導讀

為順應國家形勢，東北大學“諦聽”網絡安全團隊基于自身傳統的安全研究優勢開發設計并實現了“諦聽”網絡空間工控設備搜索引擎，并根據“諦聽”收集的各類安全數據，撰寫并發布了2018年工業控制網絡安全態勢白皮書，讀者可以通過報告了解2018年典型工控安全標準、法規分析及典型工控安全事件分析，同時報告對工控系統漏洞、工控系統攻擊、聯網工控設備進行了闡釋及分析。

一、前言

工業控制系統是電力、交通、能源、水利、冶金、航空航天等國家重要基礎設施的“大腦”和“中樞神經”，超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統實現自動化作業。隨著經濟與技術發展，工業控制系統在應對傳統功能安全威脅的同時，也面臨越來越多的病毒、木馬、黑客入侵等工控信息安全威脅。

******在黨的十九大報告中指出，“堅持總體國家安全觀。統籌發展和安全，增強憂患意識，做到居安思危，是我們黨治國理政的一個重大原則。”工業信息安全作為國家安全的重要組成部分，事關經濟運行、社會穩定和國家安全。當前，隨著云計算、大數據、人工智能等新一代信息技術與制造技術加速融合，工業信息安全形勢日趨嚴峻，亟須加快提升工業信息安全保障能力，為工業生產安全和兩化融合健康發展撐起“保護傘”，為制造強國和網絡強國戰略實施筑牢“防護墻”。

“十三五”規劃開始，網絡空間安全已上升至國家安全戰略，工控網絡安全作為網絡安全的中的薄弱而又至關重要部分，全方位感知工控系統的安全態勢成為亟待解決的重要問題之一。 2017年底，國家工業和信息化部制定并印發了《工業控制系統信息安全行動計劃(2018-2020年)》，為全面落實國家安全戰略，提升工業企業工控安全防護能力，加快我國工控安全保障體系建設，促進工業信息安全產業健康發展指明了道路。2018年3月，為加強黨中央對涉及黨和國家事業全局的重大工作的集中統一領導，強化決策和統籌協調職責，根據中共中央印發了《深化黨和國家機構改革方案》，將中央網絡安全和信息化領導小組改為中央網絡安全和信息化委員會。為順應國家形勢，東北大學“諦聽”網絡安全團隊基于自身傳統的安全研究優勢開發設計并實現了“諦聽”網絡空間工控設備搜索引擎（http://www.ditecting.com），并根據“諦聽”收集的各類安全數據，撰寫并發布了2018年工業控制網絡安全態勢白皮書，讀者可以通過報告了解2018年典型工控安全標準、法規分析及典型工控安全事件分析，同時報告對工控系統漏洞、工控系統攻擊、聯網工控設備進行了闡釋及分析，有助于全面了解工業控制系統安全現狀，多方位感知工業控制系統安全態勢，為研究工控安全相關人員提供參考。

二、2018年典型工控安全政策法規分析

2018年，我國在信息安全和產業安全體系建設等方面均加快了腳步，工業控制系統信息安全政策法規日趨完善，工業企業越發重視，市場規模逐步釋放。

2018年是工控信息安全領域政策、法規密集發布的一年，相信在這些政策法規的引領下，中國的工控信息安全事業會走向深入，成為確保國家安全的重要組成部分。下面就介紹這些重量級的發布。

2.1 《工業互聯網發展行動計劃（2018-2020年）》

2018年5月31日，根據《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》（以下簡稱《指導意見》），2018-2020年是我國工業互聯網建設起步階段，對未來發展影響深遠。為貫徹落實《指導意見》要求，深入實施工業互聯網創新發展戰略，推動實體經濟與數字經濟深度融合，制訂本行動計劃。到2020年底，初步建成工業互聯網基礎設施和產業體系。

2.2 《網絡關鍵設備和網絡安全專用產品安全認證實施規則公告》

認監委和國家互聯網信息辦公室根據《中華人民共和國網絡安全法》、《中華人民共和國認證認可條例》和《關于發布<網絡關鍵設備和網絡安全專用產品目錄（第一批）>的公告》，發布了網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告。

