一、引言
隨著新一輪工業革命的推進,全球正處于新一輪科技革命和產業變革的歷史交匯期,工業制造(OT)的智能化轉型正在讓現實與虛擬世界之間的界限變得越來越模糊。當生產過程和信息合二為一,要求IT和 OT深度融合,形成一個貫穿整個工業制造企業的技術架構。IT和OT的融合會幫助工業制造企業改善業務系統以及各部門之間的整體的信息流動,從而提升企業的運營水平。
OT被認為是現代智能工廠的支柱。它控制著工廠的基礎設施,并使工廠生產線正常運轉。對所有智能企業,從管理信息系統到客戶關系管理,一切都是在IT基礎架構上運行。自現代工業制造業開始以來,IT 和OT 就一直共存,但往往彼此獨立。然而,隨著工業物聯網 (IIoT )的出現,將網絡傳感器和相關軟件與復雜的物理機械結合在一起,物聯網 (IoT)正在模糊辦公室和車間工廠之間的界限,讓數據從設備層-控制層-信息層直至云端無縫對接,從而消散IT 和OT 之間的鴻溝,體現IT與OT融合。
以大數據、云計算、人工智能為代表的新一代信息技術與工業制造深度融合,工業制造加速由數字化向網絡化、智能化發展。IT與OT互聯互通,導致病毒、木馬、勒索軟件、黑客等針對工業生產控制系統攻擊變得更加方便,攻擊成本更加低廉。
二、國內外典型工控安全事件
近年來,國內外工業控制領域發生了眾多的網絡安全事件。
1.國外安全事件
2004年,美國某化工廠的一個DCS控制系統被震蕩波蠕蟲病毒通過連接在防火墻的445端口入侵,該系統因被感染而失去控制超過5小時。
2010年,伊朗布什爾核電站發生震網病毒事件。有關專家分析,震網事件是由美國軍方和以色列軍方共同策劃的一起針對伊朗布什爾核電站濃縮鈾進行的一次有組織、有計劃、有蓄謀的攻擊。利用社工,以及windows和西門子wincc 的漏洞,對西門子300系統PLC系統進行了邏輯炸彈攻擊,使得布什爾核電站離心機控制系統遭受破壞,導致核電站延期運行,損失難以估量。
Flame火焰病毒具有超強的數據攫取能力,不僅襲擊了伊朗的相關設施,還影響了整個中東地區。據報道,該病毒是以色列為了打聾、打啞、打盲伊朗空中防御系統、摧毀其控制中心而實施的高科技的網絡武器。以色列計劃還包括打擊德黑蘭所有通信網絡設施,包括電力、雷達、控制中心等。一旦感染了系統,該病毒就會實施一系列操作,如監聽網絡通信、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等,所有相關數據都可以遠程獲取。
2015年6月,波蘭航空公司的地面操作系統遭遇黑客攻擊,導致長達5個小時的系統癱瘓,至少10個班次的航班被迫取消,超過1400名旅客滯留。這是全球首次發生的航空公司操作系統被黑事件。
2015年烏克蘭電力部門感染的一款名為“BlackEnergy(黑暗力量)”的惡意軟件,至少有三個區域的電力系統感染,造成大規模停電,使得近一半的烏克蘭伊萬諾-弗蘭科夫斯克地區的家庭陷入黑暗。一種闡釋說這是具有政治動機的持續攻擊者采取的攻勢,旨在攻擊烏克蘭關鍵基礎設施,破壞該國穩定性。
瑞典指責俄羅斯政府2016年11月4日針對該國的空中交通管制基礎設施發動網絡攻擊。當天瑞典阿蘭達機場、維特國際機場、布魯瑪機場等多個機場不得不取消了國內及國際航班。雖然瑞典官員此前發表聲明稱這次事件或與太陽耀斑有關,但他們已暗中通知北約關于俄羅斯發起此次網絡攻擊的細節。
2020年2月,美國一家天然氣管道運營商遭勒索軟件攻擊。該勒索軟件成功加密了運營商IT和OT系統中的數據,導致相應的天然氣壓縮設備關閉。
2020年4月24日,研究人員在ABB System 800xA分布式控制系統(DCS)中發現了幾個嚴重漏洞,包括可用于遠程代碼執行、拒絕服務(DoS)攻擊和權限提升的漏洞。
2020年12月,伊朗黑客團伙貼出視頻,顯示自己已成功黑入以色列供水設施工業控制系統(ICS),目標是再生水蓄水池。工業網絡安全公司OTORIO發表文章稱,黑客侵入了直接連接互聯網的人機接口(HMI)系統,該系統毫無防護,沒有設置任何身份驗證。
2.國內安全事件
從2011年以來,國內工業企業也開始頻繁遭到攻擊。2011年吉林某電廠機組DCS系統感染W32/Conficker.worm.gen.A蠕蟲病毒。2017年“永恒之藍”、“WannaCry”勒索病毒全球爆發,我國各加油站、政府、高校以及電力等行業受到不同程度的攻擊。2018年臺積電WannaCry變種病毒,造成三大產線停擺三天,造成18億損失。2019年,我國在水利、石油石化、電力、鋼鐵、汽車制造以及其他關鍵制造業遭受到不同層次的WannaCry和挖礦病毒的攻擊,大多數都導致了企業的工業主機出現藍屏,反復重啟、甚至數據被加密等。
通過對近年國內外安全事件的梳理發現,主要在電力(發電和電網)、水利、交通、天然氣、石油石化以及關鍵工控等行業進行攻擊。因為這些行業屬于國家關鍵信息基礎設施,承載著重大的國家命脈,威脅著社會民生、國家安全。所以,這些攻擊,不單純是簡單的攻擊,而必然存在國家勢力參與其中。
