2023年工业控制网络安全态势白皮书

目录1.

前言......................................................................................................................................42.

2023

年工控安全相关政策法规标准......................................................................................52.1

《网络安全标准实践指南—网络数据安全风险评估实施指引》......................................

52.2

《商用密码管理条例》..........................................................................................................

52.3

《网络数据安全风险评估实施指引（公开征求意见稿）》..............................................

62.4

《工业领域数据安全标准体系建设指南（征求意见稿）》..............................................

62.5

《信息安全技术网络安全保险应用指南（公开征求意见稿）》......................................

62.6

《网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿》...............

72.7

《工业互联网安全分类分级管理办法（公开征求意见稿）》..........................................

72.8

《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》......................

72.9

《信息安全技术

网络安全态势感知通用技术要求》

........................................................

82.10

《信息安全技术

网络和终端隔离产品技术规范》..........................................................

82.11

《网络安全工业互联网平台安全参考模型》....................................................................

82.12

《网络安全设备与服务建立可信连接的安全建议》........................................................

92.13

《信息安全技术

大数据服务安全能力要求》..................................................................

93.

2023

年典型工控安全事件..................................................................................................113.1GhostSec

黑客组织对白俄罗斯的工业远程终端单元进行攻击......................................

113.2GE

Digital

的服务器被发现存在

5

个可利用的漏洞，影响了多个关键基础设施部门

113.3

北非国家军事

ICS

基础设施遭到黑客攻击

.......................................................................

123.4

半导体设备制造商

MKSInstruments

遭勒索软件攻击.................................................

123.5

加密

ATM

制造商

GeneralBytes

遭黑客攻击，至少

150

万美元被盗

.......................

133.6

黑客对以色列关键基础设施进行新一轮网络攻击............................................................

133.7

电力和自动化技术巨头

ABB

遭到勒索软件团队攻击......................................................

133.8

工控安全公司

Dragos

遭到勒索软件团队攻击................................................................

143.9Suncor

Energy

遭受网络攻击影响全国加油站：线上支付或瘫痪，仅支持现金........

143.10

日本名古屋港口遭到勒索攻击导致货运业务暂停

.........................................................

143.11

澳大利亚基础设施公司遭受

Ventia

网络攻击...............................................................

153.12

美国芝加哥贝尔特铁路公司遭遇勒索软件攻击

.............................................................

153.13APT28

组织针对乌克兰关键能源基础设施进行网络攻击.............................................

153.14

研究人员披露针对俄罗斯国防工业的

MataDoor

后门攻击........................................

163.15

朝鲜黑客攻击韩国造船业窃取军事机密

.........................................................................

1623.16DPWorld

遭遇网络攻击导致约

3

万个集装箱滞留港口

..............................................

163.17

爱尔兰一家自来水公司遭遇网络攻击导致供水中断

2

天.............................................

174.

工控系统安全漏洞概况........................................................................................................195.

联网工控设备分布...............................................................................................................235.1

国际工控设备暴露情况

........................................................................................................

275.2

国内工控设备暴露情况

.......................................................................................................

295.3

国内工控协议暴露数量统计情况........................................................................................

325.4

俄乌冲突以来暴露设备数量变化........................................................................................

335.5

工业控制系统暴露数量数据变化分析................................................................................

366.

工控蜜罐数据分析...............................................................................................................376.1

工控蜜罐全球捕获流量概况

...............................................................................................

376.2

工控系统攻击流量分析

.......................................................................................................

406.3

工控系统攻击类型识别

.......................................................................................................

436.4

工控蜜罐与威胁情报数据关联分析

...................................................................................

466.5

工控网络探针

.......................................................................................................................

486.5.1

数据处理之

Honeyeye............................................................................................

486.5.2

网络安全态势可视化................................................................................................

497.

工业互联网安全发展现状及未来展望...................................................................................507.1

工业互联网安全发展现状

....................................................................................................

507.1.1

工业互联网安全产业发展现状................................................................................

507.1.2

工业互联网安全技术发展现状................................................................................

517.1.3

工业互联网安全目前面临的风险和挑战

................................................................

517.2

政策标准完善

.......................................................................................................................

537.3

安全技术融合

.......................................................................................................................

547.4

产业协同创新

.......................................................................................................................

568.

总结....................................................................................................................................59参考文献....................................................................................................................................6031.

前言工业控制网络是工业生产的“核心大脑”，用于监控、管理工业生产过程中的物理设备，确保生产的稳定性和可靠性，提高生产效率，在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展，数字时代的步伐愈发坚定，工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息中心发布的第

52

次《中国互联网络发展状况统计报告》显示，工业互联网网络体系迅速扩大，截至

2023

年

6

月，中国工业互联网标识解析体系覆盖

31

个省（区、市），其中超过

240

家工业互联网平台具有一定影响力，一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善，态势感知、风险预警和基础资源汇聚能力进一步增强，“5G+工业互联网”等融合应用不断涌现，快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇，但同时又带来更加严峻的安全风险与挑战，工业互联网安全问题不仅关系到每个企业和个体的切身利益，更关系到国家的长远发展。为贯彻落实国家网络安全、数据安全相关法律要求，进一步提升工业企业的工控安全保障能力，2023

年

11月

8

日，主题为“筑牢工控安全防线

护航新型工业化发展”的“2023

年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行，为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关，保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（），并

根

据“

谛听”收集的各类安全数据，撰写并发布《2023

年工业控制网络安全态势白皮书》，读者可以通过报告了解

2023

年工控安全相关政策法规报告及典型工控安全事件分析，同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。42.

