根據(jù)《網(wǎng)絡安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》對關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical InformationInfrastructure，CII）是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎(chǔ)設(shè)施，包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關(guān)鍵行業(yè)和領(lǐng)域。

　　隨著“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的積極推進以及Lora、NB-IOT、eMTC等物聯(lián)技術(shù)的快速發(fā)展，物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開始深度融合，在提高相關(guān)行業(yè)的運行效率和便捷性的同時，也增加了其遭受網(wǎng)絡攻擊的風險。因此，亟需對關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)網(wǎng)絡安全問題加以重視和防護。

　　CNCERT依托宏觀監(jiān)測數(shù)據(jù)，對關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)“云管端”等層面的網(wǎng)絡安全問題進行專項監(jiān)測，以下是本月的監(jiān)測情況。

　　2

　　端——物聯(lián)網(wǎng)終端網(wǎng)絡安全監(jiān)測情況

　?。?1 ） 活躍通信物聯(lián)網(wǎng)終端監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)有24萬臺物聯(lián)網(wǎng)終端設(shè)備與境外超過9萬個IP地址進行了直接協(xié)議通信，其中包括工業(yè)控制設(shè)備1243臺，交換機、路由器設(shè)備155738臺，網(wǎng)絡監(jiān)控設(shè)備76222臺、聯(lián)網(wǎng)打印機306個以及視頻會議系統(tǒng)139個。

　　本月監(jiān)測發(fā)現(xiàn)的物聯(lián)網(wǎng)終端設(shè)備中涉及的主要廠商分布情況如下：

　　圖片工業(yè)控制設(shè)備：主要廠商包括西門子（33.39%）、韋益可自控（21.32%）、羅克韋爾（13.19%）、施耐德（9.65%）、歐姆龍（7.48%）、摩莎（6.76%）；其設(shè)備類型主要包括可編程控制器、串口服務器、工業(yè)交換機、通信適配器等，類型分布情況如圖1所示。

　　圖1 活躍通信工控設(shè)備類型分布

　　圖片交換機、路由器設(shè)備：主要廠商包括華三（57.1%）、華為（21.83%）、銳捷（12.69%）、中興（4.78%）、思科（2.73%）、雷凌（0.28%）；

　　圖片網(wǎng)絡監(jiān)控設(shè)備主要廠商：包括?？低暎?6.15%）、大華（25.72%）和雄邁（8.13%）。

　　圖片聯(lián)網(wǎng)打印機設(shè)備主要廠商：包括富士（43.37%）、柯尼卡美能達（15.86%）、佳能（15.21%）、兄弟（11%）、愛普生（7.44%）和惠普（5.5%）。

　　其中，針對監(jiān)測到的聯(lián)網(wǎng)監(jiān)控設(shè)備進行弱口令檢測，發(fā)現(xiàn)82臺設(shè)備存在弱口令風險，包括海康威視設(shè)備66臺和大華設(shè)備16臺。

　　監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)終端設(shè)備中，排名前5的省份分別山西、廣東、吉林、浙江和江蘇，各省份設(shè)備數(shù)量分布情況如圖2所示。

　　圖2 活躍物聯(lián)網(wǎng)設(shè)備省市分布

　　針對活躍工控設(shè)備的重點監(jiān)測發(fā)現(xiàn)，本月工控設(shè)備與境外IP通信事件共260萬起，涉及國家97個，主要境外IP數(shù)量的國家分布如表1所示。

　　表1 境外通信IP數(shù)量的國家分布

　　（ 2 ） 網(wǎng)絡空間資源測繪組織活躍情況分析

　　本月抽樣監(jiān)測發(fā)現(xiàn)來自Shodan和ShadowServer等網(wǎng)絡空間測繪組織針對工控設(shè)備的探測響應事件739起，涉及探測節(jié)點18個，探測協(xié)議包括Modbus、S7Comm、Fox、FINS、BACnet等，探測響應事件的協(xié)議分布如圖3所示。

　　圖3 探測響應事件的協(xié)議分布

　　3

　　管——物聯(lián)網(wǎng)網(wǎng)絡安全事件監(jiān)測

　　根據(jù)CNCERT監(jiān)測數(shù)據(jù)，自2021年1月1日至31日，共監(jiān)測到物聯(lián)網(wǎng)（IoT）設(shè)備惡意樣本5175個，。發(fā)現(xiàn)樣本傳播服務器IP地址21萬5084個個，主要位于印度（65.9%）、巴西（16.8%）、俄羅斯（4.9%）、韓國（1.9%）等等。境內(nèi)疑似被感染的設(shè)備地址達711萬個，其中，浙江占比最高，為20.0%，境內(nèi)感染設(shè)備分布如圖4所示。詳情參見威脅情報月報。

