2023年工业控制网络安全态势白皮书

目录 1.前言4 2.2023年工控安全相关政策法规标准5 2.1《网络安全标准实践指南—网络数据安全风险评估实施指引》5 2.2《商用密码管理条例》5 2.3《网络数据安全风险评估实施指引（公开征求意见稿）》6 2.4《工业领域数据安全标准体系建设指南（征求意见稿）》6 2.5《信息安全技术网络安全保险应用指南（公开征求意见稿）》6 2.6《网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿》7 2.7《工业互联网安全分类分级管理办法（公开征求意见稿）》7 2.8《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》7 2.9《信息安全技术网络安全态势感知通用技术要求》8 2.10《信息安全技术网络和终端隔离产品技术规范》8 2.11《网络安全工业互联网平台安全参考模型》8 2.12《网络安全设备与服务建立可信连接的安全建议》9 2.13《信息安全技术大数据服务安全能力要求》9 3.2023年典型工控安全事件11 3.1GhostSec黑客组织对白俄罗斯的工业远程终端单元进行攻击11 3.2GEDigital的服务器被发现存在5个可利用的漏洞，影响了多个关键基础设施部门11 3.3北非国家军事ICS基础设施遭到黑客攻击12 3.4半导体设备制造商MKSInstruments遭勒索软件攻击12 3.5加密ATM制造商GeneralBytes遭黑客攻击，至少150万美元被盗13 3.6黑客对以色列关键基础设施进行新一轮网络攻击13 3.7电力和自动化技术巨头ABB遭到勒索软件团队攻击13 3.8工控安全公司Dragos遭到勒索软件团队攻击14 3.9SuncorEnergy遭受网络攻击影响全国加油站：线上支付或瘫痪，仅支持现金14 3.10日本名古屋港口遭到勒索攻击导致货运业务暂停14 3.11澳大利亚基础设施公司遭受Ventia网络攻击15 3.12美国芝加哥贝尔特铁路公司遭遇勒索软件攻击15 3.13APT28组织针对乌克兰关键能源基础设施进行网络攻击15 3.14研究人员披露针对俄罗斯国防工业的MataDoor后门攻击16 3.15朝鲜黑客攻击韩国造船业窃取军事机密16 3.16DPWorld遭遇网络攻击导致约3万个集装箱滞留港口16 3.17爱尔兰一家自来水公司遭遇网络攻击导致供水中断2天17 4.工控系统安全漏洞概况19 5.联网工控设备分布23 5.1国际工控设备暴露情况27 5.2国内工控设备暴露情况29 5.3国内工控协议暴露数量统计情况32 5.4俄乌冲突以来暴露设备数量变化33 5.5工业控制系统暴露数量数据变化分析36 6.工控蜜罐数据分析37 6.1工控蜜罐全球捕获流量概况37 6.2工控系统攻击流量分析40 6.3工控系统攻击类型识别43 6.4工控蜜罐与威胁情报数据关联分析46 6.5工控网络探针48 6.5.1数据处理之Honeyeye48 6.5.2网络安全态势可视化49 7.工业互联网安全发展现状及未来展望50 7.1工业互联网安全发展现状50 7.1.1工业互联网安全产业发展现状50 7.1.2工业互联网安全技术发展现状51 7.1.3工业互联网安全目前面临的风险和挑战51 7.2政策标准完善53 7.3安全技术融合54 7.4产业协同创新56 8.总结59 参考文献60 1.前言 工业控制网络是工业生产的“核心大脑”，用于监控、管理工业生产过程中的物理设备，确保生产的稳定性和可靠性，提高生产效率，在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展，数字时代的步伐愈发坚定，工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示，工业互联网网络体系迅速扩大，截至2023年6月，中国工业互联网标识解析体系覆盖31个省（区、市）， 其中超过240家工业互联网平台具有一定影响力，一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善，态势感知、风险预警和基础资源汇聚能力进一步增强，“5G+工业互联网”等融合应用不断涌现，快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇，但同时又带来更加严峻的安全风险与挑战，工业互联网安全问题不仅关系到每个企业和个体的切身利益，更关系到国家的长远发展。 为贯彻落实国家网络安全、数据安全相关法律要求，进一步提升工业企业的工控安全保障能力，2023年11月8日，主题为“筑牢工控安全防线护航新型工业化发展”的“2023年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行，为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关，保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（http://www.ditecting.com），并根据“谛听”收集的各类安全数据，撰写并发布《2023年工业控制网络安全态势白皮书》， 读者可以通过报告了解2023年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。 2.2023年工控安全相关政策法规标准 工业互联网不仅是促使信息技术与工业经济深度融合的关键动力，同时也在我国制造强国和网络强国战略中发挥着重要作用。回首2023年，我国在工业信息安全领域取得显著进展，不仅进一步完善了政策标准，同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升，为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设，提高安全建设水平，我国在2023年陆续推出了多项涉及工业互联网安全的政策法规报告。 