13 工業(yè)互聯(lián)網當前的安全環(huán)境如何？

工業(yè)互聯(lián)網還處在發(fā)展初期，安全管理水平和安全防護水平相對較弱，安全事件頻發(fā)，主要體現在以下幾方面。

（1）攻擊頻繁影響大、手段專業(yè)方法多

工業(yè)互聯(lián)網安全涉及工業(yè)控制、互聯(lián)網、信息安全三個交叉領域，面臨傳統(tǒng)網絡安全和工業(yè)控制安全雙重挑戰(zhàn)。自從震網病毒被發(fā)現至今，針對工業(yè)控制系統(tǒng)進行破壞活動的網絡攻擊頻發(fā)。

近年來，一系列針對工業(yè)控制系統(tǒng)的破壞性攻擊被曝光，如2015年12月23日，烏克蘭電力系統(tǒng)遭遇了大規(guī)模停電事件，數萬“災民”不得不在嚴寒中煎熬；2016年1月，CERT-UA通報稱烏克蘭基輔鮑里斯波爾機場遭受BlackEnergy攻擊；2016年，BlackEnergy還在對烏克蘭境內的多個工業(yè)控制系統(tǒng)發(fā)動攻擊，并且在2016年12月，造成烏克蘭某電力企業(yè)的一次小規(guī)模停電事故。

2016年11月17日晚，沙特阿拉伯遭遇了Shamoon2.0的攻擊，包括國家民航總局在內的6個重要機構的計算機系統(tǒng)遭到嚴重破壞。Shamoon惡意程序首次現身于2012年8月，當時的攻擊致使石油巨頭Saudi Ameraco公司大約3萬臺計算機中的文件損毀。

事實上，烏克蘭和沙特阿拉伯的工業(yè)控制系統(tǒng)遭到的攻擊離我們并不遙遠。因為即便是在全球范圍內，能夠提供工業(yè)控制系統(tǒng)信息化服務的供應商也并不多。其他國家工業(yè)控制系統(tǒng)出現的問題和漏洞，在國內的很多工業(yè)控制系統(tǒng)中也同樣存在。

針對工業(yè)控制系統(tǒng)的攻擊，攻擊者的主要目的是獲取商業(yè)情報、流程工藝，進行遠程控制或者惡意破壞。從攻擊者所使用的手法來看，攻擊手段已經呈現出多樣化的發(fā)展趨勢。

例如，在針對烏克蘭電力系統(tǒng)的攻擊中，就出現了多種不同的攻擊方式。其中，最主要的惡意代碼為BlackEnergy，這是一種后門程序，攻擊者能夠利用它來遠程訪問并操控電力控制系統(tǒng)。此外，在烏克蘭境內的多家配電公司設備中還檢測出了惡意程序KillDisk，其主要作用是破壞系統(tǒng)數據，以延緩系統(tǒng)的恢復過程。研究人員還在烏克蘭的電力系統(tǒng)服務器中發(fā)現了一個被添加后門的SSH服務端程序，攻擊者可以根據內置密碼隨時連入受感染的主機。

在針對沙特阿拉伯的Shamoon2.0攻擊中，攻擊者使用了一種簡單粗暴的攻擊方式：擦除原有數據并寫入垃圾數據。例如，前面提到的2016年11月17日晚發(fā)生的網絡攻擊事件，受害者的計算機系統(tǒng)中的大量文件和數據被擦除，取而代之的是一張溺水的敘利亞難民男孩的照片。

值得一提的是，Shamoon2.0還設置了一個“定時暴力破解”功能。在先前的Shamoon攻擊中，惡意樣本會首先竊取用戶數據并上傳到C&C服務器，然后才會執(zhí)行文件刪除或覆蓋操作，從理論上說，有可能通過阻斷網絡或限制IP訪問等方法來阻止Shamoon的破壞行為。但Shamoon2.0的攻擊者卻在程序中填寫了一個完全不可達的C&C服務器地址，并在程序中編碼，設置定時器時間為2016年11月17日晚8：45。這就使得Shamoon2.0成為了一顆“定時炸彈”。

