年，新冠肺炎疫情依然嚴(yán)峻，工業(yè)企業(yè)仍然面臨著不斷變化的威脅形式，針對(duì)工控系統(tǒng)進(jìn)行各類攻擊的技術(shù)和手段層出不窮，影響的行業(yè)涵蓋了制造業(yè)、能源、水處理、航旅、交通運(yùn)輸、石油化工、醫(yī)療等，數(shù)據(jù)泄露的規(guī)模、攻擊的破壞效果都呈現(xiàn)擴(kuò)大趨勢(shì)。黑客采用的攻擊方式多樣，從搭載惡意軟件的釣魚郵件到DDoS攻擊等不一而足。從互聯(lián)網(wǎng)上收集的安全事件中來看，采用勒索軟件進(jìn)行攻擊的占比最大。在某些事件中，比如美國(guó)燃油管道運(yùn)營(yíng)商Colonial Pipeline黑客攻擊事件，攻擊者以挾持關(guān)鍵基礎(chǔ)設(shè)施為目的，進(jìn)而索要高額贖金，甚至可能影響國(guó)家的正常運(yùn)作能力，并且這類攻擊正在變得更加普遍。許多勒索團(tuán)伙采用雙重勒索策略對(duì)目標(biāo)進(jìn)行攻擊，加密設(shè)備文件并竊取數(shù)據(jù)，針對(duì)工控系統(tǒng)的攻擊呈現(xiàn)出影響范圍廣、攻擊水平高、攻擊規(guī)模逐年上升的趨勢(shì)。
下面回顧部分在2021年發(fā)生的典型的工控安全相關(guān)事件。通過這些事件，可以了解工業(yè)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)及其發(fā)展趨勢(shì)，從而更好地預(yù)見網(wǎng)絡(luò)威脅的演變，以采取有效應(yīng)對(duì)措施保障工控信息安全。
3.1 Oldsmar水處理工廠遭到網(wǎng)絡(luò)攻擊
2021年2月，位于佛羅里達(dá)州奧爾茲馬爾的一個(gè)水處理基礎(chǔ)設(shè)施遭到襲擊。執(zhí)法部門透露，攻擊者獲得了水處理工廠系統(tǒng)的訪問權(quán)限，并且試圖將住宅和商業(yè)飲用水中的氫氧化鈉的含量從百萬分之100提高到百萬分之1100，而這可能會(huì)使公眾面臨中毒的風(fēng)險(xiǎn)。
攻擊者利用Oldsmar水處理工廠員工一直在使用的TeamViewer遠(yuǎn)程監(jiān)視和控制系統(tǒng)實(shí)施此次水坑攻擊^[13]，通過密碼共享等不良的安全做法獲得了TeamViewer的訪問權(quán)限，并進(jìn)行了未經(jīng)授權(quán)的更改。幸運(yùn)的是，工作人員及時(shí)發(fā)現(xiàn)了攻擊行為，從而避免了災(zāi)難發(fā)生。工控安全咨詢公司Dragos在調(diào)查后指出，攻擊者在水利基礎(chǔ)設(shè)施建設(shè)公司的站點(diǎn)上部署了一個(gè)水坑，并收集了一系列信息，以提高僵尸網(wǎng)絡(luò)惡意軟件模擬合法Web瀏覽器活動(dòng)的能力，而且該水坑攻擊惡意腳本存在了將近兩個(gè)月。
3.2 航旅業(yè)超級(jí)供應(yīng)商SITA被黑引發(fā)嚴(yán)重?cái)?shù)據(jù)泄露
2021年2月，據(jù)美聯(lián)社報(bào)道，SITA（全球信息技術(shù)公司）宣布服務(wù)器被黑客入侵，并引發(fā)了嚴(yán)重的數(shù)據(jù)泄露^[14]。SITA管理著全球超過400家航空公司的機(jī)票處理業(yè)務(wù)和常旅客數(shù)據(jù)，此次事件中泄露的顧客數(shù)據(jù)涵蓋全球多家知名航空公司，包括：漢莎航空、新西蘭航空、新加坡航空、SAS-斯堪的納維亞航空公司等，值得注意的是以上提到的四家公司都是星空聯(lián)盟的一部分。有業(yè)內(nèi)人士估計(jì)受到此次攻擊影響的旅客數(shù)超過210萬。
SITA表示，攻擊者使用“高度復(fù)雜”的攻擊手段入侵了公司的旅客服務(wù)系統(tǒng)（PSS），進(jìn)而訪問了包括乘客訂票、登機(jī)、行李控制等交易的隱私數(shù)據(jù)。SITA在攻擊發(fā)生后迅速采取了行動(dòng)，與受到影響的客戶以及相關(guān)組織聯(lián)系，其中星空聯(lián)盟表示，并非聯(lián)盟內(nèi)所有航空公司都受到影響，但不排除這種可能性。
3.3 美國(guó)燃油管道運(yùn)營(yíng)商遭受網(wǎng)絡(luò)攻擊導(dǎo)致美國(guó)進(jìn)入國(guó)家緊急狀態(tài) 
2021年5月，據(jù)路透社報(bào)道，美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline于7日受到勒索軟件攻擊，5500英里輸油管系統(tǒng)被迫停運(yùn)，直到9日仍未恢復(fù)正常。這次攻擊相當(dāng)于切斷了美國(guó)東部地區(qū)油氣輸送的主要?jiǎng)用}。為減輕Colonial Pipeline關(guān)鍵燃油網(wǎng)絡(luò)持續(xù)關(guān)停的影響，美國(guó)于當(dāng)?shù)貢r(shí)間5月9日宣布進(jìn)入國(guó)家緊急狀態(tài)^[15]。
環(huán)球網(wǎng)報(bào)道，有知情人士聲稱此次網(wǎng)絡(luò)攻擊來自俄羅斯的黑客團(tuán)伙DarkSide。他們開發(fā)了勒索軟件來加密和竊取公司機(jī)密數(shù)據(jù)，并利用其獲得成功攻擊的贖金分成。從目前已知信息來看，此次攻擊與國(guó)家機(jī)構(gòu)無關(guān)，更像是為了獲取經(jīng)濟(jì)利益而實(shí)施的，但也不能排除此次襲擊是一起打著商業(yè)勒索軟件名義的APT攻擊。有關(guān)網(wǎng)絡(luò)專家分析，DarkSide可能通過某種途徑得到了工程師進(jìn)行管道控制的賬戶信息，進(jìn)而向系統(tǒng)植入惡意軟件竊取和加密Colonial Pipeline公司近100GB的數(shù)據(jù)并索要高額贖金。
3.4 歐洲能源技術(shù)供應(yīng)商受到勒索攻擊導(dǎo)致業(yè)務(wù)系統(tǒng)被迫關(guān)閉 
2021年5月，位于挪威的歐洲能源及基礎(chǔ)設(shè)施企業(yè)技術(shù)供應(yīng)商----Volue公司遭到勒索軟件攻擊。由于勒索軟件關(guān)閉了挪威200座城市的供水與水處理設(shè)施的應(yīng)用程序，導(dǎo)致挪威國(guó)內(nèi)約85%的居民生活受到影響。攻擊事件發(fā)生后，Volue公司迅速采取措施，關(guān)閉了托管的多種應(yīng)用程序，將設(shè)備進(jìn)行隔離，并調(diào)查攻擊細(xì)節(jié)、影響范圍以及可能產(chǎn)生的后果^[16]。挪威面向能源與水務(wù)部門的網(wǎng)絡(luò)安全響應(yīng)單位KraftCERT還向Volue建議，所有客戶應(yīng)立刻關(guān)閉與其應(yīng)用的鏈接，并重置登錄憑證。
經(jīng)過調(diào)查，安全專家們?cè)赩olue的系統(tǒng)中發(fā)現(xiàn)了Ryuk勒索軟件。公司發(fā)言人在于客戶討論的會(huì)議上表示，此次攻擊事件沒有表明數(shù)據(jù)泄露的證據(jù)，并認(rèn)為超過90%的客戶屬于安全或是基本安全的狀態(tài)，但由于Ryuk在勒索攻擊中經(jīng)常被使用，所以很難確定攻擊者的身份。
3.5 美國(guó)核武器合同商遭遇REvil勒索軟件攻擊 
2021年6月，位于新墨西哥州阿爾伯克基的Sol Oriens公司遭遇REvil勒索軟件攻擊。Sol Oriens公司是一家小型、資深的咨詢公司，其業(yè)務(wù)與核武器有關(guān)，是美國(guó)能源部（DOE）的分包商，并且與美國(guó)國(guó)家核安全局（NNSA）有合作^[17]。攻擊者宣稱保留將所有文件和數(shù)據(jù)轉(zhuǎn)發(fā)給他們選擇的軍事機(jī)構(gòu)的權(quán)利，并揚(yáng)言如果不繳納贖金就將核武器的機(jī)密信息泄露給其他國(guó)家的軍方。
專家透露，Sol Oriens公司的內(nèi)部信息已經(jīng)被發(fā)布到REvil的暗網(wǎng)博客上，但幸運(yùn)的是，被泄露數(shù)據(jù)中似乎沒有涉及高度軍事機(jī)密，攻擊者是否獲取了美國(guó)和武器更敏感更秘密的信息還有待調(diào)查。Sol Oriens公司在攻擊事件發(fā)生后發(fā)布聲明表示，REvil勒索軟件攻擊從5月份就開始了，攻擊者在未經(jīng)授權(quán)的情況下從公司內(nèi)部系統(tǒng)中獲取了某些文件，具體涉及的數(shù)據(jù)范圍以及文件內(nèi)容還在調(diào)查中，但目前沒有發(fā)現(xiàn)攻擊事件涉及客戶機(jī)密等關(guān)鍵信息。
3.6 南非國(guó)家運(yùn)輸公司遭受網(wǎng)絡(luò)攻擊導(dǎo)致多個(gè)港口運(yùn)輸系統(tǒng)癱瘓
2021年7月，南非總統(tǒng)府代理部長(zhǎng)表示，南非國(guó)家運(yùn)輸公司（簡(jiǎn)稱南非運(yùn)輸）遭到網(wǎng)絡(luò)攻擊，使得物流運(yùn)輸服務(wù)的可靠性受到極大影響^[18]。當(dāng)?shù)刎涍\(yùn)企業(yè)已經(jīng)無法完成貨物進(jìn)出口的正常運(yùn)營(yíng)，而港口方面的癱瘓則使情況更加嚴(yán)峻，導(dǎo)致了交貨時(shí)間延遲、道路擁堵增加、配送業(yè)務(wù)陷入窘境、供應(yīng)鏈執(zhí)行效率降低等一系列問題。南非運(yùn)輸發(fā)言人表示，目前已經(jīng)“確定”并“隔離”了引發(fā)系統(tǒng)宕機(jī)的根源，但對(duì)具體原因以及事態(tài)變化并未提及。南非公路貨運(yùn)協(xié)會(huì)CEO強(qiáng)調(diào)必須做出調(diào)整以杜絕此類事件再次發(fā)生，并且還應(yīng)該對(duì)系統(tǒng)進(jìn)行完善，使得在緊急情況下物流運(yùn)輸也能夠正常進(jìn)行。
3.7 石油巨頭沙特阿美遭盜竊1TB專有數(shù)據(jù)
2021年7月，沙特阿拉伯石油公司（又稱沙特阿美）的專有數(shù)據(jù)被發(fā)現(xiàn)在暗網(wǎng)上出售，數(shù)據(jù)總量有1TB^[19]，包括近15000名員工全部信息、多處煉油廠的相關(guān)文件、多種系統(tǒng)的項(xiàng)目規(guī)范、內(nèi)部分析報(bào)告、設(shè)備的網(wǎng)絡(luò)布局、客戶名單與合同等。攻擊者開價(jià)500萬美元，并提出如果要求在獲取完整數(shù)據(jù)的同時(shí)徹底刪除攻擊者手中的副本，則價(jià)格預(yù)計(jì)將漲至5000萬美元。
此次攻擊來自一個(gè)名為ZeroX的惡意團(tuán)伙，他們宣稱盜取的數(shù)據(jù)源自2020年對(duì)沙特阿美的一次“網(wǎng)絡(luò)及服務(wù)器”入侵行動(dòng)，有一部分?jǐn)?shù)據(jù)甚至可以追溯到1993年。攻擊者和沙特阿美都表示此次攻擊并不屬于勒索軟件攻擊。攻擊者沒有透露明確消息，但曾模糊地表示利用了零日漏洞實(shí)現(xiàn)此次入侵。沙特阿美稱此次數(shù)據(jù)泄露影響到的是第三方承包商，并未對(duì)公司的日常運(yùn)營(yíng)造成影響。
3.8 俄羅斯銀行業(yè)遭遇大規(guī)模DDoS攻擊
2021年9月，俄羅斯銀行業(yè)遭遇大規(guī)模DDoS攻擊^[20]，多家銀行系統(tǒng)的服務(wù)無法正常使用，通過電信運(yùn)營(yíng)商執(zhí)行的所有操作都出現(xiàn)了一段時(shí)間的服務(wù)癱瘓，導(dǎo)致客戶使用銀行遠(yuǎn)程服務(wù)渠道的個(gè)別服務(wù)時(shí)遇到問題。當(dāng)?shù)氐幕ヂ?lián)網(wǎng)服務(wù)商Orange Business Services更是受到了極大影響。公司運(yùn)營(yíng)總監(jiān)表示，從8月9日開始，網(wǎng)絡(luò)威脅監(jiān)控中心就持續(xù)出現(xiàn)了使用放大式攻擊等手段對(duì)金融客戶發(fā)起攻擊的記錄，攻擊者還使用加密協(xié)議（HTTPS）進(jìn)行了其他攻擊，并且截至事件發(fā)生時(shí)攻擊仍在繼續(xù)。
此次事件中俄羅斯銀行業(yè)遭受的這類DDoS攻擊由于其能夠模擬合法流量，并且攻擊涵蓋了通信渠道以及應(yīng)用程序本體，所以危險(xiǎn)程度最高，難以進(jìn)行檢測(cè)與消除。
3.9 英國(guó)工程巨頭遭受勒索攻擊導(dǎo)致運(yùn)營(yíng)臨時(shí)中斷 
2021年10月，蘇格蘭跨國(guó)工程企業(yè)偉爾集團(tuán)（Weir Group）披露，其在9月下半月曾遭受一起高復(fù)雜度的勒索軟件攻擊，并造成了9月份的“重大臨時(shí)中斷”^[21]。偉爾集團(tuán)在全球50多個(gè)國(guó)家/地區(qū)擁有包括采礦、基礎(chǔ)設(shè)施、石油以及天然氣等市場(chǎng)，本次攻擊使集團(tuán)的出貨、制造和工程系統(tǒng)發(fā)生中斷，僅9月份由于開銷不足和收入延后造成的間接損失就高達(dá)5000萬英鎊，并且預(yù)計(jì)還會(huì)影響第四季度的正常運(yùn)營(yíng)。
攻擊發(fā)生后，偉爾集團(tuán)迅速采取措施，隔離并關(guān)閉IT系統(tǒng)以保護(hù)其基礎(chǔ)設(shè)施和數(shù)據(jù)，與此同時(shí)對(duì)攻擊事件進(jìn)行調(diào)查，目前為止還未發(fā)現(xiàn)有敏感數(shù)據(jù)外泄或加密的情況。集團(tuán)表示其自身和有關(guān)各方都從未與攻擊者進(jìn)行接觸，對(duì)此次攻擊的取證調(diào)查仍將繼續(xù)，并將按照業(yè)務(wù)優(yōu)先級(jí)逐步恢復(fù)一部分系統(tǒng)功能。
3.10 SolarWinds黑客仍在發(fā)動(dòng)供應(yīng)鏈攻擊
2021年10月，微軟公司發(fā)布的文章中稱，去年SolarWinds黑客事件背后與俄羅斯有關(guān)聯(lián)的Nobelium組織仍然在持續(xù)發(fā)動(dòng)供應(yīng)鏈攻擊^[22]，他們從2021年5月以來發(fā)動(dòng)了數(shù)次攻擊活動(dòng)，至少140家管理服務(wù)提供商和云服務(wù)提供商受到影響，14家系統(tǒng)已經(jīng)被攻破。
經(jīng)調(diào)查，這次攻擊中黑客使用了包含多種工具和戰(zhàn)術(shù)的工具包，包括惡意軟件、密碼噴劑、令牌盜竊、API濫用等。微軟專家稱，本次供應(yīng)鏈攻擊中，黑客通過某種密碼泄露進(jìn)入SolarWinds，并將惡意軟件放入Orion組件，然后在SolarWinds的更新過程中將其滲透到用戶環(huán)境中。攻擊事件發(fā)生后，微軟公司采取了一系列措施，通知了受到影響的客戶，為他們提供技術(shù)指導(dǎo)，還在產(chǎn)品中增加了檢測(cè)功能，幫助目標(biāo)客戶檢測(cè)由Nobelium發(fā)起的攻擊。
3.11 風(fēng)電巨頭遭受網(wǎng)絡(luò)攻擊導(dǎo)致數(shù)據(jù)泄露
2021年11月，丹麥風(fēng)力渦輪機(jī)巨頭維斯塔斯（Vestas Wind Systems）于19日前后遭到網(wǎng)絡(luò)攻擊。公司在最新聲明中表示，這次攻擊事件導(dǎo)致了尚未明確的數(shù)據(jù)泄露^[23]，部分受到攻擊的設(shè)備正在恢復(fù)中，客戶和供應(yīng)鏈等第三方運(yùn)營(yíng)暫未發(fā)現(xiàn)受到影響，但維斯塔斯并未提供此次攻擊的詳細(xì)信息，也拒絕說明攻擊類型。據(jù)彭博社報(bào)道，攻擊事件發(fā)生后，維斯塔斯的股價(jià)跌至兩周低點(diǎn)。
安全周刊報(bào)道稱，此次事件中公司數(shù)據(jù)被挾持和加密，并且遭到勒索高額贖金，這些特點(diǎn)都屬于勒索軟件攻擊的特征。由于維斯塔斯業(yè)務(wù)范圍廣，覆蓋全球85個(gè)國(guó)家和地區(qū)，有專家表示，一旦此次攻擊事件的后續(xù)影響持續(xù)發(fā)酵，尤其是出現(xiàn)中斷制造、安裝和維修過程等情況，可能會(huì)對(duì)我國(guó)風(fēng)電行業(yè)造成重大影響。