2.3 《網絡安全等級保護條例（征求意見稿）》

2018年6月27日，公安部發布《網絡安全等級保護條例（征求意見稿）》。《意見稿》提出，國家實行網絡安全等級保護制度，對網絡實施分等級保護、分等級監管。提出了網絡安全等級保護工作的基本原則：應當按照突出重點、主動防御、綜合防控的原則，建立健全網絡安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。

2.4 國家標準《電力信息系統安全檢查規范》

為規范電力信息系統安全的檢查流程、內容和方法，防范網絡與信息安全攻擊對電力信息系統造成的侵害，保障電力信息系統的安全穩定運行，保護國家關鍵信息基礎設施的安全，依據國家有關信息安全和電力行業信息系統安全的規定和要求，制定國家標準《電力信息系統安全檢查規范》。該標準于2018年3月15日發布，2018年10月1日起開始實施。

2.5 《關于加強電力行業網絡安全工作的指導意見》

2018年9月13日，國家能源局發布了《關于加強電力行業網絡安全工作的指導意見》。《意見》以******關于網絡強國戰略的重要論述為指導，全面貫徹落實黨中央、國務院關于網絡安全工作決策部署，以及《網絡安全法》《電力監管條例》等法律法規要求，對提升電力行業網絡安全防護能力，筑牢堅強網絡安全防御體系，防范和遏制重大網絡安全事件，保障電力系統安全穩定運行和電力可靠供應，具有重要意義。

2.6 《GB/T36627-2018 網絡安全等級保護測試評估技術指南》

2018年9月17日，由上海市信息安全測評認證中心參與編制的國家標準《GB/T 36627-2018 網絡安全等級保護測試評估技術指南》正式發布，該標準將于2019年4月1日正式實施。

此次發布的國家標準給出了網絡安全等級保護測評中的相關測評技術的分類和定義，提出了技術性測試評估的要素、原則，并對測評結果的分析和應用提出了建議。該標準適用于測評機構開展等級測評工作，以及主管部門及運營使用單位開展安全評估。

2.7 《國家智能制造標準體系建設指南（2018年版）》

2018年10月，按照標準體系動態更新機制，扎實構建滿足產業發展需求、先進適用的智能制造標準體系，推動裝備質量水平的整體提升，工業和信息化部、國家標準化管理委員會共同組織制定了《國家智能制造標準體系建設指南（2018年版）》。

2.8 《關于進一步加強核電運行安全管理的指導意見》

2018年5月31日，國家發展改革委、國家能源局、生態環境部、國防科工局四部委聯合發布《關于進一步加強核電運行安全管理的指導意見》。《意見》指出，將網絡安全納入核電安全管理體系，加強能力建設，保障核電廠網絡安全。開展網絡安全能力建設，做好網絡等級保護測評，開展網絡安全培訓及評估工作。

三、2018典型工控安全事件分析

近年來，隨著工業控制系統網絡和物聯網環境變得更加開放與多變，工業控制系統則相對變得更加脆弱，工業控制系統的各種網絡攻擊事件日益增多，暴露出工業控制系統在安全防護方面的嚴重不足。工業控制系統的安全性面臨巨大的挑戰。“諦聽”團隊匯總了2018典型工控安全事件，以了解工業控制系統所面臨的安全威脅，促進國內工控網絡安全事業不斷發展。

3.1 羅克韋爾工控設備曝多項嚴重漏洞

2018年3月，思科Talos安全研究團隊發文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列可編程邏輯控制器( PLC )中存在多項嚴重安全漏洞，這些漏洞可用來發起拒絕服務攻擊、篡改設備的配置和梯形邏輯、寫入或刪除內存模塊上的數據等。該系列可編程邏輯控制器被各關鍵基礎設施部門廣泛運用于工業控制系統（ICS）的執行過程控制，一旦被利用將會導致嚴重的損害。思科Talos團隊建議使用受影響設備的組織機構將固件升級到最新版本，并盡量避免將控制系統設備以及相關系統直接暴露在互聯網中。

3.2 俄黑客對美國核電站和供水設施攻擊事件

2018年3月，美國計算機應急準備小組發布了一則安全通告TA18-074A，詳細描述了俄羅斯黑客針對美國某發電廠的網絡攻擊事件。通告稱俄黑客組織通過（1）收集目標相關的互聯網信息和使用的開源系統的源代碼；（2）盜用合法賬號發送魚叉式釣魚電子郵件；（3）在受信任網站插入JavaScript或PHP代碼進行水坑攻擊；（4）利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息；（5）構建基于操作系統和工業控制系統的攻擊代碼發起攻擊。本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關計算機的詳細信息，并在該計算機上保存有關用戶帳戶的信息。此安全事件告誡我們：加強員工安全意識教育和管理是十分必要的，如密碼定期更換且不復用，安裝防病毒軟件并確保及時更新等。

