工业信息安全防护现状及发展思考

李江宁

（北京天地和兴科技有限公司，北京 100094）

1 工业信息安全防护现状

工业控制系统是一个发展的过程，是一个庞大而且复杂的系统。随着大规模的互联互通，安全风险也越来越大，使攻击者有了更多的可乘之机和攻击渠道。

一是工控系统存在着安全漏洞。随着“两化融合”的发展，工业控制系统（ICS）的设计缺陷使系统漏洞利用、远程访问窃取、网络钓鱼等成为恶意攻击的重要手段，传统的安全防御产品已无法有效应对当今复杂多元的安全威胁。

二是操作环境更加开放，网络连接泛化。病毒攻击的主要目标是主机，而工业主机基本处于裸奔状态，工业环境缺乏基本的安全防护，运营者缺乏必要的敌情想定，对威胁认识不足。

三是供应链风险增大。我国在网络领域关键技术、软件硬件自主程度较低，特别是存量的风险与新技术的引入使风险叠加，来自网络空间的威胁和压力与日俱增。

四是攻击难度小。由于各种黑客的出现，而且都可在网络上通过各种渠道获得大量的工控系统软硬件设备的漏洞，及利用方式都可在网络上通过各种渠道获得，带来诸多入侵病毒和非法访问的风险。

五是由于地缘政治竞合加剧，工控系统容易成为国家之间网络对抗及黑客定向攻击的目标。网络安全形势愈加复杂，工业网络正在成为地缘政治争斗的主战场。

近年来，我国工业信息行业快速发展，而且面临着很大的安全的风险，更加迫切需求信息安全，国家对工控安全制度要求及扶持力度逐步加大，促进了从工业控制系统改造到工控信息安全产业的持续发展。在这种新常态下，改造升级现有的工业网络安全体系，构建领域广泛、层次多样的工业网络安全技术体系，建设以态势感知、监测预警、应急响应为能力支撑的工业网络安全防护体系，形成政府、社会组织、企业、科研院所的多方共同应对网络安全网络的协调体系，打造政、产、学、研、用一体化的产业生态体系，已成为关键基础设施行业加速发展的战略选项。

2 工业信息安全面临的威胁

工业信息安全与传统网络安全相比，更加需要适应新型工业特征环境下系统和设备的实时性、可靠性要求，因此，防护难度更大。特别是，新一代信息技术在工业化中的广泛应用与深度融合发展的同时，也面临着严峻的工业信息安全威胁。

近年来，工业和信息化进程的快速发展，以及工业互联网、工业云等新兴技术的兴起，关键基础设施控制系统标准化、智能化、网络化发展，针对关键基础设施的网络攻击呈不断上升态势，攻击行为所导致的安全事故，造成的社会影响和经济损失十分严重，甚至是灾难性的后果。工控系统已成为恐怖分子的重要攻击目标，工业控制系统所面临的挑战越来越严峻。

一是攻击来源复杂化。由于攻击门槛低，攻击工具易得，犯罪分子通过暗网等渠道可以轻易获得并大量扩散各类病毒软件，发起高强度网络攻击。如美国黑客开发的“臭弹”（shodan），能够搜索到包括关键基础设施在内几乎所有与网络相连的控制系统。目前，凡暴露在互联网上的控制系统，攻击者能够随时发起攻击，而且查源修补的难度很大。有关研究显示，35%的工业网络故障是由网络攻击引发。如电力行业近年来遭到恶意攻击的严重威胁，据国家电网外网边界检测统计，遭受外网恶意攻击次数逐年上升，近几年依次为3013、4045、6520、9000多次/日，G20峰会期间最高876800次/日，全部被阻断。

二是攻击手段多样化。攻击者可能来自多个方面，可以通过互联网和无线网发起攻击，采用的攻击方式也是多样，如用扫描目标使用的工控设备、协议、截获数据包、注入数据更改设备行为、修改控制器的配置、篡改控制器的数据、修改或删除全部文件、窃取敏感信息、欺骗或胁迫操作人员做出错误操作等攻击方式，进行简单或复杂的恶意响应注入攻击，恶意状态命令注入攻击，恶意功能码注入攻击，拒绝服务攻击等，并在攻击时会使用为特定目标和应用定制的勒索病毒、木马病毒、震网病毒等各种病毒，不仅企业的敏感信息被窃取，更严重的是能够瘫痪设施的运行，甚至造成灾难性后果。