三、分類分級管理
當前,以美國為首的西方國家,正在封鎖制裁其他國家高精尖技術的發展,達到其霸權目的;另一方面,工業控制系統本身存在著大量的漏洞和后門(工業控制系統在設計時,只考慮了系統的穩定性、實時性、魯棒性,犧牲了安全性),據CVE、CNVD等統計,西門子、施耐德、羅克韋爾、AB、ABB、艾默生、歐姆龍等占據首位。一旦這些漏洞和后門被病毒、木馬、勒索軟件甚至黑客、敵對勢力所利用必然導致嚴重安全事件。
在我國,由于工業控制系統基礎弱,大部分控制系統被國外壟斷,受制于人,國外廠商完全有能力、有手段對正在我國運行的工業控制系統進行遠程操控,或者獲取機密數據。再加上新基建下的工業互聯網的大力發展,必然導致工業控制系統的廣泛互聯,如果不進行安全有力的保障措施必然給國外的黑客組織、敵對勢力帶來攻擊的機會。
為了保障網絡安全,維護網絡空間主權和國家安全,促進經濟社會信息化健康發展,工業和信息化部會同工業互聯網專項工作組各單位,實施《工業互聯網發展行動計劃(2018-2020年)》,發布實施十余項落地性文件,重點提升工控安全態勢感知、安全防護和應急處置能力,促進產業創新發展,建立多級聯防聯動工作機制,為制造強國和網絡強國戰略建設奠定堅實基礎。
為深入貫徹習近平總書記對工業互聯網一系列重要指示精神,落實黨中央、國務院決策部署,進一步鞏固提升發展成效,更好地謀劃推進未來一個階段發展工作,工業互聯網專項工作組制定出臺了《工業互聯網創新發展行動計劃(2021-2023年)》(后稱《三年行動計劃》)。
《三年行動計劃》堅持以深化供給側結構性改革為主線,提升新型基礎設施支撐服務能力,拓展融合創新應用,深化商用密碼應用,增強安全保障能力。提出實施工業互聯網企業網絡安全分類分級管理制度,集中力量指導重要行業、重點企業建立安全防護能力,提升安全防護水平。開展分類分級管理,一是進一步貫徹指導意見有關要求,督促企業落實主體責任,健全完善部門協同、政府指導、企業主責的網絡安全管理體系;二是指導地方主管部門形成工業互聯網企業清單,建立健全定級核查、信息通報、監測預警、安全檢查等機制,集中力量指導管理重點企業;三是通過標準規范引領推動企業貫標達標,促進工業互聯網企業網絡安全防護能力提升。
分類分級管理著力打造“1+4”的制度體系。1項《工業互聯網企業網絡安全分類分級管理指南》(后稱《管理指南》),明確將工業互聯網企業分為聯網工業企業、平臺企業、標識解析企業等三類,結合企業所屬行業的重要性、企業規模、應用工業互聯網程度、網絡安全風險程度等因素,將企業分成三個級別,同時明確定級流程和安全管理、支持保障等方面的要求。4項《工業互聯網企業網絡安全分類分級防護規范》(后稱《安全規范》),針對聯網工業企業、平臺企業、標識解析企業以及工業互聯網數據四類對象,分別明確防護要點和不同級別的網絡安全防護要求。
四、構建工控網絡安全保障體系
2021年1月13日,工業和信息化部印發《開展工業互聯網企業網絡安全分類分級管理試點工作的通知》,啟動部署分類分級試點工作。結合各地工業互聯網發展實際,目前選定上海、江蘇、廣東等15個省(區、市)232家重點工業行業的重點企業參與試點。試點工作由各省工業和信息化主管部門與通信管理局共同組織實施,包括自主定級、定級核查、落實安全要求、試點工作總結四個階段,計劃10月底前完成試點工作。通過試點進一步完善《管理指南》,提升《安全規范》的科學性、有效性和指導性,形成可復制可推廣的安全管理模式。
試點過程中,工業互聯網企業需依照法律、法規和相關標準的要求,采取技術、管理等綜合措施,保障工業互聯網相關設備、控制、網絡、平臺、應用、數據等網絡安全,建立健全工控網絡安全保障體系(如下圖所示),有效防范應對網絡安全事件,提升工業互聯網企業網絡安全防護能力。
圖1 工控網絡安全保障體系
工業互聯網企業,從基礎支撐、基礎設施、安全保護、安全監管、管理保障及標準規范等多方面,構建工控網絡安全保障體系。以密碼技術、安全芯片等為基礎支撐,針對PLC、數據采集與監視控制系統(SCADA)、遠程信息處理器(T-BOX)等關鍵核心領域,加快密碼應用核心技術突破;保護工控數據與應用安全、計算環境安全及網絡與邊界安全;強化監測保障,加快工業互聯網安全態勢感知、在線監測、風險評估等技術手段建設;強化管理保障能力;加強工業互聯網密碼應用安全性評估能力建設,全方位增強工業互聯網企業安全保障能力,促進工控網絡安全產業發展壯大,為工業互聯網企業網絡安全保駕護航。
五、小結
從《管理指南》的實際落實過程來看,由于各類工業控制信息系統的應用場景各不相同,通常需要對重點生產環境進行足夠全面的了解,才能形成最終精準全面的安全保障體系需求,同時還需要考慮物理安全與信息安全的結合問題,因此具體實施往往是分階段進行的。從技術協同角度看,除了引入傳統IT網絡安全防護措施外,5G、區塊鏈、人工智能等新技術的發展勢必會不斷形成新的工控網絡安全保障體系建設方案。
