2024年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書-63正式版

1.

前言工業(yè)互聯(lián)網(wǎng)是新一代信息網(wǎng)絡(luò)技術(shù)在工業(yè)領(lǐng)域中的集成應(yīng)用，它以物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)以及人工智能等前沿技術(shù)為支撐，構(gòu)建了人、機(jī)、物互聯(lián)的智能化網(wǎng)絡(luò)。工業(yè)互聯(lián)網(wǎng)通過工業(yè)數(shù)據(jù)的實時采集、傳輸、分析與應(yīng)用，實現(xiàn)生產(chǎn)流程的透明化、智能化和柔性化，其突出特征在于強(qiáng)大的數(shù)據(jù)處理能力、高度的互聯(lián)互通性，以及對市場變化快速響應(yīng)的能力。由此，工業(yè)企業(yè)可獲得更智能化的決策支持和更為高效的生產(chǎn)管理方案。截至

2024

年

11

月，貴州省通信管理局監(jiān)測數(shù)據(jù)顯示，工業(yè)互聯(lián)網(wǎng)攻擊事件頻發(fā)，總量達(dá)

102.62

萬次，并且環(huán)比增幅頗高，高達(dá)

97.1%。這些攻擊波及眾多工業(yè)企業(yè)，從攻擊類型、來源等方面來看情況都較為嚴(yán)峻，因此加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)，完善其安全體系迫在眉睫，是當(dāng)下的首要任務(wù)。2024

年

2

月，工業(yè)和信息化部印發(fā)了《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案（2024—2026

年）》，該方案實施主要分為三個部分：提升工業(yè)企業(yè)數(shù)據(jù)保護(hù)能力、提升數(shù)據(jù)安全監(jiān)管能力、提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力。為響應(yīng)國家號召，東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊基于自身傳統(tǒng)的安全研究優(yōu)勢開發(fā)設(shè)計并實現(xiàn)了“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎（），并根據(jù)“諦聽”收集的各類安全數(shù)據(jù)，撰寫并發(fā)布《2024

年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢白皮書》，讀者可以通過報告了解

2024

年工控安全相關(guān)政策法規(guī)報告及典型工控安全事件分析。同時報告提供了一個全面的視角來解讀

2024年工業(yè)控制網(wǎng)絡(luò)安全的態(tài)勢，包括政策法規(guī)、安全事件、漏洞分析、設(shè)備暴露情況、蜜罐數(shù)據(jù)以及安全技術(shù)的發(fā)展等多個層面，有助于全面了解工控系統(tǒng)安全現(xiàn)狀，多方位感知工控系統(tǒng)安全態(tài)勢，為研究工控安全相關(guān)人員提供參考。42.

2024

年工控安全相關(guān)政策法規(guī)標(biāo)準(zhǔn)在全球數(shù)字化浪潮的推動下，工業(yè)互聯(lián)網(wǎng)在制造業(yè)、能源、交通等領(lǐng)域都得到了廣泛的應(yīng)用，它成為了推動產(chǎn)業(yè)變革、提升國家競爭力的關(guān)鍵力量。然而，隨著工業(yè)系統(tǒng)的數(shù)字化、智能化程度不斷攀升，其面臨的網(wǎng)絡(luò)安全威脅也日益復(fù)雜多元。2024

年，我國在工控安全領(lǐng)域的布局持續(xù)深化拓展，著力優(yōu)化政策法規(guī)體系，完善安全標(biāo)準(zhǔn)，加強(qiáng)工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)，為工業(yè)互聯(lián)網(wǎng)的穩(wěn)健發(fā)展提供堅實后盾。通過對

2024

年度發(fā)布的一系列政策法規(guī)標(biāo)準(zhǔn)進(jìn)行梳理，并整合各大工業(yè)信息安全研究院和機(jī)構(gòu)針對相關(guān)法規(guī)發(fā)布的權(quán)威解讀文件，我們摘選了部分重要內(nèi)容，期望能幫助讀者把握國家在工控安全領(lǐng)域的戰(zhàn)略走向。2.1

《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》2024

年

1

月

2

日，為保障鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護(hù)網(wǎng)絡(luò)安全，國家鐵路局頒布《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》（中華人民共和國交通運(yùn)輸部令

2023年第

20

號

），自

2024

年

2

月

1

日起施行。辦法依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等制定，明確了鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定、運(yùn)營者責(zé)任和義務(wù)、監(jiān)督管理要求以及相關(guān)法律責(zé)任，強(qiáng)化了國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全體系建設(shè)。2.2

《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》2024

年

1

月

30

日，工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》，指導(dǎo)工業(yè)企業(yè)提升工控網(wǎng)絡(luò)安全水平，為新型工業(yè)化的高質(zhì)量發(fā)展提供網(wǎng)絡(luò)安全保障。該指南從安全管理、技術(shù)防護(hù)、安全運(yùn)營和責(zé)任落實四個方面提出

33

項基線要求，重點(diǎn)解決工業(yè)控制系統(tǒng)面臨的突出網(wǎng)絡(luò)安全問題。文件明確了工控安全防護(hù)工作的實施方向，推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的突出問題。52.3

《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系“貫通”行動計劃（2024-2026

年）》2024

年

1

月

31

日，工業(yè)和信息化部等十二部門發(fā)布文件《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系“貫通”行動計劃（2024-2026

年）》（以下簡稱《行動計劃》）?！缎袆佑媱潯访鞔_總體目標(biāo)為“到

2026

年，建成自主可控的標(biāo)識解析體系，在制造業(yè)及經(jīng)濟(jì)社會重點(diǎn)領(lǐng)域初步實現(xiàn)規(guī)模應(yīng)用，對推動企業(yè)數(shù)字化轉(zhuǎn)型、暢通產(chǎn)業(yè)鏈供應(yīng)鏈、促進(jìn)大中小企業(yè)和一二三產(chǎn)業(yè)融通發(fā)展的支撐作用不斷增強(qiáng)”，重點(diǎn)任務(wù)包括：貫通產(chǎn)業(yè)鏈供應(yīng)鏈、全面賦能消費(fèi)品“三品”戰(zhàn)略（增品種、提品質(zhì)、創(chuàng)品牌）、推進(jìn)數(shù)字醫(yī)療融合、完善綠色低碳管理體系、強(qiáng)化安全管理能力、提升城市數(shù)字化水平，以及助力產(chǎn)業(yè)集群升級。2.4

《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案（2024-2026

年）》2024

年

2

月

23

日，為了推動《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等在工業(yè)領(lǐng)域落地實施，工業(yè)和信息化部發(fā)布《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案（2024-2026

年）》（以下簡稱《實施方案》），提出三項重點(diǎn)任務(wù)：提升工業(yè)企業(yè)數(shù)據(jù)保護(hù)能力、提升數(shù)據(jù)安全監(jiān)管能力、提升數(shù)據(jù)安全產(chǎn)業(yè)支撐能力?！秾嵤┓桨浮访鞔_提出到

2026

年底工業(yè)領(lǐng)域數(shù)據(jù)安全保障體系基本建立的總體目標(biāo)。該《實施方案》為工業(yè)領(lǐng)域提升數(shù)據(jù)安全能力提供了明確方向和具體措施。2.5

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通資產(chǎn)信息格式》2024

年

3

月

15

日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通

資產(chǎn)信息格式》。《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南》聚焦網(wǎng)絡(luò)安全法律法規(guī)、政策、標(biāo)準(zhǔn)及相關(guān)熱點(diǎn)事件，旨在宣傳網(wǎng)絡(luò)安全標(biāo)準(zhǔn)知識，明確了網(wǎng)絡(luò)安全產(chǎn)品在資產(chǎn)信息描述中的格式規(guī)范，適用于網(wǎng)絡(luò)安全產(chǎn)品的設(shè)計、開發(fā)、應(yīng)用及測試，提供了統(tǒng)一的資產(chǎn)信息格式標(biāo)準(zhǔn)?！毒W(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南》的發(fā)布為行業(yè)規(guī)范化發(fā)展提供了重要保障。62.6

《數(shù)據(jù)安全技術(shù)

數(shù)據(jù)分類分級規(guī)則》2024

年

3

月

15

日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布

GB/T43697-2024

國家標(biāo)準(zhǔn)《數(shù)據(jù)安全技術(shù)

數(shù)據(jù)分類分級規(guī)則》（以下簡稱《規(guī)則》），以推動國家數(shù)據(jù)分類分級保護(hù)制度的實施?！兑?guī)則》由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，聯(lián)合中國科學(xué)技術(shù)大學(xué)等

36

家單位共同研制，并在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制的指導(dǎo)下編制完成?！兑?guī)則》依據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)，明確了數(shù)據(jù)分類分級的基本原則、框架、方法和實施流程，并提供了重要數(shù)據(jù)的識別指南，適用范圍涵蓋各行業(yè)各領(lǐng)域、各地區(qū)、各部門和數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，不適用于涉及國家秘密和軍事數(shù)據(jù)的場景。該《規(guī)則》的發(fā)布為我國數(shù)據(jù)安全管理提供規(guī)范化指引。2.7

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則（試行）》2024

年

5

月

10

日，工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則（試行）》（以下簡稱《實施細(xì)則》），自

2024

年

6

月

1

日起施行?！秾嵤┘?xì)則》要求重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少開展一次數(shù)據(jù)安全風(fēng)險評估，評估內(nèi)容包括數(shù)據(jù)處理者基本情況、評估團(tuán)隊基本情況、重要數(shù)據(jù)類別及數(shù)量、數(shù)據(jù)處理活動、風(fēng)險分析和評估結(jié)論等。行業(yè)監(jiān)管部門可根據(jù)需要組織對數(shù)據(jù)處理活動進(jìn)行專項評估或監(jiān)督檢查，處理者需積極配合并及時整改評估發(fā)現(xiàn)的問題。《實施細(xì)則》的出臺引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)安全風(fēng)險評估工作，提升數(shù)據(jù)安全管理水平。2.8