表3-1 2021年部分安全事件

4.工控系統(tǒng)安全漏洞概況
隨著5G網(wǎng)絡(luò)的不斷普及、物聯(lián)網(wǎng)設(shè)備的應(yīng)用和工業(yè)互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)設(shè)備漸漸被智能化設(shè)備取代，工控設(shè)備遭受到更多的攻擊，工控系統(tǒng)安全事件頻發(fā)。但在今年下半年，漏洞數(shù)量突然大幅度下降。工控設(shè)備遭受攻擊的形式越來越多樣，其中，最常見的攻擊方式就是利用工控系統(tǒng)的漏洞。PLC(Programmable Logic Controller，可編程邏輯控制器)、DCS(Distributed Control System，分布式控制系統(tǒng))、SCADA(Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))乃至應(yīng)用軟件均被發(fā)現(xiàn)存在大量信息安全漏洞。西門子（Siemens）、威綸科技（weintek）、羅克韋爾（Rockwell）、唐山市柳林自動(dòng)化設(shè)備有限公司（LLMGT）、研華科技（Advantech）等工業(yè)控制系統(tǒng)廠商也均被發(fā)現(xiàn)包含各種信息安全漏洞 。

圖 4-1 2011-2021年工控漏洞走勢(shì)圖（數(shù)據(jù)來源CNVD、“諦聽”）
 

根據(jù)CNVD（國(guó)家信息安全漏洞共享平臺(tái)）和“諦聽”的數(shù)據(jù)，2011-2021年工控漏洞走勢(shì)如圖4-1所示。從圖中可以看出，2016年之后的工控漏洞數(shù)量增長(zhǎng)顯著，出現(xiàn)此趨勢(shì)的主要原因是：2016年后，工業(yè)控制系統(tǒng)安全問題關(guān)注度日益增高。但是今年的漏洞數(shù)量相比去年下降十分迅速，不及去年的三分之一，本團(tuán)隊(duì)猜測(cè)的原因是，隨著全球疫情的加重，一方面，大量行業(yè)人員轉(zhuǎn)為線上遠(yuǎn)程辦公，可能無法及時(shí)發(fā)現(xiàn)漏洞。另一方面，全球的工廠無法正常生產(chǎn)，生產(chǎn)的效率大大降低，因此攻擊產(chǎn)生的漏洞的數(shù)量減少。
 

圖4-2 2021年工控系統(tǒng)行業(yè)漏洞危險(xiǎn)等級(jí)餅狀圖（數(shù)據(jù)來源CNVD、“諦聽”）

如圖4-2是2021年工控系統(tǒng)行業(yè)漏洞危險(xiǎn)等級(jí)餅狀圖，截至2021年12月31日，2021年新增工控系統(tǒng)行業(yè)漏洞152個(gè)，其中高危漏洞58個(gè)，中危漏洞82個(gè)，低危漏洞12個(gè)。與去年相比，漏洞數(shù)量大幅度減少，高危、中危和低危漏洞數(shù)量均有一定減少，中高危漏洞數(shù)量減少了406個(gè)。高危工控安全漏洞占全年漏洞總數(shù)量中的38%，與去年的相比總體來說占比相差不大。同時(shí)值得注意的是，今年下半年，工控行業(yè)漏洞只有4個(gè)。由此可見，在新冠疫情持續(xù)蔓延的今天，工控系統(tǒng)在安全方面有了巨大提升。
以上數(shù)據(jù)表明，在2021年，工控系統(tǒng)在安全維護(hù)方面有了很大提升，有必要進(jìn)一步加強(qiáng)對(duì)工業(yè)漏洞的防范。根據(jù)相關(guān)資料顯示，網(wǎng)絡(luò)犯罪中攻擊者攻擊目標(biāo)數(shù)量正在減少，工控系統(tǒng)所遭受攻擊數(shù)量也在減少，但同時(shí)，工控系統(tǒng)所遭受的攻擊強(qiáng)度也在增加，需要進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的防范。網(wǎng)絡(luò)犯罪分子頻繁更新升級(jí)惡意軟件，使得工控系統(tǒng)越來越難以監(jiān)測(cè)，所以系統(tǒng)在監(jiān)測(cè)到漏洞后，應(yīng)該盡快更新升級(jí)，盡可能避免漏洞的危害。

圖4-3 2021年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖（數(shù)據(jù)來源CNVD、“諦聽”）

如圖4-3是2021年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，由圖中可知，西門子（Siemens）廠商具有的漏洞數(shù)量最多，多達(dá)27個(gè)。漏洞數(shù)量排在其后的廠商分別是：威綸科技（weintek）、羅克韋爾（Rockwell）、唐山市柳林自動(dòng)化設(shè)備有限公司（LLMGT）、研華科技（Advantech）、RACOM，這些廠商也存在著一定數(shù)量的工控系統(tǒng)行業(yè)漏洞 。由此可見，各個(gè)廠商應(yīng)該密切關(guān)注工控系統(tǒng)行業(yè)漏洞，通過設(shè)置限定值、增加校驗(yàn)步驟等方式進(jìn)一步提升系統(tǒng)防護(hù)水平，確保工控系統(tǒng)信息安全。

5.聯(lián)網(wǎng)工控設(shè)備分布
“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持31種服務(wù)的協(xié)議識(shí)別，表5-1展示了“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別的工控協(xié)議等的相關(guān)信息。如想了解這些協(xié)議的詳細(xì)信息請(qǐng)參照“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)之前發(fā)布的工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析白皮書。

