全球工業領域網絡安全態勢簡析

劉曉曼 吳詩雨

1 中國信息通信研究院 北京 100191

2 工業互聯網安全技術試驗與測評工業和信息化部重點實驗室 北京 100191

引言

近年來，我國加速推動工業數字化轉型，并已取得顯著成績。安全作為發展的重要前提和基礎，做好工業領域網絡安全保障體系建設工作至關重要，關乎企業、行業、產業各層面健康有序發展，對推動國家數字經濟高質量發展意義重大[1]。

1 全球工業領域網絡安全事件特點簡析

全球工業領域安全形勢依然嚴峻，結合今年以來相關安全事件發生的領域、攻擊的方式、造成的影響等，總結出如下四大特點。

1)瞄準石油等重要工業領域發起強勢攻擊，供應鏈安全受到嚴重威脅。

2022年初，德國主要燃料儲存供應商Oiltanking GmbH Group遭受網絡攻擊，可能造成燃油供應中斷[2]。2月，豐田一家主要供應商受到網絡攻擊，其零部件供應管理系統陷入停頓，導致豐田日本境內14家工廠的28條生產線暫停一天。

2)工業控制系統、工業設備等存在安全漏洞，極易被攻擊者遠程操控。

2月初，全球領先網絡解決方案供應商思科發現美國Sealevel Systems公司的SsaConnect物聯網邊緣設備存在多個嚴重漏洞，可能允許攻擊者進行中間人攻擊或執行遠程代碼。3月，美國參數技術公司PTC披露供應鏈漏洞，這些漏洞可能影響ATM、醫療和物聯網設備[3]。3月，研究發現俄羅斯公司Tekon.ru制造的樓宇控制器存在嚴重安全漏洞，數百個俄羅斯樓宇控制器可被遠程入侵。4月初，工業巨頭ABB網絡接口模塊中存在嚴重漏洞使工業系統面臨DDos攻擊。

3)勒索軟件仍然是重大安全威脅，叫停業務系統運行帶來不可估量的損失。

3月，美國聯邦調查局發布警報，勒索軟件組織RangnarLocker攻擊了10個關鍵基礎設施部門中至少52個實體，包括能源、信息技術和制造業的組織。3月，美國FBI發布關于勒索團伙AvosLocker攻破美國多個關鍵基礎設施的通告，包括但不限于金融服務行業、制造行業和政府部門等[4]。5月，印度第二大航司香料航空遭勒索軟件攻擊，內部系統受影響離線，導致多個航班延誤數小時，大量乘客滯留機場。

4)工業領域數據安全泄露事件接連出現，敏感數據重要數據丟失現象嚴重。

3月，西班牙能源公司Iberdrola遭網絡攻擊，泄露130萬客戶數據。5月，世界工程巨頭派克漢尼汾遭到黑客攻擊，導致員工數據遭到泄露。7月，歐洲能源集團Encevo Group遭到網絡攻擊，被竊取超過150GB的數據，包括合同、協議、護照、賬單、電子郵件等。

2 近期全球工業領域網絡安全態勢

縱觀今年以來全球主要國家應對工業領域網絡安全威脅所采取的主要舉措，主要呈現如下態勢走向。

1)愈加關注新技術在工業物聯網領域的研發應用，著力提升安全風險發現與抵御能力。

1月，法國計算機科學與隨機系統研究所研究團隊提出一種利用物聯網電磁輻射檢測惡意軟件的新方法，高效應對惡意軟件攻擊。2月，美國核監管機構將使用人工智能來檢測對發電廠的網絡攻擊，評估人工智能/機器學習概念、技術和應用對核電網絡安全成果和計劃的影響。2月，卡內基梅隆大學的研究人員公開了一種通過使用射頻指紋技術增強物聯網抵御風險能力、提高物聯網設備安全性的新方法。3月，沃達豐通過一個由區塊鏈支持的平臺讓物聯網設備進行自動化安全交易，解決互聯設備和基礎設施孤立運行的挑戰。3月，以色列初創公司OneLayer推出一款采用身份認證方式保護私有蜂窩網絡上物聯網設備的網絡安全平臺，以此保護物聯網設備安全。

2)推出實踐性更強的工業領域網絡安全指南標準，對關鍵環節和領域實施針對性防護。

1月，北約能源安全卓越中心發布關鍵能源基礎設施工控網絡保護指南，對關鍵能源基礎設施的安全性、可靠性、彈性和性能進行了基于技術的威脅分析。2月，美國國家標準技術研究院(NIST)發布《軟件、物聯網和消費者網絡安全標簽指南》，旨在讓消費者更深入地了解其購買的軟件和物聯網設備的安全性，并提高軟件和物聯網設備制造商的透明度[5]。3月，美國NIST推出物聯網設備網絡安全標簽的建議，提出有關物聯網設備網絡安全基準測試的建議，以確保連接設備可以保護用戶數據，接受軟件更新并防止僵尸網絡劫持。3月，歐盟網絡安全局和歐洲鐵路信息共享與分析中心發布了關于為鐵路系統建立網絡安全區和管道的指南，旨在實施鐵路系統分區、強化管道系統網絡安全防護，并加強相關方合作共同分析威脅、漏洞、解決方案等。

3)借助合作共贏的模式強化工業領域網絡安全防護工作，已形成良好的參考模式。

1月，美國紐約電力局宣布與網絡安全公司IronNet、亞馬遜網絡服務公司合作，全面加強電網安全防御能力。3月，物聯網安全技術公司Device Authority與新型技術公司Crossroads Innovation Group合作開展物聯網安全標準項目，評估與邊緣物聯網基礎設施安全相關的技術標準。4月，網絡安全人工智能公司Darktrace與Zscaler、Duo Security合作，將其檢測和自主響應能力擴展到零信任技術，適用于保護IT和OT環境中重要行業的客戶，防止IT漏洞蔓延到工業系統。5月，半導體制造商GlobalFoundries與美國國防部達成一項價值1.17億美元的協議，為美國國防和航空航天應用提供安全半導體的戰略供應。5月，18家石油和天然氣公司做出網絡彈性承諾，就相關解決方案進行合作，致力于加強整個行業生態系統的網絡彈性。

