最近，參加了2018年黑龍江省工業(yè)信息安全專題培訓，震驚如下幾個案例。

案例一： 　　 　　2010年6月被發(fā)現(xiàn)的震網(wǎng)（Stuxnet）病毒，破壞了伊朗納坦茲的核設(shè)施，并最終使伊朗的布什爾核電站推遲啟動事件。 　　 　　震網(wǎng)（Stuxnet），是一種Windows平臺上的計算機蠕蟲，2010年6月首次被白俄羅斯安全公司VirusBlokAda發(fā)現(xiàn)，它的傳播是從2009年6月開始甚至更早。它是首個針對工業(yè)控制系統(tǒng)的蠕蟲病毒，利用西門子公司控制系統(tǒng)（SIMATIC WinCC/Step7）存在的漏洞感染數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA），能向可編程邏輯控制器（PLC）寫入代碼并將代碼隱藏。

該蠕蟲的可能目標為伊朗使用西門子控制系統(tǒng)的高價值基礎(chǔ)設(shè)施。[據(jù)報道，該蠕蟲病毒可能已感染并破壞了伊朗納坦茲的核設(shè)施，并最終使伊朗的布什爾核電站推遲啟動。

案例二： 　　 　　2012年，《紐約時報》報導，美國官員承認這個病毒是由美國國家安全局在以色列協(xié)助下研發(fā)，以奧林匹克網(wǎng)絡(luò)攻擊行動為計劃代號，目的在于阻止伊朗發(fā)展核武[1.維基百科]。

2016年1月6日，據(jù)英國《金融時報》報道，上周烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶家庭供電被迫中斷，這是有史以來首次導致停電的網(wǎng)絡(luò)攻擊，此次針對工控系統(tǒng)的攻擊無疑具有里程碑意義，引起國內(nèi)外媒體高度關(guān)注。

本次攻擊來自俄羅斯黑客組織，使用的惡意軟件被稱為BlackEnergy（黑暗力量）。

Black Energy入侵目標主機的過程，是黑客通過收集目標用戶郵箱，然后向其定向發(fā)送攜帶惡意文件的Spam郵件，疏于安全防范的用戶打開了帶宏病毒的Office文檔即可運行惡意安裝程序，注入系統(tǒng)關(guān)鍵進程svchost.exe（注入體main.dll），main.dll會開啟本地網(wǎng)絡(luò)端口，使用HTTPS協(xié)議主動連接外網(wǎng)主控服務(wù)器，一旦連接成功，開始等待黑客下發(fā)指令就可以下載其他黑客工具或插件[2.FREEBUF]。

案例三： 　　 　　臺積電突遭勒索病毒侵襲 預計三季度損失1.7億美元。

2018年8月3日晚間，臺灣媒體曝出，臺積電突遭電腦病毒感染。據(jù)稱，受感染的廠區(qū)包括竹科Fab 12、中科Fab 15、南科Fab 14等主要晶圓廠廠區(qū)的機臺。臺積電檢查發(fā)現(xiàn)，此次感染的病毒為“Wanna Cry”的一個變種，直接影響是，受感染后的電腦宕機或者重復開機。

上述三個簡明案例，揭示了工控系統(tǒng)安全問題已經(jīng)影響到我們的日常生活。比如說、電網(wǎng)供電、自來水供水、交通信號系統(tǒng)、樓宇電梯控制等等，都與工控系統(tǒng)密切相關(guān)，如果有人入侵到電梯控制系統(tǒng)中，那將是個可怕的事情。

所以，我們應該重視工業(yè)信息安全工作，配合國際關(guān)于工業(yè)控制系統(tǒng)信息安全行動計劃（2018——2020），自下而上的重點提升工控安全勢態(tài)感知、安全防護和應急處置能力。

上圖是以IT人員的視角看工控信息安全，圖中標識出4個重要防護點： 　　 　?、?企業(yè)內(nèi)網(wǎng)是病毒易于入侵的接口，通常是企業(yè)網(wǎng)物理或邏輯隔離，屬于邊界防護； 　　 　　② 互聯(lián)網(wǎng)是容易遭到攻擊、木馬及病毒入侵的入口，培訓會上工大天創(chuàng)研發(fā)總監(jiān)劉文躍多次強調(diào)隔離互聯(lián)網(wǎng)，如下表“SCADA”全網(wǎng)顯現(xiàn)數(shù)量（某區(qū)域工業(yè)系統(tǒng)設(shè)備接入互聯(lián)網(wǎng)情況）所示：

