2022工业互联网安全发展与实践分析报告.pdf

1、2 主要观点 工业互联网安全漏洞数据增长放缓，但高危漏洞数量大幅增加工业互联网安全漏洞数据增长放缓，但高危漏洞数量大幅增加。2022 年，国内外三大漏洞平台共计新收录工控系统安全漏洞 370 个，较 2021 年的 636 个下降了 41.8%。但高危漏洞数据持续高发，2022 年高危漏洞占比 68.9%比 2021 年的 38.2%增长超百分之30 点。制造业是制造业是涉及漏洞最多的行业，也是网络攻击的重灾区。涉及漏洞最多的行业，也是网络攻击的重灾区。据统计，88.6%的新增工控系统安全漏洞会对制造业产生影响；奇安信安服团队全年处置的与工业互联网安全相关的应急响应事件中，24.6%发生在制造

2、业，制造业面临严峻的网络安全挑战。工业领域数据勒索安全事件频发。工业领域数据勒索安全事件频发。2022 年，奇安信集团安全服务中心共参与和处置了全国范围内 236 起工业网络安全应急响应事件，其中与工业数据勒索相关的安全事件123 起，占到工业安全应急响应事件的 52.1%。数据泄露成工业企业面临的最大挑战。攻击者将数据进行窃取和加密，导致数据丢失，严重影响系统和业务的正常运行。电力行业网络安全政策持续发布，电力行业网络安全政策持续发布，政策红利不断政策红利不断释放释放。2022 年，国家能源局和发改委先后发布四大文件，包括一项重点任务，三个管理办法。明确网络安全重点任务；加强全业务、全生命周

3、期网络安全管理；围绕电力行业网络安全各环节，从监督管理职责、电力企业责任义务、监督检查等规范网络安全工作；落实电力行业网络安全保护等级划分和等级保护工作。工业企业应高度重视工业领域数据安全问题，将网络安全和数据安全融合，规划新型安全防护体系，在体系规划的基础上，有序建设，持续运营。融入行业整体安全体系，重视面向行业应用的体系化整体方案。摘 要 根据三大漏洞平台的数据分析，2022 年新增工业互联网安全漏洞 370 个。新增工控系统安全漏洞的成因多样化特征依然明显，技术类型多达 30 种以上。其中，SQL 注入漏洞数据最多。在收录的工业控制系统漏洞中，台达电子（Delta Electronics

4、）是 2022 年工控新增漏洞最多的厂商。三大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、商业设施、水务、农业、石化等关键基础设施行业，其中制造业涉及漏洞数量最多。针对制造业控制系统设备，按照 PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类，其中工业网络软件涉及的漏洞数据最多。奇安信集团安全服务中心共参与和处置了全国范围内 236 起工业网络安全应急响应事件，其中 69 起因弱口令导致工业企业遭受攻击，弱口令成工业企业防护短板。业务专网成攻击者攻击的首要目标。2022 年，工业应急响应事件的影响范围主要集中在业务专网，占比 64%。漏洞

5、利用是攻击者最常用的攻击手段。通过对 2022 年全年工业应急响应安全事件攻击类型进行分析，漏洞利用攻击手段占比最高，达到 34.7%。关键词：关键词：安全漏洞、应急响应、勒索攻击、工业数据安全、有序建设 目录目录 第一章第一章 工业互联网安全态势工业互联网安全态势.1 一、一、工业互联网安全漏洞态势分析.1（一）工业互联网安全漏洞总体态势.1（二）制造业安全漏洞态势分析.3（三）新公开工业互联网安全CVSS 10.0高危漏洞.5 二、工业互联网安全应急响应态势分析.9（一）工业领域数据勒索安全事件频发.9（二）工业应急响应事件受害者分析.9（三）工业应急响应事件攻击者分析.11 第二章第二章

6、 2022 工业工业互联网安全发展互联网安全发展.13 一、工业互联网安全政策体系不断完善.13（一）2022年电力安全监管重点任务.13（二）关于进一步加强新能源汽车企业安全体系建设的指导意见.13（三）电力可靠性管理办法（暂行）.13（四）工业互联网专项工作组2022年工作计划.14（五）医疗卫生机构网络安全管理办法.14（六）电力行业网络安全管理办法.15（七）电力行业网络安全等级保护管理办法.15（八）工业和信息化领域数据安全管理办法（试行）.15 二、工业互联网安全标准体系不断健全.16 第三章第三章 工业互联网应急响应典型案例工业互联网应急响应典型案例.18 一、某制造企业遭 TE

