以(yi)製(zhi)造(zao)業(ye)為(wei)核(he)心(xin)的(de)實(shi)體(ti)經(jing)濟(ji)才(cai)是(shi)保(bao)持(chi)國(guo)家(jia)競(jing)爭(zheng)力(li)和(he)經(jing)濟(ji)健(jian)康(kang)發(fa)展(zhan)的(de)基(ji)礎(chu)，也(ye)正(zheng)是(shi)由(you)於(yu)世(shi)界(jie)各(ge)國(guo)對(dui)於(yu)這(zhe)一(yi)理(li)念(nian)的(de)普(pu)遍(bian)認(ren)可(ke)，才(cai)有(you)了(le)德(de)國(guo)的(de)工(gong)業(ye)4.0戰略
、美國的先進製造業國家戰略

、印度的國家製造業政策等國家層麵的戰略規劃，我國也提出了中國製造2025計劃

，並將“以推動信息化和工業化深度融合為主線
，大力發展智能製造
，構建信息化條件下的產業生態體係和新型製造模式”作為戰略任務

，來推進工業2.0
、工業3.0和工業4.0並行發展。

在以上背景下，全球製造企業麵臨的網絡風險也越來越大。昔日的“孤島運行”已不複存在
，IT和OT邊界已經消失
，新技術的應用逐步將網絡的邊界變得模糊。大量工業物聯網設備的部署，在增加係統功能
、提(ti)高(gao)生(sheng)產(chan)效(xiao)率(lv)的(de)同(tong)時(shi)
，也(ye)帶(dai)來(lai)了(le)諸(zhu)多(duo)漏(lou)洞(dong)，致(zhi)使(shi)暴(bao)露(lu)的(de)攻(gong)擊(ji)麵(mian)逐(zhu)步(bu)擴(kuo)大(da)。同(tong)時(shi)伴(ban)隨(sui)著(zhe)勒(le)索(suo)軟(ruan)件(jian)的(de)肆(si)虐(nue)
，各(ge)大(da)製(zhi)造(zao)廠(chang)商(shang)也(ye)遭(zao)受(shou)了(le)不(bu)同(tong)程(cheng)度(du)的(de)損(sun)失(shi)，就(jiu)在(zai)2020年6月本田遭到Snake勒索軟件攻擊，被迫關停了在美國和土耳其的汽車工廠以及在印度和南美洲的摩托車生產工廠。

本文立足製造業，梳理總結針對製造業的常見攻擊類型，最終給出防護的建議。

網絡釣魚攻擊

網絡釣魚攻擊仍然是最受歡迎的網絡攻擊工具。為了進行更具有危害性的攻擊或者行動，通常需要打開進入目標企業的“大門”，一般情況下都使用釣魚郵件。比如在2016年，全球太陽能電池板製造商旭樂公司內一名員工收到了自稱是CEO的郵件
，郵件中提及需要公司內部員工的詳細信息，該員工未鑒別真偽便將內部員工的詳細信息發送給這位CEO，可這個CEOqueshiwangluofanzuifenzi
，gaiyuangongyechenglewangluodiaoyugongjideshouhaizhe，zaochenglegongsijimixinxidexielu，yexuhouxufanzuifenzihaihuiyougengjiafengkuangdeshentouyugongjixingwei。

類似於此的網絡釣魚攻擊也出現在2015年的烏克蘭停電事件中，黑客通過網絡釣魚郵件釋放BlackEnergy 3惡意軟件並在後續攻擊行為中成功取得電力公司工控網絡的登入權限，登入SCADA係統後
，一個接一個的啟動斷路器截斷電力，同時啟用KillDisk惡意軟件刪除重要日誌文件與主引導記錄
，讓電廠員工無法快速恢複電力並進行後期的分析。同時黑客還進行了電話網絡的DDoS攻擊
，讓客戶及其電廠員工之間難以溝通，因而不易了解狀況
，找出對策重啟電力。釣魚郵件如下：

網絡釣魚攻擊的常見特征：

帶有惡意附件的郵件;

