2024年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書

21.前言 42.2024年工控安全相關(guān)政策法規(guī)標(biāo)準(zhǔn) 5 5 5 2.5《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)安全產(chǎn)品 7 7 8 2.14《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服 3.2024年典型工控安全事件 12 13 13 14 14 153 15 16 16 4.工控系統(tǒng)安全漏洞概況 5.聯(lián)網(wǎng)工控設(shè)備分布 23 33 356.工控蜜罐數(shù)據(jù)分析 7.工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀及未來展望 578.總結(jié) 參考文獻(xiàn) 604《2024年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書》，讀者可以通過報(bào)告了解2024年工5工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)，為工業(yè)互聯(lián)網(wǎng)的通過對2024年度發(fā)布的一系列政策法規(guī)標(biāo)準(zhǔn)進(jìn)行梳理，并整合各大工業(yè)信息安全指南從安全管理、技術(shù)防護(hù)、安全運(yùn)營和責(zé)任落實(shí)四個(gè)方面提出33項(xiàng)基線要求，重點(diǎn)推動(dòng)解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)62.3《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系“貫通”行動(dòng)計(jì)劃系“貫通”行動(dòng)計(jì)劃（2024-2026年）》（以下簡稱《行動(dòng)計(jì)劃》）?！缎袆?dòng)計(jì)劃》明確總體目標(biāo)為“到2026年，建成自主可控的標(biāo)識(shí)解析體系，在制造業(yè)及經(jīng)濟(jì)社會(huì)重點(diǎn)2.4《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案工業(yè)和信息化部發(fā)布《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案（2024-2026年）》（以下監(jiān)管能力、提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力。《實(shí)施方案》明確提出到2026年底工業(yè)領(lǐng)域2.5《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)安全產(chǎn)——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》?！毒W(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南》聚焦網(wǎng)絡(luò)安7準(zhǔn)《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》（以下簡稱《規(guī)則》），以推動(dòng)國家數(shù)據(jù)分類大學(xué)等36家單位共同研制，并在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制的指導(dǎo)下編制完成。《規(guī)2.7《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施細(xì)則（試行和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，提8《工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范》（以下簡稱《規(guī)范》）正式獲批，于2024年9月9互聯(lián)網(wǎng)安全分類分級管理提供指導(dǎo)，助力企業(yè)網(wǎng)絡(luò)安全2.14《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力2.15《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（序號(hào)月份出臺(tái)政策法規(guī)標(biāo)準(zhǔn)1《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》2《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》3《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系“貫通”行動(dòng)計(jì)劃（2024-2026年）》4《基于隱私計(jì)算的電力數(shù)據(jù)共享業(yè)務(wù)互聯(lián)互通接口規(guī)范（征求意見稿）》52月《2024年電力安全監(jiān)管重點(diǎn)任務(wù)》 