7、LLYOUTHEPASS勒索病毒攻击.18（一）事件概述.18（二）防护建议.18 二、某交通运输企业遭 MAGNIBER勒索病毒攻击.19（一）事件概述.19（二）防护建议.20 三、某货运企业遭 BURN勒索病毒攻击.20（一）事件概述.20（二）防护建议.21 第四章第四章 工业互联网安全推进建议工业互联网安全推进建议.22 一、高度重视工业领域数据安全问题.22 二、网络安全和数据安全融合，规划新型安全防护体系.22 三、有序建设，持续运营.22 附录一附录一 工业控制系统安全国家地方联合工程实验室工业控制系统安全国家地方联合工程实验室.24 附录二附录二 2022 工业互联网安全重大

8、事件工业互联网安全重大事件.25 1 第一章 工业互联网安全态势 本章主要以工业控制系统安全国家地方联合工程实验室（以下简称：联合实验室）漏洞库收录的工业控制系统相关的漏洞信息和奇安信安全服务中心处理的工业安全应急事件统计数据为基础，从工控漏洞的月度分布、漏洞类型、危险等级、漏洞涉及厂商、重点行业漏洞分析等方面和工业应急处理事件的行业分布、失陷方式、影响范围和攻击类型等方面分析工业互联网的安全威胁态势、脆弱性以及发展变化趋势。一、一、工业互联网安全漏洞态势分析（一）工业互联网安全漏洞总体态势 在 2022 年，联合实验室综合参考了 Common Vulnerabilities&Exposure

9、s（CVE）、National Vulnerability Database（NVD）和国家信息安全漏洞库（CNNVD）三大漏洞平台收录的工控系统安全漏洞信息共达 370 个，较 2021 年的 636 个下降了 41.8%。工控系统漏洞数量月度分布如下图。新增工控系统安全漏洞的成因多样化特征依然明显，技术类型多达 30 种以上。其中，SQL 注入漏洞（54 个）、缓冲区溢出漏洞（37 个）和代码注入漏洞（26 个）数量最多。2022年工控系统新增漏洞类型分布如下：2 攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上，无论攻击者利

10、用何种漏洞造成生产厂区的异常运行，均会影响工控系统组件及设备的可用性和可靠性。在三大漏洞平台收录的工控系统漏洞中，高危漏洞占比68.9%，中危漏洞占比为20.5%，中高危漏洞占比高达 89.4%。工业控制系统多应用于国家关键基础设施，一旦遭受网络攻击，会造成较为严重的损失。2022 年工控系统新增漏洞危险等级分布如下：在收录的工业控制系统漏洞中，涉及到的前十大工控厂商分别为台达电子（Delta Electronics）、西门子（Siemens）、三菱（Mitsubishi）、3S-Smart、思科（Cisco）、艾默生 3 （Emerson）、罗克韦尔（Rockwell）、施耐德（Schnei

11、der）、欧姆龙（Omron）、霍尼韦尔（Honeywell）。2022 年工控新增漏洞涉及主要厂商情况如下图所示：需要说明的是，虽然安全漏洞在一定程度上反映了工控系统的脆弱性，但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说，一个厂商的产品越是使用广泛，越会受到更多安全研究者的关注，因此被发现安全漏洞的可能性也越大。某种程度上来说，安全漏洞报告的厂商分布，更多程度上反映的是研究者的关注度。（二）制造业安全漏洞态势分析 三大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、商业设施、水务、农业、石化等关键基础设施行业。一个漏洞可能涉及多个行业，在 370