《電力網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》2024

年

6

月

7

日，國家能源局印發(fā)《電力網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（以下簡稱《預(yù)案》），規(guī)范電力網(wǎng)絡(luò)安全事件的應(yīng)對機(jī)制，強(qiáng)化防范、控制和應(yīng)急處置能力，減少安全事件對電力系統(tǒng)的危害。《預(yù)案》所指的“電力網(wǎng)絡(luò)安全事件”包括因計算機(jī)病毒、網(wǎng)絡(luò)攻擊等因素導(dǎo)致電力網(wǎng)絡(luò)和信息系統(tǒng)受損，影響電力供應(yīng)或系統(tǒng)穩(wěn)定運(yùn)行的情況。根據(jù)影響范圍和嚴(yán)重程度，事件被劃分為特別重大、重大、較大和一般四個等級。國家能源局負(fù)責(zé)統(tǒng)籌指導(dǎo)全國范圍內(nèi)的應(yīng)急處置工作，并協(xié)調(diào)提供技術(shù)支持，具體實施由電力安全監(jiān)管司承擔(dān)，以確保電力系統(tǒng)的安全穩(wěn)定運(yùn)行。72.9

《工業(yè)領(lǐng)域云安全實踐指南》2024

年

7

月

23

日，在北京召開的

2024

可信云大會上，中國通信標(biāo)準(zhǔn)化協(xié)會云計算標(biāo)準(zhǔn)和開源推進(jìn)委員會聯(lián)合西門子（中國）有限公司發(fā)布了《工業(yè)領(lǐng)域云安全實踐指南》。隨著工業(yè)數(shù)字化進(jìn)程加快，企業(yè)上云已成為趨勢，同時也面臨多種安全風(fēng)險和挑戰(zhàn)。為此，該文件提出了工業(yè)領(lǐng)域云安全五維模型，圍繞關(guān)鍵安全問題展開實踐探索，并對未來發(fā)展方向進(jìn)行研判，工業(yè)企業(yè)提供了應(yīng)對云安全風(fēng)險的參考，助力行業(yè)構(gòu)建更完善的安全體系，提高云環(huán)境下的安全保障能力。2.10

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》2024

年

9

月

30

日，國務(wù)院發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》（以下簡稱《條例》），自

2025

年

1

月

1

日起施行。該《條例》規(guī)范了網(wǎng)絡(luò)數(shù)據(jù)安全管理，保護(hù)了個人、組織的合法權(quán)益，維護(hù)國家安全和公共利益?！稐l例》主要規(guī)定了網(wǎng)絡(luò)數(shù)據(jù)安全管理總體要求、個人信息保護(hù)、重要數(shù)據(jù)安全、跨境安全管理及網(wǎng)絡(luò)平臺服務(wù)提供者義務(wù)等五方面。《條例》的實施將進(jìn)一步推動我國數(shù)據(jù)治理體系的建設(shè)，為數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展打下堅實基礎(chǔ)。2.11

《工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范》2024

年

9

月

30

日，由“諦聽”團(tuán)隊牽頭制定的遼寧省地方標(biāo)準(zhǔn)

DB21/T

4011—2024《工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范》（以下簡稱《規(guī)范》）正式獲批，于

2024

年

9

月30

日對外發(fā)布，并將于

2024

年

10

月

30

日起全面實施?！兑?guī)范》規(guī)定了工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知的整體架構(gòu)，以及數(shù)據(jù)準(zhǔn)備，態(tài)勢評估與展示、分析，態(tài)勢告警與響應(yīng)的技術(shù)要求。適用于安全測評服務(wù)機(jī)構(gòu)、工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品廠商、工業(yè)網(wǎng)絡(luò)運(yùn)營使用單位及主管部門組織工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知的設(shè)計、開發(fā)、建設(shè)、檢測、部署和維護(hù)工作。該規(guī)范的發(fā)布將為行業(yè)提供一套全面的參考標(biāo)準(zhǔn)。2.12

《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全》2024

年

10

月

8

日，國家市場監(jiān)督管理總局（國家標(biāo)準(zhǔn)化管理委員會）批準(zhǔn)發(fā)布了三項工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，分別為《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

1

部分：8應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

2

部分：平臺企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

3

部分：標(biāo)識解析企業(yè)防護(hù)要求》。當(dāng)前工業(yè)互聯(lián)網(wǎng)進(jìn)入規(guī)模化發(fā)展階段，網(wǎng)絡(luò)安全風(fēng)險蔓延，工業(yè)互聯(lián)網(wǎng)企業(yè)安全保護(hù)需求各異。此次發(fā)布的標(biāo)準(zhǔn)聚焦三類企業(yè)防護(hù)需求，提出不同級別安全要求，為企業(yè)實施工業(yè)互聯(lián)網(wǎng)安全分類分級管理提供指導(dǎo)，助力企業(yè)網(wǎng)絡(luò)安全體系建設(shè)與能力提升。2.13

《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應(yīng)用參考指南（2024

年）》2024

年

10

月

15

日，工信部辦公廳發(fā)布《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應(yīng)用參考指南（2024

年）》（以下簡稱《指南》）?！吨改稀泛w了電力企業(yè)在應(yīng)用工業(yè)互聯(lián)網(wǎng)時的現(xiàn)狀需求、總體設(shè)計、應(yīng)用場景、網(wǎng)絡(luò)融合、標(biāo)識融合、平臺融合、數(shù)據(jù)融合、安全融合及組織實施等內(nèi)容，設(shè)計了總體架構(gòu)，并梳理出

8

大應(yīng)用模式、27

類應(yīng)用領(lǐng)域、85

項具體場景，提出了網(wǎng)絡(luò)、標(biāo)識、平臺、數(shù)據(jù)和安全等方面的融合應(yīng)用方案，明確了基本原則、實施流程和要素保。2.14

《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務(wù)新型電力系統(tǒng)高質(zhì)量發(fā)展》2024

年

10

月

30

日，國家能源局發(fā)布《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務(wù)新型電力系統(tǒng)高質(zhì)量發(fā)展》的通知（以下簡稱《通知》）?！锻ㄖ芬髮π履茉春托滦筒⒕W(wǎng)主體的涉網(wǎng)安全管理進(jìn)行科學(xué)界定，并制定改造方案。電力調(diào)度機(jī)構(gòu)需加強(qiáng)管理和技術(shù)監(jiān)督，確保并網(wǎng)主體按照標(biāo)準(zhǔn)建設(shè)，避免“帶病入網(wǎng)”。此外，《通知》還強(qiáng)調(diào)了涉網(wǎng)參數(shù)管理的規(guī)范化，要求加強(qiáng)建模及參數(shù)實測管理，落實復(fù)測要求。在并網(wǎng)接入過程中，優(yōu)化接入服務(wù)并評估安全風(fēng)險，同時強(qiáng)化并網(wǎng)運(yùn)行管理，尤其是虛擬電廠和容量變更的管理機(jī)制。最后，國家能源局將加強(qiáng)對新能源和新型并網(wǎng)主體的監(jiān)督管理，推動營造安全發(fā)展的良好環(huán)境。2.15

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》2024

年

10

月

31

日，為應(yīng)對數(shù)字化轉(zhuǎn)型時代下數(shù)據(jù)規(guī)模激增導(dǎo)致數(shù)據(jù)安全風(fēng)險事件的增長，工信部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》（以下簡稱《應(yīng)急預(yù)案》）。該《應(yīng)急預(yù)案》旨在構(gòu)建數(shù)據(jù)安全事件應(yīng)急管理體系，提升數(shù)據(jù)安全9事件的應(yīng)對能力，從而有效地控制和減輕數(shù)據(jù)安全事件帶來的危害和損失，保護(hù)個人、組織合法權(quán)益，維護(hù)國家安全和公共利益。2.16

《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》2024

年

11

月

19

日，《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》（以下簡稱《合規(guī)指引》）正式發(fā)布?！逗弦?guī)指引》由國家工業(yè)信息安全發(fā)展研究中心（以下簡稱“中心”）依托工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，聯(lián)合中國鋼鐵工業(yè)協(xié)會、中國有色金屬工業(yè)協(xié)會等

16家全國性行業(yè)組織共同編制，涵蓋數(shù)據(jù)分類分級、重要數(shù)據(jù)識別、數(shù)據(jù)安全管理、全生命周期保護(hù)等多個方面。其主要目的是細(xì)化并實施國家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)?！逗弦?guī)指引》要求企業(yè)正確履行數(shù)據(jù)安全保護(hù)義務(wù)，中心還將繼續(xù)通過行業(yè)組織，加強(qiáng)與各方的溝通，指導(dǎo)企業(yè)全面遵守相關(guān)法規(guī)，提高數(shù)據(jù)安全保障水平。2.17

《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》2024

年

12

月

11

日中華人民共和國國家發(fā)展和改革委員會發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（以下簡稱《規(guī)定》），并明確于

2025

年

1

月

1

日起實施。《規(guī)定》著重強(qiáng)調(diào)了實施網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障，遵循“分區(qū)防護(hù)、專用網(wǎng)絡(luò)隔離、橫縱雙向防護(hù)”這一安全框架原則，并從安全技術(shù)、管理、應(yīng)急響應(yīng)和監(jiān)督管理等多個方面進(jìn)行了詳細(xì)闡述。該《規(guī)定》明確了電力監(jiān)控系統(tǒng)的防護(hù)要求，旨在提升電力系統(tǒng)的整體安全性，幫助應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，確保電力生產(chǎn)與供應(yīng)的安全穩(wěn)定運(yùn)行。表

2-1

2024

國內(nèi)部分出臺政策法規(guī)標(biāo)準(zhǔn)序號月份出臺政策法規(guī)標(biāo)準(zhǔn)123451

月1

月1

月1

月2

月《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》《工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系“貫通”行動計劃（2024-2026

年）》《基于隱私計算的電力數(shù)據(jù)共享業(yè)務(wù)互聯(lián)互通接口規(guī)范（征求意見稿）》《2024

年電力安全監(jiān)管重點(diǎn)任務(wù)》106782

月3

月3

月《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案（2024-2026

年）》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通

資產(chǎn)信息格式》《數(shù)據(jù)安全技術(shù)

數(shù)據(jù)分類分級規(guī)則》《信息技術(shù)

安全技術(shù)

抗抵賴

第

1

部分:概述》、《信息技術(shù)

安全技術(shù)

抗抵賴

第3

部分:采用非對稱技術(shù)的機(jī)制》、《信息技術(shù)

安全技術(shù)

實體鑒別

第

4

部分:采用密碼校驗函數(shù)的機(jī)制》、《信息技術(shù)安全技術(shù)信息安全管理

監(jiān)視、測量、分析和評價》93

月1011121314151617184

月5

月6

月6

月7

月9

月9

月9

月9

月《全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會

2024

年度工作要點(diǎn)》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則（試行）》《電力網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)安全

物聯(lián)網(wǎng)安全與隱私

家庭物聯(lián)網(wǎng)指南》《工業(yè)領(lǐng)域云安全實踐指南》《人工智能安全治理框架》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——敏感個人信息識別指南》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)規(guī)范》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

1

部分：應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護(hù)要求》1910

月

《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

2

部分：平臺企業(yè)防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全

第

3

部分：標(biāo)識解析企業(yè)防護(hù)要求》2021222324252610

月《工業(yè)互聯(lián)網(wǎng)與電力行業(yè)融合應(yīng)用參考指南（2024

年）》10

月

《關(guān)于提升新能源和新型并網(wǎng)主體涉網(wǎng)安全能力服務(wù)新型電力系統(tǒng)高質(zhì)量發(fā)展》10

月11

月11

月12

月12

月《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》《新型工業(yè)控制藍(lán)皮書》《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施

(計算機(jī)系統(tǒng))

條例草案》113.