《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案（2024-2026年）》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》3部分:采用非對稱技術(shù)的機(jī)制》、《信息技術(shù)安全技術(shù)實(shí)體鑒別第4部分:采用密碼校驗(yàn)函數(shù)的機(jī)制》、《信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價(jià)》《全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2024年度工作要點(diǎn)》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施細(xì)則（試行）》《電力網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)安全物聯(lián)網(wǎng)安全與隱私家庭物聯(lián)網(wǎng)指南》《工業(yè)領(lǐng)域云安全實(shí)踐指南》《人工智能安全治理框架》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——敏感個(gè)人信息識(shí)別指南》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第1部分：應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第2部分：平臺(tái)企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第3部分：標(biāo)識(shí)解析企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應(yīng)用參考指南（2024年）》《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務(wù)新型電力系統(tǒng)高質(zhì)量發(fā)展》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》《新型工業(yè)控制藍(lán)皮書》《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(計(jì)算機(jī)系統(tǒng))條例草案》以下將介紹2024年發(fā)生的一些典型工控安全事件，通過這些案例，可以更清晰地蒂尼海事集團(tuán)（FincantieriMarineGroup，F(xiàn)MG）向緬因州監(jiān)管機(jī)構(gòu)提交了一封違規(guī)通國海軍學(xué)院在2023年4月的報(bào)道稱，該造船廠建造了美國海軍的自由級瀕海戰(zhàn)斗艦和實(shí)施網(wǎng)絡(luò)攻擊，導(dǎo)致沃洛格達(dá)地區(qū)38個(gè)村莊陷入黑暗，將面臨最長達(dá)8年的監(jiān)禁。該“我們已經(jīng)完成對黑客切斷沃洛格達(dá)地區(qū)38個(gè)定居點(diǎn)電力供應(yīng)一事的刑事調(diào)查?！倍頎I，這類攻擊在過去是十分罕見的。去年11月，賓夕法尼亞州也遭到了類似的網(wǎng)絡(luò)攻擊，當(dāng)時(shí)美國官員指責(zé)伊朗是幕后黑手?？姞柺骀?zhèn)城市經(jīng)理RamonSanchez告訴CNN統(tǒng)操作水罐的權(quán)限。Sanchez在一封電子郵件中表示，被攻擊的水罐溢出了大約30-45政府建議各州官員制定安全計(jì)劃，保護(hù)他們的水壞了烏克蘭10個(gè)地區(qū)的能源、水務(wù)、供暖供應(yīng)商的信息和通信系統(tǒng)。在某些情況下，Sandworm會(huì)通過操縱軟件供應(yīng)鏈或者利用軟件提供商的權(quán)限來進(jìn)入目標(biāo)網(wǎng)絡(luò)，也可能部署被篡改的軟件或者利用軟件漏洞，成功滲透到系統(tǒng)中。