一家正常運(yùn)營(yíng)的煉油廠突然打破以往的平靜——計(jì)算機(jī)屏幕開始強(qiáng)烈地閃爍，光標(biāo)不受控制并四處游移，電線突然短路，滾滾濃煙中夾雜著大量的火花……煉油廠的設(shè)備大面積停止運(yùn)轉(zhuǎn)，工廠的工人們不知所措地到處觀望，系統(tǒng)工程師們則焦頭爛額、爭(zhēng)分奪秒。

　　這樣的緊急情況源自一群專業(yè)黑客的攻擊，他們通過(guò)惡意代碼攻擊煉油廠的控制系統(tǒng)，從而干擾甚至控制煉油廠的生產(chǎn)運(yùn)營(yíng)。

　　這一幕發(fā)生在KEEN公司和卡巴斯基實(shí)驗(yàn)室聯(lián)合發(fā)起的工業(yè)控制系統(tǒng)CTF決賽上，來(lái)自中國(guó)、日本和韓國(guó)的選手模擬攻擊煉油廠進(jìn)行安全實(shí)戰(zhàn)。比賽現(xiàn)場(chǎng)以煉油廠的真實(shí)生產(chǎn)為背景，復(fù)制了變速離心泵、儲(chǔ)罐（油箱）、熱交換器和緩沖罐構(gòu)成的鐵管卸料器。

　　“以煉油廠的真實(shí)生產(chǎn)場(chǎng)景作為背景，比賽現(xiàn)場(chǎng)所發(fā)生的所有情況在實(shí)際關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)系統(tǒng)中也可能發(fā)生?！笨ò退够鶎?shí)驗(yàn)室高級(jí)研究員VladimirDashchenko說(shuō)道。

　　作為“智慧工廠”的大腦，工業(yè)控制系統(tǒng)可謂是企業(yè)乃至國(guó)家的“安全命門”。但全球頻繁爆發(fā)針對(duì)它的大規(guī)模網(wǎng)絡(luò)攻擊，如“震網(wǎng)”病毒造成伊朗上千臺(tái)離心機(jī)報(bào)廢；烏克蘭電網(wǎng)被攻擊導(dǎo)致140余萬(wàn)家庭斷電；“Petrwrap”勒索病毒影響多個(gè)國(guó)家的電力、軌道交通、石油等重點(diǎn)領(lǐng)域運(yùn)行等案例引起了全球安全從業(yè)者的關(guān)注——工業(yè)控制系統(tǒng)一旦遭受攻擊，可對(duì)現(xiàn)實(shí)世界造成直接的、實(shí)質(zhì)性的危害，甚至威脅國(guó)家安全和經(jīng)濟(jì)社會(huì)穩(wěn)定。

　　而伴隨著物聯(lián)網(wǎng)和大數(shù)據(jù)在工業(yè)應(yīng)用中日益普及，這些攻擊目標(biāo)被逐漸放大，安全防護(hù)問(wèn)題也呈幾何級(jí)數(shù)被認(rèn)知。

　　愈演愈烈

　　今年5月12日晚，一款名為WannaCry的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)，這被認(rèn)為是迄今為止最巨大的勒索交費(fèi)活動(dòng)，影響到近百個(gè)國(guó)家上千家企業(yè)及公共組織。

　　5月13日凌晨開始，中國(guó)石油旗下北京、上海、重慶、成都等多個(gè)城市的加油站出現(xiàn)網(wǎng)絡(luò)癱瘓的情況，導(dǎo)致油卡、支付寶、微信、銀聯(lián)卡等聯(lián)網(wǎng)支付方式無(wú)法使用。為確保用戶數(shù)據(jù)安全和防止病毒擴(kuò)散，在受到勒索病毒攻擊后，中石油緊急中斷所有加油站上連網(wǎng)絡(luò)端口，并會(huì)同有關(guān)網(wǎng)絡(luò)安全專家連夜開展處置工作，全面排查風(fēng)險(xiǎn)，制定技術(shù)解決方案。

