关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等,对国家的稳定发展发挥着极端重要的作用。工业控制系统是关键信息基础设施的关键核心。随着制造强国、网络强国战略的持续推进,机械、航空、船舶、汽车、轻工、纺织、食品、电子等行业生产设备逐渐步入智能化阶段。与此同时,5G技术、人工智能、云计算等新一代信息技术与制造技术的加速融合,使得工业控制系统正从封闭独立逐步走向开放互联。工业控制网络正与IT网络进行着深度融合,在促进工业进一步发展的同时,传统信息网络中的各种安全威胁已经逐步延伸至工业控制网络中。在党的二十大报告中,习近平总书记着重强调了:“要推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定。”近年来,网络攻击、网络窃密等危及国家安全行为,给社会生产生活带来了不少安全隐患。如何有效保障网络与信息安全,是数字时代的重要课题。
随着互联网的快速发展,云计算等新型信息技术开始与传统工业进行融合,工业控制系统逐渐走向智能化。但与此同时,一些网络安全事件层出不穷,工业控制系统在信息安全方面受到了严峻挑战。因此,我国开始逐步完善工业信息安全政策标准,以便于提升工业信息安全保障技术,推动整个安全产业的发展。
2022年2月10日,工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)的意见。此次发布的征求意见稿调整了数据定义、监管机构和核心数据目录备案等条款。在工业和信息化领域数据处理者责任方面,征求意见稿明确了其对数据处理活动负安全主体责任,对各类数据实行分级防护,保证数据持续处于有效保护和合法利用的状态。该征求意见稿增加了核心数据跨主体处理以及日志留存条款,要求需要跨主体提供、转移、委托处理核心数据时,应当评估安全风险,采取必要的安全保护措施,并经由地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)报工业和信息化部。工业和信息化部严格按照有关规定对其进行审查。
2022年4月15日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),国家标准GB/T41400-2022《信息安全技术工业控制系统信息安全防护能力成熟度模型》正式发布,并将于2022年11月进行正式实施。该标准由中国电子技术标准化研究院联合“产学研用测”41家单位共同研制,意在贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求、进一步推动工业企业落实《工业控制系统信息安全防护指南》防护要点。
2022年4月25日,国家发改委官网公布了《电力可靠性管理办法(暂行)》,并于6月1日起开始实施。《办法》第七章对电力网络安全做出了明确要求,其中提出了电力网络安全坚持积极防御和综合防范的方针;电力企业应当落实网络安全保护责任,健全网络安全组织体系;电力企业应当强化电力监控系统安全防护;电力用户应当根据国家有关规定和标准开展网络安全防护,预防网络安全事件,防止对公用电网造成影响;国家能源局依法依规履行电力行业网络安全监督管理职责等具体要求。
2022年6月14日,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号,为加强电力行业网络安全监督管理以及规范电力行业网络安全工作,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》及国家有关规定,制定本办法。)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号,为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等法律法规和规范性文件,制定本办法。)进行修订,形成了《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,向社会公开征求意见。
2022年7月7日,国家互联网信息办公室公布了《数据出境安全评估办法》(以下简称《办法》),并于2022年9月1日起开始施行。出台《办法》是为了更好的落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,并且有利于保护个人信息的权益,社会公共的利益,规范数据出境的活动以及维护国家的安全。该《办法》也规定了数据出境安全评估的范围、条件和程序,并具体指明数据出境安全评估工作的方法。