CERT-UA對受影響實(shí)體的LOADGRIP、GOSSIPFLOW等惡意軟件對烏克蘭公共事業(yè)供應(yīng)商進(jìn)行攻擊。烏克蘭機(jī)構(gòu)認(rèn)為，這些攻擊的目的是增強(qiáng)俄羅斯導(dǎo)彈對目標(biāo)基礎(chǔ)設(shè)施中，該小組利用了主要的入侵向量，從漏洞的Web服務(wù)到可信賴的關(guān)系。HellHounds攻破之后。迄今為止，已確認(rèn)其入侵了48個(gè)俄羅斯受害者，包工業(yè)公司和電信供應(yīng)商。有證據(jù)表明，自2021年以來，該威脅行為者一直在針對俄羅運(yùn)營商最新消息，“西雅圖港，包括西雅圖-塔科馬機(jī)場的系統(tǒng)中斷仍在繼續(xù)。港口團(tuán)3.11勒索組織利用Veeam軟件漏洞攻擊尼日利亞的關(guān)鍵基礎(chǔ)設(shè)施2024年9月13日，尼日利亞計(jì)算機(jī)應(yīng)急響應(yīng)中心（警告勒索組織正在攻擊尼日利亞的關(guān)鍵系統(tǒng)。攻擊者利用VeeamBackupandReplication（VBR）軟件中的一個(gè)高危漏洞（CVE-2023-27532，CVSSv3：7.5分）進(jìn)行攻擊，并且此次事件涉及Phobos勒索組織。CVE-2023-27532擊者未經(jīng)授權(quán)訪問敏感數(shù)據(jù)，包括存儲(chǔ)在Veeam配置數(shù)據(jù)庫中的加密和明文憑據(jù)。攻勒索組織利用此Veeam漏洞攻擊尼日利亞的云基礎(chǔ)設(shè)施。成功入侵網(wǎng)絡(luò)后，攻擊者部量尋呼機(jī)（BP機(jī)）爆炸事件。黎巴嫩真主黨第一時(shí)間發(fā)布消息稱，爆炸發(fā)生在當(dāng)?shù)貢r(shí)4000人受傷，其中約500人雙目失明前對以色列的導(dǎo)彈襲擊。美國試圖通過制裁阻止伊朗為其核計(jì)劃和導(dǎo)彈計(jì)劃提供資金。序號(hào)時(shí)間國家/地區(qū)行業(yè)方式影響1美國制造業(yè)未知安全設(shè)備的遠(yuǎn)程命令注入漏洞被放在暗網(wǎng)出售2美國制造業(yè)勒索軟件海軍造船廠遭泄露近17000人信息32月德國制造業(yè)配置錯(cuò)誤公司密鑰等敏感數(shù)據(jù)遭暴露42月法國制造業(yè)勒索軟件1.5TB數(shù)據(jù)遭泄露52月俄羅斯能源業(yè)木馬攻擊地方電網(wǎng)遭攻擊，38個(gè)定居點(diǎn)大停電6制造業(yè)勒索軟件公司遭索要高額贖金，并被威脅泄露數(shù)據(jù)7俄羅斯基礎(chǔ)設(shè)施勒索軟件87000個(gè)傳感器遭到禁用84月美國基礎(chǔ)設(shè)備漏洞水處理設(shè)施遭攻擊，水罐溢出設(shè)施設(shè)施94月202122232425烏克蘭俄羅斯美國烏克蘭英國美國美國美國美國尼日利亞黎巴嫩英國美國海灣地區(qū)伊朗法國基礎(chǔ)設(shè)施能源業(yè)能源業(yè)多行業(yè)制造業(yè)制造業(yè)能源業(yè)能源業(yè)能源業(yè)制造業(yè)能源業(yè)能源業(yè)制造業(yè)物流業(yè)物流業(yè)基礎(chǔ)設(shè)施通信業(yè)通信業(yè)交通業(yè)水利業(yè)水利業(yè)基礎(chǔ)設(shè)施能源業(yè)能源業(yè)制造業(yè)惡意軟件漏洞攻擊木馬攻擊惡意軟件惡意軟件失誤勒索軟件勒索軟件惡意軟件惡意軟件勒索軟件后門程序惡意軟件勒索軟件勒索軟件未知勒索軟件多處關(guān)鍵基礎(chǔ)設(shè)施被破壞800臺(tái)遠(yuǎn)程監(jiān)控設(shè)備被劫持，用于銀行賬戶盜竊IT公司、政府、航天工業(yè)公司等48個(gè)組織遭攻擊。工廠生產(chǎn)被迫中斷市部分供暖停止兩天核設(shè)施長期暴露關(guān)鍵安全信息240G敏感信息遭泄露油田服務(wù)商運(yùn)營停止生產(chǎn)能力受損超級機(jī)場癱瘓、航班延誤云基礎(chǔ)設(shè)施遭攻擊并被索要贖金尋呼機(jī)爆炸造成大量人員傷亡19個(gè)火車站遭到網(wǎng)絡(luò)攻擊1400多萬人用水受到影響大海灣地區(qū)關(guān)鍵基礎(chǔ)設(shè)施遭到攻擊核設(shè)施等多部門遭網(wǎng)絡(luò)攻擊75000個(gè)電子郵件地址和400000行用戶數(shù)據(jù)遭泄露隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0及5G網(wǎng)絡(luò)的蓬勃興起，傳統(tǒng)工業(yè)生產(chǎn)模式正加速向智成為常態(tài)，無論是PLC（ProgrammableLogicController，可編程邏輯控制器）、DCSAcquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)），還是各類工自動(dòng)化公司（mySCADA）、施耐德（Schneider）等工業(yè)控制系統(tǒng)廠商均被發(fā)現(xiàn)包含各種信息安全漏洞。