智能制造帶來的工業(yè)信息安全思考

吳吉慶，韋有雙

(易往智能制造設計研究院，北京 102600)

0　引言

隨著工業(yè)化與信息化融合的浪潮，工業(yè)控制系統(tǒng)(Industrial Control System, ICS)與IT系統(tǒng)已經密不可分。現代工控系統(tǒng)自身正逐步采用通用的TCP/IP標準協(xié)議、通用的操作系統(tǒng)，同業(yè)務系統(tǒng)等其他信息系統(tǒng)的連接也越來越多。原來相對封閉的工控網絡環(huán)境日趨開放，工控系統(tǒng)逐漸暴露在互聯(lián)網的安全威脅下，成為黑客攻擊的目標。

RISI(the Repository of Industrial Security Incidents)數據庫已經收集了242起全球著名的工控安全事件。其中以震網病毒[1]和火焰病毒[2]危害最為巨大，令人思之猶有余悸。工控系統(tǒng)與IT系統(tǒng)的一大區(qū)別是，前者直接與實際受控物理設備互動，一旦工控系統(tǒng)遭受破壞，可能導致物理世界中不可逆轉的重大災難。因此工控系統(tǒng)安全比單純的企業(yè)信息系統(tǒng)的安全要更加重要，需要上升到國家安全的高度來看待。

2015年5月8日，國務院印發(fā)了《中國制造2025》，將智能制造作為工業(yè)現代化的主攻方向[3]。智能制造將云計算、大數據、物聯(lián)網等技術引入工業(yè)制造，將工控系統(tǒng)置于更加開放的環(huán)境中，面臨的安全形勢更加嚴峻。工控系統(tǒng)安全問題解決不好，將成為制約我國智能制造發(fā)展的攔路虎和絆腳石。

本文接下來將回顧著名的工控安全事件、分析安全事件發(fā)生的原因，并進一步分析智能制造環(huán)境下的新挑戰(zhàn)，最后給出智能制造環(huán)境下的安全建議。

1　著名工控安全事件分析

2010年，震網病毒Stuxnet[4]入侵伊朗的ICS系統(tǒng)，致使布什爾核電站長時間停運。

“震網”(Stuxnet)是一種Windows平臺上的計算機蠕蟲病毒。其傳播途徑是首先感染外部主機；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內部網絡；在內部網絡中，通過快捷方式解析漏洞、RPC遠程執(zhí)行漏洞、打印機后臺程序服務漏洞等，實現聯(lián)網主機之間的傳播；通過偽裝RealTek 和JMicron兩大公司的數字簽名，順利繞過安全產品的檢測；最后抵達安裝有SIMATIC WinCC軟件的主機，展開攻擊?！罢鹁W”病毒能控制關鍵進程并開啟一連串執(zhí)行程序，最終導致整個系統(tǒng)自我毀滅。

核設施工控網絡是內部網絡，相對安全，但仍被黑客通過“擺渡”的方式入侵，造成了重大災難。黑客技術高超，利用了多個系統(tǒng)的零日漏洞，而且能偽造大公司的數字簽名，實在值得我們提高警惕。

2011年，俄羅斯黑客入侵數據采集與監(jiān)控控制(Supervisory Control And Data Acquisition，SCADA)系統(tǒng)，破壞了美國伊利諾伊州城市供水系統(tǒng)的一臺供水泵。此次事件雖未造成重大損失，但足以引起國際重視。因為SCADA系統(tǒng)廣泛應用于電力、能源行業(yè)，這些關鍵行業(yè)的SCADA系統(tǒng)一旦被黑客控制，造成的損失將非常巨大。

2012年，火焰病毒Flame[5]襲擊了伊朗的相關設施，還影響了整個中東地區(qū)。該病毒具有超強的數據攫取能力，收集的信息不僅包括鍵盤輸入、語音輸入，還包括屏幕輸出及各種外設通信，幾乎包括了計算機系統(tǒng)的所有輸入輸出。

火焰病毒被官方機構和殺毒廠商認定為迄今最復雜、最危險的病毒威脅。病毒文件達到20 MB，代碼量巨大，組織復雜，要分析透徹，可能要花費幾年時間，想要徹底防御非常困難。

