摘要

东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（https://www.ditecting.com），并根据“谛听”收集的各类安全数据，撰写并发布了2021年工业控制网络安全态势白皮书，读者可以通过报告了解2021年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据等情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全的相关人员提供参考。

一、前言

工业互联网由新一代互联网技术与制造业融合而成，是工业转向智能化、数字化的关键基础设施。在去年2020年新基建政策的支持下，工业互联网的发展迈向了新的阶段^[1]。工业互联网安全与工业控制系统安全密切相关，随着工业互联网的应用领域日益广泛，相关安全事件接连发生，工业控制系统安全问题需要持续关注。工业控制系统通常应用于电力、石油和天然气、化工、交通运输等各个行业，发挥着重要的纽带作用。在全党和全国各族人民的共同努力下，我国新冠疫情防控形势逐渐好转，各行各业风雨同舟，经济持续健康发展。如何推动工业经济实现更为安全的发展、发挥出工业互联网的巨大优势、促进产业生态欣欣向荣，仍然是我国在后新冠时代需要不断努力和践行的使命。

2021中国5G+工业互联网大会开幕式成功召开，新一代信息基础设施建设工作需高度重视，要推动数字经济和实体经济融合发展。必须认真学习领会，坚决贯彻落实。“5G+工业互联网”是传统产业跨越式发展的历史性机遇^[2]。在“十四五”时期，为加快数字化转型，工业互联网与大数据、人工智能、5G技术的融合是发展的必然趋势。新冠肺炎疫情席卷全球的今天，加快新型基础设施建设，切实保障工业互联网安全是促进经济平稳提升的关键举措。

2021年11月，工业和信息化部对外发布了《“十四五”信息化和工业化深度融合发展规划》。《规划》指出，信息化和工业化深度融合是中国特色新型工业化道路的集中体现，是新发展阶段制造业数字化、网络化、智能化发展的必由之路，也是数字经济时代建设制造强国、网络强国和数字中国的扣合点。为顺应国家形势，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（https://www.ditecting.com），并根据“谛听”收集的各类安全数据，撰写并发布了2021年工业控制网络安全态势白皮书，读者可以通过报告了解2021年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐与威胁情报数据等情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全的相关人员提供参考。

二、2021年工控安全相关政策法规报告

随着制造强国、网络强国战略的实施，工业互联网扮演着越来越重要的角色。回顾2021年，我国工业信息安全政策标准日趋完善，垂直行业建设提速，工业信息安全保障技术得到大幅提升，从而推动了整个安全产业的蓬勃发展。为加快构建工业互联网安全保障体系，进一步提升工业互联网安全建设水平，我国2021年度相继推出了多项与工业互联网信息安全相关的政策法规报告。

通过梳理2021年度发布的相关政策法规报告，整理各大工业信息安全研究院及机构针对不同法规所发布的解读文件，现摘选部分重要内容并对其进行简要分析，以供读者进一步了解国家层面关于工控安全领域的政策导向。

2.1 《建设高标准市场体系行动方案》

2020年1月，中共中央办公厅、国务院办公厅印发了《建设高标准市场体系行动方案》^[3]。方案中提出强化市场基础设施建设要求。要求推动市场基础设施互联互通。持续完善综合立体交通网络。加强新一代信息技术在铁路、公路、水运、民航、邮政等领域的应用，提升综合运行效能。加大新型基础设施投资力度，推动第五代移动通信、物联网、工业互联网等通信网络基础设施，人工智能、云计算、区块链等新技术基础设施，数据中心、智能计算中心等算力基础设施建设。

2.2 《大数据平台安全研究报告》

2021年2月中国信通院发布了《大数据平台安全研究报告》^[4]。中国信通院在2020年发起了卓信大数据平台安全专项行动，行动中发现了企业大数据平台在建设和运维方面存在一定安全隐患。《大数据平台安全研究报告》以本次专项行动中积累的安全检测数据为基础，从平台配置安全隐患和安全漏洞的分布规律、产生原因、危害影响、修复难度等维度分析了大数据平台的安全现状。同时，详细分析了形成该安全现状的问题根源，并给出了相应的解决方案建议。最后，从监管、标准、技术研究等方面提出了大数据平台安全未来的工作方向。

2.3 《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》

2021年3月5日，十三届全国人大四次会议公布《国民经济和社会发展第十四个五年规划 和2035年远景目标纲要》^[5]。纲要提出要培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业，提升通信设备、核心电子元器件、关键软件等产业水平。健全国家网络安全法律法规和制度标准，加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发，加快人工智能安全技术创新，提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。

2.4 《我国关键信息基础设施安全保护白皮书》

2021年5月，中国电子信息产业发展研究院网络安全研究所，赛迪区块链研究院发布了《我国关键信息基础设施安全保护白皮书》^[6]白皮书从关键信息基础设施概述、重点国家和地区关键信息基础设施安全保护的做法与启示、我国关键信息基础设施安全保护现状及问题、提升我国关键信息基础设施安全保护水平的对策建议等方面对国内外关键信息基础设施保护策略进行了系统性梳理，旨在为我国关键信息基础设施安全防护提供参考意见。

2.5 《中华人民共和国数据安全法》

2021年6月10日，《中华人民共和国数据安全法》^[7]已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，现予公布，自2021年9月1日起施行。《数据安全法》明确提出国家需要负责推进数据基础设施的建设，数据基础设施包括数据和承载数据的设施两个部分，像5G、工业互联网、大数据中心等都属于承载数据的基础设施部分。工业互联网作为我国新基建的一部分，是工业企业数字化转型的重要手段，是工业企业数据流转过程中必不可少的一个环节。《数据安全法》的出台将为各行业领域制定相应的配套制度、标准和规范指明方向，为工业互联网行业的健康发展提供监管和评判依据，让工业企业能够放心的使用工业互联网平台所提供的各类数据服务。

2.6 《关键信息基础设施安全保护条例》

2021年7月30日，国务院总理李克强签署中华人民共和国国务院令第745号，公布《关键信息基础设施安全保护条例》^[8]，自2021年9月1日起施行，明确关键信息基础设施范围和保护工作原则目标。《条例》明确重点行业和领域重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治违法犯罪活动。保护工作应当坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

2.7 《网络关键设备安全通用要求》

2021年8月1日《网络关键设备安全通用要求》^[9]正式实施，该标准是继GB17859-1999《计算机信息系统 安全保护等级划分准则》标准之后的又一个网络安全领域的强制性标准。标准规定了对于网络关键设备的设备标识安全、备份恢复与异常监测、漏洞与恶意程序防范、预装软件启动与更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全、密码要求等功能要求，以及设计和开发、生产和交付、运行和维护等方面的安全保障要求。标准的发布将在提升网络关键设备安全性、可控性，减少用户在使用产品中的各种风险等方面发挥重要作用。

2.8 《物联网基础安全标准体系建设指南》

2021年10月工业和信息化部印发《物联网基础安全标准体系建设指南（2021版）》^[10]。提出到2022年，初步建立物联网基础安全标准体系，研制重点行业标准10项以上，明确物联网终端、网关、平台等关键基础环节安全要求，满足物联网基础安全保障需要，促进物联网基础安全能力提升。到2025年，推动形成较为完善的物联网基础安全标准体系，研制行业标准30项以上，提升标准在细分行业及领域的覆盖程度，提高跨行业物联网应用安全水平，保障消费者安全使用。

2.9 《网络安全数据管理条例（征求意见稿）》

2021年11月14日，国家网信办发布了《网络安全数据管理条例》^[11]（征求意见稿），共九章七十五条。《条例》在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的基础上制定，在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致，同时也增加了一些新的内容，进一步强化和落实数据处理者的主体责任，共同保护重要数据和个人信息的安全。具体包括数据分类与保护、重要数据安全、数据跨境安全、网络安全审查、个人信息保护、互联网平台监管等方面。《条例》的出台进一步增加企业和社会对于数据安全的认知，体现出我国对于数据安全这个大前提不动摇的战略决心。