12、 个漏洞中，有 328 个漏洞涉及到制造业，也是占比最高的行业。涉及到的能源行业漏洞数量高达 213 个。对比2021 年的数据，依然是制造业和能源行业工控漏洞较多，应持续加强这两个行业工业安全建设。2022 年工控新增漏洞行业分布图如下：4 对 2022 年新增的与制造业相关的安全漏洞做进一步统计分析发现，SQL 注入漏洞（54个）、缓冲区溢出漏洞（20 个）、输入验证漏洞（14 个）、路径遍历漏洞（14 个）等最为常见。2021 年制造业新增漏洞类型分布如下：针对制造业控制系统设备，按照 PLC、SCADA、RTU、HMI、工业网络设备、工业网络软件、普通软件、其他进行设备分类，涉及到的前

13、五大设备漏洞中，工业网络软件最多，数量为 63 个，PLC 设备（38 个）、SCADA（21 个）、工业网络设备（7 个）和 HMI（4 个）。制造业新增漏洞设备类型数据如下：5 （三）新公开工业互联网安全 CVSS 10.0 高危漏洞 CVSS（Common Vulerability Scoring System,通用漏洞评估方法）提供了一种捕获漏洞主要特征并生成反映其严重性的数字评分的方法。数字评分以文本形式来表示，通常将数字分数转换为定性表示形式（例如低，中，高），以帮助组织正确评估漏洞管理流程并确定漏洞修复优先级。漏洞库平台根据 CVSS 分级标准对漏洞进行 0 至 10 之间的数字

14、评分，10 分为最高分，表示该漏洞的严重程度最高，一旦被攻击者利用，造成的损失也较大。本文分析2022年CVSS v3.X（CVSS v3.0 或 CVSS v3.1）为 10 的工业互联网安全高危漏洞，如表 1 所示，并对Rockwell 和 Siemens 不同供应商的高危漏洞进行详细分析，并参考美国网络安全和基础设施安全局（CISA）的建议给出漏洞的缓解措施。表 1：CVSS v3.X 为 10 的工业互联网安全高危漏洞 CVE ID 漏洞类型漏洞类型 影响产品影响产品 供应商供应商 自主自主/进口进口 CVE-2022-1161 其他 1768 COMPACTLOGIX 控制器 176

15、9 COMPACTLOGIX 控制器 COMPACTLOGIX 5370 控制器 COMPACTLOGIX 5380 控制器 COMPACTLOGIX 5480 控制器 Rockwell 进口 6 紧凑型 GUARDLOGIX 5370 控制器 紧凑型 GUARDLOGIX 5380 控制器 CONTROLLOGIX 5550 控制器 CONTROLLOGIX 5560 控制器 CONTROLLOGIX 5570 控制器 CONTROLLOGIX 5580 控制器 GUARDLOGIX 5560 控制器 GUARDLOGIX 5570 控制器 GUARDLOGIX 5580 控制器 FLEXL

16、OGIX 1794-L34 控制器 DRIVELOGIX 5730 控制器 SOFTLOGIX 5800 控制器 CVE-2022-34819 缓冲区溢出漏洞 SIMATIC CP 1242-7 V2 版本 SIMATIC CP 1243-1 版本 SIMATIC CP 1243-7 LTE EU 版本 SIMATIC CP 1243-7 LTE US 版本 SIMATIC CP 1243-8 IRC 版本 SIMATIC CP 1542SP-1 IRC V2.0 版本及之后版本 SIMATIC CP 1543-1 V3.0.22 之前版本 SIMATIC CP 1543SP-1 V2.0 版

17、本及之后版本 SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL V2.0 版本及之后版本 SIPLUS ET 200SP CP 1543SP-1 ISEC V2.0 版本及之后版本 SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL V2.0 版本及之后版本 SIPLUS NET CP 1242-7 V2 版本 SIPLUS NET CP 1543-1 V3.0.22 之前版本 Siemens 进口 7 SIPLUS S7-1200 CP 1243-1 版本 SIPLUS S7-1200 CP 1243-1 RAIL 版本 (一一)R

18、ockwell Automation Logix Controllers 安全漏洞安全漏洞 CVE-2022-1161 相关系统：Rockwell Automation Logix Controllers 是美国 Rockwell Automation 公司的一个高性能控制平台。威胁预警：CVSS v3 10 风险评估：成功利用该漏洞，攻击者可修改控制器的用户程序，下载包含恶意代码的程序。受影响的产品：1768 COMPACTLOGIX 控制器 1769 COMPACTLOGIX 控制器 COMPACTLOGIX 5370 控制器 COMPACTLOGIX 5380 控制器 COMPACTLO

