云曉春（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）

隨著“互聯(lián)網(wǎng)+”“中國制造2025”國家戰(zhàn)略的提出，我國“兩化”融合的步伐正在不斷加快，網(wǎng)絡(luò)空間的邊界向關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域不斷延展，工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)也因此正面臨著嚴重的網(wǎng)絡(luò)安全威脅。

圖1 工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)正面臨著嚴重的網(wǎng)絡(luò)安全威脅

1 網(wǎng)絡(luò)安全新形勢

目前出現(xiàn)的網(wǎng)絡(luò)安全威脅可以歸結(jié)到兩個方面。第一，IT技術(shù)的廣泛應(yīng)用帶來更多的安全隱患。工控、物聯(lián)網(wǎng)領(lǐng)域越來越多地使用通用操作系統(tǒng)、數(shù)據(jù)庫和服務(wù)器等IT類產(chǎn)品，使攻擊者能夠輕易地利用現(xiàn)有系統(tǒng)的安全漏洞實現(xiàn)入侵、攻擊。如震網(wǎng)病毒正是利用Windows操作系統(tǒng)的多個漏洞實施攻擊。第二，全方位的開放互聯(lián)增加更多的攻擊平面。工控、物聯(lián)網(wǎng)系統(tǒng)可以通過互聯(lián)網(wǎng)直接或間接地訪問、管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的雙向信息交互成為常態(tài)。開放互聯(lián)趨勢使得網(wǎng)絡(luò)攻擊平面得到極大的拓展，相應(yīng)的安全防御邊界也需要進一步擴展。

圖2 近幾年來比較典型的網(wǎng)絡(luò)安全事件

2010年成功攻擊伊朗核設(shè)施的Stuxnet病毒和2016年攻擊烏克蘭電力系統(tǒng)的BlackEnergy惡意代碼，都是對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，是近幾年來比較典型的網(wǎng)絡(luò)安全事件，但其中BlackEnergy惡意代碼事件造成更大的震動。

為什么兩次的攻擊事件會造成不同的反響呢？首先需要對兩次事件進行一個全方位比較。

圖3 兩次網(wǎng)絡(luò)攻擊事件的全方位比較

可以看出，這兩次攻擊的目標都是針對關(guān)鍵國家基礎(chǔ)設(shè)施，兩次攻擊也都是通過互聯(lián)網(wǎng)對于現(xiàn)實空間的物理基礎(chǔ)設(shè)施發(fā)動攻擊的。但在2010年的Stuxnet病毒事件出現(xiàn)以后，大家都只是覺得這是一個高水平的、由國家長時間謀劃并采用高精尖的技術(shù)才能產(chǎn)生的攻擊事件，難度系數(shù)大，并不認為會經(jīng)常發(fā)生，但是2016年攻擊烏克蘭電力系統(tǒng)事件被稱為是BlackEnergy惡意代碼的事件，其中所展現(xiàn)出來的攻擊水平就并不是那么高明，所使用的是普通病毒，利用電廠跟互聯(lián)網(wǎng)的連接，用普通的方式發(fā)動攻擊，同樣也造成嚴重的影響。因此我們可以得出這樣一個結(jié)論，目前對于關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，已經(jīng)不只是高端技術(shù)的攻擊，一般性的、普遍意義上的攻擊，也能夠?qū)﹃P(guān)鍵信息基礎(chǔ)設(shè)施造成重大的危害。

基于這些原因，對于網(wǎng)絡(luò)安全對抗的發(fā)展趨勢，我們也可以得出以下三個觀點：

第一，針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防研究已然成為各國政府、安全界乃至暴恐組織的關(guān)注重點，相關(guān)的攻防對抗事件正在持續(xù)增加。美俄兩個主要大國均已具備很強的針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊能力，并在持續(xù)增強其攻擊能力。無論是從攻擊效果、攻擊成本，還是攻擊隱蔽性乃至攻擊可控性看，針對國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將有可能逐步取代傳統(tǒng)的軍事戰(zhàn)爭，成為各國政府的優(yōu)先選擇手段之一。與傳統(tǒng)的物理攻擊方式相比，網(wǎng)絡(luò)攻擊對攻防雙方具有明顯的不對稱性（遠程、普適、隱匿、經(jīng)濟），未來必然成為暴恐組織的優(yōu)先選擇手段之一。

第二，對絕大多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施而言，聯(lián)網(wǎng)與否都不是保證其安全的決定條件。特別是隨著互聯(lián)網(wǎng)與信息技術(shù)的應(yīng)用不斷拓展，開放互聯(lián)是大勢所趨，它們也因此將面臨更為嚴峻的安全威脅。

