◆李 濤

（農(nóng)業(yè)農(nóng)村部信息中心 北京 100125）

1 態(tài)勢(shì)分析

1.1 安全事件

隨著德國(guó)工業(yè)4.0、美國(guó)工業(yè)互聯(lián)網(wǎng)、中國(guó)制造2025 等再工業(yè)化革命戰(zhàn)略的不斷推進(jìn)下，互聯(lián)網(wǎng)與工業(yè)網(wǎng)絡(luò)不斷進(jìn)行深度融合，原本非常封閉的工業(yè)網(wǎng)絡(luò)逐漸變得開(kāi)放、互聯(lián)互通，使得工業(yè)網(wǎng)絡(luò)面臨了傳統(tǒng)IT 網(wǎng)絡(luò)的病毒、木馬等威脅，同時(shí)也使得一些黑客、工業(yè)間諜、敵對(duì)勢(shì)力等攻擊工業(yè)網(wǎng)絡(luò)變得更加容易。因此，近幾年的安全事件屢有發(fā)生，呈現(xiàn)出APT2.0 攻擊趨勢(shì)[1]，如表1 所示。

表1 網(wǎng)絡(luò)安全攻擊事件

特征3：大量文件被加密并修改為統(tǒng)一后綴，無(wú)法打開(kāi)。 如：GandCrab 家族的后綴為.GDCB、.GRAB、.KRA B 等；Satan 家族的后綴為.evopro、.dbger、.satan 等挖礦 特征1：出現(xiàn)勒索提示文件或者修改桌面背景為勒索信息。 C:Windowssystem32HalPluginsServices.dll C:WindowsSystem32EnrollCertXaml.dll 特征2：出現(xiàn)兩個(gè)spoolsv.exe 進(jìn)程，出現(xiàn)一個(gè)非system32 目錄的svchost.exe 進(jìn)程 特征3：打開(kāi)任務(wù)管理器時(shí)CPU 占用下降，關(guān)閉后cpu 占用又升高，升高時(shí)會(huì)有一個(gè)rundll32.exe 進(jìn)程啟動(dòng)

當(dāng)然，我國(guó)近幾年也發(fā)生了很多安全事件，主要涉及電力、石油化工、智能制造、汽車(chē)、鋼鐵、水利等行業(yè)，從目前這些攻擊事件分析來(lái)看，工業(yè)主機(jī)成主要攻擊的對(duì)象，工業(yè)主機(jī)都不同程度出現(xiàn)藍(lán)屏，反復(fù)重啟、文件加密等現(xiàn)象[2]。進(jìn)行攻擊的主要是2 類病毒，即“WannaCry”和“挖礦”病毒，這2 種病毒的主要判斷特征如表2：

表2 主要病毒及其特征

1.2 法規(guī)、政策[3]

安全事件的不斷發(fā)生，使得我國(guó)政府也非常重視，分別從國(guó)家戰(zhàn)略、法律法規(guī)、政策、標(biāo)準(zhǔn)等方面進(jìn)行積極行動(dòng)。

（1）國(guó)家戰(zhàn)略

◆2014 年成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將網(wǎng)絡(luò)安全提升到國(guó)家戰(zhàn)略高度，習(xí)近平親自擔(dān)任組長(zhǎng)；

◆2016 年國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》；

◆在十八大三中全會(huì)上，習(xí)近平總書(shū)記提出“網(wǎng)絡(luò)和網(wǎng)絡(luò)安全牽涉到國(guó)家安全和社會(huì)穩(wěn)定，是我們面臨的新的綜合性挑戰(zhàn)”。

（2）法律法規(guī)

◆2017 年6 月1 日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施；

◆2019 年8，由中央網(wǎng)信辦和公安部共同制定的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》已上報(bào)國(guó)務(wù)院，有望今年內(nèi)正式出臺(tái)。

（1）政策

◆2011 年工信部451 號(hào)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》；

◆2016 年工信部338 號(hào)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》；

◆2016 年網(wǎng)信辦2 號(hào)關(guān)于印發(fā)《國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)方案》通知。

◆2017 年工信部 122 號(hào)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》；

◆2017 年工信部122 號(hào)關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》的通知；

◆2017 年工信部188 號(hào)關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》的通知；

◆2017 年工信部316 號(hào)關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020 年）》的通知；

◆2019 年工信部關(guān)于印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》的通知；

◆2019 年水利部關(guān)于印發(fā)《水利網(wǎng)絡(luò)安全管理辦法》的通知。

（2）標(biāo)準(zhǔn)