19、GIX 5480 控制器 紧凑型 GUARDLOGIX 5370 控制器 紧凑型 GUARDLOGIX 5380 控制器 CONTROLLOGIX 5550 控制器 CONTROLLOGIX 5560 控制器 CONTROLLOGIX 5570 控制器 CONTROLLOGIX 5580 控制器 GUARDLOGIX 5560 控制器 GUARDLOGIX 5570 控制器 GUARDLOGIX 5580 控制器 SOFTLOGIX 5800 控制器 FLEXLOGIX 1794-L34 控制器 DRIVELOGIX 5730 控制器 CISA 漏洞缓解措施：1）重新编译并下载用户程序代码，监

20、视控制器更改日志是否有意外修改或异常活动；8 2）减少工业控制系统/设备的网络暴露面；3）在控制系统网络边界部署工业防火墙，业务系统网络隔离；4）采用身份认证和安全加密的安全方式进行远程访问。(二二)多款多款 Siemens 产品产品缓冲区溢出漏洞缓冲区溢出漏洞 CVE-2022-34819 相关系统：SIMATIC S7-1500 CPU 等都是德国西门子（Siemens）公司的产品。Siemens SIMATIC S7-1500 CPU 是一款 CPU（中央处理器）模块。Siemens SIMATIC CP443-1 OPC UA9 是一款通信处理器。Siemens SIMATIC S7-

21、200 Smart 是一款应用于中小型自动化系统中的可编程逻辑控制器（PLC）。威胁预警：CVSS v3 10 风险评估：该漏洞源于在解析特定消息时缺乏对用户提供的数据的正确验证，从而导致基于堆的缓冲区溢出。攻击者利用该漏洞可在受影响设备中执行代码。受影响的产品：SIMATIC CP 1242-7 V2 版本 SIMATIC CP 1243-1 版本 SIMATIC CP 1243-7 LTE EU 版本 SIMATIC CP 1243-7 LTE US 版本 SIMATIC CP 1243-8 IRC 版本 SIMATIC CP 1542SP-1 IRC V2.0 版本及之后版本 SIMAT

22、IC CP 1543-1 V3.0.22 之前版本 SIMATIC CP 1543SP-1 V2.0 版本及之后版本 SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL V2.0 版本及之后版本 SIPLUS ET 200SP CP 1543SP-1 ISEC V2.0 版本及之后版本 SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL V2.0 版本及之后版本 SIPLUS NET CP 1242-7 V2 版本 SIPLUS NET CP 1543-1 V3.0.22 之前版本 SIPLUS S7-1200 CP 1243-1 版本

23、 SIPLUS S7-1200 CP 1243-1 RAIL 版本 CISA 漏洞缓解措施：1）厂商已发布升级补丁以修复漏洞，https:/cert- 9 2）最小化工业控制系统/设备的网络暴露面 3）在防火墙后面找到控制系统网络和远程设备，并将其与业务网络隔离 4）采用身份认证和安全加密的安全方式进行远程访问 二、工业互联网安全应急响应态势分析（一）工业领域数据勒索安全事件频发 2022 年全年，奇安信集团安全服务中心共参与和处置了全国范围内 236 起工业网络安全应急响应事件，其中与工业数据勒索相关的安全事件 123 起，占到工业安全应急响应事件的 52.1%。与挖矿相关的安全事件 28

24、起，占比 11.9%，通过钓鱼邮件发起的工控安全事件14 起，占比 5.9%，通过蠕虫传播发起的工控安全事件 12 起，占比 5.1%。工业数据勒索应急响应事件分布如下：将因为勒索病毒攻击导致工业企业数据被加密、窃取等事件定义为工业数据勒索事件。（二）工业应急响应事件受害者分析 医疗和制造业成工业被攻击重灾区。医疗和制造业成工业被攻击重灾区。2022 年全年，工业应急响应处置事件 TOP3 的行业分别为医疗卫生行业（88 起）、制造业（58 起）、交通运输（45 起），事件处置数分别占 2022 年工业应急处置事件的 37.2%、24.6%、19.1%。工业应急响应行业分布 TOP5 详见下图

