1.     前言... 4
2.     2023年工控安全相關(guān)政策法規(guī)標(biāo)準(zhǔn)... 5
2.1 《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》... 5
2.2 《商用密碼管理?xiàng)l例》... 5
2.3 《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引（公開(kāi)征求意見(jiàn)稿）》... 6
2.4 《工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見(jiàn)稿）》... 6
2.5 《信息安全技術(shù)網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南（公開(kāi)征求意見(jiàn)稿）》... 6
2.6 《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC）（開(kāi)征求意見(jiàn)稿》... 7
2.7 《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》... 7
2.8 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）（征求意見(jiàn)稿）》... 7
2.9 《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》... 8
2.10 《信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品技術(shù)規(guī)范》... 8
2.11 《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》... 8
2.12 《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信連接的安全建議》... 9
2.13 《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》... 9
3.     2023年典型工控安全事件... 11
3.1 GhostSec黑客組織對(duì)白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行攻擊... 11
3.2 GE Digital的服務(wù)器被發(fā)現(xiàn)存在5個(gè)可利用的漏洞，影響了多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門... 11
3.3 北非國(guó)家軍事ICS基礎(chǔ)設(shè)施遭到黑客攻擊... 12
3.4 半導(dǎo)體設(shè)備制造商MKS Instruments遭勒索軟件攻擊... 12
3.5 加密ATM制造商General Bytes遭黑客攻擊，至少150萬(wàn)美元被盜... 13
3.6 黑客對(duì)以色列關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行新一輪網(wǎng)絡(luò)攻擊... 13
3.7 電力和自動(dòng)化技術(shù)巨頭ABB遭到勒索軟件團(tuán)隊(duì)攻擊... 13
3.8 工控安全公司Dragos遭到勒索軟件團(tuán)隊(duì)攻擊... 14
3.9 Suncor Energy遭受網(wǎng)絡(luò)攻擊影響全國(guó)加油站：線上支付或癱瘓，僅支持現(xiàn)金... 14
3.10 日本名古屋港口遭到勒索攻擊導(dǎo)致貨運(yùn)業(yè)務(wù)暫停... 14
3.11 澳大利亞基礎(chǔ)設(shè)施公司遭受Ventia網(wǎng)絡(luò)攻擊... 15
3.12 美國(guó)芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊... 15
3.13 APT28組織針對(duì)烏克蘭關(guān)鍵能源基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊... 15
3.14 研究人員披露針對(duì)俄羅斯國(guó)防工業(yè)的MataDoor后門攻擊... 16
3.15 朝鮮黑客攻擊韓國(guó)造船業(yè)竊取軍事機(jī)密... 16
3.16 DP World遭遇網(wǎng)絡(luò)攻擊導(dǎo)致約3萬(wàn)個(gè)集裝箱滯留港口... 16
3.17 愛(ài)爾蘭一家自來(lái)水公司遭遇網(wǎng)絡(luò)攻擊導(dǎo)致供水中斷2天... 17
4.     工控系統(tǒng)安全漏洞概況... 19
5.     聯(lián)網(wǎng)工控設(shè)備分布... 23
5.1國(guó)際工控設(shè)備暴露情況... 27
5.2 國(guó)內(nèi)工控設(shè)備暴露情況... 29
5.3 國(guó)內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計(jì)情況... 32
5.4 俄烏沖突以來(lái)暴露設(shè)備數(shù)量變化... 33
5.5 工業(yè)控制系統(tǒng)暴露數(shù)量數(shù)據(jù)變化分析... 36
6.     工控蜜罐數(shù)據(jù)分析... 37
6.1 工控蜜罐全球捕獲流量概況... 37
6.2 工控系統(tǒng)攻擊流量分析... 40
6.3 工控系統(tǒng)攻擊類型識(shí)別... 43
6.4 工控蜜罐與威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析... 46
6.5 工控網(wǎng)絡(luò)探針... 48
6.5.1 數(shù)據(jù)處理之Honeyeye.. 48
6.5.2 網(wǎng)絡(luò)安全態(tài)勢(shì)可視化... 49
7.     工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀及未來(lái)展望... 50
7.1工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀... 50
7.1.1 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展現(xiàn)狀... 50
7.1.2 工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展現(xiàn)狀... 51
7.1.3 工業(yè)互聯(lián)網(wǎng)安全目前面臨的風(fēng)險(xiǎn)和挑戰(zhàn)... 51
7.2 政策標(biāo)準(zhǔn)完善... 53
7.3 安全技術(shù)融合... 54
7.4 產(chǎn)業(yè)協(xié)同創(chuàng)新... 56
8.     總結(jié)... 59
參考文獻(xiàn)... 60
 
 
工業(yè)控制網(wǎng)絡(luò)是工業(yè)生產(chǎn)的“核心大腦”，用于監(jiān)控、管理工業(yè)生產(chǎn)過(guò)程中的物理設(shè)備，確保生產(chǎn)的穩(wěn)定性和可靠性，提高生產(chǎn)效率，在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域得到廣泛應(yīng)用。隨著工業(yè)互聯(lián)網(wǎng)與自動(dòng)控制技術(shù)的融合發(fā)展，數(shù)字時(shí)代的步伐愈發(fā)堅(jiān)定，工業(yè)控制網(wǎng)絡(luò)在推動(dòng)國(guó)家安全、經(jīng)濟(jì)繁榮中扮演著愈發(fā)關(guān)鍵的角色。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系迅速擴(kuò)大，截至2023年6月，中國(guó)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系覆蓋31個(gè)?。▍^(qū)、市），其中超過(guò)240家工業(yè)互聯(lián)網(wǎng)平臺(tái)具有一定影響力，一個(gè)綜合型、特色型、專業(yè)型的多層次工業(yè)互聯(lián)網(wǎng)平臺(tái)體系基本形成。隨著國(guó)家級(jí)工業(yè)互聯(lián)網(wǎng)安全技術(shù)監(jiān)測(cè)服務(wù)體系不斷完善，態(tài)勢(shì)感知、風(fēng)險(xiǎn)預(yù)警和基礎(chǔ)資源匯聚能力進(jìn)一步增強(qiáng)，“5G+工業(yè)互聯(lián)網(wǎng)”等融合應(yīng)用不斷涌現(xiàn)，快速發(fā)展。新一代互聯(lián)網(wǎng)技術(shù)的發(fā)展給工業(yè)互聯(lián)網(wǎng)帶來(lái)全新的發(fā)展機(jī)遇，但同時(shí)又帶來(lái)更加嚴(yán)峻的安全風(fēng)險(xiǎn)與挑戰(zhàn)，工業(yè)互聯(lián)網(wǎng)安全問(wèn)題不僅關(guān)系到每個(gè)企業(yè)和個(gè)體的切身利益，更關(guān)系到國(guó)家的長(zhǎng)遠(yuǎn)發(fā)展。
為貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)法律要求，進(jìn)一步提升工業(yè)企業(yè)的工控安全保障能力，2023年11月8日，主題為“筑牢工控安全防線 護(hù)航新型工業(yè)化發(fā)展”的“2023年工業(yè)信息安全大會(huì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全專題論壇”在北京舉行，為工業(yè)控制網(wǎng)絡(luò)的安全發(fā)展籌謀定策。工控安全與網(wǎng)絡(luò)安全密切相關(guān)，保障工業(yè)控制系統(tǒng)的安全、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊是確保國(guó)家安全的關(guān)鍵環(huán)節(jié)。在此背景下，東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)基于自身傳統(tǒng)的安全研究?jī)?yōu)勢(shì)開(kāi)發(fā)設(shè)計(jì)并實(shí)現(xiàn)了“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（http://www.ditecting.com），并根據(jù)“諦聽(tīng)”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布《2023 年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)白皮書(shū)》，讀者可以通過(guò)報(bào)告了解 2023 年工控安全相關(guān)政策法規(guī)報(bào)告及典型工控安全事件分析，同時(shí)報(bào)告對(duì)工控系統(tǒng)漏洞、聯(lián)網(wǎng)工控設(shè)備、工控蜜罐、威脅情報(bào)數(shù)據(jù)及工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展情況進(jìn)行了闡釋及分析，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢(shì)，為研究工控安全相關(guān)人員提供參考。

工業(yè)互聯(lián)網(wǎng)不僅是促使信息技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的關(guān)鍵動(dòng)力，同時(shí)也在我國(guó)制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略中發(fā)揮著重要作用?；厥?023年，我國(guó)在工業(yè)信息安全領(lǐng)域取得顯著進(jìn)展，不僅進(jìn)一步完善了政策標(biāo)準(zhǔn)，同時(shí)在垂直行業(yè)的安全保障工作推進(jìn)步伐明顯加快。工業(yè)信息安全保障技術(shù)水平得到大幅提升，為整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展注入強(qiáng)勁動(dòng)力。為了進(jìn)一步加強(qiáng)工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)，提高安全建設(shè)水平，我國(guó)在2023年陸續(xù)推出了多項(xiàng)涉及工業(yè)互聯(lián)網(wǎng)安全的政策法規(guī)報(bào)告。
通過(guò)梳理2023年度發(fā)布的相關(guān)政策法規(guī)標(biāo)準(zhǔn)，整理各大工業(yè)信息安全研究院和機(jī)構(gòu)基于不同法規(guī)發(fā)布的解讀文件，現(xiàn)摘選部分重要內(nèi)容并進(jìn)行簡(jiǎn)要分析，旨在讓讀者更深入了解國(guó)家在工控安全領(lǐng)域的政策導(dǎo)向。
2.1 《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》
2023年5月28日，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》（以下簡(jiǎn)稱《評(píng)估指引》）發(fā)布，旨在引導(dǎo)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，遵循《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，并參考相關(guān)國(guó)家標(biāo)準(zhǔn)。該指引明確了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的思路、工作流程和內(nèi)容，強(qiáng)調(diào)從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面進(jìn)行評(píng)估。
2.2 《商用密碼管理?xiàng)l例》
2023年4月14日，國(guó)務(wù)院第4次常務(wù)會(huì)議修訂通過(guò)《商用密碼管理?xiàng)l例》，該條例自2023年7月1日起施行。隨著商用密碼在網(wǎng)絡(luò)與信息系統(tǒng)中廣泛應(yīng)用，其維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益的作用越來(lái)越凸顯。黨的十八大以來(lái)，黨中央、國(guó)務(wù)院對(duì)商用密碼創(chuàng)新發(fā)展和行政審批制度改革提出了一系列要求，2020年施行的密碼法對(duì)商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑?！稐l例》鼓勵(lì)公民、法人和其他組織依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全，支持網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用商用密碼提升安全性；明確關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用要求和國(guó)家安全審查要求。
2.3 《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引（公開(kāi)征求意見(jiàn)稿）》
2023年4月18日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引（征求意見(jiàn)稿）》，現(xiàn)公開(kāi)向社會(huì)征求意見(jiàn)。文件詳細(xì)闡述了進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的思路、主要工作內(nèi)容、流程和方法。文件明確提到，進(jìn)行數(shù)據(jù)安全保護(hù)和數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)始終以預(yù)防為主、主動(dòng)發(fā)現(xiàn)和積極防范為基本原則，及時(shí)發(fā)現(xiàn)數(shù)據(jù)存在的潛在風(fēng)險(xiǎn)，以提升數(shù)據(jù)安全的防御能力，包括防范攻擊、防止破壞、防御竊取、防止泄露以及防范濫用。
2.4 《工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見(jiàn)稿）》
2023年5月22日，工信部發(fā)布《工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南(2023版)》(征求意見(jiàn)稿)，其中規(guī)定了工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系的建設(shè)目標(biāo)。到2024年，將初步構(gòu)建該標(biāo)準(zhǔn)體系，切實(shí)貫徹?cái)?shù)據(jù)安全管理要求，滿足工業(yè)領(lǐng)域數(shù)據(jù)安全需求，推動(dòng)標(biāo)準(zhǔn)在關(guān)鍵行業(yè)和企業(yè)中應(yīng)用，研發(fā)30項(xiàng)以上的數(shù)據(jù)安全國(guó)家、行業(yè)或團(tuán)體標(biāo)準(zhǔn)；2026年，將形成更為完善的工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系，全面遵循相關(guān)法律法規(guī)和政策制度，標(biāo)準(zhǔn)的技術(shù)水平、應(yīng)用效果和國(guó)際化程度顯著提高，基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用凸顯，貫標(biāo)工作全面展開(kāi)，有力支持工業(yè)領(lǐng)域數(shù)據(jù)安全的關(guān)鍵工作，研制100項(xiàng)以上的數(shù)據(jù)安全國(guó)家、行業(yè)或團(tuán)體標(biāo)準(zhǔn)。
2.5 《信息安全技術(shù)網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南（公開(kāi)征求意見(jiàn)稿）》
2023年9月13日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布《信息安全技術(shù) 網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南》（以下簡(jiǎn)稱《應(yīng)用指南》）征求意見(jiàn)稿?！稇?yīng)用指南》汲取了國(guó)際網(wǎng)絡(luò)安全保險(xiǎn)標(biāo)準(zhǔn)成果，結(jié)合我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)和風(fēng)險(xiǎn)管理實(shí)踐，提煉適合我國(guó)國(guó)情的應(yīng)用指南，以協(xié)助組織通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)有效處理和管理風(fēng)險(xiǎn)。該指南明確了網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用的關(guān)鍵環(huán)節(jié)，包括投保前的風(fēng)險(xiǎn)評(píng)估、保險(xiǎn)期間的風(fēng)險(xiǎn)控制以及事故發(fā)生后的事件評(píng)估。提供了在不同環(huán)節(jié)中可行的方法和內(nèi)容，為網(wǎng)絡(luò)安全保險(xiǎn)的實(shí)際應(yīng)用提供操作性的指導(dǎo)建議，解決了應(yīng)用中涉及的基本安全技術(shù)和差異性問(wèn)題。
2.6 《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC）（開(kāi)征求意見(jiàn)稿》
2023年9月21日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器（PLC）》國(guó)家標(biāo)準(zhǔn)的征求意見(jiàn)稿。該文件明確了將可編程邏輯控制器（PLC）納入網(wǎng)絡(luò)關(guān)鍵設(shè)備范疇的相關(guān)規(guī)定，涵蓋了設(shè)備標(biāo)識(shí)安全、余弦、備份恢復(fù)與異常檢測(cè)、漏洞和惡意程序防范、預(yù)裝軟件啟動(dòng)及更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問(wèn)控制安全、日志審計(jì)安全、通信安全和數(shù)據(jù)安全等方面的安全功能要求，以及相應(yīng)的安全保障要求。
2.7 《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》
2023年10月24日，為加快建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度體系，深入實(shí)施工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，工信部公開(kāi)征求對(duì)《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》的意見(jiàn)。意見(jiàn)稿指出，工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照工業(yè)互聯(lián)網(wǎng)安全定級(jí)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合企業(yè)規(guī)模、業(yè)務(wù)范圍、應(yīng)用工業(yè)互聯(lián)網(wǎng)的程度、運(yùn)營(yíng)重要系統(tǒng)的程度、掌握重要數(shù)據(jù)的程度、對(duì)行業(yè)發(fā)展和產(chǎn)業(yè)鏈及供應(yīng)鏈安全的重要程度以及發(fā)生網(wǎng)絡(luò)安全事件的影響后果等要素，開(kāi)展自主定級(jí)。工業(yè)互聯(lián)網(wǎng)企業(yè)級(jí)別由高到低依次分為三級(jí)、二級(jí)、一級(jí)。
2.8 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）（征求意見(jiàn)稿）》
2023年12月15日，推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作的制度化和規(guī)范化，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》。該預(yù)案根據(jù)數(shù)據(jù)安全事件對(duì)國(guó)家安全、企業(yè)網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)、生產(chǎn)運(yùn)營(yíng)、經(jīng)濟(jì)運(yùn)行等的影響程度，分為特別重大、重大、較大和一般四個(gè)級(jí)別。預(yù)案強(qiáng)調(diào)應(yīng)急工作要實(shí)現(xiàn)統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)，實(shí)行統(tǒng)一指揮、協(xié)同協(xié)作、快速反應(yīng)、科學(xué)處置，并明確了責(zé)任分工，以確保數(shù)據(jù)安全處理者履行數(shù)據(jù)安全主體責(zé)任。
2.9 《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》
2023年3月17日，由公安部第三研究所牽頭編制的信息安全國(guó)家標(biāo)準(zhǔn)GB/T 42453-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》，已由國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布，標(biāo)準(zhǔn)于2023年10月1日正式實(shí)施。作為國(guó)內(nèi)首份網(wǎng)絡(luò)安全態(tài)勢(shì)感知的國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)規(guī)范了網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系的核心組件，包括數(shù)據(jù)匯聚、數(shù)據(jù)分析、態(tài)勢(shì)展示、監(jiān)測(cè)預(yù)警、數(shù)據(jù)服務(wù)接口、系統(tǒng)管理等方面的通用技術(shù)要求。此標(biāo)準(zhǔn)的發(fā)布為中國(guó)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的規(guī)范化發(fā)展提供了重要的指導(dǎo)標(biāo)準(zhǔn)，對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)具有重要的參考和指導(dǎo)價(jià)值。
2.10 《信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品技術(shù)規(guī)范》
2023年5月15日，信安標(biāo)委發(fā)布《信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品技術(shù)規(guī)范》。標(biāo)準(zhǔn)作為信息安全等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的關(guān)鍵組成部分，同時(shí)規(guī)定了網(wǎng)絡(luò)和終端隔離產(chǎn)品的分類、級(jí)別劃分、安全技術(shù)要求以及測(cè)評(píng)方法。其目的在于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)符合特定安全等級(jí)需求的隔離部件，主要通過(guò)對(duì)隔離部件安全保護(hù)等級(jí)的劃分來(lái)闡述技術(shù)要求，即詳細(xì)說(shuō)明為實(shí)現(xiàn)各個(gè)保護(hù)等級(jí)所需的安全要求，以及在不同安全級(jí)別下各安全技術(shù)要求的具體實(shí)現(xiàn)差異。
2.11 《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》
2023年7月，我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)ISO/IEC 24392：2023《網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型》正式發(fā)布。ISO/IEC 24392作為首個(gè)工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的國(guó)際標(biāo)準(zhǔn)，基于工業(yè)互聯(lián)網(wǎng)平臺(tái)安全域、系統(tǒng)生命周期和業(yè)務(wù)場(chǎng)景三個(gè)視角構(gòu)建了工業(yè)互聯(lián)網(wǎng)平臺(tái)安全參考模型。該國(guó)際標(biāo)準(zhǔn)用于解決工業(yè)互聯(lián)網(wǎng)應(yīng)用和發(fā)展過(guò)程中的平臺(tái)安全問(wèn)題，可以系統(tǒng)指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)及相關(guān)研究機(jī)構(gòu)，針對(duì)不同的工業(yè)場(chǎng)景，分析工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全目標(biāo)，設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防御措施，增強(qiáng)工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)施的安全性。
2.12 《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信連接的安全建議》
2023年8月8日，我國(guó)牽頭提出的國(guó)際標(biāo)準(zhǔn)ISO/IEC 27071:2023《網(wǎng)絡(luò)安全設(shè)備與服務(wù)建立可信連接的安全建議》正式發(fā)布。該提案于2015年提交至ISO/IEC JTC1/SC27，后經(jīng)研究，于2019年4月正式立項(xiàng)，2023年7月正式發(fā)布。ISO/IEC 27071給出了設(shè)備和服務(wù)建立可信連接的框架和安全建議，內(nèi)容涵蓋硬件安全模塊、信任根、身份、身份鑒別和密鑰建立、環(huán)境證明、數(shù)據(jù)完整性和真實(shí)性等組件的安全建議。該標(biāo)準(zhǔn)適用于基于硬件安全模塊在設(shè)備和服務(wù)之間建立可信連接的場(chǎng)景，如移動(dòng)支付、車聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)等，有助于提高從設(shè)備到服務(wù)的全過(guò)程數(shù)據(jù)安全性。
2.13 《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》
2023年9月7日，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2023年第9號(hào)），全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的4項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布，包括GB/T32914-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》、GB/T43206-2023《信息安全技術(shù) 信息安全控制評(píng)估指南》、GB/T 43206-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、GB/Z 43207-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南》，均將于2024年4月1日實(shí)施。其中GB/T 35274-2023《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》需要重點(diǎn)關(guān)注，由于網(wǎng)絡(luò)安全服務(wù)需求不斷增加，出現(xiàn)了低價(jià)競(jìng)標(biāo)、交付質(zhì)量差、不規(guī)范流程、安全風(fēng)險(xiǎn)等問(wèn)題，影響了行業(yè)健康發(fā)展。為貫徹《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，確保服務(wù)質(zhì)量、防范安全風(fēng)險(xiǎn)，提升規(guī)范性和可持續(xù)性，制定此標(biāo)準(zhǔn)。