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南》（GB/T 32924-2016）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》（GB/T 36958-2018）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南》（GB/T 36635-2018）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239—2019）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2019）；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2019）；

◆《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》（報(bào)批稿）。

1.3 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀[3-5]

◆安全漏洞數(shù)量快速增長(zhǎng)，且高危漏洞呈高發(fā)態(tài)勢(shì)

基于CNVD 漏洞平臺(tái)收錄的漏洞為基礎(chǔ)，2018 年全年，新增工控漏洞達(dá)到442 個(gè)，工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)突出，安全態(tài)勢(shì)嚴(yán)峻（圖1）。

圖1 2018 全年，新增工控漏洞達(dá)到442 個(gè)

以CVE、NVD、CNVD、CNNVD 漏洞平臺(tái)收錄的工控漏洞為基礎(chǔ)可以看出，2018 全年，中、高危漏洞數(shù)量占比最高，達(dá)到90%（圖2）。

圖2 2018 全年，中、高危漏洞數(shù)量占比最高，達(dá)到90%

◆工業(yè)系統(tǒng)互聯(lián)網(wǎng)暴露數(shù)量增多，攻擊面增大

全球工控系統(tǒng)聯(lián)網(wǎng)暴露組件總數(shù)量約為17.6 萬(wàn)個(gè)，暴露數(shù)量增加明顯，中國(guó)工控系統(tǒng)暴露數(shù)量為6223，占比3.5%，排名全球第五（圖3）。

◆工業(yè)協(xié)議缺乏認(rèn)證、加密、授權(quán)機(jī)制

工業(yè)系統(tǒng)中所使用的ModBus、OPC、S7 等工業(yè)協(xié)議在設(shè)計(jì)之初為滿足大規(guī)模分布式控制系統(tǒng)的運(yùn)行需要，放棄了其安全特性，對(duì)安全性普遍考慮不足，比如缺少足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。使得許多工控協(xié)議存在可以被利用的漏洞，協(xié)議的公開(kāi)性也導(dǎo)致極易遭受攻擊。尤其是工業(yè)控制系統(tǒng)中的無(wú)線通信協(xié)議，更容易遭受第三者的竊聽(tīng)及欺騙性攻擊。

圖3 中國(guó)工控系統(tǒng)暴露數(shù)量為6223，占比3.5%，排名全球第五

◆平臺(tái)、應(yīng)用軟件漏洞

工業(yè)互聯(lián)網(wǎng)平臺(tái)是連接互聯(lián)網(wǎng)與工業(yè)的核心環(huán)節(jié)，有別于傳統(tǒng)的云平臺(tái)。它直接或間接與生產(chǎn)系統(tǒng)、設(shè)備、產(chǎn)品與用戶相連，因此平臺(tái)的安全更加凸顯，一旦遭受攻擊，將嚴(yán)重危害生產(chǎn)穩(wěn)定運(yùn)行，甚至導(dǎo)致生產(chǎn)事故，威脅人身和國(guó)家安全。由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題；另外當(dāng)軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開(kāi)放其網(wǎng)絡(luò)端口以及一些控制權(quán)限。這樣攻擊者很有可能會(huì)利用自動(dòng)化軟件的弊端獲取設(shè)備控制權(quán)。

◆工業(yè)主機(jī)操作系統(tǒng)漏洞

目前智能制造大多數(shù)工業(yè)主機(jī)的上位機(jī)/下位機(jī)/HMI 都是基于Windows 平臺(tái)的，WindowsServer20032008、WindowsXP、Windows7 等），所涉及的版本微軟已經(jīng)完全停止技術(shù)服務(wù)。為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，通常現(xiàn)場(chǎng)工程師在系統(tǒng)開(kāi)車(chē)后不會(huì)對(duì)Windows 平臺(tái)安裝任何補(bǔ)丁，這樣導(dǎo)致了操作系統(tǒng)存在被攻擊的可能，從而埋下了安全隱患。

◆網(wǎng)絡(luò)邊界模糊，缺少控制措施

很多企業(yè)在規(guī)劃設(shè)計(jì)時(shí)，未考慮安全分區(qū)，再加上工業(yè)系統(tǒng)運(yùn)行多年，部分工業(yè)系統(tǒng)還進(jìn)行了技改，導(dǎo)致工業(yè)系統(tǒng)的邊界模糊，甚至直接與互聯(lián)網(wǎng)或辦公網(wǎng)連接。這樣的話，一旦病毒爆發(fā)或入侵后，非常容易擴(kuò)散到其他系統(tǒng)；另一方面，缺乏訪問(wèn)控制手段，會(huì)存在非法訪問(wèn)，越權(quán)操作等行為發(fā)生，給生產(chǎn)帶來(lái)安全隱患。同時(shí)，終端違規(guī)接入、非法外聯(lián)現(xiàn)象屢有發(fā)生。