　　第一財(cái)經(jīng)記者致電中國(guó)石油，相關(guān)方面表示稱，經(jīng)過(guò)技術(shù)解決，很快的時(shí)間中石油80%以上加油站恢復(fù)網(wǎng)絡(luò)連接，用戶加油卡賬戶資金未受影響。

　　西門子中國(guó)研究院信息安全部總監(jiān)胡建鈞向第一財(cái)經(jīng)記者表示，WannaCry作為一個(gè)里程碑式的事件，打開了一個(gè)以經(jīng)濟(jì)利益為驅(qū)動(dòng)，與地下黑色產(chǎn)業(yè)鏈對(duì)接的潘多拉魔盒，它將對(duì)工業(yè)企業(yè)帶來(lái)更大的威脅。

　　事實(shí)上，在人類工業(yè)互聯(lián)網(wǎng)發(fā)展以來(lái)，黑客利用各項(xiàng)漏洞的非法入侵從未停止過(guò)。

　　早在2000年，澳大利亞馬盧奇污水處理廠就曾遭遇到黑客攻擊，在前后三個(gè)多月的時(shí)間里，總計(jì)約100萬(wàn)升未經(jīng)處理的污水直接經(jīng)雨水渠排入了公園、河流等自然水系。此番行為直接導(dǎo)致了當(dāng)?shù)卮罅亢Ｑ笊锼劳觯鬯魵庋?，給所在區(qū)域帶來(lái)嚴(yán)重生態(tài)災(zāi)難。

　　2003年1月，美國(guó)俄亥俄州Davis-Besse核電站和其他電力設(shè)備受到SQLSlamme蠕蟲病毒攻擊，在數(shù)小時(shí)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致該核電站計(jì)算機(jī)處理速度變緩、安全參數(shù)顯示系統(tǒng)和過(guò)程控制計(jì)算機(jī)無(wú)法運(yùn)作。

　　彼時(shí)的非法入侵事件就已為工控系統(tǒng)安全防護(hù)敲響了警鐘，但真正拉開保衛(wèi)工業(yè)信息安全序幕的則是臭名昭著的“震網(wǎng)病毒”事件。

　　2010年6月，震網(wǎng)病毒Stuxnet首次被發(fā)現(xiàn)，它是第一個(gè)專門定向攻擊真實(shí)世界基礎(chǔ)設(shè)施的“蠕蟲”病毒。其利用當(dāng)時(shí)微軟尚未發(fā)現(xiàn)的幾個(gè)漏洞，成功偷襲了伊朗Natanz核電站，造成大量離心機(jī)損毀；此后的2012年，美國(guó)加州的Chevron石油公司對(duì)外稱，他們的計(jì)算機(jī)系統(tǒng)曾受到該震網(wǎng)病毒的襲擊；隨后，美國(guó)BakerHughes、ConocoPhillips和Marathon等石油公司也相繼發(fā)表聲明稱，其計(jì)算機(jī)系統(tǒng)也感染了震網(wǎng)病毒。他們發(fā)布警告，一旦病毒侵害了真空閥，就會(huì)造成離岸鉆探設(shè)備失火、人員傷亡和生產(chǎn)停頓等重大事故。

　　胡建鈞向記者介紹，2010年的“震網(wǎng)病毒”事件拉開了保衛(wèi)工業(yè)信息安全的序幕，該病毒是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，比如核電站、水壩和電網(wǎng)等。截至2011年，全球超過(guò)45000個(gè)網(wǎng)絡(luò)以及60%的個(gè)人電腦感染了這種病毒。

　　更為嚴(yán)重的是，病毒也會(huì)隨著科技的進(jìn)步而變異，變得更加“強(qiáng)大”。2011年微軟安全專家檢測(cè)到Stuxnet病毒的一個(gè)新型變種，Duqu木馬病毒。這種比Stuxnet更聰明的病毒可以潛伏于工控系統(tǒng)，收集攻擊目標(biāo)的各種信息，以供未來(lái)網(wǎng)絡(luò)襲擊之用。2015年6月Duqu2.0爆發(fā)，甚至入侵到網(wǎng)絡(luò)安全公司卡巴斯基的內(nèi)網(wǎng)以及伊核談判地點(diǎn)的會(huì)議酒店。其攻擊實(shí)力不容小覷。

