2022年工业控制网络安全态势白皮书

目录 1.前言5 2.2022年工控安全相关政策法规报告6 2.1《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》6 2.2《信息安全技术工业控制系统信息安全防护能力成熟度模型》6 2.3《电力可靠性管理办法（暂行）》7 2.4《电力行业网络安全管理办法（修订征求意见稿）》7 2.5《数据出境安全评估办法》7 2.6《关于开展网络安全服务认证工作的实施意见（征求意见稿）》8 2.7《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》8 2.8《信息安全技术关键信息基础设施安全保护要求》8 2.9《工业互联网总体网络架构》9 2.10《网络产品安全漏洞收集平台备案管理办法》9 2.11《信息安全技术网络安全服务能力要求》9 2.12《信息安全技术关键信息基础设施网络安全应急体系框架》9 3.2022年典型工控安全事件分析11 3.1德国主要燃料储存供应商遭网络攻击11 3.2FBI警报：美国关键基础设施正遭受BlackByte勒索软件入侵11 3.3白俄罗斯铁路遭到Anonymou入侵，所有网络服务中断11 3.4东欧大型加油站遭勒索攻击，官网、APP等全部下线12 3.5乌克兰的能源供应商成为Industroyer2ICS恶意软件的目标12 3.6农业机械巨头爱科遭勒索攻击，美国种植季拖拉机供应受影响12 3.7得克萨斯州一家液化天然气厂遭黑客攻击导致爆炸13 3.8伊朗lycaeumAPT组织利用新的DNS后门攻击能源行业13 3.9德国建材巨头Knauf被BlackBasta勒索软件团伙袭击13 3.10希腊天然气分销商DESFA部分基础设施遭受网络袭击14 3.11黑客组织GhostSec入侵以色列各地的55个PLC14 3.12黑客组织KILLNET对美国机场网站发起分布式拒绝服务(DDoS)攻击14 3.13网络攻击导致丹麦最大铁路公司火车全部停运15 3.14乌克兰政府机构和国家铁路遭受新一波网络钓鱼攻击15 4.工控系统安全漏洞概况17 5.联网工控设备分布20 5.1国际工控设备暴露情况22 5.2国内工控设备暴露情况24 5.3国内工控协议暴露数量统计情况27 5.4俄乌冲突以来暴露设备数量变化29 6.工控蜜罐数据相关分析32 6.1工控蜜罐全球捕获流量概况32 6.2工控系统攻击流量分析34 6.3工控系统攻击类型识别37 6.4工控蜜罐与威胁情报数据关联分析39 6.5工控网络探针41 7.工业互联网安全创新发展44 7.1工业互联网与智能制造45 7.2工业互联网与产业数字化转型47 7.3工业互联网与典型工业环境48 8.总结53 参考文献54 1.前言 关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等，对国家的稳定发展发挥着极端重要的作用。工业控制系统是关键信息基础设施的关键核心。随着制造强国、网络强国战略的持续推进，机械、航空、船舶、汽车、轻工、纺织、食品、电子等行业生产设备逐渐步入智能化阶段。与此同时，5G技术、人工智能、云计算等新一代信息技术与制造技术的加速融合，使得工业控制系统正从封闭独立逐步走向开放互联。工业控制网络正与IT网络进行着深度融合，在促进工业进一步发展的同时，传统信息网络中的各种安全威胁已经逐步延伸至工业控制网络中。在党的二十大报告中，习近平总书记着重强调了：“要推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定。”近年来，网络攻击、网络窃密等危及国家安全行为，给社会生产生活带来了不少安全隐患。如何有效保障网络与信息安全，是数字时代的重要课题。 2022年4月，为贯彻落实2022年《政府工作报告》关于“加快发展工业互联网”的部署要求，扎实推进《工业互联网创新发展行动计划(2021-2023年)》任务安排，工信部印发《工业互联网专项工作组2022年工作计划》。从夯实基础设施、深化融合应用、强化技术创新、完善要素保障等方面，提出了网络体系强基、标识解析增强、平台体系壮大等15大类任务83项具体举措。为顺应当前形势，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（http://www.ditecting.com），并根据“谛听”收集的各类安全数据，撰写并发布《2022年工业控制网络安全态势白皮书》，读者可以通过报告了解2022年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。 2.2022年工控安全相关政策法规报告 随着互联网的快速发展，云计算等新型信息技术开始与传统工业进行融合，工业控制系统逐渐走向智能化。但与此同时，一些网络安全事件层出不穷，工业控制系统在信息安全方面受到了严峻挑战。因此，我国开始逐步完善工业信息安全政策标准，以便于提升工业信息安全保障技术，推动整个安全产业的发展。 通过梳理2022年度发布的相关政策法规报告，整理各大工业信息安全研究院及机构针对不同法规所发布的解读文件，现摘选部分重要内容并对其进行简要分析，以供读者进一步了解国家层面关于工控安全领域的政策导向。 2.1《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》 2022年2月10日，工信部再次公开征求对《工业和信息化领域数据安全管理办法 （试行）》（征求意见稿）的意见。此次发布的征求意见稿调整了数据定义、监管机构和核心数据目录备案等条款。在工业和信息化领域数据处理者责任方面，征求意见稿明确了其对数据处理活动负安全主体责任，对各类数据实行分级防护，保证数据持续处于有效保护和合法利用的状态。该征求意见稿增加了核心数据跨主体处理以及日志留存条款，要求需要跨主体提供、转移、委托处理核心数据时，应当评估安全风险，采取必要的安全保护措施，并经由地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）报工业和信息化部。