帶有與已知網站不同、拚寫錯誤的超鏈接;

引人入勝的標題或者內容;

異常的電子郵件發件人;

緊急的命令或者待辦事項類文件。

供應鏈攻擊

duiyuzhizaoyeeryan
，bushiyigechangshangjiunengwanchengchengpindeshengchan
，bixuyilaiyubutongchangshangdelingbujiancainengwanchengzhenggechanpindeshengchanhezuzhuang
，yincizaizhizaoguochengzhongxuyaoduogehezuoshangxietonggongxiangcainengshixiangaoxiaoyunying，zaizhegeguochengzhongbianyinrulegongyingliangongjidefengxian。

供應鏈攻擊是許多犯罪分子的攻擊手法
，通過該類攻擊可竊取製造廠商的敏感數據、知(zhi)識(shi)產(chan)權(quan)等(deng)。惡(e)意(yi)攻(gong)擊(ji)者(zhe)如(ru)果(guo)獲(huo)得(de)了(le)合(he)作(zuo)夥(huo)伴(ban)訪(fang)問(wen)製(zhi)造(zao)廠(chang)商(shang)網(wang)絡(luo)的(de)權(quan)限(xian)，通(tong)過(guo)該(gai)權(quan)限(xian)，犯(fan)罪(zui)分(fen)子(zi)就(jiu)可(ke)以(yi)進(jin)入(ru)製(zhi)造(zao)廠(chang)商(shang)的(de)網(wang)絡(luo)，竊(qie)取(qu)敏(min)感(gan)信(xin)息(xi)或(huo)數(shu)據(ju)
、甚至是核心的工藝製造文件等，對公司將造成重大傷害。

除chu此ci之zhi外wai製zhi造zao廠chang商shang使shi用yong的de外wai部bu軟ruan件jian或huo者zhe硬ying件jian存cun在zai安an全quan風feng險xian，在zai設she備bei及ji係xi統tong供gong應ying鏈lian上shang同tong樣yang存cun在zai被bei攻gong擊ji的de可ke能neng性xing。大da多duo數shu產chan品pin開kai發fa使shi用yong了le公gong共gong開kai源yuan或huo者zhe閉bi源yuan組zu件jian，但dan這zhe些xie組zu件jian或huo多duo或huo少shao存cun在zai安an全quan漏lou洞dong

，將jiang有you缺que陷xian的de組zu件jian嵌qian入ru產chan品pin中zhong，可ke能neng會hui導dao致zhi更geng多duo的de安an全quan問wen題ti
，例li如ru2020年6月份暴露出的Ripple20漏洞，Ripple20漏洞存在於由Treck公司開發的TCP/IP協議棧中
，在過去的20多年間
，該協議棧已經被廣泛使用並集成到無數企業和個人消費者設備中，該係列漏洞將影響全球數億個物聯網(IoT)和工業控製設備。

勒索軟件攻擊

勒索軟件是一種感染計算機服務器、台式機、筆記本電腦、平板電腦和智能手機的惡意軟件，通過各種機製滲透
，並經常從一台機器橫向擴散到另一台機器。一旦感染係統，病毒會悄悄加密數據、視頻、文本等文件，然後向用戶索要贖金。敲詐勒索從數百到數千美元(通常以難以追蹤的加密貨幣如比特幣等形式)jinxingzaixianzhifu
，ranhouhuanquhuifuyonghusuodingwenjiansuoxudejiemimiyao。lesuoxuqiutongchangbaokuoyixiliedefukuanjiezhiriqi
，meicuoguoyigejiezhiriqidouhuitigaoshujinjine
，bingkenengdaozhiyixiewenjiandepohuai。ruguoshouhaizhebufuqian
，gongjizhehuidiuqijiemimiyao

，congeryongjiuwufafangwenshuju。

2017年WannaCry爆發，汽車製造商被襲擊就是一個臭名昭著的勒索軟件攻擊的例子。該病毒感染了150多個國家，超過20萬台的電腦。法國雷諾及其聯盟合作夥伴日產Nissan因其許多係統被攻擊癱瘓而被迫暫時停用歐洲的一些工廠。法國
、斯洛文尼亞和羅馬尼亞的設施遭受重創，雷諾被迫暫時關閉了工業生產線。