表5-1 “諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎支持的協(xié)議
 

“諦聽”官方網(wǎng)站（www.ditecting.com）公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請(qǐng)與東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)直接聯(lián)系獲取。根據(jù)“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù)，經(jīng)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)分析，得出如圖5-1的可視化展示，下面做簡(jiǎn)要說明。
圖5-1為2021年全球工控設(shè)備暴露Top-10國(guó)家。從全世界來看，美國(guó)身為世界上最發(fā)達(dá)的工業(yè)化國(guó)家其暴露的工控設(shè)備位居第一位；中國(guó)大力發(fā)展先進(jìn)制造業(yè)，推動(dòng)新型基礎(chǔ)設(shè)施建設(shè)和關(guān)鍵領(lǐng)域創(chuàng)新，工業(yè)產(chǎn)值大幅增加，位居第二位；由于現(xiàn)在全球?qū)Π雽?dǎo)體和汽車的消費(fèi)需求增加，導(dǎo)致韓國(guó)半導(dǎo)體和汽車的出口數(shù)量持續(xù)增長(zhǎng)，有效促進(jìn)了韓國(guó)工業(yè)領(lǐng)域的發(fā)展，暴露的工控設(shè)備目前位居第三位。以下著重介紹國(guó)內(nèi)及美國(guó)、韓國(guó)的工控設(shè)備暴露情況。

圖5-1 全球工控設(shè)備暴露Top10柱狀圖（數(shù)據(jù)來源“諦聽”）

5.1 國(guó)際工控設(shè)備暴露情況
國(guó)際工控設(shè)備的暴露情況以美國(guó)和韓國(guó)為例進(jìn)行簡(jiǎn)要介紹。美國(guó)工業(yè)發(fā)展歷史悠久，從19世紀(jì)中葉開始，美國(guó)就逐漸地成為了一個(gè)高度工業(yè)化的國(guó)家。在金融危機(jī)后，美國(guó)政府提高了發(fā)展先進(jìn)制造業(yè)的戰(zhàn)略地位，希望以新型革命性的方式重塑制造業(yè)。美國(guó)用互聯(lián)網(wǎng)激活傳統(tǒng)工業(yè)，以保持制造業(yè)的長(zhǎng)期競(jìng)爭(zhēng)力。圖5-2為美國(guó)工控協(xié)議暴露數(shù)量和占比。
如今的美國(guó)社會(huì)，大數(shù)據(jù)技術(shù)正在企業(yè)、醫(yī)療、教育、商業(yè)、科技等各個(gè)領(lǐng)域催生強(qiáng)大的變革力量。在大力推動(dòng)互聯(lián)網(wǎng)和工業(yè)結(jié)合的同時(shí)，美國(guó)也看到了流淌在網(wǎng)絡(luò)上的極具價(jià)值又缺乏監(jiān)控和重視的數(shù)據(jù)。與此同時(shí)，美國(guó)對(duì)網(wǎng)絡(luò)安全問題的重視程度也沒有松懈。2021年，美國(guó)總統(tǒng)簽署了《基礎(chǔ)設(shè)施投資與就業(yè)法案》，在網(wǎng)絡(luò)安全建設(shè)方面投入大量資金。近年來隨著國(guó)際形勢(shì)的不斷變化以及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益凸顯，網(wǎng)絡(luò)攻擊事件頻發(fā)，給全球各行業(yè)都造成了不同程度的影響，即使是對(duì)網(wǎng)絡(luò)安全問題高度重視的美國(guó)也沒能避免網(wǎng)絡(luò)攻擊的威脅2021年美國(guó)工控網(wǎng)絡(luò)安全事件頻發(fā)：由于燃油管道運(yùn)營(yíng)商遭網(wǎng)絡(luò)攻擊，使得美國(guó)被迫關(guān)閉其東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)，多地區(qū)宣布進(jìn)入國(guó)家緊急狀態(tài)；勒索軟件的攻擊令美國(guó)馬薩諸塞州的最大輪渡服務(wù)商遭遇班次延誤與中斷；佛羅里達(dá)州奧爾德斯馬的一家水處理廠被黑客入侵，入侵者將用于處理水的堿液量增加到危險(xiǎn)水平。通過對(duì)近些年的網(wǎng)絡(luò)安全事件分析，不難發(fā)現(xiàn)，黑客的攻擊手段愈加復(fù)雜，數(shù)據(jù)泄露的規(guī)模不斷擴(kuò)大，漏洞存在的年限、影響設(shè)備的數(shù)量也都不停增加。網(wǎng)絡(luò)安全形勢(shì)愈加嚴(yán)峻，網(wǎng)絡(luò)安全保護(hù)任重道遠(yuǎn)。

圖5-2 美國(guó)工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）
 

韓國(guó)盡管受限于其自身國(guó)土面積，無法發(fā)展開采工業(yè)，但其另辟蹊徑，大力發(fā)展制造業(yè)，使其位于全球GDP前15強(qiáng)國(guó)家，實(shí)力不容小覷。目前為止韓國(guó)汽車制造位居全球第五，輪船制造業(yè)更是位于世界領(lǐng)先地位，在芯片工業(yè)和智能手機(jī)工業(yè)領(lǐng)域，韓國(guó)也是世界第一梯隊(duì)。通過圖5-3可以看到，在韓國(guó)所暴露的協(xié)議中，Modbus的暴露數(shù)量位居首位。Modbus協(xié)議簡(jiǎn)單且容易復(fù)制，工業(yè)網(wǎng)絡(luò)部署相對(duì)容易，然而這在一定程度造成了Modbus安全性能的不足，為了減少韓國(guó)各企業(yè)的工業(yè)安全風(fēng)險(xiǎn)，應(yīng)當(dāng)更加關(guān)注工業(yè)網(wǎng)絡(luò)安全方面的防護(hù)。

圖5-3 韓國(guó)工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）

5.2 國(guó)內(nèi)工控設(shè)備暴露情況
2021年中國(guó)暴露的工控設(shè)備數(shù)量位居全球第二。中國(guó)的工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，推動(dòng)了實(shí)體經(jīng)濟(jì)的轉(zhuǎn)型升級(jí)。新興產(chǎn)業(yè)快速發(fā)展，傳統(tǒng)產(chǎn)業(yè)改造提升力度加大，工業(yè)供給體系質(zhì)量不斷提升，加速向中高端產(chǎn)業(yè)邁進(jìn)。同時(shí)，隨著 5G 技術(shù)的不斷進(jìn)步與推廣，也讓工業(yè)互聯(lián)網(wǎng)領(lǐng)域有了新的發(fā)展。
在全國(guó)暴露工控設(shè)備數(shù)量的條形圖 5-4 中可以直觀的看出臺(tái)灣和香港暴露工控設(shè)備位居國(guó)內(nèi)第一、二位。同時(shí)，眾多內(nèi)地城市的工業(yè)已經(jīng)在改革開放和工業(yè)互聯(lián)網(wǎng)發(fā)展的推動(dòng)下快速發(fā)展，暴露的設(shè)備數(shù)量不斷增長(zhǎng)。中國(guó)大陸的產(chǎn)業(yè)結(jié)構(gòu)不斷優(yōu)化升級(jí)，裝備制造業(yè)得到快速發(fā)展。汽車制造、計(jì)算機(jī)通信和其他電子設(shè)備制造產(chǎn)值占比大幅上升。而且工業(yè)互聯(lián)網(wǎng)的發(fā)展與資源、人才和資金等方面是密不可分的，廣東等東部地區(qū)的產(chǎn)業(yè)基礎(chǔ)穩(wěn)定且當(dāng)?shù)剌^為注重，這也促進(jìn)了工業(yè)互聯(lián)網(wǎng)的迅速發(fā)展。然而隨著工業(yè)的快速發(fā)展以及產(chǎn)業(yè)結(jié)構(gòu)的轉(zhuǎn)變，工業(yè)網(wǎng)絡(luò)的安全隱患也越來越多，工控系統(tǒng)面臨較大安全風(fēng)險(xiǎn)。
2021年，臺(tái)灣省暴露工控設(shè)備數(shù)量位居全國(guó)第一，暴露的工控設(shè)備數(shù)量顯著增加。臺(tái)灣以委托加工型態(tài)為主體、以高新科技產(chǎn)業(yè)中的信息電子產(chǎn)業(yè)、制造業(yè)中的鋼鐵、石油和紡織業(yè)等為支柱的工業(yè)體系發(fā)展完善且依然在全國(guó)各地區(qū)中處于領(lǐng)先的位置。臺(tái)灣網(wǎng)絡(luò)通信產(chǎn)業(yè)鏈已成為臺(tái)灣主力產(chǎn)業(yè)之一，盡管5G技術(shù)與大陸有一定差距，但為全力發(fā)展5G加值應(yīng)用服務(wù)，中國(guó)臺(tái)灣政府借《產(chǎn)業(yè)創(chuàng)新條例》修法，提供投資抵減租稅優(yōu)惠，在高雄亞洲新灣區(qū)，打造臺(tái)灣最大的5G研發(fā)創(chuàng)新試驗(yàn)場(chǎng)域，建立完整產(chǎn)業(yè)生態(tài)系，并積極培育產(chǎn)業(yè)所需人才，從預(yù)算、法規(guī)、人才等全方位營(yíng)造好的5G創(chuàng)新運(yùn)用環(huán)境。這些措施可能導(dǎo)致暴露的工控設(shè)備數(shù)量不斷增多，安全風(fēng)險(xiǎn)也隨之增加。