諦聽團(tuán)隊(duì)采集到的工控漏洞數(shù)據(jù)顯示，2024年工控安全漏洞數(shù)量較漏洞走勢如圖4-1所示。根據(jù)圖表顯示，2015年至2020年間，工控領(lǐng)域的漏洞數(shù)量呈統(tǒng)進(jìn)行攻擊，從而導(dǎo)致工控漏洞的不斷增加。自2021年起，工控漏洞數(shù)量迎來了一個(gè)轉(zhuǎn)折點(diǎn)，從上年的568條下降至152條，之后漏洞數(shù)量總體呈出V字形的走勢，2022現(xiàn)的漏洞數(shù)量達(dá)到了207條，顯著高于2023年的119條。我們的團(tuán)隊(duì)推測這一變化的原因是多方面的。首先，不同于日新月異的IT行業(yè)，工業(yè)控制領(lǐng)域較為成熟，相關(guān)產(chǎn)手段的影響下，2015-2020期間發(fā)現(xiàn)的新增漏洞中，多年長期運(yùn)行在工控系統(tǒng)中的“存量”漏洞具有很大占比，到了2020年，這類“存量”漏洞的挖掘達(dá)到頂峰，而隨著新洞7個(gè)。相較于去年，漏洞數(shù)量增加了88個(gè)，各種危險(xiǎn)級別的漏洞數(shù)量都有所增長。其中，低危漏洞相較于去年依然維持約3%的總數(shù)占比，沒有較大變化。高危漏洞數(shù)量2023年的71%下降到了59%。2024年的中危漏洞相較于去年的數(shù)量出現(xiàn)了大幅度的增加，并且在2024年的整體工控漏洞數(shù)量中占據(jù)較大的比例。由此可見，2024年工如圖4-3是2024年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，圖中數(shù)據(jù)顯示，西門子38個(gè)漏洞。此外，臺(tái)達(dá)電子工業(yè)（DeltaElectronics）、研華科技（Advantech）、捷克工業(yè)自動(dòng)化公司（mySCADA）、施耐德（Schneider）等廠商也存在著一定數(shù)量的工控全漏洞。雖然相較于前兩年來看，近幾年的安全漏洞數(shù)量維持在較低水平，但是2023年、2024年的安全漏洞數(shù)量呈現(xiàn)顯著的上升趨勢。各廠商應(yīng)當(dāng)密切關(guān)注工控行業(yè)漏洞，濟(jì)發(fā)展的基本要求，也是社會(huì)穩(wěn)定運(yùn)行的重要基礎(chǔ)。根據(jù)2024年工業(yè)和信息化部印發(fā)“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎共支持31種服務(wù)的協(xié)議識(shí)別，表5-1展示了工控協(xié)議概述端口工控協(xié)議概述502/5034911502/503491147808100014800ModbusTridiumNiagaraFoxSSL/NiagaraFoxBACnetATGsDevicesMoxaNPortTridium公司專用協(xié)議，用于智能電網(wǎng)等領(lǐng)域智能建筑、基礎(chǔ)設(shè)置管理、安防系統(tǒng)的網(wǎng)絡(luò)協(xié)議智能建筑的通信協(xié)議工控協(xié)議虛擬串口協(xié)議EtherNet/IP44818以太網(wǎng)協(xié)議SiemensS7西門子通信協(xié)議DNP320000分布式網(wǎng)絡(luò)協(xié)議Codesys2455PLC協(xié)議ilonSmartserver1628/1629智能服務(wù)器協(xié)議RedlionCrimson3789工控協(xié)議IEC60870-5-1042404IEC系列協(xié)議OMRONFINS9600歐姆龍工業(yè)控制協(xié)議CSPV42222工控協(xié)議GESRTP18245美國通用電器產(chǎn)品協(xié)議PCWorx菲尼克斯電氣產(chǎn)品協(xié)議ProConOs20547科維公司操作系統(tǒng)協(xié)議MELSEC-Q5006/5007三菱通信協(xié)議opc-ua4840OPCUA接口協(xié)議DDP5002用于數(shù)據(jù)的傳輸和DTU管理Profinet基于工業(yè)以太網(wǎng)技術(shù)的自動(dòng)化總線標(biāo)準(zhǔn)IEC61850-8-1IEC系列協(xié)議Lantronix30718專為工業(yè)應(yīng)用而設(shè)計(jì)，解決串口和以太網(wǎng)通信問題物聯(lián)網(wǎng)協(xié)議端口概述AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊(duì)列協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議SOAP8089基于XML簡單對象訪問協(xié)議MQTT基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議攝像頭協(xié)議端口概述DahuaDvr37777大華攝像頭與服務(wù)器通信協(xié)議hikvision81-90海康威視攝像頭與服務(wù)器通信協(xié)議ONVIF3702開放型網(wǎng)絡(luò)視頻接口標(biāo)準(zhǔn)協(xié)議“諦聽”官方網(wǎng)站（）公布的數(shù)據(jù)為2017年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請與東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)直接聯(lián)系獲取。根據(jù)“諦聽”圖5-1顯示了2024年全球工控+物聯(lián)網(wǎng)設(shè)備暴露Top-10國家/地區(qū)可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機(jī)械領(lǐng)域表現(xiàn)突出，其排名與2023年相比保持不變，仍然位列第三。本章節(jié)著重介紹圖5-1全球工控+物聯(lián)網(wǎng)設(shè)備暴露To圖5-1顯示了2024年全球工控+物聯(lián)網(wǎng)設(shè)備暴露Top-10國家/地區(qū)可知，國家排名與2023年的排名相比基本保持不變，排名前三的國家依然是相同的。機(jī)械領(lǐng)域表現(xiàn)突出，其排名與2023年相比保持不變，仍然位列第三。本章節(jié)著重介紹工業(yè)互聯(lián)網(wǎng)中設(shè)備之間的高效、可靠互聯(lián)和數(shù)據(jù)交換。圖5-2和圖5-3露排名中，美國、加拿大、中國分別位列前三。美國的漏洞數(shù)量遠(yuǎn)超其他國家，達(dá)到143,999個(gè)。加拿大以22,427個(gè)漏洞排在第二，和美國相比，數(shù)量差距很大西班牙（10,462）、英國（7,186）、意大利（7,034）和瑞典（7,026）的漏洞數(shù)量相對圖5-2全球工控設(shè)備暴露Top10柱美國是世界上工業(yè)化程度最高的國家之一，同時(shí)也是2024年全球工控設(shè)備暴露最產(chǎn)效率。圖5-5為美國2024年暴露工控協(xié)議數(shù)量及占比。少至143998臺(tái)。這一變化不僅反映了美國在工業(yè)互聯(lián)網(wǎng)安全問題上的高度重視，也體2024年，加拿大的工控設(shè)備和物聯(lián)網(wǎng)設(shè)備暴露數(shù)量位居全球第三，與2023年術(shù)和自動(dòng)化系統(tǒng)，推動(dòng)數(shù)字化轉(zhuǎn)型。通過圖5-6可以看到，在加拿大暴露的工業(yè)協(xié)議數(shù)綜合來看，2024年相較于2023年，伴隨工業(yè)控制互聯(lián)入越來越多。加拿大工控協(xié)議設(shè)備暴露數(shù)量相比2023年略微降低。美國和加拿大作為2024年，中國暴露的工控設(shè)備數(shù)量在全球范圍內(nèi)依舊位居第二，相比于2023合應(yīng)用，為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展提供強(qiáng)勁動(dòng)能。工信部印發(fā)《打造“5G+工業(yè)互聯(lián)網(wǎng)”2023年，臺(tái)灣在工控領(lǐng)域暴露的設(shè)備數(shù)量為15366臺(tái)，而到了2024年，設(shè)備數(shù)量化協(xié)同、數(shù)字化管理、綠色化生產(chǎn)等方面的19個(gè)典型案例，充分展示了工業(yè)互聯(lián)網(wǎng)推成熱烈反響[9]。此次會(huì)議為進(jìn)一步促進(jìn)兩岸工業(yè)互聯(lián)網(wǎng)的也為兩岸產(chǎn)業(yè)在全球產(chǎn)業(yè)鏈中的升級與發(fā)展與2023年相比較，北京市工控設(shè)備暴露數(shù)量排名小幅度下降，位列第三名，“十全市規(guī)模以上工業(yè)增加值同比增長6.9%，居近年來的高位，對北京經(jīng)濟(jì)增長的貢獻(xiàn)率的發(fā)展，努力實(shí)現(xiàn)經(jīng)濟(jì)重振，為國家“振興東北”的戰(zhàn)略目標(biāo)貢獻(xiàn)了重要力量。