工业和信息化部严格按照有关规定对其进行审查。 2.2《信息安全技术工业控制系统信息安全防护能力成熟度模型》 2022年4月15日，根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第6号），国家标准GB/T41400-2022《信息安全技术工业控制系统信息安全防护能力成熟度模型》正式发布，并将于2022年11月进行正式实施。该标准由中国电子技术标准化研究院联合“产学研用测”41家单位共同研制，意在贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求、进一步推动工业企业落实《工业控制系统信息安全防护指南》防护要点。 2.3《电力可靠性管理办法（暂行）》 2022年4月25日，国家发改委官网公布了《电力可靠性管理办法（暂行）》，并 于6月1日起开始实施。《办法》第七章对电力网络安全做出了明确要求，其中提出了电力网络安全坚持积极防御和综合防范的方针；电力企业应当落实网络安全保护责任，健全网络安全组织体系；电力企业应当强化电力监控系统安全防护；电力用户应当根据国家有关规定和标准开展网络安全防护，预防网络安全事件，防止对公用电网造成影响；国家能源局依法依规履行电力行业网络安全监督管理职责等具体要求。 2.4《电力行业网络安全管理办法（修订征求意见稿）》 2022年6月14日，国家能源局对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号，为加强电力行业网络安全监督管理以及规范电力行业网络安全工作，根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》及国家有关规定，制定本办法。）、《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号，为规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，维护国家安全、社会稳定和公共利益，根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等法律法规和规范性文件，制定本办法。）进行修订，形成了《电力行业网络安全管理办法（修订征求意见稿）》《电力行业网络安全等级保护管理办法 （修订征求意见稿）》，向社会公开征求意见。 2.5《数据出境安全评估办法》 2022年7月7日，国家互联网信息办公室公布了《数据出境安全评估办法》（以下 简称《办法》），并于2022年9月1日起开始施行。出台《办法》是为了更好的落实 《网络安全法》、《数据安全法》、《个人信息保护法》的规定，并且有利于保护个人信息的权益，社会公共的利益，规范数据出境的活动以及维护国家的安全。该《办法》 也规定了数据出境安全评估的范围、条件和程序，并具体指明数据出境安全评估工作的方法。 2.6《关于开展网络安全服务认证工作的实施意见（征求意见稿）》 2022年7月21日，市监总局发布《关于开展网络安全服务认证工作的实施意见（征 求意见稿）》，公开征求意见至8月21日。应当依法设立从事网络安全服务认证活动的认证机构，保证其具备从事网络安全服务认证活动的专业能力，并严格经过市场监管总局征求中央网信办、公安部意见后批准取得资质。严格要求网络安全服务认证机构公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态，按照有关规定报送网络安全服务认证实施情况及认证证书信息。 2.7《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》 2022年9月14日，国家互联网信息办公室会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，并向社会公开征求意见。意见反馈截止时间为2022年9月29日。自2017年《中华人民共和国网络安全法》开始实施后，其为维护网络空间主权和国家安全、社会公共利益，保护公民等合法权益，提供了有力法律保障。随着社会形势的发展，拟对《中华人民共和国网络安全法》进行修改，使其法律责任制度能够更加完善，能够更加有效的保障网络的安全。 2.8《信息安全技术关键信息基础设施安全保护要求》 2022年10月12日，国家标准化管理委员会发布2022年第14号中华人民共和国国家标准公告，批准发布国家标准GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》，《信息安全技术关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估等方面的安全要求。此次标准的发布，意味着我国的国家关键信息基础设施（电力，燃气，水力，石化等）工业控制系统的网络安全保护将纳入国家监督成为强制要求，标志着我国关键信息基础设施安全保障体系的建设进一步完善，为运营者开展关键信息基础设施的安全保护工作提供更有效的规范和引领。标准将于2023年5月1日开始实施。 2.9《工业互联网总体网络架构》 2022年10月14日，国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告，批准发布国家标准GB/T42021-2022《工业互联网总体网络架构》。《工业互联网总体网络架构》是我国首个在工业互联网网络领域中发布的国家标准，其规范了工业互联网工厂内外网络架构的目标架构和功能要求，并且表明了工业互联网网络实施的框架以及对安全方面的要求，相关标准的规定有助于提升全行业全产业的数字化、网络化以及智能化水平，能够进一步促进相关产业向数字化转型。该标准将于2023年5 月1日开始实施。 2.10《网络产品安全漏洞收集平台备案管理办法》 2022年10月28日，工业和信息化部近日印发《网