2021-2022中国工业互联网安全态势报告.pdf_报告吧baogao8.com-

资源描述

2021-2022中国工业互联网安全态势报告目录前言 . 1 第一章中国工业互联网安全发展现状 . 3 1.1 中国工业互联网发展情况 . 3 1.2 中国工业互联网安全发展情况 . 4 1.2.1 工业互联网安全概述 . 4 1.2.2 工业互联网安全进展 . 5 第二章国外工业互联网安全发展现状 . 13 2.1 美国工业互联网安全进展 . 13 2.2 其他国家组织协会工业互联网安全进展 . 15 第三章中国工业互联网安全威胁现状 . 17 3.1 工业互联网安全风险综述 . 17 3.2 工业互联网设备安全威胁统计 . 18 3.2.1 工业主机安全风险 . 18 3.2.2 工业控制设备安全风险 . 26 3.2.3 数控设备安全风险 . 38 3.2.4 工业机器人安全风险 . 44 3.2.5 工业物联网设备安全风险 . 63 3.3 工业互联网网络威胁统计 . 71 3.3.1 标识解析系统安全 . 71 3.3.2 5G 网络安全威胁 . 89 3.4 工业 APP 的安全风险 . 98 3.5 工业数据安全风险 . 100 3.6 2020 工业互联网安全态势总结与分析 . 103 第四章国内外重点工业互联网安全事件 . 105 4.1 国内外典型工业安全事件统计 . 105 4.2 工业互联网行业维度威胁统计 . 113 4.2.1 石油化工 . 113 4.2.2 电力行业 . 115 4.2.3 智能制造业 . 120 4.2.4 市政（燃气与水务） . 125 4.2.5 能源行业 . 126 4.2.6 交通行业 . 129 4.2.7 核行业 . 136 4.2.8 化工行业 . 137 4.2.9 医疗行业 . 138 4.2.10 电信行业 . 138 4.3 2020 工业安全典型事件分析 . 140 4.3.1 针对我国贸易与制造行业的钓鱼邮件分析 . 140 4.3.2 工业企业遭受产品供应链攻击事件 . 146 4.3.3 本田遭受 Ekans 勒索软件攻击的分析 . 150 4.3.4 美天然气运营商遭勒索攻击概述 . 153 第五章重点行业工业互联网安全案例 . 168 5.1 典型案例一某智能制造场景数据安全防护应用 . 168 5.1.1 工业数据安全风险 . 168 5.1.2 数据安全网关应用 . 170 5.2 案例二：智能工厂的的网络安全综合防护 . 172 5.2.1 案例概述 . 172 5.2.2 智能工厂典型安全问题 . 173 5.2.3 智能工厂基于人工智能技术的威胁检测与免疫解决方案 174 5.2.4 案例小结 . 182 5.3 典型案例二智慧矿山工业互联网安全纵深防御体系建设 . 183 5.3.1 事件概述 . 183 5.3.2 安全威胁 . 183 5.3.3 防护建议 . 184 第六章中国工业互联网安全发展趋势 . 187 6.1 政策扶持将从顶层设计阶段步入落地深耕阶段 . 187 6.2 中国工业互联网安全标准体系建设将继续完善 . 187 6.3 中国智能化安全防护新技术将得到进一步发展 . 188 6.4 中国工业互联网平台内生安全能力将演进成熟 . 188 6.5 中国工业互联网数据安全将成为最重要的环节 . 189 6.6 中国自主可控安全产品与服务体系将加快构建 . 190 附录 . 191 附录一：国内外工业安全相关政策一览表 . 191 附录二：国内外工业安全相关标准一览表 . 194 参考文献 . 200 1 前言中国工业互联网在 2020 年得到进一步发展，已广泛应用于电子制造、机械、石化、钢铁、汽车、航空航天、船舶制造、发电等不同垂直行业。工业互联网已经开始改变产业链的运行模式和产业生态、渗透到产业链的各个环节，推动着产业链的在需求、设计、生产、物流、销售、服务再到需求的闭环和优化。但是，工业互联网在改变产业生态的同时，也面临更多的安全性的挑战，在 2020 年里国内外也出现了很多工业互联网相关的漏洞、安全威胁以及较重大的安全事件。为使广大工业互联网从业者清晰地了解工业互联网面临的安全风险与挑战，工业互联网产业联盟安全组组织编写了 2020年版的中国工业互联网安全态势报告，报告从工业互联网安全现状、标准与政策、漏洞威胁、安全事件分析、安全态势等多方面进行了深入的调研分析，以期引起各界对工业互联网安全的广泛关注，保障工业互联网的未来健康发展。