◆缺少網(wǎng)絡(luò)審計(jì)，異常流量不易發(fā)現(xiàn)

工業(yè)現(xiàn)場(chǎng)沒(méi)有安裝網(wǎng)絡(luò)異常流量分析系統(tǒng)，無(wú)法檢測(cè)未知的威脅，存在新型惡意代碼傳播、業(yè)務(wù)異常及敏感信息泄露等威脅。若網(wǎng)絡(luò)中的設(shè)備受到病毒、蠕蟲(chóng)等惡意軟件威脅時(shí)將無(wú)法感知。企業(yè)內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測(cè)與審計(jì)機(jī)制，不能及時(shí)了解網(wǎng)絡(luò)狀況（如違規(guī)操作、病毒木馬入侵、關(guān)鍵配置變更、網(wǎng)絡(luò)風(fēng)暴等），一旦發(fā)生問(wèn)題不能及時(shí)確定問(wèn)題所在，不能及時(shí)排查到故障點(diǎn)，排查過(guò)程耗費(fèi)大量人力成本、時(shí)間成本。

◆移動(dòng)介質(zhì)，缺少安全管理

在一些工業(yè)場(chǎng)景經(jīng)常使用移動(dòng)存儲(chǔ)介質(zhì)，如U 盤(pán)等。移動(dòng)存儲(chǔ)介質(zhì)有意無(wú)意違規(guī)使用、非法拷貝、介質(zhì)丟失、無(wú)意連接到互聯(lián)網(wǎng)而導(dǎo)致信息泄密，同時(shí)也很容易導(dǎo)致U 盤(pán)病毒的傳播。

◆工業(yè)數(shù)據(jù)安全問(wèn)題

工業(yè)數(shù)據(jù)是工業(yè)信息化的核心，關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全性直接關(guān)系到企業(yè)生產(chǎn)線的穩(wěn)定，數(shù)據(jù)的丟失、篡改或者錯(cuò)誤都會(huì)造成生產(chǎn)線停產(chǎn)，進(jìn)而影響企業(yè)的經(jīng)營(yíng)效益，尤其是對(duì)于關(guān)系國(guó)計(jì)民生的關(guān)鍵企業(yè)，工業(yè)數(shù)據(jù)的泄露甚至?xí)?lái)國(guó)家安全風(fēng)險(xiǎn)。

2 工作建議

2.1 加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全保障體系建設(shè)

應(yīng)高度重視安全能力建設(shè)，要求夯實(shí)工業(yè)設(shè)備和控制安全、提升網(wǎng)絡(luò)設(shè)施安全、強(qiáng)化平臺(tái)和工業(yè)應(yīng)用安全、強(qiáng)化企業(yè)數(shù)據(jù)安全防護(hù)能力、建設(shè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)、建設(shè)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫(kù)、建設(shè)工業(yè)互聯(lián)網(wǎng)安全測(cè)試驗(yàn)證環(huán)境、加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動(dòng)工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。要建設(shè)好工業(yè)互聯(lián)網(wǎng)安全保障體系，必須加大研發(fā)投入，加強(qiáng)技術(shù)創(chuàng)新，提升安全能力，并使安全能力與工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景充分融合，使工業(yè)互聯(lián)網(wǎng)具備自適應(yīng)、自主和自生長(zhǎng)的“自身安全”能力。

2.2 工業(yè)主機(jī)須重點(diǎn)防護(hù)

目前對(duì)工業(yè)設(shè)備和工業(yè)系統(tǒng)威脅最大的是專門(mén)針對(duì)工業(yè)主機(jī)（指工業(yè)互聯(lián)網(wǎng)上位機(jī)，如操作員站、工程師站、歷史數(shù)據(jù)庫(kù)、實(shí)時(shí)數(shù)據(jù)庫(kù)、MES 服務(wù)器、HMI 等等）的勒索病毒和網(wǎng)絡(luò)攻擊。工業(yè)主機(jī)往往運(yùn)行常見(jiàn)的操作系統(tǒng)，攻擊者很容易獲得并進(jìn)行研究。同時(shí)，由于工業(yè)系統(tǒng)生命周期較長(zhǎng)，現(xiàn)存的工業(yè)主機(jī)大多是Windows7、Windows2000、WindowsXP 等老舊的操作系統(tǒng)，版本升級(jí)困難，甚至無(wú)法更新，存在大量已知漏洞，很容易成為病毒和網(wǎng)絡(luò)攻擊的直接目標(biāo)、攻擊入口和關(guān)鍵跳板。