3.3 俄羅斯黑客入侵美國電網

2018年7月，一位美國國土安全部官員稱：“我們跟蹤到一個行蹤隱秘的俄羅斯黑客，該人有可能為政府資助組織工作。他先是侵入了主要供應商的網絡，并利用前者與電力公司建立的信任關系輕松侵入到電力公司的安全網絡系統。”

11月30日，火眼的分析員Alex Orleans指出“目前仍然有瞄準美國電網的俄羅斯網絡間諜活動，電網仍然會遭受到不斷的攻擊”，火眼（FireEye）已經識別出一組俄羅斯網絡集團通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進行試探和攻擊。這組黑客依賴于現成黑客工具和自制后門技術的組合，盡管美國的電網已經通過NERC發布的一系列CIP 標準增強了網絡防御能力。但是并不是每一處的電網組成設施都固若金湯，比如部分承包給本地企業的地方電網的網絡防御能力就非常差，這留給了來自俄羅斯（包括伊朗和朝鮮）的網絡黑客們可乘之機。

與中國情況不同，美國的電網是由很多獨立的企業管控，在安全性、可控性方面比較弱。入侵者攻擊該系統不受保護的弱點，而數以百計的承包商和分包商毫無防備。所以連美國官方都無法統計有多少企業和供應商被攻擊并蒙受損失。

3.4 臺積電遭勒索病毒入侵，致三個生產基地停擺

8月3日晚間，臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部的部分生產設備受到魔窟勒索病毒WannaCry勒索病毒的一個變種感染，具體現象是電腦藍屏，鎖各類文檔、數據庫，設備宕機或重復開機。幾個小時之內，臺積電位于臺中科學園區的Fab 15廠，以及臺南科學園區的Fab 14廠也陸續被感染，這代表臺積電在臺灣北、中、南三處重要生產基地，同步因為病毒入侵而導致生產線停擺。經過應急處置，截止8月5日下午2點，該公司約80%受影響設備恢復正常，至8月6日下午，生產線已經全部恢復生產。損失高達26億。

此次事件原因是員工在安裝新設備的過程時，沒有事先做好隔離和離線安全檢查工作，導致新設備連接到公司內部網絡后，病毒快速傳播，并最終影響整個生產線。

3.5 西門子PLC、SCADA等工控系統曝兩個高危漏洞，影響廣泛

8月7日，西門子發布官方公告稱，其用于SIMATIC STEP7和SIMATIC WinCC產品的TIA Portal（Totally Integrated Automation Portal全集成自動化門戶）軟件存在兩個高危漏洞（CVE-2018-11453和CVE-2018-11454）。影響范圍包括兩款產品V10、V11、V12、V13的所有版本，以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西門子的一款可讓企業不受限制地訪問公司自動化服務的軟件。由于TIA Portal廣泛適用于西門子PLC（如S7-1200、S7-300/400、S7-1500等）、SCADA等工控系統，以上兩個漏洞將對基于西門子產品的工業控制系統環境造成重大風險。據國家工業信息安全發展研究中心監測發現，我國可能受到該漏洞影響的聯網西門子STEP 7、Wincc產品達138個。

本次發現的兩個高危漏洞中，CVE-2018-11453可讓攻擊者在得到訪問本地文件系統的權限后，通過插入特制文件實現對TIA Portal的拒絕服務攻擊或執行任意代碼；CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯誤文件權限配置，操縱目錄內的資源（如添加惡意負載等），并在該資源被合法用戶發送到目標設備后實現遠程控制。

3.6 Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發布通報

2018年9月，Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發布通報稱， Rockwell的RSLinx Classic軟件存在三個高危漏洞（CVE-2018-14829、CVE-2018-14821和CVE-2018-14827），影響范圍包括RSLinx Classic 4.00.01及之前版本，一旦被成功利用可能實現任意代碼執行甚至導致設備系統崩潰。