本报告是在工业和信息化部网络安全管理局指导和支持下，由工业互联网产业联盟安全组多家企事业单位联合编写完成。报告的牵头单位是北京六方云信息技术有限公司，主要参与单位有：中国信息通信研究院、中国电子信息产业集团有限公司第六研究所、中国移动通信集团有限公司、启明星辰信息技术集团股份有限公司、奇安信科技集团股份有限公司、 360政企安全集团、 2 中国电信集团有限公司、中科院信息工程研究所、杭州安恒信息技术股份有限公司、绿盟科技集团股份有限公司、北京梆梆安全科技有限公司、恒安嘉新 (北京 )科技股份公司、北京东方通网信科技有限公司、亚信科技（成都）有限公司、杭州立思辰安科科技有限公司、北京双湃智安科技有限公司、北京交通大学、鞍钢集团自动化有限公司。参与本报告编写的专家有：魏亮、谢玮、田慧蓉、柯皓仁、李江力、马娟、刘晓曼、秦国英、董悦、陶耀东、张峰、邱勤、王绍杰、王弢、李转琴、何国锋、李航、卢佐华、孟雅辉、韩峰、王智民、于乐、谷宝晶、雷慧桃、崔君荣、闫兆腾、王进法、武蕊、叶鹏、张帆、王延华、徐艳军、夏林、苏凯旋、张愉、吴诗雨、赵学全、张子钰、周永权、武中力、崔婷婷、苗维杰、谭琳、王泽政、袁祥、袁森、谭曙光、白小愚。 3 第一章中国工业互联网安全发展现状 1.1 中国工业互联网发展情况 2020年是中国工业互联网发展三年起步阶段的收官之年，在政产学研用各方的大力推进下，中国工业互联网发展顶层设计逐步完善，基础设施不断夯实，融合应用持续深化，产业生态日益繁荣，在推动制造业数字化转型和高质量发展中的作用日益彰显。一是顶层设计逐步完善。国务院印发关于深化“互联网 +先进制造业”发展工业互联网的指导意见，成为推动工业互联网发展的纲领性文件。工业和信息化部出台工业互联网发展行动计划（ 2018-2020年）关于推动工业互联网加快发展的通知以及网络、平台、安全等落地性指导性文件，联合相关部门出台工业互联网专项工作组 2020年工作计划，持续强化工业互联网新型基础设施建设。 31个省（区、直辖市）及重点地市持续出台支持工业互联网发展的相关政策，“ 1+N”的工业互联网政策体系初步形成。二是体系建设全方位突破。工业互联网网络覆盖范围不断扩张，“ 5G+工业互联网”规模化发展，高质量外网覆盖 300多个地市，建成“东西南北中”五大国家顶级节点、百余个二级节点，接入企业近 1万家。平台的供给能力持续增强，国内工业互联网平台已有 600余家，具备一定行业、区域影响力的平台数量已接近 100个，工业 APP创新步伐明显加快。安全保障体系加速构建，国家、省、企业三级工业互联网安全监测体系初步构建，政府指 4 导、部门协同、企业主责的安全管理体系加快落地，重点行业安全监测感知、测试验证和公共服务平台深化建设应用，全国工业互联网安全技术技能大赛如火如荼举办，安全人才、产品和服务供给能力不断增强。三是融合应用不断深化。工业互联网应用向钢铁、机械、交通、能源等 30余个国民经济重点行业拓展，加速传统产业改造升级，助力企业加快数字化转型步伐，提质降本增效成效明显。同时，工业互联网应用领域由生产外围环节向内部环节不断深入，涌现出平台化设计、智能化生产、网络化协同、个性化定制、服务化延伸、数字化管理等新模式、新业态，行业价值空间不断拓展。四是产业生态日益壮大。各地积极探索各具特色的发展路径，充分发挥人才、资本、技术等各类要素作用，支持工业互联网发展，形成了具备不同特色的工业互联网产业创新发展高地。工业互联网产业联盟集聚工业、通信业、互联网等各类型主体近2000家，引领跨界行业企业在标准研制、技术创新、应用探索、国际合作等方面协同突破，一二三产业、大中小企业融通发展的格局日益形成。 1.2 中国工业互联网安全发展情况 1.2.1 工业互联网安全概述工业互联网安全是工业生产运行过程中的信息安全、功能安全与物理安全的统称，涉及工业互联网领域各个环节，其核心任务就是要通过监测预警、应急响应、检测评估、功能测试等手段 5 确保工业互联网健康有序发展。工业互联网安全需要统筹考虑信息安全、功能安全与物理安全，聚焦信息安全，主要解决工业互联网面临的网络攻击等新型风险，并考虑其信息安全防护措施的部署可能对功能安全和物理安全带来的影响。由于物理安全相关防护措施较为通用，故不作重要考虑，工业互联网安全主要聚焦信息安全与功能安全。