根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical InformationInfrastructure，CII）是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施，包括能源、交通、水利、金融、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。

　　隨著“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的積極推進(jìn)以及Lora、NB-IOT、eMTC等物聯(lián)技術(shù)的快速發(fā)展，物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合，在提高相關(guān)行業(yè)的運(yùn)行效率和便捷性的同時(shí)，也增加了其遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。因此，亟需對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題加以重視和防護(hù)。

　　CNCERT依托宏觀監(jiān)測數(shù)據(jù)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)“云管端”等層面的網(wǎng)絡(luò)安全問題進(jìn)行專項(xiàng)監(jiān)測，以下是本月的監(jiān)測情況。

　　2

　　端——物聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全監(jiān)測情況

　?。?1 ） 活躍通信物聯(lián)網(wǎng)終端監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)有24萬臺(tái)物聯(lián)網(wǎng)終端設(shè)備與境外超過9萬個(gè)IP地址進(jìn)行了直接協(xié)議通信，其中包括工業(yè)控制設(shè)備1243臺(tái)，交換機(jī)、路由器設(shè)備155738臺(tái)，網(wǎng)絡(luò)監(jiān)控設(shè)備76222臺(tái)、聯(lián)網(wǎng)打印機(jī)306個(gè)以及視頻會(huì)議系統(tǒng)139個(gè)。

　　本月監(jiān)測發(fā)現(xiàn)的物聯(lián)網(wǎng)終端設(shè)備中涉及的主要廠商分布情況如下：

　　圖片工業(yè)控制設(shè)備：主要廠商包括西門子（33.39%）、韋益可自控（21.32%）、羅克韋爾（13.19%）、施耐德（9.65%）、歐姆龍（7.48%）、摩莎（6.76%）；其設(shè)備類型主要包括可編程控制器、串口服務(wù)器、工業(yè)交換機(jī)、通信適配器等，類型分布情況如圖1所示。

　　圖1 活躍通信工控設(shè)備類型分布

　　圖片交換機(jī)、路由器設(shè)備：主要廠商包括華三（57.1%）、華為（21.83%）、銳捷（12.69%）、中興（4.78%）、思科（2.73%）、雷凌（0.28%）；

　　圖片網(wǎng)絡(luò)監(jiān)控設(shè)備主要廠商：包括?？低暎?6.15%）、大華（25.72%）和雄邁（8.13%）。

　　圖片聯(lián)網(wǎng)打印機(jī)設(shè)備主要廠商：包括富士（43.37%）、柯尼卡美能達(dá)（15.86%）、佳能（15.21%）、兄弟（11%）、愛普生（7.44%）和惠普（5.5%）。

　　其中，針對(duì)監(jiān)測到的聯(lián)網(wǎng)監(jiān)控設(shè)備進(jìn)行弱口令檢測，發(fā)現(xiàn)82臺(tái)設(shè)備存在弱口令風(fēng)險(xiǎn)，包括海康威視設(shè)備66臺(tái)和大華設(shè)備16臺(tái)。

　　監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)終端設(shè)備中，排名前5的省份分別山西、廣東、吉林、浙江和江蘇，各省份設(shè)備數(shù)量分布情況如圖2所示。

　　圖2 活躍物聯(lián)網(wǎng)設(shè)備省市分布

　　針對(duì)活躍工控設(shè)備的重點(diǎn)監(jiān)測發(fā)現(xiàn)，本月工控設(shè)備與境外IP通信事件共260萬起，涉及國家97個(gè)，主要境外IP數(shù)量的國家分布如表1所示。

　　表1 境外通信IP數(shù)量的國家分布

　　（ 2 ） 網(wǎng)絡(luò)空間資源測繪組織活躍情況分析

　　本月抽樣監(jiān)測發(fā)現(xiàn)來自Shodan和ShadowServer等網(wǎng)絡(luò)空間測繪組織針對(duì)工控設(shè)備的探測響應(yīng)事件739起，涉及探測節(jié)點(diǎn)18個(gè)，探測協(xié)議包括Modbus、S7Comm、Fox、FINS、BACnet等，探測響應(yīng)事件的協(xié)議分布如圖3所示。

　　圖3 探測響應(yīng)事件的協(xié)議分布

　　3

　　管——物聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件監(jiān)測

　　根據(jù)CNCERT監(jiān)測數(shù)據(jù)，自2021年1月1日至31日，共監(jiān)測到物聯(lián)網(wǎng)（IoT）設(shè)備惡意樣本5175個(gè)，。發(fā)現(xiàn)樣本傳播服務(wù)器IP地址21萬5084個(gè)個(gè)，主要位于印度（65.9%）、巴西（16.8%）、俄羅斯（4.9%）、韓國（1.9%）等等。境內(nèi)疑似被感染的設(shè)備地址達(dá)711萬個(gè)，其中，浙江占比最高，為20.0%，境內(nèi)感染設(shè)備分布如圖4所示。詳情參見威脅情報(bào)月報(bào)。

　　圖4 惡意樣本家族分布

　　4  云——物聯(lián)網(wǎng)云平臺(tái)安全監(jiān)測

　?。?1 ） 物聯(lián)網(wǎng)云平臺(tái)網(wǎng)絡(luò)攻擊監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)，針對(duì)寄云NeuSeer、航天云網(wǎng)CASICloud、機(jī)智云Gizwits、三一重工ROOTCLOUD、海爾COSMOPlat、智能云科iSESOL、徐工漢云HANYUN等重點(diǎn)物聯(lián)網(wǎng)云平臺(tái)的網(wǎng)絡(luò)攻擊事件3819起，攻擊類型涉及漏洞利用攻擊、拒絕服務(wù)攻擊、命令注入攻擊、SQL注入攻擊、跨站腳本攻擊、目錄遍歷攻擊等。

