[導讀：病bing毒du入ru侵qin主zhu要yao是shi通tong過guo企qi業ye和he工gong業ye網wang絡luo之zhi間jian的de接jie口kou，工gong業ye網wang絡luo的de互hu聯lian網wang接jie入ru
，以yi及ji通tong過guo移yi動dong電dian話hua網wang絡luo將jiang工gong業ye網wang絡luo上shang的de計ji算suan機ji連lian接jie到dao網wang絡luo中zhong。它ta們men大da多duo通tong過guo垃la圾ji郵you件jian偽wei裝zhuang成cheng商shang業通信的分布式、惡意附件或連接到惡意軟件下載]

一家正常運營的煉油廠突然打破以往的平靜——計算機屏幕開始強烈地閃爍
，光標不受控製並四處遊移
，電線突然短路
，滾滾濃煙中夾雜著大量的火花……煉油廠的設備大麵積停止運轉，工廠的工人們不知所措地到處觀望，係統工程師們則焦頭爛額、爭分奪秒。

這樣的緊急情況源自一群專業黑客的攻擊，他們通過惡意代碼攻擊煉油廠的控製係統
，從而幹擾甚至控製煉油廠的生產運營。

這一幕發生在KEEN公司和卡巴斯基實驗室聯合發起的工業控製係統CTF決賽上，來自中國、日本和韓國的選手模擬攻擊煉油廠進行安全實戰。比賽現場以煉油廠的真實生產為背景
，複製了變速離心泵
、儲罐（油箱）
、熱交換器和緩衝罐構成的鐵管卸料器。

“以煉油廠的真實生產場景作為背景
，比賽現場所發生的所有情況在實際關鍵基礎設施和工業係統中也可能發生。”卡巴斯基實驗室高級研究員VladimirDashchenko說道。

作為“智慧工廠”的大腦
，工業控製係統可謂是企業乃至國家的“安全命門”。但全球頻繁爆發針對它的大規模網絡攻擊，如“震網”病毒造成伊朗上千台離心機報廢；烏克蘭電網被攻擊導致140餘萬家庭斷電；“Petrwrap”勒索病毒影響多個國家的電力、軌道交通、石油等重點領域運行等案例引起了全球安全從業者的關注——工業控製係統一旦遭受攻擊，可對現實世界造成直接的、實質性的危害，甚至威脅國家安全和經濟社會穩定。

而伴隨著物聯網和大數據在工業應用中日益普及，這些攻擊目標被逐漸放大，安全防護問題也呈幾何級數被認知。

愈演愈烈

今年5月12日晚，一款名為WannaCry的蠕蟲勒索軟件襲擊全球網絡
，這被認為是迄今為止最巨大的勒索交費活動，影響到近百個國家上千家企業及公共組織。

5月13日淩晨開始，中國石油旗下北京、上海、重慶、成都等多個城市的加油站出現網絡癱瘓的情況
，導致油卡、支付寶、微信、yinliankadenglianwangzhifufangshiwufashiyong。weiquebaoyonghushujuanquanhefangzhibingdukuosan
，zaishoudaolesuobingdugongjihou，zhongshiyoujinjizhongduansuoyoujiayouzhanshanglianwangluoduankou
，binghuitongyouguanwangluoanquanzhuanjialianyekaizhanchuzhigongzuo
，quanmianpaizhafengxian，zhidingjishujiejuefangan。

第一財經記者致電中國石油，相關方麵表示稱，經過技術解決，很快的時間中石油80%以上加油站恢複網絡連接
，用戶加油卡賬戶資金未受影響。

西門子中國研究院信息安全部總監胡建鈞向第一財經記者表示
，WannaCry作為一個裏程碑式的事件
，打開了一個以經濟利益為驅動，與地下黑色產業鏈對接的潘多拉魔盒
，它將對工業企業帶來更大的威脅。

事實上，在人類工業互聯網發展以來，黑客利用各項漏洞的非法入侵從未停止過。

早在2000年，澳大利亞馬盧奇汙水處理廠就曾遭遇到黑客攻擊
，在前後三個多月的時間裏，總計約100萬升未經處理的汙水直接經雨水渠排入了公園、河流等自然水係。此番行為直接導致了當地大量海洋生物死亡，汙水臭氣熏天，給所在區域帶來嚴重生態災難。