RSLinx Classic是一款Rockwell開發的專用工業軟件，用于實現對Rockwell相關設備、網絡產品的統一配置管理，具有數據采集、控制器編程、人機交互等功能，廣泛應用于能源、制造、污水處理等領域。

這三個高危漏洞的利用方式都是通過44818端口進行遠程攻擊或破壞，其中CVE-2018-14829為基于棧的緩沖區溢出漏洞，攻擊者可以通過發送含有惡意代碼的數據包，實現在主機上的任意代碼執行、讀取敏感信息或導致系統崩潰等；CVE-2018-14821為基于堆的緩沖區溢出漏洞，攻擊者可以通過發送含有惡意代碼的數據包，導致應用程序終止運行；CVE-2018-14827為資源耗盡漏洞，攻擊者可以通過發送特制的Ethernet/IP數據包，導致應用程序崩潰。

3.7 意大利石油與天然氣開采公司Saipem遭受網絡攻擊

12月10日，意大利石油與天然氣開采公司Saipem遭受網絡攻擊，主要影響了其在中東的服務器，包括沙特阿拉伯、阿拉伯聯合酋長國和科威特，造成公司10%的主機數據被破壞。Saipem發布公告證實此次網絡攻擊的罪魁禍首是Shamoon惡意軟件的變種。

公告顯示，Shamoon惡意軟件襲擊了該公司在中東，印度等地的服務器，導致數據和基礎設施受損，公司通過備份緩慢的恢復數據，沒有造成數據丟失，此次攻擊來自印度金奈，但攻擊者的身份尚不明確。

Shamoon主要“功能”為擦除主機數據，并向受害者展示一條消息，通常與政治有關，另外Shamoon還包括一個功能完備的勒索軟件模塊擦拭功能。攻擊者獲取被感染計算機網絡的管理員憑證后，利用管理憑證在組織內廣泛傳播擦除器。然后在預定的日期激活磁盤擦除器，擦除主機數據。

3.8 施耐德聯合ICS-CERT發布高危漏洞

2018年12月，施耐德電氣有限公司（Schneider Electric SA）和CNCERT下屬的工業互聯網安全應急響應中心ICS-CERT發布通報稱，Modicon M221全系PLC存在數據真實性驗證不足高危漏洞（CVE-2018-7798），一旦被成功利用可遠程更改PLC的IPv4配置致使通信異常。

Modicon M221全系PLC是施耐德電氣有限公司所設計的可編程邏輯控制器，可通過以太網和Modbus協議進行網絡通訊。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS協議的網絡配置模塊實現不合理，未對數據真實性進行充分驗證，導致攻擊者可遠程更改IPv4配置參數，例如IP地址、子網掩碼和網關等，從而攔截目標PLC的網絡流量。

四、工控系統安全漏洞概況

隨著計算機和網絡技術的發展，特別是兩化融合以及物聯網的快速發展，越來越多的通用協議、硬件和軟件在工業控制系統產品中采用，并以各種方式與互聯網等公共網絡連接，使得針對工業控制系統的攻擊行為大幅度增長。其中，最常見的攻擊方式就是利用工業控制系統的漏洞，PLC(Programmable Logic Controller，可編程邏輯控制器)、DCS(Distributed Control System，分布式控制系統)、SCADA(Supervisory Control And Data Acquisition，數據采集與監視控制系統) 乃至應用軟件均被發現存在大量信息安全漏洞，如 ABB 施耐德電(Schneider)、通用電氣(GE)、研華科技(Advantech)及羅克韋爾(Rockwell)等工業控制系統廠商產品均被發現包含各種信息安全漏洞。

圖4-1 2000-2018年工控漏洞走勢圖（數據來源CNVD、“諦聽”）

根據CNVD（國家信息安全漏洞共享平臺）和“諦聽”的數據，2008-2018年工控漏洞走勢如圖4-1所示。從圖中可以看出，2010年之后工控漏洞數量顯著增長，出現此趨勢的主要原因是2010年后工業控制系統安全問題的關注度日益增高。

圖4-2 工控系統行業漏洞危險等級餅狀圖（數據來源CNVD、“諦聽”）

如圖4-2是工控系統行業漏洞危險等級餅狀圖，由圖中可知，高危工控安全漏洞占所有漏洞中的15%。截至2018年12月31日，2018年新增工控系統行業漏洞125個，其中高危漏洞19個，中危漏洞2個，低危漏洞104個。這些數據都表明，工控系統存在巨大的潛在安全風險，需要引起高度重視。