2024《遼寧省工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案(2024-2026年)》[12]，該文件中提到要以Modbus協(xié)議是一種被廣泛應(yīng)用于工業(yè)領(lǐng)域的通信協(xié)議，它是由Modicon公司（現(xiàn)施耐德電氣SchneiderElect的ModbusTCP/IP。Modbus協(xié)議具有開放性、易實(shí)現(xiàn)等特點(diǎn)，被廣泛應(yīng)用于工業(yè)自動(dòng)化、過程控制、監(jiān)測管理等領(lǐng)域。盡管Modbus存在著安全性低、實(shí)時(shí)性弱等局限性，MoxaNPort協(xié)議是由Moxa公司開發(fā)，專為MoxaNPort串口設(shè)備聯(lián)網(wǎng)服務(wù)器設(shè)計(jì)Association）推廣和維護(hù)，用于工業(yè)控制系統(tǒng)中的設(shè)備數(shù)據(jù)交換。EhterNet/IP支持顯示協(xié)議。NiagaraFramework是一個(gè)基于Web的開放的集成平臺(tái)，能夠連接和協(xié)同與Niagara生態(tài)系統(tǒng)緊密集成，提供了設(shè)備管理、數(shù)據(jù)采集、數(shù)據(jù)集成等功能，用于在Niagara節(jié)點(diǎn)之間進(jìn)行高效的數(shù)據(jù)交換。OMRONFINS協(xié)議是由OMRON公司開發(fā)的一種通信協(xié)議，用于OMRO動(dòng)化設(shè)備之間的數(shù)據(jù)交換，特別是用于PLC通信。該協(xié)議能夠提供高效可靠的通信，間，網(wǎng)絡(luò)戰(zhàn)已然成為現(xiàn)代戰(zhàn)爭中不可或缺的一部分。網(wǎng)絡(luò)戰(zhàn)以其低成本高效能的特點(diǎn)，探測發(fā)現(xiàn)協(xié)議探測端口協(xié)議概述SiemensS7西門子通信協(xié)議Modbus502應(yīng)用于電子控制器上的一種通用語言ilonSmartserver智能服務(wù)器協(xié)議MoxaNPort4800Moxa專用的虛擬串口協(xié)議XMPP5222基于XML的可擴(kuò)展通訊和表示協(xié)議AMQP5672提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊(duì)列協(xié)議IEC60870-5-1042404IEC系列協(xié)議圖5-9展示了2024年烏克蘭各協(xié)議暴露設(shè)備的數(shù)量，可以看出AMQP協(xié)議暴露的設(shè)備數(shù)量總體從沖突前到24年1月下降幅度較大，后續(xù)隨小有波動(dòng)，但總體呈現(xiàn)緩慢下降趨勢；Modbus協(xié)議協(xié)議在24年基本呈現(xiàn)平穩(wěn)下降趨勢；Moxa初小幅度上升，隨后趨于平穩(wěn)；其他協(xié)議呈現(xiàn)波動(dòng)），“諦聽”工控蜜罐在原10種協(xié)議基礎(chǔ)上，于2022年新增了EGD協(xié)議，2023年進(jìn)一些數(shù)據(jù)統(tǒng)計(jì)和分析后的結(jié)果。下面將對各個(gè)圖且受攻擊量遙遙領(lǐng)先其他協(xié)議，這表明Modbus協(xié)議受到的關(guān)注大幅度增加。此外，除OMRONFINs和Modbus/UDP協(xié)議外，其他協(xié)議40圖6-3對中國國內(nèi)流量來源的IP地址進(jìn)行分析，列出了IP流量排名前十的省份。位列第二。雖然較2023年有所下降，并被北京超越，但其依然是國內(nèi)流量的主要來源位。除此以外，江蘇和上海的流量占比也較高，分別為13%和11%，其余各省都低于41兩個(gè)地區(qū)，分別對其部署的蜜罐所捕獲的攻擊流量數(shù)對于Modbus協(xié)議，我們選擇了部署在中國華東地區(qū)和美攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates6097553UnitedKingdom2373.742Italy11562.0China9645.6Germany4812024.1Canada4683.0Spain3223Belgium2782.0Greece437.8Russia734.6表6-2美國東海岸地區(qū)Modbus蜜罐捕獲攻擊總量來源TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates30958143.8China7005.7Belgium3242.3Canada307UnitedKingdom236653.6Italy1Germany413.4Netherlands225.0Japan3374.7India2847.0根據(jù)表6-1、6-2可知，在攻擊總量來源方面，中國華東地區(qū)和美國東海岸地區(qū)Modbus協(xié)議蜜罐捕獲的攻擊總量中，來自美國的攻擊總量均顯著高于其他國家，且高于去年同期數(shù)據(jù)。