关键信息基础设施网络安全（物联网安全专题）监测月报202009期

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical InformationInfrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展，物联网与关键信息基础设施已开始深度融合，在提高相关行业的运行效率和便捷性的同时，也增加了其遭受网络攻击的风险。因此，亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。

CNCERT依托宏观监测数据，对关键信息基础设施中的物联网“云管端”等层面的网络安全问题进行专项监测，以下是本月的监测情况。

( 1 ) 活跃通信物联网终端监测情况

本月抽样监测发现有11万台物联网终端设备与境外超过6万个IP地址进行了直接协议通信，其中包括工业控制设备747台，交换机、路由器设备67349台，网络监控设备33016台、联网打印机75个以及视频会议系统109个。

本月监测发现的物联网终端设备中涉及的主要厂商分布情况如下：

工业控制设备：主要厂商包括韦益可自控（23.09）、西门子（15.69%）、施耐德（15.4%）、罗克韦尔（14.8%）、欧姆龙（9.43%）、摩莎（8.93%）；其设备类型主要包括可编程控制器、串口服务器、工业交换机、通信适配器等，类型分布情况如图1所示。

交换机、路由器设备：主要厂商包括华三（55.81%）、华为（18.72%）、锐捷（14.01%）、中兴（6.27%）、思科（4.46%）、雷凌（0.27%）；

网络监控设备主要厂商：包括海康威视（80.52%）、大华（16.13%）和雄迈（3.34%）。

联网打印机设备主要厂商：包括富士（48%）、柯尼卡美能达（20%）、惠普（9.33%）、兄弟（9.33%）、佳能（6.67%）和爱普生（6.67%）。

其中，针对监测到的联网监控设备进行弱口令检测，发现53台设备存在弱口令风险，包括海康威视设备38台和大华设备15台。

监测发现的活跃物联网终端设备中，排名前5的省份分别广东、山西、吉林、浙江和江苏，各省份设备数量分布情况如图2所示。

( 1 ) 物联网云平台网络攻击监测情况

本月抽样监测发现，针对三一重工ROOTCLOUD、海尔COSMOPlat、航天云网CASICloud、智能云科iSESOL、中国移动OneNET等重点物联网云平台的网络攻击事件2956起，攻击类型涉及漏洞利用攻击、拒绝服务攻击、SQL注入攻击、跨站脚本攻击等。

本月重点物联网云平台攻击事件的平台分布如图5所示，涉及的攻击类型分布如图6所示。

为了解关键信息基础设施联网电力系统的网络安全态势，本月重点对90余个电力WEB资产进行抽样监测，资产覆盖电力巡检系统、电力监测系统、电力MIS系统、电力办公系统、电力管控系统、智慧电站系统和电力智能系统等。分析发现，所监测电力资产IP均为NAT出口地址，分布于全国23个省、直辖市或自治区，资产地域分布TOP10如图8所示，资产类型分布如同9所示。

抽样监测发现，本月遭受攻击的电力资产49个，涉及高危攻击事件1207余起，资产类型覆盖电力MIS系统、电力监测系统、电能管理系统、电力巡检系统、电力管控系统、电力办公系统和电力运维系统等。详细的资产攻击分布如图10所示。

在针对电力WEB资产的网络攻击中，攻击类型涵盖远程代码执行攻击、任意命令执行攻击、Web应用攻击、逻辑漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图 11所示。其中：远程代码执行攻击主要涉及Struts2远程代码执行漏洞和phpunit远程代码执行漏洞（CVE-2017-9841）；Web应用攻击主要涉及跨站脚本攻击、SQL注入攻击和CRLF注入攻击；命令注入攻击主要涉及GPON Home Gateway远程命令执行漏洞和ZeroShell远程指令执行漏洞；扫描攻击主要涉及针对敏感目录的探测；逻辑漏洞利用主要涉及登陆绕过、验证逻辑不合理漏洞等。

在针对电力WEB资产的网络攻击事件中，境外攻击源涉及美国、韩国、德国、法国、菲律宾等在内的国家29个，包含威胁节点132个，通过关联威胁情报发现，大多数攻击IP均存在可疑或恶意信息标记等。其中发起攻击事件最多的境外攻击者信息如表2所示。

通过抽样监测和态势评估，目前联网电力资产仍然面临很多安全风险，存在诸多安全威胁，安全形势依旧严峻。CNCERT将持续对电力行业进行安全监测，对重点目标进行深入分析，定期通报电力行业网络安全态势。

CNCERT通过宏观数据监测，发现物联网“云管端”三个方面的安全问题，然而目前所发现的安全问题仅仅是关键信息基础设施中物联网网络安全隐患的冰山一角。CNCERT将长期关注物联网网络安全问题，持续开展安全监测和定期通报工作。

转载请注明来自：关键基础设施安全应急响应中心