文丨程宇婕

中国能源报资深记者

点击查看大图

图片来源：《2015工业控制网络安全态势报告》

黑色产业链已形成

电力、水利、石油化工、冶金、汽车、航空航天……超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。随着“工业4.0”时代来临和“两化融合”脚步的加快, 工控设备高危漏洞、无线技术应用的风险、工业网络病毒、外国设备后门、高级持续性威胁等越来越多的网络安全隐患被带入了工业控制系统。与互联网和办公网相比，工控系统采用私有协议、运行环境相对落后，无法通过打补丁来解决安全问题。

2015年被ICS-CERT（美国工控系统网络应急响应小组，小编友情提示，点击链接可以查看最新的攻击事件公告、警报、监控）收录的工业控制网络攻击事件达到295起，其中能源行业排名第二，达到46起、占比16%。

 图片来源：《2015工业控制网络安全态势报告》

和传统的信息安全攻击让人断网、电脑中毒、格式化硬盘相比，攻击工业控制系统导致加油站爆炸、电网断电的影响力和报酬显然更让黑客着迷。在网络恐怖主义渐盛的今天，一个黑色产业链已经悄然形成。

“几年前，一个核心漏洞就可以卖到几十万欧元”，北京匡恩网络科技责任有限公司技术委员会主席、首席战略官孙一桉告诉《中国能源报》记者：政府、恐怖组织、竞争对手都可能成为攻击来源。2015年已经出现了恐怖分子利用工业控制系统进行网络袭击的案例；朝鲜和伊朗都成功攻击了美国的网站和加油站。“防止这种攻击比防止核扩散还难。把核武器运到一个国家太难了，一封电子邮件就可以传播攻击代码。”

为什么采用物理隔离的工业控制系统还会被病毒攻击？事实上没有绝对的隔离，绝对的隔离意味着灵活性的丧失。北京洋浦伟业科技发展有限公司（梆梆安全）高级副总裁席曼丽告诉记者，完全的孤岛系统是无法有效提供服务的。出于工作便利性的需求，乌克兰电网和德国钢厂都存在控制类与非控制类系统未进行物理隔离，业务系统与工业系统联网的问题。那么用户在业务系统收发邮件、移动办公时，就非常容易遭受有预谋的攻击。

孙一桉向记者讲述了经典的对工业控制系统的攻击如何实现——

• 第一步是社交网络攻击，假定工业控制系统网络是隔离的，攻击者先分析谁有访问权限，确定封闭的网络管理员、经理等，通过社交网络分析出他们的特征爱好。

• 第二步就是对这些人进行攻击，比如管理员爱好钓鱼或者打网球，攻击者就伪装成钓鱼爱好者，花很长时间和管理员交流，直到某天发给管理员一个PDF文件。文件上带有几行类似于侦察兵的dropper代码，不是病毒哦！等到管理员电脑的杀毒软件关闭了，或者进行大数据流传输（如网上看电影）的时候，dropper立即通知总部，总部把大数据流劫持，这个大数据流就带着各种各样的碎片传过来，到电脑里组合成一个加了几十层壳的大病毒。

  这个大病毒不会被杀毒软件查到，也不会立刻发作，而是利用每一个插入的U盘和带附件的邮件进行隐秘而广泛的传播。如果管理员明天要汇报，今天晚上必须从自己电脑里拷一个文件拿到办公电脑用，病毒就这样进入了封闭的办公系统。隔离的网络被默认是安全的，病毒进去后开始蔓延传播，直到找到攻击对象。韩国核电站的病毒就是这样感染的。

图为韩国核电站 

“伊朗震网病毒应急组的人告诉我，震网病毒发作之后，他们才发现围绕着核设施的几万个电脑都已经被感染，但是没发作，因为不是攻击对象。”孙一桉说，这就是经典的对工业控制系统的攻击，听起来挺玄乎，做起来其实不难。

另一个带有移动互联网时代特征的新趋势是，人们应用最为广泛的各类APP是恶意攻击者下手的主要目标。

席曼丽告诉《中国能源报》记者，恶意攻击者会对APP进行反编译、二次打包、插入广告、盗版，还会劫持用户的键盘操作、拦截短信验证码等。现在许多攻击还开始对移动设备与云端的通讯通道下手，进行信号劫持。有些无人机、智能设备的破解就是从通讯协议入手实现的。“另外升级包可不要乱下，苹果一个升级包里的BUG能让你的微信通讯录丢失，而一个精心伪装过的智能移动设备升级包，很可能会帮助黑客建立起一条攻击通道。”

成立于2010年的梆梆安全把注意力放在移动应用安全上，到目前为止已经为7万家注册企业及开发者的超过70万个移动应用提供移动应用安全服务，这些应用累计安装在7亿个移动终端上。他们不仅提供APP安全保护、威胁情报、事前/事后应急响应等服务，同时面向行业提供全套安全方案和贯穿生命周期的纵深防御体系。