2024

年典型工控安全事件2024

年，國際局勢風(fēng)云詭譎，全球工業(yè)企業(yè)面臨的工控安全威脅依舊層出不窮。俄烏沖突背景下，雙方針對彼此的發(fā)電廠等重要工業(yè)產(chǎn)業(yè)多次進(jìn)行攻擊；以敲詐勒索為目的的安全攻擊同樣普遍，嚴(yán)重威脅了工業(yè)企業(yè)的正常經(jīng)營。本年度針對工控系統(tǒng)的攻擊在破壞性和規(guī)模上呈現(xiàn)出顯著增長趨勢，波及多個關(guān)鍵行業(yè)，包括能源、交通、軍工、制造等領(lǐng)域。以下將介紹

2024

年發(fā)生的一些典型工控安全事件，通過這些案例，可以更清晰地了解工業(yè)網(wǎng)絡(luò)所面臨的風(fēng)險及其發(fā)展趨勢，從而為制定更有效的應(yīng)對策略提供參考，以應(yīng)對未來潛在的攻擊威脅。3.1

美國海軍造船廠遭勒索軟件攻擊泄露近

17000

人信息2024

年

1

月

5

日，意大利造船公司芬坎蒂尼集團(tuán)（Fincantieri）的美國子公司芬坎蒂尼海事集團(tuán)（Fincantieri

Marine

Group，F(xiàn)MG）向緬因州監(jiān)管機(jī)構(gòu)提交了一封違規(guī)通知信，信中表示在

2023

年

4

月

6

日至

2023

年

4

月

12

日期間，F(xiàn)MG

環(huán)境中的某些系統(tǒng)遭到未經(jīng)授權(quán)的訪問，因此，存儲在其系統(tǒng)上的某些數(shù)據(jù)遭到未經(jīng)授權(quán)的獲取，然而該公司當(dāng)時沒有回應(yīng)置評請求，但向美國海軍研究所和《綠灣新聞公報》發(fā)送了一份聲明，確認(rèn)其遭遇了一起網(wǎng)絡(luò)安全事件，導(dǎo)致“其網(wǎng)絡(luò)上的某些計算機(jī)系統(tǒng)暫時中斷”。據(jù)美國海軍學(xué)院在

2023

年

4

月的報道稱，該造船廠建造了美國海軍的自由級瀕海戰(zhàn)斗艦和星座級導(dǎo)彈護(hù)衛(wèi)艦。3.2

俄羅斯地方電網(wǎng)遭網(wǎng)絡(luò)攻擊大停電，涉事黑客被起訴2024

年

2

月

27

日，據(jù)塔斯社報道，一名

49

歲的俄羅斯公民即將面臨審判。他被控實施網(wǎng)絡(luò)攻擊，導(dǎo)致沃洛格達(dá)地區(qū)

38

個村莊陷入黑暗，將面臨最長達(dá)

8

年的監(jiān)禁。該電網(wǎng)攻擊發(fā)生在一年前。俄羅斯聯(lián)邦安全局沃洛格達(dá)地區(qū)部門的新聞處向塔斯社表示：“我們已經(jīng)完成對黑客切斷沃洛格達(dá)地區(qū)

38

個定居點(diǎn)電力供應(yīng)一事的刑事調(diào)查?！倍砹_斯聯(lián)邦安全局沃洛格達(dá)地區(qū)總局確定，這位

1975

年出生的本地居民，在

2023

年

2

月12非法訪問了電網(wǎng)的技術(shù)控制系統(tǒng)，并切斷了沃洛格達(dá)地區(qū)舍克斯納區(qū)、烏斯秋日納區(qū)和巴巴耶沃區(qū)共

38

個定居點(diǎn)的電力供應(yīng)。3.3

烏克蘭使用破壞性

ICS

惡意軟件

Fuxnet

攻擊俄羅斯基礎(chǔ)設(shè)施2024

年

4

月

15

日，SecurityWeek

和

Claroty

博文的消息稱，據(jù)信隸屬于烏克蘭安全部門的一個名為

Blackjack

的黑客組織對俄羅斯多個重要組織發(fā)起了攻擊。Blackjack

披露了針對

Moscollector

的涉嫌攻擊的細(xì)節(jié)，Moscollector

是一家總部位于莫斯科的公司，負(fù)責(zé)供水、污水處理和通信系統(tǒng)等地下基礎(chǔ)設(shè)施。“俄羅斯的工業(yè)傳感器和監(jiān)控基礎(chǔ)設(shè)施已被禁用，”黑客聲稱，“它包括俄羅斯的網(wǎng)絡(luò)運(yùn)營中心（NOC），該中心監(jiān)視和控制天然氣、水、火災(zāi)報警器和許多其他設(shè)備，包括龐大的遠(yuǎn)程傳感器和物聯(lián)網(wǎng)控制器網(wǎng)絡(luò)?！焙诳吐暦Q已經(jīng)清除了數(shù)據(jù)庫、電子郵件、內(nèi)部監(jiān)控和數(shù)據(jù)存儲服務(wù)器。此外，他們還聲稱已經(jīng)禁用了

87000

個傳感器，其中包括與機(jī)場、地鐵系統(tǒng)和天然氣管道相關(guān)的傳感器。為了實現(xiàn)這一目標(biāo)，他們聲稱使用了

Fuxnet，這是一種被他們稱為“類固醇震網(wǎng)”的惡意軟件，這使得他們能夠物理破壞傳感器設(shè)備。3.4

美國多地水務(wù)工控系統(tǒng)疑遭俄攻擊2024

年

4

月

18

日，安全內(nèi)參消息，美國網(wǎng)絡(luò)安全公司

Mandiant

的專家表示，一家與俄羅斯政府有關(guān)聯(lián)的黑客組織，涉嫌在

1

月對美國得克薩斯州一處水處理設(shè)施發(fā)動網(wǎng)絡(luò)攻擊，導(dǎo)致水罐溢出。黑客通過訪問敏感的工業(yè)設(shè)備來干擾美國水處理設(shè)施的正常運(yùn)營，這類攻擊在過去是十分罕見的。去年

11

月，賓夕法尼亞州也遭到了類似的網(wǎng)絡(luò)攻擊，當(dāng)時美國官員指責(zé)伊朗是幕后黑手。繆爾舒鎮(zhèn)城市經(jīng)理

Ramon

Sanchez

告訴

CNN（美國有線電視新聞網(wǎng)），黑客入侵了一個用于工業(yè)軟件的遠(yuǎn)程登錄系統(tǒng)，獲取了該系統(tǒng)操作水罐的權(quán)限。Sanchez

在一封電子郵件中表示，被攻擊的水罐溢出了大約

30-45分鐘，直到繆爾舒鎮(zhèn)官員將被黑客攻破的工業(yè)機(jī)器下線并切換到手動操作才停止。拜登政府建議各州官員制定安全計劃，保護(hù)他們的水務(wù)系統(tǒng)免受黑客攻擊。3.5

俄黑客組織沙蟲發(fā)力，烏克蘭多處關(guān)鍵基礎(chǔ)設(shè)施被破壞2024

年

4

月

19

日，烏克蘭計算機(jī)應(yīng)急響應(yīng)團(tuán)隊（CERT-UA）發(fā)布報告稱，俄羅斯黑客組織“沙蟲”（Sandworm）旨在破壞烏克蘭約

20

家關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行。該黑客13組織也被稱作

APT44，與俄羅斯武裝部隊總參謀部主管部門（GRU）有關(guān)，主要針對各種目標(biāo)進(jìn)行網(wǎng)絡(luò)間諜活動和破壞性攻擊。CERT-UA

的報告稱，2024

年

3

月，APT44

破壞了烏克蘭

10

個地區(qū)的能源、水務(wù)、供暖供應(yīng)商的信息和通信系統(tǒng)。在某些情況下，Sandworm

會通過操縱軟件供應(yīng)鏈或者利用軟件提供商的權(quán)限來進(jìn)入目標(biāo)網(wǎng)絡(luò)，也可能部署被篡改的軟件或者利用軟件漏洞，成功滲透到系統(tǒng)中。CERT-UA

對受影響實體的日志進(jìn)行調(diào)查后發(fā)現(xiàn)，Sandworm

主要依靠

QUEUESEED/IcyWell/Kapeka、BIASBOAT、LOADGRIP、GOSSIPFLOW

等惡意軟件對烏克蘭公共事業(yè)供應(yīng)商進(jìn)行攻擊。烏克蘭機(jī)構(gòu)認(rèn)為，這些攻擊的目的是增強(qiáng)俄羅斯導(dǎo)彈對目標(biāo)基礎(chǔ)設(shè)施的打擊效果。3.6

全球首例光伏電場網(wǎng)絡(luò)攻擊事件曝光2024

年

5

月

1

日，日本媒體《產(chǎn)經(jīng)新聞》報道，黑客劫持了一個由工控電子制造商Contec

生產(chǎn)的

SolarView

Compact

大型光伏電網(wǎng)中的

800

臺遠(yuǎn)程監(jiān)控設(shè)備，用于銀行賬戶

盜

竊

。

攻

擊

者

利

用

了

Palo

Alto

Networks

在

2023

年

6

月

發(fā)

