【儀表網(wǎng) 行業(yè)聚焦點(diǎn)】國(guó)務(wù)院“互聯(lián)網(wǎng)＋”行動(dòng)計(jì)劃的推出旨在推動(dòng)生產(chǎn)制造模式的變革，產(chǎn)業(yè)的組織創(chuàng)新以及產(chǎn)業(yè)結(jié)構(gòu)升級(jí)。傳統(tǒng)產(chǎn)業(yè)在得到信息技術(shù)的融合和滲透后，取得巨大提升的同時(shí)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全也已成為非常值得關(guān)注的問題。

隨著網(wǎng)絡(luò)和信息技術(shù)滲透到各個(gè)傳統(tǒng)的行業(yè)，使得整個(gè)傳統(tǒng)行業(yè)的基礎(chǔ)設(shè)施就像有了神經(jīng)系統(tǒng)一樣，能夠進(jìn)行遠(yuǎn)程的智能化控制和操作。傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)技術(shù)相結(jié)合就形成了物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、信息物理系統(tǒng)、智慧城市等一些新的概念，但是他們的核心還是網(wǎng)絡(luò)互連。

工業(yè)控制系統(tǒng)安全問題緊迫

在網(wǎng)絡(luò)互連的大背景下，工業(yè)控制系統(tǒng)的互連已經(jīng)成為不可避免的趨勢(shì)?；ミB一方面可以提高生產(chǎn)力，提升創(chuàng)新能力，減少工業(yè)能源及資源消耗，助力產(chǎn)業(yè)模式轉(zhuǎn)型升級(jí)，另一方面也會(huì)因?yàn)榛ヂ?lián)而誘發(fā)一系列網(wǎng)絡(luò)安全問題，工業(yè)控制系統(tǒng)一直面臨著來自內(nèi)部和外部的各種惡意病毒的攻擊。目前，工業(yè)控制系統(tǒng)遭受的網(wǎng)絡(luò)攻擊已經(jīng)成為我們所面臨的嚴(yán)重的國(guó)家安全挑戰(zhàn)之一。

工業(yè)控制系統(tǒng)設(shè)計(jì)之初是為了完成各種實(shí)時(shí)控制功能，并沒有考慮到安全防護(hù)方面的問題。現(xiàn)在他們都暴露在互聯(lián)網(wǎng)上，這給他們所控制的比如像關(guān)鍵基礎(chǔ)設(shè)施，重要系統(tǒng)等都帶來了眾多的風(fēng)險(xiǎn)和隱患。

工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所從2012年開始，持續(xù)跟蹤、監(jiān)測(cè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，也發(fā)現(xiàn)了大量的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)漏洞，并且向主管部門通報(bào)了多個(gè)地區(qū)的多起關(guān)鍵基礎(chǔ)設(shè)施高危網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，涉及的行業(yè)包括能源、市政供水、供氣和供熱等。根據(jù)我們對(duì)整個(gè)漏洞的分析可以發(fā)現(xiàn)，有87%的漏洞是可以被來遠(yuǎn)程利用的。從漏洞的類型來看，身份驗(yàn)證的漏洞數(shù)量多，只要具有初步水平的網(wǎng)絡(luò)攻擊者就可以通過互聯(lián)網(wǎng)來獲得訪問工業(yè)控制系統(tǒng)設(shè)備和系統(tǒng)的一些管理員權(quán)限，并且這些漏洞的潛在威脅正在不斷加大。

近幾年，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件頻發(fā)，由于工業(yè)控制系統(tǒng)安全涉及國(guó)計(jì)民生，一旦遭到破壞，危害將十分嚴(yán)重。例如，澳大利亞馬盧奇污水處理廠非法入侵事件，造成了100萬公升的污水未經(jīng)處理就直接經(jīng)引水渠排入了自然水系，造成了嚴(yán)重的環(huán)境污染。德國(guó)境內(nèi)的鋼鐵廠在去年底遭遇一次網(wǎng)絡(luò)勢(shì)力等網(wǎng)絡(luò)打擊的重要目標(biāo)，而這些對(duì)我們國(guó)家的安全已造成了巨大的威脅。