2023年全球工控安全事件依然層出不窮，給工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型帶來(lái)了極高的安全風(fēng)險(xiǎn)。眾多工控系統(tǒng)遭受了不同程度的網(wǎng)絡(luò)攻擊，給大量企業(yè)造成了不可估量的損失，甚至危及國(guó)家安全。本年度針對(duì)工控系統(tǒng)攻擊的破壞程度及規(guī)模呈現(xiàn)擴(kuò)大趨勢(shì)，影響了多個(gè)行業(yè)，涵蓋能源、交通、軍工、制造、醫(yī)療等領(lǐng)域。
以下介紹2023年發(fā)生的一些典型的工控安全事件，通過(guò)以下事件可以了解工業(yè)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)和發(fā)展趨勢(shì)，以此來(lái)制定更加有效的相關(guān)策略應(yīng)對(duì)未來(lái)可能遭受的攻擊。
3.1 GhostSec黑客組織對(duì)白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行攻擊
2023年1月11日，GhostSec黑客組織聲稱對(duì)白俄羅斯的工業(yè)遠(yuǎn)程終端單元(RTU)進(jìn)行了攻擊，RTU是一種用于遠(yuǎn)程監(jiān)控工業(yè)自動(dòng)化設(shè)備的操作技術(shù)(OT)設(shè)備。GhostSec是Anonymous 旗下的一個(gè)黑客主義行動(dòng)組織，主要從事出于政治動(dòng)機(jī)的黑客攻擊。從Telegram 小組提供的屏幕截圖看出，攻擊者加密了設(shè)備TELEOFIS RTU968 V2上的文件，并且將加密文件后綴修改為.fuckPutin。TELEOFIS RTU968 V2是一款新型3G路由器，由于其支持工業(yè)接口RS-232和RS-485，并且能夠?qū)⒐I(yè)協(xié)議Modbus RTU/ASCII轉(zhuǎn)換為Modbus TCP，因此可以被視為遠(yuǎn)程終端單元(RTU)。此次攻擊活動(dòng)使得受害設(shè)備上的文件均被加密，攻擊者只留下了一封內(nèi)容為“沒(méi)有通知信”的文件。經(jīng)安全人員研究發(fā)現(xiàn)，TELEOFIS RTU968 V2默認(rèn)開(kāi)啟22端口的SSH 服務(wù)并且允許使用root密碼遠(yuǎn)程登錄。攻擊者可能通過(guò)這些配置弱點(diǎn)進(jìn)入設(shè)備內(nèi)部，從而實(shí)現(xiàn)設(shè)備文件加密。
目前GhostSec黑客組織表現(xiàn)出在某些情況下破壞企業(yè)和運(yùn)營(yíng)的能力。GhostSec最新的攻擊活動(dòng)也再次表明，這些組織有興趣尋找ICS設(shè)備，如果這些設(shè)備受到攻擊，可能會(huì)影響工業(yè)自動(dòng)化環(huán)境中的生產(chǎn)和系統(tǒng)安全性。
3.2 GE Digital的服務(wù)器被發(fā)現(xiàn)存在5個(gè)可利用的漏洞，影響了多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門
2023年1月17日，工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員透露，其Team82團(tuán)隊(duì)在GE Digital的Proficy Historian服務(wù)器中發(fā)現(xiàn)了五個(gè)可利用的漏洞，影響了多個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門。威脅行為者可以利用安全漏洞訪問(wèn)歷史記錄、使設(shè)備崩潰或遠(yuǎn)程執(zhí)行代碼。這批漏洞影響GE Proficy Historian v7.0及更高版本。這些漏洞的存在與ICS和操作技術(shù)(OT)環(huán)境有關(guān)，因?yàn)檫@些歷史數(shù)據(jù)庫(kù)服務(wù)器與企業(yè)系統(tǒng)共享過(guò)程信息，從而為攻擊者從IT網(wǎng)絡(luò)跳轉(zhuǎn)到OT系統(tǒng)創(chuàng)造了一個(gè)有吸引力的支點(diǎn)。通過(guò)這批漏洞，攻擊者可以在遠(yuǎn)程GE Proficy Historian服務(wù)器上以SYSTEM權(quán)限執(zhí)行任意代碼。此外，攻擊者還能構(gòu)建一個(gè)功能齊全的shell命令行界面(CLI)，該界面支持多種命令，包括繞過(guò)身份驗(yàn)證、上傳任意文件、讀取任意文件、刪除任意文件以及遠(yuǎn)程執(zhí)行代碼。
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)很快發(fā)布了一份工業(yè)控制系統(tǒng)(ICS)公告，將這些漏洞確定為使用備用路徑或通道繞過(guò)身份驗(yàn)證、不受限制地上傳危險(xiǎn)類型的文件、不正確的訪問(wèn)控制和弱口令編碼。目前GE公司表示GE Proficy Historian v8.0.1598.0受到影響，針對(duì)最近發(fā)布的GE Proficy Historian中的所有漏洞已發(fā)布相應(yīng)緩解措施，并敦促用戶升級(jí)以獲得保護(hù)。
3.3 北非國(guó)家軍事ICS基礎(chǔ)設(shè)施遭到黑客攻擊
2023年1月27日，美國(guó)Cyble研究與情報(bào)實(shí)驗(yàn)室（Cyble Research & Intelligence Labs，CRIL）發(fā)布博客，發(fā)現(xiàn)一名黑客訪問(wèn)由北非國(guó)家的軍事組織所使用的監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)（SCADA）和熱成像攝像機(jī)（Thermal Imaging，TI），該黑客發(fā)布了一張TI相機(jī)系統(tǒng)的訪問(wèn)面板的圖像，CRIL研究人員確定該面板屬于一家著名的原始設(shè)備制造商，該公司為全球幾支武裝部隊(duì)制造軍用級(jí)TI相機(jī)，黑客利用這些系統(tǒng)數(shù)據(jù)獲得了對(duì)軍事資產(chǎn)的網(wǎng)絡(luò)訪問(wèn)。經(jīng)過(guò)進(jìn)一步調(diào)查，CRIL發(fā)現(xiàn)暴露的TI相機(jī)有多個(gè)漏洞，如信息披露、未經(jīng)授權(quán)的遠(yuǎn)程代碼執(zhí)行（RCE）和硬編碼憑證問(wèn)題，這些漏洞的存在不僅可以為黑客提供對(duì)軍事基地的監(jiān)視能力，還可以讓他們滲透到操作技術(shù)（Operational Technology，OT）網(wǎng)絡(luò)。
3.4 半導(dǎo)體設(shè)備制造商MKS Instruments遭勒索軟件攻擊
2023年2月3日，半導(dǎo)體設(shè)備制造商MKS Instruments遭受勒索軟件的攻擊，此事件影響了其生產(chǎn)相關(guān)系統(tǒng)，該公司發(fā)現(xiàn)勒索軟件造成的影響后，立即采取行動(dòng)啟動(dòng)事件響應(yīng)和業(yè)務(wù)連續(xù)性協(xié)議以遏制其危害繼續(xù)擴(kuò)散。MKS Instruments的網(wǎng)站在很長(zhǎng)一段時(shí)間內(nèi)無(wú)法被訪問(wèn)。該公司表示，它已通知執(zhí)法部門，同時(shí)通過(guò)聘請(qǐng)事件響應(yīng)專業(yè)人員調(diào)查和評(píng)估事件的影響。MKS Instruments高級(jí)副總裁說(shuō)：“該事件影響了某些業(yè)務(wù)系統(tǒng)，包括與生產(chǎn)相關(guān)的系統(tǒng)，作為遏制措施的一部分，公司已決定暫時(shí)停止某些設(shè)施的運(yùn)營(yíng)。”該公司表示，正在努力盡快恢復(fù)系統(tǒng)和受影響的運(yùn)營(yíng)。
3.5 加密ATM制造商General Bytes遭黑客攻擊，至少150萬(wàn)美元被盜
2023年3月17日，加密ATM制造商General Bytes發(fā)生了一起安全事件，導(dǎo)致至少150萬(wàn)美元被盜，迫使其關(guān)閉大部分位于美國(guó)的自動(dòng)取款機(jī)，General Bytes將其描述為“最高”級(jí)別的違規(guī)行為。一些自助服務(wù)終端只允許現(xiàn)金換加密貨幣交易，而其他是“雙向”的，這意味著客戶可以用他們的數(shù)字貨幣獲取現(xiàn)金。根據(jù)其創(chuàng)始人 Karel Kyovsky 詳細(xì)描述該事件的聲明，黑客利用用于上傳視頻的主服務(wù)接口中的漏洞，將自己的 Java 應(yīng)用程序遠(yuǎn)程上傳到該公司的服務(wù)器上。該事件使攻擊者能夠讀取和解密 API 密鑰，并訪問(wèn)交易所和在線維護(hù)的“熱”加密貨幣錢包上的資金，他們還能夠竊取用戶名和密碼，并關(guān)閉雙因素身份驗(yàn)證。
3.6 黑客對(duì)以色列關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行新一輪網(wǎng)絡(luò)攻擊
2023年4月9日，據(jù)英國(guó)信息安全、網(wǎng)絡(luò)犯罪新聞平臺(tái)HACKREAD報(bào)道，以色列的灌溉系統(tǒng)遭到了一系列網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)個(gè)水位監(jiān)測(cè)器發(fā)生故障，同時(shí)針對(duì)該國(guó)的主要基礎(chǔ)設(shè)施機(jī)構(gòu)網(wǎng)站（包括航空公司、交通、郵政和灌溉系統(tǒng)的網(wǎng)站）的網(wǎng)絡(luò)攻擊數(shù)量激增。同日，據(jù)JPost報(bào)道，在灌溉系統(tǒng)遭到攻擊的前一周，以色列國(guó)家網(wǎng)絡(luò)組織曾發(fā)出警告，在4月14日的“伊朗耶路撒冷日”慶?；顒?dòng)之前的穆斯林齋月期間，針對(duì)以色列基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊可能會(huì)增加，當(dāng)局認(rèn)為，這些網(wǎng)絡(luò)攻擊可能是由親巴勒斯坦的黑客組織OpIsrael策劃。
3.7 電力和自動(dòng)化技術(shù)巨頭ABB遭到勒索軟件團(tuán)隊(duì)攻擊
2023年5月7日，據(jù)美國(guó)網(wǎng)絡(luò)安全媒體BLEEPINGCOMPUTER報(bào)道，電力和自動(dòng)化技術(shù)巨頭ABB遭受了Black Basta勒索軟件團(tuán)伙發(fā)起的網(wǎng)絡(luò)攻擊。ABB是一家行業(yè)領(lǐng)先的電氣化和自動(dòng)化技術(shù)的跨國(guó)提供商，該公司為多家制造業(yè)和能源供應(yīng)商開(kāi)發(fā)工業(yè)控制系統(tǒng)(ICS)和SCADA系統(tǒng)，單在美國(guó)就運(yùn)營(yíng)著40多家工程、制造、研究和服務(wù)設(shè)施，并為多種聯(lián)邦機(jī)構(gòu)提供服務(wù)。BLEEPINGCOMPUTER從多名員工處獲悉，勒索軟件攻擊影響了公司的Windows Active Directory，影響了數(shù)百臺(tái)設(shè)備的正常工作，為解決該問(wèn)題ABB已經(jīng)采取一些措施如終止與其客戶的VPN連接防止勒索軟件傳播來(lái)控制事件。目前ABB絕大多數(shù)系統(tǒng)和工廠現(xiàn)已重新啟動(dòng)并運(yùn)行，繼續(xù)為客戶提供服務(wù)。
3.8 工控安全公司Dragos遭到勒索軟件團(tuán)隊(duì)攻擊
2023年5月8日，一個(gè)已知的勒索軟件犯罪組織試圖破壞工控安全公司Dragos的安全防御系統(tǒng)并滲透到內(nèi)網(wǎng)加密設(shè)備。Dragos表示其公司網(wǎng)絡(luò)和安全平臺(tái)在攻擊中并未遭到破壞，攻擊者的橫向移動(dòng)、提權(quán)、加密、駐留等攻擊手段大多被Dragos的多層安全控制和基于角色的訪問(wèn)控制阻止了，但攻擊者成功入侵了該公司的SharePoint云服務(wù)和合同管理系統(tǒng)。Dragos已經(jīng)調(diào)查了公司安全信息和事件管理中的警報(bào)并阻止了受感染的帳戶。
3.9 Suncor Energy遭受網(wǎng)絡(luò)攻擊影響全國(guó)加油站：線上支付或癱瘓，僅支持現(xiàn)金
2023年6月25日，加拿大最大的合成原油生產(chǎn)商之一的Suncor Energy發(fā)布新聞稿稱其遭受了網(wǎng)絡(luò)攻擊，雖然新聞稿中表示尚未發(fā)現(xiàn)任何證據(jù)表明客戶、供應(yīng)商或員工的數(shù)據(jù)遭到泄露或?yàn)E用，但目前其子公司Petro-Canada遍布加拿大的加油站已經(jīng)無(wú)法支持客戶使用信用卡或獎(jiǎng)勵(lì)積分付款，甚至其官網(wǎng)的賬戶登錄也已經(jīng)癱瘓，并且“洗車季通行證”的持有客戶無(wú)法在Petro-Canada的洗車中心使用其特權(quán)。新聞稿表示目前公司正在采取措施并與第三方專家合作調(diào)查和解決這一情況，并已通知當(dāng)局有關(guān)部門，近期與客戶和供應(yīng)商的一些交易可能會(huì)受到影響。
3.10 日本名古屋港口遭到勒索攻擊導(dǎo)致貨運(yùn)業(yè)務(wù)暫停
2023年7月5日，日本最大且最繁忙的港口名古屋港發(fā)布了關(guān)于其統(tǒng)一碼頭系統(tǒng)（NUTS）遭到攻擊的通知，NUTS是控制該港所有集裝箱碼頭的中央系統(tǒng)。根據(jù)通知，勒索攻擊發(fā)生于當(dāng)?shù)貢r(shí)間7月4日凌晨06:30左右。名古屋港務(wù)局預(yù)計(jì)系統(tǒng)將于7月5日恢復(fù)上線，貨運(yùn)業(yè)務(wù)于7月6日恢復(fù)，在相關(guān)業(yè)務(wù)恢復(fù)之前，所有使用拖車在碼頭進(jìn)行的集裝箱裝卸作業(yè)均已取消，這給港口造成了巨大的財(cái)務(wù)損失，并嚴(yán)重?cái)_亂了進(jìn)出日本的貨物流通。7月26日，名古屋港再次發(fā)布調(diào)查通知，表示截至7月6日18時(shí)15分，所有碼頭業(yè)務(wù)已恢復(fù)運(yùn)營(yíng)，并且在愛(ài)知縣警察本部和系統(tǒng)維護(hù)公司的共同調(diào)查下，名古屋港務(wù)局確認(rèn)此次事件的原因是勒索軟件感染。據(jù)報(bào)道，該機(jī)構(gòu)曾于7月4日上午收到了一份用辦公室打印機(jī)遠(yuǎn)程打印的贖金要求。
3.11 澳大利亞基礎(chǔ)設(shè)施公司遭受Ventia網(wǎng)絡(luò)攻擊
2023年7月8日，基礎(chǔ)設(shè)施提供商Ventia發(fā)布公告表示其發(fā)現(xiàn)了一起網(wǎng)絡(luò)入侵事件，該事件影響了Ventia的部分系統(tǒng)，目前Ventia已采取包括關(guān)閉關(guān)鍵系統(tǒng)等措施來(lái)遏制該事件，并聘請(qǐng)了外部網(wǎng)絡(luò)安全專家，積極與監(jiān)管機(jī)構(gòu)和執(zhí)法部門合作。Ventia是澳大利亞和新西蘭最大的基礎(chǔ)設(shè)施提供商之一，業(yè)務(wù)涉及國(guó)防、能源、醫(yī)療保健、采礦、電信和水務(wù)行業(yè)。在7月9日的后續(xù)的聲明中Ventia表示，他們?nèi)栽谔幚泶舜喂羰录?，且其業(yè)務(wù)正在持續(xù)運(yùn)營(yíng)。
3.12 美國(guó)芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊
2023年8月12日，據(jù)Recorded Future New報(bào)道，美國(guó)最大的轉(zhuǎn)轍和樞紐鐵路正在調(diào)查勒索軟件組織竊取數(shù)據(jù)的事件。芝加哥貝爾特鐵路公司由美國(guó)和加拿大的六家鐵路公司共同擁有，每家鐵路公司都使用該公司的轉(zhuǎn)運(yùn)和換乘設(shè)施。當(dāng)?shù)貢r(shí)間8月10日晚，Akira勒索軟件團(tuán)伙將該公司添加到其泄露網(wǎng)站，聲稱竊取了85GB的數(shù)據(jù)。貝爾特鐵路總法律顧問(wèn)Christopher Steinway稱，該公司最近意識(shí)到“一個(gè)威脅組織在其網(wǎng)站上發(fā)布消息稱其已獲得某些公司信息”，但“該事件沒(méi)有影響我們的運(yùn)營(yíng)，我們已聘請(qǐng)一家領(lǐng)先的網(wǎng)絡(luò)安全公司來(lái)調(diào)查這一事件，并正在與聯(lián)邦執(zhí)法部門合作”，目前貝爾特鐵路公司仍然在調(diào)查此事件。
3.13 APT28組織針對(duì)烏克蘭關(guān)鍵能源基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊
2023年9月4日，烏克蘭計(jì)算機(jī)緊急響應(yīng)小組（CERT-UA）發(fā)布公告稱其發(fā)現(xiàn)了一起針對(duì)烏克蘭關(guān)鍵能源基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。公告表示，此次網(wǎng)絡(luò)入侵始于一封釣魚(yú)電子郵件，其中包含指向激活感染鏈的惡意ZIP存檔的鏈接。CERT-UA表示：“訪問(wèn)該鏈接會(huì)將包含三個(gè)JPG誘餌圖像和BAT文件weblinks.cmd的ZIP存檔下載到受害者的計(jì)算機(jī)上”，并將此次攻擊歸因于名為APT28（又名BlueDelta）的俄羅斯威脅行為者。該攻擊會(huì)竊取目標(biāo)主機(jī)信息，同時(shí)下載TOR隱藏服務(wù)來(lái)路由惡意流量。CERT-UA表示，關(guān)鍵能源基礎(chǔ)設(shè)施的負(fù)責(zé)員工設(shè)法通過(guò)限制對(duì)Mockbin網(wǎng)絡(luò)資源服務(wù)（mockbin.org、mocky.io）的訪問(wèn)并阻止在計(jì)算機(jī)上的啟動(dòng)Windows Script Host，成功阻止了該網(wǎng)絡(luò)攻擊。
3.14 研究人員披露針對(duì)俄羅斯國(guó)防工業(yè)的MataDoor后門攻擊
2023年由9月27日，俄羅斯網(wǎng)絡(luò)安全公司Positive Technologies發(fā)布安全分析報(bào)告，稱其在2022年10月對(duì)一家俄羅斯工業(yè)企業(yè)的安全事件進(jìn)行調(diào)查的期間，發(fā)現(xiàn)該企業(yè)被入侵的計(jì)算機(jī)上運(yùn)行著以前從未見(jiàn)過(guò)的惡意軟件樣本。這些惡意軟件可執(zhí)行文件的名稱與受感染計(jì)算機(jī)上安裝的合法軟件的名稱相似，而且一些樣本具有有效的數(shù)字簽名。此外，已識(shí)別的可執(zhí)行文件和庫(kù)經(jīng)過(guò)Themida保護(hù)程序的處理，使其更難被檢測(cè)和分析。Positive Technologies對(duì)這些樣本進(jìn)行后續(xù)分析后認(rèn)為被識(shí)別的惡意軟件是一個(gè)相當(dāng)復(fù)雜的模塊化后門，并稱之為MataDoor，其設(shè)計(jì)目的是為了長(zhǎng)期在計(jì)算機(jī)中隱蔽運(yùn)行。
3.15 朝鮮黑客攻擊韓國(guó)造船業(yè)竊取軍事機(jī)密
2023年10月4日，韓國(guó)國(guó)家情報(bào)院發(fā)布名為《國(guó)家情報(bào)局就“朝鮮針對(duì)造船業(yè)的黑客攻擊蔓延”發(fā)出警告》的新聞稿。新聞稿指出在去年8月和9月就已經(jīng)發(fā)現(xiàn)了幾起朝鮮黑客組織企圖入侵主要造船廠的案件，朝鮮黑客組織之所以將目標(biāo)對(duì)準(zhǔn)韓國(guó)造船企業(yè)，是因?yàn)榻鹫飨逻_(dá)了建造大中型軍艦的命令，并預(yù)測(cè)朝鮮的攻擊趨勢(shì)今后仍將持續(xù)，呼吁包括大型造船企業(yè)和船舶零部件制造商在內(nèi)的相關(guān)企業(yè)進(jìn)行徹底的安全管理。韓國(guó)國(guó)家情報(bào)院認(rèn)為，黑客攻擊的方法是奪取和繞過(guò)IT維護(hù)公司的個(gè)人主機(jī)，或向內(nèi)部員工分發(fā)釣魚(yú)郵件，然后安裝惡意軟件。韓國(guó)國(guó)家情報(bào)院敦促業(yè)界加強(qiáng)安全措施，包括“對(duì)黑客行為的蔓延發(fā)出警告并禁止查看不明確的電子郵件”。
3.16 DP World遭遇網(wǎng)絡(luò)攻擊導(dǎo)致約3萬(wàn)個(gè)集裝箱滯留港口
2023年11月12日，國(guó)際物流公司DP World Australia發(fā)布媒體公告，稱其遭遇了嚴(yán)重破壞澳大利亞多個(gè)大型港口正常貨運(yùn)的網(wǎng)絡(luò)攻擊。根據(jù)報(bào)告，11月10日的一次網(wǎng)絡(luò)攻擊中斷了其港口的陸上貨運(yùn)業(yè)務(wù)，為此，DP World啟動(dòng)了應(yīng)急計(jì)劃，并與網(wǎng)絡(luò)安全專家展開(kāi)合作，前公司正在測(cè)試恢復(fù)正常業(yè)務(wù)運(yùn)營(yíng)所需的關(guān)鍵系統(tǒng)。另外，媒體聲明中還提到公司的部分?jǐn)?shù)據(jù)很可能已經(jīng)被非法訪問(wèn)、甚至遭到泄露，然而內(nèi)部調(diào)查仍在進(jìn)行中，該情況尚未證實(shí)。DP World專注于貨運(yùn)物流、港口碼頭運(yùn)營(yíng)、海事服務(wù)和自由貿(mào)易區(qū)，負(fù)責(zé)運(yùn)營(yíng)40個(gè)國(guó)家的82個(gè)海運(yùn)和內(nèi)陸碼頭，其每年處理由70000艘船只運(yùn)送的約7000萬(wàn)個(gè)集裝箱，相當(dāng)于全球集裝箱運(yùn)輸量的約10%。
3.17 愛(ài)爾蘭一家自來(lái)水公司遭遇網(wǎng)絡(luò)攻擊導(dǎo)致供水中斷2天
2023年12月7日，愛(ài)爾蘭媒體WesternPeople報(bào)道，黑客攻擊了愛(ài)爾蘭埃里斯地區(qū)的一家私人集團(tuán)供水公司，導(dǎo)致供水中斷兩天并影響到180戶業(yè)主，之后工作人員努力修復(fù) Eurotronics 以色列制造的抽水系統(tǒng)。攻擊者出于政治動(dòng)機(jī)，選擇對(duì)該供水公司中源于以色列的設(shè)備進(jìn)行攻擊并破壞了抽水系統(tǒng)的用戶界面，張貼了反以色列的信息。工作人員表示這些引進(jìn)的設(shè)備防火墻安全系統(tǒng)可能不夠強(qiáng)大，目前正在改進(jìn)他們的安全系統(tǒng)，并與都柏林網(wǎng)絡(luò)犯罪局密切合作。

