2018 年 8 月份，知名芯片代工廠臺(tái)積電遭遇 WannaCry 病毒入侵，導(dǎo)致三大工廠生產(chǎn)線停擺，預(yù)估損失高達(dá)約 17 億人民幣。由于臺(tái)積電肩負(fù)英特爾、華為、高通、蘋果等品牌芯片的代工生產(chǎn)，且蘋果即將推出新品，人們紛紛揣測(cè)此事造成的嚴(yán)重影響，整個(gè)制造業(yè)和輿論界都受到了震動(dòng)。而七月初，外媒《紐約時(shí)報(bào)》也報(bào)道了一起重大數(shù)據(jù)泄露事件，包含企業(yè)藍(lán)圖、工廠原理圖、客戶材料、員工信息等將近 47000 份、共 157 GB 的文件，影響一百多家汽車制造廠商。

從2010 年引起全球關(guān)注的震網(wǎng)病毒開始，整個(gè)工業(yè)互聯(lián)網(wǎng)的安全問題一直敲打著各大企業(yè)的神經(jīng)。但多年過去，工業(yè)互聯(lián)網(wǎng)的安全防線依然較弱，這與整個(gè)行業(yè)本身的特點(diǎn)有關(guān)，也表明工業(yè)互聯(lián)網(wǎng)的安全建設(shè)并不容易。

[[244261]]

一、工業(yè)互聯(lián)網(wǎng)

工業(yè)互聯(lián)網(wǎng)的概念在國內(nèi)早已存在，在近幾年開始受到政策的推動(dòng)。按照定義：“工業(yè)互聯(lián)網(wǎng)是指全球工業(yè)系統(tǒng)與高級(jí)計(jì)算、分析、感應(yīng)技術(shù)以及互聯(lián)網(wǎng)連接融合的結(jié)果。它通過智能機(jī)器 間的連接并最終將人機(jī)連接，結(jié)合軟件和大數(shù)據(jù)分析，重構(gòu)全球工業(yè)、激發(fā)生產(chǎn)力，讓世界更美好、更快速、更安全、更清潔且更經(jīng)濟(jì)。”

2015 年，我國發(fā)布《國務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng) +”行動(dòng)的指導(dǎo)意見》，提出推動(dòng)互聯(lián)網(wǎng)與制造業(yè)融合，提升制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化水平，加強(qiáng)產(chǎn)業(yè)鏈協(xié)作，發(fā)展基于互聯(lián)網(wǎng)的協(xié)同制造新模式。2018年7月，工業(yè)和信息化部印發(fā)了《工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)及推廣指南》和《工業(yè)互聯(lián)網(wǎng)平臺(tái)評(píng)價(jià)方法》，則進(jìn)一步加快了國內(nèi)工業(yè)互聯(lián)網(wǎng)建設(shè)。但是，工業(yè)互聯(lián)網(wǎng)在穩(wěn)步發(fā)展的同時(shí)，也逐漸凸顯出大量安全問題。

二、工業(yè)互聯(lián)網(wǎng)面臨的幾大安全痛點(diǎn)

1. 工業(yè)網(wǎng)絡(luò)自身安全性低，易于從企業(yè)內(nèi)網(wǎng)系統(tǒng)滲透

2018 年 5 月份，Positive Technologies 發(fā)布的《2018 工業(yè)企業(yè)攻擊向量報(bào)告》顯示，73%的企業(yè)網(wǎng)絡(luò)沒有做好安全防護(hù)，容易遭受來自外部的黑客攻擊。而在大量針對(duì)工業(yè)系統(tǒng)的攻擊中，黑客正是利用企業(yè)網(wǎng)絡(luò)(辦公網(wǎng)絡(luò))作為跳板，進(jìn)入工業(yè)系統(tǒng)的控制層并實(shí)施進(jìn)一步入侵。企業(yè)員工所使用的企業(yè)信息系統(tǒng)(Corporate Information Systems，CIS)成為黑客攻擊的一個(gè)重要突破口，因?yàn)檫@些CIS系統(tǒng)普遍存在安全漏洞。