五、聯網工控設備分布

“諦聽”網絡空間工控設備搜索引擎共支持26種服務的協議指紋識別，圖5-1展示了“諦聽“網絡安全團隊識別的工控協議相關信息及2018年感知的IP數量。了解這些協議的詳細信息請參照“諦聽”網絡安全團隊以前發布的工業控制網絡安全態勢分析白皮書，或登錄查看，此處不再贅述。

圖5-1 “諦聽”網絡空間工控設備搜索引擎支持的協議

“諦聽”官方網站（www.ditecing.com）公布的數據為2017年以前的歷史數據，若需要最新版的數據請與東北大學“諦聽”網絡安全團隊直接聯系獲取。根據“諦聽”網絡空間工控設備搜索引擎收集的內部數據，經“諦聽”網絡安全團隊分析，得出如圖5-2、5-3和5-4的可視化展示，下面做簡要說明。

圖5-2 “諦聽”暴露工控設備總覽全球視角

如圖5-2所示是以全球視角分析工控設備的暴露情況（Demo展示），圖5-3為全球工控設備暴露Top-10國家。由于 2018 年“諦聽”團隊新增多個協議的解析工具，并且提高了對快掃結果的深度交互和蜜罐識別能力，因此國家排名較過去有較大變化。

圖5-3 全球工控設備暴露Top-10

全球范圍內，美國作為世界上最發達的工業化國家暴露出的工控設備仍然保持第一，巴西近年工業產值增長迅速位居第二，韓國在電子、半導體等產業均處于領先水平位居第三，南非、法國等緊隨其后，中國排名全球第六位。以下著重介紹國內及美國、巴西、南非的工控設備暴露情況。

1.國內工控設備暴露情況

中國暴露工控設備數量在全球排名第六。工業是也逐漸發展為中國經濟的重要支柱，經過幾十年的發展，中國基本上建立了部門比較齊全、以委托加工型態為主體、以高新科技產業中的信息電子產業、制造業中的鋼鐵、石油和紡織業等為支柱的工業體系，工控系統面臨的安全風險應該引起足夠的重視。

圖5-4 國內暴露各協議占比

在全國暴露的工控設備數量圖5-5中可以看到，臺灣地區暴露的工控設備最多。工業是臺灣經濟的重要支柱，經過幾十年的發展，臺灣基本上建立了部門比較齊全、以委托加工型態為主體、以高新科技產業中的信息電子產業、制造業中的鋼鐵、石油和紡織業等為支柱的工業體系，因此工控系統面臨較大安全風險。

香港提出“再工業化”，近年來大力推動工業發展，暴露的工控設備數量位居國內第二。從成立“智能制造技術展示中心”到“智能產業聯盟”，從創建“知創空間”，到推出“工業4.0先導項目”，為協助制造企業轉型升級，香港推動工業產業多元化，制造業近年來蓬勃發展。

圖5-5 國內各地區暴露工控設備數量

大陸范圍內廣東省暴露工控設備數量最多。廣東以制造業為主，發揮毗鄰港澳的優勢，深化先進制造業方面的區域合作，具有食品、紡織業、機械、家用電器、汽車、醫藥、建材、冶金工業體系。作為廣東省支柱產業的裝備制造業、汽車制造業平穩快速發展。同時，廣東省倡導傳統制造業企業加快推進智能化改造，智能手機、家電等行業處于領先水平。廣東省是經濟的核心發展區，卻有很大的安全隱患，可見加強此地區的安全服務是當務之急。

北京市走新型工業化道路，加快形成以高新技術產業和現代制造業為主體，以優化改造后的傳統優勢產業為基礎，以都市型工業為重要補充的新型工業結構。工業結構顯著改善，工業由傳統重工業發展到以汽車、電子為主導的現代制造業。在軟件、集成電路、計算機和網絡、通信、生物醫藥、能源環保等重點領域形成國內優勢產業集群。北京市成為大陸地區工控設備暴露第二多地區。