③ 開發(fā)環(huán)境、測試環(huán)境容易被攻擊者作為跳板，攻擊內(nèi)網(wǎng)。

據(jù)國家工業(yè)信息安全發(fā)展研究中心的李俊博士講，他曾經(jīng)評估過某工業(yè)互聯(lián)網(wǎng)平臺信息安全，發(fā)現(xiàn)其開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境互通，原廠技術(shù)人員解釋到他們開發(fā)完成后，經(jīng)過嚴格測試，按流程發(fā)布生產(chǎn)環(huán)境。李俊博士說，如果非法控制了你們對外的演示環(huán)境，基于此環(huán)境植入惡意代碼，隨著你們發(fā)布App時，發(fā)布到生產(chǎn)環(huán)境，將會怎么樣？聽到這里，原廠技術(shù)人馬上回去組織資源進行整改。

④ 生成環(huán)境中終端、服務(wù)器外設(shè)，例如USB接口，是很容易被利用侵入口，典型的案例如李俊博士講到伊朗“震網(wǎng)”病毒，據(jù)說是間諜把植入病毒的U盤放置到伊朗電廠附近，讓電廠工作人員撿到，就有機會了。

另外，國家工業(yè)信息安全發(fā)展中心高級工程師劉京娟講到，隨著2017年3月至12月，維基解密已持續(xù)泄露了共計24批CIA機密文件，其中大部分是網(wǎng)絡(luò)武器，大批網(wǎng)絡(luò)武器泄露降低工業(yè)系統(tǒng)攻擊門檻，包括：惡意程序、病毒、木馬、惡意程序遠程控制系統(tǒng)等等。

“互聯(lián)網(wǎng)”時代，以移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)為代表的信息技術(shù)在推動全球新一輪的技術(shù)革命的同時，也正在推動新一輪工業(yè)革命。

新一輪工業(yè)革命體現(xiàn)在2013年德國提出的工業(yè)4.0、2014年美國提出的工業(yè)互聯(lián)網(wǎng)，以及后來2015年的“中國制造2025”，在這樣的大趨勢下，工業(yè)系統(tǒng)建設(shè)重視發(fā)展，輕安全的現(xiàn)狀，將被打破，并促進組織機構(gòu)改革，工業(yè)系統(tǒng)信息安全由封閉轉(zhuǎn)向開放是堵不住了，互聯(lián)互通、信息共享已經(jīng)走在路上了。

工業(yè)信息安全將由重邊界防護向全流程監(jiān)管方向發(fā)展。 　　 　　工業(yè)生產(chǎn)環(huán)境，大部分還是處于隔離的狀態(tài)，即互聯(lián)互通的需求存在，也是需要在邊界建立強保護措施，例如電力的生產(chǎn)控制大區(qū)和管理信息大區(qū)的單向隔離要求達到或者接近物理隔離的水平、石化行業(yè)的數(shù)采網(wǎng)和信息網(wǎng)同樣增加了網(wǎng)閘進行隔離。這種措施確實是可以有效保障安全威脅因缺少邊界防護從辦公信息網(wǎng)滲透到生產(chǎn)網(wǎng)絡(luò)環(huán)境中，但也同時形成了企業(yè)人員認為隔離即是安全的固定思維，再加上生產(chǎn)環(huán)境中的針對信息安全的保障制度和保障措施的執(zhí)行缺失，工業(yè)控制系統(tǒng)“帶病工作”的現(xiàn)象極為普遍。企業(yè)為保障生產(chǎn)任務(wù)，又不能徹底解決安全問題，周而復始積累了大量的安全隱患。因此，從政府及行業(yè)監(jiān)管和企業(yè)自身安全需求的雙向驅(qū)動下，企業(yè)安全建設(shè)不會再停留在只重邊界防護建設(shè)的思想之上，同時工控安全防內(nèi)大于防外的認識會不斷完善，風險管理的體系會逐漸形成，企業(yè)的全流程安全監(jiān)管成為主要的保障措施。