2022年7月21日,市监总局发布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》,公开征求意见至8月21日。应当依法设立从事网络安全服务认证活动的认证机构,保证其具备从事网络安全服务认证活动的专业能力,并严格经过市场监管总局征求中央网信办、公安部意见后批准取得资质。严格要求网络安全服务认证机构公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,按照有关规定报送网络安全服务认证实施情况及认证证书信息。
2022年10月12日,国家标准化管理委员会发布2022年第14号中华人民共和国国家标准公告,批准发布国家标准GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》,《信息安全技术关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估等方面的安全要求。此次标准的发布,意味着我国的国家关键信息基础设施(电力,燃气,水力,石化等)工业控制系统的网络安全保护将纳入国家监督成为强制要求,标志着我国关键信息基础设施安全保障体系的建设进一步完善,为运营者开展关键信息基础设施的安全保护工作提供更有效的规范和引领。标准将于2023年5月1日开始实施。
表2-12022年国内部分出台政策
时至2022,全球局势变化风云莫测,工控安全是国家安全保障、社会稳定运行的重要基石。工控网络的应用涉及了社会中的各个重要行业如通信、电力、燃油等。社会中的各个机构、组织、企业在疫情下稳步的复产复工,恢复工作秩序,离不开工控网络的安全。
2022年2月11日,美国联邦调查局和美国特勤局联合发布了《联合网络安全咨询公告》。公告中指出:名为BlackByte的软件勒索组织在过去的3个月期间,入侵了至少3个美国关键基础设施组织,尤其是政府设施、金融服务以及食品和农业领域。该组织会将其勒索软件基础设施出租给他人,以此来换取一定比例的勒索收益,该组织自2021年7月开始开发软件漏洞,全球范围内的企业都可能成为其目标。
2022年2月27日,黑客组织Anonymou声称已经入侵了白俄罗斯铁路的内部网络,并且攻击并关闭了其内部网络的所有服务。目前网站pass.rw.by、portal.rw.by、rw.by都处于无法访问的状态,该国的铁路系统被迫转入手动控制模式,这对白俄罗斯铁路列车的正常运营以及铁路秩序都造成了极大的影响和破坏。Anonymou组织还入侵了白俄罗斯的武器制造商Tetraedr,并窃取了大约200GB的电子邮件。
2022年3月6日,东欧国家罗马尼亚的一家加油站遭到了勒索软件攻击,该加油站的Fill&Go服务以及官方网站都因本次攻击而被迫下线。本次攻击影响到了该公司的大部分业务,导致了官网、APP都无法正常访问,顾客只能使用现金和刷卡进行支付。
这家公司名为Rompetrol,是罗马尼亚国内最大的炼油厂PetromidiaNavodari的配套加油站运营商。攻击者还入侵了Petromdia炼油厂内部的网络,但该网络的运营暂未发现受到了影响。
2022年4月12日,一种新的能够操控工业控制系统造成损害的恶意软件最近将乌克兰的一家能源供应商作为了攻击的目标。该攻击主要针对的是变电站,乌克兰的计算机应急响应小组、网络安全公司和微软公司已经对其进行了分析。经分析发现,该攻击行动与一个威胁组织Sandworm有关,该组织据信代表俄罗斯GRU军事情报机构运作。根据网络安全公司的说法,该攻击的目的可能是在目标能源设施中执行破坏性的操作进而导致停电,本次安全事件涉及了在ICS网络以及运行Solaris和Linux的系统中部署的几种恶意软件。
2022年5月7日,美国农业机械巨头爱科遭到了勒索软件的攻击,对部分生产设施的运营造成了影响,并且该影响可能会持续多天。本次事件中,爱科公司并没有提供任何关于业务中断的细节信息,为了阻止攻势蔓延该公司可能会关闭部分系统。有经销商表示,这导致拖拉机销售在美国最重要的种植季节停滞不前。近一年来已经有多家农业供应链企业遭到攻击,可见农业逐渐成为了勒索攻击的重点目标。同时受到紧张的国际政治局势的影响,部分网络攻击可能还具有报复性动机,目的是破坏美国关键基础设施企业的生产活动。
2022年6月8日,德克萨斯州一家液化天然气厂发生爆炸。爆炸发生在德克萨斯州金塔纳岛的自由港液化天然气液化厂(名为FreeportLNG公司)和出口码头。华盛顿时报一国家安全作家Rogan证实:德克萨斯州的液化天然气设施爆炸与APT组织进行的黑客活动一致。FreeportLNG拥有运营技术以及工业控制系统网络检测系统,但否认了将网络攻击视为事件发生的根本原因。除非FreeportLNG适当部署了OT/ICS网络检测系统并完成了取证调查,否则不能排除网络攻击。此次爆炸事故将对自由港液化天然气的运营产生持久的影响。
2022年6月10日,伊朗LycaeumAPT黑客组织使用新的基于.NET的DNS后门,以对能源和电信行业的公司进行攻击。Lyceum曾使用DNS隧道后门瞄准中东的通信服务提供商。Zscaler最近的一项分析提出了一种新的DNS后门,该后门基于DIG.net开源工具可以执行“DNS劫持”攻击、执行命令、丢弃更多有效负载并泄露数据。DNS劫持是一种重定向攻击,它依赖于DNS查询操作,将尝试访问合法站点的用户带到威胁参与者控制下的服务器上托管的恶意克隆。
