1  概述

　　根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》對關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical InformationInfrastructure，CII）是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施，包括能源、交通、水利、金融、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。

　　隨著“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的積極推進(jìn)以及Lora、NB-IOT、eMTC等物聯(lián)技術(shù)的快速發(fā)展，物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合，在提高相關(guān)行業(yè)的運(yùn)行效率和便捷性的同時，也增加了其遭受網(wǎng)絡(luò)攻擊的風(fēng)險。因此，亟需對關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題加以重視和防護(hù)。

　　CNCERT依托宏觀監(jiān)測數(shù)據(jù)，對關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)“云管端”等層面的網(wǎng)絡(luò)安全問題進(jìn)行專項(xiàng)監(jiān)測，以下是本月的監(jiān)測情況。

　　2　端——物聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全監(jiān)測情況

　?。?1 ） 活躍通信物聯(lián)網(wǎng)終端監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)有25萬臺物聯(lián)網(wǎng)終端設(shè)備與境外超過11萬個IP地址進(jìn)行了直接協(xié)議通信，其中包括工業(yè)控制設(shè)備1350臺，交換機(jī)、路由器設(shè)備163648臺，網(wǎng)絡(luò)監(jiān)控設(shè)備83603臺、聯(lián)網(wǎng)打印機(jī)394個以及視頻會議系統(tǒng)188個。

　　本月監(jiān)測發(fā)現(xiàn)的物聯(lián)網(wǎng)終端設(shè)備中涉及的主要廠商分布情況如下：

　　圖片工業(yè)控制設(shè)備：主要廠商包括西門子（30.52%）、韋益可自控（21.72%）、羅克韋爾（14.7%）、施耐德（9.26%）、摩莎（8.05%）、歐姆龍（7.06%）；其設(shè)備類型主要包括可編程控制器、串口服務(wù)器、工業(yè)交換機(jī)、通信適配器等，類型分布情況如圖1所示。

　　圖1  活躍通信工控設(shè)備類型分布

　　圖片交換機(jī)、路由器設(shè)備：主要廠商包括華三（51.01%）、華為（28.87%）、銳捷（11.76%）、中興（4.51%）、思科（3.01%）、雷凌（0.26%）；

　　圖片網(wǎng)絡(luò)監(jiān)控設(shè)備主要廠商：包括?？低暎?3.47%）、大華（20.45%）和雄邁（6.08%）。

　　圖片聯(lián)網(wǎng)打印機(jī)設(shè)備主要廠商：包括富士（52.43%）、柯尼卡美能達(dá)（17.9%）、佳能（10.23%）、兄弟（8.18%）、愛普生（6.91%）和惠普（3.84%）。

　　其中，針對監(jiān)測到的聯(lián)網(wǎng)監(jiān)控設(shè)備進(jìn)行弱口令檢測，發(fā)現(xiàn)43臺設(shè)備存在弱口令風(fēng)險，包括海康威視設(shè)備184臺和大華設(shè)備19臺。

　　監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)終端設(shè)備中，排名前5的省份分別山西、廣東、吉林、浙江和江蘇，各省份設(shè)備數(shù)量分布情況如圖2所示。

　　圖2  活躍物聯(lián)網(wǎng)設(shè)備省市分布

　　針對活躍工控設(shè)備的重點(diǎn)監(jiān)測發(fā)現(xiàn)，本月工控設(shè)備與境外IP通信事件共298萬起，涉及國家89個，主要境外IP數(shù)量的國家分布如表1所示。

　　表1 境外通信IP數(shù)量的國家分布

　?。?2 ） 網(wǎng)絡(luò)空間資源測繪組織活躍情況分析

　　本月抽樣監(jiān)測發(fā)現(xiàn)來自Shodan和ShadowServer等網(wǎng)絡(luò)空間測繪組織針對工控設(shè)備的探測響應(yīng)事件830起，涉及探測節(jié)點(diǎn)17個，探測協(xié)議包括Modbus、S7Comm、Fox、FINS、BACnet等，探測響應(yīng)事件的協(xié)議分布如圖3所示。

　　圖3  探測響應(yīng)事件的協(xié)議分布

　　3 管——物聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件監(jiān)測

　　根據(jù)CNCERT監(jiān)測數(shù)據(jù)，自2020年12月1日至31日，共監(jiān)測到物聯(lián)網(wǎng)（IoT）設(shè)備惡意樣本5620個。發(fā)現(xiàn)樣本傳播服務(wù)器IP地址23萬4179個個，主要位于印度（67.9%）、巴西（12.9%）等。境內(nèi)疑似被攻擊的設(shè)備地址達(dá)714萬個，其中，臺灣占比最高，為20.4%，其次是浙江等。詳情參見威脅情報月報。

　　圖4 境外Mozi僵尸網(wǎng)絡(luò)傳播服務(wù)器IP地址國家/地區(qū)分布

　　4云——物聯(lián)網(wǎng)云平臺安全監(jiān)測

　?。?1 ） 物聯(lián)網(wǎng)云平臺網(wǎng)絡(luò)攻擊監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)，針對寄云NeuSeer、航天云網(wǎng)CASICloud、機(jī)智云Gizwits、三一重工ROOTCLOUD、海爾COSMOPlat、智能云科iSESOL、徐工漢云HANYUN等重點(diǎn)物聯(lián)網(wǎng)云平臺的網(wǎng)絡(luò)攻擊事件3189起，攻擊類型涉及漏洞利用攻擊、拒絕服務(wù)攻擊、命令注入攻擊、SQL注入攻擊、跨站腳本攻擊、目錄遍歷攻擊等。