2003年1月，美國俄亥俄州Davis-Besse核電站和其他電力設備受到SQLSlamme蠕蟲病毒攻擊，在數小時內網絡數據傳輸量劇增，導致該核電站計算機處理速度變緩、安全參數顯示係統和過程控製計算機無法運作。

彼時的非法入侵事件就已為工控係統安全防護敲響了警鍾，但真正拉開保衛工業信息安全序幕的則是臭名昭著的“震網病毒”事件。

2010年6月，震網病毒Stuxnet首次被發現，它是第一個專門定向攻擊真實世界基礎設施的“蠕蟲”病毒。其利用當時微軟尚未發現的幾個漏洞
，成功偷襲了伊朗Natanz核電站
，造成大量離心機損毀；此後的2012年，美國加州的Chevron石油公司對外稱，他們的計算機係統曾受到該震網病毒的襲擊；隨後，美國BakerHughes、ConocoPhillips和Marathon等石油公司也相繼發表聲明稱
，其計算機係統也感染了震網病毒。他們發布警告，一旦病毒侵害了真空閥，就會造成離岸鑽探設備失火、人員傷亡和生產停頓等重大事故。

胡建鈞向記者介紹，2010年的“震網病毒”事件拉開了保衛工業信息安全的序幕，該病毒是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒

，比如核電站
、水壩和電網等。截至2011年，全球超過45000個網絡以及60%的個人電腦感染了這種病毒。

更為嚴重的是，病毒也會隨著科技的進步而變異，變得更加“強大”。2011年微軟安全專家檢測到Stuxnet病毒的一個新型變種，Duqu木馬病毒。這種比Stuxnet更聰明的病毒可以潛伏於工控係統，收集攻擊目標的各種信息，以供未來網絡襲擊之用。2015年6月Duqu2.0爆發
，甚至入侵到網絡安全公司卡巴斯基的內網以及伊核談判地點的會議酒店。其攻擊實力不容小覷。

根據德國數字協會Bitkom（2015年4月的一項研究）的保守分析，由於數字工業間諜、蓄意破壞和數據盜竊，德國每年遭受的損失高達510億歐元。

裸露的工業互聯網

雖然對於黑客或者入侵者而言，通過傳統USB等物理方式入侵工控係統顯然更加有效

，但是隨著數字工業的發展
，通過互聯網途徑的遠程入侵則會更加高效與便捷。

2015年12月，黑客利用係統漏洞非法入侵了烏克蘭的一家電力公司，遠程控製了配電管理係統
，導致7台110kV與23台35kV變電站中斷了三個小時，22.5萬用戶停電；2016年4月，德國核電站負責燃料裝卸係統的BlockBIT網(wang)絡(luo)同(tong)樣(yang)遭(zao)到(dao)攻(gong)擊(ji)
，安(an)全(quan)人(ren)員(yuan)在(zai)對(dui)這(zhe)套(tao)係(xi)統(tong)的(de)安(an)全(quan)檢(jian)測(ce)中(zhong)發(fa)現(xian)了(le)遠(yuan)程(cheng)控(kong)製(zhi)木(mu)馬(ma)，雖(sui)然(ran)還(hai)沒(mei)有(you)執(zhi)行(xing)非(fei)法(fa)操(cao)作(zuo)
，但(dan)核(he)電(dian)站(zhan)的(de)操(cao)作(zuo)員(yuan)為(wei)防(fang)不(bu)測(ce)
，臨(lin)時(shi)關(guan)閉(bi)了(le)發(fa)電(dian)廠(chang)。

事實上，隨著現今的工業日益與信息化技術融合發展
，物聯網

、大數據在工業中應用越來越普遍
，無數的設備連網接入網絡

，以便於監測維護。而工業物聯網快速發展背後顯然隱藏著一個巨大的“裸露”風險。

在電力和供水係統、交通係統和工廠控製係統等利用IT係(xi)統(tong)運(yun)營(ying)的(de)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)中(zhong)，網(wang)絡(luo)安(an)全(quan)扮(ban)演(yan)著(zhe)至(zhi)關(guan)重(zhong)要(yao)的(de)角(jiao)色(se)。隨(sui)著(zhe)這(zhe)些(xie)基(ji)礎(chu)設(she)施(shi)開(kai)放(fang)程(cheng)度(du)的(de)不(bu)斷(duan)提(ti)高(gao)，它(ta)們(men)遭(zao)受(shou)攻(gong)擊(ji)的(de)可(ke)能(neng)性(xing)也(ye)越(yue)來(lai)越(yue)大(da)。

