2020年中國(guó)工業(yè)信息安全監(jiān)測(cè)情況分析：共收錄工業(yè)信息安全漏洞2138個(gè)，同比增長(zhǎng)22.2%[圖]

    2020年，國(guó)家工業(yè)信息安全發(fā)展研究中心聯(lián)合31家支撐機(jī)構(gòu)初步建成國(guó)家工業(yè)信息安全監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)。從年度監(jiān)測(cè)數(shù)據(jù)分析，我國(guó)低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)和設(shè)備數(shù)量呈現(xiàn)激增態(tài)勢(shì)，市政、制造、交通等行業(yè)風(fēng)險(xiǎn)較高，工業(yè)信息安全漏洞數(shù)量持續(xù)增長(zhǎng)。

    一、低防護(hù)聯(lián)網(wǎng)設(shè)備監(jiān)測(cè)情況

    低防護(hù)聯(lián)網(wǎng)設(shè)備是指暴露于公共互聯(lián)網(wǎng)，自身防護(hù)水平差，可被識(shí)別、監(jiān)測(cè)，存在極大被遠(yuǎn)程入侵風(fēng)險(xiǎn)的設(shè)備。國(guó)家工業(yè)信息安全發(fā)展研究中心自2014年起開展針對(duì)低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的在線監(jiān)測(cè)工作，目前可識(shí)別種類已從工業(yè)控制系統(tǒng)擴(kuò)展至物聯(lián)網(wǎng)終端、工業(yè)信息系統(tǒng)及工業(yè)互聯(lián)網(wǎng)設(shè)備等，共計(jì)500余種。經(jīng)對(duì)比分析多輪次在線監(jiān)測(cè)數(shù)據(jù)，各類低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量相比去年均有較大幅度增長(zhǎng)。

    1、我國(guó)低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量已超500萬，其中工業(yè)控制系統(tǒng)已突破2.5萬

    2020年12月最新監(jiān)測(cè)數(shù)據(jù)顯示，我國(guó)各類低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量總計(jì)超過500萬，其中，攝像頭、車載模塊、打印機(jī)等終端設(shè)備占比超過80%?？删幊踢壿嬁刂破?PLC)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、數(shù)據(jù)傳輸單元(DTU)等工業(yè)控制系統(tǒng)數(shù)量已超過2.5萬，相比2019年增加近4倍。從地域分布來看，低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)分布于全國(guó)31個(gè)省(區(qū)、市)，其中，山東、遼寧、北京排名前3,數(shù)量均超過2000臺(tái)/套。

    2、低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)中，電力系統(tǒng)、Modbus協(xié)議設(shè)備、DTU數(shù)據(jù)采集終端占比最高

    據(jù)2020年12月監(jiān)測(cè)數(shù)據(jù)顯示，DLT698電能采集主站、Modbus協(xié)議設(shè)備、DTU數(shù)據(jù)采集終端占比分別為31.60%、20.52%和20.03%(見圖2)。其中，Modbus協(xié)議設(shè)備涉及施耐德、和利時(shí)、通用電氣、羅克韋爾、浙江中控等國(guó)內(nèi)外主流工業(yè)控制系統(tǒng)廠商，在智能制造、能源、化工等多個(gè)重點(diǎn)行業(yè)領(lǐng)域應(yīng)用廣泛，由于Modbus協(xié)議自身安全性不足，存在加密手段缺失、授權(quán)認(rèn)證不足等固有問題，導(dǎo)致此類低防護(hù)聯(lián)網(wǎng)設(shè)備存在較大安全隱患。

    3、低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量激增原因分析

    從近年監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)看，低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量持續(xù)攀升。2018年12月為3000余臺(tái)/套，2019年底數(shù)量增至5000余臺(tái)/套,2020年相比2019年同期增長(zhǎng)了375%。主要原因有:一是工業(yè)數(shù)字化轉(zhuǎn)型的推動(dòng)作用。工業(yè)數(shù)字化轉(zhuǎn)型推動(dòng)著工業(yè)企業(yè)向智能化、數(shù)字化、網(wǎng)絡(luò)化生產(chǎn)服務(wù)模式轉(zhuǎn)變，工業(yè)設(shè)備“上云”“上平臺(tái)”，風(fēng)險(xiǎn)面快速擴(kuò)大。二是監(jiān)測(cè)技術(shù)水平提升。通過深耕工控指紋識(shí)別、工業(yè)協(xié)議解析、高交互仿真、安全大數(shù)據(jù)分析等核心技術(shù)，國(guó)家工業(yè)信息安全監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)在2020年完成第3輪技術(shù)更新,監(jiān)測(cè)范圍、探測(cè)能力、節(jié)點(diǎn)覆蓋量等均有大幅提升。三是工業(yè)企業(yè)安全防護(hù)仍不到位。經(jīng)研判分析，部分工業(yè)企業(yè)仍存在設(shè)備固件更新和系統(tǒng)漏洞修復(fù)不及時(shí)、使用默認(rèn)口令或弱口令、開放非必要遠(yuǎn)程服務(wù)端口等情況，安全意識(shí)和防護(hù)水平亟待提高。