隨著5G網(wǎng)絡(luò)、工業(yè)4.0、和工業(yè)互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的工業(yè)生產(chǎn)模式逐漸被智能化所取代，工控設(shè)備也因此遭受著越來(lái)越多的攻擊，并且攻擊形式日漸多元，攻擊手段更加復(fù)雜，工控安全事件呈現(xiàn)連年高發(fā)態(tài)勢(shì)。其中，最常見(jiàn)的攻擊方式就是利用工控系統(tǒng)的漏洞。PLC（Programmable Logic Controller，可編程邏輯控制器 、DCS（Distributed Control System，分布式控制系統(tǒng)）、SCADA（Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)） 乃至工業(yè)應(yīng)用軟件均被發(fā)現(xiàn)存在大量信息安全漏洞。相關(guān)數(shù)據(jù)顯示，2023年西門子（Siemens）、施耐德（Schneider）、LS電氣集團(tuán)（LS ELECTRIC）、羅克韋爾自動(dòng)化（Rockwell Automation）等工業(yè)控制系統(tǒng)廠商均被發(fā)現(xiàn)包含各種信息安全漏洞。諦聽(tīng)團(tuán)隊(duì)采集到的工控漏洞數(shù)據(jù)顯示，2023年工控安全漏洞數(shù)量較2022年相比有所回升，但2021年到2023年整體工控安全漏洞數(shù)量較2020年之前依舊偏少。 根據(jù)CNVD（國(guó)家信息安全漏洞共享平臺(tái)）^[1][2]和“諦聽(tīng)”的數(shù)據(jù)，2013-2023年工控漏洞走勢(shì)如圖4-1所示。根據(jù)圖表顯示，2015年至2020年期間，工控漏洞數(shù)量呈現(xiàn)顯著的遞增趨勢(shì)。對(duì)于這一現(xiàn)象，我們的團(tuán)隊(duì)分析認(rèn)為主要原因在于自2015年以來(lái)，技術(shù)融合的飛速推進(jìn)迅速推動(dòng)了工業(yè)控制（工控）產(chǎn)業(yè)的蓬勃發(fā)展，同時(shí)也瓦解了傳統(tǒng)工控系統(tǒng)的體系結(jié)構(gòu)。在產(chǎn)業(yè)標(biāo)準(zhǔn)和政策尚未達(dá)到成熟水平的情況下，攻擊者可能采取更加多樣化的手段，對(duì)工控系統(tǒng)進(jìn)行攻擊，從而導(dǎo)致工控漏洞的不斷增加。然而，自2021年開(kāi)始，工控漏洞數(shù)量總體呈下降的趨勢(shì)。與2020年的568條漏洞信息相比，2023年減少了449條，漏洞數(shù)量大幅減少，減少數(shù)量占2020年的79%。2023年與2022年的96個(gè)漏洞相比增加了24%，漏洞數(shù)量雖有小幅回升，但仍低于2020年。我們的團(tuán)隊(duì)推測(cè)這一變化的原因是多方面的。首先，相較于發(fā)展迅猛的IT行業(yè)，工業(yè)領(lǐng)域業(yè)務(wù)較為成熟，工控行業(yè)的廠商產(chǎn)品較為穩(wěn)定，工控系統(tǒng)的更新迭代較慢，2015-2020期間發(fā)現(xiàn)的新增漏洞中，很大比重是來(lái)源于多年長(zhǎng)期運(yùn)行的工控系統(tǒng)中的“存量”漏洞。隨著2020年此類漏洞的挖掘達(dá)到頂峰，隨著新產(chǎn)品推出而產(chǎn)生的新漏洞數(shù)量自然出現(xiàn)明顯下降。其次，隨著疫情逐漸得到控制，工業(yè)界和產(chǎn)業(yè)界的從業(yè)人員逐漸回歸正常的線下工作環(huán)境，這對(duì)工控系統(tǒng)的活力和正常運(yùn)營(yíng)產(chǎn)生積極影響。在新冠疫情期間，大量從業(yè)人員轉(zhuǎn)向線上辦公，導(dǎo)致工控產(chǎn)業(yè)的活力下降，攻擊者的工控攻擊目標(biāo)數(shù)量與類型相對(duì)減少。然而隨著工業(yè)系統(tǒng)的運(yùn)作逐步恢復(fù)正常，各類設(shè)備和系統(tǒng)的上線運(yùn)行。新的業(yè)務(wù)需求、系統(tǒng)升級(jí)或集成可能引入新的漏洞，導(dǎo)致2023年漏洞數(shù)量有小幅度的回升。第三，隨著工控信息安全政策、體系和法規(guī)的不斷完善，工控安全方面的產(chǎn)品體系和解決方案逐漸健全，工控廠商對(duì)其產(chǎn)品的漏洞管理更加嚴(yán)格?？陀^上，漏洞數(shù)量的下降是符合情理的趨勢(shì)。 如圖4-2是2023年工控系統(tǒng)行業(yè)漏洞危險(xiǎn)等級(jí)餅狀圖，截至2023年12月31日，2023年新增工控系統(tǒng)行業(yè)漏洞119個(gè)，其中高危漏洞85個(gè)，中危漏洞31個(gè)，低危漏洞3個(gè)。與去年相比，漏洞數(shù)量增加了23個(gè)，中危和低危漏洞數(shù)量均有一定減少，高危數(shù)量顯著增加，其中，高危漏洞數(shù)量增加了50個(gè)，相比2022年高危漏洞總數(shù)增加了1.43倍。2023全年高危工控安全漏洞占全年漏洞總數(shù)的71%，與2022年相比增加了35%。綜合分析，這些趨勢(shì)表明2023年工控系統(tǒng)行業(yè)面臨更加嚴(yán)峻的漏洞安全挑戰(zhàn)。高危漏洞的占比提高意味著增加了系統(tǒng)受到攻擊的概率和危害程度。這也反映了攻擊者針對(duì)工控系統(tǒng)可能采用更為復(fù)雜和危險(xiǎn)的攻擊手段。因此，業(yè)界在工控系統(tǒng)安全方面需要加強(qiáng)防護(hù)和響應(yīng)措施，以降低潛在的風(fēng)險(xiǎn)。 如圖4-3是2023年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，由圖中可知，西門子（Siemens）廠商具有的漏洞數(shù)量最多，多達(dá)87個(gè)。漏洞數(shù)量排在其后的廠商分別是：施耐德（Schneider）、LS電氣集團(tuán)（LS ELECTRIC）、羅克韋爾自動(dòng)化（Rockwell Automation），這些廠商也存在著一定數(shù)量的工控系統(tǒng)漏洞。
以上數(shù)據(jù)表明，盡管在2023年新增工控漏洞數(shù)量相比2022年有所回升，但總體數(shù)量依舊呈較低水平，全球工控系統(tǒng)的安全防護(hù)水平仍在持續(xù)提升。高危漏洞的顯著增加表明工控系統(tǒng)仍然面臨嚴(yán)重的安全挑戰(zhàn)。理論上，高危漏洞應(yīng)在工控相關(guān)協(xié)議和設(shè)備設(shè)計(jì)初期避免，或在被安全人員發(fā)現(xiàn)時(shí)及時(shí)解決，但實(shí)際情況可能并非如此。盡管近兩年工控系統(tǒng)所遭受的攻擊數(shù)量逐年減少，但高危漏洞的顯著增加體現(xiàn)出攻擊強(qiáng)度可能仍未降低，工控系統(tǒng)的設(shè)計(jì)缺陷可能未能得到及時(shí)完善。在這種情況下，工控產(chǎn)業(yè)相關(guān)單位有必要進(jìn)一步加強(qiáng)對(duì)工業(yè)漏洞的防范，持續(xù)增加對(duì)工控系統(tǒng)安全建設(shè)的投入。特別是在工控系統(tǒng)安全防護(hù)中需要針對(duì)高危漏洞建立系統(tǒng)安全性設(shè)計(jì)、漏洞管理監(jiān)控、漏洞響應(yīng)修復(fù)等全方位漏洞防護(hù)能力，降低工控系統(tǒng)面臨的安全風(fēng)險(xiǎn)。

 
隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，聯(lián)網(wǎng)工控設(shè)備的暴露數(shù)量與日俱增，有效管控聯(lián)網(wǎng)工控設(shè)備資產(chǎn)對(duì)于確保工業(yè)生產(chǎn)、社會(huì)保障運(yùn)行的安全性，對(duì)社會(huì)穩(wěn)定和經(jīng)濟(jì)運(yùn)行具有重要影響。工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》中強(qiáng)調(diào)，要“建立工業(yè)控制系統(tǒng)資產(chǎn)清單，并根據(jù)資產(chǎn)狀態(tài)變化及時(shí)更新，定期開(kāi)展工業(yè)控制系統(tǒng)資產(chǎn)核查”^[3]。聯(lián)網(wǎng)工控設(shè)備的探測(cè)與分析對(duì)于梳理、核查并重點(diǎn)保護(hù)聯(lián)網(wǎng)工控資產(chǎn)，確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和穩(wěn)定運(yùn)行有重要意義。
“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持31種服務(wù)的協(xié)議識(shí)別，表5-1展示了“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別的工控協(xié)議等的相關(guān)信息。如想了解這些協(xié)議的詳細(xì)信息請(qǐng)參照“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)之前發(fā)布的工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析白皮書(shū)。

工控協(xié)議		端口				概述
Modbus		502/503				應(yīng)用于電子控制器上的一種通用語(yǔ)言
Tridium Niagara Fox		1911				Tridium公司專用協(xié)議，用于智能電網(wǎng)等領(lǐng)域
SSL/ Niagara Fox		4911				智能建筑、基礎(chǔ)設(shè)置管理、安防系統(tǒng)的網(wǎng)絡(luò)協(xié)議
BACnet		47808				智能建筑的通信協(xié)議
ATGs Devices		10001				工控協(xié)議
Moxa Nport		4800				虛擬串口協(xié)議
EtherNet/IP		44818				以太網(wǎng)協(xié)議
Siemens S7		102				西門子通信協(xié)議
DNP3		20000				分布式網(wǎng)絡(luò)協(xié)議
Codesys		2455				PLC協(xié)議
ilon Smartserver		1628/1629				智能服務(wù)器協(xié)議
Redlion Crimson3		789				工控協(xié)議
IEC 60870-5-104		2404				IEC系列協(xié)議
OMRON FINS		9600				歐姆龍工業(yè)控制協(xié)議
CSPV4		2222				工控協(xié)議
GE SRTP		18245				美國(guó)通用電器產(chǎn)品協(xié)議
PCWorx		1962				菲尼克斯電氣產(chǎn)品協(xié)議
ProConOs		20547				科維公司操作系統(tǒng)協(xié)議
MELSEC-Q		5006/5007				三菱通信協(xié)議
opc-ua		4840				OPC UA接口協(xié)議
DDP		5002				用于數(shù)據(jù)的傳輸和DTU管理
Profinet		80				基于工業(yè)以太網(wǎng)技術(shù)的自動(dòng)化總線標(biāo)準(zhǔn)
IEC 61850-8-1		102				IEC系列協(xié)議
Lantronix		30718				專為工業(yè)應(yīng)用而設(shè)計(jì)，解決串口和以太網(wǎng)通信問(wèn)題
物聯(lián)網(wǎng)協(xié)議	端口				概述
AMQP	5672				提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級(jí)消息隊(duì)列協(xié)議
XMPP	5222				基于XML的可擴(kuò)展通訊和表示協(xié)議
SOAP	8089				基于XML簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議
MQTT	1883				基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議
攝像頭協(xié)議			端口	概述
Dahua Dvr			37777	大華攝像頭與服務(wù)器通信協(xié)議
hikvision			81-90	?？低晹z像頭與服務(wù)器通信協(xié)議
ONVIF			3702	開(kāi)放型網(wǎng)絡(luò)視頻接口標(biāo)準(zhǔn)協(xié)議

