2024年工业控制网络安全态势白皮书-63正式版

1.

前言工业互联网是新一代信息网络技术在工业领域中的集成应用，它以物联网、云计算、大数据以及人工智能等前沿技术为支撑，构建了人、机、物互联的智能化网络。工业互联网通过工业数据的实时采集、传输、分析与应用，实现生产流程的透明化、智能化和柔性化，其突出特征在于强大的数据处理能力、高度的互联互通性，以及对市场变化快速响应的能力。由此，工业企业可获得更智能化的决策支持和更为高效的生产管理方案。截至

2024

年

11

月，贵州省通信管理局监测数据显示，工业互联网攻击事件频发，总量达

102.62

万次，并且环比增幅颇高，高达

97.1%。这些攻击波及众多工业企业，从攻击类型、来源等方面来看情况都较为严峻，因此加强工业互联网安全防护，完善其安全体系迫在眉睫，是当下的首要任务。2024

年

2

月，工业和信息化部印发了《工业领域数据安全能力提升实施方案（2024—2026

年）》，该方案实施主要分为三个部分：提升工业企业数据保护能力、提升数据安全监管能力、提升数据安全产业支撑能力。为响应国家号召，东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎（），并根据“谛听”收集的各类安全数据，撰写并发布《2024

年工业控制网络安全态势白皮书》，读者可以通过报告了解

2024

年工控安全相关政策法规报告及典型工控安全事件分析。同时报告提供了一个全面的视角来解读

2024年工业控制网络安全的态势，包括政策法规、安全事件、漏洞分析、设备暴露情况、蜜罐数据以及安全技术的发展等多个层面，有助于全面了解工控系统安全现状，多方位感知工控系统安全态势，为研究工控安全相关人员提供参考。42.

2024

年工控安全相关政策法规标准在全球数字化浪潮的推动下，工业互联网在制造业、能源、交通等领域都得到了广泛的应用，它成为了推动产业变革、提升国家竞争力的关键力量。然而，随着工业系统的数字化、智能化程度不断攀升，其面临的网络安全威胁也日益复杂多元。2024

年，我国在工控安全领域的布局持续深化拓展，着力优化政策法规体系，完善安全标准，加强工业互联网的安全体系建设，为工业互联网的稳健发展提供坚实后盾。通过对

2024

年度发布的一系列政策法规标准进行梳理，并整合各大工业信息安全研究院和机构针对相关法规发布的权威解读文件，我们摘选了部分重要内容，期望能帮助读者把握国家在工控安全领域的战略走向。2.1

《铁路关键信息基础设施安全保护管理办法》2024

年

1

月

2

日，为保障铁路关键信息基础设施安全，维护网络安全，国家铁路局颁布《铁路关键信息基础设施安全保护管理办法》（中华人民共和国交通运输部令

2023年第

20

号

），自

2024

年

2

月

1

日起施行。办法依据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等制定，明确了铁路关键信息基础设施的认定、运营者责任和义务、监督管理要求以及相关法律责任，强化了国家关键信息基础设施的网络安全体系建设。2.2

《工业控制系统网络安全防护指南》2024

年

1

月

30

日，工业和信息化部发布《工业控制系统网络安全防护指南》，指导工业企业提升工控网络安全水平，为新型工业化的高质量发展提供网络安全保障。该指南从安全管理、技术防护、安全运营和责任落实四个方面提出

33

项基线要求，重点解决工业控制系统面临的突出网络安全问题。文件明确了工控安全防护工作的实施方向，推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。52.3

《工业互联网标识解析体系“贯通”行动计划（2024-2026

年）》2024

年

1

月

31

日，工业和信息化部等十二部门发布文件《工业互联网标识解析体系“贯通”行动计划（2024-2026

年）》（以下简称《行动计划》）。《行动计划》明确总体目标为“到

2026

年，建成自主可控的标识解析体系，在制造业及经济社会重点领域初步实现规模应用，对推动企业数字化转型、畅通产业链供应链、促进大中小企业和一二三产业融通发展的支撑作用不断增强”，重点任务包括：贯通产业链供应链、全面赋能消费品“三品”战略（增品种、提品质、创品牌）、推进数字医疗融合、完善绿色低碳管理体系、强化安全管理能力、提升城市数字化水平，以及助力产业集群升级。2.4

《工业领域数据安全能力提升实施方案（2024-2026

年）》2024

年

2

月

23

日，为了推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法（试行）》等在工业领域落地实施，工业和信息化部发布《工业领域数据安全能力提升实施方案（2024-2026

年）》（以下简称《实施方案》），提出三项重点任务：提升工业企业数据保护能力、提升数据安全监管能力、提升数据安全产业支撑能力。《实施方案》明确提出到

2026

年底工业领域数据安全保障体系基本建立的总体目标。该《实施方案》为工业领域提升数据安全能力提供了明确方向和具体措施。2.5

《网络安全标准实践指南——网络安全产品互联互通资产信息格式》2024

年

3

月

15

日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通

资产信息格式》。《网络安全标准实践指南》聚焦网络安全法律法规、政策、标准及相关热点事件，旨在宣传网络安全标准知识，明确了网络安全产品在资产信息描述中的格式规范，适用于网络安全产品的设计、开发、应用及测试，提供了统一的资产信息格式标准。《网络安全标准实践指南》的发布为行业规范化发展提供了重要保障。62.6

《数据安全技术

数据分类分级规则》2024

年

3

月

15

日，全国网络安全标准化技术委员会发布

GB/T43697-2024

国家标准《数据安全技术

数据分类分级规则》（以下简称《规则》），以推动国家数据分类分级保护制度的实施。《规则》由中国电子技术标准化研究院牵头，联合中国科学技术大学等

36

家单位共同研制，并在国家数据安全工作协调机制的指导下编制完成。《规则》依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规，明确了数据分类分级的基本原则、框架、方法和实施流程，并提供了重要数据的识别指南，适用范围涵盖各行业各领域、各地区、各部门和数据处理者开展数据分类分级工作，不适用于涉及国家秘密和军事数据的场景。该《规则》的发布为我国数据安全管理提供规范化指引。2.7

《工业和信息化领域数据安全风险评估实施细则（试行）》2024

年

5

月

10

日，工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称《实施细则》），自

2024

年

6

月

1

日起施行。《实施细则》要求重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估内容包括数据处理者基本情况、评估团队基本情况、重要数据类别及数量、数据处理活动、风险分析和评估结论等。行业监管部门可根据需要组织对数据处理活动进行专项评估或监督检查，处理者需积极配合并及时整改评估发现的问题。《实施细则》的出台引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平。2.8