当前，随着全球网络安全形势深刻变化以及工业互联网深度融合形态快速发展，工业互联网安全形势更加复杂严峻，总体来看，工业互联网安全有四个特征。一是涵盖主体多，工业互联网安全从工厂外部扩展延伸至工厂内部，包含设备安全、控制安全、网络安全、应用安全以及数据安全。二是影响范围广，工业互联网联通了工业现场与互联网，使网络攻击可直达生产一线。三是造成损失大，网络安全和生产安全交织，安全事件危害更严重。工业互联网一旦遭受攻击，不仅影响工业生产运行，甚至会引发安全生产事故，给人民生命财产造成严重损失，若攻击发生在能源、航空航天等重要领域，还将危害国家总体安全。四是防护复杂多样，工业互联网安全防护思路需在分域隔离基础上，同步加强动态、协同、体系化安全防护。 1.2.2 工业互联网安全进展工业互联网作为我国“新基建”战略的重点领域之一，是新一代信息技术与工业经济深度融合的全新经济生态、关键基础设施和新型应用模式，主要包括网络、平台及安全三大部分。其中，安全作为工业互联网的发展的前提和保障，事关经济发展、社会 6 稳定和国家安全。政产学研用各方通力协作，我国工业互联网安全呈现良好发展态势。 1.2.2.1 工业互联网安全相关政策 2020年 2月 27日，工业和信息化部出台了工业数据分类分级指南（试行），主要包括总则、数据分类、数据分级、分级管理四大部分，适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作，指导企业全面梳理自身工业数据，提升数据分级管理能力，促进数据充分使用、全局流动和有序共享。 2020年 3月 20日，工业和信息化部出台了工业和信息化部办公厅关于推动工业互联网加快发展的通知，明确提出加快新型基础设施建设、加快拓展融合创新应用、加快健全安全保障体系、加快壮大创新发展动能、加快完善产业生态布局和加大政策支持力度等 6 个方面 20 项措施。加快健全安全保障体系包括建立企业分级安全管理制度，完善安全技术监测体系，健全安全工作机制，加强安全技术产品创新等重要举措，为工业互联网下一个五年发展奠定坚实基础。 2020 年 5 月 8 日，工业和信息化部印发了工业和信息化部办公厅关于深入推进移动物联网全面发展的通知，提出加快移动物联网网络建设、加强移动物联网标准和技术研究、提升移动物联网应用广度和深度、构建高质量产业发展体系、建立健全移动物联网安全保障体系等 5 个方面 11 项具体任务，推动移动互联网产业全面、健康、快速发展。 7 2020年 5月 13日，工业和信息化部发布关于工业大数据发展的指导意见，针对数据汇聚、数据共享、数据应用、数据治理、数据安全、产业发展 6 个方向设置了 18 项重点任务，精准施策，务实有序推动工业大数据发展，加快工业数字化转型进程，共建共创工业大数据生态。 2020年 6月 30日，中央深化改革委员会审议通过关于深化新一代信息技术与制造业融合发展的指导意见，提出加快推进新一代信息技术和制造业融合发展，顺应新一轮科技革命和产业变革趋势，以智能制造为主攻方向，加快工业互联网创新发展，加快制造业生产方式和企业心态根本性变革，提升制造业数字化、网络化、智能化发展水平，为我国制造业融合发展指明了方向。 2020年 7月 10日，工业和信息化部发布工业互联网专项工作组 2020 年工作计划，包括提升基础设施能力、构建标识解析体系、建设工业互联网平台、突破核心技术标准、培育新模式新业态、促进产业生态融通发展、增强安全保障水平等十大方向的 54项具体举措。 2020年 10月，工业和信息化部和应急管理部联合印发工业互联网 +安全生产”行动计划（ 2021-2023），明确了建设“工业互联网 +安全生产”新型基础设施、打造基于工业互联网的安全生产新型能力、深化工业互联网和安全生产的融合应用、构建“工业互联网 +安全生产”支撑体系 4个方面的重点任务，提出到 2023年底，工业互联网与安全生产协同推进发展格局基本 8 形成，工业企业本质安全水平显著增强。 2020 年，为加强工业互联网企业差异化、精细化管理，推动企业落实网络安全主体责任，提高网络安全防护能力和水平，促进工业互联网高质量发展，工业和信息化部编制了工业互联网企业网络安全分类分级管理指南（试行）及 3个配套实施附件及 4 项标准规范，加快建立工业互联网企业分类分级管理机制。 