三是攻击过程持续化。针对关键基础设施的网络攻击是有组织有预谋的，发生的时间、行业、采取的方式都有很大的概然性，而且很多攻击的背后都有国家的影子。过程一般都会从广泛搜集各类信息情报开始，为后续攻击做好铺垫。发起攻击可能会持续很长时间，不达目的不会罢休。

四是勒索软件攻击成为主流攻击手段。勒索软件已经成为最常见、最重要的攻击手段，它是一种发展最快、流行最广的病毒，是工控系统最危险、威胁最大的安全隐患。特别是各种新型的恶意代码和一些变种病毒传播更快，破坏力更大，比以往任何时候都更暴力、更复杂，针对性更强。

上半年，各种病毒轮番上场，变种的老牌病毒和新型病毒持续活跃，而且技术成熟、手段先进、难以监测，有些病毒暂时都无法解密，给工业信息安全造成严重威胁。

最臭名昭著的勒索事件是，美国最大的管道运营商Colonial Pipeline遭到入侵。从外媒报道中，不难发现一个细节，ColonialPipeline公司在被攻击后并没有第一时间发现问题、打好补丁，为此ColonialPipeline公司支付了近500万美元的赎金。

此次攻击事件是近期勒索事件的一个缩影，现在各种商业木马以及勒索软件的诞生，再加之疫情当下，奉行业务优先，缺乏安全同步的远程办公软件快速兴起，使得有组织、有目的的团伙网络攻击成本越来越低，另外有关民生的基础设施网络安全防护也有待进一步提高。

纵使攻击手段千差万别，所有勒索事件都逃离不了四个步骤：入侵、渗透、盗窃、勒索。

五是电力系统成为定向攻击的重要目标。电力系统是基础设施的核心，是关乎国际民生的重点目标。近年来，随着电力系统安全面临高危漏洞不断暴露，电力网络安全威胁与风险不断加大。电力能源行业一旦遭受攻击，会带来巨大的损失，攻击者只需成功进入一次，就会导致生产瘫痪，交通瘫痪，设备损坏等一系列电力供应链的瘫痪，后果将是灾难性的，这是相当可怕的。按以往的事件，易受攻击的系统多为金融等商业信息系统，以往攻击者多为黑客或黑客组织。由于地缘政治因素，网络对抗持续增加，以往不被黑客重视的关键基础设施网络系统成为了攻击的新目标，而且攻击背后某些组织甚至国家的影子越来越明显。因此，实施电力网络攻击实际就是一场战争，其中归属问题更加复杂，更加模糊。

骇人听闻的网络安全事件频频在电力行业上演，庞大复杂的电力系统始终缺乏安全感。

自前几年乌克兰电网遭攻击被视为实际出现的首例针对供电系统的恶意行为，标志着第一次转折性恶意行为已经出现。针对电力系统的定向攻击模式主要以邮件、木马程序、网页挂马等形式传播，攻击方式更加隐蔽，攻击范围高度扩散，攻击手段无所不用，如2020年出现了直击电网工控系统的“LNDUSTYOYER”和“BIACKNEYGY”恶意软件，不仅能关闭电力设施中的关键系统，还能让黑客远程控制目标系统，专门攻击重点基础设施和战略目标，对电力行业的网络安全威胁极大。

3 工业信息安全发展趋势

近年来，随着以5G、人工智能等新一代科技革命向新兴技术领域的加速推进，也给也使工业控制系统信息安全带来新的挑战。

国家对工业互联网以及工业信息化安全等产业越来越重视，关键基础设施的安全保障不断提高，必将进一步促进和加快我国工业信息化安全的优化升级，推动我国信息安全行业健康、持续、快速发展。新形势带来新机遇，新技术孕育着新发展，因此工业网络安全将迎来新一轮发展机遇和巨大的发展空间。