2.10 《“十四五”信息化和工业化深度融合发展规划》

11月30日,工信部对外发布《“十四五”信息化和工业化深度融合发展规划》^[12]。《规划》指出，信息化和工业化深度融合是中国特色新型工业化道路的集中体现，是新发展阶段制造业数字化、网络化、智能化发展的必由之路，也是数字经济时代建设制造强国、网络强国和数字中国的扣合点。推动两化深度融合，对于加快新一代信息技术在制造业的深度融合，打造数据驱动、软件定义、平台支撑、服务增值、智能主导的现代化产业体系，推进制造强国、网络强国以及数字中国建设具有重要意义。“十四五”时期是建设制造强国、构建现代化产业体系和实现经济高质量发展的重要阶段，两化深度融合面临新的机遇和挑战。同时明确了“十四五”两化深度融合发展目标。到2025年，信息化和工业化在更广范围、更深程度、更高水平上实现融合发展，新一代信息技术向制造业各领域加速渗透，制造业数字化转型步伐明显加快，全国两化融合发展指数达到105，企业经营管理数字化普及率达80%，数字化研发设计工具普及率达85%，关键工序数控化率达68%，工业互联网平台普及率达45%。

三、2021年典型工控安全事件分析

2021年，新冠肺炎疫情依然严峻，工业企业仍然面临着不断变化的威胁形式，针对工控系统进行各类攻击的技术和手段层出不穷，影响的行业涵盖了制造业、能源、水处理、航旅、交通运输、石油化工、医疗等，数据泄露的规模、攻击的破坏效果都呈现扩大趋势。黑客采用的攻击方式多样，从搭载恶意软件的钓鱼邮件到DDoS攻击等不一而足。从互联网上收集的安全事件中来看，采用勒索软件进行攻击的占比最大。在某些事件中，比如美国燃油的管道运营商Colonial Pipeline黑客攻击事件，攻击者以挟持关键基础设施为目的，进而索要高额赎金，甚至可能影响国家的正常运作能力，并且这类攻击正在变得更加普遍。许多勒索团伙采用双重勒索策略对目标进行攻击，加密设备文件并窃取数据，针对工控系统的攻击呈现出影响范围广、攻击水平高、攻击规模逐年上升的趋势。

下面回顾部分在2021年发生的典型的工控安全相关事件。通过这些事件，可以了解工业网络面临的风险及其发展趋势，从而更好地预见网络威胁的演变，以采取有效应对措施保障工控信息安全。

3.1 Oldsmar水处理工厂遭到网络攻击

2021年2月，位于佛罗里达州奥尔兹马尔的一个水处理基础设施遭到袭击。执法部门透露，攻击者获得了水处理工厂系统的访问权限，并且试图将住宅和商业饮用水中的氢氧化钠的含量从百万分之100提高到百万分之1100，而这可能会使公众面临中毒的风险。

攻击者利用Oldsmar水处理工厂员工一直在使用的TeamViewer远程监视和控制系统实施此次水坑攻击^[13]，通过密码共享等不良的安全做法获得了TeamViewer的访问权限，并进行了未经授权的更改。幸运的是，工作人员及时发现了攻击行为，从而避免了灾难发生。工控安全咨询公司Dragos在调查后指出，攻击者在水利基础设施建设公司的站点上部署了一个水坑，并收集了一系列信息，以提高僵尸网络恶意软件模拟合法Web浏览器活动的能力，而且该水坑攻击恶意脚本存在了将近两个月。

3.2 航旅业超级供应商SITA被黑引发严重数据泄露

2021年2月，据美联社报道，SITA（全球信息技术公司）宣布服务器被黑客入侵，并引发了严重的数据泄露^[14]。SITA管理着全球超过400家航空公司的机票处理业务和常旅客数据，此次事件中泄露的顾客数据涵盖全球多家知名航空公司，包括：汉莎航空、新西兰航空、新加坡航空、SAS-斯堪的纳维亚航空公司等，值得注意的是以上提到的四家公司都是星空联盟的一部分。有业内人士估计受到此次攻击影响的旅客数超过210万。

SITA表示，攻击者使用“高度复杂”的攻击手段入侵了公司的旅客服务系统（PSS），进而访问了包括乘客订票、登机、行李控制等交易的隐私数据。SITA在攻击发生后迅速采取了行动，与受到影响的客户以及相关组织联系，其中星空联盟表示，并非联盟内所有航空公司都受到影响，但不排除这种可能性。

3.3 美国燃油的管道运营商遭受网络攻击导致美国进入国家紧急状态 

2021年5月，据路透社报道，美国最大成品油的管道运营商Colonial Pipeline于7日受到勒索软件攻击，直到9日仍未恢复正常。这次攻击相当于切断了美国东部地区油气输送的主要动脉。为减轻Colonial Pipeline关键燃油网络持续关停的影响，美国于当地时间5月9日宣布进入国家紧急状态^[15]。

环球网报道，有知情人士声称此次网络攻击来自俄罗斯的黑客团伙DarkSide。他们开发了勒索软件来加密和窃取公司机密数据，并利用其获得成功攻击的赎金分成。从目前已知信息来看，此次攻击与国家机构无关，更像是为了获取经济利益而实施的，但也不能排除此次袭击是一起打着商业勒索软件名义的APT攻击。有关网络专家分析，DarkSide可能通过某种途径得到了工程师进行管道控制的账户信息，进而向系统植入恶意软件窃取和加密Colonial Pipeline公司近100GB的数据并索要高额赎金。

3.4 欧洲能源技术供应商受到勒索攻击导致业务系统被迫关闭 

2021年5月，位于挪威的欧洲能源及基础设施企业技术供应商----Volue公司遭到勒索软件攻击。由于勒索软件关闭了挪威200座城市的供水与水处理设施的应用程序，导致挪威国内约85%的居民生活受到影响。攻击事件发生后，Volue公司迅速采取措施，关闭了托管的多种应用程序，将设备进行隔离，并调查攻击细节、影响范围以及可能产生的后果^[16]。挪威面向能源与水务部门的网络安全响应单位KraftCERT还向Volue建议，所有客户应立刻关闭与其应用的链接，并重置登录凭证。

经过调查，安全专家们在Volue的系统中发现了Ryuk勒索软件。公司发言人在于客户讨论的会议上表示，此次攻击事件没有表明数据泄露的证据，并认为超过90%的客户属于安全或是基本安全的状态，但由于Ryuk在勒索攻击中经常被使用，所以很难确定攻击者的身份。

3.5 美国核武器合同商遭遇REvil勒索软件攻击 

2021年6月，位于新墨西哥州阿尔伯克基的Sol Oriens公司遭遇REvil勒索软件攻击。Sol Oriens公司是一家小型、资深的咨询公司，其业务与核武器有关，是美国能源部（DOE）的分包商，并且与美国国家核安全局（NNSA）有合作^[17]。攻击者宣称保留将所有文件和数据转发给他们选择的军事机构的权利，并扬言如果不缴纳赎金就将核武器的机密信息泄露给其他国家的军方。

专家透露，Sol Oriens公司的内部信息已经被发布到REvil的暗网博客上，但幸运的是，被泄露数据中似乎没有涉及高度军事机密，攻击者是否获取了美国和武器更敏感更秘密的信息还有待调查。Sol Oriens公司在攻击事件发生后发布声明表示，REvil勒索软件攻击从5月份就开始了，攻击者在未经授权的情况下从公司内部系统中获取了某些文件，具体涉及的数据范围以及文件内容还在调查中，但目前没有发现攻击事件涉及客户机密等关键信息。