2022年11月5日,由于遭受了网络攻击导致服务器关闭,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,且连续数个小时未能恢复。遭受攻击的是丹麦公司Supeo,该公司是一家专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。Supeo公司提供了一款移动应用,可供火车司机访问各项关键运营信息,例如限速指标和铁路运行信息。由于服务器关闭,导致该应用停止工作,司机们只能被迫停车,最终引发了列车运营中断事件。
2022年12月8日,乌克兰计算机应急响应小组报道,乌克兰政府机构和国家铁路遭受网络钓鱼攻击。攻击者被响应小组追踪为UAC-0140,他们使用电子邮件分发由Delphi编程语言开发的名为DolphinCape恶意软件。这种恶意软件可以采集被攻击电脑的信息,包括主机名、用户名、比特率和操作系统版本等等,该软件还会运行可执行文件、提取其他关键数据、并对目标设备进行屏幕截图等操作,严重影响被攻击者的电脑的运行安全。乌克兰安全官员认为,俄罗斯黑客是大多数攻击的幕后黑手。
表3-12022年部分安全事件
根据CNVD(国家信息安全漏洞共享平台)[1][2]和“谛听”的数据,2012-2022年工控漏洞走势如图4-1所示。从图中可以看出,2015年到2020年期间工控漏洞数量呈显著的逐年增长趋势,出现这种情况的主要原因,本团队分析认为是:2015年后,技术融合加速工控产业发展的同时破坏了传统工控系统的体系结构,在产业标准、政策尚不成熟的情况下攻击者可能会采取更加丰富的攻击手段攻击工控系统,导致工控漏洞的数量逐年上升。然而从2021年开始,工控漏洞数量呈逐年下降的趋势,与2020年的568条漏洞信息相比,2021年减少了416条,漏洞数量大幅降低,减少数量占2020年的73%,2022年的漏洞数量降幅虽不及2021年的73%,但仍达到了37%,本团队猜测出现的原因是:一方面,由于新冠疫情在全球反复暴发,大量从业人员线上办公,工控产业活力低下,导致工控攻击目标的数量与类型较往年有所减少,工控漏洞的产生和发现可能会因此减少;另一方面,随着工控信息安全政策、体系、法规的不断完善,工控安全方面的产品体系和解决方案愈发健全,客观上的漏洞数量下降应在情理之中。
表5-1“谛听”网络空间工控设备搜索引擎支持的协议
图5-1为2022年全球工控设备暴露Top-10国家。在图中可以看到,国家排名较2021年基本没有发生太大变化。在全球范围内,美国作为世界上最发达的工业化国家暴露出的工控设备仍然保持第一;中国继续大力发展先进制造业,推动新型基础设施建设,工业产值大幅增加,位居第二;2022年波兰的GDP有所增长,暴露的工控设备也有所增长,位居第三。以下着重介绍国内及美国、波兰的工控设备暴露情况。
国际工控设备的暴露情况以美国和波兰为例进行简要介绍。
虽然美国是最早投身网络安全建设的国家之一,但在工业控制系统网络安全方面的表现仍然有待提高。与2021年相比,美国2022年暴露的工控设备数有所减少。可能是受俄乌战争的影响,美国政府认识到工控设备及其之上运行的大量关键基础设施的重要性,因此更加重视工控领域的安全问题。2022年的全球网络空间安全形势愈发复杂,美国政府愈发重视工业控制系统安全。
2022年波兰工控设备暴露数量位居全球第三。波兰地处欧洲中部,属于发展中国家,但其人均GDP基本接近末流发达国家的水平。波兰的工业化程度很高,是欧盟第六大工业强国,在波兰的诸多工业产业中,以制造业的表现最为突出。据波兰中央统计局发布的数据,自2022年年初,波兰的工业产值一直以每月两位数的速度在增长。通过图5-3可以看到,在波兰所暴露的协议中,Modbus协议的数量居于首位。Modbus协议由于其公开免费,部署较为简单,自问世以来受到了诸多供应商的青睐,但由于其缺乏认证加密等机制,Modbus协议被广泛使用的同时,也为波兰工业控制系统的安全性带来了巨大的风险。
综上,相较于2021年,美国政府在发展工业的同时,更加重视国家工控系统安全性的问题,2022年暴露的工控设备数量略有下降。而波兰由于汽车制造业的繁荣发展,国家GDP增长的同时暴露的工控设备数量也大幅增长,这势必会给国家的后续健康发展埋下一定的隐患。
2022年中国暴露的工控设备数量排全球第二。近几年来,中国的产业结构不断优化升级,工业互联网发展迅速,实体经济也在逐步转型升级中。下面详细分析一下国内工控设备暴露情况。