2023

年工控安全相关政策法规标准工业互联网不仅是促使信息技术与工业经济深度融合的关键动力，同时也在我国制造强国和网络强国战略中发挥着重要作用。回首

2023

年，我国在工业信息安全领域取得显著进展，不仅进一步完善了政策标准，同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升，为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设，提高安全建设水平，我国在

2023年陆续推出了多项涉及工业互联网安全的政策法规报告。通过梳理

2023

年度发布的相关政策法规标准，整理各大工业信息安全研究院和机构基于不同法规发布的解读文件，现摘选部分重要内容并进行简要分析，旨在让读者更深入了解国家在工控安全领域的政策导向。2.1

《网络安全标准实践指南—网络数据安全风险评估实施指引》2023

年

5

月

28

日，《网络安全标准实践指南—网络数据安全风险评估实施指引》（以下简称《评估指引》）发布，旨在引导网络数据安全风险评估工作，遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容，强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。2.2

《商用密码管理条例》2023

年

4月

14

日，国务院第

4

次常务会议修订通过《商用密码管理条例》，该条例自

2023

年

7

月

1

日起施行。随着商用密码在网络与信息系统中广泛应用，其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来，党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求，2020

年施行的密码法对商用密码管理制度进行了结构性重塑。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全，支持网络产品和服务使用商用密码提升安全性；明确关键信息基5础设施的商用密码使用要求和国家安全审查要求。2.3

《网络数据安全风险评估实施指引（公开征求意见稿）》2023

年

4

月

18

日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》，现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到，进行数据安全保护和数据处理活动的风险评估时，应始终以预防为主、主动发现和积极防范为基本原则，及时发现数据存在的潜在风险，以提升数据安全的防御能力，包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。2.4

《工业领域数据安全标准体系建设指南（征求意见稿）》2023

年

5

月

22

日，工信部发布《工业领域数据安全标准体系建设指南(2023

版)》(征求意见稿)，其中规定了工业领域数据安全标准体系的建设目标。到

2024年，将初步构建该标准体系，切实贯彻数据安全管理要求，满足工业领域数据安全需求，推动标准在关键行业和企业中应用，研发

30项以上的数据安全国家、行业或团体标准；2026年，将形成更为完善的工业领域数据安全标准体系，全面遵循相关法律法规和政策制度，标准的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，贯标工作全面展开，有力支持工业领域数据安全的关键工作，研制

100项以上的数据安全国家、行业或团体标准。2.5

《信息安全技术网络安全保险应用指南（公开征求意见稿）》2023年

9月

13日，全国信息安全标准化技术委员会秘书处发布《信息安全技术

网络安全保险应用指南》（以下简称《应用指南》）征求意见稿。《应用指南》汲取了国际网络安全保险标准成果，结合我国网络安全保险产业和风险管理实践，提炼适合我国国情的应用指南，以协助组织通过网络安全保险有效处理和管理风险。该指南明确了网络安全保险应用的关键环节，包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容，为网络安全保险的实际应用6提供操作性的指导建议，解决了应用中涉及的基本安全技术和差异性问题。2.6

《网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿》2023

年

9

月

21

日，全国信息安全标准化技术委员会发布了《网络关键设备安全技术要求

可编程逻辑控制器（PLC）》国家标准的征求意见稿。该文件明确了将可编程逻辑控制器（PLC）纳入网络关键设备范畴的相关规定，涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求，以及相应的安全保障要求。2.7

《工业互联网安全分类分级管理办法（公开征求意见稿）》2023年

10月

24日，为加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工信部公开征求对《工业互联网安全分类分级管理办法（公开征求意见稿）》的意见。意见稿指出，工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。2.8

《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》2023

年

12

月

15

日，推进工业和信息化领域数据安全应急处置工作的制度化和规范化，工业和信息化部网络安全管理局起草了《工业和信息化领域数据安全事件应急预案（试行）》。该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度，分为特别重大、重大、较大和一般四个级别。预案强调应急工作要实现统一领导、分级负责，实行统一指挥、协同协作、快速反应、科学处置，并明确了责任分工，以确保数据安全处理者履行数据安全主体责任。72.9

《信息安全技术

网络安全态势感知通用技术要求》2023年

3月

17日，由公安部第三研究所牵头编制的信息安全国家标准

GB/T

42453-2023《信息安全技术

网络安全态势感知通用技术要求》，已由国家标准化管理委员会正式发布，标准于

2023年

10月

1日正式实施。作为国内首份网络安全态势感知的国家标准，该标准规范了网络安全态势感知体系的核心组件，包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方面的通用技术要求。此标准的发布为中国网络安全态势感知的规范化发展提供了重要的指导标准，对国内网络安全态势感知建设具有重要的参考和指导价值。2.10

《信息安全技术

网络和终端隔离产品技术规范》2023年

5月

15日，信安标委发布《信息安全技术

网络和终端隔离产品技术规范》。标准作为信息安全等级保护技术要求系列标准的关键组成部分，同时规定了网络和终端隔离产品的分类、级别划分、安全技术要求以及测评方法。其目的在于指导设计者如何设计和实现符合特定安全等级需求的隔离部件，主要通过对隔离部件安全保护等级的划分来阐述技术要求，即详细说明为实现各个保护等级所需的安全要求，以及在不同安全级别下各安全技术要求的具体实现差异。2.11

《网络安全工业互联网平台安全参考模型》2023年

7月，我国牵头提出的国际标准

ISO/IEC

24392：2023《网络安全工业互联网平台安全参考模型》正式发布。ISO/IEC

24392

作为首个工业互联网安全领域的国际标准，基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题，可以系统指导工业互联网企业及相关研究机构，针对不同的工业场景，分析工业互联网平台的安全目标，设计工业互联网平台安全防御措施，增强工业互联网平台基础设施的安全性。82.12

