【连载】2016年中国网络空间安全年报（五）

2016年中国网络空间安全年报

2.3. 攻击目标分析

2.3.1. 受攻击站点操作系统与主流系统一致

图 2‑4 受攻击站点操作系统分布

根据风暴中心统计结果显示，在被攻击的网站群中，操作系统占比最大的分别为Windows、CentOS，ubuntu操作系统，三者占比高达总量的91%，这些类型也是我国网站群中使用较多的操作系统类型，具有典型的代表意义。

2.3.2. 高威胁的攻击源有多站点攻击迹象

根据风暴中心对几个重要行业站点受攻击的情况分析，政府机构与教育行业仍是最主要的受攻击目标，这与这两个行业的公众影响力有着直接的联系。

图 2‑5 受攻击域名类型分布TOP5

根据玄武盾统计的攻击排行TOP 10的IP进行检索，发现黑客的攻击目标不是单一的，往往攻击过大量的目标。

图 2‑6 TOP10 IP的攻击域名数量

根据分析得出，攻击多个域名的IP大部分为上级监测所使用的IP，也有部分IP是黑客团队所发起的网站群攻击行为，玄武盾中一旦识别到这类恶意攻击行为，即频繁多目标攻击的IP将会列入低信誉度的IP情报库，这类IP将会在后期出现可疑行为时被第一时间阻断。

3. 暴露在互联网中的工控设备安全现状

工控即工业自动化控制，主要是指使用计算机技术，微电子技术，电气手段，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性，小到随身使用的电子设备，大到电站电网、航空航天等，但随着工业信息化的发展，生产安全和公共安全正面临巨大的威胁，其造成的后果不容小觑。本章节主要结合2016年安恒研究院的分析成果，对全球及全国工控安全现状做简要阐述。

根据2000年以来ics.cnvd.org.cn（CNVD即国家信息安全漏洞共享平台）披露的工控系统行业的漏洞数量来看，2010年后越来越多的工控安全漏洞被披露，其中西门子等厂商的产品存在的安全威胁相对较大。

图 3‑1 自2000年起工控安全漏洞数量增长趋势（数据来源于CNVD）

工控漏洞在2010年之后始终开始保持增长趋势，从整体分析，出现此趋势一方面在于工业信息化的飞速发展，另一方面与受震网病毒的影响后网络安全意识有所提高有着较为直接的关系。综合近几年互联网中爆发的工控安全事件，可发现大部分攻击的根源都来自于利用了脆弱性较大的安全漏洞。

如下图，基于近几年披露的工控安全漏洞的等级来看，可以看到近94%的漏洞属于高中危漏洞，而高中危漏洞的严重性相比于其它漏洞而言危害更大。

图 3‑2 近年来工控系统安全漏洞安全等级数量及其占比

3.1. 工控安全事件频发并严重影响生产生活

自2010年震网病毒的爆发之后，各工业大国逐渐重视工控安全问题，工信部曾下发《关于加强工业控制系统信息安全管理的通知》、《工业控制系统信息安全防护指南》等，多次强调工业信息安全的重要性和紧迫性。根据目前互联网中披露的工控安全事件来看，各行各业均受到不同程度的安全威胁，本小节选取互联网典型工控安全事件做简单回顾。

1) Operation GHOUL（食尸鬼）行动

2016年8月，卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动，攻击通过伪装阿联酋国家银行电邮，使用鱼叉式钓鱼邮件，对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

“食尸鬼”攻击行动使用了商业现成的恶意软件，虽然没有创新，但其结合了社会工程学中人的因素，针对目标机构特定人员进行了成功的定向入侵渗透。

图 3‑3 工控设备现场

虽然这只是众多攻击中的一个案例，但可以看出工控行业在网络安全方面远远落后于攻击者。安全永远是一个棘手的问题，不能只单纯依靠技术来解决，在这起事件中可见人员安全意识同样重要，完善的安全监测防御技术和人员的安全意识因素必须综合考虑。

2) 伊朗黑客攻击美国大坝事件

图 3‑4 美国司法部公开指责涉事黑客

2016年3月24日，美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是，经执法部门后期调查确认，黑客还没有完全获得整个大坝计算机系统的控制权，仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务，他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。

电力、水力等行业与人们的生活密不可分，以上事件可看到，工控安全事件随时会危及到公众的安全，且造成的后果十分严重。相关工控厂商及安全厂商需要更加重视工控安全，及时发现、排除安全隐患，才能提升整体安全水平，从而更好地为公众服务、保障人们的安全。

3.2. 互联网中工控协议识别

如计算机通讯一样，工控系统中的通信协议也存在众多标准，其中包括众多私有协议，而众多工控协议在传输的过程中并不采取加密措施、协议本身也无认证步骤，因此可以根据协议的弱点进行攻击。

在众多公开或私有协议中可分为这大概几类：

• 标准协议：国际标准或公认的标准协议，如Modbus、DNP3、IEC104等。
• 私有公开：只有厂商自己设备支持并提供官方协议文档，如Omron FINS协议、三菱Melsec协议等。
• 私有不公开协议：只有厂商自己设备支持且官方不提供协议文档，如S7、西门子PPI协议、GE SRTP等。

安恒可对上述协议进行探测，下文针对主流的工控协议进行简单的描述和说明。

• SIEMENS

s7协议是SIEMENS s7协议族的标准通信协议，使用s7-应用接口的通信不依赖特定的总线系统。

• CoDeSys

CoDeSys编程接口在全球范围内使用广泛，全球上百个设备制造商的自动化设备中都是用了该编程接口。

• GE-SRTP

GE-SRTP协议由美国通用电气公司开发，GE PLC可以通过GE-SRTP进行数据通信和数据传输。

• omron

欧姆龙PLC使用网络协议FINS进行通信，可通过多种不同的物理网络，如以太网、控制器连接等。

• Modbus

Modbus协议是应用于电子控制器上的一种协议。通过此协议设备间可以通信。它已成为一通用工业标准。

• Fox

Fox协议是Tridium公司开发的Niagara框架的一部分，广泛应用于楼宇自动化控制系统。

• EtherNet/IP

Ethernet/IP是一个面向工业自动化应用的工业应用层协议。它建立在标准UDP/IP与TCP/IP协议之上，利用固定的以太网硬件和软件，为配置、访问和控制工业自动化设备定义了一个应用层协议。

• DNP

DNP(Distributed Network Protocol，分布式网络规约)是一种应用于自动化组件之间的通讯协议，常见于电力、水处理等行业。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。

• BACnet

楼宇自动控制网络数据通讯协议(BACnet)是针对采暖、通风、空调、制冷控制设备所设计，同时也为其他楼宇控制系统（例如照明、安保、消防等系统）的集成提供一个基本原则。

• MELSEC-Qmelsecq

MELSEC-Q系列设备使用专用的网络协议进行通讯，该系列设备可以提供高速、大容量的数据处理和机器控制。

• HART-IP

HART协议是美国Rosement公司于1985年推出的一种用于现场智能仪表和控制室设备之间的通信协议。现已成为全球智能仪表的工业标准 。

• PCWorx

PCWorx协议由菲尼克斯电气公司开发，目前广泛使用于工控系统。

未完待续