    二、風(fēng)險(xiǎn)研判情況

    2020年，國(guó)家工業(yè)信息安全發(fā)展研究中心抽樣研判工業(yè)信息安全風(fēng)險(xiǎn)近800個(gè)，涉及制造、交通、市政等多個(gè)重點(diǎn)行業(yè)，研判發(fā)現(xiàn)工業(yè)控制系統(tǒng)、工業(yè)信息系統(tǒng)存在受攻擊面大、漏洞利用難度低等問題。

    1、市政、制造、交通等行業(yè)安全風(fēng)險(xiǎn)偏高

    在研判的工業(yè)信息安全風(fēng)險(xiǎn)中，35%集中于熱力、環(huán)境監(jiān)測(cè)、給排水等市政領(lǐng)域，上述領(lǐng)域均采用管網(wǎng)監(jiān)控，工業(yè)控制系統(tǒng)聯(lián)網(wǎng)比例高，若缺乏有效安全防護(hù)，極易被攻擊者入侵，致使關(guān)鍵數(shù)據(jù)泄露，控制指令篡改、生產(chǎn)運(yùn)行停滯。另有16%的安全風(fēng)險(xiǎn)源于制造業(yè)，制造業(yè)的工業(yè)控制系統(tǒng)、工業(yè)信息系統(tǒng)應(yīng)用基數(shù)大，在環(huán)境參數(shù)采集、儀表信息配置等環(huán)節(jié)多采用遠(yuǎn)程操作，風(fēng)險(xiǎn)暴露面較大。此外，交通、電力、石油等行業(yè)領(lǐng)域也面臨著嚴(yán)峻的安全挑戰(zhàn)。

2020年中國(guó)工業(yè)信息安全風(fēng)險(xiǎn)行業(yè)分布

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    2、弱口令漏洞、未授權(quán)訪問漏洞普遍

    在研判的工業(yè)信息安全風(fēng)險(xiǎn)中，主要存在弱口令漏洞、未授權(quán)訪問漏洞、目錄遍歷漏洞、SQL注入漏洞等，其中，弱口令漏洞占比61%、未授權(quán)訪問漏洞占比11%、目錄遍歷漏洞占比9%，三類漏洞總計(jì)占比達(dá)81%。這三類漏洞利用門檻低，影響范圍廣，存在較大風(fēng)險(xiǎn)隱患。受影響系統(tǒng)及設(shè)備多為SCADA、工業(yè)信息系統(tǒng)、串口服務(wù)器等。

2020年中國(guó)工業(yè)信息安全風(fēng)險(xiǎn)類型統(tǒng)計(jì)

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    三、安全威脅情況

    依托國(guó)家工業(yè)信息安全監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)，對(duì)S7Comm、Modbus、OmronFINS、DNP3等10余種工業(yè)專屬協(xié)議進(jìn)行高交互仿真，研發(fā)并實(shí)施了工控蜜罐網(wǎng)絡(luò)一期部署，全年捕獲來自境外的惡意網(wǎng)絡(luò)攻擊累計(jì)200余萬次，平均每個(gè)蜜罐每日捕獲攻擊50余次。

    1、通用型工業(yè)協(xié)議遭受攻擊次數(shù)高于特定行業(yè)專屬協(xié)議

    從攻擊協(xié)議分析，S7Comm和Modbus兩種主流通用協(xié)議遭受攻擊次數(shù)最多，占比近40%。DNP3、IEC104等特定行業(yè)專屬協(xié)議遭受的攻擊次數(shù)相對(duì)較少。

    2、東部沿海地區(qū)遭受攻擊次數(shù)高于內(nèi)陸地區(qū)

    從我國(guó)遭受攻擊的區(qū)域情況看，東部沿海地區(qū)遭受攻擊次數(shù)相對(duì)較多，其中，浙江、江蘇、上海排名前三。

    四、漏洞跟蹤情況

    國(guó)家工業(yè)信息安全漏洞庫(kù)(CICSVD)在25家成員單位的支持下，持續(xù)開展工業(yè)信息安全漏洞收集整理工作，逐步完善工業(yè)信息安全漏洞發(fā)現(xiàn)和應(yīng)急處置生態(tài)。整體來看,2020年工業(yè)信息安全漏洞保持高速增長(zhǎng)，呈現(xiàn)危害等級(jí)高、分布范圍廣、成因多樣的特點(diǎn)。

    1、漏澗數(shù)量高速增長(zhǎng)

    2020年，CICSVD共收錄工業(yè)信息安全漏洞2138個(gè)，較2019年上升22.2%，其中通用型漏洞2045個(gè)，事件型漏洞93個(gè)，保持了較高的增長(zhǎng)態(tài)勢(shì)。

2020年CICSVD收錄漏洞月度分布情況

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    2、高危漏洞占比居高不下

    2020年，CICSVD收錄的通用型漏洞中，高危及以上漏洞占比高達(dá)62.5%。具體來看,超危漏洞379個(gè)(占比18.5%),高危漏洞899個(gè)(占比44%)，中危漏洞716個(gè)(占比35%),低危漏洞51個(gè)(占比2.5%)(見圖9)。危害等級(jí)較高的漏洞包括TreckTCP/IP軟件庫(kù)漏洞、法國(guó)施耐德電氣公司EasergyT300認(rèn)證繞過漏洞、德國(guó)WAGO公司I/0-CHECK工業(yè)軟件緩沖區(qū)錯(cuò)誤漏洞、瑞士ABB公司Relion670Series目錄遍歷漏洞等。