《网络安全设备与服务建立可信连接的安全建议》2023年

8月

8日，我国牵头提出的国际标准

ISO/IEC

27071:2023《网络安全设备与服务建立可信连接的安全建议》正式发布。该提案于

2015年提交至

ISO/IEC

JTC1/SC27，后经研究，于

2019年

4月正式立项，2023年

7月正式发布。ISO/IEC

27071给出了设备和服务建立可信连接的框架和安全建议，内容涵盖硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景，如移动支付、车联网、工业物联网等，有助于提高从设备到服务的全过程数据安全性。2.13

《信息安全技术

大数据服务安全能力要求》2023年

9月

7日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第

9号），全国信息安全标准化技术委员会归口的

4项国家标准正式发布，包括

GB/T32914-2023《信息安全技术

网络安全服务能力要求》、GB/T43206-2023《信息安全技术

信息安全控制评估指南》、GB/T

43206-2023《信息安全技术

信息系统密码应用测评要求》、GB/Z

43207-2023《信息安全技术

信息系统密码应用设计指南》，均将于

2024年

4月

1日实施。其中

GB/T

35274-2023《信息安全技术大数据服务安全能力要求》需要重点关注，由于网络安全服务需求不断增加，出现了低价竞标、交付质量差、不规范流程、安全风险等问题，影响了行业健康发展。为贯彻《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规，确保服务质量、防范安全风险，提升规范性和可持续性，制定此标准。表

2-12023国内部分出台政策法规标准序号月份出台政策法规标准12343月4月4月5月《信息安全技术

网络安全态势感知通用技术要求》《信息安全技术

信息安全控制（征求意见稿）》《商用密码管理条例》《工业领域数据安全标准体系建设指南（征求意见稿）》955月5月6月7月7月7月8月9月9月9月10月10月10月10月《网络安全标准实践指南—网络数据安全风险评估实施指引》《公路水路关键信息基础设施安全保护管理办法》《商用密码应用安全性评估管理办法（征求意见稿）》《安全工业互联网平台安全参考模型》6789《铁路关键信息基础设施安全保护管理办法（征求意见稿）》《信息安全技术网络安全产品互联互通框架（征求意见稿）》《网络安全设备与服务建立可信连接的安全建议》《信息安全技术网络安全保险应用指南（征求意见稿）》《信息安全技术

大数据服务安全能力要求》101112131415161718《网络关键设备安全技术要求可编程逻辑控制器（PLC）（开征求意见稿》《工业互联网安全分类分级管理办法（征求意见稿）》《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》《网络安全标准实践指南——网络安全产品互联互通

资产信息格式（征求意见稿）》1911月2021222324252611月12月12月12月12月12月12月《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》《工业领域数据安全标准体系建设指南（2023版）》《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》《网络安全事件报告管理办法（征求意见稿）》《民用航空生产运行工业控制系统网络安全防护技术要求》《信息安全技术

政务计算机终端核心配置规范（征求意见稿）》《信息安全技术

网络安全应急能力评估准则》103.

2023

年典型工控安全事件2023

年全球工控安全事件依然层出不穷，给工业企业数字化转型带来了极高的安全风险。众多工控系统遭受了不同程度的网络攻击，给大量企业造成了不可估量的损失，甚至危及国家安全。本年度针对工控系统攻击的破坏程度及规模呈现扩大趋势，影响了多个行业，涵盖能源、交通、军工、制造、医疗等领域。以下介绍

2023

年发生的一些典型的工控安全事件，通过以下事件可以了解工业网络面临的风险和发展趋势，以此来制定更加有效的相关策略应对未来可能遭受的攻击。3.1

GhostSec

黑客组织对白俄罗斯的工业远程终端单元进行攻击2023

年

1

月

11

日，GhostSec

黑客组织声称对白俄罗斯的工业远程终端单元(RTU)进行了攻击，RTU是一种用于远程监控工业自动化设备的操作技术(OT)设备。GhostSec是

Anonymous

旗下的一个黑客主义行动组织，主要从事出于政治动机的黑客攻击。从Telegram

小组提供的屏幕截图看出，攻击者加密了设备

TELEOFIS

RTU968

V2上的文件，并且将加密文件后缀修改为.fuckPutin。TELEOFIS

RTU968

V2

是一款新型

3G路由器，由于其支持工业接口

RS-232

和

RS-485，并且能够将工业协议

Modbus

RTU/ASCII转换为

Modbus

TCP，因此可以被视为远程终端单元(RTU)。此次攻击活动使得受害设备上的文件均被加密，攻击者只留下了一封内容为“没有通知信”的文件。经安全人员研究发现，TELEOFIS

RTU968

V2

默认开启

22

端口的

SSH

服务并且允许使用

root

密码远程登录。攻击者可能通过这些配置弱点进入设备内部，从而实现设备文件加密。目前

GhostSec

黑客组织表现出在某些情况下破坏企业和运营的能力。GhostSec

最新的攻击活动也再次表明，这些组织有兴趣寻找

ICS

设备，如果这些设备受到攻击，可能会影响工业自动化环境中的生产和系统安全性。3.2

GE

Digital

的服务器被发现存在5

个可利用的漏洞，影响了多个关键基础设施部门2023年

1月

17日，工业网络安全公司

Claroty的研究人员透露，其

Team82团队在GE

Digital的

Proficy

Historian服务器中发现了五个可利用的漏洞，影响了多个关键基础设施部门。威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。11这批漏洞影响

