13 工业互联网当前的安全环境如何？

工业互联网还处在发展初期，安全管理水平和安全防护水平相对较弱，安全事件频发，主要体现在以下几方面。

（1）攻击频繁影响大、手段专业方法多

工业互联网安全涉及工业控制、互联网、信息安全三个交叉领域，面临传统网络安全和工业控制安全双重挑战。自从震网病毒被发现至今，针对工业控制系统进行破坏活动的网络攻击频发。

近年来，一系列针对工业控制系统的破坏性攻击被曝光，如2015年12月23日，乌克兰电力系统遭遇了大规模停电事件，数万“灾民”不得不在严寒中煎熬；2016年1月，CERT-UA通报称乌克兰基辅鲍里斯波尔机场遭受BlackEnergy攻击；2016年，BlackEnergy还在对乌克兰境内的多个工业控制系统发动攻击，并且在2016年12月，造成乌克兰某电力企业的一次小规模停电事故。

2016年11月17日晚，沙特阿拉伯遭遇了Shamoon2.0的攻击，包括国家民航总局在内的6个重要机构的计算机系统遭到严重破坏。Shamoon恶意程序首次现身于2012年8月，当时的攻击致使石油巨头Saudi Ameraco公司大约3万台计算机中的文件损毁。

事实上，乌克兰和沙特阿拉伯的工业控制系统遭到的攻击离我们并不遥远。因为即便是在全球范围内，能够提供工业控制系统信息化服务的供应商也并不多。其他国家工业控制系统出现的问题和漏洞，在国内的很多工业控制系统中也同样存在。

针对工业控制系统的攻击，攻击者的主要目的是获取商业情报、流程工艺，进行远程控制或者恶意破坏。从攻击者所使用的手法来看，攻击手段已经呈现出多样化的发展趋势。

例如，在针对乌克兰电力系统的攻击中，就出现了多种不同的攻击方式。其中，最主要的恶意代码为BlackEnergy，这是一种后门程序，攻击者能够利用它来远程访问并操控电力控制系统。此外，在乌克兰境内的多家配电公司设备中还检测出了恶意程序KillDisk，其主要作用是破坏系统数据，以延缓系统的恢复过程。研究人员还在乌克兰的电力系统服务器中发现了一个被添加后门的SSH服务端程序，攻击者可以根据内置密码随时连入受感染的主机。

在针对沙特阿拉伯的Shamoon2.0攻击中，攻击者使用了一种简单粗暴的攻击方式：擦除原有数据并写入垃圾数据。例如，前面提到的2016年11月17日晚发生的网络攻击事件，受害者的计算机系统中的大量文件和数据被擦除，取而代之的是一张溺水的叙利亚难民男孩的照片。

值得一提的是，Shamoon2.0还设置了一个“定时暴力破解”功能。在先前的Shamoon攻击中，恶意样本会首先窃取用户数据并上传到C&C服务器，然后才会执行文件删除或覆盖操作，从理论上说，有可能通过阻断网络或限制IP访问等方法来阻止Shamoon的破坏行为。但Shamoon2.0的攻击者却在程序中填写了一个完全不可达的C&C服务器地址，并在程序中编码，设置定时器时间为2016年11月17日晚8：45。这就使得Shamoon2.0成为了一颗“定时炸弹”。

（2）工业控制系统广暴露，安全漏洞多难补

工业控制系统在互联网上的暴露问题是工业互联网安全的一个基本问题。所谓“暴露”，是指我们可以通过互联网直接对某些与工业控制系统相关的工业组件，如工业控制设备、协议、软件、系统等，进行远程访问或查询。根据Positive Technologies 2019年4月发布的研究数据显示：2018年全球工业控制系统联网暴露组件总数量约为22.4万个。

造成工业控制系统暴露的主要原因之一是“商业网络”与“工业网络”的不断融合。商业网络与工业网络的连通在拓展了工业控制系统发展空间的同时，也带来了工业控制系统的网络安全问题。近年来，企业为了管理与控制的一体化，实现生产和管理的高效率、高效益，普遍推进生产执行系统，实现管理信息网络与控制网络之间的数据交换，实现工业控制系统和管理信息系统的集成。但是，如果未能做好必要的分隔管控工作，就会导致原本封闭的工业控制系统，通过管理信息系统与互联网互通、互联后，直接面临互联网侧的各类网络攻击风险。