（2）工業(yè)控制系統(tǒng)廣暴露，安全漏洞多難補

工業(yè)控制系統(tǒng)在互聯(lián)網上的暴露問題是工業(yè)互聯(lián)網安全的一個基本問題。所謂“暴露”，是指我們可以通過互聯(lián)網直接對某些與工業(yè)控制系統(tǒng)相關的工業(yè)組件，如工業(yè)控制設備、協(xié)議、軟件、系統(tǒng)等，進行遠程訪問或查詢。根據Positive Technologies 2019年4月發(fā)布的研究數據顯示：2018年全球工業(yè)控制系統(tǒng)聯(lián)網暴露組件總數量約為22.4萬個。

造成工業(yè)控制系統(tǒng)暴露的主要原因之一是“商業(yè)網絡”與“工業(yè)網絡”的不斷融合。商業(yè)網絡與工業(yè)網絡的連通在拓展了工業(yè)控制系統(tǒng)發(fā)展空間的同時，也帶來了工業(yè)控制系統(tǒng)的網絡安全問題。近年來，企業(yè)為了管理與控制的一體化，實現生產和管理的高效率、高效益，普遍推進生產執(zhí)行系統(tǒng)，實現管理信息網絡與控制網絡之間的數據交換，實現工業(yè)控制系統(tǒng)和管理信息系統(tǒng)的集成。但是，如果未能做好必要的分隔管控工作，就會導致原本封閉的工業(yè)控制系統(tǒng)，通過管理信息系統(tǒng)與互聯(lián)網互通、互聯(lián)后，直接面臨互聯(lián)網側的各類網絡攻擊風險。

同時，工業(yè)互聯(lián)網系統(tǒng)，特別是底層的控制主機，由于系統(tǒng)老舊，常存在高危安全漏洞。根據國家信息安全漏洞共享平臺（CNVD）統(tǒng)計數據顯示，2000～2009年，CNVD每年收錄的工業(yè)控制系統(tǒng)漏洞數量一直保持在個位數。但到了2010年，該數字攀升到32個，次年又躍升到199個。這種情況的發(fā)生與2010年發(fā)現的Stuxnet（震網病毒）有直接關系。Stuxnet是世界上第一個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒。自此業(yè)界對工業(yè)控制系統(tǒng)的安全性問題普遍關注。CNVD歷年收錄工業(yè)控制系統(tǒng)漏洞數量分布如圖2-1所示。

漏洞在增多，且修復難度很大。通常情況下，修復過程必須保證不能中斷正常生產，同時還必須保證漏洞修復后不會因兼容性問題影響正常生產。

工業(yè)控制系統(tǒng)操作站普遍采用商用PC和Windows操作系統(tǒng)的技術架構。任何一個版本的Windows操作系統(tǒng)自發(fā)布以來都在不停地發(fā)布漏洞補丁。為保證工業(yè)控制系統(tǒng)的可靠性，現場工程師通常在系統(tǒng)開發(fā)后不會對Windows平臺打任何補丁，打過補丁的操作系統(tǒng)也很少會再經過工業(yè)控制系統(tǒng)原廠或自動化集成商測試，存在可靠性風險。但是，系統(tǒng)不打補丁就會存在被攻擊者利用的安全漏洞，即使是普通常見病毒也容易感染，從而可能造成Windows平臺乃至控制網絡的癱瘓。

黑客入侵和工業(yè)控制應用軟件的自身漏洞通常發(fā)生在遠程工業(yè)控制系統(tǒng)的應用上，另外，對于分布式的大型工業(yè)互聯(lián)網，人們?yōu)榱丝刂啤⒈O(jiān)視方便，常常會開放VPN tunnel等方式接入，甚至直接開放部分網絡端口，這種情況下也給黑客的入侵帶來了方便。