GE

Proficy

Historian

v7.0及更高版本。这些漏洞的存在与

ICS

和操作技术(OT)环境有关，因为这些历史数据库服务器与企业系统共享过程信息，从而为攻击者从IT

网络跳转到

OT系统创造了一个有吸引力的支点。通过这批漏洞，攻击者可以在远程GE

Proficy

Historian服务器上以

SYSTEM权限执行任意代码。此外，攻击者还能构建一个功能齐全的

shell

命令行界面(CLI)，该界面支持多种命令，包括绕过身份验证、上传任意文件、读取任意文件、删除任意文件以及远程执行代码。美国网络安全和基础设施安全局(CISA)很快发布了一份工业控制系统(ICS)公告，将这些漏洞确定为使用备用路径或通道绕过身份验证、不受限制地上传危险类型的文件、不正确的访问控制和弱口令编码。目前

GE公司表示

GE

Proficy

Historian

v8.0.1598.0受到影响，针对最近发布的

GE

Proficy

Historian中的所有漏洞已发布相应缓解措施，并敦促用户升级以获得保护。3.3

北非国家军事ICS

基础设施遭到黑客攻击2023

年

1

月

27

日，美国

Cyble

研究与情报实验室（Cyble

Research

&

IntelligenceLabs，CRIL）发布博客，发现一名黑客访问由北非国家的军事组织所使用的监督控制和数据采集系统（SCADA）和热成像摄像机（Thermal

Imaging，TI），该黑客发布了一张TI

相机系统的访问面板的图像，CRIL

研究人员确定该面板属于一家著名的原始设备制造商，该公司为全球几支武装部队制造军用级

TI

相机，黑客利用这些系统数据获得了对军事资产的网络访问。经过进一步调查，CRIL发现暴露的

TI

相机有多个漏洞，如信息披露、未经授权的远程代码执行（RCE）和硬编码凭证问题，这些漏洞的存在不仅可以为黑客提供对军事基地的监视能力，还可以让他们渗透到操作技术（OperationalTechnology，OT）网络。3.4

半导体设备制造商MKSInstruments

遭勒索软件攻击2023年

2月

3日，半导体设备制造商

MKS

Instruments遭受勒索软件的攻击，此事件影响了其生产相关系统，该公司发现勒索软件造成的影响后，立即采取行动启动事件响应和业务连续性协议以遏制其危害继续扩散。MKS

Instruments

的网站在很长一段时间内无法被访问。该公司表示，它已通知执法部门，同时通过聘请事件响应专业人员调12查和评估事件的影响。MKS

Instruments高级副总裁说：“该事件影响了某些业务系统，包括与生产相关的系统，作为遏制措施的一部分，公司已决定暂时停止某些设施的运营。”该公司表示，正在努力尽快恢复系统和受影响的运营。3.5

加密ATM

制造商GeneralBytes

遭黑客攻击，至少150

万美元被盗2023年

3月

17日，加密

ATM制造商

General

Bytes发生了一起安全事件，导致至少

150万美元被盗，迫使其关闭大部分位于美国的自动取款机，General

Bytes将其描述为“最高”级别的违规行为。一些自助服务终端只允许现金换加密货币交易，而其他是“双向”的，这意味着客户可以用他们的数字货币获取现金。根据其创始人

KarelKyovsky

详细描述该事件的声明，黑客利用用于上传视频的主服务接口中的漏洞，将自己的

Java

应用程序远程上传到该公司的服务器上。该事件使攻击者能够读取和解密API

密钥，并访问交易所和在线维护的“热”加密货币钱包上的资金，他们还能够窃取用户名和密码，并关闭双因素身份验证。3.6

黑客对以色列关键基础设施进行新一轮网络攻击2023年

4月

9日，据英国信息安全、网络犯罪新闻平台

HACKREAD

报道，以色列的灌溉系统遭到了一系列网络攻击，导致数个水位监测器发生故障，同时针对该国的主要基础设施机构网站（包括航空公司、交通、邮政和灌溉系统的网站）的网络攻击数量激增。同日，据