25、：10 数据泄露成工业企业面临的最大挑战。数据泄露成工业企业面临的最大挑战。2022 年全年，从工业企业遭受攻击产生的影响来看，攻击者对系统的攻击所产生的影响主要表现为数据丢失和生产效率低下等。下图为工业企业遭受攻击后的影响分布。攻击者将数据进行窃取和加密，导致数据泄露。在上述数据中，有 73 起应急响应事件导致工业企业数据泄露，占比 30.9%。有 31 起应急响应事件导致工业企业生产效率低下，占比 13.1%，攻击者对系统重要数据库进行攻击，严重影响系统和业务的正常运行。弱口令成工业企业防护短板。弱口令成工业企业防护短板。在 2022 年全年，工业应急响应事件中，弱口令是工业企业遭受攻击失

26、陷的重要原因，高达 69 起事件。11 由于弱口令账号的低攻击成本和高命中效果，通过盗取弱口令账号以横向渗透获得特权账号，进而破坏或泄露重要数据资源的攻击行为，给数据安全管理带来很大挑战。（三）工业应急响应事件攻击者分析 业务专网成攻击者攻击的首要目标。业务专网成攻击者攻击的首要目标。2022 年全年，工业应急响应事件的影响范围主要集中在业务专网，占比 64%；其次为办公网，占比 36%。2022 年全年工业企业遭受攻击影响范围如下图所示。工业企业在对办公系统进行安全防护建设的同时，更应重视业务系统的安全防护和安全管理。漏洞利用是攻击者最常用的攻击手段。漏洞利用是攻击者最常用的攻击手段。通过对

27、 2022 年全年工业应急响应安全事件攻击12 类型进行分析，漏洞利用攻击手段占比最高，达到 34.7%。漏洞利用是攻击者利用工业企业网络安全建设不完善的弊端，使用常见系统漏洞、设备漏洞等，对系统进行的破坏性攻击，通常会导致重要数据丢失、泄露、内部投毒等严重后果。漏洞利用类型主要包括未授权访问、远程命令执行、文件上传与下载、敏感信息泄漏与 SQL 注入等，这些漏洞仅有少数是未公开的 0day 漏洞，多以历史漏洞为主，历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。13

28、第二章 2022 工业互联网安全发展 我国工业互联网创新发展新格局加速构建，政策法规和技术标准体系进一步健全完善，展现出新型工业化进程的强劲动力和壮阔前景。一、工业互联网安全政策体系不断完善（一）2022 年电力安全监管重点任务 2022 年 1 月，为确保电力系统安全稳定运行和电力可靠供应，推动全国电力安全生产形势持续稳定向好，国家能源局印发2022 年电力安全监管重点任务。重点任务中明确网络安全方面。推进“明目”“赋能”“强基”三大行动，加快网络安全态势感知平台建设，组织开展网络安全实战演习，评估遴选一批电力行业网络安全分靶场，组织开展关键信息基础设施安全保护监督检查，建立电力行业网络安全

29、等级保护体系。推进北斗系统、国产密码、IPv6 等技术在电力行业关键领域深入应用。（二）关于进一步加强新能源汽车企业安全体系建设的指导意见 2022 年 3 月，工业和信息化部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门联合印发关于进一步加强新能源汽车企业安全体系建设的指导意见。指导意见中明确健全网络安全保障体系。加强网络安全防护。企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测，采取有效措施防范网络攻击、入侵等危害网络安全的行为。强化数据安全保护。企业要切实履行数据安全保护义务，建立健全全流程

30、数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动，以及数据出境安全管理。落实个人信息安全防护。企业要按照个人信息保护法以及相关法律法规的规定处理个人信息，制定内部管理和操作规程，对个人信息实行分类管理，并采取相应的加密、去标识化等安全技术措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。（三）电力可靠性管理办法（暂行）2022 年 4 月，为充分发挥电力可靠性管理在电力供应保障工作中的基础性作用，促进电力工业高质量发展，提升供电水平，发改委制定电力可靠性管理办法（暂行）。办法中第四