3.6 南非国家运输公司遭受网络攻击导致多个港口运输系统瘫痪

2021年7月，南非总统府代理部长表示，南非国家运输公司（简称南非运输）遭到网络攻击，使得物流运输服务的可靠性受到极大影响^[18]。当地货运企业已经无法完成货物进出口的正常运营，而港口方面的瘫痪则使情况更加严峻，导致了交货时间延迟、道路拥堵增加、配送业务陷入窘境、供应链执行效率降低等一系列问题。南非运输发言人表示，目前已经“确定”并“隔离”了引发系统宕机的根源，但对具体原因以及事态变化并未提及。南非公路货运协会CEO强调必须做出调整以杜绝此类事件再次发生，并且还应该对系统进行完善，使得在紧急情况下物流运输也能够正常进行。

3.7 石油巨头沙特阿美遭盗窃1TB专有数据

2021年7月，沙特阿美石油公司的专有数据被发现在暗网上出售，数据总量有1TB^[19]，包括近15000名员工全部信息、多处炼油厂的相关文件、多种系统的项目规范、内部分析报告、设备的网络布局、客户名单与合同等。攻击者开价500万美元，并提出如果要求在获取完整数据的同时彻底删除攻击者手中的副本，则价格预计将涨至5000万美元。

此次攻击来自一个名为ZeroX的恶意团伙，他们宣称盗取的数据源自2020年对沙特阿美的一次“网络及服务器”入侵行动，有一部分数据甚至可以追溯到1993年。攻击者和沙特阿美都表示此次攻击并不属于勒索软件攻击。攻击者没有透露明确消息，但曾模糊地表示利用了零日漏洞实现此次入侵。沙特阿美称此次数据泄露影响到的是第三方承包商，并未对公司的日常运营造成影响。

3.8 俄罗斯银行业遭遇大规模DDoS攻击

2021年9月，俄罗斯银行业遭遇大规模DDoS攻击^[20]，多家银行系统的服务无法正常使用，通过电信运营商执行的所有操作都出现了一段时间的服务瘫痪，导致客户使用银行远程服务渠道的个别服务时遇到问题。当地的互联网服务商Orange Business Services更是受到了极大影响。公司运营总监表示，从8月9日开始，网络威胁监控中心就持续出现了使用放大式攻击等手段对金融客户发起攻击的记录，攻击者还使用加密协议（HTTPS）进行了其他攻击，并且截至事件发生时攻击仍在继续。

此次事件中俄罗斯银行业遭受的这类DDoS攻击由于其能够模拟合法流量，并且攻击涵盖了通信渠道以及应用程序本体，所以危险程度最高，难以进行检测与消除。

3.9 英国工程巨头遭受勒索攻击导致运营临时中断 

2021年10月，苏格兰跨国工程企业伟尔集团（Weir Group）披露，其在9月下半月曾遭受一起高复杂度的勒索软件攻击，并造成了9月份的“重大临时中断”^[21]。伟尔集团在全球50多个国家/地区拥有包括采矿、基础设施、石油以及天然气等市场，本次攻击使集团的出货、制造和工程系统发生中断，仅9月份由于开销不足和收入延后造成的间接损失就高达5000万英镑，并且预计还会影响第四季度的正常运营。

攻击发生后，伟尔集团迅速采取措施，隔离并关闭IT系统以保护其基础设施和数据，与此同时对攻击事件进行调查，目前为止还未发现有敏感数据外泄或加密的情况。集团表示其自身和有关各方都从未与攻击者进行接触，对此次攻击的取证调查仍将继续，并将按照业务优先级逐步恢复一部分系统功能。

3.10 SolarWinds黑客仍在发动供应链攻击

2021年10月，微软公司发布的文章中称，去年SolarWinds黑客事件背后与俄罗斯有关联的Nobelium组织仍然在持续发动供应链攻击^[22]，他们从2021年5月以来发动了数次攻击活动，至少140家管理服务提供商和云服务提供商受到影响，14家系统已经被攻破。

经调查，这次攻击中黑客使用了包含多种工具和战术的工具包，包括恶意软件、密码喷剂、令牌盗窃、API滥用等。微软专家称，本次供应链攻击中，黑客通过某种密码泄露进入SolarWinds，并将恶意软件放入Orion组件，然后在SolarWinds的更新过程中将其渗透到用户环境中。攻击事件发生后，微软公司采取了一系列措施，通知了受到影响的客户，为他们提供技术指导，还在产品中增加了检测功能，帮助目标客户检测由Nobelium发起的攻击。

3.11 风电巨头遭受网络攻击导致数据泄露

2021年11月，丹麦风力涡轮机巨头维斯塔斯（Vestas Wind Systems）于19日前后遭到网络攻击。公司在最新声明中表示，这次攻击事件导致了尚未明确的数据泄露^[23]，部分受到攻击的设备正在恢复中，客户和供应链等第三方运营暂未发现受到影响，但维斯塔斯并未提供此次攻击的详细信息，也拒绝说明攻击类型。据彭博社报道，攻击事件发生后，维斯塔斯的股价跌至两周低点。

安全周刊报道称，此次事件中公司数据被挟持和加密，并且遭到勒索高额赎金，这些特点都属于勒索软件攻击的特征。由于维斯塔斯业务范围广，覆盖全球85个国家和地区，有专家表示，一旦此次攻击事件的后续影响持续发酵，尤其是出现中断制造、安装和维修过程等情况，可能会对我国风电行业造成重大影响。

表3-1 2021年部分安全事件

四、工控系统安全漏洞概况

随着5G网络的不断普及、物联网设备的应用和工业互联网的发展，传统设备渐渐被智能化设备取代，工控设备遭受到更多的攻击，工控系统安全事件频发。但在今年下半年，漏洞数量突然大幅度下降。工控设备遭受攻击的形式越来越多样，其中，最常见的攻击方式就是利用工控系统的漏洞。PLC(Programmable Logic Controller，可编程逻辑控制器)、DCS(Distributed Control System，分布式控制系统)、SCADA(Supervisory Control And Data Acquisition，数据采集与监视控制系统)乃至应用软件均被发现存在大量信息安全漏洞。西门子（Siemens）、威纶科技（weintek）、罗克韦尔（Rockwell）、唐山市柳林自动化设备有限公司（LLMGT）、研华科技（Advantech）等工业控制系统厂商也均被发现包含各种信息安全漏洞 。

图 4-1 2011-2021年工控漏洞走势图（数据来源CNVD、“谛听”）

根据CNVD（国家信息安全漏洞共享平台）和“谛听”的数据，2011-2021年工控漏洞走势如图4-1所示。从图中可以看出，2016年之后的工控漏洞数量增长显著，出现此趋势的主要原因是：2016年后，工业控制系统安全问题关注度日益增高。但是今年的漏洞数量相比去年下降十分迅速，不及去年的三分之一，本团队猜测的原因是，随着全球疫情的加重，一方面，大量行业人员转为线上远程办公，可能无法及时发现漏洞。另一方面，全球的工厂无法正常生产，生产的效率大大降低，因此攻击产生的漏洞的数量减少。

图4-2 2021年工控系统行业漏洞危险等级饼状图（数据来源CNVD、“谛听”）

如图4-2是2021年工控系统行业漏洞危险等级饼状图，截至2021年12月31日，2021年新增工控系统行业漏洞152个，其中高危漏洞58个，中危漏洞82个，低危漏洞12个。与去年相比，漏洞数量大幅度减少，高危、中危和低危漏洞数量均有一定减少，中高危漏洞数量减少了406个。高危工控安全漏洞占全年漏洞总数量中的38%，与去年的相比总体来说占比相差不大。同时值得注意的是，今年下半年，工控行业漏洞只有4个。由此可见，在新冠疫情持续蔓延的今天，工控系统在安全方面有了巨大提升。

以上数据表明，在2021年，工控系统在安全维护方面有了很大提升，有必要进一步加强对工业漏洞的防范。根据相关资料显示，网络犯罪中攻击者攻击目标数量正在减少，工控系统所遭受攻击数量也在减少，但同时，工控系统所遭受的攻击强度也在增加，需要进一步加强对网络攻击的防范。网络犯罪分子频繁更新升级恶意软件，使得工控系统越来越难以监测，所以系统在监测到漏洞后，应该尽快更新升级，尽可能避免漏洞的危害。