現(xiàn)

的

一

個

漏

洞（CVE-2022-29303）傳播

Mirai

僵尸網(wǎng)絡(luò)，并設(shè)置了“后門”程序。通過操縱這些設(shè)備非法連接到網(wǎng)上銀行，從金融機(jī)構(gòu)的賬戶轉(zhuǎn)賬到黑客的賬戶來竊取金錢。5

月7

日，Contec確認(rèn)了最近對遠(yuǎn)程監(jiān)控設(shè)備的攻擊，并提醒光伏發(fā)電設(shè)施運(yùn)營商將設(shè)備軟件更新至最新版本。3.7

俄羅斯電力公司、IT

公司和政府機(jī)構(gòu)遭遇

Decoy

Dog

木馬攻擊2024

年

6

月

6

日，F(xiàn)reeBuf

早報稱，俄羅斯的組織正遭遇網(wǎng)絡(luò)攻擊，這些攻擊被發(fā)現(xiàn)是傳遞一種名為

Decoy

Dog（誘餌狗）的

Windows

版本惡意軟件。網(wǎng)絡(luò)安全公司正在跟蹤這一活動集群，并將其歸因于一個名為“HellHounds”的高級持續(xù)威脅（APT）組織。HellHounds

小組會攻破他們選擇的組織并在其網(wǎng)絡(luò)中隱藏多年未被發(fā)現(xiàn)。在此過程中，該小組利用了主要的入侵向量，從漏洞的

Web

服務(wù)到可信賴的關(guān)系。HellHounds首次被該公司記錄是在

2023

年

11

月底，緊隨一個未披露的電力公司被

Decoy

Dog

木馬攻破之后。迄今為止，已確認(rèn)其入侵了

48

個俄羅斯受害者，包括

IT

公司、政府、航天工業(yè)公司和電信供應(yīng)商。有證據(jù)表明，自

2021

年以來，該威脅行為者一直在針對俄羅斯公司，惡意軟件的開發(fā)可以追溯到

2019

年

11

月。143.8

城市供暖系統(tǒng)遭網(wǎng)絡(luò)攻擊被關(guān)閉，大量居民在寒冬下停暖近

2

天2024

年

7

月

23

日，有消息稱，今年

1

月中旬烏克蘭利沃夫市一家市政能源公司遭受了網(wǎng)絡(luò)攻擊，部分居民被迫在沒有集中供暖的情況下生活了兩天。美國工控安全公司Dragos

昨天發(fā)布報告，詳細(xì)介紹了一種名為

FrostyGoop

的新型惡意軟件。Dragos

表示，該軟件旨在攻擊工業(yè)控制系統(tǒng)。在上述案例中，該軟件被用來針對一種供暖系統(tǒng)控制器。FrostyGoop

惡意軟件旨在通過

Modbus

協(xié)議與工業(yè)控制設(shè)備（ICS）交互。Modbus

是一種在全球范圍內(nèi)廣泛使用的舊協(xié)議，用于控制工業(yè)環(huán)境中的設(shè)備。這是近年來烏克蘭人遭遇的第三起與網(wǎng)絡(luò)攻擊相關(guān)的市政服務(wù)停運(yùn)事件。研究人員表示，雖然這種惡意軟件不太可能引起大范圍停運(yùn)，但它表明惡意黑客正在加大對關(guān)鍵基礎(chǔ)設(shè)施（如能源電網(wǎng)）的攻擊力度。3.9

全球領(lǐng)先的油田服務(wù)商美國哈里伯頓公司遭受網(wǎng)絡(luò)攻擊導(dǎo)致運(yùn)營中斷2024

年

8

月

21

日，CNN、路透社等多家媒體報道稱，全球領(lǐng)先的油田服務(wù)商美國哈里伯頓公司目前正在應(yīng)對一次嚴(yán)重的網(wǎng)絡(luò)攻擊，此次攻擊擾亂了其休斯頓園區(qū)的運(yùn)營并影響了其部分全球網(wǎng)絡(luò)。一位知情人士首先向路透社報告了這一事件，由于事情的敏感性，該人士不愿透露姓名。該公司尚未正式確認(rèn)網(wǎng)絡(luò)攻擊，但承認(rèn)存在影響某些系統(tǒng)的“問題”。哈里伯頓發(fā)言人在一份聲明中表示，他們意識到存在影響某些公司系統(tǒng)的問題，并正在努力評估原因和潛在影響。公司已經(jīng)啟動了預(yù)先準(zhǔn)備的應(yīng)對計劃，正在內(nèi)部與頂尖專家合作解決該問題。雖然此次攻擊的具體細(xì)節(jié)尚未披露，但對業(yè)務(wù)運(yùn)營的影響顯而易見。據(jù)路透社報道，北休斯頓園區(qū)的員工已被建議不要連接內(nèi)部網(wǎng)絡(luò)，該公司正在與網(wǎng)絡(luò)安全專家合作解決這一問題。3.10

網(wǎng)絡(luò)攻擊迫使美國超級機(jī)場

IT

系統(tǒng)癱瘓、航班延誤2024

年

8

月

26

日，美國西雅圖-塔科馬國際機(jī)場確認(rèn)，日前出現(xiàn)的

IT

系統(tǒng)中斷可能是由網(wǎng)絡(luò)攻擊引起。這一中斷擾亂了預(yù)訂和登機(jī)手續(xù)系統(tǒng)，并導(dǎo)致航班延誤。塔科馬機(jī)場是西雅圖的主要國際機(jī)場，也是美國西北太平洋沿岸地區(qū)最繁忙的機(jī)場。根據(jù)機(jī)場運(yùn)營商最新消息，“西雅圖港，包括西雅圖-塔科馬機(jī)場的系統(tǒng)中斷仍在繼續(xù)。港口團(tuán)15隊正在繼續(xù)努力恢復(fù)系統(tǒng)的正常運(yùn)行，但尚未有預(yù)計恢復(fù)的時間?！蹦壳?，沒有任何勒索軟件組織或其他威脅行為者宣布對這次攻擊負(fù)責(zé)。3.11

勒索組織利用

Veeam

軟件漏洞攻擊尼日利亞的關(guān)鍵基礎(chǔ)設(shè)施2024

年

9

月

13

日，尼日利亞計算機(jī)應(yīng)急響應(yīng)中心（ngCERT）發(fā)布了緊急警報，警告勒索組織正在攻擊尼日利亞的關(guān)鍵系統(tǒng)。攻擊者利用

Veeam

Backup

and

Replication（VBR）軟件中的一個高危漏洞（CVE-2023-27532，CVSS

v3：7.5

分）進(jìn)行攻擊，并且此次事件涉及

Phobos

勒索組織。CVE-2023-27532

影響

VBR

12

及以下版本，允許攻擊者未經(jīng)授權(quán)訪問敏感數(shù)據(jù)，包括存儲在

Veeam

配置數(shù)據(jù)庫中的加密和明文憑據(jù)。攻擊者能夠利用該漏洞提升權(quán)限、安裝惡意軟件并在受感染系統(tǒng)上執(zhí)行任意代碼。Phobos勒索組織利用此

Veeam

漏洞攻擊尼日利亞的云基礎(chǔ)設(shè)施。成功入侵網(wǎng)絡(luò)后，攻擊者部署勒索軟件，加密關(guān)鍵數(shù)據(jù)，并向受害者索要贖金。3.12

黎巴嫩尋呼機(jī)爆炸，傳呼設(shè)備成為奪命炸彈2024

年

9

月

17

日下午，黎巴嫩首都貝魯特以及黎巴嫩東南部和東北部多地發(fā)生大量尋呼機(jī)（BP

機(jī)）爆炸事件。黎巴嫩真主黨第一時間發(fā)布消息稱，爆炸發(fā)生在當(dāng)?shù)貢r間下午

3

時

30

分左右，影響了真主黨各機(jī)構(gòu)的“工作人員”，有“大量”人受傷。截至

18

日

16

時，以色列時報援引黎巴嫩公共衛(wèi)生部門數(shù)據(jù)稱，爆炸造成

11

人死亡，約4000

人受傷，其中約

500

人雙目失明。當(dāng)?shù)貢r間

19

日，包括對講機(jī)爆炸事件，黎巴嫩公共衛(wèi)生部長表示，爆炸事件已致

37

人死亡。3.13

美國水務(wù)公司

IT

系統(tǒng)遭網(wǎng)絡(luò)攻擊計費(fèi)系統(tǒng)暫停2024

年

10

月

7

日，美國水務(wù)公司披露了一起網(wǎng)絡(luò)攻擊事件。這家總部位于新澤西州的美國水務(wù)公司擁有超過

6500

名員工，為

24

個州和

18

個軍事基地的

1400

多萬人提供供水服務(wù)。據(jù)報道，當(dāng)?shù)貢r間

10

月

3

日該公司發(fā)現(xiàn)其系統(tǒng)受到了網(wǎng)絡(luò)攻擊，導(dǎo)致計費(fèi)服務(wù)中斷，但未對供水和污水處理設(shè)施產(chǎn)生影響。美國水務(wù)公司指出其供水安全不會受到威脅，目前沒有勒索軟件組織聲稱對此次攻擊負(fù)責(zé)。美國水務(wù)公司表示，已經(jīng)切斷了部分系統(tǒng)并暫停了客戶門戶服務(wù)，同時承諾在此期間不會向客戶收取滯納金。該公司還聯(lián)系了執(zhí)法部門，并啟動了第三方網(wǎng)絡(luò)安全專家的調(diào)查，目前調(diào)查仍在進(jìn)行中。近年16來，針對美國供水設(shè)施的網(wǎng)絡(luò)攻擊頻發(fā)，政府對此表示擔(dān)憂。白宮和美國環(huán)保署已多次警告該行業(yè)的脆弱性，促使各方加強(qiáng)應(yīng)對措施。雖然此次事件未影響供水運(yùn)營，但該公司表示無法預(yù)測攻擊的全部影響，未來將根據(jù)調(diào)查結(jié)果采取進(jìn)一步措施。3.14

