1、工業互聯網安全態勢綜述2020 年上半年工業互聯網安全態勢綜述一、上半年工業互聯網安全態勢2020 年上半年，我國工業互聯網安全態勢整體平穩，未發現重大網絡安全事件，但惡意網絡行為持續活躍，對工業控制系統及設備的攻擊持續增多、受攻擊的行業范圍廣，工業互聯網安全形勢嚴峻。（一）我國工業互聯網相關惡意網絡行為的次數呈現增 加趨勢，安全隱患突出。2020 年 1 月 1 日至 2020 年 6 月 30 日，國家工業互聯網安全態勢感知與風險預警平臺持續對全國 136 個主要工業互聯網平臺、10 萬多家工業企業、900 多萬臺聯網設備進行安全監測，累計監測發現惡意網絡行為1356.3 萬次，涉及 20

2、39 家企業。其中，攻擊方式以異常流量、非法外聯、僵尸網絡三類為主，均超過 300 萬次，累計占惡意行為總數的 81%，惡意網絡行為排名見圖 1。與此同時，異常流量中包含大量掃描、嗅探行為，表明當前針對工業互聯網的網絡攻擊大部分為實施攻擊前的信息搜集，安全隱患不容忽視。35585943058019134116777979317049470141546764596222514惡意行為類型TOP1050000004500000400000035000003000000250000020000001500000100000050000004364253圖 1 工業互聯網惡意網絡行為（二）工業互聯網網

3、絡攻擊主要集中于基礎性行業，疫 情期間醫療相關行業成關注重點。當前針對工業互聯網的惡意網絡行為持續活躍，主要集中于制造業等基礎性行業，僅計算機、通信和其他電子設備制造業遭受攻擊次數就將近288 萬次。疫情期間，醫藥制造、醫療器械服務、紡織等疫情相關行業遭受惡意網絡行為數量較 2019 年有所上升，但已隨疫情好轉而持續走低，從 1 月占全部工業企業惡意網絡行為的 38.9%降至 6 月占比 10.4%，上半年工業企業及重點行業惡意網絡行為態勢如圖 2 所示。圖 2 工業互聯網惡意網絡行為態勢圖（三）來自境外的掃描攻擊次數不斷攀升，部分物聯網 設備權限長期被控制。我境內工業互聯網遭受境外攻擊占比接

4、近 5 成，多個境外 IP 段對我國工業互聯網企業進行長期的掃描嗅探、嘗試攻擊以及外聯通信，主要境外攻擊來源惡意行為變化趨勢如圖 3 所示。此外，監測發現僵尸網絡行為境外境內6月5月4月3月2月1月0500000100000015000002000000攻擊來源惡意行為變化趨勢305 萬起，控制端近 7 成位于境外，其中經研判分析的僵尸網絡事件共 121 起，以 Mirai 家族為主，占總量 32.2%。境內部分物聯網設備存在持續與境外通信的行為，存在被用于發動DDoS 攻擊的潛在風險。圖 3 攻擊來源惡意行為變化趨勢（四）工業互聯網安全威脅信息通報處置機制初步建立， 疫情期間發揮重要作用。建

5、立安全威脅信息監測預警、通報 處置閉環機制，對相關威脅信息開展監測、研判和處置，為 疫情防控提供堅實網絡安全保障。截至 2020 年 6 月 30 日，累計研判威脅信息 424 例，其中包括 152 家疫情物資生產、醫藥制造相關企業感染僵尸網絡或木馬后門，69 家醫療機構存在遠程代碼執行、任意文件寫入等高危漏洞。與此同時， 按照公共互聯網網絡安全應急處置機制完成通報處置 119 例，其中包括疫情重點醫院、醫療器械制造企業等相關單位 55 例。（五）聯網工業設備漏洞數量多、級別高，潛在威脅不容忽視。截至 2020 年 6 月 30 日，累計監測發現聯網工控設備漏洞隱患 946 個，其中高危漏洞

6、385 個，中危漏洞 472 個， 中、高危漏洞占漏洞總數的 90.6%。漏洞隱患類型將近 20 種， 主要為緩沖區堆溢出、設計缺陷、非法授權和跨站腳本等， 占漏洞隱患總量的 63.2%，漏洞危害等級和漏洞類型分布如圖 4 所示。部分漏洞存在公開利用代碼，被攻擊者獲取后可輕易取得設備控制權限，存在較大安全風險。圖 4 聯網工控設備漏洞隱患危害等級分布和漏洞隱患類型圖（六）聯網工業設備及系統“帶病運行”情況普遍存在， 被攻擊門檻低。上半年發現的 946 個漏洞共涉及 212 個工業設備及控制系統，包括人機交互接口（HMI）、企業資源計劃系統（ERP）和可編程邏輯控制器（PLC）等，占總數的 92

7、%。這些漏洞主要在 2011 年-2013 年間對外發布，表明當前存在大量老舊工業控制系統或設備，未及時升級或更新補丁，存在較大安全風險，更容易遭受黑客的攻擊，會影響電力、制造等行業，對基礎設施安全形成較大威脅。（七）多個 0DAY 漏洞被爆出，給我國工業互聯網造成嚴重安全隱患。工業互聯網設備和控制系統越來越多地被挖掘存在 0DAY 漏洞，如某工控廠商 PLC 設備存在一系列未公開的 0DAY 漏洞，近萬臺正在產線上使用的工控設備受此漏洞威脅。惡意用戶無需任何權限即可訪問這些管理接口， 黑客可通過刪除安全訪問限制后直接控制 PLC，遠程修改其中的各種配置信息，導致系統故障、停產，甚至引發安全生