按工業(yè)控制系統(tǒng)信息安全行動計劃（2018——2020）部署，其中，“一庫一網(wǎng)三平臺”包括： 　　“一網(wǎng)”，是指建設(shè)全國工控安全監(jiān)測網(wǎng)絡(luò)； 　　“一庫”，是指工控安全應急資源庫； 　　“三平臺”，是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。 　　 　　結(jié)合當前智慧油田研發(fā)工作，工業(yè)物聯(lián)網(wǎng)(IIoT)帶來了更大安全挑戰(zhàn)，例如采油生產(chǎn)現(xiàn)場，涉及到Zigbee、RTU、單片機、PLC等設(shè)備，以及Modbus通訊協(xié)議等等。 　　 　　現(xiàn)代化運營、生產(chǎn)力提升和操作效率提高的壓力，促使研發(fā)企業(yè)、廠商紛紛引入互聯(lián)網(wǎng)技術(shù)和產(chǎn)品，尤其是IIoT。然而，連接的增加，抹去了工業(yè)網(wǎng)絡(luò)與IT網(wǎng)絡(luò)之間一貫的物理隔離。很多IIoT技術(shù)缺乏防護，不能確保設(shè)備不被黑客利用。因此，這些設(shè)備很可能將ICS暴露在大量網(wǎng)絡(luò)威脅和漏洞利用嘗試之下。 　　 　　例如工業(yè)云平臺架構(gòu)在傳統(tǒng)三層云架構(gòu)基礎(chǔ)上，將敏捷交付、DevOps、微服務(wù)架構(gòu)、組織變革等融為一體，預置了豐富的公共服務(wù)，打造了獨特的云平臺+內(nèi)容服務(wù)能力，基于PaaS云平臺的大數(shù)據(jù)服務(wù)能夠充分發(fā)揮云的彈性、敏捷、高效的應用優(yōu)勢。同時，其也面臨工業(yè)控制信息安全更大的挑戰(zhàn)。 　　 　　當前的解決方案可以參照工業(yè)控制系統(tǒng)信息安全行動計劃（2018——2020），先管理后技術(shù)，從管理入手，成效快、成本低。比如行動計劃中“五大能力提升行動”，包括：安全管理、態(tài)勢感知、安全防護、應急處置、產(chǎn)業(yè)發(fā)展。如何做？行動計劃中給出了《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》，通過自評及專業(yè)機構(gòu)評估，來提高工業(yè)信息安全能力。 　　 　　作為IIot及工業(yè)安全研發(fā)企業(yè)，需要加快安全技術(shù)提升，滿足當前安全態(tài)勢需求，例如某科技公司提出的七種武器：一是安全軟件選擇與管理、二是物理和環(huán)境安全防護、三是配置和補丁管理、四是身份認證、五是邊界安全防護、六是遠程訪問安全、七是安全監(jiān)測。 　　 　　經(jīng)過這次培訓，全新的認識到“互聯(lián)網(wǎng)”能為工業(yè)控制系統(tǒng)帶來巨大創(chuàng)造力和生產(chǎn)力的同時，也將引入更加復雜、嚴峻的安全問題。打破傳統(tǒng)隔離、防、堵的思想和方法，建立以安全能力提升、信息共享、建立安全監(jiān)測網(wǎng)絡(luò)，以及應急處理和應急資源庫所形成全流程管理體系。

據(jù)工業(yè)和信息化部網(wǎng)站9月17日消息，2018年9月16日，2018年工業(yè)信息安全技能大賽決賽在成都市召開。工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司巡視員李穎出席比賽開幕式并致辭。

李穎指出，當前工業(yè)信息安全保障能力建設(shè)最大的瓶頸是人才缺乏，亟需一批既懂信息安全又熟悉工業(yè)控制系統(tǒng)的復合型人才。下一步，工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司將按照黨中央國務(wù)院部署，深入實施工業(yè)控制系統(tǒng)信息安全三年行動計劃，鼓勵各領(lǐng)域加強合作，聯(lián)合培養(yǎng)工業(yè)信息安全專業(yè)人才。

本次比賽吸引了來自全國高等院校、科研機構(gòu)及企業(yè)的隊伍參賽，選拔出了一批優(yōu)秀的工業(yè)信息安全人才，為深入開展工業(yè)信息安全支撐體系建設(shè)奠定了人才基礎(chǔ)。

（來源：中國證券網(wǎng)）