工业互联网安全资讯周报期

技术标准规范

1.英国发布第一版《最低网络安全标准》

英国内阁办公室近日发布第一版《最低网络安全标准》，该标准将被纳入《英国政府安全职能标准》（Government Functional Standard for Security）。英国所有政府机构（包括组织机构和承包商）均被要求强制执行该标准。这份标准为所有商业组织机构提供了安全框架。

2.认监委发布网络关键设备和网络安全专用产品安全认证实施规则（附全文）

根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》（认监委、国家互联网信息办公室2018年第24号公告）有关要求，我委编制完成了《网络关键设备和网络安全专用产品安全认证实施规则》，现予发布。

安全威胁分析

3.Fredi的无线婴儿监控存在漏洞可被利用为间谍摄像机

近日，SEC Consult的安全研究人员发布报告称，Fredi公司的无线婴儿监控设备存在严重漏洞，该漏洞可被未经身份验证的攻击者所利用，不仅能够监控他人还能藉此入侵整个家庭网络。

4.IoT安全问题严重 但大多数公司并未掌握检测ICS攻击的方法

工业公司很担心IoT安全问题。77%的工业公司认为自己的ICS网络会遭到攻击，成为网络安全事件的受害者。但如果接受调查访问的公司中近半数都承认并未部署任何ICS攻击检测措施，这种重视程度又能有多高呢？

5.VDOO 披露 Axis 摄像头多个漏洞

在过去的几个月里，VDOO 安全研究团队一直在物联网安防领域进行广泛的安全研究。在大多数情况下，为了提高效率和透明度，研究是和设备供应商一起进行的。作为研究的一部分，VDOO 研究团队在多个供应商的设备中发现了 0day 漏洞。根据漏洞披露原则，这些漏洞首先向厂商披露，随后会逐步公开。

6.4G LTE网络曝安全漏洞！ 用户流量易被劫持！

德国波鸿鲁尔大学和美国纽约大学一组研究人员近日发布研究论文，称其在 LTE 数据链路层（Data Link Layer，又被称为第二层）协议中发现漏洞，可被黑客利用实现三种攻击途径，劫持用户通信流量，获取用户“网站指纹”。政客或记者最有可能成为此类攻击的目标。

7.安全专家支招 | GlobeImposter勒索病毒再度攻击医院

近日，国内某医院系统遭受GlobeImposter勒索病毒攻击，导致医院业务系统瘫痪，患者无法就医。据悉，勒索病毒通过医院的防火墙，感染了医院的多台服务器，入侵整个系统，导致部分文件和应用被病毒加密破坏无法打开，数据库文件被破坏，攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金，才能解密文件。

8.Triton在施耐德Triconex SIS控制器中利用了零日漏洞

2017年12月，FireEye的研究人员发现了一种名为Triton恶意软件（又称Trisis）的新型恶意代码，专门针对工业控制系统（ICS）系统。安全专家分析了恶意软件的样本，提供了有关攻击的进一步细节，显示出Triton很可能是由伊朗开发的，曾经是针对沙特阿拉伯的一个组织。

行业发展动态

9.2018年日本工业物联网发展趋势

以德国工业4.0为契机，工业物联网应用的商业模式变革持续扩大、飞速发展。起初，人们还在探索何为工业4.0，物联网化是否可行，而这些都将成为2018年的发展重点。

10.10张图刷新你对物联网的观点

到2020年，预计离散型制造、运输及物流以及公用事业等行业在物联网平台、系统和服务上的投入各自将达到400亿美元，到2021年工业物联网（IIoT）市场的产值将达到1230亿美元，年复合增长率（CAGR）为7.3%，一直持续到2020年。麦肯锡预测，到2020年，物联网市场仅仅就基于信息通信技术（ICT）的支出这一块的产值将达到5810亿美元，年复合增长率在7%到15%之间；而弗雷斯特研究公司最近的一项调查显示，工业产品在物联网采用率方面领跑所有行业，采用率达到45%，另有22%计划在今后的12个月采用物联网。

11.2018上半年十大热点网络安全事件

2018年上半年热点词汇：自动化设备管理、供应链攻击 、挖矿软件、数据泄露、系统瘫痪、漏洞。

12.美国水电站评估分析报告

美国内政部监察长办公室最近公布一份报告，报告对美国垦务局(USBR)运营的5座水电站大坝进行了评估，并将这些大坝认定为“关键基础设施”。

安全技术方案

13.关于工业控制系统网络安全审查工作的思考

近年来针对工业控制系统的网络攻击事件日益增多，安全防护态势非常严峻。目前我国主要 工业控制领域的关键技术和产品主要依赖于国外厂商，安全风险突出，开展相关安全审查工作十分必 要。本文分析了美国及欧盟在网络安全审查方面的做法以及我国开展工业控制领域网络安全审查面临 的难题，并给出了相关工作建议。