在全国暴露工控设备数量的条形图5-4中可以直观的看出江苏省的工控设备暴露数量跻身至全国首位,与去年相比,多省的工控设备暴露数量都有了很大程度的增长。2021年由于新冠疫情的肆虐,全国很多地方停工停产,国内工控设备暴露数量也随之减少。2022年在政策稳步推动、经济企稳复苏及企业数字转型需求增加等因素交织影响下,中国工业互联网市场继续保持稳定增长,工业化与信息化在高层次进行了深度融合,国内工控设备暴露数量相比2021年有了爆发式增长。
2022年,江苏省是暴露工控设备数量最多的省份。据中国经济新闻网报道,江苏省2022年信息化和工业化融合发展水平指数达到66.4,年平均增速3%左右,较2022年全国平均水平59.6高出11.4%。发达的工业体系是江苏省实现信息化和工业化的基础。近年来,江苏立足制造业优势,坚持“实体强基”,先后出台《关于深化“互联网+先进制造业”发展工业互联网的实施意见》《江苏省制造业智能化改造和数字化转型三年行动计划》等文件,把工业互联网创新工程作为战略性任务,融入到制造业数字化转型全过程。制定实施《江苏省加快推进工业互联网创新发展三年行动计划(2021—2023年)》等文件,推进“数实融合”发展[3]。江苏省多年来一直以两化(信息化、工业化)融合为行为指南,实现了多个行业智能化改造以及数字化转型,其正以工业互联网、大数据中心、5G基站等新基建夯实数据基底,着力打造领先世界的工业互联生态圈。
2022年,台湾地区工控设备暴露数量依然名列前茅,位列全国第二。台湾工业体系发展完善且依然在全国各地区中处于领先的位置,其与大陆的交流合作也十分密切。2022年九月,两岸工业互联网融合发展研讨会在昆山举办,会上聚焦“产业升级”展开交流,助力双方合作共赢。近年来,大陆在工业互联网、大数据以及5G基站等新基建方面有着坚实的基底,而台湾在集成电路等领域也积攒了雄厚的实力,双方的交流合作有利于社会数字化转型和智能化改造,推动工业互联网在更广范围、更深程度、更高水平上融合创新。
长江三角洲地区工控设备暴露数量的排名变动不大。随着经济的逐步复苏,长三角地区(江苏、安徽、浙江和上海)正利用区位和资源优势,加速推进长三角工业互联网一体化发展,为全国国际化、区域联动发展等方面进行了前沿探索。2022年11月,为加快构建长三角工业互联网体系,促进长三角产业转型升级,长三角工业互联网峰会在合肥市奥体中心隆重召开。此次大会全面展示了长三角区域工业互联网的最新发展成果,推动长三角工业互联网一体化发展再升级、再提速。把握重大战略机遇,加快发展工业互联网,是长三角实现制造业高质量发展、构筑工业竞争新优势的必然选择[4]。
北京今年排名相较去年有所下降,作为中国首都,北京经转人流量过多,疫情时常反复,对工业互联网的发展还是产生了一定的影响。并且现阶段的北京,绿色发展是基础,工业产业大量转移出去,使暴露的工控设备数量与其他地区相比显得相对较少。
与2021年工控设备暴露数量相比,辽宁2022年工控设备暴露的数量反超黑龙江和吉林,成为东北地区工控设备暴露数量最多的省份。东北地区(辽宁、吉林、黑龙江)作为中国工业的摇篮,在我国发展史上写下了光辉灿烂的篇章。辽宁省于2022年11月举办了全球工业互联网大会,此次大会对于加快工业互联网创新发展、推动数字辽宁智造强省建设取得新突破,具有重大意义。据辽宁省政府新闻办报道,辽宁省认真贯彻习近平总书记关于工业互联网创新发展的重要指示精神,把工业互联网创新发展作为助推经济高质量发展的重要力量,出台了《工业互联网创新发展三年行动计划》等政策文件,设立了省级专项资金,加快推动制造业数字化转型,使得辽宁省工业互联网进入了新的发展阶段[5]。中国工业互联网研究院院长鲁春丛于此次大会上发表了《全球工业互联网创新发展报告》讲话,他指出,未来五年将是工业互联网从起步探索转向快速发展的重要阶段,也是我国推进新型工业化,加快建设制造强国、网络强国、数字中国的关键时期[6]。当前,随着技术的不断发展,实现工业化和信息化高水平融合已是中国特色新型工业化道路的集中体现,工业互联网为产业数字化、网络化以及智能化发展提供了新的机遇。
2022年,香港排名虽然较去年有所下降,但暴露设备数量却上升了将近三倍。香港以往是一个主要以服务业为主的经济体,所以香港的工控设备暴露数量并不能与广东以及台湾等地相比。但近年来,随着5G专网工业模组成本的降低,香港积极资助5G技术应用,多方面推动5G发展,完善5G网络覆盖,开展5G企业网络以及5G工业互联网的融合应用以及部署,推动香港新型工业化的发展。香港抓住机遇,积极融入国家发展大局,为中国独立自主建设工业互联网络起到了表率作用。
“谛听”团队统计了国内暴露的各协议总量,从图5-5中可以看出Modbus协议在网络中暴露的数量最多,领先于第二位的MoxaNport。Modbus是一种串行通信协议,是Modicon公司(现在的SchneiderElectric)于1979年为使用可编程逻辑控制器(PLC)通信所发行的。在我国,Modbus协议已经被纳入国家标准GB/T19582-2008。虽然Modbus协议支持多个设备在同一网络中的透明通信,帧格式紧凑、简洁,兼容多种电气接口。且Modbus凭借易部署、限制少、门槛低的优点,成为工业领域通信协议的业界标准,是国内工业电子设备之间最常用的连接方式。然而该协议缺乏有效的认证和加密手段,亦缺少对功能码的有效管理,因此造成许多安全问题,可见该协议排在国内暴露协议第一位属情理之中。