1.2.2.2 工业互联网安全相关标准 2020 年，我国加速推进工业互联网安全标准研制，全国通信标准化技术委员会开展工业互联网安全标准相关标准研制 30余项，包括数据、平台、应用程序和安全管理等方面的安全防护和检测标准。紧密围绕工业互联网安全重点领域工作主线，研制形成一系列重要标准规范指南。工业互联网企业网络安全分类分级安全防护方面，形成分类分级试点标准框架，联网工业企业安全防护规范工业互联网平台企业安全防护规范工业互联网标识解析企业安全防护规范工业互联网企业数据安全保护规范等已形成标准草案初稿，推动国标立项进程。同时，在中国通信标准化协会（ CCSA）工业互联网特设组（ ST8）的安全工作组（ WG5）成功立项工业互联网企业网络安全分类分级方法等标准规范。工业互联网安全监测技术手段建设方面，工业互联网平台企业安全态势感知平台技术要求工业互联网平台企业安全态势感知平台接口规范工业互联网标识解析企业安全态势感知 9 平台技术要求工业互联网标识解析企业安全态势感知平台接口规范工业互联网网络安全服务类平台接口规范等标准规范提交立项，并启动编制工作。推动工业互联网平台及数据等重点领域安全标准报批。工业互联网安全防护总体要求、工业互联网平台安全防护要求、工业互联网数据安全保护要求三项标准进行报批公示。工业互联网安全防护总体要求从设备安全、控制安全、网络安全、应用安全、数据安全等方面为工业互联网安全防护提供指导；工业互联网平台安全防护要求从平台接入层安全、基础设施层安全、平台层安全、应用层安全等规定了工业互联网平台安全防护的总体要求；工业互联网数据安全保护要求规定了工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法，规定了低 /中 /高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。工业控制安全相关国家标准正式实施。信息安全技术工业控制系统产品信息安全通用评估准则信息安全技术工业控制系统安全检查指南信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法信息安全技术工业控制系统专用防火墙技术要求信息安全技术工业控制网络监测安全技术要求及测试评价方法信息安全技术工业控制系统网络审计产品安全技术要求等相关标准正式实施，标准 10 适用于工业控制系统安全检查、安全产品设计、开发及测试。此外，在一些其他网络安全标准和工业互联网标准中也有涉及工业互联网安全方面， 2020年 4月，国标信息安全技术网络安全等级保护定级指南发布（以下简称“定级指南”）。定级指南指出云计算平台 /系统，物联网，工业控制系统，采用移动互联技术的系统，通信网络设施，数据资源都属于强制定级备案范畴。随着我国信息化进程的全面加快，全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高，网络安全等级保护制度作为我国网络安全领域的基本国策、基本制度，严格落实网络安全等级保护测评工作已经逐渐成为各行业必备。 1.2.2.3 工业互联网安全相关技术整体来看，目前我国工业互联网安全技术的发展处于在传统网络安全技术基础上加以改进和融合的阶段，工业互联网安全产业各方密切关注技术发展动向，持续研发新技术，助力工业互联网安全保障。结合工业场景特点，借鉴传统互联网安全技术的相关方法，定制适合工业互联网防护对象的安全技术。例如，部署在企业管理网和生产控制网边界处的工业防火墙实现工业协议指令级防护，深度解析 OPC协议到指令级别，跟踪 OPC服务器和 OPC客户端之间协商的动态端口，最小化开放生产控制网的端口，提升基于 OPC协议的工业控制系统的网络安全。针对不同行业和工业场景定制适合的安全技术，如电力行业安全技术的部署遵循“安全 11 分区、网络专用、横向隔离、纵向认证”的总体原则；在石油炼化工业控制系统中对网络边界、区域、主机等进行安全防护，提升生产网防攻击、阬干扰能力，有效保护生产系统的安全、稳定运行。工业互联网安全技术不断融合新技术，实现主动防御。随着区块链、 AI、大数据、可信计算等技术的发展，工业互联网安全技术与这些新技术进行有机融合，定制适用的安全策略，保障工业互联网安全。目前，基于技术大数据的工业互联网安全态势感知技术，通过海量工业数据检索、日志采集、流量分析、自动定位、可视回溯等环节实现工业互联网安全态势感知，利用 AI等技术智能化、自动化发现高级威胁，主动发现安全漏洞、检测恶意文件、判定恶意家族、监测加密攻击、辅助快速调查，实现工业互联网安全风险可知化、可视化、可控化。