伊朗核設(shè)施等多部門遭網(wǎng)絡(luò)攻擊，美歐實施相關(guān)制裁舉措2024

年

10

月

12

日，中東局勢持續(xù)緊張之際，伊朗于

12

日遭遇大規(guī)模網(wǎng)絡(luò)攻擊。據(jù)伊朗最高網(wǎng)絡(luò)空間委員會前秘書菲魯扎巴迪透露，伊朗政府的司法、立法和行政三個部門幾乎都遭受嚴(yán)重攻擊，信息被盜，核設(shè)施以及燃料配送、市政、交通、港口等網(wǎng)絡(luò)均成為攻擊目標(biāo)，但攻擊發(fā)生時間未明確。目前，攻擊造成的損失及具體細(xì)節(jié)尚不清楚。此次網(wǎng)絡(luò)攻擊發(fā)生時，正值美國宣布擴(kuò)大對伊朗石油和石化行業(yè)的制裁，以回應(yīng)伊朗此前對以色列的導(dǎo)彈襲擊。美國試圖通過制裁阻止伊朗為其核計劃和導(dǎo)彈計劃提供資金。同時，伊朗民航組織宣布禁止攜帶尋呼機(jī)和對講機(jī)等電子通訊設(shè)備進(jìn)入機(jī)艙或托運(yùn)行李（手機(jī)除外），此規(guī)定或與黎巴嫩此前涉及真主黨通訊設(shè)備的爆炸事件有關(guān)。歐盟也計劃對與伊朗向俄羅斯轉(zhuǎn)讓導(dǎo)彈有關(guān)的個人和組織實施制裁。伊朗局勢在網(wǎng)絡(luò)攻擊、軍事沖突、制裁等多方面因素交織下愈發(fā)復(fù)雜緊張。表

3-1

2024

年部分安全事件序號

時間國家/地區(qū)行業(yè)方式影響安全設(shè)備的遠(yuǎn)程命令注入漏洞被放在暗網(wǎng)出售11

月美國制造業(yè)未知23451

月2

月2

月2

月美國德國制造業(yè)制造業(yè)制造業(yè)能源業(yè)勒索軟件配置錯誤勒索軟件木馬攻擊海軍造船廠遭泄露近

17000

人信息公司密鑰等敏感數(shù)據(jù)遭暴露1.5TB

數(shù)據(jù)遭泄露法國俄羅斯地方電網(wǎng)遭攻擊，38

個定居點(diǎn)大停電公司遭索要高額贖金，并被威脅泄露數(shù)據(jù)63

月比利時制造業(yè)勒索軟件基礎(chǔ)設(shè)施783

月4

月俄羅斯美國勒索軟件設(shè)備漏洞87000

個傳感器遭到禁用基礎(chǔ)水處理設(shè)施遭攻擊，水罐溢出17設(shè)施基礎(chǔ)設(shè)施94

月5

月烏克蘭日本惡意軟件漏洞攻擊多處關(guān)鍵基礎(chǔ)設(shè)施被破壞800

臺遠(yuǎn)程監(jiān)控設(shè)備被劫持，用于銀行賬戶盜竊10能源業(yè)IT

公司、政府、航天工業(yè)公司等

48

個組織遭攻擊。11121314151617181920216

月6

月7

月8

月8

月8

月8

月8

月9

月9

月9

月俄羅斯美國多行業(yè)制造業(yè)能源業(yè)能源業(yè)制造業(yè)能源業(yè)制造業(yè)物流業(yè)木馬攻擊惡意軟件惡意軟件失誤工廠生產(chǎn)被迫中斷市部分供暖停止兩天烏克蘭英國核設(shè)施長期暴露關(guān)鍵安全信息240G

敏感信息遭泄露美國勒索軟件勒索軟件惡意軟件惡意軟件勒索軟件后門程序惡意軟件勒索軟件勒索軟件未知美國油田服務(wù)商運(yùn)營停止美國生產(chǎn)能力受損美國超級機(jī)場癱瘓、航班延誤云基礎(chǔ)設(shè)施遭攻擊并被索要贖金尋呼機(jī)爆炸造成大量人員傷亡19

個火車站遭到網(wǎng)絡(luò)攻擊1400

多萬人用水受到影響大海灣地區(qū)關(guān)鍵基礎(chǔ)設(shè)施遭到攻擊核設(shè)施等多部門遭網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施尼日利亞黎巴嫩英國通信業(yè)交通業(yè)水利業(yè)22

10

月23

10

月24

10

月25

11

月美國基礎(chǔ)設(shè)施海灣地區(qū)伊朗能源業(yè)制造業(yè)75000

個電子郵件地址和

400000

行用戶數(shù)據(jù)遭泄露法國勒索軟件184.

工控系統(tǒng)安全漏洞概況隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)

4.0

及

5G

網(wǎng)絡(luò)的蓬勃興起，傳統(tǒng)工業(yè)生產(chǎn)模式正加速向智能化轉(zhuǎn)型，這一變革雖然帶來了前所未有的效率提升，但同時也使得工控設(shè)備面臨著日益嚴(yán)峻且多樣化的安全挑戰(zhàn)。攻擊手段不斷翻新，復(fù)雜度急劇上升，工控安全事件頻發(fā)，已成為行業(yè)不可忽視的重大風(fēng)險。尤為突出的是，利用工控系統(tǒng)固有漏洞發(fā)起的攻擊已成為常態(tài)，無論是

PLC（Programmable

Logic

Controller，可編程邏輯控制器）、DCS（Distributed

Control

System，分布式控制系統(tǒng)）、SCADA（Supervisory

Control

And

DataAcquisition，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)），還是各類工業(yè)應(yīng)用軟件，均廣泛暴露出眾多信息安全薄弱環(huán)節(jié)。相關(guān)數(shù)據(jù)顯示，2024

年西門子（Siemens）、羅克韋爾自動化（RockwellAutomation）、臺達(dá)電子工業(yè)（Delta

Electronics）、研華科技（Advantech）、捷克工業(yè)自動化公司（mySCADA）、施耐德（Schneider）等工業(yè)控制系統(tǒng)廠商均被發(fā)現(xiàn)包含各種信息安全漏洞。諦聽團(tuán)隊采集到的工控漏洞數(shù)據(jù)顯示，2024

年工控安全漏洞數(shù)量較2023

年相比出現(xiàn)了進(jìn)一步的增長，且增幅較大，但

2021

年到

2024

年整體工控安全漏洞數(shù)量較

2020

年之前依舊偏少。圖

4-1

2014-2024

年工控漏洞走勢圖（數(shù)據(jù)來源

CNVD、“諦聽”）19圖

4-2

2024

年工控系統(tǒng)行業(yè)漏洞危險等級餅狀圖（數(shù)據(jù)來源

CNVD、“諦聽”）圖

4-2

是

2024

年工控高危漏洞業(yè)漏洞危險等級餅狀圖，截至

2024

年

12

月

31

日，2024

年新增工控系統(tǒng)行業(yè)漏洞

207

個，其中高危漏洞

122

個，中危漏洞

78

個，低危漏洞

7

個。相較于去年，漏洞數(shù)量增加了

88

個，各種危險級別的漏洞數(shù)量都有所增長。其中，低危漏洞相較于去年依然維持約

3%的總數(shù)占比，沒有較大變化。高危漏洞數(shù)量相較于去年增多了約

1.44

倍，同

2023

年增幅相當(dāng)。但是

2024

年的高危漏洞整體占比從2023

年的

71%下降到了

59%。2024

年的中危漏洞相較于去年的數(shù)量出現(xiàn)了大幅度的增加，并且在

2024

年的整體工控漏洞數(shù)量中占據(jù)較大的比例。由此可見，2024

年工控系統(tǒng)行業(yè)面臨更多安全風(fēng)險。具體而言，高危漏洞的占比雖然減小但是總體數(shù)量呈現(xiàn)快速增長，中危漏洞的數(shù)量出現(xiàn)了大幅度的增長。這意味著系統(tǒng)遭受攻擊的風(fēng)險顯著性增加。另一方面，這些數(shù)據(jù)也揭示了針對工控系統(tǒng)的攻擊變得更加復(fù)雜、危險且頻繁。進(jìn)一步推動工控系統(tǒng)的安全對抗技術(shù)發(fā)展迫在眉睫。21圖

4-3

2024

年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖（數(shù)據(jù)來源

CNVD、“諦聽”）如圖

4-3

是

2024

年工控系統(tǒng)行業(yè)廠商漏洞數(shù)量柱狀圖，圖中數(shù)據(jù)顯示，西門子（Siemens）廠商具有約

117

個漏洞。羅克韋爾自動化（Rockwell

Automation）廠商有約38

個漏洞。此外，臺達(dá)電子工業(yè)（Delta

Electronics）、研華科技（Advantech）、捷克工業(yè)自動化公司（mySCADA）、施耐德（Schneider）等廠商也存在著一定數(shù)量的工控系統(tǒng)漏洞。從整體來看，西門子、羅克韋爾自動化、臺達(dá)電子工業(yè)等大部分廠商的漏洞數(shù)量呈現(xiàn)上升趨勢。以上數(shù)據(jù)表明，2024

年的工控安全漏洞相對于

2023

年出現(xiàn)了較大幅度的增長，全球工控系統(tǒng)正面臨顯著增長的安全風(fēng)險。盡管工控系統(tǒng)以安全性和可靠性作為設(shè)計目標(biāo)，但是受限于系統(tǒng)的龐大性和多領(lǐng)域交叉的特點(diǎn)，工控系統(tǒng)在實際上不可避免地會產(chǎn)生安全漏洞。雖然相較于前兩年來看，近幾年的安全漏洞數(shù)量維持在較低水平，但是

2023年、2024

年的安全漏洞數(shù)量呈現(xiàn)顯著的上升趨勢。各廠商應(yīng)當(dāng)密切關(guān)注工控行業(yè)漏洞，通過部署檢測審計設(shè)備等方式加強(qiáng)工控安全防護(hù)，以此來應(yīng)對工控行業(yè)發(fā)展帶來的挑戰(zhàn)，確保工控系統(tǒng)信息安全。22EtherNet/IPSiemens