《电力网络安全事件应急预案》2024

年

6

月

7

日，国家能源局印发《电力网络安全事件应急预案》（以下简称《预案》），规范电力网络安全事件的应对机制，强化防范、控制和应急处置能力，减少安全事件对电力系统的危害。《预案》所指的“电力网络安全事件”包括因计算机病毒、网络攻击等因素导致电力网络和信息系统受损，影响电力供应或系统稳定运行的情况。根据影响范围和严重程度，事件被划分为特别重大、重大、较大和一般四个等级。国家能源局负责统筹指导全国范围内的应急处置工作，并协调提供技术支持，具体实施由电力安全监管司承担，以确保电力系统的安全稳定运行。72.9

《工业领域云安全实践指南》2024

年

7

月

23

日，在北京召开的

2024

可信云大会上，中国通信标准化协会云计算标准和开源推进委员会联合西门子（中国）有限公司发布了《工业领域云安全实践指南》。随着工业数字化进程加快，企业上云已成为趋势，同时也面临多种安全风险和挑战。为此，该文件提出了工业领域云安全五维模型，围绕关键安全问题展开实践探索，并对未来发展方向进行研判，工业企业提供了应对云安全风险的参考，助力行业构建更完善的安全体系，提高云环境下的安全保障能力。2.10

《网络数据安全管理条例》2024

年

9

月

30

日，国务院发布《网络数据安全管理条例》（以下简称《条例》），自

2025

年

1

月

1

日起施行。该《条例》规范了网络数据安全管理，保护了个人、组织的合法权益，维护国家安全和公共利益。《条例》主要规定了网络数据安全管理总体要求、个人信息保护、重要数据安全、跨境安全管理及网络平台服务提供者义务等五方面。《条例》的实施将进一步推动我国数据治理体系的建设，为数字经济的高质量发展打下坚实基础。2.11

《工业网络安全态势感知技术规范》2024

年

9

月

30

日，由“谛听”团队牵头制定的辽宁省地方标准

DB21/T

4011—2024《工业网络安全态势感知技术规范》（以下简称《规范》）正式获批，于

2024

年

9

月30

日对外发布，并将于

2024

年

10

月

30

日起全面实施。《规范》规定了工业网络安全态势感知的整体架构，以及数据准备，态势评估与展示、分析，态势告警与响应的技术要求。适用于安全测评服务机构、工业网络安全态势感知产品厂商、工业网络运营使用单位及主管部门组织工业网络安全态势感知的设计、开发、建设、检测、部署和维护工作。该规范的发布将为行业提供一套全面的参考标准。2.12

《工业互联网企业网络安全》2024

年

10

月

8

日，国家市场监督管理总局（国家标准化管理委员会）批准发布了三项工业互联网企业网络安全国家标准，分别为《工业互联网企业网络安全

第

1

部分：8应用工业互联网的工业企业防护要求》《工业互联网企业网络安全

第

2

部分：平台企业防护要求》《工业互联网企业网络安全

第

3

部分：标识解析企业防护要求》。当前工业互联网进入规模化发展阶段，网络安全风险蔓延，工业互联网企业安全保护需求各异。此次发布的标准聚焦三类企业防护需求，提出不同级别安全要求，为企业实施工业互联网安全分类分级管理提供指导，助力企业网络安全体系建设与能力提升。2.13

《工业互联网与电力行业融合应用参考指南（2024

年）》2024

年

10

月

15

日，工信部办公厅发布《工业互联网与电力行业融合应用参考指南（2024

年）》（以下简称《指南》）。《指南》涵盖了电力企业在应用工业互联网时的现状需求、总体设计、应用场景、网络融合、标识融合、平台融合、数据融合、安全融合及组织实施等内容，设计了总体架构，并梳理出

8

大应用模式、27

类应用领域、85

项具体场景，提出了网络、标识、平台、数据和安全等方面的融合应用方案，明确了基本原则、实施流程和要素保。2.14

《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》2024

年

10

月

30

日，国家能源局发布《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》的通知（以下简称《通知》）。《通知》要求对新能源和新型并网主体的涉网安全管理进行科学界定，并制定改造方案。电力调度机构需加强管理和技术监督，确保并网主体按照标准建设，避免“带病入网”。此外，《通知》还强调了涉网参数管理的规范化，要求加强建模及参数实测管理，落实复测要求。在并网接入过程中，优化接入服务并评估安全风险，同时强化并网运行管理，尤其是虚拟电厂和容量变更的管理机制。最后，国家能源局将加强对新能源和新型并网主体的监督管理，推动营造安全发展的良好环境。2.15

《工业和信息化领域数据安全事件应急预案（试行）》2024

年

10

月

31

日，为应对数字化转型时代下数据规模激增导致数据安全风险事件的增长，工信部发布《工业和信息化领域数据安全事件应急预案（试行）》（以下简称《应急预案》）。该《应急预案》旨在构建数据安全事件应急管理体系，提升数据安全9事件的应对能力，从而有效地控制和减轻数据安全事件带来的危害和损失，保护个人、组织合法权益，维护国家安全和公共利益。2.16

《工业和信息化领域数据安全合规指引》2024

年

11

月

19

日，《工业和信息化领域数据安全合规指引》（以下简称《合规指引》）正式发布。《合规指引》由国家工业信息安全发展研究中心（以下简称“中心”）依托工业信息安全产业发展联盟，联合中国钢铁工业协会、中国有色金属工业协会等

16家全国性行业组织共同编制，涵盖数据分类分级、重要数据识别、数据安全管理、全生命周期保护等多个方面。其主要目的是细化并实施国家法律法规和行业标准。《合规指引》要求企业正确履行数据安全保护义务，中心还将继续通过行业组织，加强与各方的沟通，指导企业全面遵守相关法规，提高数据安全保障水平。2.17

《电力监控系统安全防护规定》2024

年

12

月

11

日中华人民共和国国家发展和改革委员会发布了《电力监控系统安全防护规定》（以下简称《规定》），并明确于

2025

年

1

月

1

日起实施。《规定》着重强调了实施网络安全等级保护制度和关键信息基础设施的安全保障，遵循“分区防护、专用网络隔离、横纵双向防护”这一安全框架原则，并从安全技术、管理、应急响应和监督管理等多个方面进行了详细阐述。该《规定》明确了电力监控系统的防护要求，旨在提升电力系统的整体安全性，帮助应对日益复杂的网络安全威胁，确保电力生产与供应的安全稳定运行。表

2-1

2024

国内部分出台政策法规标准序号月份出台政策法规标准123451

月1

月1

月1

月2

月《铁路关键信息基础设施安全保护管理办法》《工业控制系统网络安全防护指南》《工业互联网标识解析体系“贯通”行动计划（2024-2026

年）》《基于隐私计算的电力数据共享业务互联互通接口规范（征求意见稿）》《2024

年电力安全监管重点任务》106782

月3

月3

月《工业领域数据安全能力提升实施方案（2024-2026

年）》《网络安全标准实践指南——网络安全产品互联互通

资产信息格式》《数据安全技术

数据分类分级规则》《信息技术

安全技术

抗抵赖

第

1

部分:概述》、《信息技术

安全技术

抗抵赖

第3

部分:采用非对称技术的机制》、《信息技术

安全技术

实体鉴别

第

4

部分:采用密码校验函数的机制》、《信息技术安全技术信息安全管理

监视、测量、分析和评价》93

月1011121314151617184

月5

月6

月6

月7

月9

月9

月9

月9

月《全国网络安全标准化技术委员会

2024

年度工作要点》《工业和信息化领域数据安全风险评估实施细则（试行）》《电力网络安全事件应急预案》《网络安全

物联网安全与隐私

家庭物联网指南》《工业领域云安全实践指南》《人工智能安全治理框架》《网络安全标准实践指南——敏感个人信息识别指南》《网络数据安全管理条例》《工业网络安全态势感知技术规范》《工业互联网企业网络安全