長江三角洲地區暴露數量僅次于北京。長三角地區（江蘇浙江全省和上海市）是我國經濟最發達、產業配套最完善、整體競爭力最強的地區。隨著工業化進程的不斷加快，長三角地區三大產業之間的比例關系進一步優化。上海將發展現代服務業和先進制造業放在優先地位；浙江抓住產業結構調整的機遇，著力提升先進制造業的競爭力，加快承擔國際產業轉移；江蘇以發展現代制造業來增強自主創業能力，堅持以信息化帶動工業化，促進信息技術和信息產業的快速發展，推進信息技術在各行業各領域的普及和應用。同時，江蘇還要建設現代國際制造業基地，有選擇、高起點地承接國際產業。

東北地區作為中國工業的搖籃，遼寧、吉林、黑龍江三省一度成為中國經濟的火車頭。東北是中國最重要的工業基地之一，東北地區在構建社會主義和諧社會中起著舉足輕重地作用，已形成以鋼鐵、機械、石油、化工等為核心的完整工業體系。工業區由南向北逐步推進，除原有的沈陽—撫順—鞍山—本溪重工業區外，還出現了以機械、化工為主的旅大工業區，以煤炭、化工等為主的遼西走廊工業區，以機械、化工、造紙等為主的長春—吉林中部工業區，以電機、石油、機械工業等為主的哈爾濱—大慶—齊齊哈爾工業區，以煤炭—森林工業為主的黑龍江西部工業區等，另外東北也是中國主要的軍工業基地，軍工關系到一個國家的安全命脈，所以更易成為首要攻擊的目標。

2.國際工控設備暴露情況

國際工控設備的暴露情況以美國、巴西和南非為例進行簡要介紹。美國作為世界上最發達的工業化國家暴露的工控設備最多。美國企業、政府、科研機構相互聯手，主導著全球網絡信息技術和產業的發展進程，包括英特爾、IBM、高通、思科、蘋果、微軟、甲骨文、谷歌等一批IT巨頭控制著全球網絡信息產業鏈的主干，同時在半導體（集成電路）、通信網絡、操作系統、辦公系統、數據庫、搜索引擎、云計算、大數據技術等關鍵技術領域也占據明顯的先發優勢。在互聯網的新時代背景下，工業化遇上了信息化，美國倡導“工業互聯網”，將智能設備、人和數據連接起來，通過互聯網，實現內外服務的網絡化，并以智能的方式利用這些交換的數據，形成開放而全球化的工業網絡。在制造業巨頭通用電氣的領導下，美國五家行業龍頭企業聯手組建了工業互聯網聯盟(IIC)，將工業互聯網推廣開來，以促進信息化和工業化的深度融合。

圖5-6 美國暴露各工控協議占比

同時，美國的網絡空間軍事力量建設強大，已經具備全球網絡空間作戰控制能力。美國一直大規模發展網絡監控和攻防力量，在不斷提升國家的網絡能力的同時，也在監聽其他國家的網絡活動，收集情報。期諾登曝光“棱鏡門”事件后，美國也絲毫沒有放松網絡空間軍事力量建設。正因如此，美國也成為眾矢之的，頻繁遭受有組織的犯罪集團或國家級的網絡戰攻擊。據美媒報道，由伊朗支持的黑客集團，一直對美國能源、金融、水利、電力等行業進行網絡攻擊，也曾成功地獲取美國企業的控制系統軟件權限，足以破壞石油與天然氣管道設備。

巴西工控設備暴露數量位居第二。巴西的經濟非常發達，在整個拉美洲地區，巴西的經濟是首位的。巴西在70年代建成了比較完整的工業體系，主要工業部門有鋼鐵、汽車、造船、石油、水泥、化工、冶金、電力、紡織、建筑等。核電、通訊、電子、飛機制造、軍工等已跨入世界先進國家的行列。在第二次世界大戰后，為改變單一的經濟結構，政府加快了工業化的步伐。巴西政府加快了工業化的步伐。巴西的鐵礦儲量大，質地優良，產量和出口量都居世界前列。在現代工業方面，鋼鐵，造船，汽車，飛機制造等已經躍居世界重要生產國家的行列。巴西是南美鋼鐵大國，為世界第六大產鋼國，鋼材出口達1200萬噸，占全國鋼材總量的54%。也是拉美第一、世界第九大汽車生產國。