图4-3 2021年工控系统行业厂商漏洞数量柱状图（数据来源CNVD、“谛听”）

如图4-3是2021年工控系统行业厂商漏洞数量柱状图，由图中可知，西门子（Siemens）厂商具有的漏洞数量最多，多达27个。漏洞数量排在其后的厂商分别是：威纶科技（weintek）、罗克韦尔（Rockwell）、唐山市柳林自动化设备有限公司（LLMGT）、研华科技（Advantech）、RACOM，这些厂商也存在着一定数量的工控系统行业漏洞 。由此可见，各个厂商应该密切关注工控系统行业漏洞，通过设置限定值、增加校验步骤等方式进一步提升系统防护水平，确保工控系统信息安全。

五、联网工控设备分布

“谛听”网络空间工控设备搜索引擎共支持31种服务的协议识别，表5-1展示了“谛听”网络安全团队识别的工控协议等的相关信息。如想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。

表5-1 “谛听”网络空间工控设备搜索引擎支持的协议

“谛听”官方网站（www.ditecting.com）公布的数据为2017年以前的历史数据，若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据，经“谛听”网络安全团队分析，得出如图5-1的可视化展示，下面做简要说明。

图5-1为2021年全球工控设备暴露Top-10国家。从全世界来看，美国身为世界上最发达的工业化国家其暴露的工控设备位居第一位；中国大力发展先进制造业，推动新型基础设施建设和关键领域创新，工业产值大幅增加，位居第二位；由于现在全球对半导体和汽车的消费需求增加，导致韩国半导体和汽车的出口数量持续增长，有效促进了韩国工业领域的发展，暴露的工控设备目前位居第三位。以下着重介绍国内及美国、韩国的工控设备暴露情况。

图5-1 全球工控设备暴露Top10柱状图（数据来源“谛听”）

5.1 国际工控设备暴露情况

国际工控设备的暴露情况以美国和韩国为例进行简要介绍。美国工业发展历史悠久，从19世纪中叶开始，美国就逐渐地成为了一个高度工业化的国家。在金融危机后，美国政府提高了发展先进制造业的战略地位，希望以新型革命性的方式重塑制造业。美国用互联网激活传统工业，以保持制造业的长期竞争力。图5-2为美国工控协议暴露数量和占比。

如今的美国社会，大数据技术正在企业、医疗、教育、商业、科技等各个领域催生强大的变革力量。在大力推动互联网和工业结合的同时，美国也看到了流淌在网络上的极具价值又缺乏监控和重视的数据。与此同时，美国对网络安全问题的重视程度也没有松懈。2021年，美国总统签署了《基础设施投资与就业法案》，在网络安全建设方面投入大量资金。近年来随着国际形势的不断变化以及互联网技术的快速发展，网络安全问题日益凸显，网络攻击事件频发，给全球各行业都造成了不同程度的影响，即使是对网络安全问题高度重视的美国也没能避免网络攻击的威胁2021年美国工控网络安全事件频发：由于燃油的管道运营商遭网络攻击，使得美国被迫关闭其东部沿海各州供油的关键燃油网络，多地区宣布进入国家紧急状态；勒索软件的攻击令美国马萨诸塞州的最大轮渡服务商遭遇班次延误与中断；佛罗里达州奥尔德斯马的一家水处理厂被黑客入侵，入侵者将用于处理水的碱液量增加到危险水平。通过对近些年的网络安全事件分析，不难发现，黑客的攻击手段愈加复杂，数据泄露的规模不断扩大，漏洞存在的年限、影响设备的数量也都不停增加。网络安全形势愈加严峻，网络安全保护任重道远。

图5-2 美国工控协议暴露数量和占比（数据来源“谛听”）

韩国尽管受限于其自身国土面积，无法发展开采工业，但其另辟蹊径，大力发展制造业，使其位于全球GDP前15强国家，实力不容小觑。目前为止韩国汽车制造位居全球第五，轮船制造业更是位于世界领先地位，在芯片工业和智能手机工业领域，韩国也是世界第一梯队。通过图5-3可以看到，在韩国所暴露的协议中，Modbus的暴露数量位居首位。Modbus协议简单且容易复制，工业网络部署相对容易，然而这在一定程度造成了Modbus安全性能的不足，为了减少韩国各企业的工业安全风险，应当更加关注工业网络安全方面的防护。

图5-3 韩国工控协议暴露数量和占比（数据来源“谛听”）

5.2 国内工控设备暴露情况

2021年中国暴露的工控设备数量位居全球第二。中国的工业互联网发展迅速，推动了实体经济的转型升级。新兴产业快速发展，传统产业改造提升力度加大，工业供给体系质量不断提升，加速向中高端产业迈进。同时，随着 5G 技术的不断进步与推广，也让工业互联网领域有了新的发展。

在全国暴露工控设备数量的条形图 5-4 中可以直观的看出台湾和香港暴露工控设备位居国内第一、二位。同时，众多内地城市的工业已经在改革开放和工业互联网发展的推动下快速发展，暴露的设备数量不断增长。中国大陆的产业结构不断优化升级，装备制造业得到快速发展。汽车制造、计算机通信和其他电子设备制造产值占比大幅上升。而且工业互联网的发展与资源、人才和资金等方面是密不可分的，广东等东部地区的产业基础稳定且当地较为注重，这也促进了工业互联网的迅速发展。然而随着工业的快速发展以及产业结构的转变，工业网络的安全隐患也越来越多，工控系统面临较大安全风险。

2021年，台湾省暴露工控设备数量位居全国第一，暴露的工控设备数量显著增加。台湾以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系发展完善且依然在全国各地区中处于领先的位置。台湾网络通信产业链已成为台湾主力产业之一，尽管5G技术与大陆有一定差距，但为全力发展5G加值应用服务，中国台湾政府借《产业创新条例》修法，提供投资抵减租税优惠，在高雄亚洲新湾区，打造台湾最大的5G研发创新试验场域，建立完整产业生态系，并积极培育产业所需人才，从预算、法规、人才等全方位营造好的5G创新运用环境。这些措施可能导致暴露的工控设备数量不断增多，安全风险也随之增加。

图 5-4 国内各地区工控设备暴露数量（数据来源“谛听”）

香港暴露设备数量排名第二。香港是一个主要以服务业为主的经济体，制造业向来不强，而且提出的“再工业化”或“工业 4.0”除了需要科技创新外，还需要先进制造业来支撑。粤港澳大湾区协同发展是一个很好的机会，能够将工业互联网的建设、发展和应用加速推进，香港抓住机会并大力推进大湾区智慧城市建设，工控设备数量呈现稳中有进的态势。

北京暴露设备数量位列第三，由于之前北京推行绿色发展，将工业产业大量转移出去，使暴露的工控设备数量与其他地区相比显得相对较少。但作为中国首都，北京近几年加快新型基础设施建设，加快 5G 网络、数据中心等新基建进度，大力发展工业互联网，带动相关新兴技术的快速发展，并计划建设中关村工业互联网产业园，以此来主要发展智能制造、能源电力、航空航天、电子信息为主的四大重点行业。一定程度上推动了工控设备数量的上涨，但整体排名并未发生变化。

东北地区暴露工控设备总量较多。东北地区（辽宁、吉林、黑龙江）是我国重要的老工业基地，工业基础雄厚，工业体系完备。但是东北长期积累的体制性、结构性矛盾日益显现，工业发展相对缓慢，人才不断流失，经济位次也在后移，这已经引起了国家和地区政府的高度重视。东北地区通过国家政策的扶持，正在努力振兴老工业基地，形成特色新兴产业集群。2021年6月，《辽宁省工业互联网创新发展三年行动计划（2021—2023年）》出台，明确了下一步辽宁工业互联网建设的任务目标。同年10月18日至19日，2021全球工业互联网大会在沈阳举办，大会延续“赋能高质量·打造新动能”这一主题，总结发展成果、展望前景方向、促成项目落地。这些举措将推动东北制造业的振兴，加快工业转型升级，促进东北地区工业互联网更快更好的发展，推进东北地区经济结构战略性调整。

