关键信息基础设施网络安全（物联网安全专题）监测月报202008期

2020年9月15日16:13:38评论228 views字数 3006阅读10分1秒阅读模式

概述

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical InformationInfrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展，物联网与关键信息基础设施已开始深度融合，在提高相关行业的运行效率和便捷性的同时，也增加了其遭受网络攻击的风险。因此，亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。

CNCERT依托宏观监测数据，对关键信息基础设施中的物联网“云管端”等层面的网络安全问题进行专项监测，以下是本月的监测情况。

端——物联网终端网络安全监测情况

( 1 ) 活跃通信物联网终端监测情况

本月抽样监测发现有16万台物联网终端设备与境外超过6万个IP地址进行了直接协议通信，其中包括工业控制设备802台，交换机、路由器设备97559台，网络监控设备50264台、联网打印机143个以及视频会议系统133个。

本月监测发现的物联网终端设备中涉及的主要厂商分布情况如下：

关键信息基础设施网络安全（物联网安全专题）监测月报202008期工业控制设备：主要厂商包括韦益可自控（24.44%）、罗克韦尔（20.7%）、施耐德（16.33%）、西门子（12.09%）、欧姆龙（9.1%）摩莎（8.98%）；其设备类型主要包括可编程控制器、串口服务器、工业交换机、通信适配器等，类型分布情况如图1所示。

图1 活跃通信工控设备类型分布

关键信息基础设施网络安全（物联网安全专题）监测月报202008期交换机、路由器设备：主要厂商包括华三（52.71%）、锐捷（19.02%）、华为（16.52%）、中兴（7.04%）、思科（3.82%）、迈普（0.27%）；

关键信息基础设施网络安全（物联网安全专题）监测月报202008期网络监控设备主要厂商：包括海康威视（77.07%）、大华（18.3%）和雄迈（4.63%）。

关键信息基础设施网络安全（物联网安全专题）监测月报202008期联网打印机设备主要厂商：包括富士（62.94%）、柯尼卡美能达（16.08%）、佳能（11.89%）、兄弟（4.2%）、惠普（3.5%）和爱普生（1.4%）。

其中，针对监测到的联网监控设备进行弱口令检测，发现76台设备存在弱口令风险，包括海康威视设备60台和大华设备16台。

监测发现的活跃物联网终端设备中，排名前5的省份分别是山西、广东、吉林、浙江和江苏，各省份设备数量分布情况如图2所示。

图2 活跃物联网设备省市分布

针对活跃工控设备的重点监测发现，本月工控设备与境外IP通信事件共420万起，涉及国家73个，主要境外IP数量的国家分布如表1所示。

表1 境外通信IP数量的国家分布

( 2 ) 网络空间资源测绘组织活跃情况分析

本月抽样监测发现来自Shodan和ShadowServer等网络空间测绘组织针对工控设备的探测响应事件1618起，涉及探测节点18个，探测协议包括Modbus、S7Comm、Fox、FINS、BACnet等，探测响应事件的协议分布如图3所示。

图3 探测响应事件的协议分布

管——物联网网络安全事件监测

根据CNCERT监测数据，自2020年8月1日至31日，共监测到物联网（IoT）设备恶意样本12444个，发现样本传播服务器IP地址36770个，境内被攻击的设备地址达501万个。

根据CNCERT监测数据，自2020年8月1日至31日，共监测到物联网（IoT）设备恶意样本12444个，主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种，样本家族分布如图 4所示。发现样本传播服务器IP地址36770个，主要位于俄罗斯（17.8%）、巴西（11.7%）、泰国（10.5%）、伊朗（6.1%）等。境内疑似被感染的设备地址达501万个，其中，浙江占比最高，为18.4%，其次是台湾（15.4%）、北京（13.7%）、香港（9.6%）等。详情参见威胁情报月报。

图4 恶意样本家族分布

云——物联网云平台安全监测

( 1 ) 物联网云平台网络攻击监测情况

本月抽样监测发现，针对三一重工ROOTCLOUD、航天科工CASICloud、海尔COSMOPlat、智能云科iSESOL、机智云GiZwits 等重点物联网云平台的网络攻击事件1348起，攻击类型涉及漏洞利用攻击、拒绝服务攻击、Web应用攻击、越权尝试攻击等。