JPost

报道，在灌溉系统遭到攻击的前一周，以色列国家网络组织曾发出警告，在

4

月

14

日的“伊朗耶路撒冷日”庆祝活动之前的穆斯林斋月期间，针对以色列基础设施的网络攻击可能会增加，当局认为，这些网络攻击可能是由亲巴勒斯坦的黑客组织

OpIsrael策划。3.7

电力和自动化技术巨头ABB

遭到勒索软件团队攻击2023年

5月

7日，据美国网络安全媒体

BLEEPINGCOMPUTER报道，电力和自动化技术巨头

ABB遭受了

Black

Basta勒索软件团伙发起的网络攻击。ABB是一家行业领先的电气化和自动化技术的跨国提供商，该公司为多家制造业和能源供应商开发工业控制系统(ICS)和

SCADA系统，单在美国就运营着

40多家工程、制造、研究和服务设施，13并为多种联邦机构提供服务。BLEEPINGCOMPUTER

从多名员工处获悉，勒索软件攻击影响了公司的

Windows

Active

Directory，影响了数百台设备的正常工作，为解决该问题

ABB

已经采取一些措施如终止与其客户的

VPN

连接防止勒索软件传播来控制事件。目前

ABB绝大多数系统和工厂现已重新启动并运行，继续为客户提供服务。3.8

工控安全公司Dragos

遭到勒索软件团队攻击2023

年

5

月

8

日，一个已知的勒索软件犯罪组织试图破坏工控安全公司

Dragos

的安全防御系统并渗透到内网加密设备。Dragos

表示其公司网络和安全平台在攻击中并未遭到破坏，攻击者的横向移动、提权、加密、驻留等攻击手段大多被

Dragos的多层安全控制和基于角色的访问控制阻止了，但攻击者成功入侵了该公司的

SharePoint云服务和合同管理系统。Dragos

已经调查了公司安全信息和事件管理中的警报并阻止了受感染的帐户。3.9SuncorEnergy

遭受网络攻击影响全国加油站：线上支付或瘫痪，仅支持现金2023

年

6

月

25

日，加拿大最大的合成原油生产商之一的

Suncor

Energy

发布新闻稿称其遭受了网络攻击，虽然新闻稿中表示尚未发现任何证据表明客户、供应商或员工的数据遭到泄露或滥用，但目前其子公司

Petro-Canada遍布加拿大的加油站已经无法支持客户使用信用卡或奖励积分付款，甚至其官网的账户登录也已经瘫痪，并且“洗车季通行证”的持有客户无法在

Petro-Canada的洗车中心使用其特权。新闻稿表示目前公司正在采取措施并与第三方专家合作调查和解决这一情况，并已通知当局有关部门，近期与客户和供应商的一些交易可能会受到影响。3.10

日本名古屋港口遭到勒索攻击导致货运业务暂停2023

年

7

月

5

日，日本最大且最繁忙的港口名古屋港发布了关于其统一码头系统（NUTS）遭到攻击的通知，NUTS是控制该港所有集装箱码头的中央系统。根据通知，勒索攻击发生于当地时间

7

月

4

日凌晨

06:30

左右。名古屋港务局预计系统将于

7

月

5日恢复上线，货运业务于

7月

6日恢复，在相关业务恢复之前，所有使用拖车在码头进行的集装箱装卸作业均已取消，这给港口造成了巨大的财务损失，并严重扰乱了进出日14本的货物流通。7

月

26

日，名古屋港再次发布调查通知，表示截至

7

月

6

日

18

时

15分，所有码头业务已恢复运营，并且在爱知县警察本部和系统维护公司的共同调查下，名古屋港务局确认此次事件的原因是勒索软件感染。据报道，该机构曾于

7月

4日上午收到了一份用办公室打印机远程打印的赎金要求。3.11

澳大利亚基础设施公司遭受Ventia

网络攻击2023

年

7

月

8

日，基础设施提供商

Ventia

发布公告表示其发现了一起网络入侵事件，该事件影响了

Ventia

的部分系统，目前

Ventia

已采取包括关闭关键系统等措施来遏制该事件，并聘请了外部网络安全专家，积极与监管机构和执法部门合作。Ventia是澳大利亚和新西兰最大的基础设施提供商之一，业务涉及国防、能源、医疗保健、采矿、电信和水务行业。在

7

月

9

日的后续的声明中

Ventia

表示，他们仍在处理此次攻击事件，且其业务正在持续运营。3.12

美国芝加哥贝尔特铁路公司遭遇勒索软件攻击2023年

8月

12日，据

Recorded

Future

New报道，美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司由美国和加拿大的六家铁路公司共同拥有，每家铁路公司都使用该公司的转运和换乘设施。当地时间

8月

10日晚，Akira

勒索软件团伙将该公司添加到其泄露网站，声称窃取了

85GB

的数据。贝尔特铁路总法律顾问

Christopher

Steinway称，该公司最近意识到“一个威胁组织在其网站上发布消息称其已获得某些公司信息”，但“该事件没有影响我们的运营，我们已聘请一家领先的网络安全公司来调查这一事件，并正在与联邦执法部门合作”，目前贝尔特铁路公司仍然在调查此事件。3.13

APT28

组织针对乌克兰关键能源基础设施进行网络攻击2023

年

9

月

4

日，乌克兰计算机紧急响应小组（CERT-UA）发布公告称其发现了一起针对乌克兰关键能源基础设施的网络攻击。公告表示，此次网络入侵始于一封钓鱼电子邮件，其中包含指向激活感染链的恶意

ZIP

存档的链接。CERT-UA

表示：“访问该链接会将包含三个

JPG

诱饵图像和

BAT

文件

weblinks.cmd

的

ZIP

存档下载到受害者15的计算机上”，并将此次攻击归因于名为

APT28（又名

BlueDelta）的俄罗斯威胁行为者。该攻击会窃取目标主机信息，同时下载

TOR隐藏服务来路由恶意流量。CERT-UA表示，关键能源基础设施的负责员工设法通过限制对

Mockbin

网络资源服务（、mocky.io）的访问并阻止在计算机上的启动

Windows

Script

Host，成功阻止了该网络攻击。3.14

研究人员披露针对俄罗斯国防工业的MataDoor

后门攻击2023

年由

9

月

27

日，俄罗斯网络安全公司

Positive

Technologies

发布安全分析报告，称其在

2022年

10月对一家俄罗斯工业企业的安全事件进行调查的期间，发现该企业被入侵的计算机上运行着以前从未见过的恶意软件样本。这些恶意软件可执行文件的名称与受感染计算机上安装的合法软件的名称相似，而且一些样本具有有效的数字签名。此外，已识别的可执行文件和库经过