广东省暴露工控设备数量为全国第六。广东高度重视工业互联网发展，据广东省通信管理局数据显示，当前广东工业互联网节点建设及应用全国领先，5G基站、用户规模和数字经济规模等均为全国第一。2021年7月，广东省人民政府印发《广东省制造业数字化转型实施方案（2021—2025年）》，鼓励龙头企业牵头建设工业互联网平台，开放先进技术、应用场景，将数字化转型经验转化为标准化解决方案，并向行业企业辐射推广。各项措施一经实行，工控设备数量也会随之增长，这同样也增加了暴露的风险。

长三角地区暴露工控设备数量与以上各省份相比数量较少。但长三角地区（江苏、浙江、上海）是我国经济发展最活跃、开发程度最高、创新能力最强，是公认的工业与信息化资源高密度聚集区，也是工业互联网发展区和先行区的长三角工业与信息化资源高密度聚集区。由此可见，长三角地区的工控安全防范措施相对完善。按照国家总体部署要求，建设长三角工业互联网一体化发展示范区，是协同落实长三角一体化发展国家战略和工业互联网创新发展战略的重要抓手，有利于长三角工业互联网空间布局优化、基础设施和公共服务一体化发展；并且有利于增强长三角区域制造业的创新力和竞争力，助力区域经济高质量发展。2021年3月，沪苏浙皖四地通信管理局联合发起成立“长三角工业互联网标识一体化建设专班”，旨在合力推进长三角工业互联网一体化建设。

5.3 国内工控协议暴露数量统计情况

图5-5 国内工控协议暴露数量和占比（数据来源“谛听”）

“谛听”团队统计了国内暴露的各协议的总量，从图5-5中可以看出Modbus协议在网络中暴露的数量最多，且数量略高于排名第二位的UPnP。Modbus是一种串行通信协议，是Modicon公司（现在的施耐德电气 Schneider Electric）于1979年为使用可编程逻辑控制器（PLC）通信而发表的。Modbus已经成为工业领域通信协议的业界标准，用于PLC、DCS和智能仪表等工业设备，并且目前是国内工业电子设备之间最常用的连接方式，该协议排在第一位在情理之中。

UPnP是由“通用即插即用论坛”推广的一套网络协议。该协议的目标是使家庭网络和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。由于UPnP技术的简单性和坚持开放标准，UPnP技术已经得到了众多设备厂商的采纳，目前排在第二位。

EtherNet/IP是指以太网工业协议。它定义了一个开放的工业标准，将传统的以太网与工业协议相结合。该标准是由国际控制网络(ControlNet International)和开放设备网络供应商协会 (ODVA)在工业以太网协会 (Industrial Ethernet Association)的协助下联合开发的。EtherNet/IP基于TCP/IP系列协议。所有标准的以太网通信模块，如PC接口卡、电缆、连接器、集线器和开关都能与EtherNet/IP一起使用。

Siemens S7即西门子S7协议，西门子设备使用多种不同现场总线协议，其中S7以太网通信协议，主要用于将PLC连接到PC站(PG/PC-PLC 通信)，它是一个基于TCP/IP的应用层协议。

DNP3(Distributed Network Protocol 3，分布式网络协议3)是一种应用于自动化组件之间的通讯协议，常见于电力、水处理等行业。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。该协议标准由IEEE提出，主要为了解决SCADA行业中，协议混杂、没有公认标准的问题。它适用于要求高度安全、中等速率和中等吞吐量的数据通信领域。DNP3协议以IEC870-5标准为基础，该协议非常灵活，满足目前和未来发展的要求。

六、工控蜜罐数据分析

工业互联网大潮席卷全球，工业控制领域在迎来发展新机遇的同时，也面临着新的网络安全问题。蜜罐技术有助于增强工控系统网络安全防护能力，东北大学“谛听”网络安全团队对工控蜜罐技术展开了研究。经过多年努力，“谛听”网络安全团队研发出了可以模拟多种工控协议和工控设备并且全面捕获攻击者流量的“谛听”工控蜜罐。目前，“谛听”蜜罐支持10个协议，且已经部署在多个国家和地区。“谛听”网络安全团队还改进了基于ICS蜜网的攻击流量指纹识别方法（以下简称“识别方法”），可更高效地识别各类针对工控网络的攻击流量，有利于根据不同类型的攻击流量制定出更加有效的工控系统防御措施。

6.1 工控蜜罐全球捕获流量概况

“谛听”工控蜜罐可支持Modbus、ATGs Devices、OMRON FINS等10种协议，目前已经部署在了中国华北地区、中国华南地区、东欧地区、东南亚地区、美国东北部等国内外多个地区。截止到2021年12月31日，“谛听”蜜罐收集到大量攻击数据。图6-1、6-2和6-3中展示了经过统计和分析后的数据。下面将对各个图表进行简要解释说明。

图6-1 蜜罐各协议攻击量（数据来源“谛听”）

图6-1展示了不同协议下各蜜罐受到的攻击量。从图中可以看到，Modbus协议下蜜罐所受攻击量位居第一，仍然保持大幅度的领先，表明Modbus协议依然是被最多关注的。与2020年相比，ATGs Devices协议保持第二，DNP3协议所占百分比从第五跃居至第三，而Siemens S7协议则由第四降到了第八位，去年新增的IEC104协议则上升了两位。这些变化表明工控系统协议在不断发展，攻击者的攻击方向也在不断调整和变化。前六种协议所受的攻击量加起来约占总攻击量的85.18%，这表明这些协议比较受攻击者的关注，因此工控网络安全研究人员应根据需求情况，加强这些协议下设备的网络安全防护。

“谛听”网络安全团队对收集到的攻击数据的IP来源进行分析，得到了来自不同国家和地区攻击源的数量统计，图6-2仅展示攻击量最多的10个国家。从图中可以看到，美国的攻击量遥遥领先，甚至超过了其他9个国家攻击量的总和，这一定程度上证明攻击者对于本国的工控设备更为关注。排在第二和第三的国家是英国和塞舌尔，其中部分来自荷兰的部分攻击量被划分到了塞舌尔，这是因为这些攻击IP所属机构是在塞舌尔注册的，所以选择其注册地作为地理位置。俄罗斯和日本作为中国的邻国排在第四位和第五位相差不多。

图6-2其他各国对蜜罐的攻击量TOP10（数据来源“谛听”）

对中国国内攻击源的IP地址进行相关分析，列出了IP攻击量的省份排名，如图6-3所示，这里仅展示前十名。可以看到，来自中国华北地区的IP攻击量较多，这可能是因为以上地区的工控网络安全支撑机构比较多，北京作为中国首都，体现出了其网络安全支撑工作的充分，此外，一些制造业较为发达的地区，对于工控安全问题也较为关注。

图6-3中国国内各省份攻击量（top10）（数据来源“谛听”）

2021年，“谛听”网络安全团队对已部署的蜜罐进行了调整，并对协议的范围进行了拓展，未来将涉猎到物联网协议下的蜜罐，相关的研究将会持续推进。

6.2 工控系统攻击流量分析

“谛听”团队首先对来自不同地区的蜜罐捕获的攻击流量数据进行初步分析，然后使用识别方法对Modbus、Ethernet/IP协议进行了攻击流量检测，可以识别多种公开的扫描工具。针对Modbus协议的扫描工具包括：MRCT、Modbus-Fuzzer、NMAP(Modbus-Discover)、NMAP(Modicon-Info)、Plcscan、Scadascan-master、Modscan。针对Ethernet/IP协议的可识别的扫描工具包括：enip-enumerate、Pycomm-Enip、ruby-enip、ScapyForEthernetIp。此外，上述方法还发现了未公开的新型扫描工具。

“谛听”团队选取了Modbus、Ethernet/IP两个应用范围较广的协议进行攻击流量检测，并从每个协议在不同地区部署的蜜罐中选择最具代表性的两个地区进行攻击流量数据统计。