由圖5-8所示，圣保羅（Sao Paulo）暴露的工控設備數量極其突出。由于圣保羅是巴西最大的城市和最大的工業中心，大型工業企業有3000多家，工人達200余萬，整體工業實力雄踞南美諸城市之首。圣保羅州盛產棉花、稻米和咖啡，所以作為州首府的圣保羅市的工業以棉紡、糧食加工、咖啡加工的傳統工業為主。后來，逐漸發展了冶金、機械、汽車、電力、食品、水泥、化學、橡膠、煙草、造紙等工業，而這些工業部門能夠大力發展的主要原因是城市附近有豐富的水力資源，工業原料的大部分可從圣保羅州及附近地區獲得。近二三十年來，圣保羅又建有巴西電子工業中心、汽車工業基地和全國最大的煉油廠。這也說明了越是重點的經濟發展區，工業發展越繁榮的地區，工控系統的暴露數量越多。

圖5-8巴西各地區暴露工控設備數量

南非是非洲經濟最發達的國家，經濟發展水平較高，基礎設施良好，資源豐富，國內生產總值、對外貿易額均占非洲之首。南非擁有非洲最先進的交通、電力、通訊等工業基礎設施。制造業、建筑業、能源業和礦業是南非工業四大部門。主要產品有鋼鐵、金屬制品、化工、運輸設備、機器制造、食品加工、紡織、服裝等。鋼鐵工業是南非制造業的支柱，擁有六大鋼鐵聯合公司、130多家鋼鐵企業。南非已成為世界最大的黃金生產國和出口國。發電量占全非洲的60%。圖5-8中可發現用于電氣電力行業的自動化系統通信標準IEC 60870-5-104暴露占比最大，也說明了南非的電力、交通等基礎設施發展繁榮。

圖5-9 南非暴露各工控協議占比

由圖5-4、5-6、5-7、5-9可見，對于中國、美國、南非、巴西幾個工控設備暴露數量較多的幾個國家而言，使用占比最多的是Tridium Niagara Fox，因其獨創的“Niagara Framework”框架，可以集成、連接各種智能設備和系統，而無需考慮它們的制造廠家和所使用的協議，形成一個統一的平臺，給客戶創造價值而受到全球大部分客戶的青睞。

同樣使用占比較高的工控服務為Modbus協議，Modbus協議現屬于施耐德公司，是全球第一個真正用于工業現場的總線協議，因其公開發表無版稅要求，工業網絡部署相對容易，對供應商來說，修改移動原生的位元或字節沒有很多限制等優點，得到全球的廣泛應用。

常用于電氣電力行業的自動化系統通信標準IEC 60870-5-104使用占比也較高（南非尤為明顯）。IEC 60870-5-104是國際電工委員會制定的一個規范，用于適應和引導電力系統調度自動化的發展，規范調度自動化及遠動設備的技術性能。IEC 60870-5-104可用于交通行業，利用IEC104規約實現城市軌道交通中變電站與基于城域網的綜合監控系統的集成通信是非常好的一個方法，它既保證了電力監控系統的開放性，又能很好的滿足城市軌道交通系統對電力監控系統信息傳輸的實時、可靠等要求，又有利于利用標準化的優勢帶來開發的便捷性。

其余的工控服務像OMRON FINS、樓宇BACnet等也被應用，但占比較小。協議最初設計時候，為了兼顧工業控制系統通信的實時性，很多都忽略了協議通信的機密性、可認證性等。但是隨著工業控制系統與信息網絡的聯系密切，傳統觀念認為工業內網與互聯網物理隔離已經不存在了，所以幾乎所有的現場總線協議都是明碼通信。近幾年，出現了很多針對工控網絡的新型攻擊方法，如PLC-Blaser病毒，這種病毒是研究人員在實驗室測試成功的蠕蟲病毒，它能夠從一臺PLC向另一臺PLC傳播而無需一臺PC或服務器，它的設計是針對Siemens S7系列的PLC的。可見，越是使用廣泛的協議越要保證其傳輸數據的安全性。

由以上的統計圖表和分析可知，越是重點的經濟發展區，工控系統的暴露數量越多，也就越容易成為首要攻擊的目標。同時，“諦聽”團隊發現，部分暴露在互聯網上的工控系統存在已經被惡意利用的跡象，需引起高度重視。