製zhi造zao廠chang商shang遭zao受shou到dao這zhe種zhong勒le索suo軟ruan件jian攻gong擊ji後hou，麵mian臨lin著zhe重zhong大da的de損sun失shi
，一yi方fang麵mian被bei加jia密mi的de文wen件jian通tong常chang為wei製zhi造zao生sheng產chan或huo者zhe其qi他ta重zhong要yao數shu據ju文wen件jian，缺que失shi這zhe類lei文wen件jian生sheng產chan線xian將jiang會hui被bei迫po關guan停ting
，而er後hou麵mian臨lin的de是shi來lai自zi合he作zuo商shang的de各ge種zhong壓ya力li及ji其qi經jing濟ji損sun失shi;另一方麵遭遇攻擊後無法恢複被感染的文件，通過查殺病毒或者安全防護
、genghuanxindebangongshebeidezhouqijiqigongzuoliangshizhizaochangshangwufajieshoude，yincizhizaochangshangyoushibudebuzhifushujinyiqiwangkuaisuhuifushengchan，buruzhenggui，erzaizheqijiandanwudegongshijiqishengchanrenwuyoushiyibijudadejingjisunshi，yincigaileigongjishimuqianzhizaochangshangzuiweijupade。

物聯網攻擊

suizhezhizaoyezhinenghuazhuanxingdezhujianshenru，wulianwangzaituidongzhinengzhizaozhuanxingguochengzhongsuobanyandejiaosezhengbiandeyuelaiyuezhongyao。youlegezhonggeyangdewulianwangshebei
，zhizaochangshangnenggougengyouxiao、更準確地優化其生產工藝及流程。例如，公司正在使用放置在設備中的物聯網傳感器跟蹤資產
、收集數據和執行分析。這些傳感器監測設備的各類運行參數及關鍵數據，以實現自動恢複，並縮短維修停機時間。

suizhezhizaogongchangzhonggezhongleixingwulianwangshebeidezengjia，wuxingzhongdailailegengduodeanquanfengxian，wulianwangshebeiyoulianwangshuxing
，jiyibaoluzaiwangluohuanjingzhong。zhizaochangshangdewulianwang
、工控網、辦公網通常情況下未做有效隔離，通過物聯網設備的公開漏洞或者0Day即可滲透進入工控網，對生產的關鍵設備進行惡意攻擊
，影響生產並造成停機、加工事故等事件。

有詳細報道物聯網設備攻擊的工控安全事件如下所述。在2008年8月5日ri，土tu耳er其qi境jing內nei跨kua國guo石shi油you管guan道dao發fa生sheng爆bao炸zha，破po壞huai了le石shi油you運yun輸shu管guan道dao，中zhong斷duan了le該gai管guan道dao的de石shi油you運yun輸shu。這zhe條tiao管guan道dao內nei安an裝zhuang了le探tan測ce器qi和he攝she像xiang頭tou，然ran而er在zai管guan道dao被bei破po壞huai前qian
，卻que沒mei有you收shou到dao任ren何he報bao警jing信xin號hao，攝she像xiang頭tou也ye未wei能neng捕bu獲huo爆bao炸zha事shi件jian發fa生sheng的de畫hua麵mian。後hou經jing調tiao查zha發fa現xian，引yin發fa事shi故gu的de緣yuan由you是shi監jian控kong攝she像xiang頭tou本ben身shen。黑hei客ke利li用yong網wang絡luo攝she像xiang頭tou的de軟ruan件jian漏lou洞dong
，攻gong入ru內nei部bu係xi統tong
，並bing在zai一yi台tai負fu責ze報bao警jing管guan理li的de電dian腦nao上shang安an裝zhuang了le一yi個ge惡e意yi程cheng序xu，然ran後hou滲shen透tou到dao管guan道dao操cao作zuo控kong製zhi係xi統tong
，在zai不bu觸chu動dong警jing報bao的de情qing況kuang下xia加jia大da管guan道dao內nei壓ya力li，石shi油you管guan道dao內nei的de超chao高gao壓ya力li導dao致zhi了le這zhe次ci爆bao炸zha的de發fa生sheng，並bing且qie黑hei客ke刪shan除chu了le長chang達da60個小時的監控錄像以“毀屍滅跡”
，沒(mei)有(you)留(liu)下(xia)任(ren)何(he)線(xian)索(suo)。雖(sui)然(ran)該(gai)事(shi)件(jian)發(fa)生(sheng)在(zai)油(you)氣(qi)行(xing)業(ye)