第一財經記者調查發現
，病bing毒du入ru侵qin主zhu要yao是shi通tong過guo企qi業ye和he工gong業ye網wang絡luo之zhi間jian的de接jie口kou，工gong業ye網wang絡luo的de互hu聯lian網wang接jie入ru
，以yi及ji通tong過guo移yi動dong電dian話hua網wang絡luo將jiang工gong業ye網wang絡luo上shang的de計ji算suan機ji連lian接jie到dao網wang絡luo中zhong。它ta們men大da多duo通tong過guo垃la圾ji郵you件jian偽wei裝zhuang成cheng商shang業通信的分布式
，或者惡意附件或連接到惡意軟件下載。而等到達工業設施終端，許多發電機、水shui泵beng和he其qi他ta基ji建jian設she施shi都dou有you一yi個ge共gong同tong的de致zhi命ming弱ruo點dian，隻zhi要yao攻gong擊ji者zhe遠yuan程cheng開kai關guan關guan鍵jian電dian路lu的de斷duan路lu器qi
，就jiu會hui使shi得de機ji器qi的de旋xuan轉zhuan部bu件jian脫tuo離li同tong步bu狀zhuang態tai
，進jin而er造zao成cheng部bu分fen係xi統tong故gu障zhang。

今年年初，專注於安全領域的研究中心Ponemon發表了一份美國石油天然氣行業網絡安全調查報告，超過2/3的受訪者都表示在過去的一年裏遭受過至少一次安全損害
，導致關鍵信息丟失或生產中斷。

360企業安全集團董事長齊向東表示，360和東北大學工控安全實驗室曾進行過聯合研究
，通過掃描部分網絡
，發現全球77766台控製係統和控製主機暴露在互聯網上，其中美國占大頭達到3萬多台，中國也有近2000taichuyuluobendezhuangtai，hangailesuoyoumuqianliuxingdekongzhixitonghegongyekongzhixieyi，shejideyingyonglingyuconglisankongzhidaolianxukongzhidouyou。keyixiangjian
，zhexiexitongyidanchuxianloudongbeigongji、被遠程操控，可能引發災難性的後果。

網絡安全公司卡巴斯基實驗室最新報告稱，製造業已經成為第二個最容易受到網絡攻擊的行業

，工業控製係統（ICS）和製造業的計算機的入侵數量占所有攻擊的三分之一。

報告顯示，2017年上半年大約18000種不同的惡意軟件修改工業自動化係統，大多數網絡攻擊發生在生產材料、設備和貨物的製造公司。受影響較大的部門包括工程、教育和食品飲料。其中
，能源公司的ICS計算機幾乎占所有攻擊的5%。

防禦戰

麵對幾何倍數增長的網絡安全攻擊，工業企業並非束手無策。許多工業企業正在加強對於網絡安全攻擊的防護水平。

“從技術層麵看

，在電力行業實踐多年的等級保護、縱深防禦依然是重要行業關鍵信息基礎設施安全防護的最佳實踐。”遠景能源IoT平台生態總監唐亮告訴第一財經記者
，“在分布式網絡環境下實現智能設備、工控係統、雲端應用全鏈路的網絡安全情報分析
、實時監控、動態分析、自動攻擊定位和快速響應的閉環是提升安全防護能力的重要手段。”

而作為國際工業巨頭，西門子也有自己的“過牆梯”。目前，西門子全球有多家信息安全運營中心（CDC），為自身和客戶提供保護。CDC依yi托tuo內nei外wai部bu及ji時shi準zhun確que的de安an全quan威wei脅xie情qing報bao
，采cai集ji受shou保bao護hu對dui象xiang的de實shi時shi運yun行xing狀zhuang態tai

，運yun用yong安an全quan大da數shu據ju分fen析xi技ji術shu，準zhun確que直zhi觀guan地di刻ke畫hua當dang前qian的de安an全quan態tai勢shi
，便bian於yu製zhi定ding與yu選xuan擇ze最zui佳jia的de安an全quan防fang護hu策ce略lve。