Themida保护程序的处理，使其更难被检测和分析。Positive

Technologies

对这些样本进行后续分析后认为被识别的恶意软件是一个相当复杂的模块化后门，并称之为

MataDoor，其设计目的是为了长期在计算机中隐蔽运行。3.15

朝鲜黑客攻击韩国造船业窃取军事机密2023

年

10

月

4

日，韩国国家情报院发布名为《国家情报局就“朝鲜针对造船业的黑客攻击蔓延”发出警告》的新闻稿。新闻稿指出在去年

8月和

9月就已经发现了几起朝鲜黑客组织企图入侵主要造船厂的案件，朝鲜黑客组织之所以将目标对准韩国造船企业，是因为金正恩下达了建造大中型军舰的命令，并预测朝鲜的攻击趋势今后仍将持续，呼吁包括大型造船企业和船舶零部件制造商在内的相关企业进行彻底的安全管理。韩国国家情报院认为，黑客攻击的方法是夺取和绕过

IT

维护公司的个人主机，或向内部员工分发钓鱼邮件，然后安装恶意软件。韩国国家情报院敦促业界加强安全措施，包括“对黑客行为的蔓延发出警告并禁止查看不明确的电子邮件”。3.16

DPWorld

遭遇网络攻击导致约3

万个集装箱滞留港口2023年

11月

12日，国际物流公司

DP

World

Australia发布媒体公告，称其遭遇了严重破坏澳大利亚多个大型港口正常货运的网络攻击。根据报告，11

月

10

日的一次网16络攻击中断了其港口的陆上货运业务，为此，DP

World启动了应急计划，并与网络安全专家展开合作，前公司正在测试恢复正常业务运营所需的关键系统。另外，媒体声明中还提到公司的部分数据很可能已经被非法访问、甚至遭到泄露，然而内部调查仍在进行中，该情况尚未证实。DP

World专注于货运物流、港口码头运营、海事服务和自由贸易区，负责运营

40个国家的

82个海运和内陆码头，其每年处理由

70000艘船只运送的约7000万个集装箱，相当于全球集装箱运输量的约

10%。3.17

爱尔兰一家自来水公司遭遇网络攻击导致供水中断2

天2023

年

12

月

7

日，爱尔兰媒体

WesternPeople

报道，黑客攻击了爱尔兰埃里斯地区的一家私人集团供水公司，导致供水中断两天并影响到

180户业主，之后工作人员努力修复

Eurotronics

以色列制造的抽水系统。攻击者出于政治动机，选择对该供水公司中源于以色列的设备进行攻击并破坏了抽水系统的用户界面，张贴了反以色列的信息。工作人员表示这些引进的设备防火墙安全系统可能不够强大，目前正在改进他们的安全系统，并与都柏林网络犯罪局密切合作。表

3-12023年部分安全事件序号

时间

国家/地区行业方式影响1231月1月1月白俄罗斯北非工业网络攻击未知受害设备上的文件均被加密军事资料被访问军工业运输业挪威勒索软件约

1000艘船舶出行受到影响生产系统被影响，公司网站无法被访问42月美国制造业勒索软件567892月2月3月3月3月英国德国荷兰印度美国能源业航空业运输业国防业金融业网络攻击DDoS攻击勒索软件部分系统被关闭数千名乘客取消和延误航班公司系统宕机，私密数据被窃取国防资料被窃取恶意软件漏洞利用攻击至少

150

万美元被盗171011121314154月5月5月5月6月6月以色列美国农业网络攻击恶意软件勒索软件勒索软件勒索软件网络攻击水位监测器发生故障生产设备出现故障制造业制造业互联网能源业能源业美国数百台设备无法正常工作内网加密设备被渗透美国荷兰服务器的数据库被渗透官网瘫痪、用户数据被泄露加拿大造成巨大的财务损失，并严重扰乱了进出日本的货物流通1617187月7月7月日本运输业制造业能源业勒索攻击网络攻击网络攻击澳大利亚以色列部分系统停止运行BAZAN

的数据采集与监视控制系统的屏幕截图被泄露1920218月8月9月美国南非伊朗运输业能源业工业勒索软件恶意软件网络入侵85GB的数据被泄露公司数据被发送到远程服务器中部分设备被攻击者控制2223249月9月9月英国乌克兰俄罗斯韩国农业DDoS攻击网络钓鱼攻击后门攻击灌溉系统无法正常运行主机信息被窃取，同时下载

TOR

隐藏能源业军工业制造业运输业工业服务来路由恶意流量入侵的计算机上被运行着恶意软件员工计算机上被安装恶意软件3万个集装箱被滞留港口25

10月26

11月27

12月28

12月网络攻击澳大利亚哥伦比亚爱尔兰网络攻击网络钓鱼攻击网络攻击大量公司员工信息被窃取供水业抽水系统的用户界面被破坏184.

工控系统安全漏洞概况随着

5G网络、工业

4.0、和工业互联网的发展，传统的工业生产模式逐渐被智能化所取代，工控设备也因此遭受着越来越多的攻击，并且攻击形式日渐多元，攻击手段更加复杂，工控安全事件呈现连年高发态势。其中，最常见的攻击方式就是利用工控系统的漏洞。PLC（Programmable