针对Modbus协议，我们选择了中国华东地区和美国东海岸地区部署的蜜罐，统计结果如表6-1、6-2所示。

表6-1 中国华东地区Modbus协议蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）

表6-2 美国东海岸地区Modbus协议蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）

由表6-1、6-2可知，在攻击总量来源方面，美国在两个地区均位列第一，其中美国在中国华东地区的攻击总量显著高于其他国家。同去年对比可以发现，美国在中国华东地区Modbus协议蜜罐捕获攻击总量呈现上升态势。在攻击IP数量方面，美国仍在两个地区中均排名第一，并且从表6-2可以看出，美国在美国东海岸地区的攻击IP数量远超出其他国家，是排名第二的荷兰的10.6倍。在平均IP攻击数方面，中国华东地区的第一名是罗马尼亚，美国东海岸地区的第一名是荷兰。

针对Ethernet/IP协议，我们选择的是中国华南地区和美国西海岸地区部署的蜜罐，统计结果如表6-3、6-4所示。

表6-3 中国华南地区Ethernet/IP协议蜜罐捕获攻击总量来源TOP10（数据来源“谛听”）

表6-4 美国西海岸地区Ethernet/IP协议蜜罐捕获攻击总量来源TOP3（数据来源“谛听”）

由表6-3、6-4可知，美国在两个地区中的攻击总量来源和攻击IP数量均位列第一。其中在中国华南地区，来自美国的攻击总量数大致为排名第二的德国的4.79倍。

在Modbus协议蜜罐和Ethernet/IP协议蜜罐总计捕获的攻击方来源数据中，我们不难发现，Ethernet/IP协议蜜罐受攻击的总次数远小于Modbus协议蜜罐，可能是因为当前Modbus协议应用更广泛，开源工具较多，技术门槛较低，易于部署和维护，因此针对Modbus协议的攻击更多。此外，在确定攻击源的情况下，排名前三的国家的攻击方来源数占总数的近90%，可能有以下三个原因：一是可能由于这些国家的公司提供的云服务器被租赁用于长期扫描，二是可能由于这些国家的安全行业相关人员及研究者较多，三是可能由于这些国家存在大量恶意攻击者。

6.3 工控系统扫描工具识别

“谛听”网络安全团队提出一种基于ICS蜜网的攻击流量指纹识别方法，针对Modbus、Ethernet/IP协议蜜罐捕获的流量数据进行了扫描工具识别^[24]。图7-4和图7-5分别显示了对Modbus和Ethernet/IP协议蜜罐捕获的攻击流量的扫描工具分类检测结果（Top10）。其中的“E”表示Ethernet/IP协议，其中的“M”表示Modbus协议，由于国内和国外的蜜罐程序不同，“E”和“E’”同一编号表示不同的工具，“M”和“M’”同一编号表示不同的工具，环形图中各部分为不同的流量模式。

图6-4 Ethernet/IP协议扫描工具占比图TOP10（数据来源“谛听”）

Modbus协议蜜罐部署地区为中国华东地区和美国东海岸，二者均为工业发达地区，蜜罐部署在该地区便于伪装隐藏，且易于收集更多的攻击信息。Ethernet/IP协议蜜罐部署地区为中国华南地区和美国西海岸，其中中国华南地区是改革开放前沿，经济发达。美国西海岸集中了大量高科技企业，科技发达。蜜罐部署在经济科技发达地区，其网络活动相对频繁，便于收集攻击信息。由图6-4可知，中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量中主要来自于流量模式为E-100(29%)、E-51(28%)、E-62(9%)的扫描工具。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量中主要来自于流量模式为E'-55(25%)、E'-67(13%)、E'-58(13%)、E'-57(13%)的扫描工具。可见以上流量模式的扫描工具是对Ethernet/IP协议扫描的主力工具。

由图6-5可知，中国华东地区的Modbus协议蜜罐捕获的攻击流量主要来自于流量模式为M-53(43%)、M-51(30%)、M-55(7%)、M-84(5%)、M-56(4%)、M-58(3%)的扫描工具。美国东海岸Modbus协议蜜罐捕获的攻击流量主要来自于流量模式M'-52(47%)、M'-51(33%)的扫描工具。可见以上流量模式的扫描工具是对Modbus协议进行扫描的主要工具。本团队对Ethernet/IP和Modbus的ICS网络流量进行了解析、建模、评估，但其中还存在部分未知的流量模式，针对未知的流量模式还需进一步的研究，以便提供有效的ICS流量检测与攻击预警，评估其潜在的攻击意图，制定针对性的防御措施。

图6-5 Modbus协议扫描工具占比图TOP10（数据来源“谛听”）

6.4 工控蜜罐与威胁情报数据关联分析

近年来，工控攻击行为频发，攻击者利用不同类型的攻击方式窃取信息、损坏系统或勒索钱财。随着网络技术的进步，目前的工控攻击行为具有更长的攻击周期、更缓慢但持续的攻击频率以及更难以追踪的特性。威胁情报（TI）在预防和监控工控攻击方面起着至关重要的作用，通过与蜜罐数据的关联分析更加充分说明了这一点。

由“谛听”网络安全团队开发的威胁情报搜索引擎（https://www.TItecting.com）是基于“谛听”威胁情报中心而研发的应用服务。威胁情报中心存有海量威胁情报数据，提供全面准确、内容详细的相关决策支持信息，为行业系统安全提供保障。面对复杂的攻击形式和不断迭代的攻击手段，建立完善的威胁情报搜索引擎刻不容缓，旨在为工业、企业、组织以及个人提供更加全面的情报信息，打造以威胁情报平台为基石的网络安全空间。

2021年“谛听”蜜罐和威胁情报中心均采集到大量新数据，为探寻数据间潜在的相关性，“谛听”团队计算威胁情报数据和蜜罐数据的重叠部分，并根据攻击类型的不同将数据分为5类。其中包括命令执行与控制攻击（command execution and control attacks）、代理IP（proxy）、垃圾邮件（spamming）、洋葱路由（tor）和恶意IP（reputation）。每种类型数据与蜜罐数据重叠部分在二者中的占比如图6-6，本团队对该图的分析如下。

图6-6 威胁情报与蜜罐数据关联占比（数据来源“谛听”）

图6-6中威胁情报数据来源于“谛听”威胁情报中心，该系统所记录的数据为安全网站或安全数据库中的情报数据，本团队根据情报数据攻击类型不同分别记录在不同的数据表中。而直接在部署在国内外网络节点上的工控蜜罐通过模拟暴露在互联网上的工业控制设备，开放设备对应工业网络协议端口吸引攻击者，在记录每一次攻击者的攻击信息的同时，记录经此节点的网络流量，以保证攻击信息的真实性与可用性。因此，图中威胁情报数据与工控蜜罐数据有重叠的部分表示情报中心收集到的IP地址确实发生了工控攻击，这可以让系统更有针对性的对攻击进行防御。下面对具体的数据进行分析。

首先，攻击类型为“恶意IP”（在本次分析中，“恶意IP”特指长期进行恶意攻击的IP地址）的攻击的蜜罐数量占比最高。例如图6-6中，“恶意IP”占到了蜜罐攻击的6.164‰（经过ln函数计算后），这代表在威胁情报中出现的IP在蜜罐攻击中“恶意IP”出现的概率。这与我们团队进行数据处理前最初的设想一致，网络上的大量攻击行为都是由“恶意IP”发出的。因此，在工控系统中，对“恶意IP”的重视程度还应进一步加深。

其次，通过“洋葱路由”进行攻击的情报数量排名第二。而在“洋葱路由”中，消息被一层层加密包成像洋葱一样的数据包，使得用户通过该工具访问暗网时，其身份、地址、IP地址都被隐藏，因此“洋葱路由”便成为开启暗网大门的钥匙。基于此，本团队认为，攻击者可能会通过“洋葱路由”进行恶意攻击，或利用相关资源进行不法行为。