8、產事故，安全隱患突出。（八）勒索軟件對工業互聯網威脅加劇，安全事件頻繁 曝出。勒索病毒通過互通的工業網絡在站與站之間、供應鏈上游與下游之間造成大面積傳播，在汽車、能源、制造業等重要領域均爆出相關安全事件，后果影響嚴重。某國際知名汽車公司遭勒索軟件重創，引起其計算機服務器和相關網絡毀損以及電子郵件無法使用，對部分產線和業務運作造成影響。美國某芯片制造商遭 Maze 勒索軟件攻擊，造成 10.3GB 的會計和財務信息泄漏。歐洲某能源系統商遭到 SNAKE 勒索軟件攻擊，導致其內部 IT 網絡中斷。（九）車聯網領域成為網絡攻擊新趨向，大量用戶數據 和個人隱私面臨泄露風險。隨著車聯網智能化和網聯化的不

9、斷推進，該領域安全威脅事件日益劇增。2020 年 5 月，英國謝菲爾德市爆發大規模道路通行記錄數據泄露事件，約 860 萬條記錄道路通行數據被泄露；同月，匿名黑客從交警登記處獲取超過 1.29 億俄羅斯車主的數據，并將其暴露在“暗網” 上以獲取加密貨幣。英國某媒體調查報告披露，汽車行業兩大巨頭公司的兩款暢銷車存在嚴重安全漏洞，黑客可利用該漏洞發動攻擊，竊取車主的個人隱私信息甚至操控車輛。（十）安全投資融資活躍，推動工業互聯網安全產業快速發展。隨著工業互聯網政策的持續利好，網絡安全關注度持續上升，工業互聯網安全市場投融資高漲，奇安信、啟明星辰、六方云等安全企業積極推進工業互聯網安全技術研發突破，

10、紅杉資本、盈動資本等專業投資機構等相繼發力布局。根據網上公開信息統計，2020 年上半年國內累計投融資事件26 起，投融資規模達 15 億元。其中工業互聯網安全、數據安全、云安全等領域成為 2020 年上半年市場投融資熱點，上半年國內網絡安全投融資領域分布情況圖 5 所示。圖 5 國內投資領域分布情況二、下半年工業互聯網安全態勢預判（一）“新基建”下的工業互聯網面臨安全新挑戰。隨 著人工智能、5G 等新一代信息技術和機器人等高端裝備與工業互聯網融合應用，設備聯網、企業上云加速安全風險傳導延展，網絡攻擊面從邊界向核心不斷擴大，推動工業互聯網安全防護工作逐步向動態協同轉變，安全風險挑戰進一步升級。

11、（二）惡意網絡行為將有增無減。2020 年上半年，源于境外的攻擊不斷增多，包括持續性嗅探掃描、僵尸網絡遠控等，預計下半年該趨勢將延續。從監測角度看，僵尸網絡控制端與境內被控端可能通過加密傳輸信息，監測難度將大幅增加。來自境外 IP 對我國工業互聯網進行長期、持續、廣泛的嗅探掃描，需引起關注。（三）0DAY 漏洞數量將進一步提高，漏洞影響范圍將進一步擴大。2020 上半年 CNVD 新增的工業控制系統漏洞數量達到 315 個，廣泛涉及制造業、能源、交通、醫療等行業， 僅上半年的數量已達到 2019 年全年新增數量的 76.3%，下半年 0DAY 漏洞數量將會持續增加，行業分布依舊廣泛。從工業企業

12、角度看，工控設備中不僅存在老舊且利用門檻低的漏洞，更存在曝出 0DAY 漏洞的風險，企業安全防護面臨挑戰。（四）工業互聯網數據安全將成為企業亟待應對的關鍵問題。工業互聯網數據種類和保護需求多種多樣，設計、生產、操控等各類數據分布在云平臺、用戶端、生態端等多種設施上，目前單點、離散的數據保護措施難以有效保護工業互聯網數據安全。工業互聯網承載著事關企業生產、社會經濟乃至國家安全的重要工業數據，一旦被竊取、篡改或流動至境外，將對國家安全造成嚴重威脅。（五）工業互聯網安全融合應用解決方案將不斷涌現。 安全廠商紛紛積極探索 5G、大數據、人工智能、區塊鏈等新興技術在工業互聯網安全解決方案中的應用。例如，某廠商推出 AI 安全免疫系統，通過流量監測、結合機器學習和人工智能算法，為每個設備和用戶建立起各自的健康模型，形成新型威脅感知方案。工業互聯網產業聯盟將持續編制工業互聯網安全典型解決方案，不斷探索與新興技術的融合，為企業部署安全防護措施提供可參考的模式。（六）跨部門、跨行業、跨平臺的威脅信息通報處置機 制將協同推進。隨著越來越多的設備聯網、企業上云，企業 很難進行單獨的防御，行業及地方主管部門、工業互聯網企 業、設備提供商、安全服務商等需要建立協同機制，共同應 對來自各領域的安全威脅與挑戰。工業互聯網安全監測預警、重大網絡安全事件報告、威脅信息通報、應急處置等系列機 制將進一步完