　　根據(jù)德國(guó)數(shù)字協(xié)會(huì)Bitkom（2015年4月的一項(xiàng)研究）的保守分析，由于數(shù)字工業(yè)間諜、蓄意破壞和數(shù)據(jù)盜竊，德國(guó)每年遭受的損失高達(dá)510億歐元。

　　裸露的工業(yè)互聯(lián)網(wǎng)

　　雖然對(duì)于黑客或者入侵者而言，通過(guò)傳統(tǒng)USB等物理方式入侵工控系統(tǒng)顯然更加有效，但是隨著數(shù)字工業(yè)的發(fā)展，通過(guò)互聯(lián)網(wǎng)途徑的遠(yuǎn)程入侵則會(huì)更加高效與便捷。

　　2015年12月，黑客利用系統(tǒng)漏洞非法入侵了烏克蘭的一家電力公司，遠(yuǎn)程控制了配電管理系統(tǒng)，導(dǎo)致7臺(tái)110kV與23臺(tái)35kV變電站中斷了三個(gè)小時(shí)，22.5萬(wàn)用戶停電；2016年4月，德國(guó)核電站負(fù)責(zé)燃料裝卸系統(tǒng)的BlockBIT網(wǎng)絡(luò)同樣遭到攻擊，安全人員在對(duì)這套系統(tǒng)的安全檢測(cè)中發(fā)現(xiàn)了遠(yuǎn)程控制木馬，雖然還沒(méi)有執(zhí)行非法操作，但核電站的操作員為防不測(cè)，臨時(shí)關(guān)閉了發(fā)電廠。

　　事實(shí)上，隨著現(xiàn)今的工業(yè)日益與信息化技術(shù)融合發(fā)展，物聯(lián)網(wǎng)、大數(shù)據(jù)在工業(yè)中應(yīng)用越來(lái)越普遍，無(wú)數(shù)的設(shè)備連網(wǎng)接入網(wǎng)絡(luò)，以便于監(jiān)測(cè)維護(hù)。而工業(yè)物聯(lián)網(wǎng)快速發(fā)展背后顯然隱藏著一個(gè)巨大的“裸露”風(fēng)險(xiǎn)。

　　在電力和供水系統(tǒng)、交通系統(tǒng)和工廠控制系統(tǒng)等利用IT系統(tǒng)運(yùn)營(yíng)的關(guān)鍵基礎(chǔ)設(shè)施中，網(wǎng)絡(luò)安全扮演著至關(guān)重要的角色。隨著這些基礎(chǔ)設(shè)施開放程度的不斷提高，它們?cè)馐芄舻目赡苄砸苍絹?lái)越大。

　　第一財(cái)經(jīng)記者調(diào)查發(fā)現(xiàn)，病毒入侵主要是通過(guò)企業(yè)和工業(yè)網(wǎng)絡(luò)之間的接口，工業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入，以及通過(guò)移動(dòng)電話網(wǎng)絡(luò)將工業(yè)網(wǎng)絡(luò)上的計(jì)算機(jī)連接到網(wǎng)絡(luò)中。它們大多通過(guò)垃圾郵件偽裝成商業(yè)通信的分布式，或者惡意附件或連接到惡意軟件下載。而等到達(dá)工業(yè)設(shè)施終端，許多發(fā)電機(jī)、水泵和其他基建設(shè)施都有一個(gè)共同的致命弱點(diǎn)，只要攻擊者遠(yuǎn)程開關(guān)關(guān)鍵電路的斷路器，就會(huì)使得機(jī)器的旋轉(zhuǎn)部件脫離同步狀態(tài)，進(jìn)而造成部分系統(tǒng)故障。

　　今年年初，專注于安全領(lǐng)域的研究中心Ponemon發(fā)表了一份美國(guó)石油天然氣行業(yè)網(wǎng)絡(luò)安全調(diào)查報(bào)告，超過(guò)2/3的受訪者都表示在過(guò)去的一年里遭受過(guò)至少一次安全損害，導(dǎo)致關(guān)鍵信息丟失或生產(chǎn)中斷。