能源互联网，真的准备好了吗？

随时随地的产能用能、随处可见的智能终端……人们能想到任何能源互联网的便利之处，都蕴藏着巨大的风险。

随着能源互联网的推进，大的统一电网体制会带来越来越多稳健性的问题。某一环节或者节点的故障，可能会产生多米诺骨牌效应把整个网络变成瘫痪状态。“可再生能源发电的不确定性和雨雪冰冻等极端天气对能源互联网造成的损失可能会远远大于对传统电网的影响。同时对网络安全的要求也更苛刻，一旦遭受攻击，可能会致使整个网络瘫痪。” 南丹麦大学副教授任竞争认为，我国应积极推动面向能源互联网的信息安全技术的研究、开发和示范，同时完善相关技术标准和法律法规建设。

匡恩网络发布的《2015工业控制网络安全态势报告》显示，随着智能电网规模的扩大，电力系统结构的复杂性将显著增加，导致接口数量激增、电力子系统之间的耦合度更高，很难在系统内部进行安全域的划分，安全防护变得尤为复杂。

大量智能、可编程设备的接入用于实现对电网运行状态实时监控、故障定位以及修复。这些智能设备一般都支持远程访问，比如远程断开/连接、软件更新升级等。利用某些软件漏洞,黑客可以入侵这些智能终端,操纵和关闭某些功能,暴露用户的使用记录,甚至可以通过入侵单点来控制局部电力系统。

WIFI、LTE、3G等新信息通信技术的采用,在为智能电网的生产、管理、运行带来支撑的同时,也会将新的信息安全风险引入到智能电网的各个环节;为了提高数据的传输效率,智能电网可能会使用公共互联网来传输重要数据, 这也将会对智能电网的安全稳定运行造成潜在的威胁,甚至可能会造成电网运行的重大事故。

用户侧的安全威胁也是能源互联网面临的全新课题。未来用户和电网之间将会出现更加广泛的联系,实现信息和电能的双向互动。基于AMI系统,用户侧的智能设备(如智能电器、插拔式电动车等)都将直接连到电力系统，不可避免地给用户带来安全隐患。

智能汽车与车联网的便利不只针对消费者，也给了违法者进入汽车内部网络的可趁之机：

• 入侵GPS模块,黑客能掌握车主的所有行踪,或把车主导航到他想要车主去的地点;

• 入侵安装摄像程序,可以拍下车主在车内的一举一动;

• 入侵蓝牙电话系统,能够窃听车主的一言一语;

• 入侵行车安全模块,就可以控制车的油门刹车......

2015年7月,两位研究人员演示了无线入侵Jeep切诺基的网络系统,在其行驶过程中侵入Uconnect车载系统,远程通过软件向该系统发送指令,启动车上的各种功能,包括减速、关闭发动机、制动或让制动失灵,在之后的BlackHat上,两人面向全球黑客奉献了经典的汽车破解秀。克莱斯勒首次因信息系统问题召回140万辆汽车。

雨刷器突然疯狂摇摆，喷出的清洗剂模糊了前方玻璃。

最严重的是，车突然在路上打转，刹车失灵，整辆车冲进了路边的沟里。

图片来自网络

北京神州绿盟信息安全科技股份有限公司副总裁李晨告诉《中国能源报》记者，随着信息技术的不断发展，石油石化领域的传统工业控制系统正在从孤岛式、封闭式结构，转为开放的形式，很多企业将生产环境转变为网络自动化形式，所有的设备都通过网络连接、搭建、管理和控制，这也导致了信息安全问题接踵而至。

能源互联网海量的感知终端意味着一切皆连接，战线拉长了，黑客们拥有了更多的突破点。

绑好鞋带再起跑

阿里巴巴集团研究员、云盾负责人吴瀚清把黑暗森林法则应用在企业安全上：一旦暴露在公众的视野中，黑客就会对你很感兴趣。世界杯期间，彩票网站受攻击很厉害；在热钱涌入P2P小贷行业期间，整个P2P小贷行业受攻击非常频繁。低调可以保护你一时，但是无法永远保护你，因为业务要发展，必然会暴露在公众的眼中。

中石油一位业内人士曾和孙一桉交流，认为现在防护越来越难，“以前是离散的工厂，现在开始云计算、智能工厂了。一个油田的坐标都是国家机密，我们压力越来越大。”