31、十条至第四十四条强调网络安全。电力网络安全坚持积极防御、综合防范的方针，坚持安全分区、网络专用、横向隔离、纵向认证的原则，加强全业务、全生命周14 期网络安全管理，提高电力可靠性。电力企业应当落实网络安全保护责任，健全网络安全组织体系，设立专门的网络安全管理及监督机构，加快各级网络安全专业人员配备;落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度，加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作;开展网络安全监测、风险评估和隐患排查治理，提高网络安全监测分析与应急处置能力。（四）工业互联网专项工作组 2022 年工作计划 2022 年 4 月

32、，工信部印发工业互联网专项工作组 2022 年工作计划，从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面，提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等 15 大类任务 83 项具体举措。工作计划中强调安全保障强化行动。从依法落实企业网络安全主体责任；加强网络安全供给创新突破；促进网络安全产业发展壮大；强化网络安全技术保障能力；开展企业网络安全能力贯标五部分展开。健全完善工业互联网安全管理制度，深入实施工业互联网企业网络安全分类分级管理制度；加快工业互联网安全关键核心技术创新突破；做好网络安全产业政策文件

33、宣贯落实；面向重点省份组织开展工业互联网安全深度行活动；持续提升国家工业互联网安全技术监测服务能力；推动制定网络安全常态化建设和运营制度，鼓励网络安全企业探索新技术的研发；搭建一批网络安全测试环境和攻防演练靶场；针对重点行业、企业开展宣标贯标、培训等，企业实施达标自评估和安全改造，遴选一批贯标示范企业。（五）医疗卫生机构网络安全管理办法 2022年8月，为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，加强医疗卫生机构网络安全管理，防范网络安全事件发生，国家卫健委等部门印发 医疗卫生机构网络安全管理办法。办法全文贯穿了全

34、生命周期管理的主导思想。在网络安全方面，围绕信息系统全生命周期，提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求；在数据安全方面，以保障数据的机密性、完整性、可用性为目标，要求采取数据加密、数据备份、数据脱敏等技术，加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。在实际运用中，应基于网络和数据的全生命周期视角，梳理安全策略架构,识别具体业务场景，有针对性的设计安全措施，实现安全防护。15 （六）电力行业网络安全管理办法 2022 年 11 月，为了加强电力行业网络安全监督管理，规范电力行业网络安全工作，国家能

35、源局对电力行业网络与信息安全管理办法（国能安全2014317 号）进行修订，将修订后的电力行业网络安全管理办法进行印发。管理办法重点围绕电力行业网络安全各环节，将全文划分为总则、监督管理职责、电力企业责任义务、监督检查、附则等 5 个章节，阐述了制定目的、适用范围和总体原则，明确了国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门(以下简称行业部门)和电力调度机构的有关职责及工作内容，规定了电力企业在关键信息基础设施安全保护、网络产品和服务采购、风险评估、监测预警和信息通报、应急能力建设、重要时期安全保障、事件应急处置、容灾备份、数据安全、资金保障、人才培养、专用安全产

36、品管理及总结报送等方面的有关要求。（七）电力行业网络安全等级保护管理办法 2022 年 11 月，为规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，维护国家安全、社会稳定和公共利益，国家能源局修订印发电力行业网络安全等级保护管理办法。办法重点围绕电力行业网络安全等级保护各环节，将全文划分为总则、等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理、法律责任、附则等 6 个章节，阐述了制定目的、适用范围和职责，明确了电力行业网络安全保护等级划分和等级保护工作原则，规定了国家能源局及其派出机构、电力企业及网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核

37、、建设、测评、检查及密码管理等方面的有关要求，以及法律责任。（八）工业和信息化领域数据安全管理办法（试行）2022 年 12 月，为了规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，工信部印发工业和信息化领域数据安全管理办法。管理办法 共八章四十二条，主要内容包括界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责；确定数据分类分级管理、重要数据识别与备案相关要求；针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求等七个方面

38、。，管理办法重点解决工业和信16 息化领域数据安全“谁来管、管什么、怎么管”的问题，构建了“工业和信息化部、地方行业监管部门”两级监管机制，以数据分级保护为总体原则，要求一般数据加强全生命周期安全管理，重要数据在一般数据保护的基础上进行重点保护，核心数据在重要数据保护的基础上实施更加严格保护。二、工业互联网安全标准体系不断健全 建立健全的工业互联网安全标准体系对网络安全建设具有重要的指导意义。通过工业互联网安全标准体系的建设，可有效提高对工业网络安全风险的管控能力。同时，网络安全标准体系的建立将使得企业安全实施水平与国际先进水平接轨，从而加快工业网络安全的落实。2022 年新发布了多项与工业互