MoxaNport,Moxa串口服务器专为工业应用而设计,MoxaNport是其中的一个串口服务器系列,在世界范围内具有广泛的应用。不同配置和组合的服务器能满足多种工业场景的需要,因此适用性强。
TridiumNiagaraFox,TridiumNiagaraFox被广泛应用于国家的智能建筑、设施管理、安防、电力、空调设备等领域。Tridium是Honeywell旗下独立品牌运作的子公司,开发了软件框架“NiagaraFramework”。基于Niagara框架,客户可以开发专有产品和应用,也可以集成、连接各种智能设备和系统,不受生产厂家和协议的影响,在实现设备互联的同时可以通过网络进行实时控制和管理。NiagaraAX平台时至今日已经整合了多种系统,例如建筑、园区的基础硬件设施、安防系统、访客管理、电网系统、设施管理等。NiagaraAX把这些设备和系统进行连接,使用TridiumNiagaraFox协议通信,具有极高的使用价值,因此排在第三位亦在意料之中。
EtherNet/IP是由ODVA(OpenDeviceNetVendorAssociation)指定的工业以太网协议,它使用ODVA已知的应用层“通用工业协议”(CIP)。CIP是一种由ODVA支持的开放工业协议,它被使用在例如EtherNet/IP等串行通信协议中。美国的工控设备制造商Rockwell/Allen-Bradley对EtherNet/IP进行了标准化处理,其他的厂商也在其设备上支持了EtherNet/IP协议。当前,EtherNet/IP的使用已经十分广泛,然而协议层面的安全问题仍值得我们重视。
BACnet是用于楼宇自动化和控制网络的简短形式的数据通信协议,亦是主要行业供应商产品中常用的自动化和控制协议之一,其目的是提高服务供应商之间的互操作性,减少因设备厂商的专有系统所造成的使用限制问题。此协议的泄露往往是由用户缺乏安全意识导致,意味着该IP对应的行业供应商的产品设备已经暴露,因此容易造成用户的网络安全隐患和财产损失。
同时,“谛听”网络安全团队每月都会收集俄乌暴露的设备数量情况,根据收集的数据,得到了俄罗斯和乌克兰自冲突爆发以来暴露的设备的数量变化情况。
从图5-6冲突前后俄罗斯各协议暴露设备数量来看,AMQP协议从冲突前到冲突开始持续到8月份变化幅度较大,总体呈现先降后升的趋势,后续趋于平缓;SiemensS7协议从冲突前至3月份呈现下降趋势,之后整体趋势呈现先升后降;IEC60870-5-104协议整体变化趋势与SiemensS7协议相同,但在11月至12月份突然呈现迅速上升的趋势,猜测与11月发生了工控事件有关;ilonSmart-server协议在5月份变化较大,10月份之后呈现下降趋势;其它协议整体的变化幅度不大。
从图5-7冲突前后乌克兰各协议暴露设备数量变化情况中我们可以看到,首先AMQP、Modbus、MoxaNport、XMPP以及SiemensS7等协议从冲突前到4月份变化较大,猜测是期间发生了重大的工控事件导致的。随后,除AMQP以外的四种协议在10月到12月份发生了小幅度的变化;其它两种协议没有变化。
如今,工业互联网的蓬勃发展给工业控制领域带来了新的发展机遇,与此同时也带来了新的网络安全问题。蜜罐技术是增强工控系统网络安全防护能力的有效方法,东北大学“谛听”网络安全团队对工控蜜罐技术展开了研究。经过多年努力,“谛听”网络安全团队研发出了可以模拟多种工控协议和工控设备并且全面捕获攻击者流量的“谛听”工控蜜罐。目前,“谛听”蜜罐支持11种协议,且已经部署在多个国家和地区。“谛听”网络安全团队在2021年进一步改进了基于ICS蜜网的攻击流量指纹识别方法(以下简称“识别方法”),有效地提高了识别各类针对工控网络的攻击流量的效率,并根据不同类型的攻击流量制定出更加有效的工控系统防御措施。
“谛听”工控蜜罐可支持ATGsDevices、DNP3、Modbus、EGD等11种协议,其中,EGD协议是今年新增的协议。目前“谛听”工控蜜罐已经部署在了中国华北地区、中国华南地区、东欧地区、东南亚地区、美国东北部等国内外多个地区。截止到2022年12月31日,“谛听”蜜罐收集到大量攻击数据。图6-1、6-2和6-3中展示了经过统计和分析后的数据。下面将对各个图表进行简要解释说明。
“谛听”团队首先对来自不同地区的蜜罐捕获的攻击流量数据进行初步分析,然后使用识别方法对Modbus、Ethernet/IP两个应用范围较广的协议进行攻击流量检测,并从每个协议在不同地区部署的蜜罐中选择最具代表性的两个地区进行攻击流量数据统计。