“諦聽(tīng)”官方網(wǎng)站（www.ditecting.com）公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請(qǐng)與東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)直接聯(lián)系獲取。根據(jù)“諦聽(tīng)”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù)，經(jīng)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)分析，得到一系列結(jié)論，具體如下。
圖5-1為2023年全球工控+物聯(lián)網(wǎng)設(shè)備暴露Top-10國(guó)家/地區(qū)。圖中顯示，與2022年相比，國(guó)家排名變化比較穩(wěn)定，但是全球暴露工控設(shè)備的總數(shù)量遠(yuǎn)遠(yuǎn)超越去年。在全球范圍內(nèi)，美國(guó)作為世界上最發(fā)達(dá)的工業(yè)化國(guó)家，其工控設(shè)備暴露數(shù)量排名首位。中國(guó)持續(xù)推動(dòng)先進(jìn)制造業(yè)和新型基礎(chǔ)設(shè)施建設(shè)，工業(yè)產(chǎn)值顯著增長(zhǎng)，排名第二。加拿大作為一個(gè)工業(yè)發(fā)達(dá)的國(guó)家，在能源、制造、礦業(yè)、航空航天和信息技術(shù)等領(lǐng)域都具有世界領(lǐng)先的實(shí)力。其排名相較于與2022年進(jìn)步較大，排名第三位。 在工業(yè)互聯(lián)網(wǎng)領(lǐng)域中，工控設(shè)備協(xié)議與物聯(lián)網(wǎng)設(shè)備協(xié)議協(xié)同合作，以實(shí)現(xiàn)設(shè)備的協(xié)同工作和數(shù)據(jù)交互。工控設(shè)備協(xié)議專注于實(shí)時(shí)控制和監(jiān)測(cè)，確保工業(yè)控制系統(tǒng)的高效運(yùn)行，而物聯(lián)網(wǎng)設(shè)備協(xié)議注重通用性和靈活性，使得不同類型設(shè)備能夠互聯(lián)，實(shí)現(xiàn)數(shù)據(jù)的共享。這兩者的結(jié)合促進(jìn)系統(tǒng)集成，創(chuàng)造出智能的工業(yè)生態(tài)系統(tǒng)，實(shí)現(xiàn)對(duì)整個(gè)生產(chǎn)過(guò)程的全面監(jiān)控。在實(shí)際應(yīng)用中，這些協(xié)議的協(xié)同作用使工業(yè)互聯(lián)網(wǎng)中的設(shè)備能夠高效、可靠地實(shí)現(xiàn)互聯(lián)和數(shù)據(jù)交換。圖5-2和圖5-3分別為全球工控設(shè)備暴露Top10柱狀圖和全球物聯(lián)網(wǎng)設(shè)備暴露Top10柱狀圖。可以看到，在工控設(shè)備暴露排名中，加拿大超過(guò)了中國(guó)排名第二位。 攝像頭協(xié)議是一種約定，規(guī)定了攝像頭與其他設(shè)備之間的通信方式，包括實(shí)時(shí)視頻流傳輸和數(shù)據(jù)交互的標(biāo)準(zhǔn)。常見(jiàn)的攝像頭協(xié)議有ONVIF，hikvision，Dahua Dvr等。圖5-4為全球攝像頭設(shè)備暴露Top10柱狀圖。由于?？低暫痛笕A兩家安防企業(yè)的發(fā)展，在全球范圍內(nèi)中國(guó)攝像頭設(shè)備的暴露數(shù)量排名首位，波蘭排名第二，美國(guó)排名第三。 5.1國(guó)際工控設(shè)備暴露情況
國(guó)際工控設(shè)備的暴露情況以美國(guó)和加拿大為例進(jìn)行簡(jiǎn)要介紹。
美國(guó)是世界上工業(yè)化程度最高的國(guó)家之一，同時(shí)也是2023年全球工控設(shè)備暴露最多的國(guó)家，如圖5-5所示為美國(guó)2023年工控協(xié)議暴露數(shù)量和占比。由于日益增長(zhǎng)的數(shù)字化依賴，美國(guó)政府一直致力于制定和加強(qiáng)網(wǎng)絡(luò)安全政策，以保護(hù)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施和敏感信息。同時(shí)在工業(yè)化領(lǐng)域，政府一直關(guān)注制造業(yè)的創(chuàng)新和發(fā)展，采取措施促進(jìn)技術(shù)進(jìn)步，提高生產(chǎn)效率。2023年6月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一項(xiàng)網(wǎng)絡(luò)安全指令，要求聯(lián)邦機(jī)構(gòu)強(qiáng)化其網(wǎng)絡(luò)邊緣和遠(yuǎn)程管理設(shè)備，以應(yīng)對(duì)近期的網(wǎng)絡(luò)攻擊。這一規(guī)定被視為對(duì)聯(lián)邦行政部門和機(jī)構(gòu)的強(qiáng)制性要求。這一舉措旨在提高聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全水平，以有效抵御潛在的網(wǎng)絡(luò)威脅。2023年8月，美國(guó)紐約州推出了該州首個(gè)全州范圍的網(wǎng)絡(luò)安全戰(zhàn)略。這一戰(zhàn)略被構(gòu)想為各個(gè)公共和私人利益相關(guān)者如何協(xié)同工作，以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和全州居民個(gè)人數(shù)據(jù)免受惡意攻擊和數(shù)據(jù)泄露的藍(lán)圖。 相較于2022年，今年美國(guó)在工控領(lǐng)域的安全事件有所減少，也得益于美國(guó)自身可以排查出相應(yīng)的安全隱患。3月21日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了八項(xiàng)工業(yè)控制系統(tǒng)（ICS）公告，發(fā)出警告指出存在嚴(yán)重缺陷可能影響Delta Electronics和Rockwell Automation設(shè)備。CISA的舉措強(qiáng)調(diào)了對(duì)工業(yè)控制系統(tǒng)安全的高度關(guān)切，并鼓勵(lì)相關(guān)組織積極應(yīng)對(duì)以保護(hù)其關(guān)鍵基礎(chǔ)設(shè)施免受可能的網(wǎng)絡(luò)攻擊。美國(guó)在未來(lái)的工控安全領(lǐng)域?qū)⒉粩嘣鰪?qiáng)技術(shù)能力，以迎接不斷增長(zhǎng)的挑戰(zhàn)。
2023年加拿大工控設(shè)備和物聯(lián)網(wǎng)設(shè)備暴露數(shù)量位居全球第三，上升明顯。加拿大是一個(gè)工業(yè)發(fā)達(dá)的國(guó)家，以其在多個(gè)領(lǐng)域的世界領(lǐng)先實(shí)力而聞名。在能源行業(yè)方面，加拿大擁有豐富的自然資源，尤其是石油、天然氣和水力資源，使其成為全球能源生產(chǎn)的關(guān)鍵參與者。高科技制造業(yè)也是加拿大的強(qiáng)項(xiàng)之一，尤其在航空航天、信息技術(shù)和生物醫(yī)藥領(lǐng)域，加拿大企業(yè)在全球市場(chǎng)上占據(jù)重要地位。通過(guò)圖5-6可以看到，在加拿大暴露的工業(yè)協(xié)議數(shù)量中，F(xiàn)ox排名第一，Modbus協(xié)議暴露數(shù)量排名第二。 綜上，相較于2022年，伴隨著經(jīng)濟(jì)的全面復(fù)蘇，受疫情的影響越來(lái)越少，工業(yè)控制設(shè)備暴露數(shù)量有大幅的提升。美國(guó)政府對(duì)國(guó)家工控系統(tǒng)安全性以及網(wǎng)絡(luò)安全、人工智能等問(wèn)題更加重視。加拿大暴露工控協(xié)議數(shù)量占比較2022年有較大變化。美國(guó)和加拿大工業(yè)的發(fā)展體現(xiàn)出北美強(qiáng)勁的經(jīng)濟(jì)實(shí)力，但是隨著國(guó)家GDP增長(zhǎng)的同時(shí)，暴露的工控設(shè)備數(shù)量大幅增長(zhǎng)，將對(duì)以后國(guó)家的工業(yè)化管理留下隱患。
5.2 國(guó)內(nèi)工控設(shè)備暴露情況
2023年，中國(guó)暴露的工控設(shè)備數(shù)量在全球范圍內(nèi)位居第二，并相較以往明顯增加。疫情期間，由于工控設(shè)備的封鎖，數(shù)量出現(xiàn)下降趨勢(shì)。然而，隨著2023年經(jīng)濟(jì)全面重振，暴露的工控設(shè)備數(shù)量大幅增加。近年來(lái)，中國(guó)不斷優(yōu)化升級(jí)產(chǎn)業(yè)結(jié)構(gòu)，為經(jīng)濟(jì)的可持續(xù)增長(zhǎng)和全球競(jìng)爭(zhēng)力提供了顯著的動(dòng)力和支持。其中，工業(yè)互聯(lián)網(wǎng)作為一項(xiàng)重要的戰(zhàn)略發(fā)展領(lǐng)域，經(jīng)歷了迅猛的發(fā)展。在產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化方面，我國(guó)政府推動(dòng)了傳統(tǒng)制造業(yè)向高科技和服務(wù)業(yè)轉(zhuǎn)變，并且實(shí)體經(jīng)濟(jì)正在經(jīng)歷向數(shù)字化經(jīng)濟(jì)的轉(zhuǎn)型。下面詳細(xì)分析一下國(guó)內(nèi)工控設(shè)備暴露情況。
從圖5-7國(guó)內(nèi)各地區(qū)工控設(shè)備暴露數(shù)量Top10柱狀圖中可以看出，在2023年內(nèi)，浙江省的工控設(shè)備暴露數(shù)量與去年相比有了大幅度的提高。在2023年之前，由于疫情的影響，全國(guó)多地停工停產(chǎn)，國(guó)內(nèi)工控設(shè)備暴露數(shù)量有所減少。但在2023年內(nèi)，在中國(guó)政府的及時(shí)干預(yù)和經(jīng)濟(jì)復(fù)蘇措施的實(shí)行下，中國(guó)工業(yè)互聯(lián)網(wǎng)市場(chǎng)迅速恢復(fù)發(fā)展，工業(yè)化與信息化在高層次進(jìn)行了深度融合，國(guó)內(nèi)工控設(shè)備暴露數(shù)量迅速上升。據(jù)新華社報(bào)道，2023年中國(guó)GDP同比增長(zhǎng)5.2%，增速上漲了兩個(gè)百分點(diǎn)，也側(cè)面反映出工業(yè)方面的迅速?gòu)?fù)蘇。 2023年，全國(guó)暴露工控設(shè)備數(shù)量最多的是浙江省。據(jù)央廣網(wǎng)報(bào)道，2023年內(nèi)浙江省工業(yè)增加值比去年增長(zhǎng)4.9%，其中，規(guī)模以上工業(yè)增加值22388億元，增長(zhǎng)6.0%^[4]。工業(yè)的快速發(fā)展加大了企業(yè)在生產(chǎn)自動(dòng)化、智能化及節(jié)能減排等方面的相關(guān)需求，也導(dǎo)致了工業(yè)控制設(shè)備暴露數(shù)量的顯著增加。據(jù)中國(guó)工業(yè)新聞網(wǎng)公布的2023年中國(guó)工業(yè)百?gòu)?qiáng)縣榜單^[5]可以看出，浙江省在工業(yè)領(lǐng)域擁有強(qiáng)大的實(shí)力和競(jìng)爭(zhēng)力，在該榜單中，浙江省登榜的縣級(jí)市高達(dá)24個(gè)，穩(wěn)居全國(guó)首位。從《浙江省推動(dòng)新能源制造業(yè)高質(zhì)量發(fā)展實(shí)施意見(jiàn)（2023-2025年）》中可以看出，浙江省正積極在多種新能源領(lǐng)域做新的規(guī)劃和布局，包括在光伏、風(fēng)電、儲(chǔ)能、氫能領(lǐng)域以及核電相關(guān)產(chǎn)業(yè)和一些其他新能源技術(shù)領(lǐng)域的創(chuàng)新發(fā)展，而此類新能源技術(shù)的研發(fā)與產(chǎn)業(yè)化進(jìn)程自然離不開(kāi)工業(yè)互聯(lián)網(wǎng)安全的保駕護(hù)航。
2023年，臺(tái)灣地區(qū)工控設(shè)備暴露數(shù)量依然名列前茅，較去年排名沒(méi)有變化，依然為全國(guó)第二，但是工控設(shè)備暴露數(shù)量明顯大幅度上升。2023年11月13日，以“人工智能與制造業(yè)數(shù)字化轉(zhuǎn)型”為主題，由中國(guó)工業(yè)互聯(lián)網(wǎng)研究院和臺(tái)灣區(qū)電機(jī)電子工業(yè)同業(yè)公會(huì)聯(lián)合主辦的“2023兩岸工業(yè)互聯(lián)網(wǎng)融合發(fā)展研討會(huì)”在江蘇省昆山市舉辦。兩岸企業(yè)家峰會(huì)信息產(chǎn)業(yè)合作推進(jìn)小組召集人劉利華，資訊、通信產(chǎn)業(yè)合作推動(dòng)小組召集人李詩(shī)欽出席會(huì)議并致辭，李詩(shī)欽表示，兩岸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)具有廣闊的優(yōu)勢(shì)互補(bǔ)和合作發(fā)展空間，期待加強(qiáng)兩岸數(shù)字經(jīng)濟(jì)合作，深化工業(yè)互聯(lián)網(wǎng)、新能源汽車、數(shù)字貿(mào)易、跨境電商等領(lǐng)域的務(wù)實(shí)合作^[6]。
2023年，北京市工控設(shè)備暴露數(shù)量大幅上升，位列第三名，較之去年排名上升14位。隨著工業(yè)4.0和智能制造的推進(jìn)，北京市作為中國(guó)重要的經(jīng)濟(jì)和技術(shù)中心，其工業(yè)控制系統(tǒng)逐漸走向智能化和網(wǎng)絡(luò)化。大量的工業(yè)生產(chǎn)設(shè)備接入互聯(lián)網(wǎng)，形成工業(yè)物聯(lián)網(wǎng)，這也使得更多的工控設(shè)備暴露在網(wǎng)絡(luò)環(huán)境中。早在2022年1月，北京市就頒布了《北京工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2021-2023 年）》，近年來(lái)北京市正積極促進(jìn)數(shù)字化轉(zhuǎn)型和智能化升級(jí)，以工業(yè)互聯(lián)網(wǎng)為核心的新一代信息技術(shù)賦能傳統(tǒng)行業(yè)，不斷催生新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)，推動(dòng)實(shí)體經(jīng)濟(jì)高質(zhì)量發(fā)展。
與去年相比，東北地區(qū)工業(yè)控制設(shè)備暴露數(shù)量排名略微下降，位于全國(guó)中游，與去年相比，吉林省工控設(shè)備暴露的數(shù)量有較大幅度上升，成為東北地區(qū)工控設(shè)備暴露數(shù)量最多的省份。作為中國(guó)工業(yè)曾經(jīng)發(fā)展最輝煌的地區(qū)，東北地區(qū)工業(yè)近年來(lái)經(jīng)歷了產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和轉(zhuǎn)型升級(jí)。面臨過(guò)經(jīng)濟(jì)下滑和產(chǎn)能過(guò)剩的困境，東北地區(qū)通過(guò)政策扶持，大力推動(dòng)高端制造業(yè)和新能源技術(shù)等新興工業(yè)產(chǎn)業(yè)的發(fā)展，為國(guó)家“振興東北”的戰(zhàn)略做出了巨大貢獻(xiàn)。2023年10月2023全球工業(yè)互聯(lián)網(wǎng)大會(huì)在遼寧沈陽(yáng)召開(kāi)，本屆大會(huì)以“聚焦工業(yè)數(shù)字化轉(zhuǎn)型，助力新型工業(yè)化發(fā)展”為主題。在大會(huì)上發(fā)布了《2023工業(yè)互聯(lián)網(wǎng)行業(yè)融合創(chuàng)新應(yīng)用報(bào)告》和首個(gè)“工業(yè)數(shù)字化轉(zhuǎn)型評(píng)價(jià)綜合指數(shù)”等成果。此外，本次大會(huì)還介紹了年度典型案例、細(xì)分領(lǐng)域優(yōu)秀案例和行業(yè)應(yīng)用優(yōu)秀案例，對(duì)于打造國(guó)際化發(fā)布平臺(tái)，推動(dòng)工業(yè)互聯(lián)網(wǎng)行業(yè)典型案例的分享與交流，構(gòu)建數(shù)字驅(qū)動(dòng)的工業(yè)新生態(tài)具有重要意義。
5.3 國(guó)內(nèi)工控協(xié)議暴露數(shù)量統(tǒng)計(jì)情況 “諦聽(tīng)”團(tuán)隊(duì)統(tǒng)計(jì)了國(guó)內(nèi)暴露的各協(xié)議總量，從圖5-8中可以看出Modbus協(xié)議在網(wǎng)絡(luò)中暴露的數(shù)量最多，領(lǐng)先于第二位的Nport。
Modbus協(xié)議是一種應(yīng)用于工業(yè)領(lǐng)域的通信協(xié)議，用于在各種工業(yè)設(shè)備之間進(jìn)行數(shù)據(jù)交換。它由Modicon公司（現(xiàn)為施耐德電氣公司）于1979年開(kāi)發(fā)，現(xiàn)已成為工業(yè)領(lǐng)域最常用的通信協(xié)議之一。Modbus協(xié)議采用主從模式，一個(gè)主設(shè)備可以與多個(gè)從設(shè)備進(jìn)行通信。協(xié)議報(bào)文由報(bào)文頭和報(bào)文體組成，報(bào)文頭包含協(xié)議標(biāo)識(shí)、地址信息、功能碼等，報(bào)文體包含數(shù)據(jù)。Modbus協(xié)議支持多種通信介質(zhì)，包括串行通信（RS-232、RS-422、RS-485）和以太網(wǎng)（TCP/IP、UDP/IP）。Modbus協(xié)議廣泛應(yīng)用于工業(yè)控制、監(jiān)測(cè)系統(tǒng)、數(shù)據(jù)采集系統(tǒng)等領(lǐng)域。其優(yōu)勢(shì)在于開(kāi)放標(biāo)準(zhǔn)、簡(jiǎn)單易用、兼容性強(qiáng)，但安全性不高、通信效率低。
Moxa NPort協(xié)議是一種專為Moxa NPort串口服務(wù)器設(shè)計(jì)的通信協(xié)議，基于TCP/IP協(xié)議，允許用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)連接到NPort服務(wù)器的串口設(shè)備。該協(xié)議支持讀寫串口數(shù)據(jù)、控制串口參數(shù)、配置NPort服務(wù)器等功能，并提供簡(jiǎn)單易用、安全可靠、靈活擴(kuò)展等優(yōu)勢(shì)，廣泛應(yīng)用于工業(yè)控制、數(shù)據(jù)采集、遠(yuǎn)程監(jiān)控等領(lǐng)域。用戶可通過(guò)Web瀏覽器、應(yīng)用程序或腳本等方式使用Moxa NPort協(xié)議訪問(wèn)和管理串口設(shè)備。
Niagara Fox 是 Tridium 公司為其 Niagara Framework 提供的通信協(xié)議之一。Niagara Framework 是一種用于建筑自動(dòng)化和物聯(lián)網(wǎng)（IoT）應(yīng)用的開(kāi)放式平臺(tái)，它提供了一個(gè)統(tǒng)一的框架，使得不同品牌和類型的設(shè)備能夠相互通信和協(xié)同工作。Niagara Fox 提供了一種開(kāi)放且標(biāo)準(zhǔn)化的通信方式，允許不同廠商的設(shè)備在同一網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換、控制和監(jiān)測(cè)。Niagara Fox 的設(shè)計(jì)目標(biāo)是支持多種電氣接口，實(shí)現(xiàn)設(shè)備的透明通信，并在 Niagara Framework 中為各種應(yīng)用場(chǎng)景提供靈活的集成解決方案。
EtherNet/IP是由ODVA（Open DeviceNet Vendor Association）指定的工業(yè)以太網(wǎng)協(xié)議，它使用ODVA已知的應(yīng)用層“通用工業(yè)協(xié)議”（CIP™）。它具有功能豐富、可靠性高、應(yīng)用廣泛等特點(diǎn)，支持多種通信模式、數(shù)據(jù)類型和功能，可用于各種工業(yè)控制應(yīng)用。最新版本還支持CIP安全、多網(wǎng)絡(luò)、虛擬化等功能，進(jìn)一步增強(qiáng)了安全性、靈活性和擴(kuò)展性。
OMRON FINS協(xié)議 是一種由歐姆龍公司開(kāi)發(fā)的用于PLC通信的網(wǎng)絡(luò)協(xié)議，具有簡(jiǎn)單易用、可靠性高、功能豐富等特點(diǎn)。它支持多種通信模式、數(shù)據(jù)類型和功能，可用于各種PLC應(yīng)用需求。最新版本還支持TCP/IP協(xié)議、加密、遠(yuǎn)程訪問(wèn)等功能，進(jìn)一步增強(qiáng)了靈活性和安全性。
5.4 俄烏沖突以來(lái)暴露設(shè)備數(shù)量變化
俄烏沖突開(kāi)始于2022年三月份，目前俄羅斯和烏克蘭的緊張局勢(shì)依然在持續(xù)中，時(shí)隔近兩年，兩國(guó)沖突仍然在加劇。實(shí)施網(wǎng)絡(luò)戰(zhàn)能夠影響一個(gè)國(guó)家的通信能力和戰(zhàn)場(chǎng)感知能力，特別是隨著軍隊(duì)越來(lái)越依賴軟件，通過(guò)獲取情報(bào)進(jìn)行戰(zhàn)場(chǎng)部署的重要性日益突顯，這場(chǎng)競(jìng)賽變得愈發(fā)緊迫。為了能夠了解俄羅斯和烏克蘭的工控領(lǐng)域的相關(guān)狀況，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)此進(jìn)行了持續(xù)關(guān)注。表5-2列舉了俄羅斯、烏克蘭暴露工控設(shè)備的相關(guān)協(xié)議。
 