第

1

部分：应用工业互联网的工业企业防护要求》1910

月

《工业互联网企业网络安全

第

2

部分：平台企业防护要求》《工业互联网企业网络安全

第

3

部分：标识解析企业防护要求》2021222324252610

月《工业互联网与电力行业融合应用参考指南（2024

年）》10

月

《关于提升新能源和新型并网主体涉网安全能力服务新型电力系统高质量发展》10

月11

月11

月12

月12

月《工业和信息化领域数据安全事件应急预案（试行）》《工业和信息化领域数据安全合规指引》《新型工业控制蓝皮书》《电力监控系统安全防护规定》《保护关键基础设施

(计算机系统)

条例草案》113.

2024

年典型工控安全事件2024

年，国际局势风云诡谲，全球工业企业面临的工控安全威胁依旧层出不穷。俄乌冲突背景下，双方针对彼此的发电厂等重要工业产业多次进行攻击；以敲诈勒索为目的的安全攻击同样普遍，严重威胁了工业企业的正常经营。本年度针对工控系统的攻击在破坏性和规模上呈现出显著增长趋势，波及多个关键行业，包括能源、交通、军工、制造等领域。以下将介绍

2024

年发生的一些典型工控安全事件，通过这些案例，可以更清晰地了解工业网络所面临的风险及其发展趋势，从而为制定更有效的应对策略提供参考，以应对未来潜在的攻击威胁。3.1

美国海军造船厂遭勒索软件攻击泄露近

17000

人信息2024

年

1

月

5

日，意大利造船公司芬坎蒂尼集团（Fincantieri）的美国子公司芬坎蒂尼海事集团（Fincantieri

Marine

Group，FMG）向缅因州监管机构提交了一封违规通知信，信中表示在

2023

年

4

月

6

日至

2023

年

4

月

12

日期间，FMG

环境中的某些系统遭到未经授权的访问，因此，存储在其系统上的某些数据遭到未经授权的获取，然而该公司当时没有回应置评请求，但向美国海军研究所和《绿湾新闻公报》发送了一份声明，确认其遭遇了一起网络安全事件，导致“其网络上的某些计算机系统暂时中断”。据美国海军学院在

2023

年

4

月的报道称，该造船厂建造了美国海军的自由级濒海战斗舰和星座级导弹护卫舰。3.2

俄罗斯地方电网遭网络攻击大停电，涉事黑客被起诉2024

年

2

月

27

日，据塔斯社报道，一名

49

岁的俄罗斯公民即将面临审判。他被控实施网络攻击，导致沃洛格达地区

38

个村庄陷入黑暗，将面临最长达

8

年的监禁。该电网攻击发生在一年前。俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示：“我们已经完成对黑客切断沃洛格达地区

38

个定居点电力供应一事的刑事调查。”俄罗斯联邦安全局沃洛格达地区总局确定，这位

1975

年出生的本地居民，在

2023

年

2

月12非法访问了电网的技术控制系统，并切断了沃洛格达地区舍克斯纳区、乌斯秋日纳区和巴巴耶沃区共

38

个定居点的电力供应。3.3

乌克兰使用破坏性

ICS

恶意软件

Fuxnet

攻击俄罗斯基础设施2024

年

4

月

15

日，SecurityWeek

和

Claroty

博文的消息称，据信隶属于乌克兰安全部门的一个名为

Blackjack

的黑客组织对俄罗斯多个重要组织发起了攻击。Blackjack

披露了针对

Moscollector

的涉嫌攻击的细节，Moscollector

是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。“俄罗斯的工业传感器和监控基础设施已被禁用，”黑客声称，“它包括俄罗斯的网络运营中心（NOC），该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。”黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。此外，他们还声称已经禁用了