圖 5-4 國(guó)內(nèi)各地區(qū)工控設(shè)備暴露數(shù)量（數(shù)據(jù)來源“諦聽”）

香港暴露設(shè)備數(shù)量排名第二。香港是一個(gè)主要以服務(wù)業(yè)為主的經(jīng)濟(jì)體，制造業(yè)向來不強(qiáng)，而且提出的“再工業(yè)化”或“工業(yè) 4.0”除了需要科技創(chuàng)新外，還需要先進(jìn)制造業(yè)來支撐?；浉郯拇鬄硡^(qū)協(xié)同發(fā)展是一個(gè)很好的機(jī)會(huì)，能夠?qū)⒐I(yè)互聯(lián)網(wǎng)的建設(shè)、發(fā)展和應(yīng)用加速推進(jìn)，香港抓住機(jī)會(huì)并大力推進(jìn)大灣區(qū)智慧城市建設(shè)，工控設(shè)備數(shù)量呈現(xiàn)穩(wěn)中有進(jìn)的態(tài)勢(shì)。
北京暴露設(shè)備數(shù)量位列第三，由于之前北京推行綠色發(fā)展，將工業(yè)產(chǎn)業(yè)大量轉(zhuǎn)移出去，使暴露的工控設(shè)備數(shù)量與其他地區(qū)相比顯得相對(duì)較少。但作為中國(guó)首都，北京近幾年加快新型基礎(chǔ)設(shè)施建設(shè)，加快 5G 網(wǎng)絡(luò)、數(shù)據(jù)中心等新基建進(jìn)度，大力發(fā)展工業(yè)互聯(lián)網(wǎng)，帶動(dòng)相關(guān)新興技術(shù)的快速發(fā)展，并計(jì)劃建設(shè)中關(guān)村工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)園，以此來主要發(fā)展智能制造、能源電力、航空航天、電子信息為主的四大重點(diǎn)行業(yè)。一定程度上推動(dòng)了工控設(shè)備數(shù)量的上漲，但整體排名并未發(fā)生變化。
東北地區(qū)暴露工控設(shè)備總量較多。東北地區(qū)（遼寧、吉林、黑龍江）是我國(guó)重要的老工業(yè)基地，工業(yè)基礎(chǔ)雄厚，工業(yè)體系完備。但是東北長(zhǎng)期積累的體制性、結(jié)構(gòu)性矛盾日益顯現(xiàn)，工業(yè)發(fā)展相對(duì)緩慢，人才不斷流失，經(jīng)濟(jì)位次也在后移，這已經(jīng)引起了國(guó)家和地區(qū)政府的高度重視，習(xí)近平總書記多次考察東北地區(qū)。東北地區(qū)通過國(guó)家政策的扶持，正在努力振興老工業(yè)基地，形成特色新興產(chǎn)業(yè)集群。2021年6月，《遼寧省工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展三年行動(dòng)計(jì)劃（2021—2023年）》出臺(tái)，明確了下一步遼寧工業(yè)互聯(lián)網(wǎng)建設(shè)的任務(wù)目標(biāo)。同年10月18日至19日，2021全球工業(yè)互聯(lián)網(wǎng)大會(huì)在沈陽舉辦，大會(huì)延續(xù)“賦能高質(zhì)量·打造新動(dòng)能”這一主題，總結(jié)發(fā)展成果、展望前景方向、促成項(xiàng)目落地。這些舉措將推動(dòng)?xùn)|北制造業(yè)的振興，加快工業(yè)轉(zhuǎn)型升級(jí)，促進(jìn)東北地區(qū)工業(yè)互聯(lián)網(wǎng)更快更好的發(fā)展，推進(jìn)東北地區(qū)經(jīng)濟(jì)結(jié)構(gòu)戰(zhàn)略性調(diào)整。
廣東省暴露工控設(shè)備數(shù)量為全國(guó)第六。廣東高度重視工業(yè)互聯(lián)網(wǎng)發(fā)展，據(jù)廣東省通信管理局?jǐn)?shù)據(jù)顯示，當(dāng)前廣東工業(yè)互聯(lián)網(wǎng)節(jié)點(diǎn)建設(shè)及應(yīng)用全國(guó)領(lǐng)先，5G基站、用戶規(guī)模和數(shù)字經(jīng)濟(jì)規(guī)模等均為全國(guó)第一。2021年7月，廣東省人民政府印發(fā)《廣東省制造業(yè)數(shù)字化轉(zhuǎn)型實(shí)施方案（2021—2025年）》，鼓勵(lì)龍頭企業(yè)牽頭建設(shè)工業(yè)互聯(lián)網(wǎng)平臺(tái)，開放先進(jìn)技術(shù)、應(yīng)用場(chǎng)景，將數(shù)字化轉(zhuǎn)型經(jīng)驗(yàn)轉(zhuǎn)化為標(biāo)準(zhǔn)化解決方案，并向行業(yè)企業(yè)輻射推廣。各項(xiàng)措施一經(jīng)實(shí)行，工控設(shè)備數(shù)量也會(huì)隨之增長(zhǎng)，這同樣也增加了暴露的風(fēng)險(xiǎn)。
長(zhǎng)三角地區(qū)暴露工控設(shè)備數(shù)量與以上各省份相比數(shù)量較少。但長(zhǎng)三角地區(qū)（江蘇、浙江、上海）是我國(guó)經(jīng)濟(jì)發(fā)展最活躍、開發(fā)程度最高、創(chuàng)新能力最強(qiáng)，是公認(rèn)的工業(yè)與信息化資源高密度聚集區(qū)，也是工業(yè)互聯(lián)網(wǎng)發(fā)展區(qū)和先行區(qū)的長(zhǎng)三角工業(yè)與信息化資源高密度聚集區(qū)。由此可見，長(zhǎng)三角地區(qū)的工控安全防范措施相對(duì)完善。按照國(guó)家總體部署要求，建設(shè)長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)一體化發(fā)展示范區(qū)，是協(xié)同落實(shí)長(zhǎng)三角一體化發(fā)展國(guó)家戰(zhàn)略和工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略的重要抓手，有利于長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)空間布局優(yōu)化、基礎(chǔ)設(shè)施和公共服務(wù)一體化發(fā)展；并且有利于增強(qiáng)長(zhǎng)三角區(qū)域制造業(yè)的創(chuàng)新力和競(jìng)爭(zhēng)力，助力區(qū)域經(jīng)濟(jì)高質(zhì)量發(fā)展。2021年3月，滬蘇浙皖四地通信管理局聯(lián)合發(fā)起成立“長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)一體化建設(shè)專班”，旨在合力推進(jìn)長(zhǎng)三角工業(yè)互聯(lián)網(wǎng)一體化建設(shè)。
5.3 國(guó)內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計(jì)情況

圖5-5 國(guó)內(nèi)工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）

“諦聽”團(tuán)隊(duì)統(tǒng)計(jì)了國(guó)內(nèi)暴露的各協(xié)議的總量，從圖5-5中可以看出Modbus協(xié)議在網(wǎng)絡(luò)中暴露的數(shù)量最多，且數(shù)量略高于排名第二位的UPnP。Modbus是一種串行通信協(xié)議，是Modicon公司（現(xiàn)在的施耐德電氣 Schneider Electric）于1979年為使用可編程邏輯控制器（PLC）通信而發(fā)表的。Modbus已經(jīng)成為工業(yè)領(lǐng)域通信協(xié)議的業(yè)界標(biāo)準(zhǔn)，用于PLC、DCS和智能儀表等工業(yè)設(shè)備，并且目前是國(guó)內(nèi)工業(yè)電子設(shè)備之間最常用的連接方式，該協(xié)議排在第一位在情理之中。
UPnP是由“通用即插即用論壇”推廣的一套網(wǎng)絡(luò)協(xié)議。該協(xié)議的目標(biāo)是使家庭網(wǎng)絡(luò)和公司網(wǎng)絡(luò)中的各種設(shè)備能夠相互無縫連接，并簡(jiǎn)化相關(guān)網(wǎng)絡(luò)的實(shí)現(xiàn)。UPnP通過定義和發(fā)布基于開放、因特網(wǎng)通訊網(wǎng)協(xié)議標(biāo)準(zhǔn)的UPnP設(shè)備控制協(xié)議來實(shí)現(xiàn)這一目標(biāo)。由于UPnP技術(shù)的簡(jiǎn)單性和堅(jiān)持開放標(biāo)準(zhǔn)，UPnP技術(shù)已經(jīng)得到了眾多設(shè)備廠商的采納，目前排在第二位。
EtherNet/IP是指以太網(wǎng)工業(yè)協(xié)議。它定義了一個(gè)開放的工業(yè)標(biāo)準(zhǔn)，將傳統(tǒng)的以太網(wǎng)與工業(yè)協(xié)議相結(jié)合。該標(biāo)準(zhǔn)是由國(guó)際控制網(wǎng)絡(luò)(ControlNet International)和開放設(shè)備網(wǎng)絡(luò)供應(yīng)商協(xié)會(huì) (ODVA)在工業(yè)以太網(wǎng)協(xié)會(huì) (Industrial Ethernet Association)的協(xié)助下聯(lián)合開發(fā)的。EtherNet/IP基于TCP/IP系列協(xié)議。所有標(biāo)準(zhǔn)的以太網(wǎng)通信模塊，如PC接口卡、電纜、連接器、集線器和開關(guān)都能與EtherNet/IP一起使用。
Siemens S7即西門子S7協(xié)議，西門子設(shè)備使用多種不同現(xiàn)場(chǎng)總線協(xié)議，其中S7以太網(wǎng)通信協(xié)議，主要用于將PLC連接到PC站(PG/PC-PLC 通信)，它是一個(gè)基于TCP/IP的應(yīng)用層協(xié)議。
DNP3(Distributed Network Protocol 3，分布式網(wǎng)絡(luò)協(xié)議3)是一種應(yīng)用于自動(dòng)化組件之間的通訊協(xié)議，常見于電力、水處理等行業(yè)。SCADA可以使用DNP協(xié)議與主站、RTU、及IED進(jìn)行通訊。該協(xié)議標(biāo)準(zhǔn)由IEEE提出，主要為了解決SCADA行業(yè)中，協(xié)議混雜、沒有公認(rèn)標(biāo)準(zhǔn)的問題。它適用于要求高度安全、中等速率和中等吞吐量的數(shù)據(jù)通信領(lǐng)域。DNP3協(xié)議以IEC870-5標(biāo)準(zhǔn)為基礎(chǔ)，該協(xié)議非常靈活，滿足目前和未來發(fā)展的要求。
6.工控蜜罐數(shù)據(jù)相關(guān)分析
工業(yè)互聯(lián)網(wǎng)大潮席卷全球，工業(yè)控制領(lǐng)域在迎來發(fā)展新機(jī)遇的同時(shí)，也面臨著新的網(wǎng)絡(luò)安全問題。蜜罐技術(shù)有助于增強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)工控蜜罐技術(shù)展開了研究。經(jīng)過多年努力，“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)研發(fā)出了可以模擬多種工控協(xié)議和工控設(shè)備并且全面捕獲攻擊者流量的“諦聽”工控蜜罐。目前，“諦聽”蜜罐支持10個(gè)協(xié)議，且已經(jīng)部署在多個(gè)國(guó)家和地區(qū)。“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)還改進(jìn)了基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法（以下簡(jiǎn)稱“識(shí)別方法”），可更高效地識(shí)別各類針對(duì)工控網(wǎng)絡(luò)的攻擊流量，有利于根據(jù)不同類型的攻擊流量制定出更加有效的工控系統(tǒng)防御措施。
6.1 工控蜜罐全球捕獲流量概況
“諦聽”工控蜜罐可支持Modbus、ATGs Devices、OMRON FINS等10種協(xié)議，目前已經(jīng)部署在了中國(guó)華北地區(qū)、中國(guó)華南地區(qū)、東歐地區(qū)、東南亞地區(qū)、美國(guó)東北部等國(guó)內(nèi)外多個(gè)地區(qū)。截止到2021年12月31日，“諦聽”蜜罐收集到大量攻擊數(shù)據(jù)。圖6-1、6-2和6-3中展示了經(jīng)過統(tǒng)計(jì)和分析后的數(shù)據(jù)。下面將對(duì)各個(gè)圖表進(jìn)行簡(jiǎn)要解釋說明。

圖6-1 蜜罐各協(xié)議攻擊量（數(shù)據(jù)來源“諦聽”）

圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看到，Modbus協(xié)議下蜜罐所受攻擊量位居第一，仍然保持大幅度的領(lǐng)先，表明Modbus協(xié)議依然是被最多關(guān)注的。與2020年相比，ATGs Devices協(xié)議保持第二，DNP3協(xié)議所占百分比從第五躍居至第三，而Siemens S7協(xié)議則由第四降到了第八位，去年新增的IEC104協(xié)議則上升了兩位。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展，攻擊者的攻擊方向也在不斷調(diào)整和變化。前六種協(xié)議所受的攻擊量加起來約占總攻擊量的85.18%，這表明這些協(xié)議比較受攻擊者的關(guān)注，因此工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求情況，加強(qiáng)這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護(hù)。
“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)收集到的攻擊數(shù)據(jù)的IP來源進(jìn)行分析，得到了來自不同國(guó)家和地區(qū)攻擊源的數(shù)量統(tǒng)計(jì)，圖6-2僅展示攻擊量最多的10個(gè)國(guó)家。從圖中可以看到，美國(guó)的攻擊量遙遙領(lǐng)先，甚至超過了其他9個(gè)國(guó)家攻擊量的總和，這一定程度上證明攻擊者對(duì)于本國(guó)的工控設(shè)備更為關(guān)注。排在第二和第三的國(guó)家是英國(guó)和塞舌爾，其中部分來自荷蘭的部分攻擊量被劃分到了塞舌爾，這是因?yàn)檫@些攻擊IP所屬機(jī)構(gòu)是在塞舌爾注冊(cè)的，所以選擇其注冊(cè)地作為地理位置。俄羅斯和日本作為中國(guó)的鄰國(guó)排在第四位和第五位相差不多。

圖6-2其他各國(guó)對(duì)蜜罐的攻擊量TOP10（數(shù)據(jù)來源“諦聽”）

對(duì)中國(guó)國(guó)內(nèi)攻擊源的IP地址進(jìn)行相關(guān)分析，列出了IP攻擊量的省份排名，如圖6-3所示，這里僅展示前十名?？梢钥吹?，來自中國(guó)華北地區(qū)的IP攻擊量較多，這可能是因?yàn)橐陨系貐^(qū)的工控網(wǎng)絡(luò)安全支撐機(jī)構(gòu)比較多，北京作為中國(guó)首都，體現(xiàn)出了其網(wǎng)絡(luò)安全支撐工作的充分，此外，一些制造業(yè)較為發(fā)達(dá)的地區(qū)，對(duì)于工控安全問題也較為關(guān)注。

圖6-3中國(guó)國(guó)內(nèi)各省份攻擊量（top10）（數(shù)據(jù)來源“諦聽”）

2021年，“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)已部署的蜜罐進(jìn)行了調(diào)整，并對(duì)協(xié)議的范圍進(jìn)行了拓展，未來將涉獵到物聯(lián)網(wǎng)協(xié)議下的蜜罐，相關(guān)的研究將會(huì)持續(xù)推進(jìn)。