該病毒只入侵特定的目標，潛伏性很強。完成搜集數據的任務后，該病毒還會自我毀滅，更增加其隱蔽性。目前火焰病毒主要處于潛伏狀態(tài)，但這些分布在世界各地的病毒接受攻擊者的指令收集了大量關鍵數據，這些數據一旦用于攻擊將是致命的。如此復雜且危險的病毒被認為可能是由某些國家政府機構提供大量資金和技術支持而研制的，目的為用于網絡戰(zhàn)爭。

2015年12月，BlackEnergy病毒[6]攻擊SCADA系統(tǒng)，烏克蘭至少有三個區(qū)域的電力系統(tǒng)被攻擊導致大規(guī)模停電。BlackEnergy是2007年就開始在俄羅斯秘密流行的一款運行于Windows的犯罪軟件，最初它只被用于為DDoS攻擊創(chuàng)建僵尸網絡的工具。后來該犯罪軟件支持插件擴展，可以被用于各種犯罪。這次攻擊事件，BlackEnerngy利用微軟Office的CVE-2014-4114漏洞，把惡意腳本封裝在一個Office文檔中。當電力系統(tǒng)員工打開這個包含OLE對象的Office文檔時，OLE中的惡意腳本執(zhí)行，下載病毒程序并加入開機啟動項。BlackEnerngy包含了killDisk程序，會刪除包含執(zhí)行文件在內的各種文件，從而破壞SCADA系統(tǒng)和人機接口(Human Machine Interface，HMI)終端。由此可知，BlackEnergy對于SCADA系統(tǒng)的攻擊源頭依然是來源于商業(yè)操作系統(tǒng)的漏洞。

國內2015年也出現了針對某石化公司SCADA系統(tǒng)的攻擊，事后查明為企業(yè)內鬼和外部人員相互勾結所致。

在設備廠商方面，某廠商視頻監(jiān)控方面出了問題，造成了很大負面影響。2014年某石化公司發(fā)布《關于暫停采購某廠商視頻設備的通知》。2015年部分省公安部門對全省某廠商監(jiān)控設備進行全面清查和安全加固，稱該省公安機關使用的某廠商監(jiān)控設備部分已經被境外IP地址控制，要求開展8位以上強口令設置，查殺病毒等工作。

表1　工控系統(tǒng)入侵類型比較表

工控網絡曾被認為相對安全，但即使是內部網絡，黑客仍然可以通過“擺渡”攻擊或者社會工程來入侵。如今工業(yè)化和信息化融合的趨勢方興未艾，工控網在和互聯(lián)網產生了更多的連接，更易于遭受黑客的攻擊。隨著智能制造浪潮的掀起，我們將面臨更多的安全挑戰(zhàn)。

2　智能制造帶來的新安全挑戰(zhàn)

傳統(tǒng)的工業(yè)控制網絡如圖1所示。企業(yè)信息網與內部的生產控制網絡組成一個較封閉的環(huán)境。要入侵這樣的系統(tǒng)，需要通過介質的擺渡攻擊或者惡意郵件、買通內部員工等社會工程手段來入侵。

圖1　傳統(tǒng)工控網絡示意圖

智能制造的變革打破了傳統(tǒng)ICS的封閉環(huán)境，它融合云計算技術、大數據技術、物聯(lián)網技術，將生產制造環(huán)節(jié)與互聯(lián)網信息系統(tǒng)連接起來，實現資源整合共享、生產智能化自動化，從而達到達成降低運營成本、縮短研制周期、提高生產效率的目標。智能制造環(huán)境下網絡環(huán)境如圖2所示。

早在2010年提出的云工廠[7-8]概念，就勾勒了智能制造的原型。云工廠受到互聯(lián)網云概念的啟發(fā)，認為一切都可以抽象成服務，包括設計服務、生產服務、測試服務、仿真服務、管理服務等。通過服務抽象，達到資源共享的目標。

如圖2所示，智能制造不僅要求企業(yè)信息網絡連入互聯(lián)網，而且要求將原來較為獨立的生產制造環(huán)節(jié)與公司的業(yè)務信息系統(tǒng)(如倉儲系統(tǒng)、采購系統(tǒng))連接起來。通過公司的業(yè)務系統(tǒng)，能對來自互聯(lián)網的用戶請求做出響應。工業(yè)大數據能幫助設計生產更加智能化，實現柔性和動態(tài)的生產線，這也要求原本封閉的工控網絡與外部建立連接。