87000

个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们声称使用了

Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。3.4

美国多地水务工控系统疑遭俄攻击2024

年

4

月

18

日，安全内参消息，美国网络安全公司

Mandiant

的专家表示，一家与俄罗斯政府有关联的黑客组织，涉嫌在

1

月对美国得克萨斯州一处水处理设施发动网络攻击，导致水罐溢出。黑客通过访问敏感的工业设备来干扰美国水处理设施的正常运营，这类攻击在过去是十分罕见的。去年

11

月，宾夕法尼亚州也遭到了类似的网络攻击，当时美国官员指责伊朗是幕后黑手。缪尔舒镇城市经理

Ramon

Sanchez

告诉

CNN（美国有线电视新闻网），黑客入侵了一个用于工业软件的远程登录系统，获取了该系统操作水罐的权限。Sanchez

在一封电子邮件中表示，被攻击的水罐溢出了大约

30-45分钟，直到缪尔舒镇官员将被黑客攻破的工业机器下线并切换到手动操作才停止。拜登政府建议各州官员制定安全计划，保护他们的水务系统免受黑客攻击。3.5

俄黑客组织沙虫发力，乌克兰多处关键基础设施被破坏2024

年

4

月

19

日，乌克兰计算机应急响应团队（CERT-UA）发布报告称，俄罗斯黑客组织“沙虫”（Sandworm）旨在破坏乌克兰约

20

家关键基础设施的运行。该黑客13组织也被称作

APT44，与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。CERT-UA

的报告称，2024

年

3

月，APT44

破坏了乌克兰

10

个地区的能源、水务、供暖供应商的信息和通信系统。在某些情况下，Sandworm

会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。CERT-UA

对受影响实体的日志进行调查后发现，Sandworm

主要依靠

QUEUESEED/IcyWell/Kapeka、BIASBOAT、LOADGRIP、GOSSIPFLOW

等恶意软件对乌克兰公共事业供应商进行攻击。乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。3.6

全球首例光伏电场网络攻击事件曝光2024

年

5

月

1

日，日本媒体《产经新闻》报道，黑客劫持了一个由工控电子制造商Contec

生产的

SolarView

Compact

大型光伏电网中的

800

台远程监控设备，用于银行账户

盗

窃

。

攻

击

者

利

用

了

Palo

Alto

Networks

在

2023

年

6

月

发

现

的

一

个

漏

洞（CVE-2022-29303）传播

Mirai

僵尸网络，并设置了“后门”程序。通过操纵这些设备非法连接到网上银行，从金融机构的账户转账到黑客的账户来窃取金钱。5

月7

日，Contec确认了最近对远程监控设备的攻击，并提醒光伏发电设施运营商将设备软件更新至最新版本。3.7

俄罗斯电力公司、IT

公司和政府机构遭遇

Decoy

Dog

木马攻击2024

年

6

月

6

日，FreeBuf

早报称，俄罗斯的组织正遭遇网络攻击，这些攻击被发现是传递一种名为

Decoy

Dog（诱饵狗）的

Windows

版本恶意软件。网络安全公司正在跟踪这一活动集群，并将其归因于一个名为“HellHounds”的高级持续威胁（APT）组织。HellHounds

小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中，该小组利用了主要的入侵向量，从漏洞的

Web

服务到可信赖的关系。HellHounds首次被该公司记录是在

2023

年

11

月底，紧随一个未披露的电力公司被

Decoy

Dog

木马攻破之后。迄今为止，已确认其入侵了

48

个俄罗斯受害者，包括

IT

公司、政府、航天工业公司和电信供应商。有证据表明，自

2021

年以来，该威胁行为者一直在针对俄罗斯公司，恶意软件的开发可以追溯到

2019

年

11

月。143.8

城市供暖系统遭网络攻击被关闭，大量居民在寒冬下停暖近

2

天2024

年

7

月

23

日，有消息称，今年

1

月中旬乌克兰利沃夫市一家市政能源公司遭受了网络攻击，部分居民被迫在没有集中供暖的情况下生活了两天。美国工控安全公司Dragos

昨天发布报告，详细介绍了一种名为

FrostyGoop

的新型恶意软件。Dragos

表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。FrostyGoop

恶意软件旨在通过

Modbus

协议与工业控制设备（ICS）交互。Modbus

是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。3.9

全球领先的油田服务商美国哈里伯顿公司遭受网络攻击导致运营中断2024

年

8

月

21

日，CNN、路透社等多家媒体报道称，全球领先的油田服务商美国哈里伯顿公司目前正在应对一次严重的网络攻击，此次攻击扰乱了其休斯顿园区的运营并影响了其部分全球网络。一位知情人士首先向路透社报告了这一事件，由于事情的敏感性，该人士不愿透露姓名。该公司尚未正式确认网络攻击，但承认存在影响某些系统的“问题”。哈里伯顿发言人在一份声明中表示，他们意识到存在影响某些公司系统的问题，并正在努力评估原因和潜在影响。公司已经启动了预先准备的应对计划，正在内部与顶尖专家合作解决该问题。虽然此次攻击的具体细节尚未披露，但对业务运营的影响显而易见。据路透社报道，北休斯顿园区的员工已被建议不要连接内部网络，该公司正在与网络安全专家合作解决这一问题。3.10

网络攻击迫使美国超级机场

IT

系统瘫痪、航班延误2024

年

8

月

26

日，美国西雅图-塔科马国际机场确认，日前出现的

IT

系统中断可能是由网络攻击引起。这一中断扰乱了预订和登机手续系统，并导致航班延误。塔科马机场是西雅图的主要国际机场，也是美国西北太平洋沿岸地区最繁忙的机场。根据机场运营商最新消息，“西雅图港，包括西雅图-塔科马机场的系统中断仍在继续。港口团15队正在继续努力恢复系统的正常运行，但尚未有预计恢复的时间。”目前，没有任何勒索软件组织或其他威胁行为者宣布对这次攻击负责。3.11

勒索组织利用

Veeam

软件漏洞攻击尼日利亚的关键基础设施2024

年

9

月

13

日，尼日利亚计算机应急响应中心（ngCERT）发布了紧急警报，警告勒索组织正在攻击尼日利亚的关键系统。攻击者利用

Veeam

Backup

and

Replication（VBR）软件中的一个高危漏洞（CVE-2023-27532，CVSS

v3：7.5

分）进行攻击，并且此次事件涉及

Phobos

勒索组织。CVE-2023-27532

影响

VBR

12

及以下版本，允许攻击者未经授权访问敏感数据，包括存储在

Veeam

配置数据库中的加密和明文凭据。攻击者能够利用该漏洞提升权限、安装恶意软件并在受感染系统上执行任意代码。Phobos勒索组织利用此

Veeam

漏洞攻击尼日利亚的云基础设施。成功入侵网络后，攻击者部署勒索软件，加密关键数据，并向受害者索要赎金。3.12

黎巴嫩寻呼机爆炸，传呼设备成为夺命炸弹2024

年

9

月

17

日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP

机）爆炸事件。黎巴嫩真主党第一时间发布消息称，爆炸发生在当地时间下午

3

时

30

分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至

18

日

16

时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成

11

人死亡，约4000

人受伤，其中约

500

人双目失明。当地时间

19

日，包括对讲机爆炸事件，黎巴嫩公共卫生部长表示，爆炸事件已致

37

人死亡。3.13

美国水务公司

IT

系统遭网络攻击计费系统暂停2024

年

10

月

7

日，美国水务公司披露了一起网络攻击事件。这家总部位于新泽西州的美国水务公司拥有超过

6500

名员工，为

24

个州和

18

个军事基地的

1400

多万人提供供水服务。据报道，当地时间

10

月

3

日该公司发现其系统受到了网络攻击，导致计费服务中断，但未对供水和污水处理设施产生影响。美国水务公司指出其供水安全不会受到威胁，目前没有勒索软件组织声称对此次攻击负责。美国水务公司表示，已经切断了部分系统并暂停了客户门户服务，同时承诺在此期间不会向客户收取滞纳金。该公司还联系了执法部门，并启动了第三方网络安全专家的调查，目前调查仍在进行中。近年16来，针对美国供水设施的网络攻击频发，政府对此表示担忧。白宫和美国环保署已多次警告该行业的脆弱性，促使各方加强应对措施。虽然此次事件未影响供水运营，但该公司表示无法预测攻击的全部影响，未来将根据调查结果采取进一步措施。3.14

伊朗核设施等多部门遭网络攻击，美欧实施相关制裁举措2024

年

10

月

12

日，中东局势持续紧张之际，伊朗于

12

日遭遇大规模网络攻击。据伊朗最高网络空间委员会前秘书菲鲁扎巴迪透露，伊朗政府的司法、立法和行政三个部门几乎都遭受严重攻击，信息被盗，核设施以及燃料配送、市政、交通、港口等网络均成为攻击目标，但攻击发生时间未明确。目前，攻击造成的损失及具体细节尚不清楚。此次网络攻击发生时，正值美国宣布扩大对伊朗石油和石化行业的制裁，以回应伊朗此前对以色列的导弹袭击。美国试图通过制裁阻止伊朗为其核计划和导弹计划提供资金。同时，伊朗民航组织宣布禁止携带寻呼机和对讲机等电子通讯设备进入机舱或托运行李（手机除外），此规定或与黎巴嫩此前涉及真主党通讯设备的爆炸事件有关。欧盟也计划对与伊朗向俄罗斯转让导弹有关的个人和组织实施制裁。伊朗局势在网络攻击、军事冲突、制裁等多方面因素交织下愈发复杂紧张。表