Logic

Controller，可编程逻辑控制器

、DCS（DistributedControl

System，分布式控制系统）、SCADA（Supervisory

Control

And

Data

Acquisition，数据采集与监视控制系统）

乃至工业应用软件均被发现存在大量信息安全漏洞。相关数据显示，2023年西门子（Siemens）、施耐德（Schneider）、LS电气集团（LS

ELECTRIC）、罗克韦尔自动化（Rockwell

Automation）等工业控制系统厂商均被发现包含各种信息安全漏洞。谛听团队采集到的工控漏洞数据显示，2023

年工控安全漏洞数量较

2022

年相比有所回升，但

2021年到

2023年整体工控安全漏洞数量较

2020年之前依旧偏少。年工控漏洞

势

（数据来源）图

4-12013-2023年工控漏洞走势图（数据来源

CNVD、“谛听”）根据

CNVD（国家信息安全漏洞共享平台）[1][2]和“谛听”的数据，2013-2023年工控漏洞走势如图

4-1

所示。根据图表显示，2015

年至

2020

年期间，工控漏洞数量呈现显著的递增趋势。对于这一现象，我们的团队分析认为主要原因在于自

2015

年以来，技19术融合的飞速推进迅速推动了工业控制（工控）产业的蓬勃发展，同时也瓦解了传统工控系统的体系结构。在产业标准和政策尚未达到成熟水平的情况下，攻击者可能采取更加多样化的手段，对工控系统进行攻击，从而导致工控漏洞的不断增加。然而，自

2021年开始，工控漏洞数量总体呈下降的趋势。与

2020

年的

568

条漏洞信息相比，2023

年减少了

449

条，漏洞数量大幅减少，减少数量占

2020

年的

79%。2023

年与

2022

年的96个漏洞相比增加了

24%，漏洞数量虽有小幅回升，但仍低于

2020年。我们的团队推测这一变化的原因是多方面的。首先，相较于发展迅猛的

IT

行业，工业领域业务较为成熟，工控行业的厂商产品较为稳定，工控系统的更新迭代较慢，2015-2020

期间发现的新增漏洞中，很大比重是来源于多年长期运行的工控系统中的“存量”漏洞。随着

2020年此类漏洞的挖掘达到顶峰，随着新产品推出而产生的新漏洞数量自然出现明显下降。其次，随着疫情逐渐得到控制，工业界和产业界的从业人员逐渐回归正常的线下工作环境，这对工控系统的活力和正常运营产生积极影响。在新冠疫情期间，大量从业人员转向线上办公，导致工控产业的活力下降，攻击者的工控攻击目标数量与类型相对减少。然而随着工业系统的运作逐步恢复正常，各类设备和系统的上线运行。新的业务需求、系统升级或集成可能引入新的漏洞，导致

2023

年漏洞数量有小幅度的回升。第三，随着工控信息安全政策、体系和法规的不断完善，工控安全方面的产品体系和解决方案逐渐健全，工控厂商对其产品的漏洞管理更加严格。客观上，漏洞数量的下降是符合情理的趋势。20年工控系统行业漏洞

险

级

状

（数据来源，中

，，中图

4-22023年工控系统行业漏洞危险等级饼状图（数据来源

CNVD、“谛听”）如图

4-2

是

2023

年工控系统行业漏洞危险等级饼状图，截至

2023

年

12

月

31

日，2023年新增工控系统行业漏洞

119个，其中高危漏洞

85个，中危漏洞

31个，低危漏洞3个。与去年相比，漏洞数量增加了

23个，中危和低危漏洞数量均有一定减少，高危数量显著增加，其中，高危漏洞数量增加了

50个，相比

2022年高危漏洞总数增加了

1.43倍。2023

全年高危工控安全漏洞占全年漏洞总数的

71%，与

2022

年相比增加了

35%。综合分析，这些趋势表明

2023

年工控系统行业面临更加严峻的漏洞安全挑战。高危漏洞的占比提高意味着增加了系统受到攻击的概率和危害程度。这也反映了攻击者针对工控系统可能采用更为复杂和危险的攻击手段。因此，业界在工控系统安全方面需要加强防护和响应措施，以降低潜在的风险。21年工控系统行业

商漏洞数

状

（数据来源）图

4-32023年工控系统行业厂商漏洞数量柱状图（数据来源

CNVD、“谛听”）如图4-3是2023年工控系统行业厂商漏洞数量柱状图，由图中可知，西门子（Siemens）厂商具有的漏洞数量最多，多达

87

个。漏洞数量排在其后的厂商分别是：施耐德（Schneider）、LS电气集团（LS

ELECTRIC）、罗克韦尔自动化（Rockwell

Automation），这些厂商也存在着一定数量的工控系统漏洞。以上数据表明，尽管在

2023年新增工控漏洞数量相比

2022年有所回升，但总体数量依旧呈较低水平，全球工控系统的安全防护水平仍在持续提升。高危漏洞的显著增加表明工控系统仍然面临严重的安全挑战。理论上，高危漏洞应在工控相关协议和设备设计初期避免，或在被安全人员发现时及时解决，但实际情况可能并非如此。尽管近两年工控系统所遭受的攻击数量逐年减少，但高危漏洞的显著增加体现出攻击强度可能仍未降低，工控系统的设计缺陷可能未能得到及时完善。在这种情况下，工控产业相关单位有必要进一步加强对工业漏洞的防范，持续增加对工控系统安全建设的投入。特别是在工控系统安全防护中需要针对高危漏洞建立系统安全性设计、漏洞管理监控、漏洞响应修复等全方位漏洞防护能力，降低工控系统面临的安全风险。225.