其中，外部攻擊者可用的管理接口(SSH、TELNET、RDP)、特權(quán)用戶的字典密碼、外部攻擊者可用的 DBMS 連接接口、易受攻擊的軟件版本、不安全協(xié)議的使用、任意文件上傳、SNMP 社區(qū)字符串配置、遠(yuǎn)程代碼執(zhí)行、用戶和軟件權(quán)限過大以及在明文或公眾中存儲(chǔ)敏感數(shù)據(jù)都是導(dǎo)致工業(yè)企業(yè)容易遭遇入侵的原因。研究表明，43%的工業(yè)企業(yè)信息系統(tǒng)邊界的 Web 應(yīng)用程序安全級(jí)別都很差。

此外，調(diào)查結(jié)果顯示，82% 的案例都顯示內(nèi)部攻擊者已經(jīng)存在于企業(yè)的信息系統(tǒng)中，可以輕易入侵工業(yè)網(wǎng)絡(luò)。而自 2018 年以來，我國工業(yè)安全中心也已經(jīng)發(fā)現(xiàn)裝備制造、交通、能源、智能樓宇等重要工業(yè)領(lǐng)域的數(shù)百個(gè)漏洞。

2. 大多數(shù)攻擊易于部署，攻擊難度低

調(diào)查報(bào)告顯示，67% 的攻擊向量難度都比較低;且大多攻擊向量只需利用設(shè)備和網(wǎng)絡(luò)中現(xiàn)存的配置漏洞或系統(tǒng)漏洞就可以部署。而各類黑客大會(huì)、開源社區(qū)乃至地下論壇等大量涌現(xiàn)，讓工控系統(tǒng)軟硬件設(shè)備的漏洞及利用方式都能輕易獲取，大量工控設(shè)備的弱口令信息及工控系統(tǒng)的掃描、探測(cè)、滲透方法都公之于眾。

3. 人為因素

大多數(shù)可以通過企業(yè)信息系統(tǒng)進(jìn)入工業(yè)網(wǎng)絡(luò)的企業(yè)網(wǎng)絡(luò)配置或流量提取都存在漏洞。64% 的案例都顯示漏洞是由管理員創(chuàng)建遠(yuǎn)程管理機(jī)制時(shí)造成的;甚至還有 18% 的企業(yè)根本沒有將工控組件完全物理隔離。也就是說，大多數(shù)工業(yè)互聯(lián)網(wǎng)企業(yè)的員工網(wǎng)絡(luò)安全意識(shí)依然不強(qiáng)。在臺(tái)積電“中毒”事件中，也是由于工作人員新加入一臺(tái)電腦設(shè)備卻沒有提前殺毒直接聯(lián)網(wǎng)，導(dǎo)致病毒傳播，造成后續(xù)一系列的停擺。

事實(shí)上，工業(yè)互聯(lián)網(wǎng)中負(fù)責(zé)管理網(wǎng)絡(luò)安全的人員大多是自動(dòng)化工程師和生產(chǎn)工程師。由于時(shí)間精力有限，他們往往只會(huì)更關(guān)注保持系統(tǒng)運(yùn)行，而不會(huì)把安全問題放在首位。

4. 詞典密碼和老舊軟件影響

大多數(shù)工業(yè)企業(yè)所使用的密碼都是詞典密碼，很容易查詢。此外，許多工業(yè)協(xié)議、設(shè)備、系統(tǒng)在設(shè)計(jì)之初并沒有考慮到在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性，而且這些系統(tǒng)的生命周期長、升級(jí)維護(hù)少，結(jié)果就是大量工業(yè)企業(yè)所使用的軟件變成了老舊軟件，存在很多已知的漏洞且難以修復(fù)。帶病運(yùn)行”的設(shè)備和系統(tǒng)很容易被入侵。而攻擊者正是利用這些漏洞實(shí)施攻擊，獲取大量特權(quán)并接管整個(gè)企業(yè)基礎(chǔ)設(shè)施。