3-1

2024

年部分安全事件序号

时间国家/地区行业方式影响安全设备的远程命令注入漏洞被放在暗网出售11

月美国制造业未知23451

月2

月2

月2

月美国德国制造业制造业制造业能源业勒索软件配置错误勒索软件木马攻击海军造船厂遭泄露近

17000

人信息公司密钥等敏感数据遭暴露1.5TB

数据遭泄露法国俄罗斯地方电网遭攻击，38

个定居点大停电公司遭索要高额赎金，并被威胁泄露数据63

月比利时制造业勒索软件基础设施783

月4

月俄罗斯美国勒索软件设备漏洞87000

个传感器遭到禁用基础水处理设施遭攻击，水罐溢出17设施基础设施94

月5

月乌克兰日本恶意软件漏洞攻击多处关键基础设施被破坏800

台远程监控设备被劫持，用于银行账户盗窃10能源业IT

公司、政府、航天工业公司等

48

个组织遭攻击。11121314151617181920216

月6

月7

月8

月8

月8

月8

月8

月9

月9

月9

月俄罗斯美国多行业制造业能源业能源业制造业能源业制造业物流业木马攻击恶意软件恶意软件失误工厂生产被迫中断市部分供暖停止两天乌克兰英国核设施长期暴露关键安全信息240G

敏感信息遭泄露美国勒索软件勒索软件恶意软件恶意软件勒索软件后门程序恶意软件勒索软件勒索软件未知美国油田服务商运营停止美国生产能力受损美国超级机场瘫痪、航班延误云基础设施遭攻击并被索要赎金寻呼机爆炸造成大量人员伤亡19

个火车站遭到网络攻击1400

多万人用水受到影响大海湾地区关键基础设施遭到攻击核设施等多部门遭网络攻击基础设施尼日利亚黎巴嫩英国通信业交通业水利业22

10

月23

10

月24

10

月25

11

月美国基础设施海湾地区伊朗能源业制造业75000

个电子邮件地址和

400000

行用户数据遭泄露法国勒索软件184.

工控系统安全漏洞概况随着工业互联网、工业

4.0

及

5G

网络的蓬勃兴起，传统工业生产模式正加速向智能化转型，这一变革虽然带来了前所未有的效率提升，但同时也使得工控设备面临着日益严峻且多样化的安全挑战。攻击手段不断翻新，复杂度急剧上升，工控安全事件频发，已成为行业不可忽视的重大风险。尤为突出的是，利用工控系统固有漏洞发起的攻击已成为常态，无论是

PLC（Programmable

Logic

Controller，可编程逻辑控制器）、DCS（Distributed

Control

System，分布式控制系统）、SCADA（Supervisory

Control

And

DataAcquisition，数据采集与监视控制系统），还是各类工业应用软件，均广泛暴露出众多信息安全薄弱环节。相关数据显示，2024

年西门子（Siemens）、罗克韦尔自动化（RockwellAutomation）、台达电子工业（Delta

Electronics）、研华科技（Advantech）、捷克工业自动化公司（mySCADA）、施耐德（Schneider）等工业控制系统厂商均被发现包含各种信息安全漏洞。谛听团队采集到的工控漏洞数据显示，2024

年工控安全漏洞数量较2023

年相比出现了进一步的增长，且增幅较大，但

2021

年到

2024

年整体工控安全漏洞数量较

2020

年之前依旧偏少。图

4-1

2014-2024

年工控漏洞走势图（数据来源

CNVD、“谛听”）19图

4-2

2024

年工控系统行业漏洞危险等级饼状图（数据来源

CNVD、“谛听”）图

4-2

是

2024

年工控高危漏洞业漏洞危险等级饼状图，截至

2024

年

12

月

31

日，2024

年新增工控系统行业漏洞

207

个，其中高危漏洞

122

个，中危漏洞

78

个，低危漏洞

7

个。相较于去年，漏洞数量增加了

88

个，各种危险级别的漏洞数量都有所增长。其中，低危漏洞相较于去年依然维持约

3%的总数占比，没有较大变化。高危漏洞数量相较于去年增多了约

1.44

倍，同

2023

年增幅相当。但是

2024

年的高危漏洞整体占比从2023

年的

71%下降到了

59%。2024

年的中危漏洞相较于去年的数量出现了大幅度的增加，并且在

2024

年的整体工控漏洞数量中占据较大的比例。由此可见，2024

年工控系统行业面临更多安全风险。具体而言，高危漏洞的占比虽然减小但是总体数量呈现快速增长，中危漏洞的数量出现了大幅度的增长。这意味着系统遭受攻击的风险显著性增加。另一方面，这些数据也揭示了针对工控系统的攻击变得更加复杂、危险且频繁。进一步推动工控系统的安全对抗技术发展迫在眉睫。21图

4-3

2024

年工控系统行业厂商漏洞数量柱状图（数据来源

CNVD、“谛听”）如图

4-3

是

2024

年工控系统行业厂商漏洞数量柱状图，图中数据显示，西门子（Siemens）厂商具有约

117

个漏洞。罗克韦尔自动化（Rockwell

Automation）厂商有约38

个漏洞。此外，台达电子工业（Delta

Electronics）、研华科技（Advantech）、捷克工业自动化公司（mySCADA）、施耐德（Schneider）等厂商也存在着一定数量的工控系统漏洞。从整体来看，西门子、罗克韦尔自动化、台达电子工业等大部分厂商的漏洞数量呈现上升趋势。以上数据表明，2024

年的工控安全漏洞相对于

2023

年出现了较大幅度的增长，全球工控系统正面临显著增长的安全风险。尽管工控系统以安全性和可靠性作为设计目标，但是受限于系统的庞大性和多领域交叉的特点，工控系统在实际上不可避免地会产生安全漏洞。虽然相较于前两年来看，近几年的安全漏洞数量维持在较低水平，但是

2023年、2024

年的安全漏洞数量呈现显著的上升趋势。各厂商应当密切关注工控行业漏洞，通过部署检测审计设备等方式加强工控安全防护，以此来应对工控行业发展带来的挑战，确保工控系统信息安全。22EtherNet/IPSiemens

S7DNP344818102以太网协议西门子通信协议200002455分布式网络协议CodesysPLC

协议ilon

SmartserverRedlion

Crimson3IEC

60870-5-104OMRON

FINSCSPV41628/1629789智能服务器协议工控协议2404IEC

系列协议9600欧姆龙工业控制协议工控协议2222GE

SRTP182451962美国通用电器产品协议菲尼克斯电气产品协议科维公司操作系统协议三菱通信协议PCWorxProConOsMELSEC-Qopc-ua205475006/50074840OPC