针对Modbus协议,我们选择了中国华东地区和美国东海岸地区部署的蜜罐,统计结果如表6-1、6-2所示。
针对Ethernet/IP协议,我们选择的是中国华南地区和美国西海岸地区部署的蜜罐,统计结果如表6-3、6-4所示。
“谛听”网络安全团队提出一种基于ICS蜜网的攻击流量指纹识别方法,针对Modbus、Ethernet/IP协议蜜罐捕获的流量数据进行了攻击类型识别。图6-4和图6-5分别显示了对Modbus和Ethernet/IP协议蜜罐捕获的攻击流量的攻击类型识别结果。其中的“E”表示Ethernet/IP协议,其中的“M”表示Modbus协议,由于国内和国外的蜜罐程序不同,“E”和“E’”同一编号表示不同的攻击类型,“M”和“M’”同一编号表示不同的攻击类型,环形图中各部分为不同的攻击类型。
Ethernet/IP协议蜜罐部署地区为中国华南地区和美国西海岸,两地区的经济发展迅速,高新技术产业发达,各种网络活动较频繁。蜜罐部署在经济科技发达地区,便于收集更多、更详细的攻击信息。由图6-4可知,中国华南地区的Ethernet/IP协议蜜罐捕获的攻击流量主要采用的攻击类型为E-1、E-2、E-3,其中E-1约占所捕获总流量的一半。美国西海岸地区的Ethernet/IP协议蜜罐捕获的攻击流量采用E’-1、E’-2、E’-3三种攻击类型,其中,E’-1以54%的高占比成为该地区Ethernet/IP协议蜜罐捕获的攻击流量的主要攻击类型。由此可见以上攻击类型是对Ethernet/IP协议蜜罐进行攻击的主要手段。
Modbus协议蜜罐部署地区为中国华东地区和美国东海岸,二者均为工业发达地区,蜜罐部署在该地区便于伪装隐藏,且易于收集更多的攻击信息。由图6-5可知,中国华东地区的Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M-1、M-2,其中M-1占到了41%。美国东海岸Modbus协议蜜罐捕获的攻击流量主要采用的攻击类型为M’-1、M’-2、M’-3,且相互之间占比差距较小。由此可见以上攻击类型是对Modbus协议蜜罐进行攻击的主要手段。本团队对Ethernet/IP和Modbus的ICS网络流量进行了解析、建模、评估,但其中还存在部分未知的攻击类型,针对未知的攻击类型还需进一步的研究,以便提供有效的ICS流量检测与攻击预警,评估其潜在的攻击意图,制定针对性的防御措施。
近年来,网络安全风险持续向工业控制领域扩散,工控网络也逐渐成为网络安全的重要一环。当前工控攻击具有类型丰富、途径泛滥、追踪困难等特点,传统的被动式防御手段“老三样”——防火墙、查杀病毒、入侵检测以及针对单点的攻击取证与溯源技术难以应对高级持续性威胁(APT)、新型高危漏洞等复杂安全威胁,而以威胁情报(TI)为基础的分析技术能够收集整合全球范围内的分散攻击与威胁,进而采取智能化的攻击响应措施,实现大规模网络攻击的防护与对抗,本团队也对2022全年采集到的大量威胁情报及蜜罐数据进行了关联分析。
首先,与2021年类似,2022年占蜜罐数据最多的攻击类型依然是“恶意IP”,达到了6.737‰(经过ln函数计算后),本团队认为发起代理IP、命令执行与控制攻击、垃圾邮件和洋葱路由攻击的攻击者IP在主观上均可以标识为“恶意IP”,这可能是“恶意IP”的关联占比最高的原因,未来工控产业可能需要更加严格地细分“恶意IP”的认证标准,将工控网络中的“恶意IP”概念与其他网络作准确的区别。
最后,通过“代理IP”进行攻击的情报数量在蜜罐数据中占比最小,本团队猜想:代理IP是一种特定的IP地址,用户购买代理IP并不代表可以随意使用,一般情况下会有特定的管理人员对代理IP进行管理,一旦发现某用户频繁通过该IP进行攻击,管理人员会对该IP进行回收,不再授予使用权;同时目前针对“代理IP”攻击的防护方案较为成熟,攻击者倾向于使用多种方式对工控系统进行立体攻击。
随着网络信息技术的飞速发展,互联网与工业融合创新不断推进,通信、金融、交通、能源等基础行业设施日益依赖于网络,并逐步与公共互联网连接。随之而来的是工业领域逐渐成为网络攻击重灾区,工业互联网安全防护急需加强与提升。
网络探针是一个用于捕获、分析网络数据包的组件,在确保网络信息产业的安全可控中有着重要的意义。由“谛听”网络安全团队研发的Honeyeye工控网络探针支持对30余种工控协议解析的同时,亦可进行数据预处理。
分析网络特征与行为是实现工控安全中一个重要的环节,因此获得有效且易于分析的数据至关重要。PCAP文件被广泛应用于网络流量存储,但因其文件格式是二进制格式,可读性较差。相较于现有的网络流量捕获系统(如TCPDump、Windump和Wireshark)只将捕获的原始二进制数据保存在PCAP文件中,Honeyeye能够将捕获的数据转换为所需格式对外输出。