第三，對絕大多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施而言，SCADA系統(tǒng)（HMI）處于管理域與控制域的結(jié)合點，PLC系統(tǒng)是工業(yè)控制的核心設(shè)備裝置，它們本身缺乏必要的安全機制，同時又缺乏安全防護措施，成為網(wǎng)絡(luò)攻擊的主要目標。

2 安全保障新要求

新時代、新形勢、新任務(wù)也帶來安全保障的新要求。

（1）安全意識和責(zé)任。目前面臨的網(wǎng)絡(luò)安全問題，很多是意識問題，需要樹立正確的網(wǎng)絡(luò)安全觀，不斷強化網(wǎng)絡(luò)安全意識，在頭腦中真正筑起網(wǎng)絡(luò)安全的“防火墻”，“只重發(fā)展輕安全、重建設(shè)輕防護”“關(guān)起門來搞更安全，不愿立足開放環(huán)境搞安全”“網(wǎng)絡(luò)安全是中央的事、專業(yè)部門的事，同自己無關(guān)”這些看法都是不正確的。

同時，要落實關(guān)鍵信息基礎(chǔ)設(shè)施防護責(zé)任制度，行業(yè)、企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運營者承擔(dān)主體防護責(zé)任，主管部門需履行好監(jiān)管責(zé)任。在網(wǎng)絡(luò)安全檢查中可以發(fā)現(xiàn)，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護水平不高，物理隔離防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易和教育等信息可被竊取。一些重要工控企業(yè)對外國技術(shù)依賴嚴重，生產(chǎn)控制系統(tǒng)由外國公司建設(shè)，網(wǎng)絡(luò)安全配置由外方人員操控，企業(yè)內(nèi)部人員甚至不掌握安全設(shè)備配置和管理權(quán)限。

（2）檢測認證與審查。2017年5月，網(wǎng)信辦出臺《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，其中第二條規(guī)定：關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當經(jīng)過網(wǎng)絡(luò)安全審查。2017年6月四部門發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，明確指出：列入該目錄的設(shè)備和產(chǎn)品，應(yīng)當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或安全檢測符合要求后，方可銷售或提供。同月，四部門還發(fā)布了《承擔(dān)安全認證和安全檢測任務(wù)機構(gòu)名錄（第一批）》。

結(jié)合上位文件和當前的情況，對于如何做好檢測認證與審查，這里提三點建議:

①對于關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域采用的核心設(shè)備與裝置，應(yīng)實施例行的入網(wǎng)安全檢測與認證，必要時進行全面的網(wǎng)絡(luò)安全審查，以掌握其安全性狀況；②相關(guān)的網(wǎng)絡(luò)安全檢測與認證，其檢測標準、方法和工具必須由我方完全自主可控；③通過安全檢測與認證，建立統(tǒng)一的國家漏洞信息共享平臺。

（3）安全巡檢與評估。習(xí)近平總書記在“4·19”講話中指出：“要加強網(wǎng)絡(luò)安全檢查，摸清家底，明確保護范圍和對象，及時發(fā)現(xiàn)隱患、修補漏洞，做到關(guān)口前移，防患于未然”。

按照總書記的要求，這里提兩點建議：

①上線前要進行風(fēng)險評估。對于有聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）需求的關(guān)鍵信息基礎(chǔ)設(shè)施，須具備必要的網(wǎng)絡(luò)安全風(fēng)險防控能力，應(yīng)對其進行上線前的風(fēng)險評估。評估主要可以從安全防護措施和安全應(yīng)急能力兩個方面進行。

②做好運行中的安全巡檢。對已聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）的關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)對其開展不定期地遠程巡檢或現(xiàn)場檢查，以全面掌握國家關(guān)鍵信息基礎(chǔ)設(shè)施的整體安全性狀況。

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）在對全國范圍內(nèi)電力、煤炭、水務(wù)、燃氣、供熱、消防、電梯、視頻監(jiān)控等多個行業(yè)的1500多個聯(lián)網(wǎng)生產(chǎn)運行系統(tǒng)或云平臺開展遠程安全巡檢中發(fā)現(xiàn)，超過20%存在嚴重的網(wǎng)絡(luò)安全風(fēng)險與隱患。

（4）態(tài)勢感知與預(yù)警。習(xí)近平總書記在“4·19”講話中指出：“聰者聽于無聲，明者見于未形”。感知網(wǎng)絡(luò)安全態(tài)勢是做好網(wǎng)絡(luò)安全工作的基礎(chǔ)。如果對網(wǎng)絡(luò)攻擊感知不到位、預(yù)警不及時、行動不統(tǒng)一，反射弧太長，就會錯失良機。

因此，需要在三方面著手加強：

①加強網(wǎng)絡(luò)安全信息的統(tǒng)籌機制、手段和平臺的建設(shè)。把政府和企業(yè)、國內(nèi)和國外的安全威脅、風(fēng)險情況和事件信息匯集起來，綜合分析、系統(tǒng)研判，既掌握網(wǎng)絡(luò)空間當前狀態(tài)，又分析下一步動態(tài)，為科學(xué)決策指揮提供依據(jù)。