比(bi)如(ru)說(shuo)勒(le)索(suo)病(bing)毒(du)，黑(hei)客(ke)可(ke)以(yi)從(cong)外(wai)部(bu)禁(jin)用(yong)計(ji)算(suan)機(ji)
，在(zai)拿(na)到(dao)贖(shu)金(jin)前(qian)不(bu)會(hui)提(ti)供(gong)代(dai)碼(ma)以(yi)重(zhong)新(xin)啟(qi)動(dong)計(ji)算(suan)機(ji)。而(er)西(xi)門(men)子(zi)常(chang)常(chang)能(neng)及(ji)時(shi)發(fa)現(xian)攻(gong)擊(ji)或(huo)通(tong)過(guo)采(cai)取(qu)保(bao)護(hu)措(cuo)施(shi)防(fang)止(zhi)遭(zao)受(shou)攻(gong)擊(ji)。憑(ping)借(jie)預(yu)防(fang)性(xing)措(cuo)施(shi)
，迄(qi)今(jin)為(wei)止(zhi)西(xi)門(men)子(zi)擁(yong)有(you)良(liang)好(hao)的(de)信(xin)息(xi)安(an)全(quan)運(yun)行(xing)記(ji)錄(lu)。

西門子還會對相關重要信息進行分級處理，在采訪中，西門子工作人員向第一財經記者表示，西門子內部將“金塊”dingyiweijuyouzhanlvezhongyaoxingdeguanjianshuju
，tadediushihuigeiximenzizaochengzhongdasunshi，yinerbeihuafenweiteshuleibie

，youximenzicaiyongzonghefangfajinxingdandubaohu。

將jiang應ying用yong和he係xi統tong轉zhuan移yi至zhi互hu聯lian網wang是shi當dang前qian的de趨qu勢shi
，因yin此ci雲yun端duan安an全quan機ji製zhi也ye同tong樣yang重zhong要yao。西xi門men子zi中zhong央yang研yan究jiu院yuan專zhuan家jia正zheng在zai這zhe個ge領ling域yu進jin行xing努nu力li，比bi如ru用yong戶hu身shen份fen監jian控kong和he訪fang問wen權quan限xian等deng。為wei了le在zai遭zao受shou網wang絡luo攻gong擊ji前qian找zhao到dao安an全quan漏lou洞dong，西xi門men子zi中zhong央yang研yan究jiu院yuan擁yong有you自zi己ji的de紅hong客ke團tuan隊dui
，其qi工gong作zuo內nei容rong就jiu是shi定ding期qi對dui西xi門men子zi係xi統tong進jin行xing滲shen透tou測ce試shi。

胡建鈞向第一財經記者表示，西門子的安全技術防護包括三個階段
，第一步安全評估，基於IEC/ISO及中國安全標準，找出企業差距；第二步安全實施，基於縱深防禦的理念；第三步動態的持續安全監測。傳統上安全改進往往隻執行第一步和第二步，隻做到了靜態安全。西門子延伸了安全防護理念，依托CDC工gong業ye信xin息xi安an全quan運yun營ying中zhong心xin做zuo到dao了le動dong態tai的de安an全quan防fang護hu，使shi得de用yong戶hu可ke以yi感gan知zhi外wai部bu的de威wei脅xie變bian化hua
，洞dong悉xi內nei部bu的de安an全quan漏lou洞dong，作zuo出chu及ji時shi準zhun確que的de安an全quan防fang護hu策ce略lve與yu動dong作zuo。

除了西門子，另外一家工業服務企業羅克韋爾自動化也正在嚐試完善自身對於網絡安全攻擊的防護。

“我們發現越來越多的安全威脅能夠更加輕易地繞過網絡邊界。”ARC顧問集團戰略谘詢服務總監JohnKuenzler表示，“通常來說，如果你不能提前阻止威脅入侵邊界，那麼最好在它進入邊界並有可能對運營產生影響時完成檢測。”

“我們的威脅檢測服務是一款非侵入性的被動式安全解決方案，”羅克韋爾自動化谘詢服務產品組合經理UmairMasud向第一財經記者表示

，“這一點十分關鍵，因為我們不希望將新的數據通信引入網絡後
，對複雜的工業控製係統造成不利影響。”

隨著工業網絡安全被提上日程、逐漸受到重視，提供工業網絡安全服務也成為了新的風口。2016年，一家以色列的公司就獲得了1200萬美元的A輪融資。公開資料顯示，該公司主要推廣其網絡安全技術
，借以保護行業領域的工業控製係統（ICS）免受網絡攻擊威脅

，包括能源、水力（自來水）
、石油化工、製藥等。

有中金公司投行人士向第一財經記者表示，而隨著更多網絡安全攻擊行為對國計民生產生巨大影響，這一類的投資將會顯著增多。“我們所見的工業網絡安全領域很可能隻是冰山一角
，其市場潛力十分巨大。”