同时，工业互联网系统，特别是底层的控制主机，由于系统老旧，常存在高危安全漏洞。根据国家信息安全漏洞共享平台（CNVD）统计数据显示，2000～2009年，CNVD每年收录的工业控制系统漏洞数量一直保持在个位数。但到了2010年，该数字攀升到32个，次年又跃升到199个。这种情况的发生与2010年发现的Stuxnet（震网病毒）有直接关系。Stuxnet是世界上第一个专门针对工业控制系统编写的破坏性病毒。自此业界对工业控制系统的安全性问题普遍关注。CNVD历年收录工业控制系统漏洞数量分布如图2-1所示。

漏洞在增多，且修复难度很大。通常情况下，修复过程必须保证不能中断正常生产，同时还必须保证漏洞修复后不会因兼容性问题影响正常生产。

工业控制系统操作站普遍采用商用PC和Windows操作系统的技术架构。任何一个版本的Windows操作系统自发布以来都在不停地发布漏洞补丁。为保证工业控制系统的可靠性，现场工程师通常在系统开发后不会对Windows平台打任何补丁，打过补丁的操作系统也很少会再经过工业控制系统原厂或自动化集成商测试，存在可靠性风险。但是，系统不打补丁就会存在被攻击者利用的安全漏洞，即使是普通常见病毒也容易感染，从而可能造成Windows平台乃至控制网络的瘫痪。

黑客入侵和工业控制应用软件的自身漏洞通常发生在远程工业控制系统的应用上，另外，对于分布式的大型工业互联网，人们为了控制、监视方便，常常会开放VPN tunnel等方式接入，甚至直接开放部分网络端口，这种情况下也给黑客的入侵带来了方便。

（3）病毒木马不敢杀，应对策略受局限

基于Windows操作系统的个人计算机被广泛应用于工业互联网系统，因此易遭受病毒困扰。全球范围内，每年都会发生数次大规模的病毒爆发事件。

有些蠕虫病毒随着第三方补丁工具和安全软件的普及，近些年来本已几乎绝迹。但随着永恒之蓝、永恒之石等网络攻击武器的泄露，蠕虫病毒又重新获得了生存空间，其代表就是WannaCry病毒。由于对工业控制软件与杀毒软件兼容性的担心，在操作站（HMI）中通常不安装杀毒软件，即使是有防病毒产品，其基于病毒库查杀的机制在工业互联网领域使用也有局限性。网络的隔离性和保证系统的稳定性要求导致病毒库升级总是滞后。因此，工业互联网系统每年都会爆发病毒，出现大量新增病毒。在操作站中，U盘等即插即用存储设备的随意使用，使病毒更易传播。

针对工业互联网存在的安全问题，业界也早已提出了一些安全防护架构和管理策略，其中典型的代表是NIST SP 800-82、IEC62443等国际工业互联网领域指导性文献的纵深防御架构。我国电网和少部分工业企业在安全防护上已经基本按照该原则进行部署并创新，如电网提出的“十六字方针”：安全分区、网络专用、横向隔离、纵向认证。

但是，上述原则在实践中却充满了挑战与局限。例如，在工业互联网中，由于网络边界模糊，有时需要动态地在不同区域使用同一设备，会用到软件定义网络的高级功能，静态分区存在难度；虚拟区域边界部署防御，如防火墙、网闸、安全远程访问VPN等，这些设备只能做到对部分已知规则的防御，要进行及时动态更新难度较大。

在常见防御手段中，还包括在终端加入审计和应用程序白名单；在运营过程中的防御是进行漏洞扫描，并打补丁。但是，在工业互联网中，为保证可用性、稳定性，很难做到在线扫描或实时扫描。而且即使扫描到了漏洞，企业也可能会因为担心系统的可用性和稳定性被破坏，而最终选择放弃补丁升级，或者干脆不升级。此外，在工业控制系统中，也确实有大量的漏洞难以找到合适的升级补丁。

前述各种策略对于来自互联网的威胁还缺乏与时俱进的技术思想。

其一，这些策略一般都属于预置策略，然后防御，是一种被动的方式，类似“守株待兔”，而现今安全防御技术的主流思想是主动防御。

其二，商业网络与工业网络被打通后，工业控制系统也将面临海量商业网络攻击样本的冲击，而前述各种策略则没有考虑到海量样本带来的安全大数据收集问题。

其三，即便有了海量样本和安全大数据，这些策略中也没有系统考虑样本分析的问题。对于工业企业来说，一般没有经费和人力去构建强大的分析能力系统。

其四，这些策略中也没有考虑在多个工业企业之间建立安全信息分享机制，无法形成协同防御的能力。

最后，这些策略没有系统地考虑未知威胁检测的问题。

因此，工业互联网实际上需要建立一种能够跨越物理世界（包括直接可观测性）、网络世界（包括保留数据的使用权）和商业世界（包括产权和订立合同的权利）的一体化安全手段，并且可以对攻击进行追踪和溯源。