5. 工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全刻不容緩

在大數(shù)據(jù)的環(huán)境下，數(shù)據(jù)也當(dāng)仁不讓成為工業(yè)互聯(lián)網(wǎng)的核心，工業(yè)互聯(lián)網(wǎng)連接了人與機(jī)器、機(jī)器與機(jī)器、機(jī)器與產(chǎn)品，將匯聚大量的數(shù)據(jù)，通過數(shù)據(jù)分析和學(xué)習(xí)，用于提高生產(chǎn)效率、服務(wù)質(zhì)量，爭(zhēng)搶企業(yè)的競(jìng)爭(zhēng)力。因此，在工業(yè)互聯(lián)網(wǎng)飛速發(fā)展的當(dāng)下，一旦出現(xiàn)數(shù)據(jù)泄露等數(shù)據(jù)相關(guān)的安全問題，也將為企業(yè)帶來致命性打擊。

此外，企業(yè)的工業(yè)資產(chǎn)不清、工業(yè)網(wǎng)絡(luò)連接混亂、移動(dòng)介質(zhì)疏于管理等都是目前工業(yè)互聯(lián)網(wǎng)所面臨的主要安全問題。

三、工業(yè)互聯(lián)網(wǎng)中常見的攻擊模式

調(diào)查顯示：配置錯(cuò)誤;源代碼漏洞以及常見高危漏洞都容易導(dǎo)致工業(yè)互聯(lián)網(wǎng)安全事件。攻擊者可以通過企業(yè)局域網(wǎng)或者被入侵的工業(yè)流程滲透進(jìn)工業(yè)網(wǎng)絡(luò)，典型的攻擊分為三個(gè)階段：

1. 使用網(wǎng)絡(luò)插口、Wi-Fi 訪客聯(lián)網(wǎng)或其他聯(lián)網(wǎng)攻擊獲取企業(yè)信息系統(tǒng)主機(jī)上的操作系統(tǒng)權(quán)限;一旦獲取權(quán)限，攻擊者就會(huì)提升服務(wù)器或員工工作站的本地權(quán)限，并搜集網(wǎng)絡(luò)拓?fù)?、設(shè)備以及軟件的相關(guān)信息;

2. 獲取企業(yè)信息系統(tǒng)上一臺(tái)或多臺(tái)主機(jī)的最大權(quán)限后，進(jìn)一步利用軟件、操作系統(tǒng)、web應(yīng)用、網(wǎng)絡(luò)配件、用戶認(rèn)證等流程的漏洞，獲取更多端點(diǎn)的控制權(quán);

3. 獲得對(duì)關(guān)鍵系統(tǒng)的訪問權(quán)并攻擊工業(yè)網(wǎng)絡(luò)

在這三個(gè)關(guān)鍵階段中，可以攻擊者使用各種攻擊方法，不論是漏洞利用還是社工，都無所不用其極。同時(shí)，他們還會(huì)盡量隱身，潛伏多年并找準(zhǔn)時(shí)機(jī)實(shí)現(xiàn)致命一擊。很多工業(yè)互聯(lián)網(wǎng)的攻擊事件都屬于 APT 攻擊，著名的“震網(wǎng)”事件是最典型的例子。不論是直接破壞關(guān)鍵設(shè)備的顯性攻擊還是長期潛伏篡改生產(chǎn)工藝、破壞產(chǎn)品質(zhì)量的隱性攻擊，都會(huì)對(duì)企業(yè)和國家造成嚴(yán)重影響。