“我们国家正在智能化转型的关键节点，如果不做好安全设计规划，就像房子都装修好了再加新风系统一样麻烦且不可行，更像跑起来不系鞋带一样危险，”孙一桉认为，我们不能再重蹈互联网对安全设计与规划重视度不足的覆辙。在全国大建智能工厂、智能制造的过程中，早期做好网络安全的设计、规划、服务非常关键。对工业控制系统的防护，不是简单的杀毒、防火墙、加设备这么简单，建立有效的防护体系才是关键。

“眼下比较紧迫的有两个方面，首先是感知能力，2013年havex病毒攻击了全世界上千家能源企业，美国和西班牙可以实时报出有多少企业受到了攻击，而我们不行——并不是没有被感染，而是欠缺感知能力。我们正在很多行业部署设备，提供服务监测，让企业知道其实这种事情已经发生。”孙一桉告诉记者。

接下来就是防护。全面的安全评估之后，防护要从四个方面入手。匡恩独创了涵盖“结构安全性、本体安全性、行为安全性和基因安全性”及“时间持续性防护”的“4+1”安全防护体系。

• 首先，工控系统的安全必须建立在结构安全的基础上，即基础设施建设过程中网络结构、区域和层次的划分必须满足安全要求。工控系统一旦切断可能造成停产甚至安全事故。只能先隔离故障的部分，其余部分继续生产。采集数据可以停，但生产不能停。

• 第二是本体安全，确保设备自身不带病毒、漏洞和后门，或者知道哪里有后门。工控系统的设计与调试周期长达数年，考虑到经济效益，补偿性措施非常重要。 

• 第三是行为安全，即系统内部和外部发起的行为是否具有安全隐患。攻击手段已经越来越复杂，havex病毒的每一个步骤看起来都合法，但连起来就是恶意的。匡恩在入侵特征检测做了大量工作，包括智能学习引擎、黑白名单防护等等，应用在了很多行业。

• 最后的基因安全即CPU、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信、自主可控。这需要厂商的配合，在设备里逐渐植入工具，周期比较长。 

这四个安全解决后，还需要时间的持续性——有相应的组织架构、人员、流程确保长期的监控、感知、分析攻击，这是个系统工程。在长达数月甚至数年的攻击路径中，任何一个时间点发现都可能排除攻击。虽然病毒是伪装的，但在传播和发起攻击的过程中会有异常特征。匡恩怎么逮到conflicker的？一个苯化工的设备为什么不断的找互联网接口呢？循着这个异常下去就找到了特征。

2014年起步的匡恩网络虽然时间不长，但已经在全国15个城市建立了分公司和技术中心，逐渐形成覆盖工业控制系统全生命周期的系列产品,参与并推动多个智能工业网络安全相关国家标准和行业标准的制定，拥有全国唯一一家关键基础设施控制网络安全防护技术实验室。

刚刚当选中国网络安全产业联盟第一届关键基础设施保护工作委员会主任的孙一桉告诉记者，因为起步较晚、实践经验不足，所以和发达国家相比，我国在标准上亟待完善。虽然匡恩参与了十几个标准的制定，但这个过程推行的很慢。传统的信息安全有自己的组织、理念，工业控制又有自己的一套理念，两个糅合在一起做标准非常难。

不要等到事件驱动 

有趣的是，工控系统的防护在企业内部遭遇到一些尴尬——谁来拍板负责？

孙一桉参加过国内某大型钢铁企业的一次工控系统安全会议，分管的副总非常重视，坐在很长的会议桌的中间。一端坐着负责IT（信息中心）的人，另一端坐着负责OT（生产运维）的人，副总叫了好几次，他们都不肯坐在一块儿。“到底用什么方法？真出了问题谁来负责任？”常常存在很多分歧。

对安全的重视和实施来自三个方面：政策驱动、事件驱动和技术驱动。2014年我国成立了由国家主席习近平直接领导的中央网络安全和信息化领导小组,2015年6月和7月我国相继颁布了《中华人民共和国网络安全法(草案)》和第29号主席令《中华人民共和国国家安全法》。 

孙一桉表示，乌克兰电网事件之后，公安部、工信部、网信办等各部委高度重视工控安全。国资委2014年做试点以来，匡恩也积极参与，与电力石化冶金烟草等试点项目进行了多方位合作。去年开始配合国家有关机关，对很多行业特别是电力行业进行全面的安全风险评估测试，今年开始逐级实施解决方案。

事件驱动最有效，但代价也是最惨重的。事故出了之后，回头再去看防护的成本微乎其微。建成以后再加防护不单成本高，对于有些系统来说是不可能的。

长远考虑，孙一桉建议企业一定要有网络安全部门。美国大多数工业企业都有首席信息安全官职位，有威胁情报团队，定期进行内部分析，报告给CEO。大型工业企业必然会走上这条路，这种威胁是没有边界的。为核电站做的攻击，很可能会传播到石化行业。很多已经发生的事故被归结为生产事故，其实是网络安全问题。