S7DNP344818102以太網(wǎng)協(xié)議西門子通信協(xié)議200002455分布式網(wǎng)絡(luò)協(xié)議CodesysPLC

協(xié)議ilon

SmartserverRedlion

Crimson3IEC

60870-5-104OMRON

FINSCSPV41628/1629789智能服務(wù)器協(xié)議工控協(xié)議2404IEC

系列協(xié)議9600歐姆龍工業(yè)控制協(xié)議工控協(xié)議2222GE

SRTP182451962美國通用電器產(chǎn)品協(xié)議菲尼克斯電氣產(chǎn)品協(xié)議科維公司操作系統(tǒng)協(xié)議三菱通信協(xié)議PCWorxProConOsMELSEC-Qopc-ua205475006/50074840OPC

UA

接口協(xié)議DDP5002用于數(shù)據(jù)的傳輸和

DTU

管理基于工業(yè)以太網(wǎng)技術(shù)的自動化總線標(biāo)準(zhǔn)IEC

系列協(xié)議Profinet80IEC

61850-8-1Lantronix10230718專為工業(yè)應(yīng)用而設(shè)計，解決串口和以太網(wǎng)通信問題物聯(lián)網(wǎng)協(xié)議端口概述AMQPXMPPSOAPMQTT5672522280891883提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊列協(xié)議基于

XML

的可擴(kuò)展通訊和表示協(xié)議基于

XML

簡單對象訪問協(xié)議基于客戶端-服務(wù)器的消息發(fā)布/訂閱傳輸協(xié)議24攝像頭協(xié)議端口概述Dahua

DvrhikvisionONVIF3777781-903702大華攝像頭與服務(wù)器通信協(xié)議?？低晹z像頭與服務(wù)器通信協(xié)議開放型網(wǎng)絡(luò)視頻接口標(biāo)準(zhǔn)協(xié)議“諦聽”官方網(wǎng)站（）公布的數(shù)據(jù)為

2017

年以前的歷史數(shù)據(jù)，若需要最新版的數(shù)據(jù)請與東北大學(xué)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊直接聯(lián)系獲取。根據(jù)“諦聽”網(wǎng)絡(luò)空間工控設(shè)備搜索引擎收集的內(nèi)部數(shù)據(jù)，經(jīng)“諦聽”網(wǎng)絡(luò)安全團(tuán)隊分析，得出如圖5-1

的柱狀圖展示，下面做簡要說明。圖

5-1

顯示了

2024

年全球工控+物聯(lián)網(wǎng)設(shè)備暴露

Top-10

國家/地區(qū)。分析圖中數(shù)據(jù)可知，國家排名與

2023

年的排名相比基本保持不變，排名前三的國家依然是相同的。美國作為全球最發(fā)達(dá)的工業(yè)化國家，工控設(shè)備暴露數(shù)量位居首位；中國依托于工業(yè)互聯(lián)網(wǎng)和智能制造的快速發(fā)展，工業(yè)產(chǎn)值顯著增長，排名第二。加拿大在自動化制造和精密機(jī)械領(lǐng)域表現(xiàn)突出，其排名與

2023

年相比保持不變，仍然位列第三。本章節(jié)著重介紹國內(nèi)及美國、加拿大的工控設(shè)備暴露情況。25圖

5-1

全球工控+物聯(lián)網(wǎng)設(shè)備暴露

Top10

柱狀圖（數(shù)據(jù)來源“諦聽”）圖

5-1

顯示了

2024

年全球工控+物聯(lián)網(wǎng)設(shè)備暴露

Top-10

國家/地區(qū)。分析圖中數(shù)據(jù)可知，國家排名與

2023

年的排名相比基本保持不變，排名前三的國家依然是相同的。美國作為全球最發(fā)達(dá)的工業(yè)化國家，工控設(shè)備暴露數(shù)量位居首位；中國依托于工業(yè)互聯(lián)網(wǎng)和智能制造的快速發(fā)展，工業(yè)產(chǎn)值顯著增長，排名第二。加拿大在自動化制造和精密機(jī)械領(lǐng)域表現(xiàn)突出，其排名與

2023

年相比保持不變，仍然位列第三。本章節(jié)著重介紹國內(nèi)及美國、加拿大的工控設(shè)備暴露情況。在工業(yè)互聯(lián)網(wǎng)的環(huán)境中，工控設(shè)備協(xié)議與物聯(lián)網(wǎng)設(shè)備協(xié)議密切協(xié)作，從而實現(xiàn)設(shè)備的協(xié)同作業(yè)和數(shù)據(jù)交流。工控設(shè)備協(xié)議重點(diǎn)關(guān)注實時控制與監(jiān)測，確保工業(yè)控制系統(tǒng)的高效運(yùn)行；相對而言，物聯(lián)網(wǎng)設(shè)備協(xié)議則強(qiáng)調(diào)靈活性和普適性，使各種設(shè)備能夠互聯(lián)互通，從而實現(xiàn)數(shù)據(jù)的共享與整合。這兩者的融合促進(jìn)了系統(tǒng)集成，打造了智能工業(yè)生態(tài)系統(tǒng)，實現(xiàn)了對整個生產(chǎn)流程的全面監(jiān)控。在實際應(yīng)用中，這些協(xié)議的協(xié)同作用確保了工業(yè)互聯(lián)網(wǎng)中設(shè)備之間的高效、可靠互聯(lián)和數(shù)據(jù)交換。圖

5-2

和圖

5-3

分別為全球工控設(shè)備暴露

Top10

柱狀圖和全球物聯(lián)網(wǎng)設(shè)備暴露

Top10

柱狀圖。可以看到，在工控設(shè)備暴露排名中，美國、加拿大、中國分別位列前三。美國的漏洞數(shù)量遠(yuǎn)超其他國家，達(dá)到143,999

個。加拿大以

22,427

個漏洞排在第二，和美國相比，數(shù)量差距很大。接下來中國（16,496）、波

蘭（14,312）和土耳其（11,307）等國的漏洞數(shù)量則明顯較低。法國（10,592）、西班牙（10,462）、英國（7,186）、意大利（7,034）和瑞典（7,026）的漏洞數(shù)量相對接近，顯示出這些國家在工控系統(tǒng)安全方面的問題比較一致。26圖

5-2

全球工控設(shè)備暴露

Top10

柱狀圖（數(shù)據(jù)來源“諦聽”）圖

5-3

全球物聯(lián)網(wǎng)設(shè)備暴露

Top10

柱狀圖（數(shù)據(jù)來源“諦聽”）攝像頭協(xié)議是一種約定，規(guī)定了攝像頭與其他設(shè)備之間的通信方式，包括實時視頻流傳輸和數(shù)據(jù)交互的標(biāo)準(zhǔn)。常見的攝像頭協(xié)議有

ONVIF，hikvision，Dahua

Dvr

等。圖275-4

為全球攝像頭設(shè)備暴露

Top10

柱狀圖。與

2023

年的排名相比較，波蘭的排名升至第一，中國位列第二，美國位列第三。圖

5-4

全球攝像頭設(shè)備暴露

Top10

柱狀圖（數(shù)據(jù)來源“諦聽”）5.1

國際工控設(shè)備暴露情況國際工控設(shè)備的暴露情況以美國和加拿大為例進(jìn)行簡要介紹。美國是世界上工業(yè)化程度最高的國家之一，同時也是

2024

年全球工控設(shè)備暴露最多的國家。隨著技術(shù)的快速發(fā)展，新的安全威脅不斷出現(xiàn)，強(qiáng)化安全措施顯得尤為重要。因此美國政府一直在積極制定和強(qiáng)化網(wǎng)絡(luò)安全政策，以保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施和敏感信息。在工業(yè)領(lǐng)域，政府則關(guān)注制造業(yè)的創(chuàng)新與發(fā)展，采取措施推動技術(shù)進(jìn)步，提升生產(chǎn)效率。圖

5-5

為美國

2024

年暴露工控協(xié)議數(shù)量及占比。28圖

5-5

美國工控協(xié)議暴露數(shù)量和占比（數(shù)據(jù)來源“諦聽”）2023

年，美國在工控領(lǐng)域暴露的設(shè)備數(shù)量為

161346

臺，而到

2024

年，設(shè)備數(shù)量減少至

143998

臺。這一變化不僅反映了美國在工業(yè)互聯(lián)網(wǎng)安全問題上的高度重視，也體現(xiàn)了其在加強(qiáng)相關(guān)安全措施方面所付出的努力。2024

年

6

月

13

日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）與私營部門聯(lián)合舉辦了聯(lián)邦政府首個桌面演習(xí)，重點(diǎn)聚焦人工智能領(lǐng)域的安全事件。此次演習(xí)旨在超越傳統(tǒng)網(wǎng)絡(luò)安全事件，以探討信息共享機(jī)會、公私合作協(xié)議以及人工智能安全事件的運(yùn)營協(xié)作領(lǐng)域，并將從此次演習(xí)中獲得的經(jīng)驗教訓(xùn)寫入

AI

安全事件協(xié)作手冊，為行業(yè)、政府和國際合作伙伴之間的運(yùn)營協(xié)作提供指導(dǎo)。2024年

10

月

29

日，CISA

發(fā)布了《2025-2026

財年國際戰(zhàn)略計劃》[4]，旨在加強(qiáng)

CISA

與國際合作伙伴之間的合作，以增強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。該計劃強(qiáng)調(diào)國際合作在應(yīng)對全球網(wǎng)絡(luò)威脅和挑戰(zhàn)中的重要性，通過共享資源提升美國在國際網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)地位。此外，該計劃還將推動各國之間的信息交流與協(xié)作，共同應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和敏感數(shù)據(jù)。2024

年，加拿大的工控設(shè)備和物聯(lián)網(wǎng)設(shè)備暴露數(shù)量位居全球第三，與

2023

年的排名保持一致。作為一個工業(yè)發(fā)達(dá)的國家，加拿大的工業(yè)領(lǐng)域涵蓋了多個重要行業(yè)，包括制造業(yè)、資源提取、建筑業(yè)和服務(wù)業(yè)。其中，制造業(yè)以汽車、航空航天、電子和化工等29Modbus