2.3 工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)安全防護(hù)

數(shù)字孿生、工業(yè)大數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的重要應(yīng)用創(chuàng)新，也是制造業(yè)和互聯(lián)網(wǎng)深度技術(shù)融合的產(chǎn)物，承載著工業(yè)企業(yè)的核心知識(shí)產(chǎn)權(quán)。隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的發(fā)展，我們所做的一切安全防護(hù)措施，根本目的都是為了保護(hù)工業(yè)互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)工業(yè)大數(shù)據(jù)。

2.4 工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)建設(shè)，重點(diǎn)是協(xié)同聯(lián)動(dòng)

根據(jù)《工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》第11 項(xiàng)要求，建設(shè)國(guó)家、省、企業(yè)三級(jí)協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)，特別強(qiáng)調(diào)強(qiáng)化地方、企業(yè)與國(guó)家平臺(tái)之間的系統(tǒng)對(duì)接、數(shù)據(jù)共享、業(yè)務(wù)協(xié)作，打造整體態(tài)勢(shì)感知、信息共享和應(yīng)急協(xié)同能力。

從應(yīng)急處置角度，目前還存在三方面的協(xié)同問(wèn)題：政府部門(mén)與工業(yè)企業(yè)的協(xié)同聯(lián)動(dòng)、工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)的協(xié)同聯(lián)動(dòng)、工業(yè)企業(yè)與工業(yè)互聯(lián)網(wǎng)廠商的協(xié)同聯(lián)動(dòng)。只有工業(yè)互聯(lián)網(wǎng)安全界的這四個(gè)關(guān)鍵角色建立規(guī)范化的應(yīng)急處置工作機(jī)制，制定聯(lián)合處置預(yù)案，定期舉行有效的應(yīng)急處置演練，才能在遭受網(wǎng)絡(luò)攻擊時(shí)做好應(yīng)急響應(yīng)處置工作。

2.5 工業(yè)互聯(lián)網(wǎng)安全要發(fā)展，人才培養(yǎng)是重點(diǎn)

工業(yè)互聯(lián)網(wǎng)安全保障體系的建設(shè)離不開(kāi)大量的專業(yè)網(wǎng)絡(luò)安全人員，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展更離不開(kāi)高水平、高素質(zhì)的網(wǎng)絡(luò)安全從業(yè)人員。高校是人才培養(yǎng)的源頭，產(chǎn)教融合、校企合作相關(guān)落地政策的推出，一定會(huì)激勵(lì)網(wǎng)絡(luò)安全企業(yè)在人才培養(yǎng)方面有更大的投入，把高校的通識(shí)教育和企業(yè)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)經(jīng)驗(yàn)結(jié)合起來(lái)，共同培養(yǎng)實(shí)戰(zhàn)能力更強(qiáng)的多層次網(wǎng)絡(luò)安全人才。

2.6 建立工業(yè)互聯(lián)網(wǎng)安全共享平臺(tái)，提升態(tài)勢(shì)感知能力

借鑒美國(guó)、歐盟等的先進(jìn)經(jīng)驗(yàn)，充分了解工業(yè)互聯(lián)網(wǎng)提供商、運(yùn)營(yíng)單位、政府部門(mén)、網(wǎng)絡(luò)安全承包商、專家隊(duì)伍、公眾等各方對(duì)信息共享的需求，盡快建立有效的工業(yè)互聯(lián)網(wǎng)風(fēng)險(xiǎn)信息共享機(jī)制，明確信息共享的條件，建立包括安全信息收集、上報(bào)、通報(bào)、匯總、分析、發(fā)布、共享以及共享主體、共享內(nèi)容、共享流程、共享的技術(shù)和政策保障措施等內(nèi)容的信息安全合作共享制度和公共服務(wù)平臺(tái)，打破“信息孤島”，建立態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警平臺(tái)。

3 結(jié)語(yǔ)

本文通過(guò)對(duì)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)分析后，提出相應(yīng)的安全工作建議，為今后工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供理論指導(dǎo)依據(jù)。