6.2 工控系統(tǒng)攻擊流量分析
“諦聽”團(tuán)隊(duì)首先對(duì)來自不同地區(qū)的蜜罐捕獲的攻擊流量數(shù)據(jù)進(jìn)行初步分析，然后使用識(shí)別方法對(duì)Modbus、Ethernet/IP協(xié)議進(jìn)行了攻擊流量檢測(cè)，可以識(shí)別多種公開的掃描工具。針對(duì)Modbus協(xié)議的掃描工具包括：MRCT、Modbus-Fuzzer、NMAP(Modbus-Discover)、NMAP(Modicon-Info)、Plcscan、Scadascan-master、Modscan。針對(duì)Ethernet/IP協(xié)議的可識(shí)別的掃描工具包括：enip-enumerate、Pycomm-Enip、ruby-enip、ScapyForEthernetIp。此外，上述方法還發(fā)現(xiàn)了未公開的新型掃描工具。
“諦聽”團(tuán)隊(duì)選取了Modbus、Ethernet/IP兩個(gè)應(yīng)用范圍較廣的協(xié)議進(jìn)行攻擊流量檢測(cè)，并從每個(gè)協(xié)議在不同地區(qū)部署的蜜罐中選擇最具代表性的兩個(gè)地區(qū)進(jìn)行攻擊流量數(shù)據(jù)統(tǒng)計(jì)。
針對(duì)Modbus協(xié)議，我們選擇了中國(guó)華東地區(qū)和美國(guó)東海岸地區(qū)部署的蜜罐，統(tǒng)計(jì)結(jié)果如表6-1、6-2所示。

表6-1 中國(guó)華東地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）


表6-2 美國(guó)東海岸地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）

由表6-1、6-2可知，在攻擊總量來源方面，美國(guó)在兩個(gè)地區(qū)均位列第一，其中美國(guó)在中國(guó)華東地區(qū)的攻擊總量顯著高于其他國(guó)家。同去年對(duì)比可以發(fā)現(xiàn)，美國(guó)在中國(guó)華東地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量呈現(xiàn)上升態(tài)勢(shì)。在攻擊IP數(shù)量方面，美國(guó)仍在兩個(gè)地區(qū)中均排名第一，并且從表6-2可以看出，美國(guó)在美國(guó)東海岸地區(qū)的攻擊IP數(shù)量遠(yuǎn)超出其他國(guó)家，是排名第二的荷蘭的10.6倍。在平均IP攻擊數(shù)方面，中國(guó)華東地區(qū)的第一名是羅馬尼亞，美國(guó)東海岸地區(qū)的第一名是荷蘭。
針對(duì)Ethernet/IP協(xié)議，我們選擇的是中國(guó)華南地區(qū)和美國(guó)西海岸地區(qū)部署的蜜罐，統(tǒng)計(jì)結(jié)果如表6-3、6-4所示。

表6-3 中國(guó)華南地區(qū)Ethernet/IP協(xié)議蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）


表6-4 美國(guó)西海岸地區(qū)Ethernet/IP協(xié)議蜜罐捕獲攻擊總量來源TOP3（數(shù)據(jù)來源“諦聽”）

由表6-3、6-4可知，美國(guó)在兩個(gè)地區(qū)中的攻擊總量來源和攻擊IP數(shù)量均位列第一。其中在中國(guó)華南地區(qū)，來自美國(guó)的攻擊總量數(shù)大致為排名第二的德國(guó)的4.79倍。
在Modbus協(xié)議蜜罐和Ethernet/IP協(xié)議蜜罐總計(jì)捕獲的攻擊方來源數(shù)據(jù)中，我們不難發(fā)現(xiàn)，Ethernet/IP協(xié)議蜜罐受攻擊的總次數(shù)遠(yuǎn)小于Modbus協(xié)議蜜罐，可能是因?yàn)楫?dāng)前Modbus協(xié)議應(yīng)用更廣泛，開源工具較多，技術(shù)門檻較低，易于部署和維護(hù)，因此針對(duì)Modbus協(xié)議的攻擊更多。此外，在確定攻擊源的情況下，排名前三的國(guó)家的攻擊方來源數(shù)占總數(shù)的近90%，可能有以下三個(gè)原因：一是可能由于這些國(guó)家的公司提供的云服務(wù)器被租賃用于長(zhǎng)期掃描，二是可能由于這些國(guó)家的安全行業(yè)相關(guān)人員及研究者較多，三是可能由于這些國(guó)家存在大量惡意攻擊者。


6.3 工控系統(tǒng)掃描工具識(shí)別
“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)提出一種基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法，針對(duì)Modbus、Ethernet/IP協(xié)議蜜罐捕獲的流量數(shù)據(jù)進(jìn)行了掃描工具識(shí)別^[24]。圖7-4和圖7-5分別顯示了對(duì)Modbus和Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量的掃描工具分類檢測(cè)結(jié)果（Top10）。其中的“E”表示Ethernet/IP協(xié)議，其中的“M”表示Modbus協(xié)議，由于國(guó)內(nèi)和國(guó)外的蜜罐程序不同，“E”和“E’”同一編號(hào)表示不同的工具，“M”和“M’”同一編號(hào)表示不同的工具，環(huán)形圖中各部分為不同的流量模式。

圖6-4 Ethernet/IP協(xié)議掃描工具占比圖TOP10（數(shù)據(jù)來源“諦聽”）

Modbus協(xié)議蜜罐部署地區(qū)為中國(guó)華東地區(qū)和美國(guó)東海岸，二者均為工業(yè)發(fā)達(dá)地區(qū)，蜜罐部署在該地區(qū)便于偽裝隱藏，且易于收集更多的攻擊信息。Ethernet/IP協(xié)議蜜罐部署地區(qū)為中國(guó)華南地區(qū)和美國(guó)西海岸，其中中國(guó)華南地區(qū)是改革開放前沿，經(jīng)濟(jì)發(fā)達(dá)。美國(guó)西海岸集中了大量高科技企業(yè)，科技發(fā)達(dá)。蜜罐部署在經(jīng)濟(jì)科技發(fā)達(dá)地區(qū)，其網(wǎng)絡(luò)活動(dòng)相對(duì)頻繁，便于收集攻擊信息。由圖6-4可知，中國(guó)華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量中主要來自于流量模式為E-100(29%)、E-51(28%)、E-62(9%)的掃描工具。美國(guó)西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量中主要來自于流量模式為E'-55(25%)、E'-67(13%)、E'-58(13%)、E'-57(13%)的掃描工具?？梢娨陨狭髁磕Ｊ降膾呙韫ぞ呤菍?duì)Ethernet/IP協(xié)議掃描的主力工具。

由圖6-5可知，中國(guó)華東地區(qū)的Modbus協(xié)議蜜罐捕獲的攻擊流量主要來自于流量模式為M-53(43%)、M-51(30%)、M-55(7%)、M-84(5%)、M-56(4%)、M-58(3%)的掃描工具。美國(guó)東海岸Modbus協(xié)議蜜罐捕獲的攻擊流量主要來自于流量模式M'-52(47%)、M'-51(33%)的掃描工具?？梢娨陨狭髁磕Ｊ降膾呙韫ぞ呤菍?duì)Modbus協(xié)議進(jìn)行掃描的主要工具。本團(tuán)隊(duì)對(duì)Ethernet/IP和Modbus的ICS網(wǎng)絡(luò)流量進(jìn)行了解析、建模、評(píng)估，但其中還存在部分未知的流量模式，針對(duì)未知的流量模式還需進(jìn)一步的研究，以便提供有效的ICS流量檢測(cè)與攻擊預(yù)警，評(píng)估其潛在的攻擊意圖，制定針對(duì)性的防御措施。

圖6-5 Modbus協(xié)議掃描工具占比圖TOP10（數(shù)據(jù)來源“諦聽”）

6.4 工控蜜罐與威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析
近年來，工控攻擊行為頻發(fā)，攻擊者利用不同類型的攻擊方式竊取信息、損壞系統(tǒng)或勒索錢財(cái)。隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步，目前的工控攻擊行為具有更長(zhǎng)的攻擊周期、更緩慢但持續(xù)的攻擊頻率以及更難以追蹤的特性。威脅情報(bào)（TI）在預(yù)防和監(jiān)控工控攻擊方面起著至關(guān)重要的作用，通過與蜜罐數(shù)據(jù)的關(guān)聯(lián)分析更加充分說明了這一點(diǎn)。
由“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)開發(fā)的威脅情報(bào)搜索引擎（https://www.TItecting.com）是基于“諦聽”威脅情報(bào)中心而研發(fā)的應(yīng)用服務(wù)。威脅情報(bào)中心存有海量威脅情報(bào)數(shù)據(jù)，提供全面準(zhǔn)確、內(nèi)容詳細(xì)的相關(guān)決策支持信息，為行業(yè)系統(tǒng)安全提供保障。面對(duì)復(fù)雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報(bào)搜索引擎刻不容緩，旨在為工業(yè)、企業(yè)、組織以及個(gè)人提供更加全面的情報(bào)信息，打造以威脅情報(bào)平臺(tái)為基石的網(wǎng)絡(luò)安全空間。
2021年“諦聽”蜜罐和威脅情報(bào)中心均采集到大量新數(shù)據(jù)，為探尋數(shù)據(jù)間潛在的相關(guān)性，“諦聽”團(tuán)隊(duì)計(jì)算威脅情報(bào)數(shù)據(jù)和蜜罐數(shù)據(jù)的重疊部分，并根據(jù)攻擊類型的不同將數(shù)據(jù)分為5類。其中包括命令執(zhí)行與控制攻擊（command execution and control attacks）、代理IP（proxy）、垃圾郵件（spamming）、洋蔥路由（tor）和惡意IP（reputation）。每種類型數(shù)據(jù)與蜜罐數(shù)據(jù)重疊部分在二者中的占比如圖6-6，本團(tuán)隊(duì)對(duì)該圖的分析如下。