（3）病毒木馬不敢殺，應對策略受局限

基于Windows操作系統(tǒng)的個人計算機被廣泛應用于工業(yè)互聯(lián)網系統(tǒng)，因此易遭受病毒困擾。全球范圍內，每年都會發(fā)生數次大規(guī)模的病毒爆發(fā)事件。

有些蠕蟲病毒隨著第三方補丁工具和安全軟件的普及，近些年來本已幾乎絕跡。但隨著永恒之藍、永恒之石等網絡攻擊武器的泄露，蠕蟲病毒又重新獲得了生存空間，其代表就是WannaCry病毒。由于對工業(yè)控制軟件與殺毒軟件兼容性的擔心，在操作站（HMI）中通常不安裝殺毒軟件，即使是有防病毒產品，其基于病毒庫查殺的機制在工業(yè)互聯(lián)網領域使用也有局限性。網絡的隔離性和保證系統(tǒng)的穩(wěn)定性要求導致病毒庫升級總是滯后。因此，工業(yè)互聯(lián)網系統(tǒng)每年都會爆發(fā)病毒，出現大量新增病毒。在操作站中，U盤等即插即用存儲設備的隨意使用，使病毒更易傳播。

針對工業(yè)互聯(lián)網存在的安全問題，業(yè)界也早已提出了一些安全防護架構和管理策略，其中典型的代表是NIST SP 800-82、IEC62443等國際工業(yè)互聯(lián)網領域指導性文獻的縱深防御架構。我國電網和少部分工業(yè)企業(yè)在安全防護上已經基本按照該原則進行部署并創(chuàng)新，如電網提出的“十六字方針”：安全分區(qū)、網絡專用、橫向隔離、縱向認證。

但是，上述原則在實踐中卻充滿了挑戰(zhàn)與局限。例如，在工業(yè)互聯(lián)網中，由于網絡邊界模糊，有時需要動態(tài)地在不同區(qū)域使用同一設備，會用到軟件定義網絡的高級功能，靜態(tài)分區(qū)存在難度；虛擬區(qū)域邊界部署防御，如防火墻、網閘、安全遠程訪問VPN等，這些設備只能做到對部分已知規(guī)則的防御，要進行及時動態(tài)更新難度較大。

在常見防御手段中，還包括在終端加入審計和應用程序白名單；在運營過程中的防御是進行漏洞掃描，并打補丁。但是，在工業(yè)互聯(lián)網中，為保證可用性、穩(wěn)定性，很難做到在線掃描或實時掃描。而且即使掃描到了漏洞，企業(yè)也可能會因為擔心系統(tǒng)的可用性和穩(wěn)定性被破壞，而最終選擇放棄補丁升級，或者干脆不升級。此外，在工業(yè)控制系統(tǒng)中，也確實有大量的漏洞難以找到合適的升級補丁。

前述各種策略對于來自互聯(lián)網的威脅還缺乏與時俱進的技術思想。

其一，這些策略一般都屬于預置策略，然后防御，是一種被動的方式，類似“守株待兔”，而現今安全防御技術的主流思想是主動防御。

其二，商業(yè)網絡與工業(yè)網絡被打通后，工業(yè)控制系統(tǒng)也將面臨海量商業(yè)網絡攻擊樣本的沖擊，而前述各種策略則沒有考慮到海量樣本帶來的安全大數據收集問題。

其三，即便有了海量樣本和安全大數據，這些策略中也沒有系統(tǒng)考慮樣本分析的問題。對于工業(yè)企業(yè)來說，一般沒有經費和人力去構建強大的分析能力系統(tǒng)。

其四，這些策略中也沒有考慮在多個工業(yè)企業(yè)之間建立安全信息分享機制，無法形成協(xié)同防御的能力。

最后，這些策略沒有系統(tǒng)地考慮未知威脅檢測的問題。

因此，工業(yè)互聯(lián)網實際上需要建立一種能夠跨越物理世界（包括直接可觀測性）、網絡世界（包括保留數據的使用權）和商業(yè)世界（包括產權和訂立合同的權利）的一體化安全手段，并且可以對攻擊進行追蹤和溯源。