最后，通过“代理IP”攻击、命令执行与控制攻击以及垃圾邮件攻击的占比相差不大，可以看出，以上三种攻击类型在网络中普遍存在。本团队猜想，攻击者可能会按照自己的擅长方式或者攻击习惯进行攻击。工控系统的工作人员不能对这三种攻击方式掉以轻心。待数据更加充实后，后续团队将对相关内容进行进一步分析。

6.5 Honeyeye工控网络探针

随着网络信息技术的飞速发展，网络探针技术也在关乎国家命脉的通信、金融、交通、能源等重点基础行业中有着广泛的应用。网络探针是一个用于捕获、分析网络数据包的组件，通过监控数据流量及网络行为，为入侵检测系统IDS、安全态势感知等防御系统提供数据支撑，实现网络攻击防御以及网络信息安全保障等工作，从而确保网络信息产业的安全可控。

由“谛听”网络安全团队研发的Honeyeye工控网络探针主要由终端硬件和功能软件组成，功能软件主要包括日志采集模块、流量筛选模块、网络协议深度分析及解析模块、流量可视化分析及展示模块、管理配置模块等。通过各个功能模块的综合处理分析，可以实现对工控网络的网络风险识别、分析和处理。

图6-7 不同流量上Honeyeye和Wireshark解析时间对比（数据来源“谛听”）

“谛听”工控网络探针支持对30余种工控协议的解析，从图6-7可以看出，相较与主流的网络流量解析工具Wireshark，本团队所研发的探针Honeyeye解析速度更快，并且可将解析结果以Json格式传输到远端服务器，为下一步分析提供支撑。此外，可视化分析模块为用户监控网络环境、发现网络异常、定位故障节点等提供了便利。

七、工控蜜罐与威胁情报关联分析

7.1 目前技术

随着近年来技术的发展，工业互联网的应用越来越广泛。工业互联网是十分重要的，其关系到国家关键信息基础设施，关系着国计民生。工业互联网的连接也就意味着网络安全与工业安全风险交织，如果不能很好地应对风险，网络安全风险就会危及工业领域，造成经济损失，甚至会影响国家总体安全。

为了有效应对风险，需要不断提升安全技术加强防御能力。根据要防护的工业互联网对象不同，如设备、网络、应用、数据等，应采取相应的技术措施。由此可以将目前的工业互联网安全技术大体分为安全防护技术、安全评测技术、安全监测技术这三种^[25]。

首先，工业互联网安全防护技术是对工业互联网各层级部署边界控制、身份鉴别与访问控制等的技术措施，是工业互联网安全技术的核心。此前，在安全防护理念上，主要是以被动防御为主，近年来，主动防御的理念逐渐成为主流。与防火墙、防毒墙、传统入侵检测技术等被动防御技术相比，主动防御技术在目前应用更为广泛，其能够在入侵行为对信息系统发生影响之前，及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险。主动防御技术主要有数据加密、访问控制、蜜罐技术、新型入侵检测技术等。在工业互联网中，也可采取以白名单技术为主、黑名单技术为辅的安全防护机制，这样就能提高对风险防护的效率。

图7-1 工业互联网安全防护技术发展趋势

工业互联网安全评测技术是采取技术手段对工业互联网各层级的安全防护对象进行测试和评价，了解其安全状态，从而增强防护能力，主要包括漏洞扫描、漏洞挖掘、渗透测试等技术。在工业互联网中，需采用IT和OT融合环境下的漏洞挖掘思维，运用多种深度融合的漏洞挖掘技术。而渗透测试技术也需要根据安全防护需求及工业互联网安全防护对象的特点，通过模拟来自网络外部的恶意攻击者常用的攻击手段和方法，检测并评估工业互联网的网络系统安全性。

工业互联网安全监测技术就是通过技术手段实现对各层级的安全威胁的发现识别、理解分析、响应处置，主要包括安全监测审计、安全态势感知等关键技术。当前主要使用的态势感知技术在网络空间搜索引擎的基础上，添加工业控制系统及设备的资产特征，利用软件代码的形式模拟常见的工业控制系统服务或工控专用协议（如Modbus、S7、FINS等），对网络层和应用层的协议（如工控专用协议、通用协议等）进行解析与还原工作，完成工控设备资产检测、工控漏洞及安全事件识别等安全监测工作，从而实现对设备的安全防护。与之前相比，当前的安全监测技术在向更为智能的方向发展。随着近些年大数据分析等新兴技术的发展，安全技术与之融合不断加深，极大地促进了安全监测技术的发展，提高了效率，其中威胁情报共享等就是主要应用技术，它能够从已知威胁推演未知威胁，实现对安全威胁事件的预测和判断。

图7-2 工业互联网架构图

由图2，根据工业互联网各层要防护的对象，采取上述对应的防护技术、评测技术和监测技术。在实际应用中，安全评测技术可以周期性进行，对工业互联网安全防护对象及时评估其安全性，有利于及时制定防御策略。当有攻击者入侵时，采用安全防护技术对其攻击行为进行防御，并可采用动态防御的措施加强防御能力，即结合被动防御技术和主动防御技术，更加灵活地应对攻击。同时，及时记录攻击者的数据信息，动态调整黑名单和白名单，提高防御效率，再结合安全监测技术，加强对安全威胁的发现识别、理解分析、响应处置能力。

7.2 5G+工业互联网

5G技术的发展已经成为当下信息通信的一个重要方向，工业互联网为新一代工业革命提供了技术支撑，利用5G技术构建与工业经济深度融合的新型基础设施、应用模式和工业生态，以人、机、物全面互联为支点,构建起全要素,全产业链,全价值链,全面连接的新型工业生产制造和服务体系^[26]。

5G技术具有高速度、低功率、低延迟的特点，这些特点十分贴切工业网络，能够在工业网络的建设中起到重要的作用，对于工业数据的采集效率方面也会有很大的提升，在工业大数据的应用中也更加具有优势。同时，国家积极鼓励工业企业数字化转型,未来5G和工业互联网将实现范围更广、程度更深、水平更高的融合发展。“5G与工业互联网的融合将加速数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能，为疫情阴霾笼罩下的世界经济创造新的发展机遇”，总书记在2020中国5G+工业互联网大会致贺信，体现了党中央对5G+工业互联网发展的重视，为5G技术的推动提供了有力的支持。

当前5G+工业互联网逐步摆脱单点局部的特色业务，转变为集成化、系统化应用^[27]，不过由于是起步阶段，所以也面临着诸多挑战，但相信通过不断的发展与完善，制定相应的规范标准，必然可以发挥5G优势，真正为工业企业服务，促进中国制造业的转型升级。

7.3 人工智能+工业互联网

伴随着工业互联网的蓬勃发展，工业数据也呈现出海量增长态势，生产过程逐步数字化，以数据为载体实现工业生产环节的可视、可查、可纠，并因深度学习在内的多种人工智能技术的再发展，解决了以往传统的统计方法难以对工业数据分析挖掘的困境，成为工业软件、工业模式、工业互联网平台解决各企业诊断、预测与优化问题的有效工具。人工智能通过赋能产业互联网，融合各项业务，加快了全产业价值链环节的智能化改造，推动了制造行业高质量发展。

人工智能与工业互联网平台融合应用场景体现在以下维度^[28]：

图7-3 人工智能与工业互联网平台融合应用场景

设备层：机器智能构建新型人机关系。工业互联网平台在企业生产中应用广泛，人工智能技术以工业互联网平台为依托，在整个生产研发过程中逐步建立人机协同的新型人-机-物关系。一是设备运行智能化，如自动物品分拣、设备自主启动运行等。厂内设备通过搭载封装了人工智能算法的控制终端，实现对复杂工况的自适应，如物流运输自动规路径，机械臂高精度物品检测等。二是人机交互智能化。当前工控设备人机交互方面的功能并不被重视，学习成本高，用户不友好是一大问题。通过使用语音识别、动作识别等新兴人机交互技术，可以大幅度优化人机交互模式，降低设备的使用难度与操作复杂度，最终提高生产效率。三是生产运作智能化，比如协作机器人、仿生工位等。人机合作场景将会被人工智能算法学习，持续性的调整参数，优化执行逻辑，为操作员提供最便捷的生产环境。