打造内生安全技术能力，助力工业互联网安全建设。传统局部与外挂的安全防护能力已不能满足安全需求，亟需提升工业互联网内生安全能力，保障工业互联网安全，实现网络安全能力和工业信息化环境的融合。建议在工业互联网系统规划、建设和运维的过程中同步考虑安全能力的同步建设；网络安全企业与系统设备提供商、工业头部企业强强联合，打造具备内嵌安全功能的设备产品，实现工业生产系统和安全系统的聚合；企业针对业务特性，立足于安全需求开展安全能力建设，实现工业互联网安全的自适应与自成长，动态提升工业互联网安全能力。 1.2.2.4 工业互联网安全产业情况 12 2020 年 8 月，中国信通院发布工业互联网产业经济发展报告（ 2020年）指出，预计 2020年，我国工业互联网产业增加值规模将达到 3.78 万亿元，占 GDP 的比重将升高至 3.63%，工业互联网安全产业存量规模由 2017年的 13.4亿元增长至 2019年的 27.2亿元，年复合增长率高达 42.3%，呈现蓬勃发展趋势。试点示范方面， 2020 年 8 月，工业和信息化部启动网络安全技术应用试点示范工作，工业互联网安全作为其中一个重点方向，最终遴选出 26 个项目，包括面向钢铁行业的工业互联网安全一体化平台、工业互联网数据安全智能监测平台等。联盟协会方面，工业互联网产业联盟、行业协会等充分发挥资源汇聚、供需对接桥梁纽带作用，持续开展工业互联网安全技术与产业研究，发布工业互联网安全体系架构 2.0、 2019中国工业互联网安全态势报告、工业互联网安全解决案例汇编（ V3.0）等系列白皮书及研究报告，共同研制联盟标准及实施指南，多方面引领产业安全建设。产业经济方面， 2020年工业互联网安全领域融资状况良好，六方云、北京珞安科技完成数千万元 B轮融资，产业科技、融安网络、博智安全获得亿级融资，浙江中控技术在上交所科创板上市，市场呈现繁荣发展局面。协同合作方面，为更好地构建行业企业工业互联网安全防护体系，多家工业互联网安全企业推出相关安全产品与解决方案并与工业互联网企业达成合作，跨领域跨行业合作已经成为发展大趋势。 5月下旬奇安信与中汽数据达成战略合作，共同加强智能 13 网联汽车信息安全建设， 5月底三六零与南京理工大学签合作协议共建智能网联汽车信息安全实验室， 6月初天翼物联与信通院开展物联网安全合作交流， 6月中旬研华与运营技术网络保护解决方案的提供商 Mocana 合作物联网边缘设备安全解决方案， 6月中旬 360网络安全大学与北京航天智造达成战略合作，助力工业互联网安全人才培养。人才培育方面，为深入贯彻落实工业互联网创新发展战略，大力培育高素质网络安全技术技能人才，工信部、人社部、中华全国总工会、共青团中央四部门共同主办了国家级一类职业技能大赛 2020 年全国工业互联网安全技术技能大赛，吸引了来自全国各地方各行业领域的 5279 支队伍、 15837 名选手参赛，比赛锻炼了参赛队伍，提升了参赛选手的水平，也加大了工业互联网安全人才培育的宣传力度。第二章国外工业互联网安全发展现状 2.1 美国工业互联网安全进展美国政府层面积极发布电力、化工等重点领域工业互联网安全法规文件，强化关键领域系统设备网络安全。 2020年 5月，美国白宫颁布确保美国大容量电力系统安全行政令，责令政府机构排查大容量电力系统的安全风险，禁止美国购买可能对国家安全造成风险的海外电力设备。同月，美国政府问责办公室发布需采取行动加强国土安全部对高危化工设施网络安全的监督审计报告，总结了化工设施信息和过程控制系统存在的网络资产保护不当、蓄意或敌对威胁、网络威胁攻击者等多种风 14 险，并对如何改进“化学设施反恐标准”提出了六条建议。2020年 7月，美国网络安全和基础设施安全局（ CISA）发布了工业控制系统 5年战略确保工业系统安全：统一计划， CISA通过与关键基础设施所有者和运营者合作保障工业控制系统网络安全，提高预测、优先处理和管理国家级工控系统风险的能力。 2020年 12月，美国国会正式通过 2020年物联网网络安全改进法案，要求美国国家标准技术研究院（ NIST）后续发布联邦政府使用物联网设备的安全标准及漏洞信息共享标准，要求美国联邦机构和供应商仅使用符合标准的物联网设备，并指示白宫管理和预算办公室（ OMB）审查政府政策以确保符合 NIST标准，意味着美国在物联网安全方面迈出了重要一步。