一是全球工业信息安全产业规模不断扩大。近年来，全球制造业数据化转型进程加速，新一代信息技术在制造业领域广泛应用，全球工业信息安全产业将持续蓬勃发展，我国工业信息安全产业迎来黄金发展期。工业互联网安全已成为国家安全战略的重要组成部分，得到国家和各级政府的政策支持和高度关注对工业互联网安全问题的配套法律法规也在不断建立，企业工业信息安全制度也在不断完善。随着工业信息安全环境的进一步优化，我国工业互联网信息安全产业规模将保持高速增长，据中国通信研究院测算，2020年我国工业互联网产业经济增值规模约为3.1万亿元，占GDP比重为2.9%，对数字经济增长的贡献超过16%。

二是新技术的不断发展，促使工业信息安全产业快速发展。随着云计算、物联网、人工智能等新技术、新模式的应用发展，信息的获取方法、存储形态、传输渠道和处理方式等都发生了新的变化，网络结构的复杂化，用户的爆炸性增长，数据的快速碰撞，增加了信息安全防护的难度。企业面临日趋复杂和不断涌现的网络环境，对信息安全提出了新的要求。应用环境变化而不断产生新的要求，新一代信息技术将进一步促进新技术在工业信息安全领域的研发和创新突破，也为信息安全行业产品和服务的升级与拓展带来了新的增长点。

三是能源和公用事件仍为工业信息安全的重要领域。据行业应用方面的数据表明，能源和公用事件（市政）领域仍然是工业信息安全的“主战场”，由于控制系统和物联网设备的广泛应用，交通运输行业工业信息安全需求也显著增强，成为增速最快的垂直行业，由于制造业间谍活动等网络威胁加剧，预计未来增速将进一步加快。

四是工业信息安全产业链联动发展。工业信息安全保障的重要性、复杂性和及时性是一项系统工程，产品模块化、定制化越来越明显，需要建立“产、学、研、用、管”一体化的产业联盟，紧盯产业发展，瞄准前沿科技，分工协作，上下联动，着力攻关，打造一个卓有成效的工业信息安全体系。

建立工业信息安全国际合作平台，进一步推动工业信息安全应急管理、监测预警、信息共享、事件处置和人才培养等国际合作，构建网络空间命运共同体，学习和借鉴国际上的先进经验，促进工业信息安全技术产业创新和升级改造，促进安全保障的深度融合发展。

近年来，不断发生的工业控制信息安全事件和政策标准的落地，人们已经意识到，现有信息安全防护产品已无法满足工业企业用户的需求。伴随而来的高稳定性要求导致的核心技术发展缓慢；高实施性要求导致传统信息安全技术操作复杂难以有效实施利用；高可靠性要求导致设备硬件规格规范要求众多等，都需要工业信息安全从定制化向通用平台转变；从纯硬件向软硬件结合转变；从单一设备控制向网络互联网转变，同时也促使了安全体系设计和规划服务需求的产生。

综上所述，工业信息化是工业现代化的必然趋势，工业控制系统信息化安全程度越来越高，伴随而来的网络系统安全问题也日益突出。尤其是随着网络规模的不断扩大，网络应用项目越来越广，涉及到人员、设备、管理等各个环节，系统面临的安全风险也越来越大，一旦受到攻击将会给企业乃至国家带来巨大的灾难和损失。“没有网络安全，就没有国家安全，就没有经济社会平稳运行，广大人民群众利益也难得到保障”，因此，工业信息安全是一项不是全局而影响全局，不是中心而牵动中心的一项综合性、长久性的系统工程。

攻击与防御在安全领域中一直都是一个不变的话题。工业信息安全是发展的，而且是没有规律可循的，无时无刻存在着安全风险。工业信息安全不是一个人、一个企业的能力所能解决的，需要政府层面做好顶层设计，还要建立产、学、研、用、管及社会各界通力合作的机制，把科技研发、安全产品、运营服务、动态管理等有机结合起来，建立一个安全保障技术体系，开创强化安全防护能力的新思路，将是信息安全领域发展的重点方向。