探測(cè)發(fā)現(xiàn)協(xié)議	探測(cè)端口	協(xié)議概述
Siemens S7	102	西門子通信協(xié)議
Modbus	502	應(yīng)用于電子控制器上的一種通用語(yǔ)言
ilon Smartserver	1628	智能服務(wù)器協(xié)議
Moxa Nport	4800	Moxa專用的虛擬串口協(xié)議
XMPP	5222	基于XML的可擴(kuò)展通訊和表示協(xié)議
AMQP	5672	提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級(jí)消息隊(duì)列協(xié)議
IEC 60870-5-104	2404	IEC系列協(xié)議

同時(shí)，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)每月都會(huì)收集俄烏暴露的設(shè)備數(shù)量情況，根據(jù)收集的數(shù)據(jù)，得到了俄羅斯和烏克蘭自沖突爆發(fā)以來(lái)暴露的設(shè)備的數(shù)量變化情況。
從圖5-9沖突后2023年烏克蘭各協(xié)議暴露設(shè)備數(shù)量來(lái)看，AMQP協(xié)議從沖突前到23年5月份變化幅度較大，總體呈現(xiàn)先降后升的趨勢(shì)，后續(xù)趨于平緩；Modbus協(xié)議從22年12月份至23年6月份呈現(xiàn)下降趨勢(shì)，之后整體趨勢(shì)呈現(xiàn)先升后降；Moxa Nport協(xié)議在23年期間略有下降，總體平穩(wěn)；其它協(xié)議整體的變化幅度不大。 從圖5-10沖突后2023年俄羅斯各協(xié)議暴露設(shè)備數(shù)量來(lái)看，AMQP協(xié)議變化較大，在2023年2月到4月期間有大幅度的下降，之后回升并趨于平緩，小幅度下降；與AMQP在同一數(shù)量級(jí)的Modbus和Nport協(xié)議都略有下降，總體趨于平緩；其他協(xié)議整體變化幅度不大。 總的來(lái)說(shuō)，2023年的關(guān)鍵時(shí)期集中在2月至6月，此時(shí)工控設(shè)備的暴露情況出現(xiàn)了顯著的波動(dòng)，但在隨后的時(shí)間里逐漸趨于穩(wěn)定。通過(guò)仔細(xì)分析俄烏暴露設(shè)備的變化趨勢(shì)，我們能夠窺見(jiàn)俄烏戰(zhàn)爭(zhēng)對(duì)工業(yè)系統(tǒng)的深遠(yuǎn)影響。這種趨勢(shì)分析不僅提供了對(duì)工控設(shè)備暴露情況的細(xì)致洞察，同時(shí)也為理解戰(zhàn)爭(zhēng)對(duì)工業(yè)基礎(chǔ)設(shè)施的沖擊提供了實(shí)質(zhì)性的線索。團(tuán)隊(duì)將會(huì)在來(lái)年中繼續(xù)跟進(jìn)。
5.5 工業(yè)控制系統(tǒng)暴露數(shù)量數(shù)據(jù)變化分析
網(wǎng)絡(luò)安全評(píng)級(jí)公司Bitsight發(fā)布的報(bào)告表示，在過(guò)去幾年中，互聯(lián)網(wǎng)上暴露的工業(yè)控制系統(tǒng)數(shù)量持續(xù)減少，并在2023年6月降至10萬(wàn)以下，而每個(gè)協(xié)議的表現(xiàn)并不一致。例如，Bitsight表示，約2021年后，采用Niagara Fox的暴露ICS數(shù)量持續(xù)下降，使用Modbus及S7協(xié)議的暴露系統(tǒng)、設(shè)備則在今年6月變得更加常見(jiàn)。
“諦聽(tīng)”團(tuán)隊(duì)對(duì)以上信息進(jìn)行調(diào)查，調(diào)查結(jié)果顯示工業(yè)控制系統(tǒng)的暴露數(shù)量數(shù)據(jù)正在逐步回升，具體分析結(jié)果如下。
在總體數(shù)據(jù)數(shù)量與個(gè)別常見(jiàn)協(xié)議的變化方面，從2023年4月上旬開(kāi)始，全球工業(yè)控制系統(tǒng)暴露數(shù)量呈下降趨勢(shì)，尤其在6月下旬后下降最為顯著，直至8月上旬達(dá)到最低值。然后數(shù)據(jù)量開(kāi)始回升。然而，具體協(xié)議表現(xiàn)卻不一致，Modbus與Fox在這期間呈現(xiàn)下降趨勢(shì)，而B(niǎo)ACnet與S7協(xié)議波動(dòng)相對(duì)較小。在協(xié)議變化階段分析中，F(xiàn)ox協(xié)議在下降階段減少最多，而在上升階段增加最為顯著。此外，國(guó)家及地區(qū)方面，中國(guó)內(nèi)地及中國(guó)香港、法國(guó)、波蘭以及美國(guó)在下降階段減少量領(lǐng)先，而在上升階段這些地區(qū)的數(shù)據(jù)量均有明顯回升。這表明工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全狀況存在波動(dòng)，需要持續(xù)關(guān)注和改進(jìn)。

 
隨著工業(yè)網(wǎng)絡(luò)的不斷發(fā)展，工業(yè)控制系統(tǒng)（ICS）面臨著日益復(fù)雜和多樣化的網(wǎng)絡(luò)威脅。為了有效地應(yīng)對(duì)這些威脅，工業(yè)蜜罐作為一種安全工具在工業(yè)環(huán)境中得到了廣泛應(yīng)用。工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》中指出，工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界，可采用工業(yè)控制系統(tǒng)蜜罐等威脅誘捕技術(shù)，捕獲網(wǎng)絡(luò)攻擊行為，提升主動(dòng)防御能力^[7]。東北大學(xué)“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)深入分析工業(yè)蜜罐在模擬和檢測(cè)工業(yè)網(wǎng)絡(luò)攻擊中的作用，并探討其在提高工業(yè)網(wǎng)絡(luò)安全性方面的潛在價(jià)值。經(jīng)過(guò)多年努力，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)研發(fā)出了可以模擬多種工控協(xié)議和工控設(shè)備并且全面捕獲攻擊者流量的“諦聽(tīng)”工控蜜罐。目前，“諦聽(tīng)”蜜罐支持12種協(xié)議，且已經(jīng)部署在多個(gè)國(guó)家和地區(qū)。“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)在2021年進(jìn)一步改進(jìn)了基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法（以下簡(jiǎn)稱“識(shí)別方法”），有效地提高了識(shí)別各類針對(duì)工控網(wǎng)絡(luò)的攻擊流量的效率，并根據(jù)不同類型的攻擊流量制定出更加有效的工控系統(tǒng)防御措施。

6.1 工控蜜罐全球捕獲流量概況

“諦聽(tīng)”工控蜜罐可支持ATGs Devices、OMRON FINs、DNP3、Modbus、EGD等12種協(xié)議，其中，Modbus/UDP協(xié)議是今年新增的協(xié)議。目前“諦聽(tīng)”工控蜜罐已經(jīng)部署在了中國(guó)華北地區(qū)、中國(guó)華南地區(qū)、東歐地區(qū)、東南亞地區(qū)、美國(guó)東北部等國(guó)內(nèi)外多個(gè)地區(qū)。截止到2023年12月31日，“諦聽(tīng)”蜜罐收集到大量攻擊數(shù)據(jù)。圖6-1、6-2和6-3中展示了經(jīng)過(guò)統(tǒng)計(jì)和分析后的數(shù)據(jù)。下面將對(duì)各個(gè)圖表進(jìn)行簡(jiǎn)要解釋說(shuō)明。 圖6-1展示了不同協(xié)議下各蜜罐受到的攻擊量。從圖中可以看出ATGs Devices、 OMRON FINs和DNP3協(xié)議下蜜罐所受攻擊量仍然保持在前三名，相較于2022年統(tǒng)計(jì)數(shù)據(jù)，ATGs Devices、 OMRON FINs、DNP3、Modbus等協(xié)議受攻擊的數(shù)量都有明顯增加。而OMRON FINs協(xié)議超過(guò)DNP3協(xié)議和Modbus協(xié)議上升至第二名，Modbus協(xié)議則降至第四名，這表明OMRON FINs協(xié)議受到的關(guān)注大幅度增加。另外，今年新增的Modbus/UDP協(xié)議具有簡(jiǎn)便高效的特性，由于Modbus/UDP不需要建立持久連接，它更適用于一些實(shí)時(shí)性較強(qiáng)、要求低延遲的工業(yè)控制系統(tǒng)。然而，Modbus/UDP的使用增加了安全風(fēng)險(xiǎn)，但是受限于應(yīng)用場(chǎng)景的限制，導(dǎo)致受到的攻擊量較小。這些變化表明工控系統(tǒng)協(xié)議在不斷發(fā)展，攻擊者的攻擊方向也在不斷調(diào)整和變化.前四種協(xié)議受攻擊總占比為66%，表明它們是攻擊者關(guān)注的重點(diǎn)。因此，工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求，加強(qiáng)這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護(hù)。
“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)攻擊數(shù)據(jù)的源IP地址進(jìn)行了分析統(tǒng)計(jì)，圖6-2展示了攻擊量最多的10個(gè)國(guó)家的攻擊源數(shù)量。從數(shù)據(jù)統(tǒng)計(jì)結(jié)果來(lái)看，美國(guó)的攻擊量處于首位，甚至超越其他9國(guó)總和，說(shuō)明美國(guó)對(duì)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的極大關(guān)注，其由于惡意活動(dòng)和攻擊嘗試存在多樣性。荷蘭、比利時(shí)、俄羅斯、加拿大和英國(guó)的排名分別位列第二位至第六位，其攻擊量遠(yuǎn)少于美國(guó)，統(tǒng)計(jì)數(shù)量總體差距不大。新加坡、保加利亞、西班牙和德國(guó)的排名分別位列第七位至第十位。 對(duì)中國(guó)國(guó)內(nèi)攻擊源的IP地址進(jìn)行相關(guān)分析，列出了前十名IP流量的省份排名，如圖6-3所示?？梢钥闯觯糁饕獓@在華北，東部沿海及中部地區(qū)，相較于2022年統(tǒng)計(jì)數(shù)據(jù)，浙江省IP攻擊量大幅度提升排在了第一位，北京則緊隨其后。浙江省和北京市統(tǒng)計(jì)數(shù)量占比高達(dá)65%，體現(xiàn)出二者在網(wǎng)絡(luò)安全支撐工作方面的領(lǐng)先地位。 2023年，“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)調(diào)整了已部署的蜜罐，進(jìn)一步拓展了罐可支持協(xié)議的范圍，未來(lái)將會(huì)進(jìn)一步提升誘騙和分析技術(shù)，持續(xù)推進(jìn)相關(guān)研究。

6.2 工控系統(tǒng)攻擊流量分析   

“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)首先對(duì)部署在不同地區(qū)的蜜罐所捕獲的攻擊流量數(shù)據(jù)進(jìn)行了初步分析，然后我們選取了應(yīng)用范圍較廣的Modbus和Ethernet/IP兩種協(xié)議對(duì)其使用識(shí)別方法進(jìn)行攻擊流量檢測(cè)。從各協(xié)議在不同地區(qū)部署的蜜罐中，我們選取了最具代表性的兩個(gè)地區(qū)部署的蜜罐，對(duì)其捕獲的攻擊流量數(shù)據(jù)分別進(jìn)行統(tǒng)計(jì)分析。
對(duì)于Modbus協(xié)議，我們選擇了分別部署在中國(guó)華東地區(qū)和美國(guó)東海岸地區(qū)的蜜罐，統(tǒng)計(jì)結(jié)果如表6-1、6-2所示。

攻擊源	攻擊總量	攻擊IP數(shù)量	IP平均攻擊數(shù)
United States	1439	288	5.0
China	695	60	11.6
Netherlands	119	28	4.3
Canada	115	72	1.6
Italy	110	1	110.0
Belgium	110	72	1.5
United Kingdom	108	4	27.0
Greece	27	1	27.0
France	17	4	4.3
Spain	10	1	10.0

 
 
 

攻擊源	攻擊總量	攻擊IP數(shù)量	IP平均攻擊數(shù)
United States	1474	476	3.1
China	588	18	32.7
Belgium	215	102	2.1
Netherlands	151	17	8.9
Canada	149	100	1.5
United Kingdom	93	4	23.3
Singapore	44	2	22.0
Italy	40	1	40.0
India	23	5	4.6
Russia	17	12	1.4

 
根據(jù)表6-1、6-2可知，在攻擊總量來(lái)源方面，美國(guó)在中國(guó)華東地區(qū)的攻擊總量顯著高于其他國(guó)家，但低于去年同期數(shù)據(jù)。在美國(guó)東海岸地區(qū)Modbus協(xié)議蜜罐捕獲攻擊總量中，美國(guó)仍然保持第一位，且與去年相比仍然呈現(xiàn)上升趨勢(shì)。在攻擊IP數(shù)量方面，美國(guó)仍在兩個(gè)地區(qū)中均排名第一且遠(yuǎn)超于其他國(guó)家。以表6-2為例，美國(guó)在美國(guó)東海岸地區(qū)的攻擊IP數(shù)量約是排名第二的比利時(shí)的4.7倍。
針對(duì)Ethernet/IP協(xié)議，我們選擇的是中國(guó)華南地區(qū)和美國(guó)西海岸地區(qū)部署的蜜罐，統(tǒng)計(jì)結(jié)果如表6-3、6-4所示。

攻擊源	攻擊總量	攻擊IP數(shù)量	IP平均攻擊數(shù)
China	2317	47	49.3
United States	379	234	1.6
Canada	37	35	1.1
Netherlands	9	7	1.3
Germany	7	7	1.0
Slovak Republic	3	3	1.0
South Africa	2	1	2.0
France	2	2	1.0
Saudi Arabia	1	1	1.0
United Kingdom	1	1	1.0