也就是說，黑客要攻擊智能制造環(huán)境下的工控網絡不必再通過介質擺渡、社會工程等手段，而是可以直接通過互聯(lián)網發(fā)起攻擊。由于工控網絡和信息網絡的互聯(lián)互通，病毒和惡意程序也更容易從信息網絡擴展到工控網絡。智能制造環(huán)境下的工控系統(tǒng)面臨以下新的安全挑戰(zhàn)。

(1)工業(yè)網絡IP化為黑客提供了更方便的攻擊途徑。物聯(lián)網技術的引入和使用工業(yè)大數據的需要，智能工廠環(huán)境中的設計制造環(huán)節(jié)和互聯(lián)網產生更多的連接，并在更多的場景中使用TCP/IP協(xié)議進行通信。這給互聯(lián)網黑客提供了更多可以攻擊的機會。整個控制系統(tǒng)都可以和遠程終端互連，導致工控系統(tǒng)感染病毒、木馬、蠕蟲等風險的機會增加。

(2)終端接入多樣化增加了網絡管理的困難。隨著以太網、無線網引入生產、管理的各個方面，通過以太網和無線網接入的終端變得多樣化，終端上可能運行著各種操作系統(tǒng)以及各種應用，存在著多種多樣的安全漏洞。這增加了網絡安全管理的難度，限制終端接入的工作復雜度提高。

(3)開放環(huán)境使得工控系統(tǒng)的組件的脆弱性更加彰顯。目前國內工業(yè)控制系統(tǒng)以國外品牌為主導，對國外產品的依賴嚴重。比如DCS、SCADA系統(tǒng)、PLC多從國外采購，從目前已經發(fā)生的工控安全事件來看，存在不少零日漏洞。包括HMI終端，多采用Windows系統(tǒng)，且版本陳舊，容易被黑客攻破。智能制造環(huán)境使得這些弱點暴露在互聯(lián)網黑客的攻擊威脅內。

(4)未來5G網絡技術的應用將引入更多的安全問題。美國、歐洲和我國都在積極推進5G網絡的研發(fā)和試點建設，在不久的將來5G網絡將逐漸替代4G網絡。5G網絡通過綜合運用軟件定義網絡(Software Defined Network, SDN)、網絡功能虛擬化(Network Function Virtualization, NFV)及云計算等技術， 具備軟定義、可編程、高動態(tài)擴展和極度靈活等特性。針對于個人用戶， 5G將可提供超出4G網絡1 000倍的極值速率、對大規(guī)模用戶訪問以及異構網絡的無縫連接提供支持， 并將確保實現高速移動(500 km/h)條件下網絡的持續(xù)性。5G可以降低智能硬件的能耗，而且通過D2D(Device to Device)、 M2M(Machine to Machine)等技術對物聯(lián)網提供支持，將進一步促進物聯(lián)網的廣泛發(fā)展。將來的智能制造環(huán)境也必將引入5G網絡技術來改善物聯(lián)網的生產環(huán)境。然而由于5G網絡的開放、軟件化和可編程化，相較于4G 網絡，5G網絡將更容易受到安全攻擊[9]。未來5G網絡的引入也將為智能制造環(huán)境帶來新的安全問題。

圖2　智能制造網絡環(huán)境

3　智能制造環(huán)境中的信息安全防御關鍵點

通過分析史上知名的工控安全事件的入侵細節(jié)和討論智能制造環(huán)境帶來的新挑戰(zhàn)，對智能制造環(huán)境中的信息安全問題有以下思考。

首先是標準和政策引導。國家層面應繼續(xù)積極推進工控系統(tǒng)安全研究和相關管理標準的制定與實施。美國就非常重視ICS安全研究，在工控安全領域進行了大量工作，已經形成了完整的ICS信息安全管理體制和技術體系[10]。相比之下，我國在工控系統(tǒng)安全領域的工作起步較晚，不過近年來也加大了重視力度，中華人民共和國工業(yè)和信息化部于2011年9月29日編制下發(fā)了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知(工信部協(xié)[2011]451號)》文件。這一文件的下發(fā)，應引起我國工業(yè)行業(yè)和各企業(yè)的足夠重視，認識到工控系統(tǒng)面臨的安全風險和工控安全的重要性。另外，針對我國工控系統(tǒng)對外國依賴較嚴重的問題，國家應從政策上引導工控系統(tǒng)的自主可控研究，并在關鍵行業(yè)推進部署自主研發(fā)的工控系統(tǒng)。