四、工業(yè)互聯(lián)網(wǎng)安全成為國家戰(zhàn)略

與民用互聯(lián)網(wǎng)不同的是，工業(yè)互聯(lián)網(wǎng)牽涉到國家安全、人身財(cái)產(chǎn)安全，這就要求機(jī)器之間工業(yè)通信也應(yīng)當(dāng)更安全，而且更應(yīng)當(dāng)自主可控。目前，汽車生產(chǎn)、智能制造、電子加工等領(lǐng)域安全問題頻發(fā)，上至管理部門下至普通民眾終于開始關(guān)注到工業(yè)互聯(lián)網(wǎng)安全。

在今年的 ISC 大會(huì)上，工信部副部長陳肇雄，中央網(wǎng)信辦總工程師趙澤良，公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全，國家密碼管理局商密管理辦公室主任張平武，中國互聯(lián)網(wǎng)協(xié)會(huì)理事長鄔賀銓院士等都提到了工業(yè)互聯(lián)網(wǎng)安全問題。他們都強(qiáng)調(diào)“要加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)”，并使用區(qū)塊鏈、人工智能等新的安全防護(hù)技術(shù)保護(hù)工業(yè)互聯(lián)網(wǎng)安全。目前，中央網(wǎng)信辦和公安部已經(jīng)牽頭制定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例，工業(yè)互聯(lián)網(wǎng)領(lǐng)域的基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全將得到來自法律層面的保護(hù)。

在工業(yè)互聯(lián)網(wǎng)、“中國制造2025”、“工業(yè)4.0”等政策驅(qū)動(dòng)下，工業(yè)企業(yè)中的信息技術(shù)(IT)和操作技術(shù)(OT)一體化已成為必然趨勢(shì)。研究顯示，全球工控安全市場(chǎng)將從 2018 年的 132 億美元增長到 2023 年的 180.5 億美元，綜合年增長率將達(dá)到 6.5%。

對(duì)于企業(yè)而言，在政策的指導(dǎo)下也應(yīng)當(dāng)發(fā)揮自主精神，從上至下貫徹實(shí)施。同時(shí)，要注意關(guān)注頂層設(shè)計(jì)，關(guān)注核心的數(shù)據(jù)安全。具體可以從以下幾點(diǎn)入手，提升安全防護(hù)等級(jí)：

• 及時(shí)發(fā)現(xiàn)、識(shí)別并梳理資產(chǎn)，確認(rèn)資產(chǎn)類型數(shù)量位置信息，并梳理清楚資產(chǎn)之間的連接、網(wǎng)絡(luò)拓?fù)湟约皵?shù)據(jù)的傳輸;
• 全方位全流量監(jiān)控，結(jié)合威脅情報(bào)及被動(dòng)式感知等手段，獲取工業(yè)互聯(lián)網(wǎng)的運(yùn)行情況、實(shí)時(shí)監(jiān)測(cè)流量、及時(shí)識(shí)別威脅，并通過流量分析溯源;
• 部署好應(yīng)急響應(yīng)措施;一旦出現(xiàn)感染，通過技術(shù)手段確認(rèn)威脅感染面，盡早隔離防止擴(kuò)散;這一步主要可以通過網(wǎng)絡(luò)分區(qū)以及部署具備入侵檢測(cè)能力和分析能力的網(wǎng)關(guān)設(shè)備，識(shí)別并防御風(fēng)險(xiǎn);此外，對(duì)于主機(jī)的安全問題，可以通過分批升級(jí)打補(bǔ)丁或其他主機(jī)防護(hù)軟件保障安全;在其他終端也部署相應(yīng)的安全產(chǎn)品;
• 妥善保管數(shù)據(jù)，除了 OT 層面的安全部署，也不能忽視網(wǎng)絡(luò)端即 IT 的安全保護(hù)措施，從普通的信息安全架度來部署防護(hù)措施，避免攻擊者從內(nèi)網(wǎng)層面滲透到工業(yè)網(wǎng)絡(luò)層面;
• 建立安全運(yùn)營體系，合理分配職責(zé)，定期進(jìn)行工作人員安全意識(shí)培訓(xùn)，完善事前檢測(cè)、事中響應(yīng)和事后分析流程，形成安全運(yùn)營閉環(huán)。