　　360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東表示，360和東北大學(xué)工控安全實(shí)驗(yàn)室曾進(jìn)行過(guò)聯(lián)合研究，通過(guò)掃描部分網(wǎng)絡(luò)，發(fā)現(xiàn)全球77766臺(tái)控制系統(tǒng)和控制主機(jī)暴露在互聯(lián)網(wǎng)上，其中美國(guó)占大頭達(dá)到3萬(wàn)多臺(tái)，中國(guó)也有近2000臺(tái)處于裸奔的狀態(tài)，涵蓋了所有目前流行的控制系統(tǒng)和工業(yè)控制協(xié)議，涉及的應(yīng)用領(lǐng)域從離散控制到連續(xù)控制都有?？梢韵胍?，這些系統(tǒng)一旦出現(xiàn)漏洞被攻擊、被遠(yuǎn)程操控，可能引發(fā)災(zāi)難性的后果。

　　網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室最新報(bào)告稱，制造業(yè)已經(jīng)成為第二個(gè)最容易受到網(wǎng)絡(luò)攻擊的行業(yè)，工業(yè)控制系統(tǒng)（ICS）和制造業(yè)的計(jì)算機(jī)的入侵?jǐn)?shù)量占所有攻擊的三分之一。

　　報(bào)告顯示，2017年上半年大約18000種不同的惡意軟件修改工業(yè)自動(dòng)化系統(tǒng)，大多數(shù)網(wǎng)絡(luò)攻擊發(fā)生在生產(chǎn)材料、設(shè)備和貨物的制造公司。受影響較大的部門包括工程、教育和食品飲料。其中，能源公司的ICS計(jì)算機(jī)幾乎占所有攻擊的5%。

　　防御戰(zhàn)

　　面對(duì)幾何倍數(shù)增長(zhǎng)的網(wǎng)絡(luò)安全攻擊，工業(yè)企業(yè)并非束手無(wú)策。許多工業(yè)企業(yè)正在加強(qiáng)對(duì)于網(wǎng)絡(luò)安全攻擊的防護(hù)水平。

　　“從技術(shù)層面看，在電力行業(yè)實(shí)踐多年的等級(jí)保護(hù)、縱深防御依然是重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的最佳實(shí)踐。”遠(yuǎn)景能源IoT平臺(tái)生態(tài)總監(jiān)唐亮告訴第一財(cái)經(jīng)記者，“在分布式網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)智能設(shè)備、工控系統(tǒng)、云端應(yīng)用全鏈路的網(wǎng)絡(luò)安全情報(bào)分析、實(shí)時(shí)監(jiān)控、動(dòng)態(tài)分析、自動(dòng)攻擊定位和快速響應(yīng)的閉環(huán)是提升安全防護(hù)能力的重要手段?！?/p>

　　而作為國(guó)際工業(yè)巨頭，西門子也有自己的“過(guò)墻梯”。目前，西門子全球有多家信息安全運(yùn)營(yíng)中心（CDC），為自身和客戶提供保護(hù)。CDC依托內(nèi)外部及時(shí)準(zhǔn)確的安全威脅情報(bào)，采集受保護(hù)對(duì)象的實(shí)時(shí)運(yùn)行狀態(tài)，運(yùn)用安全大數(shù)據(jù)分析技術(shù)，準(zhǔn)確直觀地刻畫當(dāng)前的安全態(tài)勢(shì)，便于制定與選擇最佳的安全防護(hù)策略。

　　比如說(shuō)勒索病毒，黑客可以從外部禁用計(jì)算機(jī)，在拿到贖金前不會(huì)提供代碼以重新啟動(dòng)計(jì)算機(jī)。而西門子常常能及時(shí)發(fā)現(xiàn)攻擊或通過(guò)采取保護(hù)措施防止遭受攻擊。憑借預(yù)防性措施，迄今為止西門子擁有良好的信息安全運(yùn)行記錄。

　　西門子還會(huì)對(duì)相關(guān)重要信息進(jìn)行分級(jí)處理，在采訪中，西門子工作人員向第一財(cái)經(jīng)記者表示，西門子內(nèi)部將“金塊”定義為具有戰(zhàn)略重要性的關(guān)鍵數(shù)據(jù)，它的丟失會(huì)給西門子造成重大損失，因而被劃分為特殊類別，由西門子采用綜合方法進(jìn)行單獨(dú)保護(hù)。