39、联网安全相关的国家标准。2022 年 3 月，国家标准 工业控制系统的信息物理融合异常检测系统技术要求工业控制系统的信息物理融合异常检测系统技术要求 发布，标准号：GB/T 41262-2022，归口单位为全国自动化系统与集成标准化技术委员会。本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求。本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。2022年3月，国家标准核电厂工业控制系统网络安全管理要求核电厂工业控制系统网络安全管理要求发布，标准号：GB/T 41241-2022。本文件规定了核电厂工业控制系统网络安全方面的

40、管理、技术防护和应急管理的要求。本文件适用于核电厂领域工业控制系统生命周期的所有阶段（包括设计、开发、工程实施、运行和维护、退役等）网络安全活动，也适用于指导核电厂工业控制系统用户改善和提高生产系统中网络安全防护能力的系统维护活动。2022年3月，国家标准化指导性技术文件信息安全技术信息安全技术 重要工业控制系统网络安全重要工业控制系统网络安全防护导则防护导则发布，标准号：GB/Z 41288-2022。本文件规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求，以建立重要工业控制系统的网络安全防护体系。本文件适用于重要工业控制系统的规划设计.研究开发、运行

41、管埋、升级改造等阶段,其他业务系统也可参考使用。2022 年 4 月，国家标准信息安全信息安全技术技术 工业控制系统信息安全防护能力成熟度模型工业控制系统信息安全防护能力成熟度模型发布，标准号：GB/T 41400-2022，归口单位为全国信息安全标准化技术委员会。标准以工业企业作为实施对象，给出了工业控制系统信息安全防护能力成熟度模型，规定了核心保护对象安全和通用安全的成熟度等级要求，提出了能力成熟度等级核验方法。该标准文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。17 2022 年 6 月，交通运

42、输行业标准交通运输行业网络安全等级保护基本要求交通运输行业网络安全等级保护基本要求发布，标准号：JT/T 1417-2022。本文件规定了交通运输行业网络安全的基本保护要求，包括安全通用要求、云计算扩展要求、移动互联网扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求和大数据安全扩展要求，在现有国家标准的基础框架上，细化和补充要求指标，增加行业需求的指标项。从实用性和可操作性出发对交通运输行业网络安全等级保护的相关要求和安全措施进行了明确、细化、补充和规范，为网络信息系统安全建设和管理提供系统性、针对性和可行性的指导和服务。2022 年 11 月，国家标准信息安全技术信息安全技术 关键信息

43、基础设施安全保护要求关键信息基础设施安全保护要求发布，标准号：GB/T 39204-2022，归口单位为全国信息安全标准化技术委员会。本标准要求关保工作应遵循以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护三项基本原则，并从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六方面提出 111 条安全要求，指导运营者对关键信息基础设施进行全生存周期安全保护。18 第三章 工业互联网应急响应典型案例 2022 年全年奇安信安全服务中心关于工业安全事件共收到全国各地应急求助 236 起，发生的安全事件均不同程度地给工业企业带来经济

44、损失和恶性的社会影响。下面介绍三起典型的应急事件。一、某制造企业遭 Tellyouthepass 勒索病毒攻击（一）事件概述 奇安信工业安全专家接到制造业某客户求助，公司内网服务器感染勒索病毒，重要数据被加密，需要进行排查分析，对攻击来源进行追溯。工业安全专家到达客户现场进行排查分析，服务器（x.x.x.13）业务服务异常，部分文件被恶意加密，通过加密类型及加密特征判断为 Tellyouthepass 家族勒索病毒。工业安全专家通过查看安全设备日志对主机日志排查，存在不正常时间的 RDP 登录操作，并下载可疑 Cobalt Strike 后门文件，将可疑文件提交样本分析发现，该文件主要用于提权