UA

接口协议DDP5002用于数据的传输和

DTU

管理基于工业以太网技术的自动化总线标准IEC

系列协议Profinet80IEC

61850-8-1Lantronix10230718专为工业应用而设计，解决串口和以太网通信问题物联网协议端口概述AMQPXMPPSOAPMQTT5672522280891883提供统一消息服务的应用层标准高级消息队列协议基于

XML

的可扩展通讯和表示协议基于

XML

简单对象访问协议基于客户端-服务器的消息发布/订阅传输协议24摄像头协议端口概述Dahua

DvrhikvisionONVIF3777781-903702大华摄像头与服务器通信协议海康威视摄像头与服务器通信协议开放型网络视频接口标准协议“谛听”官方网站（）公布的数据为

2017

年以前的历史数据，若需要最新版的数据请与东北大学“谛听”网络安全团队直接联系获取。根据“谛听”网络空间工控设备搜索引擎收集的内部数据，经“谛听”网络安全团队分析，得出如图5-1

的柱状图展示，下面做简要说明。图

5-1

显示了

2024

年全球工控+物联网设备暴露

Top-10

国家/地区。分析图中数据可知，国家排名与

2023

年的排名相比基本保持不变，排名前三的国家依然是相同的。美国作为全球最发达的工业化国家，工控设备暴露数量位居首位；中国依托于工业互联网和智能制造的快速发展，工业产值显著增长，排名第二。加拿大在自动化制造和精密机械领域表现突出，其排名与

2023

年相比保持不变，仍然位列第三。本章节着重介绍国内及美国、加拿大的工控设备暴露情况。25图

5-1

全球工控+物联网设备暴露

Top10

柱状图（数据来源“谛听”）图

5-1

显示了

2024

年全球工控+物联网设备暴露

Top-10

国家/地区。分析图中数据可知，国家排名与

2023

年的排名相比基本保持不变，排名前三的国家依然是相同的。美国作为全球最发达的工业化国家，工控设备暴露数量位居首位；中国依托于工业互联网和智能制造的快速发展，工业产值显著增长，排名第二。加拿大在自动化制造和精密机械领域表现突出，其排名与

2023

年相比保持不变，仍然位列第三。本章节着重介绍国内及美国、加拿大的工控设备暴露情况。在工业互联网的环境中，工控设备协议与物联网设备协议密切协作，从而实现设备的协同作业和数据交流。工控设备协议重点关注实时控制与监测，确保工业控制系统的高效运行；相对而言，物联网设备协议则强调灵活性和普适性，使各种设备能够互联互通，从而实现数据的共享与整合。这两者的融合促进了系统集成，打造了智能工业生态系统，实现了对整个生产流程的全面监控。在实际应用中，这些协议的协同作用确保了工业互联网中设备之间的高效、可靠互联和数据交换。图

5-2

和图

5-3

分别为全球工控设备暴露

Top10

柱状图和全球物联网设备暴露

Top10

柱状图。可以看到，在工控设备暴露排名中，美国、加拿大、中国分别位列前三。美国的漏洞数量远超其他国家，达到143,999

个。加拿大以

22,427

个漏洞排在第二，和美国相比，数量差距很大。接下来中国（16,496）、波

兰（14,312）和土耳其（11,307）等国的漏洞数量则明显较低。法国（10,592）、西班牙（10,462）、英国（7,186）、意大利（7,034）和瑞典（7,026）的漏洞数量相对接近，显示出这些国家在工控系统安全方面的问题比较一致。26图

5-2

全球工控设备暴露

Top10

柱状图（数据来源“谛听”）图

5-3

全球物联网设备暴露

Top10

柱状图（数据来源“谛听”）摄像头协议是一种约定，规定了摄像头与其他设备之间的通信方式，包括实时视频流传输和数据交互的标准。常见的摄像头协议有

ONVIF，hikvision，Dahua

Dvr

等。图275-4

为全球摄像头设备暴露

Top10

柱状图。与

2023

年的排名相比较，波兰的排名升至第一，中国位列第二，美国位列第三。图

5-4

全球摄像头设备暴露

Top10

柱状图（数据来源“谛听”）5.1

国际工控设备暴露情况国际工控设备的暴露情况以美国和加拿大为例进行简要介绍。美国是世界上工业化程度最高的国家之一，同时也是

2024

年全球工控设备暴露最多的国家。随着技术的快速发展，新的安全威胁不断出现，强化安全措施显得尤为重要。因此美国政府一直在积极制定和强化网络安全政策，以保护国家的关键基础设施和敏感信息。在工业领域，政府则关注制造业的创新与发展，采取措施推动技术进步，提升生产效率。图

5-5

为美国

2024

年暴露工控协议数量及占比。28图

5-5

美国工控协议暴露数量和占比（数据来源“谛听”）2023

年，美国在工控领域暴露的设备数量为

161346

台，而到

2024

年，设备数量减少至

143998

台。这一变化不仅反映了美国在工业互联网安全问题上的高度重视，也体现了其在加强相关安全措施方面所付出的努力。2024

年

6

月

13

日，美国网络安全和基础设施安全局（CISA）与私营部门联合举办了联邦政府首个桌面演习，重点聚焦人工智能领域的安全事件。此次演习旨在超越传统网络安全事件，以探讨信息共享机会、公私合作协议以及人工智能安全事件的运营协作领域，并将从此次演习中获得的经验教训写入

AI

安全事件协作手册，为行业、政府和国际合作伙伴之间的运营协作提供指导。2024年

10

月

29

日，CISA

发布了《2025-2026

财年国际战略计划》[4]，旨在加强

CISA

与国际合作伙伴之间的合作，以增强国家关键基础设施的安全性和弹性。该计划强调国际合作在应对全球网络威胁和挑战中的重要性，通过共享资源提升美国在国际网络安全领域的领导地位。此外，该计划还将推动各国之间的信息交流与协作，共同应对日益复杂的网络安全环境，保护关键基础设施和敏感数据。2024

年，加拿大的工控设备和物联网设备暴露数量位居全球第三，与

2023

年的排名保持一致。作为一个工业发达的国家，加拿大的工业领域涵盖了多个重要行业，包括制造业、资源提取、建筑业和服务业。其中，制造业以汽车、航空航天、电子和化工等29Modbus