边缘层：边缘智能提升边缘侧实时分析处理能力。边缘计算与人工智能的结合可以充分发挥本地设备的性能，极大地降低网络通信负载，增强边缘设备传递信息的质量。同时可以分担中央服务器的处理任务，提高运行效率降低能耗。一是智能传感器网络。传感器网络在环境监测、工业生产、军事等方面大规模应用。更加智能的调度算法可以节省传感器终端的功耗负载，提高传感器在一些特殊应用领域的续航时间，同时强化应对复杂通信状况的处理能力。二是噪声数据处理。机器学习算法的引入使得传感器获得了在本地进行较高层次噪声处理的能力，可以提高系统检测精度，降低中央处理器的任务负载。

平台层：大数据分析构建“数据+认知”算法库。工业互联网平台的发展，使得工业过程产生的海量数据更容易被获取和分析，最终打造一个从数据获取到存储、传输、共享、分析到最终构建完备生产模型的整体数据服务链。利用大数据分析技术，从生产数据中提炼有用的生产信息，同时结合数据科学和认知科学的两类工业知识对生产过程进行建模仿真。企业也能通过搭建以知识图谱、专家系统等技术为代表的认知算法体系，来获取管理决策方面的建议。

应用层：商业智能提升工业APP数据挖掘深度。通过将人工智能技术应用到管理平台的开发中，开发者利用工业互联网提供的监测数据、统计数据，开发面向不同客户群体的工业APP。为客户提供定制化的服务，使生产过程可视化，生产管理条理化。主要有以下几类：一是预测性维护。利用机器学习方法拟合设备运行复杂非线性关系，提升预测的准确率，降低运维成本与故障率。二是生产工艺优化。依托深度学习绕过机理障碍，通过挖掘数据隐藏特征间的抽象关系建立模型，并找出最优参数组合。

与此同时人工智能技术也为工业互联网安全带来了许多新技术。在融合数据场景下，人工智能技术可以给予安全团队更多数据维度和安全视角，通过构建完整的信息流上下文关联关系来对威胁事件采取有效的监控、检测、响应与预防手段。但人工智能技术在工业互联网安全中的应用存在痛点，主要表现为缺少高度自动化、性能鲁棒、环境自适应与隐私保护的分析技术方案，来主动快速处理大规模高度融合的安全采集数据。须要进一步分析工业互联网安全与人工智能技术的融合方法。接下来的发展方向趋势总结如下：

方向一，高实时性高鲁棒性的异常检测技术。工业互联网人-机-物融合的技术背景下，网络行为复杂度直线上升，传统工业控制网络防护的异常检测捉襟见肘。工业控制系统的稳定运行直接关系到生产环节的稳定运行，任何网络攻击行为，可在短时间内对工业生产产生不可逆转的打击。因此，提升工业互联网系统异常检测技术的实时性与鲁棒性变得极为重要。提升实时性能够在异常事件发生的第一时间进行处理，将损伤降低到最小甚至在伤害发生前将其阻止；提升鲁棒性能够降低检测模型对操作员引发的规则外随机操作的误报率，保证正常业务行为的顺利进行。

方向二，融合场景下安全防护协同一体化技术。工业互联网系统下，设备网络层、物理层设备多源异构，为安全防护带来巨大挑战。一是工控设备本身对攻击行为的防护薄弱，工控设备行为较为简单，性能较低，难以部署防护系统。二是工控设备多种多样，厂商使用专有通信方式，不同厂商设备间难以进行有效数据沟通，造成联动困难。三是工业控制终端机部署地点分散、地理分布远、控制层异构，对多域协同联动的安全防护与一体化管控提出了巨大的挑战。

方向三，双安冲突融合消解与异常响应技术。工业互联网的首要任务目标是生产的高效与稳定。安全事件的发生势必会对正常生产造成一定的影响甚至于被迫停产。由安全检测而造成的生产效率降低是难以接受的，于是功能安全与信息安全便出现了冲突。需要建立一个平衡且有效的安全处理模型，能够对发生的异常事件做出评估，给出最高效的异常处置策略，对不同等级的风险做出保证安全前提下的最小开销处置方法。同时处置动作对正常的生产过程造成的影响必须要处于可接受范围之内。

7.4 大数据+工业互联网

随着工业互联网的不断发展，网络攻击频繁发生。工业互联网面临着工业数据流的多样化、持续性攻击行为的隐蔽性、攻击方式灵活多变等问题，数据流复杂多样，工业流量就难以准确预测，攻击行为越隐蔽，我们就越难发现，攻击方式灵活，我们就无法识别网络安全事件。但借助大数据分析等技术，结合威胁情报数据中心的数据，进行关联分析后提前预测攻击行为，针对性地采取相应的防范措施，做到及时感知和防护，及时检测工业网络中的深度威胁。

工业大数据是大数据与工业领域智能制造的交叉点^[29]。工业大数据指的是在工业生产中，由工业设备产生的大量数据，对应不同时间下的设备状态信息，是工业互联网的核心。工业大数据技术是指通过数据存储、挖掘、关联分析、可视化等一系列方法，使工业大数据的价值得以充分展现。因此，对工业大数据的保护显得至关重要，对数据的分类分级、数据分析价值保护及用户隐私保护提出了更高要求。工业大数据可以配合工业互联网，利用大数据分析的结果来支援工业互联网中的决策，提前预测攻击行为，保障工业互联网的安全。

工业互联网和工业大数据的不断发展，更时时刻刻提醒我们注意安全问题，提高安全意识，以便更好应对工业中的攻击行为，争取做到提前预测，提前防范。

八、总结

5G与工业互联网的融合将加速数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能。工业和信息化部于2021年11月印发了《“十四五”信息化和工业化深度融合发展规划》。同时，我国在2021年相继推出了一大批工业互联网信息安全相关的政策法规及报告，以保证工业互联网高质量发展。

随着工业数字化转型的迅速落实，大批量的工业、企业进入了产业变革的新阶段，然而，风险与机遇并存，2021年工控安全事件仍然层出不穷。全球大量制造业、能源业等行业均遭受了不同程度的攻击，这些攻击行为持续时间更长，所产生的影响更大，给国家和社会带来了巨大的损失。基于以往的工控安全形势，工控系统行业漏洞数量在今年出现了急剧下降，极有可能是全球新冠疫情扩散传播对工控领域造成了巨大影响。相比于2020年，全球在工控设备暴露数量方面排名发生了较为明显的变化，各国工控设备暴露数量急剧降低。通过工控蜜罐与威胁情报的关联分析，进一步说明了威胁情报在工控网络安全领域中发挥的关键作用。

面临着百年未有之大变局与全球严峻的新冠肺炎疫情局势，工业互联网为新一轮产业革命不断赋能。加强新型基础设施建设，夯实工业互联网安全基础，是打造网络安全命运共同体的重要支撑。

参考文献

关于我们

“谛听”网络安全团队，由东北大学姚羽教授带领课题组师生组建，依托复杂网络系统安全保障技术教育部工程研究中心，被辽宁省工信委授予“辽宁省工业信息安全支撑单位（首批）”，包括3名博士，7名博士研究生，20名硕士研究生。团队的研究方向为工业互联网安全，重点研究内容主要包括工业网络空间测绘、工业蜜罐、威胁情报、工控网络探针、网络空间安全态势感知等。课题组发表学术论文40余篇，专利及软件著作权10余项，主编国内第一部工业信息安全专著《工控网络安全技术与实践》，获辽宁省科技进步二等奖、辽宁省自然科学学术成果一等奖、ChinaVis数据可视化分析挑战赛一等奖等，参与制定国家标准《信息安全技术 智慧城市网络安全评价方法标准草案》，编写《2020年工业控制网络安全态势白皮书》等10余篇。