攻擊源	攻擊總量	攻擊IP數(shù)量	IP平均攻擊數(shù)
United States	122	91	1.3
China	41	14	2.9
Canada	15	15	1.0
Japan	7	1	7.0
Singapore	2	1	2.0

由表6-3、6-4分析可知，在攻擊總量來(lái)源和攻擊IP數(shù)量方面，中國(guó)在中國(guó)華南地區(qū)攻擊總量排名第一，美國(guó)排名第二，但美國(guó)的攻擊IP數(shù)量是中國(guó)的5倍。美國(guó)在美國(guó)西海岸地區(qū)攻擊總量和攻擊IP數(shù)量均排名第一，且遠(yuǎn)超其他國(guó)家。
根據(jù)對(duì)Modbus協(xié)議蜜罐和Ethernet/IP協(xié)議蜜罐所捕獲攻擊數(shù)量的統(tǒng)計(jì)分析，發(fā)現(xiàn)Modbus協(xié)議蜜罐受到的攻擊總次數(shù)高于Ethernet/IP協(xié)議蜜罐。這種差異可能主要是由于Modbus協(xié)議在工業(yè)自動(dòng)化領(lǐng)域的廣泛應(yīng)用歷史較長(zhǎng)，導(dǎo)致潛在的攻擊面更廣，成熟度和已暴露的安全問(wèn)題可能吸引了更多攻擊者的關(guān)注與嘗試，網(wǎng)絡(luò)環(huán)境中Modbus協(xié)議設(shè)備的數(shù)量和暴露程度也可能高于Ethernet/IP協(xié)議設(shè)備，從而增加了Modbus協(xié)議蜜罐被攻擊的可能性。因此Modbus協(xié)議在工控系統(tǒng)中廣泛應(yīng)用的同時(shí)也面臨更高的攻擊風(fēng)險(xiǎn)。
在確定攻擊源的國(guó)家中，我們發(fā)現(xiàn)攻擊總量排名前三的國(guó)家的攻擊數(shù)量高于所有國(guó)家攻擊總數(shù)的90%。這可能是由以下原因?qū)е拢菏紫龋@些國(guó)家的云計(jì)算產(chǎn)業(yè)發(fā)達(dá)，云服務(wù)器資源豐富且被全球范圍內(nèi)的用戶廣泛租用，部分用戶可能出于安全檢測(cè)或漏洞挖掘的目的，持續(xù)進(jìn)行大規(guī)模的網(wǎng)絡(luò)掃描活動(dòng)，這在一定程度上提高了源自這些國(guó)家的攻擊記錄數(shù)量。其次，這些國(guó)家在網(wǎng)絡(luò)和信息安全領(lǐng)域的研究實(shí)力雄厚，擁有眾多專業(yè)人才和研究機(jī)構(gòu)，其內(nèi)部開(kāi)展的大量網(wǎng)絡(luò)安全研究、演練及防御技術(shù)測(cè)試等活動(dòng)，會(huì)產(chǎn)生一定數(shù)量的對(duì)蜜罐系統(tǒng)的探測(cè)與模擬攻擊行為，從而計(jì)入了攻擊統(tǒng)計(jì)數(shù)據(jù)中。此外，這些國(guó)家可能存在規(guī)?；膼阂饩W(wǎng)絡(luò)攻擊組織。這些組織依托于其所在國(guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，對(duì)全球互聯(lián)網(wǎng)系統(tǒng)進(jìn)行有組織、有目的的惡意掃描和攻擊，而這些惡意掃描和攻擊被“諦聽(tīng)”團(tuán)隊(duì)部署的蜜罐成功有效捕獲。

6.3 工控系統(tǒng)攻擊類型識(shí)別

“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)提出一種基于ICS蜜網(wǎng)的攻擊流量指紋識(shí)別方法，該方法可以對(duì)于Ethernet/IP協(xié)議蜜罐和Modbus協(xié)議蜜罐捕獲的流量數(shù)據(jù)進(jìn)行攻擊類型識(shí)別。圖6-4和圖6-5分別顯示了對(duì)Ethernet/IP和Modbus協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識(shí)別結(jié)果。其中， “ E ”表示Ethernet/IP協(xié)議，“ M ”表示Modbus協(xié)議。由于國(guó)內(nèi)和國(guó)外的蜜罐程序不同，“ E ”和“ E' ”同一編號(hào)表示不同的攻擊類型，“ M ”和“ M' ”同一編號(hào)表示不同的攻擊類型，環(huán)形圖中各部分為不同的攻擊類型。 “諦聽(tīng)”團(tuán)隊(duì)將Ethernet/IP協(xié)議蜜罐部署在中國(guó)華南地區(qū)和美國(guó)西海岸，兩地區(qū)的經(jīng)濟(jì)發(fā)展迅速，網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善且網(wǎng)絡(luò)活動(dòng)相對(duì)頻繁。在這些經(jīng)濟(jì)科技發(fā)達(dá)的地區(qū)部署蜜罐，可以收集到更全面的攻擊信息，也易于發(fā)現(xiàn)新型攻擊手段。由圖6-4可知，中國(guó)華南地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為E-1、E-2、E-3，其中E-1約占所捕獲總流量的80%。美國(guó)西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3三種攻擊類型，其中，E'-1以87%的高占比成為該地區(qū)Ethernet/IP協(xié)議蜜罐所捕獲的攻擊流量的主要攻擊類型。由此可見(jiàn)以上攻擊類型是對(duì)Ethernet/IP協(xié)議進(jìn)行攻擊的主要手段。 “諦聽(tīng)”團(tuán)隊(duì)將Modbus協(xié)議蜜罐部署在中國(guó)華東地區(qū)和美國(guó)東海岸，兩地區(qū)均為工業(yè)發(fā)達(dá)地區(qū)，工業(yè)控制設(shè)備數(shù)量龐大，將Modbus協(xié)議蜜罐部署在該地區(qū)不但易于偽裝隱藏，且易于收集更多的攻擊信息，也易于發(fā)現(xiàn)新型的滲透攻擊手段。由圖6-5可知，中國(guó)華東地區(qū)的Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M-1、M-2類型，其中M-1攻擊類型占所捕獲總流量的35%，M-2攻擊類型占所捕獲總流量的31%。美國(guó)東海岸Modbus協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M'-1、M'-2、M'-3，其中M'-1攻擊類型占所捕獲總流量的46%，約為M'-2與M'-3兩種攻擊類型占比之和，M'-2與M'-3相互之間占比差距較小。由此可見(jiàn)以上攻擊類型是對(duì)Modbus協(xié)議進(jìn)行攻擊的主要手段。
本團(tuán)隊(duì)對(duì)Ethernet/IP和Modbus的ICS網(wǎng)絡(luò)流量進(jìn)行了解析、建模、評(píng)估，但其中還存在部分未知的攻擊類型，針對(duì)未知的攻擊類型還需開(kāi)展 進(jìn)一步的深入研究，以便提供更有效的ICS流量檢測(cè)與攻擊預(yù)警，評(píng)估其潛在的攻擊意圖，制定針對(duì)性的防御措施。

6.4 工控蜜罐與威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析

近年來(lái)，工控攻擊行為頻發(fā)，攻擊者利用不同類型的攻擊方式竊取信息、損壞系統(tǒng)或勒索錢財(cái)。目前，工控攻擊呈現(xiàn)出多樣化、廣泛傳播、難以追蹤等特征。威脅情報(bào)（TI）在預(yù)防和監(jiān)控工控攻擊方面起著至關(guān)重要的作用，通過(guò)與蜜罐數(shù)據(jù)的關(guān)聯(lián)分析更加充分說(shuō)明了這一點(diǎn)。與此同時(shí)，基于威脅情報(bào)（TI）的分析技術(shù)能夠積極收集和整合全球范圍內(nèi)分散的攻擊與威脅信息，通過(guò)收集和分析來(lái)自多個(gè)來(lái)源的情報(bào)，能夠及時(shí)了解最新的威脅趨勢(shì)和攻擊活動(dòng)，從而采用智能化的攻擊響應(yīng)措施，實(shí)現(xiàn)對(duì)大規(guī)模網(wǎng)絡(luò)攻擊的預(yù)防與對(duì)抗。我們的團(tuán)隊(duì)對(duì)2023年全年采集到的威脅情報(bào)和蜜罐數(shù)據(jù)進(jìn)行了關(guān)聯(lián)分析。
由“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)開(kāi)發(fā)并于2021年2月上線的威脅情報(bào)搜索引擎（https://www.TItecting.com）是基于“諦聽(tīng)”威脅情報(bào)中心而研發(fā)的應(yīng)用服務(wù)。威脅情報(bào)中心存有海量威脅情報(bào)數(shù)據(jù)，提供全面準(zhǔn)確、內(nèi)容詳細(xì)的相關(guān)決策支持信息，為行業(yè)系統(tǒng)安全提供保障。面對(duì)復(fù)雜的攻擊形式和不斷迭代的攻擊手段，建立完善的威脅情報(bào)搜索引擎刻不容緩，旨在為工業(yè)、企業(yè)、組織以及個(gè)人提供更加全面的情報(bào)信息，打造以威脅情報(bào)平臺(tái)為基石的網(wǎng)絡(luò)安全空間。
2023年“諦聽(tīng)”蜜罐和威脅情報(bào)中心均采集到大量新數(shù)據(jù)，為探尋數(shù)據(jù)間潛在的相關(guān)性，“諦聽(tīng)”團(tuán)隊(duì)計(jì)算威脅情報(bào)數(shù)據(jù)和蜜罐數(shù)據(jù)的重疊部分，并根據(jù)攻擊類型的不同將數(shù)據(jù)分為5類。其中包括代理IP（proxy）、命令執(zhí)行與控制攻擊（command execution and control attacks）、惡意IP（reputation）、垃圾郵件（spamming）和洋蔥路由（tor）。每種類型數(shù)據(jù)與蜜罐數(shù)據(jù)重疊部分在二者中的占比如圖6-6，本團(tuán)隊(duì)對(duì)該圖的分析如下。 圖6-6中威脅情報(bào)數(shù)據(jù)來(lái)源于“諦聽(tīng)”威脅情報(bào)中心，該系統(tǒng)所記錄的數(shù)據(jù)為安全網(wǎng)站或安全數(shù)據(jù)庫(kù)中的情報(bào)數(shù)據(jù)，本團(tuán)隊(duì)根據(jù)情報(bào)數(shù)據(jù)攻擊類型不同分別記錄在不同的數(shù)據(jù)表中。而直接在部署在國(guó)內(nèi)外網(wǎng)絡(luò)節(jié)點(diǎn)上的工控蜜罐通過(guò)模擬暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備，開(kāi)放設(shè)備對(duì)應(yīng)工業(yè)網(wǎng)絡(luò)協(xié)議端口吸引攻擊者，在記錄每一次攻擊者的攻擊信息的同時(shí)，監(jiān)聽(tīng)捕捉流經(jīng)此節(jié)點(diǎn)的網(wǎng)絡(luò)流量，以保證攻擊信息的真實(shí)性與可用性。因此，圖中威脅情報(bào)數(shù)據(jù)與工控蜜罐數(shù)據(jù)有重疊的部分表示情報(bào)中心收集到的IP地址確實(shí)發(fā)生了工控攻擊，這可以讓系統(tǒng)更有針對(duì)性的對(duì)攻擊進(jìn)行防御。下面對(duì)具體的數(shù)據(jù)進(jìn)行分析。
首先，與2022年類似，2023年占蜜罐數(shù)據(jù)最多的攻擊類型依然是“惡意IP”，達(dá)到了10.403‰（經(jīng)過(guò)ln函數(shù)計(jì)算后），本團(tuán)隊(duì)認(rèn)為發(fā)起代理IP、命令執(zhí)行與控制攻擊、垃圾郵件和洋蔥路由攻擊的攻擊者IP在主觀上均可以標(biāo)識(shí)為“惡意IP”，這可能是“惡意IP”的關(guān)聯(lián)占比最高的原因，未來(lái)工控產(chǎn)業(yè)可能需要更加嚴(yán)格地細(xì)分“惡意IP”的認(rèn)證標(biāo)準(zhǔn)，將工控網(wǎng)絡(luò)中的“惡意IP”概念與其他網(wǎng)絡(luò)作準(zhǔn)確的區(qū)別。
其次，與2022年相同的是，今年“命令執(zhí)行與控制攻擊”關(guān)聯(lián)仍然占比排名第二， 但2023年“命令執(zhí)行與控制攻擊”關(guān)聯(lián)占比有所回升。“命令執(zhí)行與控制攻擊”是指攻擊者通過(guò)操控惡意代碼或程序，在目標(biāo)系統(tǒng)中執(zhí)行指令并控制其行為。在工控網(wǎng)絡(luò)中，攻擊者可能通過(guò)遠(yuǎn)程命令執(zhí)行，實(shí)現(xiàn)對(duì)工控系統(tǒng)的遠(yuǎn)程控制。這種情況下，攻擊者可以修改控制系統(tǒng)的參數(shù)，改變生產(chǎn)流程，或者導(dǎo)致設(shè)備異常運(yùn)行，造成生產(chǎn)中斷或質(zhì)量問(wèn)題。因?yàn)楣I(yè)控制系統(tǒng)負(fù)責(zé)監(jiān)控和管理實(shí)際的物理過(guò)程，如電力系統(tǒng)、制造過(guò)程、水處理等，這種類型的攻擊可能導(dǎo)致嚴(yán)重的安全威脅。
最后，在蜜罐數(shù)據(jù)中，攻擊中涉及“代理IP”的情報(bào)數(shù)量最少。本團(tuán)隊(duì)推測(cè)：代理IP作為一種特殊的IP地址，依據(jù)通常的使用習(xí)慣，用戶購(gòu)買代理IP并不能隨意使用。這些IP會(huì)由專門的管理人員進(jìn)行監(jiān)管，當(dāng)發(fā)現(xiàn)某用戶頻繁通過(guò)特定的代理IP進(jìn)行攻擊，管理人員會(huì)迅速回收該IP，停止其使用權(quán)限。同時(shí)，當(dāng)前針對(duì)“代理IP”攻擊的防護(hù)解決方案較為成熟，因此攻擊者更趨向于采用多種手段對(duì)工控系統(tǒng)進(jìn)行全方位的攻擊。

6.5 工控網(wǎng)絡(luò)探針

6.5.1 數(shù)據(jù)處理之Honeyeye

隨著信息網(wǎng)絡(luò)與現(xiàn)代工業(yè)不斷高度融合，大量工控系統(tǒng)逐漸與公共互聯(lián)網(wǎng)連接，這為其本身帶來(lái)了巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如今網(wǎng)絡(luò)攻擊日益復(fù)雜和隱蔽，針對(duì)工控系統(tǒng)進(jìn)行攻擊的技術(shù)和方式層出不窮。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施在面對(duì)網(wǎng)絡(luò)攻擊時(shí)，可能會(huì)出現(xiàn)抓取不到網(wǎng)絡(luò)流量導(dǎo)致后續(xù)檢測(cè)不到網(wǎng)絡(luò)攻擊的情況，因此網(wǎng)絡(luò)探針技術(shù)應(yīng)運(yùn)而生，為網(wǎng)絡(luò)安全防護(hù)提供數(shù)據(jù)支撐。網(wǎng)絡(luò)探針是一個(gè)用于捕獲網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行實(shí)時(shí)監(jiān)控和分析的組件，它通常被部署在工控網(wǎng)絡(luò)中的關(guān)鍵位置，對(duì)工控網(wǎng)絡(luò)的安全防護(hù)有著十分重要的意義。
由“諦聽(tīng)”網(wǎng)絡(luò)安全團(tuán)隊(duì)研發(fā)的Honeyeye工控網(wǎng)絡(luò)探針主要由終端硬件和功能軟件組成，支持30余種工控協(xié)議的解析。Honeyeye捕獲到工控系統(tǒng)的網(wǎng)絡(luò)流量之后，對(duì)其捕獲到的數(shù)據(jù)進(jìn)行分析和預(yù)處理，將網(wǎng)絡(luò)流量數(shù)據(jù)解析成可讀性更高以及機(jī)器更易處理的格式，然后將所需數(shù)據(jù)傳輸?shù)綌?shù)據(jù)中心。后續(xù)通過(guò)對(duì)Honeyeye輸出的數(shù)據(jù)綜合處理分析可實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)進(jìn)行異常行為識(shí)別和處理。 從圖6-7可以看出，相較與主流的網(wǎng)絡(luò)流量解析工具Wireshark，本團(tuán)隊(duì)所研發(fā)的探針Honeyeye解析速度更快。Wireshark僅僅將捕獲的原始二進(jìn)制數(shù)據(jù)保存在PCAP文件中，未對(duì)數(shù)據(jù)進(jìn)行任何轉(zhuǎn)換。相比之下，Honeyeye捕獲網(wǎng)絡(luò)流量并進(jìn)行解析后，將數(shù)據(jù)轉(zhuǎn)換為更易處理的格式，并以Json格式傳輸?shù)竭h(yuǎn)端服務(wù)器，便于人員查看以及處理分析。
6.5.2 網(wǎng)絡(luò)安全態(tài)勢(shì)可視化
本團(tuán)隊(duì)開(kāi)發(fā)的網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)便于用戶查看設(shè)備網(wǎng)絡(luò)情況以及通信數(shù)據(jù)，為用戶監(jiān)控設(shè)備網(wǎng)絡(luò)環(huán)境、查看網(wǎng)絡(luò)流量、發(fā)現(xiàn)網(wǎng)絡(luò)異常等提供了便利。Honeyeye把捕獲到的網(wǎng)絡(luò)流量數(shù)據(jù)的格式進(jìn)行轉(zhuǎn)換并發(fā)送到遠(yuǎn)端服務(wù)器后，網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)分析其中的數(shù)據(jù)并進(jìn)行相關(guān)展示。
網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)包括設(shè)備狀態(tài)監(jiān)測(cè)、網(wǎng)絡(luò)流量統(tǒng)計(jì)、工控協(xié)議數(shù)據(jù)包數(shù)量統(tǒng)計(jì)、設(shè)備交互地址統(tǒng)計(jì)等模塊，用戶通過(guò)此系統(tǒng)可查看設(shè)備的運(yùn)行狀態(tài)、傳輸速率、實(shí)時(shí)流量統(tǒng)計(jì)、帶寬變化等數(shù)據(jù)。此外用戶可根據(jù)這些數(shù)據(jù)來(lái)判斷設(shè)備和通信網(wǎng)絡(luò)是否發(fā)生異常，以便減少突發(fā)事件，進(jìn)而為網(wǎng)絡(luò)安全提供保障。