其次是企業(yè)內控。第一，企業(yè)要加強控制系統(tǒng)與互聯(lián)網之間的安全防護級別。在信息網絡與控制網絡之間要安裝有效的工控防火墻設備，確?？缇W絡之間的通信行為受到嚴格監(jiān)管；在網絡內部還可以通過劃分VLAN等手段，進行流量安全隔離。第二，要做好信息系統(tǒng)的安全防護。對于面向互聯(lián)網提供的服務，企業(yè)要通過安全認證手段提升服務的安全訪問級別，并通過滲透測試增加Web服務的防攻擊能力。最后，針對智能制造變革引入的新安全問題，企業(yè)要與時俱進，對企業(yè)安全團隊做及時的知識更新，增強安全防御的技術力量。對企業(yè)來說，最關鍵的就是專業(yè)人員和相互監(jiān)督的機制建立。

最后，工控研發(fā)廠商應重視漏洞管理和自主創(chuàng)新。第一，對于工控系統(tǒng)的組件(如SCADA、DCS等，要重視系統(tǒng)暴露出來的漏洞，安排專人對工控設備做定時的升級和打補丁操作，并及時更新殺毒軟件。第二，廠商要重視研發(fā)具有自主知識產權的技術，逐步擺脫對國外設備的依賴。最后，對于應該于關鍵行業(yè)的核心控制系統(tǒng)，還可以引入可信計算技術[13]增強主動防御。

4　結論

本文分析了震網病毒、火焰病毒等世界知名的工控安全事件的技術入侵細節(jié)，并分析了智能制造環(huán)境引入的新挑戰(zhàn)。結合分析給出了智能制造環(huán)境下工控信息安全工作的幾點思路：

(1)國家積極推進工控安全標準的制定和實施，積極引導自主可控工控系統(tǒng)的研發(fā)和部署；

(2)企業(yè)加強自身網絡管控、提升Web服務的安全性，必須要有安全團隊(或外包)進行管控；

(3)工 控研發(fā)廠商重視漏洞及強口令管理，及時發(fā)布補丁，重視自主可控工控系統(tǒng)的研發(fā)。

[1] 嚴霄鳳. “震網”引發(fā)網絡安全新思考[J].信息安全與技術, 2011(2): 17-19.

[2] 梁宏, 劉佳男, 李勇. “火焰”病毒分析與防范[C]. 第27次全國計算機安全學術交流會, 2012:157-159.

[3] 張緣舒. 智慧制造試點方案發(fā)布,力推5種智能制造新模式[J].智能建筑與智慧城市, 2016(5): 22-23.

[4] 仇新梁,董守吉.“震網”病毒攻擊事件跟蹤分析和思考[J].保密科學技術,2011(5): 35-37.

[5] 梁宏,劉佳男,李勇.“火焰”病毒分析與防范[C].第27次全國計算機安全學術交流會,四川九寨溝,2012:157-159.

[6] KHAN R, MAYNARD P, MCLAUGHLIN K, et al. Threat analysis of BlackEnergy malware for synchrophasor based real-time control and monitoring in smart grid[C]. 4th International Symposium for ICS & SCADA Cyber Security Research, 2016:53-63.

[7] Li Bohu, Zhang Lin, Cai Xudong. Introduction of Cloud manufacturing[J]. Zhongxing Communications Technology, 2010, 4(16):5-8.

[8] JALEEL A. Cloud manufacturing: intelligent manufacturing with cloud computing[C]. Proceedings of the 2014 ICAM, International Conference on Advanced and Agile Manufacturing,2014.

[9] 李暉,付玉龍.5G網絡安全問題分析與展望[J].無線電通信技術,2015,41(4):1-7.

[10] 朱曉燕,方泉.美國電力行業(yè)信息安全運作機制和策略分析[J].中國電力,2015,48(5):81-88.

[11] 李佳瑋,郝悍勇,李寧輝.工業(yè)控制系統(tǒng)信息安全防護[J]. 中國電力,2015,48(10):139-143.

[12] 馮登國,秦宇,汪丹, 等.可信計算技術研究[J]. 2011, 48(8): 1332-1349.