　　將應(yīng)用和系統(tǒng)轉(zhuǎn)移至互聯(lián)網(wǎng)是當(dāng)前的趨勢(shì)，因此云端安全機(jī)制也同樣重要。西門子中央研究院專家正在這個(gè)領(lǐng)域進(jìn)行努力，比如用戶身份監(jiān)控和訪問(wèn)權(quán)限等。為了在遭受網(wǎng)絡(luò)攻擊前找到安全漏洞，西門子中央研究院擁有自己的紅客團(tuán)隊(duì)，其工作內(nèi)容就是定期對(duì)西門子系統(tǒng)進(jìn)行滲透測(cè)試。

　　胡建鈞向第一財(cái)經(jīng)記者表示，西門子的安全技術(shù)防護(hù)包括三個(gè)階段：

　　第一步安全評(píng)估，基于IEC/ISO及中國(guó)安全標(biāo)準(zhǔn)，找出企業(yè)差距；

　　第二步安全實(shí)施，基于縱深防御的理念；

　　第三步動(dòng)態(tài)的持續(xù)安全監(jiān)測(cè)。

　　傳統(tǒng)上安全改進(jìn)往往只執(zhí)行第一步和第二步，只做到了靜態(tài)安全。西門子延伸了安全防護(hù)理念，依托CDC工業(yè)信息安全運(yùn)營(yíng)中心做到了動(dòng)態(tài)的安全防護(hù)，使得用戶可以感知外部的威脅變化，洞悉內(nèi)部的安全漏洞，作出及時(shí)準(zhǔn)確的安全防護(hù)策略與動(dòng)作。

　　除了西門子，另外一家工業(yè)服務(wù)企業(yè)羅克韋爾自動(dòng)化也正在嘗試完善自身對(duì)于網(wǎng)絡(luò)安全攻擊的防護(hù)。

　　“我們發(fā)現(xiàn)越來(lái)越多的安全威脅能夠更加輕易地繞過(guò)網(wǎng)絡(luò)邊界。”ARC顧問(wèn)集團(tuán)戰(zhàn)略咨詢服務(wù)總監(jiān)JohnKuenzler表示，“通常來(lái)說(shuō)，如果你不能提前阻止威脅入侵邊界，那么最好在它進(jìn)入邊界并有可能對(duì)運(yùn)營(yíng)產(chǎn)生影響時(shí)完成檢測(cè)?！?/p>

　　“我們的威脅檢測(cè)服務(wù)是一款非侵入性的被動(dòng)式安全解決方案，”羅克韋爾自動(dòng)化咨詢服務(wù)產(chǎn)品組合經(jīng)理UmairMasud向第一財(cái)經(jīng)記者表示，“這一點(diǎn)十分關(guān)鍵，因?yàn)槲覀儾幌Ｍ麑⑿碌臄?shù)據(jù)通信引入網(wǎng)絡(luò)后，對(duì)復(fù)雜的工業(yè)控制系統(tǒng)造成不利影響?！?/p>

　　隨著工業(yè)網(wǎng)絡(luò)安全被提上日程、逐漸受到重視，提供工業(yè)網(wǎng)絡(luò)安全服務(wù)也成為了新的風(fēng)口。2016年，一家以色列的公司就獲得了1200萬(wàn)美元的A輪融資。公開資料顯示，該公司主要推廣其網(wǎng)絡(luò)安全技術(shù)，借以保護(hù)行業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)（ICS）免受網(wǎng)絡(luò)攻擊威脅，包括能源、水力（自來(lái)水）、石油化工、制藥等。

　　有中金公司投行人士向第一財(cái)經(jīng)記者表示，而隨著更多網(wǎng)絡(luò)安全攻擊行為對(duì)國(guó)計(jì)民生產(chǎn)生巨大影響，這一類的投資將會(huì)顯著增多?！拔覀兯姷墓I(yè)網(wǎng)絡(luò)安全領(lǐng)域很可能只是冰山一角，其市場(chǎng)潛力十分巨大?！?/p>