7.1工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀

7.1.1 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展現(xiàn)狀

隨著工業(yè)互聯(lián)網(wǎng)的普及與發(fā)展，互聯(lián)網(wǎng)與工業(yè)的融合不斷向前推進(jìn)，隨之而來(lái)的是工業(yè)領(lǐng)域安全事件頻發(fā)。企業(yè)對(duì)工控網(wǎng)絡(luò)安全的關(guān)注加深，工業(yè)互聯(lián)網(wǎng)安全需求量持續(xù)增大，據(jù)《中國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展態(tài)勢(shì)研究》顯示，2021年，我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模達(dá)168億元，其中工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)規(guī)模為75.7億元^[8]；2022年，我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模達(dá)204.86億元，市場(chǎng)增長(zhǎng)率達(dá)21.62%^[9]。我國(guó)工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)需求不斷增長(zhǎng)、產(chǎn)業(yè)生態(tài)逐漸完善，整體產(chǎn)業(yè)規(guī)模呈持續(xù)增長(zhǎng)態(tài)勢(shì)。
目前，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的組成主要分為安全產(chǎn)品和安全服務(wù)兩大類^[10]。在安全產(chǎn)品方面，防護(hù)類產(chǎn)品主要包括邊界和終端安全防護(hù)，這是目前市場(chǎng)上發(fā)展較為成熟且市場(chǎng)占有率較大的形態(tài)。在管理類產(chǎn)品方面，態(tài)勢(shì)感知、安全合規(guī)管理和安全運(yùn)維等產(chǎn)品成為安全廠商布局的重要方向。在國(guó)家和行業(yè)政策的推動(dòng)下，我國(guó)工業(yè)企業(yè)對(duì)合規(guī)安全和內(nèi)生安全的需求加速增長(zhǎng)，未來(lái)這類產(chǎn)品的市場(chǎng)規(guī)模也將保持穩(wěn)定增長(zhǎng)。
在工業(yè)互聯(lián)網(wǎng)安全服務(wù)方面，由于工業(yè)網(wǎng)絡(luò)威脅趨向多樣化和復(fù)雜化，傳統(tǒng)的單一安全產(chǎn)品模式已經(jīng)難以滿足用戶的安全防護(hù)需求。因此，以風(fēng)險(xiǎn)評(píng)估、安全管理咨詢、安全應(yīng)急響應(yīng)、安全托管服務(wù)為主的安全服務(wù)受到更多關(guān)注。工業(yè)互聯(lián)網(wǎng)安全評(píng)估和安全培訓(xùn)的需求逐漸增加，科研院所和高校對(duì)工業(yè)信息安全人才培養(yǎng)的重視也促使安全培訓(xùn)服務(wù)市場(chǎng)快速增長(zhǎng)。

 
7.1.2 工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展現(xiàn)狀
工業(yè)互聯(lián)網(wǎng)安全是工業(yè)系統(tǒng)安全和網(wǎng)絡(luò)空間安全相融合的領(lǐng)域，涵蓋工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化過(guò)程中各個(gè)要素和各個(gè)環(huán)節(jié)的安全。我國(guó)工業(yè)互聯(lián)網(wǎng)安全技術(shù)體系可以分為外建安全（IT安全）和內(nèi)嵌安全（OT安全）兩大類。隨著工業(yè)互聯(lián)網(wǎng)的加速推進(jìn)，來(lái)自工控系統(tǒng)、工業(yè)智能設(shè)備、數(shù)據(jù)的安全問(wèn)題不容忽視，以IT安全為主的安全產(chǎn)品和防護(hù)并不能滿足工業(yè)互聯(lián)網(wǎng)安全，目前IT安全和OT安全充分結(jié)合進(jìn)行縱深發(fā)展。
隨著大數(shù)據(jù)、云計(jì)算、人工智能、邊緣計(jì)算等新一代信息技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域快速應(yīng)用，IT和OT的融合進(jìn)程也在加速。這一系列技術(shù)的變化對(duì)安全理念和技術(shù)提出了新的要求，推動(dòng)安全態(tài)勢(shì)感知、安全可視化、威脅情報(bào)、大數(shù)據(jù)處理等新技術(shù)在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域取得持續(xù)突破。促使定制化安全產(chǎn)品加速出現(xiàn)，滿足客戶不同產(chǎn)品形態(tài)、性能的需求；安全服務(wù)將由現(xiàn)場(chǎng)服務(wù)為主、遠(yuǎn)程服務(wù)為輔轉(zhuǎn)向遠(yuǎn)程化、云化、自動(dòng)化、平臺(tái)化發(fā)展。整體而言，圍繞設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大安全領(lǐng)域，結(jié)合多領(lǐng)域、新技術(shù)的工業(yè)互聯(lián)網(wǎng)安全解決方案將不斷出現(xiàn)，為工業(yè)企業(yè)部署安全防護(hù)措施提供可參考的模式。
7.1.3 工業(yè)互聯(lián)網(wǎng)安全目前面臨的風(fēng)險(xiǎn)和挑戰(zhàn)
工業(yè)互聯(lián)網(wǎng)平臺(tái)具有安全風(fēng)險(xiǎn)。工業(yè)互聯(lián)網(wǎng)平臺(tái)邊緣層存在對(duì)海量工業(yè)設(shè)備狀態(tài)感知、安全配置自動(dòng)更新和主動(dòng)管理等方面的不足，由此導(dǎo)致利用大量工業(yè)設(shè)備發(fā)起的高級(jí)持續(xù)性威脅（APT）攻擊的感染范圍更廣、傳播性更強(qiáng)。工業(yè)互聯(lián)網(wǎng)平臺(tái)上的工業(yè)應(yīng)用系統(tǒng)越發(fā)多樣，需要集成多個(gè)低耦合的工業(yè)微服務(wù)組件。然而，由于缺乏詳細(xì)的安全設(shè)計(jì)，這些系統(tǒng)容易受到內(nèi)部入侵、跳板入侵、內(nèi)部外聯(lián)、社會(huì)攻擊和非法訪問(wèn)等多方面的安全威脅。
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)具有安全風(fēng)險(xiǎn)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的關(guān)鍵組成部分，是實(shí)現(xiàn)全球制造業(yè)發(fā)展和工業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)的基礎(chǔ)設(shè)施，為互聯(lián)互通提供關(guān)鍵資源和基礎(chǔ)服務(wù)。標(biāo)識(shí)解析系統(tǒng)的安全性涉及到DNS、數(shù)字證書(shū)、域名注冊(cè)、路由與IP地址等方面，很容易受到來(lái)自于外部的非法入侵。在5G網(wǎng)絡(luò)安全方面，隨著5G與工業(yè)互聯(lián)網(wǎng)的深度融合，引入了邊緣計(jì)算等新技術(shù)，大量工業(yè)設(shè)備接入網(wǎng)絡(luò)。這一趨勢(shì)打破了傳統(tǒng)工業(yè)相對(duì)封閉可信的安全環(huán)境，導(dǎo)致了病毒、勒索軟件、系統(tǒng)漏洞以及DDoS攻擊等安全風(fēng)險(xiǎn)在工業(yè)領(lǐng)域不斷增加，這些安全威脅對(duì)工業(yè)系統(tǒng)的威脅日益加劇。
工業(yè)互聯(lián)網(wǎng)設(shè)備具有安全風(fēng)險(xiǎn)。在工業(yè)控制設(shè)備安全方面，工業(yè)控制系統(tǒng)雖然集成度高，但安全防護(hù)相對(duì)薄弱，存在被非法訪問(wèn)控制的風(fēng)險(xiǎn)，可能導(dǎo)致工業(yè)生產(chǎn)中斷或設(shè)備損壞。不同工業(yè)控制設(shè)備的安全能力參差不齊，缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和規(guī)范，這使得整體安全防護(hù)水平無(wú)法得到有效提升。工業(yè)主機(jī)安全風(fēng)險(xiǎn)方面，隨著企業(yè)信息網(wǎng)絡(luò)的廣泛應(yīng)用與不斷改進(jìn)，越來(lái)越多的工業(yè)主機(jī)被引入工業(yè)環(huán)境。這些主機(jī)系統(tǒng)的復(fù)雜性導(dǎo)致存在各種軟硬件和接口漏洞，如操作系統(tǒng)漏洞、工控系統(tǒng)平臺(tái)漏洞等，這些漏洞可能被黑客利用，從而導(dǎo)致系統(tǒng)被入侵和控制。
隨著工業(yè)互聯(lián)網(wǎng)發(fā)展的同時(shí)，其設(shè)備漏洞的數(shù)量和種類逐漸增多，這給企業(yè)甚至國(guó)家?guī)?lái)了極高的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如果能夠及時(shí)發(fā)現(xiàn)設(shè)備漏洞的種類和數(shù)量并將其漏洞修復(fù)，那么將會(huì)規(guī)避大部分的網(wǎng)絡(luò)威脅，根據(jù)CNVD統(tǒng)計(jì)的發(fā)生數(shù)量最多的100例漏洞類型來(lái)看，緩沖區(qū)溢出類型漏洞數(shù)量占比最多，以13%位居首位，任意文件上傳類型漏洞數(shù)量最少，占比 4%，其他類型漏洞占比 44%^[11]，根據(jù)圖7-1所示。

7.2 政策標(biāo)準(zhǔn)完善

這些年來(lái)，我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展取得顯著成效，政策體系持續(xù)健全，技術(shù)產(chǎn)業(yè)創(chuàng)新突破，數(shù)字賦能氣勢(shì)磅礴，生態(tài)建設(shè)日益完善。工業(yè)互聯(lián)網(wǎng)作為新型工業(yè)化的重要組成部分和關(guān)鍵驅(qū)動(dòng)，對(duì)實(shí)現(xiàn)量的增長(zhǎng)、質(zhì)的提升、技的進(jìn)步、數(shù)的轉(zhuǎn)型、碳的治理、鏈的安全具有重要作用^[12]。
二十大以來(lái)，我國(guó)不斷推動(dòng)工業(yè)互聯(lián)網(wǎng)創(chuàng)新戰(zhàn)略走深走實(shí)，與我國(guó)的產(chǎn)業(yè)發(fā)展相互適應(yīng)、齊頭并進(jìn)。2023年6月，工信部印發(fā)了《工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組2023年工作計(jì)劃》，啟動(dòng)“5G+工業(yè)互聯(lián)網(wǎng)”512升級(jí)版工作方案，全方位、多層次的政策體系將持續(xù)引領(lǐng)“5G+工業(yè)互聯(lián)網(wǎng)”向更大規(guī)模、更廣范圍、更深層次發(fā)展?！队?jì)劃》要求，開(kāi)展平臺(tái)體系壯大行動(dòng)。一是推動(dòng)工業(yè)互聯(lián)網(wǎng)平臺(tái)在企業(yè)、園區(qū)、產(chǎn)業(yè)集群應(yīng)用推廣。二是強(qiáng)化平臺(tái)設(shè)施建設(shè)，遴選跨行業(yè)跨領(lǐng)域綜合型、面向重點(diǎn)行業(yè)和區(qū)域的特色型、面向特定技術(shù)領(lǐng)域的專業(yè)型工業(yè)互聯(lián)網(wǎng)平臺(tái)。三是加快工業(yè)設(shè)備和業(yè)務(wù)系統(tǒng)上云上平臺(tái)，加速已有工業(yè)軟件云化遷移。四是加快推進(jìn)工業(yè)設(shè)備數(shù)據(jù)字典標(biāo)準(zhǔn)研制與推廣應(yīng)用。五是研制分類型工業(yè)互聯(lián)網(wǎng)平臺(tái)供應(yīng)商能力畫像，推動(dòng)平臺(tái)與用戶需求對(duì)接與適配^[13]。以《計(jì)劃》為指引，未來(lái)將繼續(xù)完善與制定政策，在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，積極制定并不斷完善相關(guān)政策法規(guī)，以適應(yīng)科技快速發(fā)展的變化；建立健全的標(biāo)準(zhǔn)體系，促進(jìn)工業(yè)互聯(lián)網(wǎng)安全的全面發(fā)展。政策標(biāo)準(zhǔn)將涉及設(shè)備安全、數(shù)據(jù)安全、應(yīng)用安全等各個(gè)方面，并引入認(rèn)證機(jī)制以確保相關(guān)產(chǎn)品和服務(wù)符合這些標(biāo)準(zhǔn)；加強(qiáng)規(guī)范管理，企業(yè)在工業(yè)互聯(lián)網(wǎng)安全方面應(yīng)建立完善的管理制度，確保各級(jí)責(zé)任和權(quán)限的明確，并通過(guò)有效的執(zhí)行機(jī)制保障各項(xiàng)安全措施的實(shí)施。
總體來(lái)看，我國(guó)的工業(yè)互聯(lián)網(wǎng)已實(shí)現(xiàn)起步發(fā)展，在基礎(chǔ)設(shè)施建設(shè)、公共平臺(tái)打造、優(yōu)質(zhì)企業(yè)及供應(yīng)商培育、新模式新業(yè)態(tài)發(fā)展等方面初顯成效。在未來(lái)的發(fā)展中，工業(yè)互聯(lián)網(wǎng)將加速向細(xì)分垂直領(lǐng)域延伸，制定和完善政策，建立健全的標(biāo)準(zhǔn)體系，加強(qiáng)規(guī)范管理，深度解決行業(yè)發(fā)展的痛點(diǎn)問(wèn)題。隨著新型基礎(chǔ)設(shè)施的建設(shè)量質(zhì)并進(jìn)，新模式、新業(yè)態(tài)的大范圍推廣，預(yù)計(jì)產(chǎn)業(yè)綜合實(shí)力會(huì)顯著提升。