圖6-6 威脅情報(bào)與蜜罐數(shù)據(jù)關(guān)聯(lián)占比（數(shù)據(jù)來源“諦聽”）

圖6-6中威脅情報(bào)數(shù)據(jù)來源于“諦聽”威脅情報(bào)中心，該系統(tǒng)所記錄的數(shù)據(jù)為安全網(wǎng)站或安全數(shù)據(jù)庫中的情報(bào)數(shù)據(jù)，本團(tuán)隊(duì)根據(jù)情報(bào)數(shù)據(jù)攻擊類型不同分別記錄在不同的數(shù)據(jù)表中。而直接在部署在國(guó)內(nèi)外網(wǎng)絡(luò)節(jié)點(diǎn)上的工控蜜罐通過模擬暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備，開放設(shè)備對(duì)應(yīng)工業(yè)網(wǎng)絡(luò)協(xié)議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時(shí)，記錄經(jīng)此節(jié)點(diǎn)的網(wǎng)絡(luò)流量，以保證攻擊信息的真實(shí)性與可用性。因此，圖中威脅情報(bào)數(shù)據(jù)與工控蜜罐數(shù)據(jù)有重疊的部分表示情報(bào)中心收集到的IP地址確實(shí)發(fā)生了工控攻擊，這可以讓系統(tǒng)更有針對(duì)性的對(duì)攻擊進(jìn)行防御。下面對(duì)具體的數(shù)據(jù)進(jìn)行分析。
首先，攻擊類型為“惡意IP”（在本次分析中，“惡意IP”特指長(zhǎng)期進(jìn)行惡意攻擊的IP地址）的攻擊的蜜罐數(shù)量占比最高。例如圖6-6中，“惡意IP”占到了蜜罐攻擊的6.164‰（經(jīng)過ln函數(shù)計(jì)算后），這代表在威脅情報(bào)中出現(xiàn)的IP在蜜罐攻擊中“惡意IP”出現(xiàn)的概率。這與我們團(tuán)隊(duì)進(jìn)行數(shù)據(jù)處理前最初的設(shè)想一致，網(wǎng)絡(luò)上的大量攻擊行為都是由“惡意IP”發(fā)出的。因此，在工控系統(tǒng)中，對(duì)“惡意IP”的重視程度還應(yīng)進(jìn)一步加深。
其次，通過“洋蔥路由”進(jìn)行攻擊的情報(bào)數(shù)量排名第二。而在“洋蔥路由”中，消息被一層層加密包成像洋蔥一樣的數(shù)據(jù)包，使得用戶通過該工具訪問暗網(wǎng)時(shí)，其身份、地址、IP地址都被隱藏，因此“洋蔥路由”便成為開啟暗網(wǎng)大門的鑰匙?；诖?，本團(tuán)隊(duì)認(rèn)為，攻擊者可能會(huì)通過“洋蔥路由”進(jìn)行惡意攻擊，或利用相關(guān)資源進(jìn)行不法行為。
最后，通過“代理IP”攻擊、命令執(zhí)行與控制攻擊以及垃圾郵件攻擊的占比相差不大，可以看出，以上三種攻擊類型在網(wǎng)絡(luò)中普遍存在。本團(tuán)隊(duì)猜想，攻擊者可能會(huì)按照自己的擅長(zhǎng)方式或者攻擊習(xí)慣進(jìn)行攻擊。工控系統(tǒng)的工作人員不能對(duì)這三種攻擊方式掉以輕心。待數(shù)據(jù)更加充實(shí)后，后續(xù)團(tuán)隊(duì)將對(duì)相關(guān)內(nèi)容進(jìn)行進(jìn)一步分析。
6.5 Honeyeye工控網(wǎng)絡(luò)探針
隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)探針技術(shù)也在關(guān)乎國(guó)家命脈的通信、金融、交通、能源等重點(diǎn)基礎(chǔ)行業(yè)中有著廣泛的應(yīng)用。網(wǎng)絡(luò)探針是一個(gè)用于捕獲、分析網(wǎng)絡(luò)數(shù)據(jù)包的組件，通過監(jiān)控?cái)?shù)據(jù)流量及網(wǎng)絡(luò)行為，為入侵檢測(cè)系統(tǒng)IDS、安全態(tài)勢(shì)感知等防御系統(tǒng)提供數(shù)據(jù)支撐，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊防御以及網(wǎng)絡(luò)信息安全保障等工作，從而確保網(wǎng)絡(luò)信息產(chǎn)業(yè)的安全可控。
由“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)研發(fā)的Honeyeye工控網(wǎng)絡(luò)探針主要由終端硬件和功能軟件組成，功能軟件主要包括日志采集模塊、流量篩選模塊、網(wǎng)絡(luò)協(xié)議深度分析及解析模塊、流量可視化分析及展示模塊、管理配置模塊等。通過各個(gè)功能模塊的綜合處理分析，可以實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、分析和處理。

圖6-7 不同流量上Honeyeye和Wireshark解析時(shí)間對(duì)比（數(shù)據(jù)來源“諦聽”）

“諦聽”工控網(wǎng)絡(luò)探針支持對(duì)30余種工控協(xié)議的解析，從圖6-7可以看出，相較與主流的網(wǎng)絡(luò)流量解析工具Wireshark，本團(tuán)隊(duì)所研發(fā)的探針Honeyeye解析速度更快，并且可將解析結(jié)果以Json格式傳輸?shù)竭h(yuǎn)端服務(wù)器，為下一步分析提供支撐。此外，可視化分析模塊為用戶監(jiān)控網(wǎng)絡(luò)環(huán)境、發(fā)現(xiàn)網(wǎng)絡(luò)異常、定位故障節(jié)點(diǎn)等提供了便利。

7.工業(yè)互聯(lián)網(wǎng)安全技術(shù)展望/趨勢(shì)
7.1 目前技術(shù)
隨著近年來技術(shù)的發(fā)展，工業(yè)互聯(lián)網(wǎng)的應(yīng)用越來越廣泛。工業(yè)互聯(lián)網(wǎng)是十分重要的，其關(guān)系到國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，關(guān)系著國(guó)計(jì)民生。工業(yè)互聯(lián)網(wǎng)的連接也就意味著網(wǎng)絡(luò)安全與工業(yè)安全風(fēng)險(xiǎn)交織，如果不能很好地應(yīng)對(duì)風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就會(huì)危及工業(yè)領(lǐng)域，造成經(jīng)濟(jì)損失，甚至?xí)绊憞?guó)家總體安全。
為了有效應(yīng)對(duì)風(fēng)險(xiǎn)，需要不斷提升安全技術(shù)加強(qiáng)防御能力。根據(jù)要防護(hù)的工業(yè)互聯(lián)網(wǎng)對(duì)象不同，如設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等，應(yīng)采取相應(yīng)的技術(shù)措施。由此可以將目前的工業(yè)互聯(lián)網(wǎng)安全技術(shù)大體分為安全防護(hù)技術(shù)、安全評(píng)測(cè)技術(shù)、安全監(jiān)測(cè)技術(shù)這三種^[25]。
首先，工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)是對(duì)工業(yè)互聯(lián)網(wǎng)各層級(jí)部署邊界控制、身份鑒別與訪問控制等的技術(shù)措施，是工業(yè)互聯(lián)網(wǎng)安全技術(shù)的核心。此前，在安全防護(hù)理念上，主要是以被動(dòng)防御為主，近年來，主動(dòng)防御的理念逐漸成為主流。與防火墻、防毒墻、傳統(tǒng)入侵檢測(cè)技術(shù)等被動(dòng)防御技術(shù)相比，主動(dòng)防御技術(shù)在目前應(yīng)用更為廣泛，其能夠在入侵行為對(duì)信息系統(tǒng)發(fā)生影響之前，及時(shí)精準(zhǔn)預(yù)警，實(shí)時(shí)構(gòu)建彈性防御體系，避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險(xiǎn)。主動(dòng)防御技術(shù)主要有數(shù)據(jù)加密、訪問控制、蜜罐技術(shù)、新型入侵檢測(cè)技術(shù)等。在工業(yè)互聯(lián)網(wǎng)中，也可采取以白名單技術(shù)為主、黑名單技術(shù)為輔的安全防護(hù)機(jī)制，這樣就能提高對(duì)風(fēng)險(xiǎn)防護(hù)的效率。

圖7-1 工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)發(fā)展趨勢(shì)

工業(yè)互聯(lián)網(wǎng)安全評(píng)測(cè)技術(shù)是采取技術(shù)手段對(duì)工業(yè)互聯(lián)網(wǎng)各層級(jí)的安全防護(hù)對(duì)象進(jìn)行測(cè)試和評(píng)價(jià)，了解其安全狀態(tài)，從而增強(qiáng)防護(hù)能力，主要包括漏洞掃描、漏洞挖掘、滲透測(cè)試等技術(shù)。在工業(yè)互聯(lián)網(wǎng)中，需采用IT和OT融合環(huán)境下的漏洞挖掘思維，運(yùn)用多種深度融合的漏洞挖掘技術(shù)。而滲透測(cè)試技術(shù)也需要根據(jù)安全防護(hù)需求及工業(yè)互聯(lián)網(wǎng)安全防護(hù)對(duì)象的特點(diǎn)，通過模擬來自網(wǎng)絡(luò)外部的惡意攻擊者常用的攻擊手段和方法，檢測(cè)并評(píng)估工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)安全性。
工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)技術(shù)就是通過技術(shù)手段實(shí)現(xiàn)對(duì)各層級(jí)的安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置，主要包括安全監(jiān)測(cè)審計(jì)、安全態(tài)勢(shì)感知等關(guān)鍵技術(shù)。當(dāng)前主要使用的態(tài)勢(shì)感知技術(shù)在網(wǎng)絡(luò)空間搜索引擎的基礎(chǔ)上，添加工業(yè)控制系統(tǒng)及設(shè)備的資產(chǎn)特征，利用軟件代碼的形式模擬常見的工業(yè)控制系統(tǒng)服務(wù)或工控專用協(xié)議（如Modbus、S7、FINS等），對(duì)網(wǎng)絡(luò)層和應(yīng)用層的協(xié)議（如工控專用協(xié)議、通用協(xié)議等）進(jìn)行解析與還原工作，完成工控設(shè)備資產(chǎn)檢測(cè)、工控漏洞及安全事件識(shí)別等安全監(jiān)測(cè)工作，從而實(shí)現(xiàn)對(duì)設(shè)備的安全防護(hù)。與之前相比，當(dāng)前的安全監(jiān)測(cè)技術(shù)在向更為智能的方向發(fā)展。隨著近些年大數(shù)據(jù)分析等新興技術(shù)的發(fā)展，安全技術(shù)與之融合不斷加深，極大地促進(jìn)了安全監(jiān)測(cè)技術(shù)的發(fā)展，提高了效率，其中威脅情報(bào)共享等就是主要應(yīng)用技術(shù)，它能夠從已知威脅推演未知威脅，實(shí)現(xiàn)對(duì)安全威脅事件的預(yù)測(cè)和判斷。

圖7-2 工業(yè)互聯(lián)網(wǎng)架構(gòu)圖

由圖2，根據(jù)工業(yè)互聯(lián)網(wǎng)各層要防護(hù)的對(duì)象，采取上述對(duì)應(yīng)的防護(hù)技術(shù)、評(píng)測(cè)技術(shù)和監(jiān)測(cè)技術(shù)。在實(shí)際應(yīng)用中，安全評(píng)測(cè)技術(shù)可以周期性進(jìn)行，對(duì)工業(yè)互聯(lián)網(wǎng)安全防護(hù)對(duì)象及時(shí)評(píng)估其安全性，有利于及時(shí)制定防御策略。當(dāng)有攻擊者入侵時(shí)，采用安全防護(hù)技術(shù)對(duì)其攻擊行為進(jìn)行防御，并可采用動(dòng)態(tài)防御的措施加強(qiáng)防御能力，即結(jié)合被動(dòng)防御技術(shù)和主動(dòng)防御技術(shù)，更加靈活地應(yīng)對(duì)攻擊。同時(shí)，及時(shí)記錄攻擊者的數(shù)據(jù)信息，動(dòng)態(tài)調(diào)整黑名單和白名單，提高防御效率，再結(jié)合安全監(jiān)測(cè)技術(shù)，加強(qiáng)對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力。
7.2 5G+工業(yè)互聯(lián)網(wǎng)
5G技術(shù)的發(fā)展已經(jīng)成為當(dāng)下信息通信的一個(gè)重要方向，工業(yè)互聯(lián)網(wǎng)為新一代工業(yè)革命提供了技術(shù)支撐，利用5G技術(shù)構(gòu)建與工業(yè)經(jīng)濟(jì)深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，以人、機(jī)、物全面互聯(lián)為支點(diǎn),構(gòu)建起全要素,全產(chǎn)業(yè)鏈,全價(jià)值鏈,全面連接的新型工業(yè)生產(chǎn)制造和服務(wù)體系^[26]。
5G技術(shù)具有高速度、低功率、低延遲的特點(diǎn)，這些特點(diǎn)十分貼切工業(yè)網(wǎng)絡(luò)，能夠在工業(yè)網(wǎng)絡(luò)的建設(shè)中起到重要的作用，對(duì)于工業(yè)數(shù)據(jù)的采集效率方面也會(huì)有很大的提升，在工業(yè)大數(shù)據(jù)的應(yīng)用中也更加具有優(yōu)勢(shì)。同時(shí)，國(guó)家積極鼓勵(lì)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型,未來5G和工業(yè)互聯(lián)網(wǎng)將實(shí)現(xiàn)范圍更廣、程度更深、水平更高的融合發(fā)展。“5G與工業(yè)互聯(lián)網(wǎng)的融合將加速數(shù)字中國(guó)、智慧社會(huì)建設(shè)，加速中國(guó)新型工業(yè)化進(jìn)程，為中國(guó)經(jīng)濟(jì)發(fā)展注入新動(dòng)能，為疫情陰霾籠罩下的世界經(jīng)濟(jì)創(chuàng)造新的發(fā)展機(jī)遇”，習(xí)近平總書記在2020中國(guó)5G+工業(yè)互聯(lián)網(wǎng)大會(huì)致賀信，體現(xiàn)了黨中央對(duì)5G+工業(yè)互聯(lián)網(wǎng)發(fā)展的重視，為5G技術(shù)的推動(dòng)提供了有力的支持。
當(dāng)前5G+工業(yè)互聯(lián)網(wǎng)逐步擺脫單點(diǎn)局部的特色業(yè)務(wù)，轉(zhuǎn)變?yōu)榧苫?、系統(tǒng)化應(yīng)用^[27]，不過由于是起步階段，所以也面臨著諸多挑戰(zhàn)，但相信通過不斷的發(fā)展與完善，制定相應(yīng)的規(guī)范標(biāo)準(zhǔn)，必然可以發(fā)揮5G優(yōu)勢(shì)，真正為工業(yè)企業(yè)服務(wù)，促進(jìn)中國(guó)制造業(yè)的轉(zhuǎn)型升級(jí)。
7.3人工智能+工業(yè)互聯(lián)網(wǎng)
伴隨著工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展，工業(yè)數(shù)據(jù)也呈現(xiàn)出海量增長(zhǎng)態(tài)勢(shì)，生產(chǎn)過程逐步數(shù)字化，以數(shù)據(jù)為載體實(shí)現(xiàn)工業(yè)生產(chǎn)環(huán)節(jié)的可視、可查、可糾，并因深度學(xué)習(xí)在內(nèi)的多種人工智能技術(shù)的再發(fā)展，解決了以往傳統(tǒng)的統(tǒng)計(jì)方法難以對(duì)工業(yè)數(shù)據(jù)分析挖掘的困境，成為工業(yè)軟件、工業(yè)模式、工業(yè)互聯(lián)網(wǎng)平臺(tái)解決各企業(yè)診斷、預(yù)測(cè)與優(yōu)化問題的有效工具。人工智能通過賦能產(chǎn)業(yè)互聯(lián)網(wǎng)，融合各項(xiàng)業(yè)務(wù)，加快了全產(chǎn)業(yè)價(jià)值鏈環(huán)節(jié)的智能化改造，推動(dòng)了制造行業(yè)高質(zhì)量發(fā)展。
人工智能與工業(yè)互聯(lián)網(wǎng)平臺(tái)融合應(yīng)用場(chǎng)景體現(xiàn)在以下維度^[28]：