協(xié)議是一種被廣泛應(yīng)用于工業(yè)領(lǐng)域的通信協(xié)議，它是由

Modicon

公司（現(xiàn)施耐德電氣

Schneider

Electric）于

1979

年發(fā)表。Modbus

是一種主從式協(xié)議，一個主節(jié)點(diǎn)（master）與一個或多個從節(jié)點(diǎn)（slave）進(jìn)行通信。Modbus

協(xié)議兼容多種通信介質(zhì)，常見的

Modbus

實現(xiàn)方式有基于串行通信的

Modbus

RTU、Modbus

ASCII

和基于以太網(wǎng)的

Modbus

TCP/IP。Modbus

協(xié)議具有開放性、易實現(xiàn)等特點(diǎn)，被廣泛應(yīng)用于工業(yè)自動化、過程控制、監(jiān)測管理等領(lǐng)域。盡管

Modbus

存在著安全性低、實時性弱等局限性，但它仍然是當(dāng)前工業(yè)領(lǐng)域最常用的通信協(xié)議之一。Moxa

NPort

協(xié)議是由

Moxa

公司開發(fā)，專為

Moxa

NPort

串口設(shè)備聯(lián)網(wǎng)服務(wù)器設(shè)計的一種通信協(xié)議。該協(xié)議支持用戶通過多種工業(yè)協(xié)議（如

Modbus、TCP/IP、Telnet）實現(xiàn)串口到以太網(wǎng)的通信，并可以根據(jù)用戶需求應(yīng)用于多種工作模式。Moxa

NPort

協(xié)議具有兼容性強(qiáng)、易用性強(qiáng)、穩(wěn)定可靠等特點(diǎn)，被廣泛應(yīng)用于工業(yè)控制、能源管理、交通運(yùn)輸?shù)阮I(lǐng)域。EtherNet/IP

是一種基于以太網(wǎng)的工業(yè)通信協(xié)議，由

ODVA（Open

DeviceNet

VendorAssociation）推廣和維護(hù)，用于工業(yè)控制系統(tǒng)中的設(shè)備數(shù)據(jù)交換。EhterNet/IP

支持顯示消息和隱式消息兩種數(shù)據(jù)交換模式，具有時間同步、設(shè)備配置、實時控制等功能。該協(xié)議相比其他工業(yè)通信協(xié)議具有實時性強(qiáng)、通用性強(qiáng)、高性能等優(yōu)點(diǎn)，被廣泛用于工業(yè)互聯(lián)網(wǎng)領(lǐng)域中。Niagara

Fox

協(xié)議是由

Tridum

公司開發(fā)，專門服務(wù)于

Niagara

Framework

的一種通信協(xié)議。Niagara

Framework

是一個基于

Web

的開放的集成平臺，能夠連接和協(xié)同不同制造商的設(shè)備和系統(tǒng)，廣泛用于樓宇自控（BAS）、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域。Niagara

Fox

協(xié)議與

Niagara

生態(tài)系統(tǒng)緊密集成，提供了設(shè)備管理、數(shù)據(jù)采集、數(shù)據(jù)集成等功能，用于在Niagara

節(jié)點(diǎn)之間進(jìn)行高效的數(shù)據(jù)交換。OMRON

FINS

協(xié)議是由

OMRON

公司開發(fā)的一種通信協(xié)議，用于

OMRON

公司自動化設(shè)備之間的數(shù)據(jù)交換，特別是用于

PLC

通信。該協(xié)議能夠提供高效可靠的通信，并支持多種通信協(xié)議和通信方式，具有易于集成、拓展性強(qiáng)的優(yōu)點(diǎn)，被廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)、能源管理等領(lǐng)域。345.4

俄烏沖突以來暴露設(shè)備數(shù)量變化2022

年二月份，俄烏沖突爆發(fā)，雙方局勢持續(xù)緊張，近三年來，沖突仍在不斷升級。在當(dāng)今高度信息化和數(shù)字化的時代，軍事行動越來越依賴網(wǎng)絡(luò)，戰(zhàn)爭已經(jīng)延伸到網(wǎng)絡(luò)空間，網(wǎng)絡(luò)戰(zhàn)已然成為現(xiàn)代戰(zhàn)爭中不可或缺的一部分。網(wǎng)絡(luò)戰(zhàn)以其低成本高效能的特點(diǎn)，對戰(zhàn)爭中雙方的戰(zhàn)場感知、輿論控制、工控管理等方面產(chǎn)生了深刻的影響?！爸B聽”網(wǎng)絡(luò)安全團(tuán)隊對此保持了長期的關(guān)注。表

5-2

列舉了目前俄羅斯和烏克蘭暴露工控設(shè)備的相關(guān)協(xié)議。表

5-2

俄羅斯、烏克蘭暴露工控設(shè)備相關(guān)協(xié)議探測發(fā)現(xiàn)協(xié)議探測端口協(xié)議概述Siemens

S7Modbus102502西門子通信協(xié)議應(yīng)用于電子控制器上的一種通用語言智能服務(wù)器協(xié)議ilon

SmartserverMoxa

NPortXMPP16284800522256722404Moxa

專用的虛擬串口協(xié)議基于

XML

的可擴(kuò)展通訊和表示協(xié)議提供統(tǒng)一消息服務(wù)的應(yīng)用層標(biāo)準(zhǔn)高級消息隊列協(xié)議IEC

系列協(xié)議AMQPIEC

60870-5-104“諦聽”網(wǎng)絡(luò)安全團(tuán)隊對俄烏戰(zhàn)爭中的工控安全情況進(jìn)行持續(xù)的跟進(jìn)，通過每月定期統(tǒng)計俄烏雙方暴露設(shè)備的數(shù)量，分析了自沖突爆發(fā)以來俄烏雙方暴露設(shè)備數(shù)量的變化趨勢。圖

5-9

展示了

2024

年烏克蘭各協(xié)議暴露設(shè)備的數(shù)量，可以看出

AMQP

協(xié)議暴露的設(shè)備數(shù)量總體從沖突前到

24

年

1

月下降幅度較大，后續(xù)隨小有波動，但總體呈現(xiàn)緩慢下降趨勢；Modbus

協(xié)議協(xié)議在

24

年基本呈現(xiàn)平穩(wěn)下降趨勢；Moxa

NPort

協(xié)議在

24

年初小幅度上升，隨后趨于平穩(wěn)；其他協(xié)議呈現(xiàn)波動變化，整體比較穩(wěn)定。35圖

5-9

烏克蘭暴露設(shè)備數(shù)量變化（數(shù)據(jù)來源“諦聽”）圖

5-10

展示了

2024

年俄羅斯各協(xié)議暴露設(shè)備的數(shù)量，AMQP

協(xié)議暴露設(shè)備數(shù)量在24

年變化幅度不大，總體趨于穩(wěn)定；Modbus

協(xié)議在

24

年

3

月到

7

月出現(xiàn)大幅度下降，后續(xù)緩慢回升，在

24

年

8

月到

9

月再度大幅度下降，隨后大幅度上升，接近

24

年初水平；Moxa

NPort

協(xié)議在

24

年

2

月至

6

月逐漸下降，隨后緩緩回升；其他協(xié)議變化雖有波動，但幅度不大。36圖

5-10

俄羅斯暴露設(shè)備數(shù)量變化（數(shù)據(jù)來源“諦聽”)總體來看，2024

年的關(guān)鍵時期集中在

3

月到

6

月，這段時間內(nèi)俄烏雙方的工控協(xié)議暴露設(shè)備情況出現(xiàn)了較為明顯的變化，并在隨后逐漸趨于平穩(wěn)。俄烏雙方暴露的工控設(shè)備的數(shù)量變化趨勢，清晰地反映了戰(zhàn)爭對于雙方工業(yè)系統(tǒng)產(chǎn)生的影響。這種對俄烏暴露設(shè)備的變化趨勢的深入研究，為我們了解工控設(shè)備暴露情況提供了寶貴的視角，也為評估戰(zhàn)爭對工業(yè)基礎(chǔ)設(shè)施的影響提供了重要參考?！爸B聽”網(wǎng)絡(luò)安全團(tuán)隊將在未來一年中持續(xù)跟進(jìn)情況。37圖

6-1

2024

年蜜罐各協(xié)議攻擊量（數(shù)據(jù)來源“諦聽”）圖

6-1

展示了不同協(xié)議下各蜜罐受到的攻擊頻次。從圖中可以看出

Modbus、DNP3和

ATGs

Devices

協(xié)議下蜜罐所受攻擊量位列前三。對比

2023

年的情況，當(dāng)時攻擊量排名前三的協(xié)議分別為

ATGs

Devices、OMRON

FINs

和

DNP3，而

OMRON

FINs

協(xié)議在今年降至第四，可以觀察到的是，Modbus

協(xié)議從

2023

年的第五名躍居至今年首位，并且受攻擊量遙遙領(lǐng)先其他協(xié)議，這表明

Modbus

協(xié)議受到的關(guān)注大幅度增加。此外，除OMRON

FINs

和

Modbus/UDP

協(xié)議外，其他協(xié)議受攻擊的數(shù)量都相較于

2023

年均呈現(xiàn)出增長態(tài)勢。這些變化表明工控系統(tǒng)協(xié)議在動態(tài)發(fā)展，攻擊者對不同協(xié)議的關(guān)注重點(diǎn)發(fā)生了變化，其優(yōu)先級隨著工控系統(tǒng)協(xié)議的發(fā)展而調(diào)整。前三種協(xié)議受攻擊總占比為

79.9%，表明它們是攻擊者關(guān)注的重點(diǎn)。因此，工控網(wǎng)絡(luò)安全研究人員應(yīng)根據(jù)需求，加強(qiáng)針對這些協(xié)議下設(shè)備的網(wǎng)絡(luò)安全防護(hù)措施?！爸B聽”網(wǎng)絡(luò)安全團(tuán)隊對攻擊數(shù)據(jù)的源

IP

地址進(jìn)行了分析，統(tǒng)計了來自各個國家和地區(qū)的攻擊源數(shù)量信息。圖

6-2

特別呈現(xiàn)了攻擊次數(shù)最多的前十個國家的概況。從圖中數(shù)據(jù)可以觀察到，德國在攻擊量上顯著領(lǐng)先，以

348,869

次攻擊量位列第一，甚至超過了其他

9

國的總攻擊量，這表明德國的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全可能受到高度關(guān)注。美國以