美国机构层面高度关注物联网设备安全相关标准指南的研制，积极制定工控、电力等重点领域安全防护最佳实践。 2020年 5月，美国网络安全和基础设施安全局、能源部和英国国家网络安全中心联合发布工业控制系统网络安全最佳实践，总结了工业控制系统常见的风险考虑因素、短期和长期的网络安全事件影响、保护工业控制系统流程的最佳做法。同月， NIST发布物联网设备网络安全能力核心基准，定义了物联网设备网络安全能力的核心基准，介绍了包括设备识别、设备配置、数据保护、接口的逻辑访问、软件更新以及网络安全状态感知等六方面的物联网设备网络安全能力，分别对每项能力的共性特点和基本原理进行了阐述。 2020年 9月，美国联邦能源管理委员会和北美电力可靠性公司发布电力公司网络安全事件响应与恢 15 复最佳实践，为电力行业提供网络攻击事故响应和恢复计划参考。美国联盟层面借助工业互联网联盟（ IIC）继续深入开展工业互联网安全实践工作。 2020年 3月，美国 IIC发布软件可信度最佳实践，为工业互联网系统的开发人员、所有者、运营者和决策者提供了软件可信度的高层次概述，从识别、处理、管理和减轻风险等方面提供可信软件开发实用、可操作的最佳实践。 2020年 8月，美国 IIC发布物联网安全成熟度模型：销售终端设备（ Point-of-Sale Devices）零售配置文件，作为物联网安全成熟度模型：从业者指南的行业延伸配置文件，为销售终端（ POS）设备零售机构提供适用性强的物联网安全成熟度模型框架。 2.2 其他国家组织协会工业互联网安全进展欧洲： 2020 年 6 月，欧洲电信标准化协会（ ETSI）网络安全技术委员会发布全球物联网安全标准（ ETSI EN 303 645），包括 13 条关于联网物联网设备及其相关服务的安全性的规定，以及 5条针对物联网设备的具体数据保护条款，为联网工业物联网设备和消费者物联网设备建立了安全基线，并为未来物联网安全认证体系提供了基础。 2020年 11月，欧盟网络安全局（ ENISA）发布物联网安全准则，提出了建立更好的物联网安全合作关系、加强网络安全专业知识普及、改善物联网设计标准等 5条建议，帮助物联网制造商、开发商、集成商及所有物联网供应链的利益相关者在构建、部署或评估物联网技术时做出最佳决策。 16 2020年 12月，欧盟委员会和外交与安全政策联盟高级代表发布欧盟数字十年的网络安全战略，包含法规、投资和政策工具方面的相关建议，对应欧盟行动的三个领域：（ 1）韧性、技术主权和领导力；（ 2）建立预防、制止和应对的行动能力；（ 3）推进全球开放的网络空间。德国： 2020年 12月，德国联邦政府通过信息技术安全法修订草案，要求除能源、供水等关键基础设施运营商外，国防工业和其他对国民经济具有特别重要意义的更多企业将被要求使用网络入侵检测系统，并履行网络安全风险报告义务，旨在进一步提高全国网络信息安全。日本： 2020年 8月，日本经济产业省和总务省颁布数字化转型时代企业的隐私管理指南 1.0，主要围绕 Society5.0时代和企业的重要性、关于个人隐私保护的构思、企业隐私管理的重要性、经营者应致力的三大要件以及隐私管理的重要事项等几个重点方面，为企业数字化转型中的隐私保护活动和个人隐私管理提供指引。澳大利亚： 2020 年 9 月，澳大利亚政府发布行为准则：保障消费者物联网安全。提出了不使用默认密码或弱口令、使用多因素身份验证、漏洞披露政策等 13 项自愿行为准则，适用于所有联网收发数据的物联网设备，旨在为物联网设备提供设计网络安全功能的最佳实践指南。 17 第三章中国工业互联网安全威胁现状 3.1 工业互联网安全风险综述工业互联网是新一代信息通信技术与现代工业技术深度融合的产物，是制造业数字化、网络化、智能化的重要载体，它并不是独立于互联网环境的特殊个体，因此，传统的互联网漏洞风险，都会在不同层次对在工业互联网环境里的主机、网络、各类应用系统造成危害。综合参考了 Common Vulnerabilities & Exposures（ CVE）、National Vulnerability Database（ NVD）、中国国家信息安全漏洞共享平台（ CNVD）及国家信息安全漏洞库（ CNNVD）所发布的漏洞信息，可以看到， 2020 年的互联网漏洞数量仍然是呈增加趋势，截至 2020年 12月，中国国家信息安全漏洞库（ CNNVD）新增漏洞 17900 个，国家信息安全漏洞平台（ CNVD）新增漏洞18004个，如图 3-1和图 3-2所示。