2020年CICSVD收錄漏洞按危害等級(jí)分布

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    3、漏洞分布范圍廣泛

    智研咨詢發(fā)布的《2021-2027年中國(guó)信息安全行業(yè)市場(chǎng)供需形勢(shì)分析及投資前景評(píng)估報(bào)告》數(shù)據(jù)顯示：在CICSVD收錄的通用型漏洞中，受影響產(chǎn)品共涉及10個(gè)大類、66個(gè)小類。其中，工業(yè)主機(jī)設(shè)備和軟件類、工業(yè)生產(chǎn)控制設(shè)備類和工業(yè)網(wǎng)絡(luò)通信設(shè)備類產(chǎn)品是收錄漏洞數(shù)量最多的產(chǎn)品大類，合計(jì)占比72.8%。

2020年CICSVD收錄漏洞按受影響產(chǎn)品大類分布

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    從產(chǎn)品小類來看，PLC、組態(tài)軟件、工業(yè)路由器、SCADA、工業(yè)軟件是收錄漏洞數(shù)量最多的5類產(chǎn)品，其中程邏輯控制器(PLC)占12%；組態(tài)軟件占11%；工業(yè)路由器占8%；數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)占7%；工業(yè)軟件占6%。漏洞基本涵蓋國(guó)內(nèi)外主流設(shè)備廠商，涉及德國(guó)西門子公司、法國(guó)施耐德電氣公司、瑞士ABB公司等335家廠商，影響關(guān)鍵制造、能源、化工、醫(yī)療、安防等重點(diǎn)領(lǐng)域。

2020年CICSVD收錄漏洞按受影響產(chǎn)品小類分布

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    4、漏澗類型多樣

    按照漏洞成因分類，2020年CICSVD收錄的漏洞中共涉及31種漏洞類型。其中，緩沖區(qū)錯(cuò)誤漏洞數(shù)量最多，為337個(gè)(占比16.5%)，輸入驗(yàn)證錯(cuò)誤、授權(quán)問題、資源管理錯(cuò)誤漏洞分別占比7.4%、7.2%和6.9%。

2020年CICSVD收錄漏洞類型(單位:個(gè))

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    2020年，在CICSVD收錄的通用型漏洞中，主要涉及德國(guó)西門子(Siemens)公司、法國(guó)施耐德電氣(SchneiderEletric)公司、研華科技(Advantech)、中國(guó)臺(tái)灣摩莎(Moxa)公司、瑞士ABB公司等335家廠商。

2020年CICSVD收錄漏洞按受影響產(chǎn)品廠商分布表

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    2020年CICSVD收錄漏洞中中國(guó)受影響產(chǎn)品廠商占33.8%；美國(guó)受影響產(chǎn)品廠商占24.4%；德國(guó)受影響產(chǎn)品廠商占19.1%；法國(guó)受影響產(chǎn)品廠商占6.8%；日本受影響產(chǎn)品廠商占4.7%；瑞士受影響產(chǎn)品廠商占3.3%；荷蘭受影響產(chǎn)品廠商占1.3%；奧地利受影響產(chǎn)品廠商占0.9%；加拿大受影響產(chǎn)品廠商占0.9%；其他國(guó)家受影響產(chǎn)品廠商占4.8%。

2020年CICSVD收錄漏洞受影響產(chǎn)品廠商按國(guó)家分布

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    5、單位貢獻(xiàn)排名

    2020年，CICSVD技術(shù)支持組成員單位北京頂象技術(shù)有限公司、博智安全科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、北京威努特技術(shù)有限公司、恒安嘉新(北京)科技股份公司、杭州?？低晹?shù)字技術(shù)股份有限公司、中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司、北京奇安信科技有限公司、工業(yè)信息安全(四川)創(chuàng)新中心有限公司、四川賽虎科技有限公司、杭州迪普科技股份有限公司、北京安天網(wǎng)絡(luò)安全技術(shù)有限公司、北京天地和興科技有限公司、北京啟明星辰信息安全技術(shù)有限公司、深圳融安網(wǎng)絡(luò)科技有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司積極向CICSVD報(bào)送漏洞。

2020年CICSVD技術(shù)支持組成員單位貢獻(xiàn)排名

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理

    2020年武漢安域信息安全技術(shù)有限公司、河南信安世紀(jì)科技有限公司、內(nèi)蒙古信元網(wǎng)絡(luò)安全技術(shù)股份有限公司、鄭州賽歐思科技有限公司、浙江遠(yuǎn)望信息股份有限公司等非成員單位積極向CICSVD報(bào)送漏洞。

2020年CICSVD非成員單位貢獻(xiàn)排名

資料來源：國(guó)家工業(yè)信息安全發(fā)展研究中心、智研咨詢整理