1  概述

　　根據(jù)《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例（征求意見稿）》對關鍵信息基礎設施定義和范圍的闡述，關鍵信息基礎設施（Critical InformationInfrastructure，CII）是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施，包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關鍵行業(yè)和領域。

　　隨著“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的積極推進以及Lora、NB-IOT、eMTC等物聯(lián)技術的快速發(fā)展，物聯(lián)網(wǎng)與關鍵信息基礎設施已開始深度融合，在提高相關行業(yè)的運行效率和便捷性的同時，也增加了其遭受網(wǎng)絡攻擊的風險。因此，亟需對關鍵信息基礎設施的物聯(lián)網(wǎng)網(wǎng)絡安全問題加以重視和防護。

　　CNCERT依托宏觀監(jiān)測數(shù)據(jù)，對關鍵信息基礎設施中的物聯(lián)網(wǎng)“云管端”等層面的網(wǎng)絡安全問題進行專項監(jiān)測，以下是本月的監(jiān)測情況。

　　2　端——物聯(lián)網(wǎng)終端網(wǎng)絡安全監(jiān)測情況

　?。?1 ） 活躍通信物聯(lián)網(wǎng)終端監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)有25萬臺物聯(lián)網(wǎng)終端設備與境外超過11萬個IP地址進行了直接協(xié)議通信，其中包括工業(yè)控制設備1350臺，交換機、路由器設備163648臺，網(wǎng)絡監(jiān)控設備83603臺、聯(lián)網(wǎng)打印機394個以及視頻會議系統(tǒng)188個。

　　本月監(jiān)測發(fā)現(xiàn)的物聯(lián)網(wǎng)終端設備中涉及的主要廠商分布情況如下：

　　圖片工業(yè)控制設備：主要廠商包括西門子（30.52%）、韋益可自控（21.72%）、羅克韋爾（14.7%）、施耐德（9.26%）、摩莎（8.05%）、歐姆龍（7.06%）；其設備類型主要包括可編程控制器、串口服務器、工業(yè)交換機、通信適配器等，類型分布情況如圖1所示。

　　圖1  活躍通信工控設備類型分布

　　圖片交換機、路由器設備：主要廠商包括華三（51.01%）、華為（28.87%）、銳捷（11.76%）、中興（4.51%）、思科（3.01%）、雷凌（0.26%）；

　　圖片網(wǎng)絡監(jiān)控設備主要廠商：包括?？低暎?3.47%）、大華（20.45%）和雄邁（6.08%）。

　　圖片聯(lián)網(wǎng)打印機設備主要廠商：包括富士（52.43%）、柯尼卡美能達（17.9%）、佳能（10.23%）、兄弟（8.18%）、愛普生（6.91%）和惠普（3.84%）。

　　其中，針對監(jiān)測到的聯(lián)網(wǎng)監(jiān)控設備進行弱口令檢測，發(fā)現(xiàn)43臺設備存在弱口令風險，包括?？低曉O備184臺和大華設備19臺。

　　監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)終端設備中，排名前5的省份分別山西、廣東、吉林、浙江和江蘇，各省份設備數(shù)量分布情況如圖2所示。

　　圖2  活躍物聯(lián)網(wǎng)設備省市分布

　　針對活躍工控設備的重點監(jiān)測發(fā)現(xiàn)，本月工控設備與境外IP通信事件共298萬起，涉及國家89個，主要境外IP數(shù)量的國家分布如表1所示。

　　表1 境外通信IP數(shù)量的國家分布

　?。?2 ） 網(wǎng)絡空間資源測繪組織活躍情況分析

　　本月抽樣監(jiān)測發(fā)現(xiàn)來自Shodan和ShadowServer等網(wǎng)絡空間測繪組織針對工控設備的探測響應事件830起，涉及探測節(jié)點17個，探測協(xié)議包括Modbus、S7Comm、Fox、FINS、BACnet等，探測響應事件的協(xié)議分布如圖3所示。

　　圖3  探測響應事件的協(xié)議分布

　　3 管——物聯(lián)網(wǎng)網(wǎng)絡安全事件監(jiān)測

　　根據(jù)CNCERT監(jiān)測數(shù)據(jù)，自2020年12月1日至31日，共監(jiān)測到物聯(lián)網(wǎng)（IoT）設備惡意樣本5620個。發(fā)現(xiàn)樣本傳播服務器IP地址23萬4179個個，主要位于印度（67.9%）、巴西（12.9%）等。境內疑似被攻擊的設備地址達714萬個，其中，臺灣占比最高，為20.4%，其次是浙江等。詳情參見威脅情報月報。