根據(jù)研究發(fā)現(xiàn)，當(dāng)前絕大部分的工業(yè)控制系統(tǒng)所使用的工業(yè)控制協(xié)議是沒有經(jīng)過任何的加密、認(rèn)證等安全機(jī)制。大部分暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)是可以被接遠(yuǎn)程讀取并修改敏感數(shù)據(jù)，控制其生產(chǎn)過程的。例如，我們?cè)诠ぷ髦邪l(fā)現(xiàn)，某縣的農(nóng)村飲用水安全監(jiān)測(cè)平臺(tái)，盡管在其主界面上有個(gè)登錄按鈕，但是系統(tǒng)并不要求必須通過這個(gè)登錄按鈕來輸入用戶名和密碼，而是直接通過打開菜單的選項(xiàng)選擇就可以到達(dá)要進(jìn)入的畫面，整個(gè)系統(tǒng)的訪問控制形同虛設(shè)。另外，我們?cè)趯?duì)通訊報(bào)文進(jìn)行分析時(shí)發(fā)現(xiàn)，報(bào)文整個(gè)是以明文的形式在進(jìn)行傳輸，從報(bào)文中可以直接讀取協(xié)議的名稱，設(shè)備的類型，用戶名、密碼等敏感信息。此外，目前工業(yè)控制系統(tǒng)聯(lián)網(wǎng)中大量存在一種公網(wǎng)映射現(xiàn)象。許多工業(yè)控制系統(tǒng)的運(yùn)營(yíng)單位認(rèn)為，將設(shè)備接入內(nèi)網(wǎng)就已經(jīng)與外網(wǎng)隔離了，就是安全的。然而在他們對(duì)路由器設(shè)置的時(shí)候，又把內(nèi)網(wǎng)的設(shè)備在公網(wǎng)中做了一個(gè)映射，直接導(dǎo)致內(nèi)網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)上，整個(gè)過程如同掩耳盜鈴。

　工業(yè)控制系統(tǒng)在線監(jiān)測(cè)平臺(tái)建設(shè)

面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，以及工業(yè)控制系統(tǒng)自身的脆弱性，我們急需了解到底有多少數(shù)量的工業(yè)控制系統(tǒng)暴露在互聯(lián)網(wǎng)中，有哪些行業(yè)、哪些地區(qū)的工業(yè)控制系統(tǒng)暴露在互聯(lián)網(wǎng)中，并且這些暴露在互聯(lián)網(wǎng)中的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)到底有多大？因此對(duì)工業(yè)控制系統(tǒng)在線監(jiān)測(cè)能力的建設(shè)也就迫在眉睫。

為了解決前面提到的這些問題，許多國(guó)家都非常重視工業(yè)控制系統(tǒng)在線監(jiān)測(cè)能力。自2008年起，美國(guó)國(guó)土安全部通過ProjectShine項(xiàng)目，搜索連接在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備及關(guān)鍵信息基礎(chǔ)設(shè)施，截止2012年，已經(jīng)收集了范圍內(nèi)超過220萬條數(shù)據(jù)，并確定其中7200個(gè)為美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施。除了美國(guó)，其他一些西方發(fā)達(dá)國(guó)家，如英國(guó)等，也都開發(fā)了自己的工業(yè)控制系統(tǒng)搜索引擎來掌握和監(jiān)測(cè)本國(guó)和其他國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施。

2013年初，工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所開始開展重要控制系統(tǒng)在線搜索監(jiān)測(cè)工作，逐步建設(shè)了重要控制系統(tǒng)在線監(jiān)測(cè)平臺(tái)，對(duì)連接在互聯(lián)網(wǎng)上的重要工業(yè)控制系統(tǒng)進(jìn)行安全監(jiān)測(cè)以及預(yù)警，現(xiàn)已初步形成了對(duì)重要工業(yè)控制系統(tǒng)的在線監(jiān)測(cè)能力。在總結(jié)我國(guó)重要工業(yè)控制系統(tǒng)基礎(chǔ)情況的基礎(chǔ)上，工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所自主研發(fā)了重要工業(yè)控制系統(tǒng)在線監(jiān)測(cè)預(yù)警平臺(tái)，開發(fā)了工業(yè)控制系統(tǒng)的在線搜索引擎。平臺(tái)通過持續(xù)掃描互聯(lián)網(wǎng)，識(shí)別出符合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)指紋特征的IP，搜索暴露在互聯(lián)網(wǎng)上的重要工業(yè)控制系統(tǒng)的基本信息。為了將來更好地部署，我們還研發(fā)了平臺(tái)的硬件化產(chǎn)品。

目前在線監(jiān)測(cè)預(yù)警平臺(tái)監(jiān)測(cè)的對(duì)象包括：工業(yè)控制設(shè)備：PLC、DCS、RTU等；系統(tǒng)主機(jī)及服務(wù)器：工程師站、操作員站、數(shù)據(jù)庫(kù)；應(yīng)用軟件：SCADA軟件、HMI軟件、MES管理系統(tǒng)軟件；智能設(shè)備：如現(xiàn)在智慧城市中用到的智能儀器儀表設(shè)備、嵌入式設(shè)備、視頻監(jiān)控設(shè)備。還可以監(jiān)測(cè)一些工業(yè)網(wǎng)絡(luò)設(shè)備：路由器、工業(yè)防火墻、工業(yè)網(wǎng)閘等。

經(jīng)過近3年的工作，監(jiān)測(cè)平臺(tái)取得了一些階段性的成果。目前平臺(tái)已經(jīng)搜集了十余種主流工控專有協(xié)議及工控專用的網(wǎng)絡(luò)端口；掌握了國(guó)內(nèi)外工業(yè)控制系統(tǒng)及設(shè)備的基礎(chǔ)信息、分布情況和發(fā)展趨勢(shì)；提高了我國(guó)重要工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的“可發(fā)現(xiàn)”能力；幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)單位提高工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力；提供工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)與感知預(yù)警的支撐。