从图6-7可以看出,相较与主流的网络流量解析工具Wireshark,本团队所研发的探针Honeyeye解析速度更快。Honeyeye可以捕获流量以及导入PCAP文件作为输入进行解析,输出结果以Json格式保存及传输到远端服务器,从而易于人阅读和编写,同时也易于机器解析,为下一步分析提供支撑。此外,Honeyeye可以作为插件被其他框架所整合,从而提高Honeyeye的可用性。
未来,本团队将继续致力于Honeyeye的改进,包括但不限于改进框架跨不同系统和网络运行的能力,以及收集防火墙日志和攻击者击键操作等其他信息的能力。
利用Honeyeye输出的数据进行网络安全态势可视化为用户监控网络环境、发现网络异常、定位故障节点等提供了便利。
目前,网络安全态势可视化还是一项刚刚发展的技术,通过可视化图形方式将网络中蕴含的态势展示给用户,方便用户对网络异常的检测、预防及处理。未来,基于大数据和人工智能的网络安全态势需要进一步探索,从而获得并展示更多、更深层次的数据,最终协助网络安全管理人员实现网络安全智能化管理。
随着近年来技术的发展,工业互联网的应用越来越广泛。工业互联网(IndustrialInternet)是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径,是第四次工业革命的重要基石。工业互联网不是互联网在工业的简单应用,而是具有更为丰富的内涵和外延。它以网络为基础、平台为中枢、数据为要素、安全为保障,既是工业数字化、网络化、智能化转型的基础设施,也是互联网、大数据、人工智能与实体经济深度融合的应用模式,同时也是一种新业态、新产业,将重塑企业形态、供应链和产业链[7]。
智能制造与工业互联网二者密不可分,相辅相成。根据工业互联网产业联盟(AllianceofIndustrialInternet,AII)发布的《工业互联网术语与定义》,智能制造(IntelligentManufacturing,IM)包含了智能制造技术和智能制造系统两方面。而智能制造的实现主要依托两个基础能力,一个是工业制造技术,主要包括了先进装备、先进材料和先进工艺等,工业制造技术是决定制造边界与制造能力的根本;另一个就是工业互联网。工业互联网包括智能传感控制软硬件、新型工业网络、工业互联网平台等,是充分发挥工业装备、工艺和材料潜能,提高生产效率、优化资源配置效率、创造差异化产品和实现服务增值的关键[8]。
图7-1工业互联网与智能制造的关系[9]
工业互联网是实现智能制造的基础,工业互联网主要通过五大技术来支持实现智能制造,包括工业软件技术、工业网络技术、工业平台技术、工业安全技术、工业智能技术[9]。智能制造依托工业互联网发展的同时,反过来也推动着工业互联网的改造与升级。制造自动化、智能化的宏伟目标,也在不断促进着工业互联网朝高速度、低延迟的方向发展。
产业数字化转型是利用数字技术进行全方位、多角度、全链条的改造过程,是利用数字技术破解企业、产业发展中的难题,重新定义、设计产品和服务,实现业务的转型、创新和增长[10]。产业数字化转型对推动我国经济高质量发展具有重要意义。
现阶段,工业互联网还需要融入更多行业,巩固跨界合作,提高深度与广度,为其他行业提供技术、方案支持,推进产业数字化全面向好发展。在未来,工业互联网创新将会继续带动我国产业的迭代创新,提升我国产业的核心竞争力。
电力系统作为重要的工业基础设施之一,便利了人民日常生活,也对社会稳定起到重大作用,由于电网系统的脆弱性和低攻击容忍性,一旦电力系统受到攻击,会对国家安全,人民安全产生巨大威胁。一些不法分子通过网络攻击来损害电网系统达到扰乱社会的目的。2019年3月,黑客组织利用电力系统漏洞对美国可再生能源电力SPower公司发动DDos攻击,攻击导致控制系统与太阳能和风力发电设备之间通讯中断。2020年,巴西电力公司LightS.A遭黑客入侵系统,并被勒索1400万美元的赎金。
随着信息化电网的建设,各种电力设备以网络为媒介互联互通,工业控制系统的开放程度越来越高,在为工业生产带来极大推动的同时,也减弱了电力工业控制系统与外界的隔离,致使外界攻击者可以通过互联网来攻击电网。
图7-2电力工业控制系统的安全防护体系[13]
2009年我国正式提出“智能电网”的概念,意图建设信息化,自动化的坚强智能电网,近年来已经成为了国家电网的主要发展方向。2022年7月,发改委、住建部印发《“十四五”全国城市基础设施建设规划》,其中提到开展城市韧性电网和智能电网建设。
智能电网也被称作“电网2.0”,是电网的智能化,是世界电力产业发展的体现,也是新能源发展实施的重要基础,具有智能化的信息架构,通过先进的测量技术、控制方法、决策系统,可以为人民提供安全、经济、环保的电力服务,其应具有高度的可自愈性,抵御攻击以及满足所有用户的用电需求。
随着工业互联网和传统电力系统的发展融合,需要加大对电网安全问题的注意,时刻防范针对电网的恶意攻击,守护国家安全。
能源产业是国民经济的重要基础工业,关系到国家战略储备,百姓日常生活。“重资产、资源型”的特点决定了其实践工业互联网的必要性和创新性。能源行业在自动化、信息化等方面已经有了一定程度的普及,PLC、传感器、DCS等较为完善[14]。