②加強網(wǎng)絡(luò)安全事件應(yīng)急指揮能力的建設(shè)。實現(xiàn)對網(wǎng)絡(luò)安全重大事件的統(tǒng)一協(xié)調(diào)指揮和響應(yīng)處置。

③加強網(wǎng)絡(luò)安全主動發(fā)現(xiàn)和監(jiān)測預(yù)警的能力建設(shè)。通過在網(wǎng)絡(luò)空間開展聯(lián)網(wǎng)設(shè)備、組件及系統(tǒng)的探測發(fā)現(xiàn)，有助于我們提前發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的關(guān)鍵信息基礎(chǔ)設(shè)施及其組件。通過在互聯(lián)網(wǎng)關(guān)口對工控及物聯(lián)網(wǎng)通信流量的監(jiān)測分析，有助于及時發(fā)現(xiàn)境外國家或組織對我國關(guān)鍵信息基礎(chǔ)設(shè)施所實施的探測、滲透、竊密或破壞等惡意行為。

（5）數(shù)據(jù)跨境監(jiān)管。國家的數(shù)據(jù)安全問題越來越突出，特別是重要數(shù)據(jù)出境的監(jiān)管變得愈發(fā)重要。監(jiān)測發(fā)現(xiàn)是關(guān)鍵，根據(jù)監(jiān)測結(jié)果來進行信息通報和違規(guī)查處。CNCERT目前已具備對生物醫(yī)療領(lǐng)域三大類數(shù)據(jù)（生物基因、醫(yī)學(xué)影像、身份識別）的識別與監(jiān)測能力。

（6）安全保障體系。如何強化不同地區(qū)、不同行業(yè)、不同領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施之間的威脅信息共享，加強協(xié)同應(yīng)對，著力構(gòu)建全國一體化的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，這是一個值得思考也必須思考的問題。

圖4

經(jīng)過數(shù)年來的研究和實踐，可以考慮如下模式：

①建立行業(yè)應(yīng)急支撐隊伍。面向電力、石化、交通等不同關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，從安全廠商中評選技術(shù)實力強、社會責(zé)任感強的企業(yè)組成應(yīng)急支撐隊伍。

②建設(shè)預(yù)警通報機制。面向產(chǎn)品制造商和關(guān)鍵信息基礎(chǔ)設(shè)施運營企業(yè)提供工控及物聯(lián)網(wǎng)產(chǎn)品漏洞、惡意代碼、安全事件、行業(yè)安全態(tài)勢等的信息共享與預(yù)警通報。

③完善應(yīng)急處置機制。當關(guān)鍵信息基礎(chǔ)設(shè)施運營企業(yè)發(fā)生重大網(wǎng)絡(luò)安全事件時，提供相關(guān)場景下的有效處置流程，必要時支撐開展實地取證分析和網(wǎng)絡(luò)系統(tǒng)恢復(fù)。

④加強應(yīng)急演練。幫助關(guān)鍵信息基礎(chǔ)設(shè)施運營企業(yè)構(gòu)建復(fù)雜工業(yè)網(wǎng)絡(luò)場景下應(yīng)急演練環(huán)境并組織攻防對抗演練、安全技能培訓(xùn)。

3 安全研究成果

近年來，基于CNCERT自主研發(fā)的分布式隱匿探測平臺，一直針對聯(lián)網(wǎng)設(shè)備及系統(tǒng)進行探測掃描，在全球IP地址空間，對聯(lián)網(wǎng)的工控系統(tǒng)及物聯(lián)網(wǎng)系統(tǒng)和設(shè)備進行掃描探測；并通過構(gòu)建設(shè)備指紋庫、全球IP定位庫和產(chǎn)品漏洞信息庫，可以識別生產(chǎn)廠商、產(chǎn)品型號及版本和所在地理位置，進而匹配設(shè)備漏洞信息，掌握聯(lián)網(wǎng)系統(tǒng)和設(shè)備的整體安全態(tài)勢。

圖5

平臺通過對全球網(wǎng)絡(luò)空間的IP地址進行探測掃描，重點對工控及物聯(lián)網(wǎng)系統(tǒng)和設(shè)備進行發(fā)現(xiàn)、識別和漏洞關(guān)聯(lián)。平臺所使用的系統(tǒng)支持對50多類主流通信協(xié)議（工控和物聯(lián)網(wǎng)）展開探測，支持識別80多個廠商產(chǎn)品，這些產(chǎn)品范圍覆蓋PLC、HMI、工業(yè)交換機、SCADA系統(tǒng)、攝像頭、路由器、DTU等40余大類產(chǎn)品。通過系統(tǒng)探測結(jié)果自動與漏洞庫關(guān)聯(lián)，匹配設(shè)備相關(guān)漏洞信息，識別潛在安全威脅。目前已發(fā)現(xiàn)全球2.2億余個網(wǎng)站， 1200萬個視頻攝像設(shè)備， 790萬余臺路由設(shè)備，9.1萬個工控設(shè)備。