45、、凭据导出和钓鱼等，能够外连接恶意网站：http:/45.67.231.16/favicon.jpeg，下载病毒文件至服务器。随后工业安全专家对受害服务器 web 目录进行 webshell 查杀发现，在文件目录下存在多个 JSP 文件（test1.jsp,test2.jsp,test11.jsp），通过综合判断为 webshell 后门文件，经测试确认，后门文件可以通过 URL 访问并执行脚本，从而成功获取服务器权限。工业安全专家查看服务器登录日志发现，该日志中存在大量对内网进行 RDP 爆破的记录，成功攻击了多台服务器。继续对安全设备日志进行分析，发现服务器启用了 SSL VPN 服务，且

46、存在弱口令和恶意 IP 登录痕迹。至此，工业安全专家确认，本次事件为客户服务器（x.x.x.13）启用 SSL VPN 且存在弱口令所导致。（二）防护建议 19 1)安装 webshell 检测工具，根据检测结果对已发现的 webshell 痕迹立即隔离查杀；2)杜绝使用弱口令，应使用高复杂强度的密码，如包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识；3）采用特权账号管理系统（PAM）主动发现各类基础设施的账号分布、识别账号和口令风险，帮助工业企业实现账号安全管理；4)加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞、安装补丁，

47、将信息安全工作常态化。二、某交通运输企业遭 Magniber 勒索病毒攻击（一）事件概述 奇安信工业安全专家接到交通运输业某客户应急响应请求，现场一台 pc 终端感染勒索病毒,数据被加密，客户希望对受害机器进行排查，并溯源。工业安全专家到达客户现场后，查看受害 pc 终端发现，该终端被加密文件后缀为.burxqajl。工业安全专家根据加密文件后缀、勒索信以及内部威胁情报等内容，确定该 pc终端感染 Magniber 勒索病毒，暂时无法解密。工业安全专家继续排查发现，该 PC 终端的 IE 浏览器记录中存在对可疑域名的访问记录，尝试访问该可疑域名，但访问失败，提示无 DNS 解析记录。根据威胁情

48、报显示，该勒索病毒会在%SystemDrive%：Users%UserName%AppDataLocalTempLow 目录下生成一个.inf 文件，工业安全专家查看 Low 目录，并未找到落地文件。工业安全专家查看客户现场行为审计设备发现，受害终端在事发之前访问了一个钓鱼网站 http:/，该钓鱼网站域名与某常用生活服务网站 http:/ 仅差一个字符，极易发生混淆。工业安全专家尝试使用虚拟机中的 IE 浏览器访问该域名 http:/ 发现，页面加载成功后会自动跳转到一个新的网页 C。工业安全专家将网页 C 内容保存，上传至 VT 进行查杀，识别出该 html 为 CVE-2021-4044

49、4 利用代码。工业安全专家根据威胁情报中描述的目录，在虚拟机中发现了恶意.inf 文件，将.inf 文件上传至 VT 分析，被识别为 Magniber 勒索病毒。由此工业安全专家确认本次失陷事件是由于客户员工误点钓鱼网页，导致 IE 浏览器存在的 CVE-2021-40444 远程代码执行漏洞被攻击者利用，进而造成客户内网终端被勒索。20 （二）防护建议 1)加强人员安全意识培养，访问网站前认真核对网页域名，不要点击来源不明的链接，不从不明网站下载软件；2)对业务系统及数据进行及时备份，并定期验证备份系统及备份数据的可用性；3)安装工业主机安全管理系统，关卡式病毒拦截，保障生产连续性；4)部署

50、工业安全监测设备，及时发现恶意网络流量，对安全事件发生时可提供可靠的追溯依据。三、某货运企业遭 Burn 勒索病毒攻击（一）事件概述 奇安信工业安全专家接到某货运企业应急响应求助，公司多台服务器感染勒索病毒，客户希望对该事件进行分析排查处理。工业安全专家抵达现场后对受害服务器进行排查，找到病毒样本，将样本上传到威胁情报中心进行分析，确定受害服务器感染的是 Burn 勒索病毒。工业安全专家通过对被感染服务器文件加密时间分析，发现安全设备日志在该时间点有很多异常会话，随后对风险 IP 地址进行封堵，缩小病毒影响范围，在安全设备日志中发现黑客对被感染服务器进行口令爆破攻击行为以及 RDP 远程登录操