1  概述

　　根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical InformationInfrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

　　随着“互联网+”、“工业互联网”等战略的积极推进以及Lora、NB-IOT、eMTC等物联技术的快速发展，物联网与关键信息基础设施已开始深度融合，在提高相关行业的运行效率和便捷性的同时，也增加了其遭受网络攻击的风险。因此，亟需对关键信息基础设施的物联网网络安全问题加以重视和防护。

　　CNCERT依托宏观监测数据，对关键信息基础设施中的物联网“云管端”等层面的网络安全问题进行专项监测，以下是本月的监测情况。

　　2　端——物联网终端网络安全监测情况

　　（ 1 ） 活跃通信物联网终端监测情况

　　本月抽样监测发现有25万台物联网终端设备与境外超过11万个IP地址进行了直接协议通信，其中包括工业控制设备1350台，交换机、路由器设备163648台，网络监控设备83603台、联网打印机394个以及视频会议系统188个。

　　本月监测发现的物联网终端设备中涉及的主要厂商分布情况如下：

　　图片工业控制设备：主要厂商包括西门子（30.52%）、韦益可自控（21.72%）、罗克韦尔（14.7%）、施耐德（9.26%）、摩莎（8.05%）、欧姆龙（7.06%）；其设备类型主要包括可编程控制器、串口服务器、工业交换机、通信适配器等，类型分布情况如图1所示。

　　图1  活跃通信工控设备类型分布

　　图片交换机、路由器设备：主要厂商包括华三（51.01%）、华为（28.87%）、锐捷（11.76%）、中兴（4.51%）、思科（3.01%）、雷凌（0.26%）；

　　图片网络监控设备主要厂商：包括海康威视（73.47%）、大华（20.45%）和雄迈（6.08%）。

　　图片联网打印机设备主要厂商：包括富士（52.43%）、柯尼卡美能达（17.9%）、佳能（10.23%）、兄弟（8.18%）、爱普生（6.91%）和惠普（3.84%）。

　　其中，针对监测到的联网监控设备进行弱口令检测，发现43台设备存在弱口令风险，包括海康威视设备184台和大华设备19台。

　　监测发现的活跃物联网终端设备中，排名前5的省份分别山西、广东、吉林、浙江和江苏，各省份设备数量分布情况如图2所示。

　　图2  活跃物联网设备省市分布

　　针对活跃工控设备的重点监测发现，本月工控设备与境外IP通信事件共298万起，涉及国家89个，主要境外IP数量的国家分布如表1所示。

　　表1 境外通信IP数量的国家分布

　　（ 2 ） 网络空间资源测绘组织活跃情况分析

　　本月抽样监测发现来自Shodan和ShadowServer等网络空间测绘组织针对工控设备的探测响应事件830起，涉及探测节点17个，探测协议包括Modbus、S7Comm、Fox、FINS、BACnet等，探测响应事件的协议分布如图3所示。

　　图3  探测响应事件的协议分布

　　3 管——物联网网络安全事件监测

　　根据CNCERT监测数据，自2020年12月1日至31日，共监测到物联网（IoT）设备恶意样本5620个。发现样本传播服务器IP地址23万4179个个，主要位于印度（67.9%）、巴西（12.9%）等。境内疑似被攻击的设备地址达714万个，其中，台湾占比最高，为20.4%，其次是浙江等。详情参见威胁情报月报。

　　图4 境外Mozi僵尸网络传播服务器IP地址国家/地区分布

　　4云——物联网云平台安全监测

　　（ 1 ） 物联网云平台网络攻击监测情况

　　本月抽样监测发现，针对寄云NeuSeer、航天云网CASICloud、机智云Gizwits、三一重工ROOTCLOUD、海尔COSMOPlat、智能云科iSESOL、徐工汉云HANYUN等重点物联网云平台的网络攻击事件3189起，攻击类型涉及漏洞利用攻击、拒绝服务攻击、命令注入攻击、SQL注入攻击、跨站脚本攻击、目录遍历攻击等。

　　本月重点物联网云平台攻击事件的平台分布如图5所示，涉及的攻击类型分布如图6所示。

　　图5  物联网云平台攻击事件的平台分布

　　图6  物联网云平台网络攻击类型分布

　　本月所监测到的针对重点云平台的网络攻击事件中，境外攻击源涉及美国、挪威、俄罗斯等在内的国家45个，包含威胁源节点545个，其中发起攻击事件最多的境外国家Top10如图7所示。

　　图7  物联网云平台网络攻击威胁源国家分布

　　5 电力行业监测

　　为了解关键信息基础设施联网电力系统的网络安全态势，本月重点对90余个电力WEB资产进行抽样监测，资产覆盖电力巡检系统、电力监测系统、电力MIS系统、电力办公系统、电力管控系统、智慧电站系统和电力智能系统等。分析发现，所监测电力资产IP均为NAT出口地址，分布于全国23个省、直辖市或自治区，资产地域分布TOP10如图8所示，资产类型分布如同9所示。

　　图8  电力WEB资产地域分布

　　图9  电力WEB资产类型分布

　　抽样监测发现，本月遭受攻击的电力资产49个，涉及高危攻击事件200余起，资产类型覆盖电力MIS系统、电力监测系统、电能管理系统、电力巡检系统、电力管控系统、电力办公系统和电力运维系统等。详细的资产攻击分布如图10所示。

　　图10  被攻击电力WEB资产类型分布

　　在针对电力WEB资产的网络攻击中，攻击类型涵盖远程代码执行攻击、任意命令执行攻击、Web应用攻击、逻辑漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图 11所示。其中：远程代码执行攻击主要涉及Struts2远程代码执行漏洞和phpunit远程代码执行漏洞；Web应用攻击主要涉及跨站脚本攻击和SQL注入攻击；漏洞利用攻击主要涉及GPON家庭路由器安全漏洞攻击；命令注入攻击主要涉及ZeroShell远程指令执行漏洞；目录遍历攻击主要涉及AppearTVMaintenance Centre路径遍历攻击；逻辑漏洞利用主要涉及登陆绕过、验证逻辑不合理漏洞等。

　　图11 攻击类型分布

　　在针对电力WEB资产的网络攻击事件中，境外攻击源涉及美国、韩国、德国、法国、菲律宾等在内的国家21个，包含威胁节点86个，通过关联威胁情报发现，大多数攻击IP均存在可疑或恶意信息标记等。其中发起攻击事件最多的境外攻击者信息如表2所示。

　　表2 电力WEB资产攻击源国家分布

　　通过抽样监测和态势评估，目前联网电力资产仍然面临很多安全风险，存在诸多安全威胁，安全形势依旧严峻。CNCERT将持续对电力行业进行安全监测，对重点目标进行深入分析，定期通报电力行业网络安全态势。

　　6 总结

　　CNCERT通过宏观数据监测，发现物联网“云管端”三个方面的安全问题，然而目前所发现的安全问题仅仅是关键信息基础设施中物联网网络安全隐患的冰山一角。CNCERT将长期关注物联网网络安全问题，持续开展安全监测和定期通报工作。