图 3-1 2020年 CNNVD的漏洞新增数量 18 图 3-2 2020年 CNVD漏洞新增数量 3.2 工业互联网设备安全威胁统计 3.2.1 工业主机安全风险随着企业信息网络的深入应用与日臻完善，现场控制信息进入信息网络实现实时监控是必然的趋势。为提高企业的社会效益和经济效益，许多企业都在尽力建立全方位的管理信息系统，它必须包括生产现场的实时数据信息，以确保实时掌握生产过程的运行状态，使企业管理决策科学化，达到生产、经营、管理的最优化状态。在此趋势下，越来越多的工业主机应用到了工业环境中。这些工业主机都使用通用操作系统（ Windows 或 Linux），据不完全统计，在工业环境里， Windows 操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数。随着黑客水平的不断提高，攻击工具的泛滥，企业网络日益开放大量工业主机暴露在互联网上，操作系统的漏洞风险被无限放大，会对工业企业的正常生产经营造成无法估量的威胁。通过 360的大数据统计分析还发现，未来勒索软件将成为工控系统的主要威胁之一。越来越 19 多的勒索软件组织开始将数据盗窃和勒索操作纳入其攻击技术中，与通过泄露知识产权和其他关键数据破坏操作相比，勒索软件带来的影响和损失可能更大。未来工业互联网主机安全风险依然严峻。 3.2.1.1 2020 年病毒感染情况统计 12 2020年， 360安全能力中心共截获病毒样本总量 7.82 亿个，病毒感染次数 768.71亿次，病毒感染次数比 2019 年同期下降10.46%。其中木马病毒 2.14亿个，为第一大种类病毒，占到总体数量的 30%；排名第二的为蠕虫病毒，数为 1.36亿个，占总体数量的 19%；排名第三的为感染病毒，数为 1.2亿个，占总体数量的17%；排名第四的为 Heur（自定义病毒），数为 0.97亿个，占总体数量的 14%；排名第五的为后门病毒，数为 0.73亿个，占总体数量的 10%；广告、释放、工具类、窃取密码类等病毒，分别占总体数量的 3%、 3%、 2%和 2%。图 3-3 2020年病毒类型统计 20 相关统计数据表明， 2020年内，广东省病毒感染次数为102.64亿次，位列全国第一，其次为江苏省及上海市，分别为55.43亿次及 54.58亿次。图 3-4 2020年病毒感染地域分布（单位：亿次）其中勒索软件感染人次按地域分析，河南省排名第一，为2.86千万，第二为广东省 1.85千万，第三为浙江省 1.55千万。（在2020年， 360截获勒索软件感染次数为 12.05 千万次，其中河南省感染 2.86千万次，位列全国第一，其次为广东省 1.85千万次，浙江省 1.55千万次及上海市 1.33千万次） 21 图 3-5 2020年勒索软件感染地域分布（单位：千万次）对比 2019 年勒索软件感染统计，可以看到 2020年 Top10地区，河南、浙江、上海、贵州、四川、广西等地感染次数均有上升。勒索病毒的威胁依然存在，工业环境仍然面临较大威胁，工业用户需要做好必要的安全防控措施。图 3-6 2018-2020年勒索软件感染地域对比统计（单位：千万次） 3.2.1.2 2020年工业主机典型漏洞说明以下是 2020 年内发现的 Windows 操作系统典型漏洞。 1、 CVE-2020-0601 Windows CryptoAPI验证绕过漏洞 22 2020年 1月 15日， Microsoft发布了月度补丁更新列表，其中其中存在一个位于 CryptoAPI椭圆曲线密码 (ECC)证书检测绕过相关的漏洞 (CVE-2020-0601)，该漏洞为 NSA发现并汇报给微软。 CVE-2020-0601 漏洞原理在于， win10 增加了对带参数 ECC密钥的支持，但在 crypt32.dll 中做签名验证时，只检查匹配的公钥 Q，而没有检查生成元 G。公钥 Q = dG， d 是私钥。由于 win10 支持自定义生成元 G，攻击者可以提供 G = Q， d = e（单位元），使得公钥 Q = dG = dG。这两对（ Q, G） -（ Q, G）中公钥 Q 相同， G 与 G 不同，由于验证缺陷，只检测公钥 Q。