协议是一种被广泛应用于工业领域的通信协议，它是由

Modicon

公司（现施耐德电气

Schneider

Electric）于

1979

年发表。Modbus

是一种主从式协议，一个主节点（master）与一个或多个从节点（slave）进行通信。Modbus

协议兼容多种通信介质，常见的

Modbus

实现方式有基于串行通信的

Modbus

RTU、Modbus

ASCII

和基于以太网的

Modbus

TCP/IP。Modbus

协议具有开放性、易实现等特点，被广泛应用于工业自动化、过程控制、监测管理等领域。尽管

Modbus

存在着安全性低、实时性弱等局限性，但它仍然是当前工业领域最常用的通信协议之一。Moxa

NPort

协议是由

Moxa

公司开发，专为

Moxa

NPort

串口设备联网服务器设计的一种通信协议。该协议支持用户通过多种工业协议（如

Modbus、TCP/IP、Telnet）实现串口到以太网的通信，并可以根据用户需求应用于多种工作模式。Moxa

NPort

协议具有兼容性强、易用性强、稳定可靠等特点，被广泛应用于工业控制、能源管理、交通运输等领域。EtherNet/IP

是一种基于以太网的工业通信协议，由

ODVA（Open

DeviceNet

VendorAssociation）推广和维护，用于工业控制系统中的设备数据交换。EhterNet/IP

支持显示消息和隐式消息两种数据交换模式，具有时间同步、设备配置、实时控制等功能。该协议相比其他工业通信协议具有实时性强、通用性强、高性能等优点，被广泛用于工业互联网领域中。Niagara

Fox

协议是由

Tridum

公司开发，专门服务于

Niagara

Framework

的一种通信协议。Niagara

Framework

是一个基于

Web

的开放的集成平台，能够连接和协同不同制造商的设备和系统，广泛用于楼宇自控（BAS）、工业互联网等领域。Niagara

Fox

协议与

Niagara

生态系统紧密集成，提供了设备管理、数据采集、数据集成等功能，用于在Niagara

节点之间进行高效的数据交换。OMRON

FINS

协议是由

OMRON

公司开发的一种通信协议，用于

OMRON

公司自动化设备之间的数据交换，特别是用于

PLC

通信。该协议能够提供高效可靠的通信，并支持多种通信协议和通信方式，具有易于集成、拓展性强的优点，被广泛应用于工业互联网、能源管理等领域。345.4

俄乌冲突以来暴露设备数量变化2022

年二月份，俄乌冲突爆发，双方局势持续紧张，近三年来，冲突仍在不断升级。在当今高度信息化和数字化的时代，军事行动越来越依赖网络，战争已经延伸到网络空间，网络战已然成为现代战争中不可或缺的一部分。网络战以其低成本高效能的特点，对战争中双方的战场感知、舆论控制、工控管理等方面产生了深刻的影响。“谛听”网络安全团队对此保持了长期的关注。表

5-2

列举了目前俄罗斯和乌克兰暴露工控设备的相关协议。表

5-2

俄罗斯、乌克兰暴露工控设备相关协议探测发现协议探测端口协议概述Siemens

S7Modbus102502西门子通信协议应用于电子控制器上的一种通用语言智能服务器协议ilon

SmartserverMoxa

NPortXMPP16284800522256722404Moxa

专用的虚拟串口协议基于

XML

的可扩展通讯和表示协议提供统一消息服务的应用层标准高级消息队列协议IEC

系列协议AMQPIEC

60870-5-104“谛听”网络安全团队对俄乌战争中的工控安全情况进行持续的跟进，通过每月定期统计俄乌双方暴露设备的数量，分析了自冲突爆发以来俄乌双方暴露设备数量的变化趋势。图

5-9

展示了

2024

年乌克兰各协议暴露设备的数量，可以看出

AMQP

协议暴露的设备数量总体从冲突前到

24

年

1

月下降幅度较大，后续随小有波动，但总体呈现缓慢下降趋势；Modbus

协议协议在

24

年基本呈现平稳下降趋势；Moxa

NPort

协议在

24

年初小幅度上升，随后趋于平稳；其他协议呈现波动变化，整体比较稳定。35图

5-9

乌克兰暴露设备数量变化（数据来源“谛听”）图

5-10

展示了

2024

年俄罗斯各协议暴露设备的数量，AMQP

协议暴露设备数量在24

年变化幅度不大，总体趋于稳定；Modbus

协议在

24

年

3

月到

7

月出现大幅度下降，后续缓慢回升，在

24

年

8

月到

9

月再度大幅度下降，随后大幅度上升，接近

24

年初水平；Moxa

NPort

协议在

24

年

2

月至

6

月逐渐下降，随后缓缓回升；其他协议变化虽有波动，但幅度不大。36图

5-10

俄罗斯暴露设备数量变化（数据来源“谛听”)总体来看，2024

年的关键时期集中在

3

月到

6

月，这段时间内俄乌双方的工控协议暴露设备情况出现了较为明显的变化，并在随后逐渐趋于平稳。俄乌双方暴露的工控设备的数量变化趋势，清晰地反映了战争对于双方工业系统产生的影响。这种对俄乌暴露设备的变化趋势的深入研究，为我们了解工控设备暴露情况提供了宝贵的视角，也为评估战争对工业基础设施的影响提供了重要参考。“谛听”网络安全团队将在未来一年中持续跟进情况。37图

6-1

2024

年蜜罐各协议攻击量（数据来源“谛听”）图

6-1

展示了不同协议下各蜜罐受到的攻击频次。从图中可以看出

Modbus、DNP3和

ATGs

Devices

协议下蜜罐所受攻击量位列前三。对比

2023

年的情况，当时攻击量排名前三的协议分别为

ATGs

Devices、OMRON

FINs

和

DNP3，而

OMRON

FINs

协议在今年降至第四，可以观察到的是，Modbus

协议从

2023

年的第五名跃居至今年首位，并且受攻击量遥遥领先其他协议，这表明

Modbus

协议受到的关注大幅度增加。此外，除OMRON

FINs

和

Modbus/UDP

协议外，其他协议受攻击的数量都相较于

2023

年均呈现出增长态势。这些变化表明工控系统协议在动态发展，攻击者对不同协议的关注重点发生了变化，其优先级随着工控系统协议的发展而调整。前三种协议受攻击总占比为

79.9%，表明它们是攻击者关注的重点。因此，工控网络安全研究人员应根据需求，加强针对这些协议下设备的网络安全防护措施。“谛听”网络安全团队对攻击数据的源

IP

地址进行了分析，统计了来自各个国家和地区的攻击源数量信息。图

6-2

特别呈现了攻击次数最多的前十个国家的概况。从图中数据可以观察到，德国在攻击量上显著领先，以

348,869

次攻击量位列第一，甚至超过了其他

9

国的总攻击量，这表明德国的工业控制系统网络安全可能受到高度关注。美国以

117,364

次攻击量位列第二，尽管攻击量远低于德国，但依然远在其他国家之上。39加拿大、英国和比利时分列第三至第五位，三者攻击量数据差距相对较小。西班牙、保加利亚、俄罗斯、日本和荷兰排名第六至第十位，其攻击量均低于

1

万。图

6-2

2024

年其他各国对蜜罐的攻击量

Top

10（数据来源“谛听”）图

6-3

对中国国内流量来源的

IP

地址进行分析，列出了

IP

流量排名前十的省份。从数据中可以发现，流量的分布有一定的地域特征，主要集中在经济较为发达、工业互联网产业密集的区域。北京以

41%的流量占比位居全国首位。浙江省的流量占比为

22%，位列第二。虽然较

2023

年有所下降，并被北京超越，但其依然是国内流量的主要来源地之一。北京和浙江继续位居前两名，表明它们在网络安全支撑工作方面的持续领先地位。除此以外，江苏和上海的流量占比也较高，分别为