　　圖4 惡意樣本家族分布

　　4  云——物聯(lián)網(wǎng)云平臺安全監(jiān)測

　　（ 1 ） 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)，針對寄云NeuSeer、航天云網(wǎng)CASICloud、機智云Gizwits、三一重工ROOTCLOUD、海爾COSMOPlat、智能云科iSESOL、徐工漢云HANYUN等重點物聯(lián)網(wǎng)云平臺的網(wǎng)絡攻擊事件3819起，攻擊類型涉及漏洞利用攻擊、拒絕服務攻擊、命令注入攻擊、SQL注入攻擊、跨站腳本攻擊、目錄遍歷攻擊等。

　　本月重點物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布如圖5所示，涉及的攻擊類型分布如圖6所示。

　　圖5 物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布

　　圖6 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊類型分布

　　本月所監(jiān)測到的針對重點云平臺的網(wǎng)絡攻擊事件中，境外攻擊源涉及美國、挪威、俄羅斯等在內(nèi)的國家57個，包含威脅源節(jié)點721個，其中發(fā)起攻擊事件最多的境外國家Top10如圖7所示。

　　圖7 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊威脅源國家分布

　　5  電力行業(yè)監(jiān)測

　　為了解關(guān)鍵信息基礎(chǔ)設(shè)施聯(lián)網(wǎng)電力系統(tǒng)的網(wǎng)絡安全態(tài)勢，本月重點對90余個電力WEB資產(chǎn)進行抽樣監(jiān)測，資產(chǎn)覆蓋電力巡檢系統(tǒng)、電力監(jiān)測系統(tǒng)、電力MIS系統(tǒng)、電力辦公系統(tǒng)、電力管控系統(tǒng)、智慧電站系統(tǒng)和電力智能系統(tǒng)等。分析發(fā)現(xiàn)，所監(jiān)測電力資產(chǎn)IP均為NAT出口地址，分布于全國23個省、直轄市或自治區(qū)，資產(chǎn)地域分布TOP10如圖8所示，資產(chǎn)類型分布如同9所示。

　　圖8 電力WEB資產(chǎn)地域分布

　　圖9 電力WEB資產(chǎn)類型分布

　　抽樣監(jiān)測發(fā)現(xiàn)，本月遭受攻擊的電力資產(chǎn)49個，涉及高危攻擊事件200余起，資產(chǎn)類型覆蓋電力MIS系統(tǒng)、電力監(jiān)測系統(tǒng)、電能管理系統(tǒng)、電力巡檢系統(tǒng)、電力管控系統(tǒng)、電力辦公系統(tǒng)和電力運維系統(tǒng)等。詳細的資產(chǎn)攻擊分布如圖10所示。

　　圖10 被攻擊電力WEB資產(chǎn)類型分布

　　在針對電力WEB資產(chǎn)的網(wǎng)絡攻擊中，攻擊類型涵蓋遠程代碼執(zhí)行攻擊、任意命令執(zhí)行攻擊、Web應用攻擊、邏輯漏洞利用攻擊、目錄遍歷攻擊等。詳細的攻擊類型分布如圖 11所示。其中：遠程代碼執(zhí)行攻擊主要涉及Struts2遠程代碼執(zhí)行漏洞、phpunit遠程代碼執(zhí)行漏洞和柯達圖像查看器遠程代碼執(zhí)行漏洞；Web應用攻擊主要涉及跨站腳本攻擊和SQL注入攻擊；漏洞利用攻擊主要涉及GPON家庭路由器安全漏洞攻擊；命令注入攻擊主要涉及ZeroShell遠程指令執(zhí)行漏洞；目錄遍歷攻擊主要涉及AppearTVMaintenance Centre路徑遍歷攻擊；邏輯漏洞利用主要涉及登陸繞過、驗證邏輯不合理漏洞等。

　　圖11 攻擊類型分布

　　在針對電力WEB資產(chǎn)的網(wǎng)絡攻擊事件中，境外攻擊源涉及美國、韓國、德國、法國、菲律賓等在內(nèi)的國家20個，包含威脅節(jié)點73個，通過關(guān)聯(lián)威脅情報發(fā)現(xiàn)，大多數(shù)攻擊IP均存在可疑或惡意信息標記等。其中發(fā)起攻擊事件最多的境外攻擊者信息如表2所示。

　　表2 電力WEB資產(chǎn)攻擊源國家分布

　　通過抽樣監(jiān)測和態(tài)勢評估，目前聯(lián)網(wǎng)電力資產(chǎn)仍然面臨很多安全風險，存在諸多安全威脅，安全形勢依舊嚴峻。CNCERT將持續(xù)對電力行業(yè)進行安全監(jiān)測，對重點目標進行深入分析，定期通報電力行業(yè)網(wǎng)絡安全態(tài)勢。

　　6 總結(jié)

　　CNCERT通過宏觀數(shù)據(jù)監(jiān)測，發(fā)現(xiàn)物聯(lián)網(wǎng)“云管端”三個方面的安全問題，然而目前所發(fā)現(xiàn)的安全問題僅僅是關(guān)鍵信息基礎(chǔ)設(shè)施中物聯(lián)網(wǎng)網(wǎng)絡安全隱患的冰山一角。CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡安全問題，持續(xù)開展安全監(jiān)測和定期通報工作。