　　圖4 境外Mozi僵尸網(wǎng)絡傳播服務器IP地址國家/地區(qū)分布

　　4云——物聯(lián)網(wǎng)云平臺安全監(jiān)測

　?。?1 ） 物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊監(jiān)測情況

　　本月抽樣監(jiān)測發(fā)現(xiàn)，針對寄云NeuSeer、航天云網(wǎng)CASICloud、機智云Gizwits、三一重工ROOTCLOUD、海爾COSMOPlat、智能云科iSESOL、徐工漢云HANYUN等重點物聯(lián)網(wǎng)云平臺的網(wǎng)絡攻擊事件3189起，攻擊類型涉及漏洞利用攻擊、拒絕服務攻擊、命令注入攻擊、SQL注入攻擊、跨站腳本攻擊、目錄遍歷攻擊等。

　　本月重點物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布如圖5所示，涉及的攻擊類型分布如圖6所示。

　　圖5  物聯(lián)網(wǎng)云平臺攻擊事件的平臺分布

　　圖6  物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊類型分布

　　本月所監(jiān)測到的針對重點云平臺的網(wǎng)絡攻擊事件中，境外攻擊源涉及美國、挪威、俄羅斯等在內的國家45個，包含威脅源節(jié)點545個，其中發(fā)起攻擊事件最多的境外國家Top10如圖7所示。

　　圖7  物聯(lián)網(wǎng)云平臺網(wǎng)絡攻擊威脅源國家分布

　　5 電力行業(yè)監(jiān)測

　　為了解關鍵信息基礎設施聯(lián)網(wǎng)電力系統(tǒng)的網(wǎng)絡安全態(tài)勢，本月重點對90余個電力WEB資產進行抽樣監(jiān)測，資產覆蓋電力巡檢系統(tǒng)、電力監(jiān)測系統(tǒng)、電力MIS系統(tǒng)、電力辦公系統(tǒng)、電力管控系統(tǒng)、智慧電站系統(tǒng)和電力智能系統(tǒng)等。分析發(fā)現(xiàn)，所監(jiān)測電力資產IP均為NAT出口地址，分布于全國23個省、直轄市或自治區(qū)，資產地域分布TOP10如圖8所示，資產類型分布如同9所示。

　　圖8  電力WEB資產地域分布

　　圖9  電力WEB資產類型分布

　　抽樣監(jiān)測發(fā)現(xiàn)，本月遭受攻擊的電力資產49個，涉及高危攻擊事件200余起，資產類型覆蓋電力MIS系統(tǒng)、電力監(jiān)測系統(tǒng)、電能管理系統(tǒng)、電力巡檢系統(tǒng)、電力管控系統(tǒng)、電力辦公系統(tǒng)和電力運維系統(tǒng)等。詳細的資產攻擊分布如圖10所示。

　　圖10  被攻擊電力WEB資產類型分布

　　在針對電力WEB資產的網(wǎng)絡攻擊中，攻擊類型涵蓋遠程代碼執(zhí)行攻擊、任意命令執(zhí)行攻擊、Web應用攻擊、邏輯漏洞利用攻擊、目錄遍歷攻擊等。詳細的攻擊類型分布如圖 11所示。其中：遠程代碼執(zhí)行攻擊主要涉及Struts2遠程代碼執(zhí)行漏洞和phpunit遠程代碼執(zhí)行漏洞；Web應用攻擊主要涉及跨站腳本攻擊和SQL注入攻擊；漏洞利用攻擊主要涉及GPON家庭路由器安全漏洞攻擊；命令注入攻擊主要涉及ZeroShell遠程指令執(zhí)行漏洞；目錄遍歷攻擊主要涉及AppearTVMaintenance Centre路徑遍歷攻擊；邏輯漏洞利用主要涉及登陸繞過、驗證邏輯不合理漏洞等。

　　圖11 攻擊類型分布

　　在針對電力WEB資產的網(wǎng)絡攻擊事件中，境外攻擊源涉及美國、韓國、德國、法國、菲律賓等在內的國家21個，包含威脅節(jié)點86個，通過關聯(lián)威脅情報發(fā)現(xiàn)，大多數(shù)攻擊IP均存在可疑或惡意信息標記等。其中發(fā)起攻擊事件最多的境外攻擊者信息如表2所示。

　　表2 電力WEB資產攻擊源國家分布

　　通過抽樣監(jiān)測和態(tài)勢評估，目前聯(lián)網(wǎng)電力資產仍然面臨很多安全風險，存在諸多安全威脅，安全形勢依舊嚴峻。CNCERT將持續(xù)對電力行業(yè)進行安全監(jiān)測，對重點目標進行深入分析，定期通報電力行業(yè)網(wǎng)絡安全態(tài)勢。

　　6 總結

　　CNCERT通過宏觀數(shù)據(jù)監(jiān)測，發(fā)現(xiàn)物聯(lián)網(wǎng)“云管端”三個方面的安全問題，然而目前所發(fā)現(xiàn)的安全問題僅僅是關鍵信息基礎設施中物聯(lián)網(wǎng)網(wǎng)絡安全隱患的冰山一角。CNCERT將長期關注物聯(lián)網(wǎng)網(wǎng)絡安全問題，持續(xù)開展安全監(jiān)測和定期通報工作。