7.3 安全技術(shù)融合

工業(yè)互聯(lián)網(wǎng)的快速發(fā)展為制造業(yè)帶來(lái)了前所未有的機(jī)遇，同時(shí)也伴隨著新的安全挑戰(zhàn)。將工業(yè)互聯(lián)網(wǎng)安全與新興技術(shù)（如人工智能、區(qū)塊鏈和邊緣計(jì)算等）深度融合，能夠構(gòu)建更強(qiáng)大、更可靠的工業(yè)互聯(lián)網(wǎng)系統(tǒng)，為工業(yè)界帶來(lái)持續(xù)的增長(zhǎng)和繁榮。
人工智能與工業(yè)互聯(lián)網(wǎng)安全結(jié)合為威脅檢測(cè)和防御提供了更高效和準(zhǔn)確的方法。通過(guò)運(yùn)用機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法，可以實(shí)時(shí)監(jiān)測(cè)并預(yù)警異常行為，增強(qiáng)對(duì)未知攻擊和高級(jí)威脅的識(shí)別能力。
區(qū)塊鏈技術(shù)的引入為工業(yè)互聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)和通信安全提供了新的保障。區(qū)塊鏈技術(shù)以其分布式、不可篡改及可追溯性，為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)和通信安全提供了有力保障。其去中心化特點(diǎn)減少了單點(diǎn)故障和攻擊風(fēng)險(xiǎn)，強(qiáng)化了系統(tǒng)的穩(wěn)健性和抗攻擊性，同時(shí)也在身份驗(yàn)證、訪問(wèn)控制以及供應(yīng)鏈安全管理等方面發(fā)揮重要作用。
邊緣計(jì)算的發(fā)展為工業(yè)互聯(lián)網(wǎng)安全帶來(lái)了更高效的實(shí)時(shí)監(jiān)測(cè)和響應(yīng)能力。通邊緣計(jì)算可以將計(jì)算和數(shù)據(jù)處理推向網(wǎng)絡(luò)的邊緣，減少了數(shù)據(jù)傳輸和處理的延遲。邊緣計(jì)算還可結(jié)合安全技術(shù)，以實(shí)現(xiàn)分布式的入侵檢測(cè)和防御，將安全功能與設(shè)備和傳感器緊密集成，提高系統(tǒng)整體的安全性。
信息技術(shù)（IT）與操作技術(shù)（OT）的日益融合，驅(qū)動(dòng)著工業(yè)數(shù)字化轉(zhuǎn)型和制造業(yè)高質(zhì)量發(fā)展。以工業(yè)互聯(lián)網(wǎng)為代表的數(shù)字化應(yīng)用正深刻改變著工業(yè)生產(chǎn)管理、運(yùn)營(yíng)決策及制造執(zhí)行等多個(gè)環(huán)節(jié)。然而，IT與OT融合也加劇了工業(yè)生產(chǎn)安全問(wèn)題的復(fù)雜性。因此，在數(shù)字化轉(zhuǎn)型背景下，確保工業(yè)生產(chǎn)安全運(yùn)行至關(guān)重要，企業(yè)須構(gòu)建全面適應(yīng)網(wǎng)絡(luò)威脅變化的安全體系，實(shí)現(xiàn)IT與OT安全的有效融合。因此我們從網(wǎng)絡(luò)融合^[14]、安全標(biāo)準(zhǔn)^[15]、授權(quán)訪問(wèn)^[16]、實(shí)時(shí)監(jiān)控和響應(yīng)^[17]四個(gè)方面深入探討了IT與OT融合的關(guān)鍵要素。
網(wǎng)絡(luò)融合：在將IT與OT網(wǎng)絡(luò)整合為一個(gè)統(tǒng)一的架構(gòu)時(shí)，必須認(rèn)識(shí)到它們之間在網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)架構(gòu)和安全需求方面的顯著差異。雖然這種整合可以提高信息流通效率和實(shí)時(shí)性，但也帶來(lái)了新的網(wǎng)絡(luò)安全挑戰(zhàn)，增加了潛在威脅的曝露范圍，導(dǎo)致安全問(wèn)題頻發(fā)。因?yàn)閭鹘y(tǒng)的IT安全措施可能不足以應(yīng)對(duì)工業(yè)控制系統(tǒng)的需求，同時(shí)OT系統(tǒng)的特殊性也需要考慮不同的安全策略。因此可以通過(guò)網(wǎng)絡(luò)隔離和分段，確保IT和OT系統(tǒng)的獨(dú)立性，以防止橫向傳播攻擊。同時(shí)，加強(qiáng)訪問(wèn)控制和身份驗(yàn)證，實(shí)施嚴(yán)格的權(quán)限控制。對(duì)于敏感數(shù)據(jù)的傳輸，采用加密通信技術(shù)來(lái)保障數(shù)據(jù)的機(jī)密性。在防御層面，部署專門為IT和OT系統(tǒng)設(shè)計(jì)的防火墻和入侵檢測(cè)系統(tǒng)（IDS），以及使用虛擬專用網(wǎng)絡(luò)（VPN）來(lái)保障遠(yuǎn)程連接的安全性。此外，定期進(jìn)行網(wǎng)絡(luò)安全審計(jì)，漏洞管理也是確保網(wǎng)絡(luò)安全的關(guān)鍵步驟。這種綜合的安全策略旨在平衡信息流通效率和網(wǎng)絡(luò)安全性，以應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)威脅。在追求高效性的同時(shí)，確保整合后系統(tǒng)的穩(wěn)健性和抗攻擊性，以應(yīng)對(duì)日益復(fù)雜和智能化的網(wǎng)絡(luò)威脅。
安全標(biāo)準(zhǔn)：建立適用于IT和OT的統(tǒng)一全標(biāo)準(zhǔn)是確保工業(yè)系統(tǒng)全面抵御威脅的基礎(chǔ)。這種標(biāo)準(zhǔn)化的方法有助于統(tǒng)一安全策略、流程和技術(shù)實(shí)施，以確保在數(shù)字化轉(zhuǎn)型過(guò)程中整體安全性的一致性。IT和OT通常涉及到不同的技術(shù)、流程和文化。通過(guò)建立統(tǒng)一的安全標(biāo)準(zhǔn)，可以確保在IT和OT之間實(shí)現(xiàn)一致性，消除可能存在的差異性和不一致性。而且統(tǒng)一的安全標(biāo)準(zhǔn)可以為IT和OT提供共同的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)共享風(fēng)險(xiǎn)信息，可以更好地理解整個(gè)系統(tǒng)的安全狀態(tài)。統(tǒng)一的安全標(biāo)準(zhǔn)確保在IT和OT之間制定一致的安全策略和控制措施，這包括身份和訪問(wèn)管理、數(shù)據(jù)加密、網(wǎng)絡(luò)防御等方面，以確保全面的安全性覆蓋。建立適用于IT與OT的統(tǒng)一安全標(biāo)準(zhǔn)有助于確保工業(yè)系統(tǒng)在數(shù)字化轉(zhuǎn)型中更加安全、穩(wěn)定，并能夠有效地抵御各種威脅。這是一個(gè)綜合性的方法，通過(guò)標(biāo)準(zhǔn)化的安全措施促使整個(gè)組織在IT和OT的融合中更好地應(yīng)對(duì)安全挑戰(zhàn)。
授權(quán)訪問(wèn)：通過(guò)身份驗(yàn)證、訪問(wèn)控制和權(quán)限管理等技術(shù)，限制對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，確保只有經(jīng)過(guò)授權(quán)的人員能夠訪問(wèn)關(guān)鍵系統(tǒng)和數(shù)據(jù)，從而有效保護(hù)敏感信息免受泄露。同時(shí)，采用數(shù)據(jù)加密算法對(duì)在IT和OT系統(tǒng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密，即使數(shù)據(jù)在傳輸過(guò)程中被截獲，攻擊者也無(wú)法輕松解讀其內(nèi)容。此外，對(duì)于存儲(chǔ)在數(shù)據(jù)庫(kù)或其他媒體上的數(shù)據(jù)，同樣應(yīng)采用適當(dāng)?shù)募用芩惴▉?lái)提高數(shù)據(jù)安全性。
實(shí)時(shí)監(jiān)控和響應(yīng)：實(shí)現(xiàn)對(duì)IT和OT融合后網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)控和響應(yīng)是關(guān)鍵的網(wǎng)絡(luò)安全措施。首先，在攻擊發(fā)生前利用安全信息與事件管理（Security information and event management ,SIEM）系統(tǒng)集成并分析來(lái)自各種IT和OT系統(tǒng)的安全事件日志，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控，從而提前采取措施防止?jié)撛诘墓艉腿肭中袨?。SIEM系統(tǒng)能夠自動(dòng)檢測(cè)異常模式和潛在的威脅，提供及時(shí)的報(bào)警和警報(bào)。其次，在攻擊實(shí)施過(guò)程期間，利用實(shí)時(shí)流量分析工具和結(jié)合深度學(xué)習(xí)技術(shù)的入侵檢測(cè)方法，如入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），監(jiān)控IT和OT系統(tǒng)之間的網(wǎng)絡(luò)流量，通過(guò)檢測(cè)異常流量模式、不尋常的通信和數(shù)據(jù)傳輸行為來(lái)發(fā)現(xiàn)潛在的攻擊活動(dòng)。另外，在網(wǎng)絡(luò)中部署蜜罐，模擬真實(shí)系統(tǒng)，吸引攻擊者并記錄攻擊活動(dòng)。通過(guò)以上方法可以提供對(duì)潛在攻擊者行為的實(shí)時(shí)了解，并幫助改善安全防護(hù)策略。最后，當(dāng)攻擊發(fā)生后，利用IT和OT系統(tǒng)之間實(shí)施網(wǎng)絡(luò)隔離和切割策略，減少攻擊傳播的可能性。一旦檢測(cè)到異?；顒?dòng)，迅速隔離受影響的部分，阻止?jié)撛诘耐{在終端設(shè)備上擴(kuò)散，以降低損害程度。

7.4 產(chǎn)業(yè)協(xié)同創(chuàng)新

工業(yè)互聯(lián)網(wǎng)與產(chǎn)業(yè)協(xié)同創(chuàng)新，宛若現(xiàn)代產(chǎn)業(yè)蓬勃發(fā)展的引擎，正在引領(lǐng)著各個(gè)領(lǐng)域的深刻演變。在這個(gè)充滿無(wú)限機(jī)遇和巨大挑戰(zhàn)的時(shí)代，人們對(duì)產(chǎn)業(yè)的前景充滿期待，涉足多個(gè)至關(guān)重要的領(lǐng)域。其中，突破傳統(tǒng)安全生產(chǎn)的束縛，有效建設(shè)業(yè)務(wù)安全，以及引領(lǐng)產(chǎn)業(yè)數(shù)字化智能化轉(zhuǎn)型，成為引領(lǐng)未來(lái)的關(guān)鍵驅(qū)動(dòng)力。這一系列展望不僅將為產(chǎn)業(yè)創(chuàng)新打下堅(jiān)實(shí)基礎(chǔ)，更將雕刻出一個(gè)更加活力充沛、可持續(xù)發(fā)展的未來(lái)畫卷。
在安全生產(chǎn)方面，這是一個(gè)需要企業(yè)、政府、從業(yè)人員等多方通力合作的復(fù)雜系統(tǒng)工程。通過(guò)科學(xué)、規(guī)范、有序的安全生產(chǎn)管理，事故的發(fā)生概率得以有效降低，從而最大限度地保障從業(yè)人員的安全和健康。這全面的安全管理不僅是企業(yè)履行社會(huì)責(zé)任的體現(xiàn)，同時(shí)也是推動(dòng)可持續(xù)經(jīng)濟(jì)發(fā)展的不可或缺的要素。在這一背景下，工業(yè)互聯(lián)網(wǎng)技術(shù)的應(yīng)用成為提升生產(chǎn)安全性的關(guān)鍵手段。通過(guò)實(shí)時(shí)監(jiān)測(cè)和控制生產(chǎn)過(guò)程，工業(yè)互聯(lián)網(wǎng)技術(shù)顯著提高了生產(chǎn)的安全性水平。展望未來(lái)，工業(yè)互聯(lián)網(wǎng)將更深度地與安全生產(chǎn)相融合，通過(guò)智能手段預(yù)防潛在事故風(fēng)險(xiǎn)，確保生產(chǎn)過(guò)程的持續(xù)穩(wěn)定和可靠性。這不僅有助于保障從業(yè)人員的安全，也為企業(yè)履行社會(huì)責(zé)任、推動(dòng)經(jīng)濟(jì)可持續(xù)發(fā)展提供了堅(jiān)實(shí)的支持。
工業(yè)互聯(lián)網(wǎng)在安全生產(chǎn)中的應(yīng)用可以從4個(gè)方面展開(kāi)：設(shè)備監(jiān)測(cè)和維護(hù)，預(yù)警與預(yù)測(cè)，安全生產(chǎn)培訓(xùn)，協(xié)同管理^[18]。在設(shè)備監(jiān)測(cè)和維護(hù)方面，通過(guò)引入傳感器和物聯(lián)網(wǎng)技術(shù)，能夠?qū)崟r(shí)監(jiān)測(cè)設(shè)備的運(yùn)行狀態(tài)和故障情況。這使得問(wèn)題能夠及時(shí)被發(fā)現(xiàn)和解決，通過(guò)工業(yè)互聯(lián)網(wǎng)，設(shè)備的數(shù)據(jù)能夠傳輸?shù)皆贫诉M(jìn)行深度分析和處理，從而有效避免因設(shè)備故障引發(fā)的安全生產(chǎn)事故，保障生產(chǎn)的穩(wěn)定性和可靠性。在預(yù)警與預(yù)測(cè)方面，大數(shù)據(jù)和人工智能技術(shù)的運(yùn)用成為了強(qiáng)有力的手段。通過(guò)對(duì)設(shè)備運(yùn)行數(shù)據(jù)和環(huán)境數(shù)據(jù)的深度分析和預(yù)測(cè)，能夠提前發(fā)現(xiàn)潛在的安全隱患和事故風(fēng)險(xiǎn)，并采取及時(shí)的措施進(jìn)行防范。安全生產(chǎn)培訓(xùn)方面，借助工業(yè)互聯(lián)網(wǎng)技術(shù)，企業(yè)能夠?yàn)閱T工提供豐富的培訓(xùn)資源，包括在線課程和培訓(xùn)視頻等。這樣的培訓(xùn)方式有助于提高員工的安全意識(shí)和技能水平，使其更具備應(yīng)對(duì)潛在危險(xiǎn)的能力。最后，在協(xié)同管理方面，通過(guò)工業(yè)互聯(lián)網(wǎng)平臺(tái)的應(yīng)用，企業(yè)內(nèi)部和供應(yīng)鏈之間實(shí)現(xiàn)了高效的信息共享和協(xié)作。這提高了安全管理的效率和準(zhǔn)確性，使得各方能夠更迅速、準(zhǔn)確地響應(yīng)潛在安全風(fēng)險(xiǎn)，共同維護(hù)整體生產(chǎn)體系的穩(wěn)定和安全。綜合來(lái)看，工業(yè)互聯(lián)網(wǎng)技術(shù)全方位提升安全生產(chǎn)水平，通過(guò)監(jiān)測(cè)、預(yù)警、培訓(xùn)和協(xié)同管理等手段，有效減少安全事故發(fā)生率。
產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型是通過(guò)全方位、多角度、全鏈條的數(shù)字技術(shù)改造，旨在解決企業(yè)和產(chǎn)業(yè)發(fā)展中的難題。這一過(guò)程涉及重新定義和設(shè)計(jì)產(chǎn)品、服務(wù)，以實(shí)現(xiàn)業(yè)務(wù)的轉(zhuǎn)型、創(chuàng)新和增長(zhǎng)。產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型對(duì)推動(dòng)我國(guó)經(jīng)濟(jì)實(shí)現(xiàn)高質(zhì)量發(fā)展具有至關(guān)重要的意義。工業(yè)互聯(lián)網(wǎng)技術(shù)為產(chǎn)業(yè)數(shù)字化智能化轉(zhuǎn)型提供了有力支持。借助工業(yè)互聯(lián)網(wǎng)，企業(yè)能夠?qū)崿F(xiàn)生產(chǎn)環(huán)節(jié)的實(shí)時(shí)監(jiān)測(cè)、數(shù)據(jù)交互和智能決策。這一技術(shù)連接了設(shè)備和系統(tǒng)，構(gòu)建了更為智能的生產(chǎn)網(wǎng)絡(luò)，使得信息能夠更快速地流通，生產(chǎn)過(guò)程也更加智能化。工業(yè)互聯(lián)網(wǎng)與產(chǎn)業(yè)數(shù)字化智能化轉(zhuǎn)型相互促進(jìn)，共同推動(dòng)了企業(yè)數(shù)字化升級(jí)和產(chǎn)業(yè)創(chuàng)新。未來(lái)，隨著工業(yè)互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，產(chǎn)業(yè)將更深度地整合先進(jìn)的數(shù)字技術(shù)，包括更廣泛的人工智能應(yīng)用、更復(fù)雜的大數(shù)據(jù)分析，以及更為智能的自動(dòng)化系統(tǒng)。這將進(jìn)一步提升生產(chǎn)效率、產(chǎn)品質(zhì)量和企業(yè)創(chuàng)新能力，引領(lǐng)產(chǎn)業(yè)朝著數(shù)字化時(shí)代的新高度發(fā)展。通過(guò)工業(yè)互聯(lián)網(wǎng)在產(chǎn)業(yè)數(shù)字化智能化轉(zhuǎn)型中的引領(lǐng)作用，企業(yè)將更好地適應(yīng)未來(lái)數(shù)字化時(shí)代的挑戰(zhàn)，實(shí)現(xiàn)可持續(xù)發(fā)展。
2023年10月，全球工業(yè)互聯(lián)網(wǎng)大會(huì)在中國(guó)沈陽(yáng)召開(kāi)，本次會(huì)議以“賦能新型工業(yè)化 打造新質(zhì)生產(chǎn)力”為主題，通過(guò)舉辦開(kāi)幕式、主旨論壇、制造業(yè)數(shù)字化轉(zhuǎn)型對(duì)接活動(dòng)、專題論壇、平行論壇、工業(yè)互聯(lián)網(wǎng)創(chuàng)新成果展等系列活動(dòng)，助力推進(jìn)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展。會(huì)上發(fā)布了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展報(bào)告(2023)》?！秷?bào)告》顯示，當(dāng)前，我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展取得顯著成效。工業(yè)互聯(lián)網(wǎng)功能體系不斷完善，產(chǎn)業(yè)規(guī)模超1.2萬(wàn)億元，5G基站達(dá)到313.8萬(wàn)個(gè)，培育50家“雙跨”工業(yè)互聯(lián)網(wǎng)平臺(tái)，應(yīng)用已拓展至45個(gè)國(guó)民經(jīng)濟(jì)大類，各地建設(shè)數(shù)字化車間和智能工廠近8000個(gè)，百余所院校增設(shè)工業(yè)互聯(lián)網(wǎng)相關(guān)專業(yè)，多地設(shè)立產(chǎn)業(yè)投資基金，工業(yè)互聯(lián)網(wǎng)平臺(tái)創(chuàng)新合作中心會(huì)員單位超1100家^[19]。雖然工業(yè)互聯(lián)網(wǎng)已經(jīng)融合進(jìn)制造業(yè)，仍需在更多行業(yè)中深度融入，鞏固跨界合作，提高應(yīng)用深度與廣度，為其他行業(yè)提供技術(shù)和解決方案支持，推動(dòng)產(chǎn)業(yè)數(shù)字化全面向好發(fā)展。未來(lái)，工業(yè)互聯(lián)網(wǎng)創(chuàng)新將持續(xù)引領(lǐng)我國(guó)產(chǎn)業(yè)的迭代創(chuàng)新，提升我國(guó)產(chǎn)業(yè)的核心競(jìng)爭(zhēng)力。

 
2023年，工業(yè)控制網(wǎng)絡(luò)安全仍然是我國(guó)發(fā)展的焦點(diǎn)。黨的二十大報(bào)告對(duì)推進(jìn)新型工業(yè)化和構(gòu)建現(xiàn)代化基礎(chǔ)設(shè)施體系進(jìn)行了重大戰(zhàn)略部署，其中工業(yè)互聯(lián)網(wǎng)作為構(gòu)建全面互聯(lián)的關(guān)鍵基礎(chǔ)設(shè)施被連續(xù)五年明確為政府工作報(bào)告的重點(diǎn)發(fā)展任務(wù)之一。這些舉措旨在確保工業(yè)互聯(lián)網(wǎng)的高質(zhì)量發(fā)展，并加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)，表明政府對(duì)工業(yè)控制網(wǎng)絡(luò)安全的高度重視。
然而，隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用范圍的不斷擴(kuò)大，安全風(fēng)險(xiǎn)也隨之增加。2023年，工控領(lǐng)域仍然面臨著頻發(fā)的安全事件，各類網(wǎng)絡(luò)攻擊威脅持續(xù)上升。特別值得關(guān)注的是，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊呈現(xiàn)上升趨勢(shì)，這使得加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施安全工作刻不容緩。全球工控設(shè)備暴露數(shù)量方面的排名發(fā)生了一定的變化，各國(guó)工控設(shè)備暴露數(shù)量回升。雖然2023年工控系統(tǒng)行業(yè)漏洞數(shù)量相比去年有所回升，但近幾年的漏洞數(shù)量總體呈現(xiàn)下降趨勢(shì)。這表明在政府及行業(yè)的共同努力下，工業(yè)控制網(wǎng)絡(luò)的整體安全水平有所提升。威脅情報(bào)在工控網(wǎng)絡(luò)安全領(lǐng)域中發(fā)揮著關(guān)鍵的作用，通過(guò)與蜜罐數(shù)據(jù)的關(guān)聯(lián)分析，可以更好地理解網(wǎng)絡(luò)攻擊的趨勢(shì)和威脅形勢(shì)，從而采取更有針對(duì)性的防護(hù)措施。
總體而言，2023年工業(yè)控制網(wǎng)絡(luò)安全在政府戰(zhàn)略層面和實(shí)際執(zhí)行層面都取得了一定的進(jìn)展。工業(yè)互聯(lián)網(wǎng)作為新一輪產(chǎn)業(yè)革命的推動(dòng)力，得到了國(guó)家大力支持。在未來(lái)，工業(yè)互聯(lián)網(wǎng)將促進(jìn)不同產(chǎn)業(yè)之間的融合與創(chuàng)新，推動(dòng)傳統(tǒng)產(chǎn)業(yè)向高質(zhì)量、高效率、高附加值的方向升級(jí)，加快智能制造、數(shù)字化轉(zhuǎn)型和基礎(chǔ)設(shè)施現(xiàn)代化的進(jìn)程，為社會(huì)的可持續(xù)發(fā)展提供有力支持。

參考文獻(xiàn)

詳情請(qǐng)關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過(guò)自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過(guò)介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來(lái)剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

 

官網(wǎng)：http://anzerclub.com/

市場(chǎng)部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場(chǎng)部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）