3.工控IP與威脅情報關聯分析

我們利用暴露在互聯網上的工控IP地址與互聯網上（例如西刺等網站）爬取的威脅情報進行關聯了分析，其中包括代理IP庫（約133萬條）、洋蔥路由IP庫（約25萬條）、惡意IP庫（約480萬條）、僵尸節點IP庫（約113萬條）。將工控IP與其他各庫內的IP進行對比，計算工控資產IP相鄰網絡的分布情況，按照IP網絡號相差≦±2、≦±4、≦±8、≦±16、≦±32進行比較統計，得到如下結果。

圖5-10 工控IP與威脅情報關聯分析

可以看出工控IP與洋蔥路由（TOR）IP關聯較大，且與僵尸節點IP、代理IP、惡意IP均存在大量關聯。這部分與威脅情報關聯極大的工控IP很有可能已經被應用于惡意攻擊，值得引起高度關注。

六、工控系統攻擊分析

針對工業控制系統的病毒、木馬等攻擊行為近年來大幅度增長，能夠引發整個控制系統的故障，甚至惡性安全事故，對人員、設備和環境造成嚴重的后果。東北大學“諦聽”團隊研發了工控安全蜜罐“諦聽左耳”，模擬多種工控協議和工控設備，并全面捕獲攻擊者的訪問流量。通過蜜罐數據與威脅情報數據的關聯分析，能夠有效檢測針對工業控制網絡的入侵行為，并對其進行進一步的分析和研究，為網絡安全事件的預警預測提供數據支撐，有效防護工控網絡系統安全。

“諦聽”蜜罐目前支持8個協議，根據其中已運行一年以上的蜜罐所收集的數據，經關聯分析，得出如圖6-1、6-2和6-3的可視化展示，下面做簡要說明。其中，圖6-1展示了“諦聽”蜜罐捕獲攻擊者數據的多維度可視化分析（Demo）。

圖6-1 威脅IP可視化展示

圖6-2為各協議攻擊量占比。S7通信協議是西門子S7系列PLC內部集成的一種通信協議，DNP3.0是電力、水廠常用的分布式網絡協議，此外，Omron fins協議、Modbus協議可以說是工業自動化領域應用十分廣泛的通訊協議。因此，以上協議受到了網絡安全研究人員的關注，截獲到的訪問流量較多。

圖6-2 各協議攻擊量占比（數據來源“諦聽”）

圖6-3 各國家攻擊IP量排名（數據來源“諦聽”）

多個蜜罐所采集的數據從IP地址進行分析，圖6-3可直觀地展現2018年采集到各國攻擊IP的排名。由于當前“諦聽”蜜罐主要部署在國內地址上，因此監控到的來自國內IP的攻擊流量最高、美國、德國的攻擊流量排在第二、第三位。“諦聽”團隊正在對此類數據進行深入的分析和研究，將持續發布相關的研究成果。

七、總結

隨著國務院印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，我國工業互聯網發展面臨新的發展機遇，同時也給保障工控安全帶來更為嚴峻的挑戰。我國互聯網普及和工業互聯網、大數據、數字化工廠等新技術、新業務的快速發展與應用，使工業控制系統網絡復雜度在不斷提高，各生產單元內部系統與受控系統信息交換的需求也不斷增長，工業控制系統網絡安全需求也在快速的增長。近年來，隨著工業控制系統安全面臨高危安全漏洞層出不窮、暴露互聯網上的工控系統及設備有增無減、網絡攻擊難度逐漸降低，工業控制系統網絡安全威脅與風險不斷加大。工控系統漏洞及入侵案例細節公開、美國網絡“武器庫”泄露、APT組織依然活躍等問題，對我國工控系統安全不斷提出新的挑戰。工業與IT的高度融合，II/OT一體化把安全威脅從虛擬世界帶到現實世界，尤其是關鍵基礎設施，一旦遭受攻擊會帶來巨大的損失。

縱觀整個2018年，各類威脅數據持續上升。但是幸運的是，政產學研各界已經紛紛意識到工控系統網絡安全的重要性，并采取措施加強預警，爭取防患于未然。工業互聯網在國內的推進無論從國家政策層面還是企業實際落地層面都得到了積極的重視，而對工業互聯網的信息安全保障也是一樣的，伴隨著國家“互聯網+制造業”等政策的不斷推進落實，工業互聯網的推進速度必將不斷加快，工控安全行業任重而道遠。