，但(dan)黑(hei)客(ke)的(de)攻(gong)擊(ji)手(shou)法(fa)與(yu)使(shi)用(yong)技(ji)術(shu)往(wang)往(wang)可(ke)以(yi)被(bei)平(ping)移(yi)至(zhi)其(qi)他(ta)行(xing)業(ye)，被(bei)黑(hei)客(ke)瞄(miao)準(zhun)的(de)製(zhi)造(zao)企(qi)業(ye)極(ji)有(you)可(ke)能(neng)發(fa)生(sheng)製(zhi)造(zao)產(chan)品(pin)不(bu)良(liang)率(lv)上(shang)升(sheng)、加工關鍵設備損毀、員工傷亡等事件。

複雜工業設備攻擊

製造廠商的核心資產有別於其餘行業，除了常見的PLC、HMI等設備外，還有特有的數控機床、工業機器人、光學測量係統等，這些資產通常具有係統構成複雜、技術點眾多、編程環境專有等特點，比如工業機器人由控製係統、驅動係統
、執行關節等組成，它是根據任務程序執行相應的製造任務，這些任務程序在控製係統中解析後分解為多個執行步驟(例如，“向右移動”

、“鉗子打開”、“向下移動”、“撿拾件”)來完成產品的對應生產過程。每一個機器供應商都有自己的專用語言來編寫任務程序

，如ABB的Rapid
、Comau的PDL2
、Fanuc的Karel、川崎的AS、Kuka機器人語言(KRL)
、三菱的Melfa Basic、安川的Inform。這些工業機器人編程語言(IRPLs)都是專有的
，而且每種語言都有一套獨特的功能。

IRPLsfeichangqiangda，yinweitayunxuchengxuyuanbianxiezidonghuachengxu
，yekeyicongwangluohuowenjianduxieshuju，fangwenjinchengneicun，zhixingcongwangluodongtaixiazaidedaimadengdeng。ruguoshiyongbudang
，meiyouanquanyishi，qiangdadebianchenggongnengkenengfeichangweixian。birukeyibianxieruchongchuanbochengxu

，zaiwangneidejiqirenzhongjinxingziwochuanbo。ganranxinjiqirenhou，ruchongjiangkaishisaomiaowangluoyixunzhaoqitaqianzaimubiao，bingliyongwangluojinxingchuanbo。gairuchongchengxuzhongbaokuolewenjianshoujigongneng，huoqushouganranjiqirenzhongdeminganshujujiwenjian，xiatuweiruchongeyiruanjiandewangluosaomiaoshili:

chucizhiwaigongyejiqirenzhonghaicunzaizhuduoloudong，birumuluchuanyueloudong，keshigongjizhenenggouqiequjilumubiaojiqirenyundongderizhiwenjian，gairizhiwenjianbaohanzhuruzhishichanquan(如產品構建方式)之類的敏感信息
，然後
，攻擊者可以訪問其他目錄中的其他文件(包括身份驗證機密的文件)，並使用這些文件最終訪問控製係統。下圖為未經驗證確認的連接訪問機密文件示意。

以上僅是針對工業機器人係統舉例說明在製造業中存在對複雜工業設備攻擊的可能性，其餘的關鍵設備如數控機床係統、激光測量係統等均因為其功能強大與複雜性可能存在漏洞或者正常功能被惡意使用情況。