目前，通過對國內(nèi)聯(lián)網(wǎng)工業(yè)控制設(shè)備及系統(tǒng)的探測掃描，發(fā)現(xiàn)國內(nèi)聯(lián)網(wǎng)工控設(shè)備共計14728臺，2018上半年CNCERT新增發(fā)現(xiàn)暴露設(shè)備1138臺，其中，數(shù)量排名前5位的省份為：臺灣（652）、香港（115）、江蘇（41）、浙江（39）、黑龍江（37），涉及Siemens、Schneider、Moxa等多家廠商生產(chǎn)的工控產(chǎn)品，大量設(shè)備存在拒絕服務(wù)、信息泄露、緩沖區(qū)溢出等高危漏洞。

圖6 新增暴露設(shè)備的全國分布

圖7 新增暴露設(shè)備的漏洞類型

另外，針對國內(nèi)的聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)云平臺的巡查中， CNCERT檢測到國內(nèi)聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)云平臺（含WEB監(jiān)控管理系統(tǒng)）共計1968個，其中2018上半年新增發(fā)現(xiàn)1016個，涉及消防、供水、醫(yī)療、基因檢測行業(yè)。

圖8 新增平臺的行業(yè)分類和比例

主要分布在北京、浙江和廣東等信息產(chǎn)業(yè)發(fā)達省份；通過安全巡檢，發(fā)現(xiàn)有超過23%的系統(tǒng)存在嚴重的安全漏洞，易被入侵。

圖9 新增平臺的全國分布

目前，CNCERT自主研發(fā)的工控物聯(lián)網(wǎng)安全監(jiān)測平臺通過對互聯(lián)網(wǎng)關(guān)口流量進行大數(shù)據(jù)分析，可實現(xiàn)：

（1） 通聯(lián)狀況監(jiān)測：對 Modbus、S7Comm、Ethernet/IP等數(shù)十種工控物聯(lián)網(wǎng)協(xié)議進行監(jiān)測和設(shè)備畫像，對跨省、跨境協(xié)議通信等數(shù)據(jù)進行分析，綜合研判設(shè)備的在線規(guī)模和對外通聯(lián)情況；

（2）安全態(tài)勢監(jiān)測：對工控物聯(lián)網(wǎng)系統(tǒng)遭到的探測掃描、滲透竊密、僵尸木馬等各類攻擊行為的實時檢測、分析、溯源和總體呈現(xiàn)，快速準確地感知惡意代碼、異常行為、未知威脅；

（3）跨境數(shù)據(jù)監(jiān)測：對目標領(lǐng)域中重要數(shù)據(jù)的跨境傳輸進行實時監(jiān)測，以發(fā)現(xiàn)違規(guī)違法行為。

圖10 基于流量的工控物聯(lián)網(wǎng)設(shè)備畫像

在對跨境異常通聯(lián)行為監(jiān)測中，2018上半年累計監(jiān)測到與Modbus、S7Comm等工業(yè)協(xié)議相關(guān)的跨境通聯(lián)行為3632777次，涉及27688個境外IP地址，分布于全球91個國家或地區(qū)。發(fā)現(xiàn)隸屬于Shadowserver、Shodan等機構(gòu)的36個境外IP，對境內(nèi)開展長期、持續(xù)、大范圍的掃描探測；發(fā)現(xiàn)大量來自境外的IP，針對根云、航天云網(wǎng)等工業(yè)云平臺發(fā)起DDoS、HTTP和WEB CGI等多種類型的網(wǎng)絡(luò)攻擊。

圖11 工控相關(guān)的跨境通聯(lián)行為

圖12 針對工業(yè)云平臺的攻擊行為

大量的基因數(shù)據(jù)出境行為也在基因數(shù)據(jù)跨境傳輸監(jiān)測中被發(fā)現(xiàn)，從2017年5月至今，共發(fā)現(xiàn)4391家境內(nèi)單位疑似發(fā)生基因數(shù)據(jù)出境行為，包括高等院校和科研院所（占比19%）、醫(yī)療機構(gòu)（占比9%）和生物技術(shù)企業(yè)（占比72%）。我國基因數(shù)據(jù)流向境外6個大洲、229個國家和地區(qū)，跨境傳輸925萬余包次；涉及境內(nèi)IP地址近358萬個，境外IP地址近62萬個。

圖13