13%和

11%，其余各省都低于3%。40图

6-3

2024

年中国国内各省份流量（数据来源“谛听”）2024

年，“谛听”网络安全团队依托前期成果，进一步优化了已部署的蜜罐。未来，团队会融合更多前沿技术，持续推进相关研究。6.2

工控系统攻击流量分析谛听”网络安全团队首先对部署在不同地区的蜜罐捕获的攻击流量数据进行了初步分析。随后，我们选取了应用广泛的

Modbus

和

Ethernet/IP

两种协议，采用相应的识别方法对其攻击流量进行检测。基于不同地区蜜罐的部署情况，我们选择了具有代表性的两个地区，分别对其部署的蜜罐所捕获的攻击流量数据进行了详细的统计分析。对于

Modbus

协议，我们选择了部署在中国华东地区和美国东海岸地区的蜜罐，统计结果如表

6-1、6-2

所示。表

6-1

中国华东地区

Modbus

蜜罐捕获攻击总量来源

TOP10（数据来源“谛听”）攻击源攻击总量6097攻击

IP

数量IP

平均攻击数11.0United

StatesUnited

Kingdom55323169673.741ItalyChina15629644814683222781517311712015531562.05.6GermanyCanadaSpain24.13.0107.32.0BelgiumGreeceRussia142437.84.616表

6-2

美国东海岸地区

Modbus

蜜罐捕获攻击总量来源

TOP10（数据来源“谛听”）攻击源United

StatesChina攻击总量3095700攻击

IP

数量IP

平均攻击数8141221411856513.85.7Belgium3242.3Canada3071.7United

KingdomItaly2363.6140140.03.4GermanyNetherlandsJapan138412271105.0334.7India2847.0根据表

6-1、6-2

可知，在攻击总量来源方面，中国华东地区和美国东海岸地区Modbus

协议蜜罐捕获的攻击总量中，来自美国的攻击总量均显著高于其他国家，且高于去年同期数据。在攻击

IP

数量方面，美国仍在两个地区中均排名第一且远超于其他42国家。以表

6-2

为例，美国在美国东海岸地区的攻击

IP

数量约是排名第二的比利时的9.6

倍。针对

Ethernet/IP

协议，我们选择的是中国华南地区和美国西海岸地区部署的蜜罐，统计结果如表

6-3、6-4

所示。表

6-3

中国华南地区

Ethernet/IP

蜜罐捕获攻击总量来源

TOP10（数据来源“谛听”）攻击源攻击总量攻击

IP

数量IP

平均攻击数United

StatesChina912136383414533434353352.74.01.11.02.81.71.01.51.52.0CanadaBelgiumNetherlandsUnited

StatesGermany355SeychellesUnited

KingdomFrance323221表

6-4

美国西海岸地区

Ethernet/IP

蜜罐捕获攻击总量来源

TOP5（数据来源“谛听”）攻击源United

StatesChina攻击总量1172303攻击

IP

数量IP

平均攻击数390543.05.61.11.12.1Canada5046Belgium3735Netherlands291443由表

6-3、6-4

分析可知，在攻击总量来源和攻击

IP

数量方面，美国在中国华南地区和美国西海岸地区的攻击总量和攻击

IP

数量均排名第一，且远超其他国家。通过对

Modbus

协议蜜罐和

Ethernet/IP

协议蜜罐捕获的攻击数量进行统计分析，发现

Modbus

协议蜜罐遭受的攻击次数高于

Ethernet/IP

协议蜜罐。这一差异可能主要由于Modbus

协议在工业自动化领域的广泛和长期应用，使其潜在攻击面更大，且协议的复杂度和已知安全漏洞可能吸引了更多攻击者。同时，网络中

Modbus

协议设备的数量和暴露程度可能也高于

Ethernet/IP

协议设备，从而增加了

Modbus

协议蜜罐受到攻击的概率。因此，虽然

Modbus

协议在工控系统中应用广泛，但也面临更高的攻击风险。在分析攻击源所在的国家时，我们发现排名前三的国家，其攻击数量占据了所有国家攻击总数的

90%以上，其中来自美国的攻击数量更是占据了绝大多数。造成这一现象的原因可能有以下几点：首先，这些国家往往在国际事务中扮演重要角色，国内外交流频繁，加之其通常有着丰富的云计算资源，更容易产生网络扫描和攻击尝试。其次，这些国家是全球互联网的重要枢纽，大量的网络流量会经过如美国等国家的网络基础设施，极易被黑客团队利用。此外，这些国家拥有大量安全公司、研究人员和测试团队，他们为了发现系统漏洞、测试防御机制，可能会进行大量的网络扫描和攻击模拟。“谛听”团队布署的蜜罐能够成功捕获这些行为。6.3

工控系统攻击类型识别“谛听”网络安全团队提出了一种基于

ICS

蜜网的攻击流量指纹识别方法，该方法能够对

Ethernet/IP

协议和

Modbus

协议蜜罐捕获的流量数据进行攻击类型的识别。图

6-4和图

6-5

分别展示了对

Ethernet/IP

和

Modbus

协议蜜罐捕获的攻击流量的攻击类型识别结果。其中，“E”代表

Ethernet/IP

协议，“M”代表

Modbus

协议。由于国内外使用的蜜罐程序有所不同，同一编号的“E”和“E'”代表不同的攻击类型，“M”和“M'”也表示不同的攻击类型。环形图中的各个部分则对应不同的攻击类型。44图

6-4

Ethernet/IP

协议攻击类型占比图（数据来源“谛听”）“谛听”团队将

Ethernet/IP

协议蜜罐部署在中国华南地区和美国西海岸，两地区的经济发展迅速，网络基础设施完善并且网络活动相对频繁。在这些经济科技发达的地区部署蜜罐，可以收集到更全面的攻击信息，也易于发现新型攻击手段。由图

6-4

可知，中国华南地区的

Ethernet/IP

协议蜜罐捕获的攻击流量主要采用的攻击类型为

E-1、E-2、E-3、E-4、E-5，其中

E-1

以

53%的高占比成为该地区

Ethernet/IP

协议蜜罐所捕获的攻击流量的主要攻击类型。美国西海岸地区的

Ethernet/IP

协议蜜罐捕获的攻击流量采用E'-1、E'-2、E'-3、E'-4、E'-5

五种攻击类型，其中，E'-1

约占所捕获总流量的

48%。由此可见以上攻击类型是对

Ethernet/IP

协议进行攻击的主要手段。45图

6-5

Modbus

协议攻击类型占比图（数据来源“谛听”）“谛听”团队将

Modbus

协议蜜罐部署在工业发达的中国华东地区和美国东海岸，这两个地区的工业控