联网工控设备分布随着工业互联网的快速发展，联网工控设备的暴露数量与日俱增，有效管控联网工控设备资产对于确保工业生产、社会稳定和经济平稳运行具有重要支撑作用。工业和信息化部印发的《工业控制系统网络安全防护指南》中强调，要“建立工业控制系统资产清单，并根据资产状态变化及时更新，定期开展工业控制系统资产核查”[3]。联网工控设备的探测与分析对于梳理、核查并重点保护联网工控资产，确保关键基础设施的安全性和稳定运行有重要意义。“谛听”网络空间工控设备搜索引擎共支持

31

种服务的协议识别，表

5-1

展示了“谛听”网络安全团队识别的工控协议等的相关信息。如想了解这些协议的详细信息请参照“谛听”网络安全团队之前发布的工控网络安全态势分析白皮书。表

5-1

“谛听”网络空间工控设备搜索引擎支持的协议工控协议端口概述Modbus502/5031911应用于电子控制器上的一种通用语言Tridium公司专用协议，用于智能电网等领域智能建筑、基础设置管理、安防系统的网络协议智能建筑的通信协议工控协议TridiumNiagaraFoxSSL/

NiagaraFoxBACnet491147808100014800ATGs

DevicesMoxa

NportEtherNet/IPSiemensS7虚拟串口协议44818102以太网协议西门子通信协议DNP3200002455分布式网络协议CodesysPLC

协议ilonSmartserver1628/1629智能服务器协议23RedlionCrimson3IEC60870-5-104OMRONFINSCSPV4789工控协议240496002222182451962205475006/50074840500280IEC系列协议欧姆龙工业控制协议工控协议GESRTP美国通用电器产品协议菲尼克斯电气产品协议科维公司操作系统协议三菱通信协议PCWorxProConOsMELSEC-Qopc-uaOPCUA

接口协议DDP用于数据的传输和

DTU管理基于工业以太网技术的自动化总线标准IEC系列协议ProfinetIEC61850-8-1Lantronix10230718专为工业应用而设计，解决串口和以太网通信问题物联网协议端口概述AMQPXMPPSOAPMQTT5672522280891883提供统一消息服务的应用层标准高级消息队列协议基于

XML

的可扩展通讯和表示协议基于

XML

简单对象访问协议基于客户端-服务器的消息发布/订阅传输协议摄像头协议端口概述DahuaDvrhikvisionONVIF3777781-903702大华摄像头与服务器通信协议海康威视摄像头与服务器通信协议开放型网络视频接口标准协议24“谛听”官方网站（）公布的数据为

2017年以前的历史数据，若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据，经“谛听”网络安全团队分析，得到一系列结论，具体如下。图

5-1为

2023年全球工控+物联网设备暴露

Top-10国家/地区。图中显示，与

2022年相比，国家排名变化比较稳定，但是全球暴露工控设备的总数量远远超越去年。在全球范围内，美国作为世界上最发达的工业化国家，其工控设备暴露数量排名首位。中国持续推动先进制造业和新型基础设施建设，工业产值显著增长，排名第二。加拿大作为一个工业发达的国家，在能源、制造、矿业、航空航天和信息技术等领域都具有世界领先的实力。其排名相较于与

2022年进步较大，排名第三位。图

5-1

全球工控+物联网设备暴露

Top10柱状图（数据来源“谛听”）在工业互联网领域中，工控设备协议与物联网设备协议协同合作，以实现设备的协同工作和数据交互。工控设备协议专注于实时控制和监测，确保工业控制系统的高效运行，而物联网设备协议注重通用性和灵活性，使得不同类型设备能够互联，实现数据的共享。这两者的结合促进系统集成，创造出智能的工业生态系统，实现对整个生产过程的全面监控。在实际应用中，这些协议的协同作用使工业互联网中的设备能够高效、可25靠地实现互联和数据交换。图

5-2和图

5-3分别为全球工控设备暴露

Top10柱状图和全球物联网设备暴露

Top10柱状图。可以看到，在工控设备暴露排名中，加拿大超过了中国排名第二位。图

5-2

全球工控设备暴露

Top10柱状图（数据来源“谛听”）图

5-3

全球物联网设备暴露

Top10柱状图（数据来源“谛听”）26摄像头协议是一种约定，规定了摄像头与其他设备之间的通信方式，包括实时视频流传输和数据交互的标准。常见的摄像头协议有

ONVIF，hikvision，Dahua

Dvr等。图5-4

为全球摄像头设备暴露

Top10

柱状图。由于海康威视和大华两家安防企业的发展，在全球范围内中国摄像头设备的暴露数量排名首位，波兰排名第二，美国排名第三。图

5-4

全球摄像头设备暴露

Top10柱状图（数据来源“谛听”）5.1

国际工控设备暴露情况国际工控设备的暴露情况以美国和加拿大为例进行简要介绍。美国是世界上工业化程度最高的国家之一，同时也是

2023

年全球工控设备暴露最多的国家，如图

5-5

所示为美国

2023

年工控协议暴露数量和占比。由于日益增长的数字化依赖，美国政府一直致力于制定和加强网络安全政策，以保护国家的关键基础设施和敏感信息。同时在工业化领域，政府一直关注制造业的创新和发展，采取措施促进技术进步，提高生产效率。2023

年

6

月，美国网络安全和基础设施安全局（CISA）发布了一项网络安全指令，要求联邦机构强化其网络边缘和远程管理设备，以应对近期的网络攻击。这一规定被视为对联邦行政部门和机构的强制性要求。这一举措旨在提高联邦机构的网络安全水平，以有效抵御潜在的网络威胁。2023年

8月，美国纽约州推出了该27州首个全州范围的网络安全战略。这一战略被构想为各个公共和私人利益相关者如何协同工作，以保护关键基础设施和全州居民个人数据免受恶意攻击和数据泄露的蓝图。图

5-5

美国工控协议暴露数量和占比（数据来源“谛听”）相较于

2022

年，今年美国在工控领域的安全事件有所减少，也得益于美国自身可以排查出相应的安全隐患。3

月

21

日，美国网络安全和基础设施安全局（CISA）发布了八项工业控制系统（ICS）公告，发出警告指出存在严重缺陷可能影响

Delta

Electronics和

Rockwell

Au