本月重点物联网云平台攻击事件的平台分布如图5所示，涉及的攻击类型分布如图6所示。

关键信息基础设施网络安全（物联网安全专题）监测月报202008期

图5 物联网云平台攻击事件的平台分布

关键信息基础设施网络安全（物联网安全专题）监测月报202008期

图6 物联网云平台网络攻击类型分布

本月所监测到的针对重点云平台的网络攻击事件中，境外攻击源涉及美国、英国、法国等在内的国家39个，包含威胁源节点242个，其中发起攻击事件最多的境外国家Top10如图7所示。

图7 物联网云平台网络攻击威胁源国家分布

电力行业监测

为了解关键信息基础设施联网电力系统的网络安全态势，本月重点对90余个电力WEB资产进行抽样监测，资产覆盖电力巡检系统、电力监测系统、电力MIS系统、电力办公系统、电力管控系统、智慧电站系统和电力智能系统等。分析发现，所监测电力资产IP均为NAT出口地址，分布于全国23个省、直辖市或自治区，资产地域分布TOP10如图8所示，资产类型分布如同9所示。

图8 电力WEB资产地域分布

图9 电力WEB资产类型分布

抽样监测发现，本月遭受攻击的电力资产72个，涉及攻击事件1004起（高危167起，中危326起，低危511起），资产类型覆盖电力办公系统、电力MIS系统、电力监测系统、电力巡检系统、电力管控系统、电能管理系统和电力智能云系统等。详细的资产攻击分布如图10所示。

图10 被攻击电力WEB资产类型分布

在针对电力WEB资产的网络攻击中，攻击类型涵盖Web应用攻击、命令注入攻击、恶意软件攻击、漏洞利用攻击、逻辑漏洞利用和资产扫描等。详细的攻击类型分布如图11所示。其中：漏洞利用攻击主要涉及Windows服务器远程桌面协议漏洞（CVE-2019-0708）和Linksys E系列路由器漏洞；命令注入攻击主要涉及DrayTek企业网络设备命令后注入（CVE-2020-8515）；恶意软件攻击主要涉及Miraia僵尸网络、Polaris僵尸网络和物联网恶意软件下载器等；Web应用攻击JAWS Web服务器未授权执行Shell命令；资产扫描主要涉及基于Zmap工具的网络资产探测；逻辑漏洞利用主要涉及登陆绕过、验证逻辑不合理漏洞等。

图11 攻击类型分布

在针对电力WEB资产的网络攻击事件中，境外攻击源涉及美国、俄罗斯、德国等在内的国家32个，包含威胁节点234个，通过关联威胁情报发现，大多数攻击IP均存在可疑或恶意信息标记等。其中发起攻击事件最多的境外攻击者信息如表2所示。

表2 电力WEB资产攻击源国家分布

关键信息基础设施网络安全（物联网安全专题）监测月报202008期

通过抽样监测和态势评估，目前联网电力资产仍然面临很多安全风险，存在诸多安全威胁，安全形势依旧严峻。CNCERT将持续对电力行业进行安全监测，对重点目标进行深入分析，定期通报电力行业网络安全态势。

总结

CNCERT通过宏观数据监测，发现物联网“云管端”三个方面的安全问题，然而目前所发现的安全问题仅仅是关键信息基础设施中物联网网络安全隐患的冰山一角。CNCERT将长期关注物联网网络安全问题，持续开展安全监测和定期通报工作。

原文来源：关键基础设施安全应急响应中心

关键信息基础设施网络安全（物联网安全专题）监测月报202008期

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

关键信息基础设施网络安全（物联网安全专题）监测月报202008期

从被动应对到主动合规——零信任架构下的等保 2.0 与密评密改双合规

图解交通运输部《交通运输数据安全风险评估指南》（2025）

JTT 1547-2025《交通运输数据安全风险评估指南》

云服务类型对比分析

敏感数据分类分级全解析

一图读懂《网络数据安全管理条例》

关基测评渗透测试基线

T1048-通过替代协议进行数据渗出

今日分享|GB/T 43026-2023 公共安全视频监控联网信息安全测试规范

网络安全等级保护新文件强调数据分类分级的重要性

发表评论

在线咨询

微信