能源行业连续生产需要设备高可靠、安全运行,通过技术手段优化运行效率、实现节能降耗更是核心的工业需求[14]。工业互联网能够有效地满足上述需求,通过实时监测设备状态从而保证设备的可靠性、易控制性,设备不间断运行产生海量的工业时序数据在分析故障、分析产能以及分析能耗等方面起到重要的作用。
工业互联网的高速发展推动煤炭行业生产管理方式改革,并为煤炭行业发展助力。我国煤炭行业的变革已经从机械化走向了今天的自动化,但这并不意味着我国煤炭行业已无发展空间,各系统间协同合作程度低,不同技术难以整合等问题的解决需要工业互联网的支持。工业互联网的应用可实现实时掌控作业环境情况、提高设备工作效率、保障矿井工人安全等。但就目前来看,我国煤炭工业互联网还处于前期,未来技术创新、与煤炭行业适配任重而道远。
在新能源迅速发展的背景下,工业互联网的价值得到进一步地体现。构建新能源体系不仅是社会主义现代化强国的必然要求,同时对实现“双碳”目标意义重大[15]。然而,新能源开发利用仍存在一些制约因素,比如新能源各类设备种类杂、多系统间存在数据壁垒等问题[16],这与工业互联网的主攻方向恰恰契合。工业互联网的应用能够通过设备的自我监测和报备,将以往设备定期维护和检修转向预防为主的维护方式,从而降低了设备突发宕机的概率。此外,当设备发生故障时,工业互联网能够通过实时数据上报,快速定位告警、故障节点,达到缩短维修周期的效果。
纵观整个能源行业,工业互联网在实现降低能耗、智能管理、提高效率,最终达到降本增效的过程中起到至关重要的作用。但也因此,能源行业成为网络攻击重灾区,随着与工业互联网合作的持续深入,越来越多的网络安全问题也会接踵而至。所以,在能源行业应用工业互联网的过程中,需要考虑可能存在的网络安全问题以及注重网络安全防护。
工业互联网快速发展,逐渐与传统工业行业进行融合旨在推动传统工业向数字化与智能化方向转化,在交通基础设施建设行业也有所体现。在工业互联网的辅助下,交通基建企业可以设计协同管理等应用来提高施工质量、生产安全水平等,将工业互联网融合至工业生产过程以及运行管理模块,利用新型信息技术弥补传统工业模式上的不足,提高企业整个生产的效率并保障生产过程的安全。
在城市交通的地铁领域中,工业互联网已应用于地铁综合监控系统的搭建,该系统包含中央综合监控系统以及车站综合监控系统,并由综合监控系统骨干网连接而成。中央综合监控系统致力于保证交通各线路上的各车站的各个子系统都能够处于正确的运行状态并正确实现中心级下达的操作控制功能指令,该系统被安装于线路控制中心处;车站级监控网则是具有双冗余高速交换特点的以太网,其数据传输速率可以高达100Mbit/s或1000Mbit/s。图7-3则为一个典型的综合监控系统架构示例图,该系统构建在广域网上,也是地理分散的大型SCADA系统。
图7-3典型的综合监控系统架构图[17]
随着工业互联网应用范围的不断扩大,工控领域面临的安全风险不断增加。2022年工控安全事件频发,各类网络攻击威胁持续上升。这些攻击行为涉及到各行各业,给个人、企业、国家带来了不同程度的损失。值得注意的是,针对关键基础设施的攻击呈现上升态势,加强关键基础设施安全工作刻不容缓。基于以往的工控安全形势,工控系统行业漏洞数量呈逐年下降的趋势。相比于2021年,全球在工控设备暴露数量方面的排名除前两名外发生了较为明显的变化,各国工控设备暴露数量有所回升。通过威胁情报和蜜罐数据的关联分析,进一步体现了威胁情报在工控网络安全领域中具备极高的应用价值。
万物互联时代,工业互联网的发展与普及无论从政策制定层面还是实际落地层面都得到了国家的大力支持。建立安全保障体系,提高安全防护水平,对工业互联网的创新发展具有重要意义。在未来,工业互联网将持续为智能制造与产业数字化转型赋能,促进与各行业的融合创新应用,为推进新型工业化、构建现代化基础设施体系提供强劲动力。
[1]国家信息安全漏洞共享平台工业控制系统漏洞列表[EB/OL].
“谛听”网络安全团队,由东北大学姚羽教授带领课题组师生组建,依托复杂网络系统安全保障技术教育部工程研究中心,被辽宁省工信委授予“辽宁省工业信息安全支撑单位(首批)”,包括3名博士,7名博士研究生,23名硕士研究生。团队的研究方向为工业互联网安全,重点研究内容主要包括工业互联网安全测绘、工业流量探针、工业流量异常检测、工控蜜罐/蜜网、威胁情报、工业安全态势感知等。课题组发表学术论文50余篇,专利8项,软件著作权2项,主编国内首部工业信息安全专著《工控网络安全技术与实践》,获省部级以上科技奖励二项、中国国际互联网+大学生创新创业大赛国奖及省级金奖、“挑战杯”辽宁省大学生创业计划竞赛金奖、中国高校计算机大赛网络技术挑战赛特等奖、ChinaVis数据可视化分析挑战赛一等奖等,制定国家、地方标准3项,连续6年发布《工业控制网络安全态势白皮书》。