117,364

次攻擊量位列第二，盡管攻擊量遠(yuǎn)低于德國，但依然遠(yuǎn)在其他國家之上。39加拿大、英國和比利時分列第三至第五位，三者攻擊量數(shù)據(jù)差距相對較小。西班牙、保加利亞、俄羅斯、日本和荷蘭排名第六至第十位，其攻擊量均低于

1

萬。圖

6-2

2024

年其他各國對蜜罐的攻擊量

Top

10（數(shù)據(jù)來源“諦聽”）圖

6-3

對中國國內(nèi)流量來源的

IP

地址進(jìn)行分析，列出了

IP

流量排名前十的省份。從數(shù)據(jù)中可以發(fā)現(xiàn)，流量的分布有一定的地域特征，主要集中在經(jīng)濟(jì)較為發(fā)達(dá)、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)密集的區(qū)域。北京以

41%的流量占比位居全國首位。浙江省的流量占比為

22%，位列第二。雖然較

2023

年有所下降，并被北京超越，但其依然是國內(nèi)流量的主要來源地之一。北京和浙江繼續(xù)位居前兩名，表明它們在網(wǎng)絡(luò)安全支撐工作方面的持續(xù)領(lǐng)先地位。除此以外，江蘇和上海的流量占比也較高，分別為

13%和

11%，其余各省都低于3%。40圖

6-3

2024

年中國國內(nèi)各省份流量（數(shù)據(jù)來源“諦聽”）2024

年，“諦聽”網(wǎng)絡(luò)安全團(tuán)隊依托前期成果，進(jìn)一步優(yōu)化了已部署的蜜罐。未來，團(tuán)隊會融合更多前沿技術(shù)，持續(xù)推進(jìn)相關(guān)研究。6.2

工控系統(tǒng)攻擊流量分析諦聽”網(wǎng)絡(luò)安全團(tuán)隊首先對部署在不同地區(qū)的蜜罐捕獲的攻擊流量數(shù)據(jù)進(jìn)行了初步分析。隨后，我們選取了應(yīng)用廣泛的

Modbus

和

Ethernet/IP

兩種協(xié)議，采用相應(yīng)的識別方法對其攻擊流量進(jìn)行檢測?；诓煌貐^(qū)蜜罐的部署情況，我們選擇了具有代表性的兩個地區(qū)，分別對其部署的蜜罐所捕獲的攻擊流量數(shù)據(jù)進(jìn)行了詳細(xì)的統(tǒng)計分析。對于

Modbus

協(xié)議，我們選擇了部署在中國華東地區(qū)和美國東海岸地區(qū)的蜜罐，統(tǒng)計結(jié)果如表

6-1、6-2

所示。表

6-1

中國華東地區(qū)

Modbus

蜜罐捕獲攻擊總量來源

TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量6097攻擊

IP

數(shù)量IP

平均攻擊數(shù)11.0United

StatesUnited

Kingdom55323169673.741ItalyChina15629644814683222781517311712015531562.05.6GermanyCanadaSpain24.13.0107.32.0BelgiumGreeceRussia142437.84.616表

6-2

美國東海岸地區(qū)

Modbus

蜜罐捕獲攻擊總量來源

TOP10（數(shù)據(jù)來源“諦聽”）攻擊源United

StatesChina攻擊總量3095700攻擊

IP

數(shù)量IP

平均攻擊數(shù)8141221411856513.85.7Belgium3242.3Canada3071.7United

KingdomItaly2363.6140140.03.4GermanyNetherlandsJapan138412271105.0334.7India2847.0根據(jù)表

6-1、6-2

可知，在攻擊總量來源方面，中國華東地區(qū)和美國東海岸地區(qū)Modbus

協(xié)議蜜罐捕獲的攻擊總量中，來自美國的攻擊總量均顯著高于其他國家，且高于去年同期數(shù)據(jù)。在攻擊

IP

數(shù)量方面，美國仍在兩個地區(qū)中均排名第一且遠(yuǎn)超于其他42國家。以表

6-2

為例，美國在美國東海岸地區(qū)的攻擊

IP

數(shù)量約是排名第二的比利時的9.6

倍。針對

Ethernet/IP

協(xié)議，我們選擇的是中國華南地區(qū)和美國西海岸地區(qū)部署的蜜罐，統(tǒng)計結(jié)果如表

6-3、6-4

所示。表

6-3

中國華南地區(qū)

Ethernet/IP

蜜罐捕獲攻擊總量來源

TOP10（數(shù)據(jù)來源“諦聽”）攻擊源攻擊總量攻擊

IP

數(shù)量IP

平均攻擊數(shù)United

StatesChina912136383414533434353352.74.01.11.02.81.71.01.51.52.0CanadaBelgiumNetherlandsUnited

StatesGermany355SeychellesUnited

KingdomFrance323221表

6-4

美國西海岸地區(qū)

Ethernet/IP

蜜罐捕獲攻擊總量來源

TOP5（數(shù)據(jù)來源“諦聽”）攻擊源United

StatesChina攻擊總量1172303攻擊

IP

數(shù)量IP

平均攻擊數(shù)390543.05.61.11.12.1Canada5046Belgium3735Netherlands291443由表

6-3、6-4

分析可知，在攻擊總量來源和攻擊

IP

數(shù)量方面，美國在中國華南地區(qū)和美國西海岸地區(qū)的攻擊總量和攻擊

IP

數(shù)量均排名第一，且遠(yuǎn)超其他國家。通過對

Modbus

協(xié)議蜜罐和

Ethernet/IP

協(xié)議蜜罐捕獲的攻擊數(shù)量進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)

Modbus

協(xié)議蜜罐遭受的攻擊次數(shù)高于

Ethernet/IP

協(xié)議蜜罐。這一差異可能主要由于Modbus

協(xié)議在工業(yè)自動化領(lǐng)域的廣泛和長期應(yīng)用，使其潛在攻擊面更大，且協(xié)議的復(fù)雜度和已知安全漏洞可能吸引了更多攻擊者。同時，網(wǎng)絡(luò)中

Modbus

協(xié)議設(shè)備的數(shù)量和暴露程度可能也高于

Ethernet/IP

協(xié)議設(shè)備，從而增加了

Modbus

協(xié)議蜜罐受到攻擊的概率。因此，雖然

Modbus

協(xié)議在工控系統(tǒng)中應(yīng)用廣泛，但也面臨更高的攻擊風(fēng)險。在分析攻擊源所在的國家時，我們發(fā)現(xiàn)排名前三的國家，其攻擊數(shù)量占據(jù)了所有國家攻擊總數(shù)的

90%以上，其中來自美國的攻擊數(shù)量更是占據(jù)了絕大多數(shù)。造成這一現(xiàn)象的原因可能有以下幾點(diǎn)：首先，這些國家往往在國際事務(wù)中扮演重要角色，國內(nèi)外交流頻繁，加之其通常有著豐富的云計算資源，更容易產(chǎn)生網(wǎng)絡(luò)掃描和攻擊嘗試。其次，這些國家是全球互聯(lián)網(wǎng)的重要樞紐，大量的網(wǎng)絡(luò)流量會經(jīng)過如美國等國家的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，極易被黑客團(tuán)隊利用。此外，這些國家擁有大量安全公司、研究人員和測試團(tuán)隊，他們?yōu)榱税l(fā)現(xiàn)系統(tǒng)漏洞、測試防御機(jī)制，可能會進(jìn)行大量的網(wǎng)絡(luò)掃描和攻擊模擬。“諦聽”團(tuán)隊布署的蜜罐能夠成功捕獲這些行為。6.3

工控系統(tǒng)攻擊類型識別“諦聽”網(wǎng)絡(luò)安全團(tuán)隊提出了一種基于

ICS

蜜網(wǎng)的攻擊流量指紋識別方法，該方法能夠?qū)?/p>

Ethernet/IP

協(xié)議和

Modbus

協(xié)議蜜罐捕獲的流量數(shù)據(jù)進(jìn)行攻擊類型的識別。圖

6-4和圖

6-5

分別展示了對

Ethernet/IP

和

Modbus

協(xié)議蜜罐捕獲的攻擊流量的攻擊類型識別結(jié)果。其中，“E”代表

Ethernet/IP

協(xié)議，“M”代表

Modbus

協(xié)議。由于國內(nèi)外使用的蜜罐程序有所不同，同一編號的“E”和“E'”代表不同的攻擊類型，“M”和“M'”也表示不同的攻擊類型。環(huán)形圖中的各個部分則對應(yīng)不同的攻擊類型。44圖

6-4

Ethernet/IP

協(xié)議攻擊類型占比圖（數(shù)據(jù)來源“諦聽”）“諦聽”團(tuán)隊將

Ethernet/IP

協(xié)議蜜罐部署在中國華南地區(qū)和美國西海岸，兩地區(qū)的經(jīng)濟(jì)發(fā)展迅速，網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善并且網(wǎng)絡(luò)活動相對頻繁。在這些經(jīng)濟(jì)科技發(fā)達(dá)的地區(qū)部署蜜罐，可以收集到更全面的攻擊信息，也易于發(fā)現(xiàn)新型攻擊手段。由圖

6-4

可知，中國華南地區(qū)的

Ethernet/IP

協(xié)議蜜罐捕獲的攻擊流量主要采用的攻擊類型為

E-1、E-2、E-3、E-4、E-5，其中

E-1

以

53%的高占比成為該地區(qū)

Ethernet/IP

協(xié)議蜜罐所捕獲的攻擊流量的主要攻擊類型。美國西海岸地區(qū)的

Ethernet/IP

協(xié)議蜜罐捕獲的攻擊流量采用E'-1、E'-2、E'-3、E'-4、E'-5

五種攻擊類型，其中，E'-1

約占所捕獲總流量的

48%。由此可見以上攻擊類型是對

Ethernet/IP

協(xié)議進(jìn)行攻擊的主要手段。45圖

6-5

Modbus

協(xié)議攻擊類型占比圖（數(shù)據(jù)來源“諦聽”）“諦聽”團(tuán)隊將

Modbus

協(xié)議蜜罐部署在工業(yè)發(fā)達(dá)的中國華東地區(qū)和美國東海岸，這兩個地區(qū)的工業(yè)控