通过梳理2023年度发布的相关政策法规标准，整理各大工业信息安全研究院和机构基于不同法规发布的解读文件，现摘选部分重要内容并进行简要分析，旨在让读者更深入了解国家在工控安全领域的政策导向。 2.1《网络安全标准实践指南—网络数据安全风险评估实施指引》 2023年5月28日，《网络安全标准实践指南—网络数据安全风险评估实施指引》 （以下简称《评估指引》）发布，旨在引导网络数据安全风险评估工作，遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容，强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。 2.2《商用密码管理条例》 2023年4月14日，国务院第4次常务会议修订通过《商用密码管理条例》，该条 例自2023年7月1日起施行。随着商用密码在网络与信息系统中广泛应用，其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来，党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求，2020年施行的密码法对商用密码管理制度进行了结构性重塑。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性；明确关键信息基 础设施的商用密码使用要求和国家安全审查要求。 2.3《网络数据安全风险评估实施指引（公开征求意见稿）》 2023年4月18日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》，现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到，进行数据安全保护和数据处理活动的风险评估时，应始终以预防为主、主动发现和积极防范为基本原则，及时发现数据存在的潜在风险，以提升数据安全的防御能力，包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。 2.4《工业领域数据安全标准体系建设指南（征求意见稿）》 2023年5月22日，工信部发布《工业领域数据安全标准体系建设指南(2023版)》 (征求意见稿)，其中规定了工业领域数据安全标准体系的建设目标。到2024年，将初步构建该标准体系，切实贯彻数据安全管理要求，满足工业领域数据安全需求，推动标准在关键行业和企业中应用，研发30项以上的数据安全国家、行业或团体标准；2026年，将形成更为完善的工业领域数据安全标准体系，全面遵循相关法律法规和政策制度，标准的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，贯标工作全面展开，有力支持工业领域数据安全的关键工作，研制100项以上的数据安全国家、行业或团体标准。 2.5《信息安全技术网络安全保险应用指南（公开征求意见稿）》 2023年9月13日，全国信息安全标准化技术委员会秘书处发布《信息安全技术网络安全保险应用指南》（以下简称《应用指南》）征求意见稿。《应用指南》汲取了国际网络安全保险标准成果，结合我国网络安全保险产业和风险管理实践，提炼适合我国国情的应用指南，以协助组织通过网络安全保险有效处理和管理风险。该指南明确了网络安全保险应用的关键环节，包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容，为网络安全保险的实际应用 提供操作性的指导建议，解决了应用中涉及的基本安全技术和差异性问题。 2.6《网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿》 2023年9月21日，全国信息安全标准化技术委员会发布了《网络关键设备安全技术要求可编程逻辑控制器（PLC）》国家标准的征求意见稿。该文件明确了将可编程逻辑控制器（PLC）纳入网络关键设备范畴的相关规定，涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求，以及相应的安全保障要求。 2.7《工业互联网安全分类分级管理办法（公开征求意见稿）》 2023年10月24日，为加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工信部公开征求对《工业互联网安全分类分级管理办法（公开征求意见稿）》的意见。意见稿指出，工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。 2.8《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》 2023年12月15日，推进工业和信息化领域数据安全应急处置工作的制度化和规范化，工业和信息化部网络安全管理局起草了《工业和信息化领域数据安全事件应急预案（试行）》。该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度，分为特别重大、重大、较大和一般四个级别。预案强调应急工作要实现统一领导、分级负责，实行统一指挥、协同协作、快速反应、科学处置，并明确了责任分工，以确保数据安全处理者履行数据安全主体责任。 2.9《信息安全技术网络安全态势感知通用技术要求》 2023年3月17日，由公安部第三研究所牵头编制的信息安全国家标准GB/T42453- 2023《信息安全技术网络安全态势感知通用技术要求》，已由国家标准化管理委员会正式发布，标准于2023年10月1日正式实施。作为国内首份网络安全态势感知的国家标准，该标准规范了网络安全态势感知体系的核心组件，包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方面的通用技术要求。此标准的发布为中国网络安全