圖7-3 人工智能與工業(yè)互聯(lián)網(wǎng)平臺(tái)融合應(yīng)用場(chǎng)景

設(shè)備層：機(jī)器智能構(gòu)建新型人機(jī)關(guān)系。工業(yè)互聯(lián)網(wǎng)平臺(tái)在企業(yè)生產(chǎn)中應(yīng)用廣泛，人工智能技術(shù)以工業(yè)互聯(lián)網(wǎng)平臺(tái)為依托，在整個(gè)生產(chǎn)研發(fā)過程中逐步建立人機(jī)協(xié)同的新型人-機(jī)-物關(guān)系。一是設(shè)備運(yùn)行智能化，如自動(dòng)物品分揀、設(shè)備自主啟動(dòng)運(yùn)行等。廠內(nèi)設(shè)備通過搭載封裝了人工智能算法的控制終端，實(shí)現(xiàn)對(duì)復(fù)雜工況的自適應(yīng)，如物流運(yùn)輸自動(dòng)規(guī)路徑，機(jī)械臂高精度物品檢測(cè)等。二是人機(jī)交互智能化。當(dāng)前工控設(shè)備人機(jī)交互方面的功能并不被重視，學(xué)習(xí)成本高，用戶不友好是一大問題。通過使用語音識(shí)別、動(dòng)作識(shí)別等新興人機(jī)交互技術(shù)，可以大幅度優(yōu)化人機(jī)交互模式，降低設(shè)備的使用難度與操作復(fù)雜度，最終提高生產(chǎn)效率。三是生產(chǎn)運(yùn)作智能化，比如協(xié)作機(jī)器人、仿生工位等。人機(jī)合作場(chǎng)景將會(huì)被人工智能算法學(xué)習(xí)，持續(xù)性的調(diào)整參數(shù)，優(yōu)化執(zhí)行邏輯，為操作員提供最便捷的生產(chǎn)環(huán)境。
邊緣層：邊緣智能提升邊緣側(cè)實(shí)時(shí)分析處理能力。邊緣計(jì)算與人工智能的結(jié)合可以充分發(fā)揮本地設(shè)備的性能，極大地降低網(wǎng)絡(luò)通信負(fù)載，增強(qiáng)邊緣設(shè)備傳遞信息的質(zhì)量。同時(shí)可以分擔(dān)中央服務(wù)器的處理任務(wù)，提高運(yùn)行效率降低能耗。一是智能傳感器網(wǎng)絡(luò)。傳感器網(wǎng)絡(luò)在環(huán)境監(jiān)測(cè)、工業(yè)生產(chǎn)、軍事等方面大規(guī)模應(yīng)用。更加智能的調(diào)度算法可以節(jié)省傳感器終端的功耗負(fù)載，提高傳感器在一些特殊應(yīng)用領(lǐng)域的續(xù)航時(shí)間，同時(shí)強(qiáng)化應(yīng)對(duì)復(fù)雜通信狀況的處理能力。二是噪聲數(shù)據(jù)處理。機(jī)器學(xué)習(xí)算法的引入使得傳感器獲得了在本地進(jìn)行較高層次噪聲處理的能力，可以提高系統(tǒng)檢測(cè)精度，降低中央處理器的任務(wù)負(fù)載。
平臺(tái)層：大數(shù)據(jù)分析構(gòu)建“數(shù)據(jù)+認(rèn)知”算法庫。工業(yè)互聯(lián)網(wǎng)平臺(tái)的發(fā)展，使得工業(yè)過程產(chǎn)生的海量數(shù)據(jù)更容易被獲取和分析，最終打造一個(gè)從數(shù)據(jù)獲取到存儲(chǔ)、傳輸、共享、分析到最終構(gòu)建完備生產(chǎn)模型的整體數(shù)據(jù)服務(wù)鏈。利用大數(shù)據(jù)分析技術(shù)，從生產(chǎn)數(shù)據(jù)中提煉有用的生產(chǎn)信息，同時(shí)結(jié)合數(shù)據(jù)科學(xué)和認(rèn)知科學(xué)的兩類工業(yè)知識(shí)對(duì)生產(chǎn)過程進(jìn)行建模仿真。企業(yè)也能通過搭建以知識(shí)圖譜、專家系統(tǒng)等技術(shù)為代表的認(rèn)知算法體系，來獲取管理決策方面的建議。
應(yīng)用層：商業(yè)智能提升工業(yè)APP數(shù)據(jù)挖掘深度。通過將人工智能技術(shù)應(yīng)用到管理平臺(tái)的開發(fā)中，開發(fā)者利用工業(yè)互聯(lián)網(wǎng)提供的監(jiān)測(cè)數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)，開發(fā)面向不同客戶群體的工業(yè)APP。為客戶提供定制化的服務(wù)，使生產(chǎn)過程可視化，生產(chǎn)管理?xiàng)l理化。主要有以下幾類：一是預(yù)測(cè)性維護(hù)。利用機(jī)器學(xué)習(xí)方法擬合設(shè)備運(yùn)行復(fù)雜非線性關(guān)系，提升預(yù)測(cè)的準(zhǔn)確率，降低運(yùn)維成本與故障率。二是生產(chǎn)工藝優(yōu)化。依托深度學(xué)習(xí)繞過機(jī)理障礙，通過挖掘數(shù)據(jù)隱藏特征間的抽象關(guān)系建立模型，并找出最優(yōu)參數(shù)組合。
與此同時(shí)人工智能技術(shù)也為工業(yè)互聯(lián)網(wǎng)安全帶來了許多新技術(shù)。在融合數(shù)據(jù)場(chǎng)景下，人工智能技術(shù)可以給予安全團(tuán)隊(duì)更多數(shù)據(jù)維度和安全視角，通過構(gòu)建完整的信息流上下文關(guān)聯(lián)關(guān)系來對(duì)威脅事件采取有效的監(jiān)控、檢測(cè)、響應(yīng)與預(yù)防手段。但人工智能技術(shù)在工業(yè)互聯(lián)網(wǎng)安全中的應(yīng)用存在痛點(diǎn)，主要表現(xiàn)為缺少高度自動(dòng)化、性能魯棒、環(huán)境自適應(yīng)與隱私保護(hù)的分析技術(shù)方案，來主動(dòng)快速處理大規(guī)模高度融合的安全采集數(shù)據(jù)。須要進(jìn)一步分析工業(yè)互聯(lián)網(wǎng)安全與人工智能技術(shù)的融合方法。接下來的發(fā)展方向趨勢(shì)總結(jié)如下：
方向一，高實(shí)時(shí)性高魯棒性的異常檢測(cè)技術(shù)。工業(yè)互聯(lián)網(wǎng)人-機(jī)-物融合的技術(shù)背景下，網(wǎng)絡(luò)行為復(fù)雜度直線上升，傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)的異常檢測(cè)捉襟見肘。工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行直接關(guān)系到生產(chǎn)環(huán)節(jié)的穩(wěn)定運(yùn)行，任何網(wǎng)絡(luò)攻擊行為，可在短時(shí)間內(nèi)對(duì)工業(yè)生產(chǎn)產(chǎn)生不可逆轉(zhuǎn)的打擊。因此，提升工業(yè)互聯(lián)網(wǎng)系統(tǒng)異常檢測(cè)技術(shù)的實(shí)時(shí)性與魯棒性變得極為重要。提升實(shí)時(shí)性能夠在異常事件發(fā)生的第一時(shí)間進(jìn)行處理，將損傷降低到最小甚至在傷害發(fā)生前將其阻止；提升魯棒性能夠降低檢測(cè)模型對(duì)操作員引發(fā)的規(guī)則外隨機(jī)操作的誤報(bào)率，保證正常業(yè)務(wù)行為的順利進(jìn)行。
方向二，融合場(chǎng)景下安全防護(hù)協(xié)同一體化技術(shù)。工業(yè)互聯(lián)網(wǎng)系統(tǒng)下，設(shè)備網(wǎng)絡(luò)層、物理層設(shè)備多源異構(gòu)，為安全防護(hù)帶來巨大挑戰(zhàn)。一是工控設(shè)備本身對(duì)攻擊行為的防護(hù)薄弱，工控設(shè)備行為較為簡(jiǎn)單，性能較低，難以部署防護(hù)系統(tǒng)。二是工控設(shè)備多種多樣，廠商使用專有通信方式，不同廠商設(shè)備間難以進(jìn)行有效數(shù)據(jù)溝通，造成聯(lián)動(dòng)困難。三是工業(yè)控制終端機(jī)部署地點(diǎn)分散、地理分布遠(yuǎn)、控制層異構(gòu)，對(duì)多域協(xié)同聯(lián)動(dòng)的安全防護(hù)與一體化管控提出了巨大的挑戰(zhàn)。
方向三，雙安沖突融合消解與異常響應(yīng)技術(shù)。工業(yè)互聯(lián)網(wǎng)的首要任務(wù)目標(biāo)是生產(chǎn)的高效與穩(wěn)定。安全事件的發(fā)生勢(shì)必會(huì)對(duì)正常生產(chǎn)造成一定的影響甚至于被迫停產(chǎn)。由安全檢測(cè)而造成的生產(chǎn)效率降低是難以接受的，于是功能安全與信息安全便出現(xiàn)了沖突。需要建立一個(gè)平衡且有效的安全處理模型，能夠?qū)Πl(fā)生的異常事件做出評(píng)估，給出最高效的異常處置策略，對(duì)不同等級(jí)的風(fēng)險(xiǎn)做出保證安全前提下的最小開銷處置方法。同時(shí)處置動(dòng)作對(duì)正常的生產(chǎn)過程造成的影響必須要處于可接受范圍之內(nèi)。
7.4大數(shù)據(jù)+工業(yè)互聯(lián)網(wǎng)
隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)攻擊頻繁發(fā)生。工業(yè)互聯(lián)網(wǎng)面臨著工業(yè)數(shù)據(jù)流的多樣化、持續(xù)性攻擊行為的隱蔽性、攻擊方式靈活多變等問題，數(shù)據(jù)流復(fù)雜多樣，工業(yè)流量就難以準(zhǔn)確預(yù)測(cè)，攻擊行為越隱蔽，我們就越難發(fā)現(xiàn)，攻擊方式靈活，我們就無法識(shí)別網(wǎng)絡(luò)安全事件。但借助大數(shù)據(jù)分析等技術(shù)，結(jié)合威脅情報(bào)數(shù)據(jù)中心的數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析后提前預(yù)測(cè)攻擊行為，針對(duì)性地采取相應(yīng)的防范措施，做到及時(shí)感知和防護(hù)，及時(shí)檢測(cè)工業(yè)網(wǎng)絡(luò)中的深度威脅。
工業(yè)大數(shù)據(jù)是大數(shù)據(jù)與工業(yè)領(lǐng)域智能制造的交叉點(diǎn)^[29]。工業(yè)大數(shù)據(jù)指的是在工業(yè)生產(chǎn)中，由工業(yè)設(shè)備產(chǎn)生的大量數(shù)據(jù)，對(duì)應(yīng)不同時(shí)間下的設(shè)備狀態(tài)信息，是工業(yè)互聯(lián)網(wǎng)的核心。工業(yè)大數(shù)據(jù)技術(shù)是指通過數(shù)據(jù)存儲(chǔ)、挖掘、關(guān)聯(lián)分析、可視化等一系列方法，使工業(yè)大數(shù)據(jù)的價(jià)值得以充分展現(xiàn)。因此，對(duì)工業(yè)大數(shù)據(jù)的保護(hù)顯得至關(guān)重要，對(duì)數(shù)據(jù)的分類分級(jí)、數(shù)據(jù)分析價(jià)值保護(hù)及用戶隱私保護(hù)提出了更高要求。工業(yè)大數(shù)據(jù)可以配合工業(yè)互聯(lián)網(wǎng)，利用大數(shù)據(jù)分析的結(jié)果來支援工業(yè)互聯(lián)網(wǎng)中的決策，提前預(yù)測(cè)攻擊行為，保障工業(yè)互聯(lián)網(wǎng)的安全。
工業(yè)互聯(lián)網(wǎng)和工業(yè)大數(shù)據(jù)的不斷發(fā)展，更時(shí)時(shí)刻刻提醒我們注意安全問題，提高安全意識(shí)，以便更好應(yīng)對(duì)工業(yè)中的攻擊行為，爭(zhēng)取做到提前預(yù)測(cè)，提前防范。