从而，攻击者用自己的私钥 d 签名，会被验证通过，认为是官方私钥 d 做出的签名。伪造的 Q = dG，在验证签名时过程如下：假设 exe文件 A 的 hash值是 X，用伪造的私钥 d 签出的值是 Y，验证时，用公钥 Q 求解 Y 得到 X，和 exe的 hash值一致，认证通过，系统认为签名正确，完成绕过。利用此漏洞可以使用伪造的证书对恶意的可执行文件进行签名，使文件看起来来自可信的来源，或者进行中间人攻击并解密用户连接到受影响软件的机密信息。 2、 CVE-2020-0796 “蠕虫型 ”远程代码执行漏洞 2020 年 3 月，海外厂家发布安全规则通告，通告中描述了一处微软 SMBv3 协议的内存破坏漏洞，编号 CVE-2020-0796。CVE-2020-0796 是存在于微软服务器消息块 3.0 (SMBv3)协议中的蠕虫级漏洞。 23 安全公司 Cisco Talos 和 Fortinet，在其网站上公布了 CVE-2020-0796漏洞的技术细节。该漏洞是由 SMBv3处理恶意压缩数据包时进入错误流程造成的，远程攻击者可以利用该漏洞在应用程序上下文中执行任意代码。该漏洞与“ Eternal Blue”都是存在于 smb协议的漏洞，并且是远程可利用漏洞，或将成为下一代勒索病毒攻击目标首选方式。由于该漏洞与“ Eternal Blue ”相似，推特已经开始尝试将其命名为“ Corona Blue”。 3、 CVE-2020-0684 LNK漏洞 2020年 3月 11日，微软发布当月安全公告，其中包括 “震网级” LNK 漏洞 CVE-2020-0684。 CVE-2020-0684 存在于 LNK 文件的处理过程中，和 2010 年震网病毒所使用的漏洞CVE-2010-2568 以及 2017 年微软修复的漏洞 CVE-2017-8464 类似。如果用户在 Windows 中处理了 .LNK 文件，则 Microsoft Windows 会触发一个远程代码执行漏洞。成功利用此漏洞的攻击者，可能会获得与本地用户相同的用户权限执行任意代码。微软将其严重等级定义为 Critical。 4、 CVE-2020-0787 Windows 全版本提权漏洞 2020 年 3 月 10 日，微软官方公布了一个本地提权漏洞CVE-2020-0787，根据微软的漏洞描述声称，攻击者在使用低权限用户登录系统后，可以利用该漏洞构造恶意程序直接提权到administrator或者 system权限。 system是 windows所有操作系统中权限最大的账户。 Background Intelligent Transfer Service（ BITS）是 Microsoft Windows 和 Microsoft Windows 24 Server系统的一个后台智能传输服务组件。 Microsoft Windows Background Intelligent Transfer Service中存在提权漏洞，该漏洞源于该服务无法正确处理符号链接。攻击者可通过执行特制的应用程序利用该漏洞覆盖目标文件，提升权限。 5、 CVE-2020-1350: Windows DNS Server 蠕虫级远程代码执行漏洞分析 Windows DNS Server远程代码执行漏洞（ CVE-2020-1350）：CVSS 评分为满分 10分，是由 Check Point 公司的研究员 Sagi Tzaik 发现的。该漏洞和 Windows 操作系统和 Server 软件上的域名系统服务微软 Windows DNS 有关。远程攻击者可通过向目标 DNS 服务器发送特制数据包，从目标系统上以本地 SYSTEM 账户权限执行任意代码。该漏洞无需交互、不需要身份认证且Windows DNS Server 默认配置可触发，因此能够在无需用户交互的情况下传播到易受攻击的机器中，可能攻陷企业的整个 PC 网络。该漏洞影响 2003 到 2019 年发布的所有 Windows Server 版本。 2020 年 7 月 9 日，微软证实该漏洞是可蠕虫的并给出严重程度为高的 CVSS 评分。 6、 CVE-2020-17087 Windows cng.sys权限提升漏洞 2020 年 10 月 30 日，“零号项目”的创始成员兼技术负责

展开阅读全文