　　本月重點(diǎn)物聯(lián)網(wǎng)云平臺(tái)攻擊事件的平臺(tái)分布如圖5所示，涉及的攻擊類型分布如圖6所示。

　　圖5 物聯(lián)網(wǎng)云平臺(tái)攻擊事件的平臺(tái)分布

　　圖6 物聯(lián)網(wǎng)云平臺(tái)網(wǎng)絡(luò)攻擊類型分布

　　本月所監(jiān)測到的針對(duì)重點(diǎn)云平臺(tái)的網(wǎng)絡(luò)攻擊事件中，境外攻擊源涉及美國、挪威、俄羅斯等在內(nèi)的國家57個(gè)，包含威脅源節(jié)點(diǎn)721個(gè)，其中發(fā)起攻擊事件最多的境外國家Top10如圖7所示。

　　圖7 物聯(lián)網(wǎng)云平臺(tái)網(wǎng)絡(luò)攻擊威脅源國家分布

　　5  電力行業(yè)監(jiān)測

　　為了解關(guān)鍵信息基礎(chǔ)設(shè)施聯(lián)網(wǎng)電力系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢，本月重點(diǎn)對(duì)90余個(gè)電力WEB資產(chǎn)進(jìn)行抽樣監(jiān)測，資產(chǎn)覆蓋電力巡檢系統(tǒng)、電力監(jiān)測系統(tǒng)、電力MIS系統(tǒng)、電力辦公系統(tǒng)、電力管控系統(tǒng)、智慧電站系統(tǒng)和電力智能系統(tǒng)等。分析發(fā)現(xiàn)，所監(jiān)測電力資產(chǎn)IP均為NAT出口地址，分布于全國23個(gè)省、直轄市或自治區(qū)，資產(chǎn)地域分布TOP10如圖8所示，資產(chǎn)類型分布如同9所示。

　　圖8 電力WEB資產(chǎn)地域分布

　　圖9 電力WEB資產(chǎn)類型分布

　　抽樣監(jiān)測發(fā)現(xiàn)，本月遭受攻擊的電力資產(chǎn)49個(gè)，涉及高危攻擊事件200余起，資產(chǎn)類型覆蓋電力MIS系統(tǒng)、電力監(jiān)測系統(tǒng)、電能管理系統(tǒng)、電力巡檢系統(tǒng)、電力管控系統(tǒng)、電力辦公系統(tǒng)和電力運(yùn)維系統(tǒng)等。詳細(xì)的資產(chǎn)攻擊分布如圖10所示。

　　圖10 被攻擊電力WEB資產(chǎn)類型分布

　　在針對(duì)電力WEB資產(chǎn)的網(wǎng)絡(luò)攻擊中，攻擊類型涵蓋遠(yuǎn)程代碼執(zhí)行攻擊、任意命令執(zhí)行攻擊、Web應(yīng)用攻擊、邏輯漏洞利用攻擊、目錄遍歷攻擊等。詳細(xì)的攻擊類型分布如圖 11所示。其中：遠(yuǎn)程代碼執(zhí)行攻擊主要涉及Struts2遠(yuǎn)程代碼執(zhí)行漏洞、phpunit遠(yuǎn)程代碼執(zhí)行漏洞和柯達(dá)圖像查看器遠(yuǎn)程代碼執(zhí)行漏洞；Web應(yīng)用攻擊主要涉及跨站腳本攻擊和SQL注入攻擊；漏洞利用攻擊主要涉及GPON家庭路由器安全漏洞攻擊；命令注入攻擊主要涉及ZeroShell遠(yuǎn)程指令執(zhí)行漏洞；目錄遍歷攻擊主要涉及AppearTVMaintenance Centre路徑遍歷攻擊；邏輯漏洞利用主要涉及登陸繞過、驗(yàn)證邏輯不合理漏洞等。

　　圖11 攻擊類型分布

　　在針對(duì)電力WEB資產(chǎn)的網(wǎng)絡(luò)攻擊事件中，境外攻擊源涉及美國、韓國、德國、法國、菲律賓等在內(nèi)的國家20個(gè)，包含威脅節(jié)點(diǎn)73個(gè)，通過關(guān)聯(lián)威脅情報(bào)發(fā)現(xiàn)，大多數(shù)攻擊IP均存在可疑或惡意信息標(biāo)記等。其中發(fā)起攻擊事件最多的境外攻擊者信息如表2所示。

　　表2 電力WEB資產(chǎn)攻擊源國家分布

　　通過抽樣監(jiān)測和態(tài)勢評(píng)估，目前聯(lián)網(wǎng)電力資產(chǎn)仍然面臨很多安全風(fēng)險(xiǎn)，存在諸多安全威脅，安全形勢依舊嚴(yán)峻。CNCERT將持續(xù)對(duì)電力行業(yè)進(jìn)行安全監(jiān)測，對(duì)重點(diǎn)目標(biāo)進(jìn)行深入分析，定期通報(bào)電力行業(yè)網(wǎng)絡(luò)安全態(tài)勢。

　　6 總結(jié)

　　CNCERT通過宏觀數(shù)據(jù)監(jiān)測，發(fā)現(xiàn)物聯(lián)網(wǎng)“云管端”三個(gè)方面的安全問題，然而目前所發(fā)現(xiàn)的安全問題僅僅是關(guān)鍵信息基礎(chǔ)設(shè)施中物聯(lián)網(wǎng)網(wǎng)絡(luò)安全隱患的冰山一角。CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題，持續(xù)開展安全監(jiān)測和定期通報(bào)工作。