　　本月重點(diǎn)物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布如圖5所示，涉及的攻擊類型分布如圖6所示。

　　圖5  物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布

　　圖6  物聯(lián)網(wǎng)云平臺網(wǎng)絡(luò)攻擊類型分布

　　本月所監(jiān)測到的針對重點(diǎn)云平臺的網(wǎng)絡(luò)攻擊事件中，境外攻擊源涉及美國、挪威、俄羅斯等在內(nèi)的國家45個，包含威脅源節(jié)點(diǎn)545個，其中發(fā)起攻擊事件最多的境外國家Top10如圖7所示。

　　圖7  物聯(lián)網(wǎng)云平臺網(wǎng)絡(luò)攻擊威脅源國家分布

　　5 電力行業(yè)監(jiān)測

　　為了解關(guān)鍵信息基礎(chǔ)設(shè)施聯(lián)網(wǎng)電力系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢，本月重點(diǎn)對90余個電力WEB資產(chǎn)進(jìn)行抽樣監(jiān)測，資產(chǎn)覆蓋電力巡檢系統(tǒng)、電力監(jiān)測系統(tǒng)、電力MIS系統(tǒng)、電力辦公系統(tǒng)、電力管控系統(tǒng)、智慧電站系統(tǒng)和電力智能系統(tǒng)等。分析發(fā)現(xiàn)，所監(jiān)測電力資產(chǎn)IP均為NAT出口地址，分布于全國23個省、直轄市或自治區(qū)，資產(chǎn)地域分布TOP10如圖8所示，資產(chǎn)類型分布如同9所示。

　　圖8  電力WEB資產(chǎn)地域分布

　　圖9  電力WEB資產(chǎn)類型分布

　　抽樣監(jiān)測發(fā)現(xiàn)，本月遭受攻擊的電力資產(chǎn)49個，涉及高危攻擊事件200余起，資產(chǎn)類型覆蓋電力MIS系統(tǒng)、電力監(jiān)測系統(tǒng)、電能管理系統(tǒng)、電力巡檢系統(tǒng)、電力管控系統(tǒng)、電力辦公系統(tǒng)和電力運(yùn)維系統(tǒng)等。詳細(xì)的資產(chǎn)攻擊分布如圖10所示。

　　圖10  被攻擊電力WEB資產(chǎn)類型分布

　　在針對電力WEB資產(chǎn)的網(wǎng)絡(luò)攻擊中，攻擊類型涵蓋遠(yuǎn)程代碼執(zhí)行攻擊、任意命令執(zhí)行攻擊、Web應(yīng)用攻擊、邏輯漏洞利用攻擊、目錄遍歷攻擊等。詳細(xì)的攻擊類型分布如圖 11所示。其中：遠(yuǎn)程代碼執(zhí)行攻擊主要涉及Struts2遠(yuǎn)程代碼執(zhí)行漏洞和phpunit遠(yuǎn)程代碼執(zhí)行漏洞；Web應(yīng)用攻擊主要涉及跨站腳本攻擊和SQL注入攻擊；漏洞利用攻擊主要涉及GPON家庭路由器安全漏洞攻擊；命令注入攻擊主要涉及ZeroShell遠(yuǎn)程指令執(zhí)行漏洞；目錄遍歷攻擊主要涉及AppearTVMaintenance Centre路徑遍歷攻擊；邏輯漏洞利用主要涉及登陸繞過、驗(yàn)證邏輯不合理漏洞等。

　　圖11 攻擊類型分布

　　在針對電力WEB資產(chǎn)的網(wǎng)絡(luò)攻擊事件中，境外攻擊源涉及美國、韓國、德國、法國、菲律賓等在內(nèi)的國家21個，包含威脅節(jié)點(diǎn)86個，通過關(guān)聯(lián)威脅情報發(fā)現(xiàn)，大多數(shù)攻擊IP均存在可疑或惡意信息標(biāo)記等。其中發(fā)起攻擊事件最多的境外攻擊者信息如表2所示。

　　表2 電力WEB資產(chǎn)攻擊源國家分布

　　通過抽樣監(jiān)測和態(tài)勢評估，目前聯(lián)網(wǎng)電力資產(chǎn)仍然面臨很多安全風(fēng)險，存在諸多安全威脅，安全形勢依舊嚴(yán)峻。CNCERT將持續(xù)對電力行業(yè)進(jìn)行安全監(jiān)測，對重點(diǎn)目標(biāo)進(jìn)行深入分析，定期通報電力行業(yè)網(wǎng)絡(luò)安全態(tài)勢。

　　6 總結(jié)

　　CNCERT通過宏觀數(shù)據(jù)監(jiān)測，發(fā)現(xiàn)物聯(lián)網(wǎng)“云管端”三個方面的安全問題，然而目前所發(fā)現(xiàn)的安全問題僅僅是關(guān)鍵信息基礎(chǔ)設(shè)施中物聯(lián)網(wǎng)網(wǎng)絡(luò)安全隱患的冰山一角。CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題，持續(xù)開展安全監(jiān)測和定期通報工作。