8.總結(jié)
5G與工業(yè)互聯(lián)網(wǎng)的融合將加速數(shù)字中國(guó)、智慧社會(huì)建設(shè)，加速中國(guó)新型工業(yè)化進(jìn)程，為中國(guó)經(jīng)濟(jì)發(fā)展注入新動(dòng)能。工業(yè)和信息化部于2021年11月印發(fā)了《“十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃》。同時(shí)，我國(guó)在2021年相繼推出了一大批工業(yè)互聯(lián)網(wǎng)信息安全相關(guān)的政策法規(guī)及報(bào)告，以保證工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展。
隨著工業(yè)數(shù)字化轉(zhuǎn)型的迅速落實(shí)，大批量的工業(yè)、企業(yè)進(jìn)入了產(chǎn)業(yè)變革的新階段，然而，風(fēng)險(xiǎn)與機(jī)遇并存，2021年工控安全事件仍然層出不窮。全球大量制造業(yè)、能源業(yè)等行業(yè)均遭受了不同程度的攻擊，這些攻擊行為持續(xù)時(shí)間更長(zhǎng)，所產(chǎn)生的影響更大，給國(guó)家和社會(huì)帶來了巨大的損失。基于以往的工控安全形勢(shì)，工控系統(tǒng)行業(yè)漏洞數(shù)量在今年出現(xiàn)了急劇下降，極有可能是全球新冠疫情擴(kuò)散傳播對(duì)工控領(lǐng)域造成了巨大影響。相比于2020年，全球在工控設(shè)備暴露數(shù)量方面排名發(fā)生了較為明顯的變化，各國(guó)工控設(shè)備暴露數(shù)量急劇降低。通過工控蜜罐與威脅情報(bào)的關(guān)聯(lián)分析，進(jìn)一步說明了威脅情報(bào)在工控網(wǎng)絡(luò)安全領(lǐng)域中發(fā)揮的關(guān)鍵作用。
面臨著百年未有之大變局與全球嚴(yán)峻的新冠肺炎疫情局勢(shì)，工業(yè)互聯(lián)網(wǎng)為新一輪產(chǎn)業(yè)革命不斷賦能。加強(qiáng)新型基礎(chǔ)設(shè)施建設(shè)，夯實(shí)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)，是打造網(wǎng)絡(luò)安全命運(yùn)共同體的重要支撐。

參考文獻(xiàn)
[1]  中國(guó)工控網(wǎng). 5G時(shí)代的工業(yè)互聯(lián)網(wǎng)創(chuàng)新應(yīng)用[EB/OL].  http://www.gongkong.com/news/202012/408736.html, 2020-12-18.
[2]  新華社. 劉鶴向2021中國(guó)5G+工業(yè)互聯(lián)網(wǎng)大會(huì)開幕式致辭[EB/OL].  https://www.5giic.cn/xwzx/ttxw/202111/t20211120_324533.html, 2021-11-20.
[3]  建設(shè)高標(biāo)準(zhǔn)市場(chǎng)體系行動(dòng)方案[Z]. 中共中央辦公廳,國(guó)務(wù)院辦公廳, 2021.
[4]  大數(shù)據(jù)平臺(tái)安全研究報(bào)告[R]. 中國(guó)信息通信研究院, 2021.
[5]  中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要[Z]. 國(guó)務(wù)院, 2021.
[6]  我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)白皮書[R]. 中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全研究所,賽迪區(qū)塊鏈研究院, 2021.
[7]  中華人民共和國(guó)數(shù)據(jù)安全法[Z]. 全國(guó)人民代表大會(huì), 2021.
[8]  關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例[Z]. 國(guó)務(wù)院, 2021.
[9]  GB 40050-2021, 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求[S].
[10]  物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南[Z]. 工業(yè)和信息化部, 2021.
[11]   網(wǎng)絡(luò)安全數(shù)據(jù)管理?xiàng)l例（征求意見稿）[Z]. 國(guó)家互聯(lián)網(wǎng)信息辦公室, 2021.
[12]  “十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃[Z]. 工業(yè)和信息化部, 2021.
[13]  安恒威脅情報(bào)中心. 研究人員曝光佛羅里達(dá)水廠網(wǎng)絡(luò)攻擊事件背后的水坑攻擊[EB/OL]. https://ti.dbappsecurity.com.cn/info/1981, 2021-05-20.
[14]  安全牛. 航旅業(yè)“大地震”：超級(jí)供應(yīng)商SITA被黑[EB/OL].  https://www.secrss.com/articles/29667, 2021-03-08.
[15]  何小桃. 突發(fā)！美國(guó)宣布進(jìn)入國(guó)家緊急狀態(tài)！最大燃油管道被黑客“掐斷”，驚動(dòng)拜登[EB/OL]. https://finance.sina.com.cn/world/mzjj/2021-05-10/doc-ikmxzfmm1582758.shtml, 2021-05-10.
[16]  互聯(lián)網(wǎng)安全內(nèi)參.歐洲能源技術(shù)供應(yīng)商遭勒索攻擊，業(yè)務(wù)系統(tǒng)被迫關(guān)閉[EB/OL]. https://www.secrss.com/articles/31248,2021-05-17.
[17]  安全牛.美國(guó)核武器合同商遭勒索軟件攻擊[EB/OL]. https://netsecurity.51cto.com/article/666640.html,2021-06-15.
[18]  工控安全漫談. 因遭受網(wǎng)絡(luò)攻擊，南非多個(gè)重要港口運(yùn)輸系統(tǒng)癱瘓[EB/OL]. http://www.chinaaet.com/article/3000135801, 2021-07-28.
[19]   互聯(lián)網(wǎng)安全內(nèi)參. 石油巨頭沙特阿美發(fā)生數(shù)據(jù)泄露：1TB數(shù)據(jù)在暗網(wǎng)兜售[EB/OL]. https://www.secrss.com/articles/32777, 2021-07-20.
[19]  互聯(lián)網(wǎng)安全內(nèi)參. 石油巨頭沙特阿美發(fā)生數(shù)據(jù)泄露：1TB數(shù)據(jù)在暗網(wǎng)兜售[EB/OL]. https://www.secrss.com/articles/32777, 2021-07-20.
[20]  互聯(lián)網(wǎng)安全內(nèi)參. 遭遇大規(guī)模DDoS攻擊，俄羅斯銀行業(yè)集體爆出訪問故障[EB/OL]. https://www.secrss.com/articles/34261, 2021-09-11.
[21]  互聯(lián)網(wǎng)安全內(nèi)參. 英國(guó)巨頭遭勒索攻擊：運(yùn)營(yíng)臨時(shí)中斷 至少損失4億元[EB/OL]. http://www.chinaaet.com/article/3000138856, 2021-10-20.
[22]  網(wǎng)空閑話. SolarWind黑客仍在發(fā)動(dòng)供應(yīng)鏈攻擊，至少14家IT公司系統(tǒng)被攻陷[EB/OL]. https://www.secrss.com/articles/35410, 2021-10-26.
[23]  網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室.風(fēng)電巨頭維斯塔斯遭網(wǎng)絡(luò)攻擊并導(dǎo)致數(shù)據(jù)泄露[EB/OL]. http://www.chinaaet.com/article/3000142005, 2021-11-23.
[24]  Sheng C, Yao Y, Fu Q, et al. A cyber-physical model for SCADA system and its intrusion detection[J]. Computer Networks, 2021, 185: 107677.
[25]  董悅, 王志勤, 田慧蓉, 等. 工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展研究[J]. 中國(guó)工程科學(xué), 2021, 23(2): 65-73.
[26]  工業(yè)互聯(lián)網(wǎng)“新基建”，傳感器的機(jī)會(huì)來了！[EB/OL]. https://baijiahao.baidu.com/s?id=1669069608342884103&wfr=spider&for=pc, 2020-06-10.
[27]  5G＋工業(yè)互聯(lián)網(wǎng)的挑戰(zhàn)與優(yōu)勢(shì)[EB/OL]. https://xw.qq.com/amphtml/20201204A09Q2400, 2020-12-04.
[28]  宋穎昌. 人工智能在工業(yè)互聯(lián)網(wǎng)平臺(tái)的四大應(yīng)用場(chǎng)景[J]. 網(wǎng)絡(luò)安全和信息化, 2020(8).
[29]  中國(guó)工控網(wǎng). 工業(yè)互聯(lián)網(wǎng)與工業(yè)大數(shù)據(jù)、開放大數(shù)據(jù)的關(guān)系[EB/OL]. http://www.gongkong.com/article/201709/76579.html, 2017-09-21.

關(guān)于我們
“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)，由東北大學(xué)姚羽教授帶領(lǐng)課題組師生組建，依托復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全保障技術(shù)教育部工程研究中心，被遼寧省工信委授予“遼寧省工業(yè)信息安全支撐單位（首批）”，包括3名博士，7名博士研究生，20名碩士研究生。團(tuán)隊(duì)的研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)安全，重點(diǎn)研究?jī)?nèi)容主要包括工業(yè)網(wǎng)絡(luò)空間測(cè)繪、工業(yè)蜜罐、威脅情報(bào)、工控網(wǎng)絡(luò)探針、網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知等。課題組發(fā)表學(xué)術(shù)論文40余篇，專利及軟件著作權(quán)10余項(xiàng)，主編國(guó)內(nèi)第一部工業(yè)信息安全專著《工控網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》，獲遼寧省科技進(jìn)步二等獎(jiǎng)、遼寧省自然科學(xué)學(xué)術(shù)成果一等獎(jiǎng)、ChinaVis數(shù)據(jù)可視化分析挑戰(zhàn)賽一等獎(jiǎng)等，參與制定國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)方法標(biāo)準(zhǔn)草案》，編寫《2020年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書》等10余篇。