在攻擊IP數(shù)量方面，美國仍在兩個(gè)地區(qū)中均排名第一且遠(yuǎn)超于其他43國家。以表6-2為例，美國在美國東海岸地區(qū)的攻擊IP數(shù)量約是排名第二的比利時(shí)的攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates9123342.7China344.0Canada3835Belgium3433Netherlands52.8UnitedStates53Germany55Seychelles32UnitedKingdom32France212.0表6-4美國西海岸地區(qū)Ethernet/IP蜜罐捕獲攻擊總量來源TOP5（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量攻擊IP數(shù)量IP平均攻擊數(shù)UnitedStates3903.0China303545.6Canada5046Belgium3735Netherlands292.144Modbus協(xié)議在工業(yè)自動(dòng)化領(lǐng)域的廣泛和長期應(yīng)用，使其潛在攻擊面更大，且協(xié)議的復(fù)雜度和已知安全漏洞可能吸引了更多攻擊者。同時(shí)，網(wǎng)絡(luò)中Modbus協(xié)議設(shè)備的數(shù)量和暴露程度可能也高于Ethernet/IP協(xié)議設(shè)備，從而增加了Modbus協(xié)議蜜罐受到攻擊的概率。因此，雖然Modbus協(xié)議在工控系統(tǒng)中應(yīng)用廣泛，為了發(fā)現(xiàn)系統(tǒng)漏洞、測試防御機(jī)制，可能會(huì)進(jìn)行大量的網(wǎng)絡(luò)掃描和攻擊模擬?！爸B聽”和圖6-5分別展示了對Ethernet/IP和結(jié)果。其中，“E”代表Ethernet/IP協(xié)議，“M”代表Modbus協(xié)議。由也表示不同的攻擊類型。環(huán)形圖中的各個(gè)部45圖6-4Ethernet/IP協(xié)議攻擊類型占比圖（數(shù)據(jù)部署蜜罐，可以收集到更全面的攻擊信息，也易于發(fā)現(xiàn)新型攻擊手段。由圖6-4可知，擊流量的主要攻擊類型。美國西海岸地區(qū)的Ethernet/IP協(xié)議蜜罐捕獲的攻擊流量采用此可見以上攻擊類型是對Ethernet/IP46這兩個(gè)地區(qū)的工業(yè)控制設(shè)備數(shù)量龐大，將Modbus協(xié)議蜜罐部署議蜜罐捕獲的攻擊流量主要采用的攻擊類型為M'-1仍有一些未知的攻擊類型尚未被完全識(shí)別。針對這些未知攻擊，仍需深入研究和47現(xiàn)潛在的威脅趨勢和攻擊模式，從而提前采取防范措施。我們的團(tuán)隊(duì)對2024年全年采由“諦聽”網(wǎng)絡(luò)安全團(tuán)隊(duì)開發(fā)并于2021年2月上線的威脅情報(bào)搜索引擎48的IP地址確實(shí)發(fā)生了工控攻擊，這可以讓系統(tǒng)更有針對性的對攻擊進(jìn)行防御。下面對攻擊、垃圾郵件和洋蔥路由攻擊的IP地址，在主觀判斷上均可被歸類為“惡意IP”，今年“命令執(zhí)行與控制攻擊”關(guān)聯(lián)占比出現(xiàn)了小幅度的下降。“命令執(zhí)行與控制攻擊”49理過程，如電力系統(tǒng)、制造過程、水處理等，此類攻擊所構(gòu)成IP作為一種特殊的資源，其使用常常受到嚴(yán)格管理。這些IP會(huì)由專門的管理人員進(jìn)行監(jiān)管，一旦發(fā)現(xiàn)某用戶頻繁通過特定的代理IP發(fā)起攻擊行為，管理人員會(huì)迅速回收該得攻擊者更趨向于采用多樣化的手段對工控系統(tǒng)進(jìn)為支撐高精度數(shù)據(jù)采集，“諦聽”團(tuán)隊(duì)同步研發(fā)了Hon種專為工業(yè)控制系統(tǒng)設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)捕獲與協(xié)議式轉(zhuǎn)換。