防護建議

以上分析針對製造業最常見的攻擊類型，製造廠商需要提前做出防護措施以應對可能發生的攻擊。以下提出幾點建議：

加強員工的安全意識
，組織相關培訓教授員工如何識別網絡釣魚
、如何防範等知識，並不定期進行網絡釣魚測試。

引入設備供應鏈安全性評估和管理機製。對於工廠日常使用的各種操作機台
、IOTshebei，yidongshebei，caigouhuoshiyongqianzixinghuozhexunzhaozhuanyeanquanchangshangxiezhupingguanquanxing

，changshihegongyingshanggongtongjiansheloudongxiufujizhi，shedingchanpinanquanzhunrumenkan。

對合作的上下遊廠商進行合規管控
，從業務
、數據、文件等多個維度建立不同的權限級別
，並針對外部的網絡訪問做詳細記錄以便溯源查詢。

積(ji)極(ji)梳(shu)理(li)現(xian)有(you)資(zi)產(chan)，根(gen)據(ju)重(zhong)要(yao)度(du)等(deng)指(zhi)標(biao)進(jin)行(xing)分(fen)區(qu)分(fen)域(yu)，部(bu)署(shu)全(quan)網(wang)安(an)全(quan)管(guan)理(li)類(lei)產(chan)品(pin)，形(xing)成(cheng)具(ju)備(bei)快(kuai)速(su)反(fan)應(ying)能(neng)力(li)的(de)縱(zong)深(shen)型(xing)防(fang)禦(yu)體(ti)係(xi)。優(you)秀(xiu)的(de)安(an)全(quan)管(guan)理(li)類(lei)產(chan)品(pin)可(ke)以(yi)通(tong)過(guo)監(jian)測(ce)網(wang)絡(luo)流(liu)量(liang)等(deng)，及(ji)時(shi)發(fa)現(xian)病(bing)毒(du)感(gan)染(ran)源(yuan)並(bing)進(jin)行(xing)隔(ge)離(li)處(chu)理(li)
，有(you)效(xiao)阻(zu)斷(duan)病(bing)毒(du)傳(chuan)播(bo)。分(fen)區(qu)分(fen)域(yu)後(hou)也(ye)可(ke)避(bi)免(mian)勒(le)索(suo)類(lei)軟(ruan)件(jian)在(zai)全(quan)廠(chang)擴(kuo)散(san)。

建立嚴格有效的數據備份方案，在本地
、異地和私有雲等處保存關鍵業務數據及文件，避免因勒索軟件感染關鍵文件而導致停產停工。

加jia強qiang主zhu機ji等deng端duan點dian安an全quan防fang護hu能neng力li。可ke以yi考kao慮lv部bu署shu合he適shi的de終zhong端duan安an全quan管guan理li軟ruan件jian
，對dui不bu具ju備bei部bu署shu條tiao件jian的de機ji器qi，在zai做zuo好hao兼jian容rong性xing測ce試shi的de基ji礎chu上shang，盡jin可ke能neng的de安an裝zhuang係xi統tong補bu丁ding;如無需使用3389，445等敏感端口則盡量關閉。

對IOT設備進行定期安全檢查，聯係廠家獲取最新版本固件實時更新，防止攻擊者利用已知漏洞發起攻擊。

對製造廠區內的無線連接進行管理，並定期更換密碼(使用強密碼)，管控私接AP，關閉不必要的打印機等設備的無線功能。

外部人員訪問製造廠區內網絡時
，采用虛擬專用網或者其餘加密連接方案，並做好行為記錄備案。

對數控機床、工業機器人等設備的程序文件做安全性掃描處理，確保程序文件不攜帶已知病毒。

如有可能需對數控機床、工業機器人等設備的程序做自動或定期的源代碼審查，如發現異常函數使用及時反饋編程人員進行修改、備案、記錄
、分享經驗等。

建立與集成商公用的程序文件安全性審查庫，並建立準入和身份驗證機製，隻有經過認證的編程人員才有權限讀取和存放編程程序。