【连载】2016年中国网络空间安全年报（六）

2016年中国网络空间安全年报

3.3暴露在互联网中的工控设备

由于工控协议在传输过程中不加密、协议上无认证，因此可以认为在互联网中每发现一台工控设备，都存在一定的安全漏洞和安全风险的。由于各个区域在互联网中暴露的设备数量以及使用的协议类型不同，因此存在的安全风险也是不同的。安恒研究院对主流协议进行探测，将在下文分析暴露在互联网中的工控协议的分布与威胁。

3.3.1全球有上万个暴露在互联网中的工控设备

通过安恒研究院探测发现，全球范围内暴露在互联网中的设备数量已经达到53,831台，其中黄色的点代表工控设备，越集中代表工控设备数量越多，也可以认为其风险也较为集中。注意此次分析的数据为截止到2016年12月存活使用的工控设备，不同于部分第三方平台中提供的历史所有工控设备数量（存在大量设备已经不再使用的情况），更能代表当前最新的工控设备情况。

▲ 全球暴露在互联网中的工控设备数量散点图

从图中可以看到，美国区域暴露的工控设备最多，其数量已达到27,104个，远远超于其它国家，这是由于美国是工业化最为发达的国家，工业网络也较为开放。从互联网披露的事件来看，美国地区发生的工控安全事件相较于其它区域更多，这与其政治背景、军事力量及工业发展等有较为直接的关系。从图中来看，中国在互联网中暴露出来的工控设备仅次于美国、加拿大，所带来的安全隐患也比其他国家相对更高一些，需要引起重视。

下图基于以上数据，就各个工控协议在全球工控系统中使用的数量进行统计：

▲ 全球范围内单个工控协议暴露在互联网中的数量TOP10

所有暴露在互联网中的工控协议，FOX安全风险最高，数量达到24,759个，目前Tridium公司的专用协议Tridium Niagara Fox被广泛应用于智能建筑、基础设施管理、电信设施管理、安防系统、智能电网、暖通空调设备等领域，因此其数量也较多。而排行第二的Modbus协议是全球第一个真正用于工业现场的总线协议，因其公开发表无版税要求，工业网络部署相对容易，对供应商来说，修改移动原生的位元或字节没有很多限制等优点，得到全球的广泛应用。

就使用率较高的工控协议来看，所有协议在美国的使用率均远大于其他区域，加拿大、荷兰、西班牙、法国、中国等区域使用也较大，下图为就全球而言，各类协议使用数量排名TOP10的汇总表：

▲ 单个工控协议暴露在互联网中的数量TOP10图示

3.3.2 中国有上千个暴露在互联网中的工控设备

近年来，我国政府高度重视工控系统安全，曾经爆发的“黑天鹅”安全门、某城市可远程访问和控制的数据采集与监控系统、某市自来水厂系统等事件给各行各业敲响了警钟，工控系统安全正如计算机系统安全一样面临着越来越多的黑客攻击。

▲ 全国范围内暴露在互联网中的工控设备

经过安恒研究院对国内工控设备的探测，发现全国范围内暴露在互联网中的工控设备数量已达到 2143台。如上图所示，中国台湾、黑龙江两地工控设备较多，其中中国台湾地区暴露的工控设备位于全球前十，其所面临的风险也较大。工控协议直接暴露在互联网中会导致攻击者很容易接触到这些工控设备，并可通过漏洞和APT攻击等手法来对这些设备进行攻击。

下图为各个协议在全国范围内的使用情况：

▲ 全国范围内单个工控协议暴露在互联网中的数量

我们从全国区域来简要分析阐述工控系统中存在的安全风险。从上图表可见，全国范围内工控协议modubs比其他协议存在更高的安全风险，其次为enip、fox等。

下图为全国范围内各省份使用的协议数量，未提及的及没有数字的区域为暂未监测到使用此协议的工控设备，从图中可看出中国台湾、黑龙江、山东、中国香港等区域使用的工控设备较多。其中中国台湾区域使用Modbus协议的数量达到954个，使用fox协议的数量达到202个，而proconos、melsecq、crimson等协议均只在中国台湾监测到。

▲ 单个工控协议暴露在国内互联网中的数量图示

3.4 互联网中暴露的国内主流视频监控设备分析

当前视频监控设备成为了最主要的安防产品，被广泛用于各行业，如道路监控、校园监控、校区监控等，由于其数量众多，所存在的安全威胁也较大，2016年曾出现暴露在互联网中的监控设备被控制成为DDOS的僵尸网络，造成美国大范围网络瘫痪。而我国生产的视频监控设备技术先进，不仅应用在国内安防领域，也大量出口国外，使用分布遍布全球，在视频监控领域有着举足轻重的影响。因此本小节重点选取国内主流的监控设备在互联网中暴露情况做分析。

通过安恒研究院对国内主流监控设备在全球的分布进行探测分析，发现在公网中暴露出来的国内主流监控设备数量已经探测到2,699,929台，其中存在有弱口令的设备高达734,354台，占总台数的27.2%。依据上述数据，可分析得知大约每 3至4台设备中就有可能存在一台监控设备存在弱口令。假使攻击者长期批量入侵监控设备，那么其可监控并熟悉监控区域的整体活动情况。

3.4.1.1我国生产的视频监控设备主要暴露在中美等国

下图为我国生产的主流视频监控设备在全球各区域的分布情况，其中可看到中国本土使用最为广泛，达到了470,406台，占比27%，第二大区域为美国，成为了中国视频出口的大国，其次为巴西、印度等地，一定程度上代表了我国视频监控设备占据了较多海外市场。

▲国内主流视频监控设备在全球各国家分布数量图

根据安恒研究院的监测结果来看，视频监控设备在国内主要分布于广东（26%）、江苏（17%）、浙江（15%）等地，其中广东区域的监控设备数量达到89253个，居于全国首位，这与广东区域的工业、经济等发展水平有十分紧密的联系。

▲ 国内电子监控设备区域排行TOP10

3.4.1.2我国生产的视频监控漏洞主要影响中美等国

下图为国内的视频监控设备存在的安全漏洞分布图，从图中可以看到中国、美国等区域分布的安全漏洞数量较多，其整体趋势与电子监控设备的数量保持正比关系。其中国内存在的漏洞为147850个，美国为112824个。

▲ 国内主流监控设备漏洞占比图（全球）

而国内监控设备数量较多的区域：如广东、浙江、江苏、福建等地存在的漏洞数量也较多，其中广东的漏洞达到20743个，浙江的漏洞数量17125个。

▲ 国内主流监控设备漏洞占比图（全国）

由此可见全国甚至全球范围内监控设备还存在大量的安全问题，尤其是弱口令漏洞，用户如直接遵从厂商设置的默认密码，黑客可直接尝试使用弱口令进入监控系统后台，获得控制监控设备的权限，以此达到黑客目的，因此工控系统安全亟需引起人们的重视。