Honeyeye不僅能夠高效捕獲原始網(wǎng)絡(luò)流量，還可以將網(wǎng)絡(luò)流量數(shù)據(jù)轉(zhuǎn)換為更未來，Honeyeye將持續(xù)優(yōu)化其性能，擴(kuò)展對更多工控協(xié)議的支持，并計(jì)劃加入對業(yè)經(jīng)濟(jì)發(fā)展報(bào)告（2024年）》顯示，2023年我國包括安全在內(nèi)的工業(yè)互聯(lián)網(wǎng)核心產(chǎn)業(yè)產(chǎn)、確保系統(tǒng)與業(yè)務(wù)流程符合安全規(guī)范，從根本上降名稱名稱一級分類安全產(chǎn)品二級分類防護(hù)類產(chǎn)品管理類產(chǎn)品典型產(chǎn)品或服務(wù)工業(yè)防火墻、網(wǎng)絡(luò)隔離設(shè)備、入侵檢測與防御系統(tǒng)、防病毒軟件、應(yīng)用白名單、工業(yè)安全審計(jì)等態(tài)勢感知、安全合規(guī)管理、身份認(rèn)證管理、資產(chǎn)管理、補(bǔ)丁管理等工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)結(jié)構(gòu)安全服務(wù)實(shí)施類服務(wù)運(yùn)營類服務(wù)管理類服務(wù)咨詢類服務(wù)安全集成、安全加固等安全運(yùn)維管理、身份認(rèn)證管理、安全結(jié)構(gòu)管理等安全評估、安全咨詢等技術(shù)深度融合，成為了增強(qiáng)工業(yè)互聯(lián)網(wǎng)安全發(fā)現(xiàn)和處理潛在的安全威脅，實(shí)現(xiàn)邊緣設(shè)備、云端和本地系統(tǒng)之間的安全協(xié)同與聯(lián)動(dòng)，信等通信運(yùn)營商積極推進(jìn)“5G+工業(yè)互聯(lián)網(wǎng)”的融合應(yīng)用，通過構(gòu)建高可靠性的5G專國電信合作實(shí)現(xiàn)了5G專網(wǎng)全覆蓋，打造了智能制造工廠，即所謂的“無人車間”。天網(wǎng)這種依賴于局域網(wǎng)的快速交換網(wǎng)絡(luò)中更容易迅速擴(kuò)散。例如，Egregor是一種專門針對企業(yè)和工業(yè)控制系統(tǒng)的高危勒索軟件，一旦Egregor病毒侵入工控網(wǎng)絡(luò)，就會(huì)迅速加密系統(tǒng)中的關(guān)鍵數(shù)據(jù)和文件，導(dǎo)致生產(chǎn)流程中斷，嚴(yán)重威脅工控系統(tǒng)安全。5G網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的深度融合也給工控網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。5G網(wǎng)絡(luò)使得更多的物聯(lián)網(wǎng)設(shè)強(qiáng)的情況下，攻擊者有更多的機(jī)會(huì)找到并利用漏洞進(jìn)行入侵。另外，5G技術(shù)的低延遲特性也使得攻擊者能夠更快地發(fā)動(dòng)攻擊，并在更短的時(shí)間內(nèi)造成更大的破壞。面對5G會(huì)（簡稱“網(wǎng)安標(biāo)委”）發(fā)布了《人工智能安全治理框架》1.0版（簡稱《必須考慮其對社會(huì)和環(huán)境的影響，確保技術(shù)應(yīng)一、構(gòu)建“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”支撐體系，提升工業(yè)企業(yè)安全生產(chǎn)水平。持續(xù)建設(shè)“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”數(shù)據(jù)平臺(tái)，推動(dòng)民爆行業(yè)的工業(yè)互聯(lián)網(wǎng)融合應(yīng)用。指導(dǎo)地方相關(guān)部門及企業(yè)加大“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”數(shù)據(jù)平臺(tái)建設(shè)力度，在確保安全生斷優(yōu)化，工業(yè)互聯(lián)網(wǎng)將深入融入各個(gè)行業(yè)，推動(dòng)生產(chǎn)方式的變革和效率的提升。未來，部門、跨平臺(tái)的聯(lián)合協(xié)同，不僅是大勢所趨，更是保障產(chǎn)業(yè)安制造業(yè)與信息技術(shù)、人工智能、5G通信等新興產(chǎn)業(yè)的結(jié)合，將極大地推動(dòng)“智能制造”需要政府與企業(yè)之間建立更加緊密的合作關(guān)系，隨著如ChatGPT、DeepSeek等大模型的問世，人工智能進(jìn)入了新的發(fā)展階段，大緣計(jì)算等技術(shù)與區(qū)塊鏈技術(shù)相結(jié)合以提供更強(qiáng)大的安全保障障網(wǎng)絡(luò)的安全，是當(dāng)前研究的熱點(diǎn)。將邊緣計(jì)算與AI驅(qū)動(dòng)的安全分析技術(shù)相結(jié)合，邊[1]國家信息安全漏洞共享平臺(tái)工業(yè)控制系統(tǒng)漏洞列表[EB/OL].ht