4)修訂出臺工業領域網絡安全重要法案，從國家層面高度重視工業關鍵基礎設施保護。

2月，澳大利亞《2022年安全立法修正案(關鍵基礎設施保護)法案》提交議會，聯邦政府尋求為關鍵基礎設施實體引入風險管理計劃，并加強對國家最重要實體的網絡安全義務。3月，美國眾議院通過《關鍵基礎設施網絡事件報告》法案，要求關鍵基礎設施所有者和運營商在遇到重大網絡攻擊72小時內、被勒索軟件勒索付款的24小時內報告。4月，美國國會提出《能源網絡安全大學領導力計劃法案》，為從事網絡安全與能源基礎設施研究的研究生及博后研究院提供助學金和財政援助，并希望借此幫助美國能源基礎設施解決日益增長的網絡威脅挑戰。5月，美國眾議院提出新的工業控制系統網絡安全培訓法案，為公共和私營部門實體提供工業控制系統網絡安全培訓，從而解決因國外對工業控制系統的攻擊而引起的擔憂。

5)加強工業領域網絡安全攻防演練力度，實戰實景全方位模擬以增強風險應對水平。

1月，歐盟針對成員國芬蘭的一家虛擬電力公司進行了一次模擬網絡攻擊演習，以測試成員國的網絡防御能力。3月，美國基礎設施與網絡安全局舉行第八次“網絡風暴”演習，共有來自約200家政府機構、私營部門和外國組織的近2000人參與了此次演習，涉及運營(如工業控制系統)、傳統企業系統等場景。4月，北約合作網絡防御卓越中心啟動“鎖定盾牌”網絡演習活動，超過30個國家參與，旨在促進國家、行業以及公共和私人組織之間的合作與協調，以備戰網絡攻擊軍事行動。5月，斯洛文尼亞核安全局與國際原子能機構和奧地利理工學院合作開展核設施國際網絡安全演習，國內外共70名專家代表參與并證實了對確保核設施網絡安全重要性的高度認識。

6)關注工業領域網絡安全產業發展走勢，推出貼合行業企業發展實際需求的實用型報告。

1月，國際自動化協會和全球網絡安全聯盟等共同發布《為企業實施工業網絡安全計劃》白皮書，涵蓋了如何準備工業網絡安全計劃、相關計劃成本與收益等內容。3月，美國國會研究服務發布題為《關鍵基礎設施安全和彈性：應對俄羅斯和其他國家的網絡威脅》報告，該報告審查了關鍵基礎設施的安全性和彈性，描述了能源、通信、醫療保健等領域網絡風險管理計劃。4月，美國能源部發布2021年州、地方、部落和地區報告，涵蓋了國家能源安全和彈性規劃的各種資源和舉措、應急響應和彈性規劃等方面的進展，指出只有通過各級政府、私營企業和學術界的廣泛利益相關者之間的合作伙伴關系才能有效解決網絡安全問題。5月，美國能源部發布《2022制造業網絡安全路線圖》，概述了未來五年美國制造業網絡安全的廣闊前景，針對中小型制造商、大型制造商以及為大型生產行業提供服務的原始設備制造商提出發展建議。

7)加大在工業領域網絡安全方面的資金注入，扶持重點領域和行業的安全健康有序發展。

4月，美國能源部資助氣候友好型電網安全和彈性的發展，借助資金建立更強大的電網來實現未來安全有彈性的清潔能源的承諾。6月，歐盟委員會批準波蘭354億歐元的復蘇和韌性計劃，包括為公共服務數字化、數字設備和網絡安全等方面提供資金支持。7月，美國眾議院通過8400億美元國防預算法以保護關鍵基礎設施網絡安全。8月，美國能源部制定4500萬美元計劃保障美國能源系統安全，旨在創建、加速和測試保護電網免受網絡攻擊的技術。8月，加拿大為抵御量子網絡威脅提供資金，加強金融、能源和運輸部門的網絡安全。

8)制定工業領域網絡安全行動計劃，切實提出提升網絡安全能力的若干行動要點。

1月，歐洲關鍵基礎設施保護參考網絡發布水安全計劃，為水務公司提供制定供水系統安全計劃所需的信息、工具和具體實施措施，以提高水務系統整體安全性。1月，美國白宮、環境保護署和網絡安全與基礎設施安全局聯合發布工業控制系統網絡安全倡議——水和廢水部門行動計劃，將創建一個由水務行業領導者組成的工作組，啟動事故監測試點計劃，改善供水系統的網絡安全。3月，美國拜登政府向關鍵基礎設施公司發布行動呼吁，號召其加強對“俄羅斯潛在網絡攻擊”的防御，并敦促所有人落實八項基本的網絡安全防御措施。4月，美國網絡安全和基礎設施安全局擴大了其聯合網絡防御協作計劃，旨在通過公共和私營部門的合作來幫助保護美國的關鍵基礎設施部門。

3 工業領域網絡安全實踐案例

為有效應對全球工業領域網絡安全態勢，安全企業、需求側企業等推出針對性安全解決方案，選取如下三個較為典型的案例。

1)某知名新能源汽車制造企業遭受勒索病毒侵襲，生產線幾臺上位機頻繁出現藍屏死機現象，并迅速蔓延至整個生產園區，導致被迫停止生產。為避免上位機再次感染病毒，通過采取在上位機安裝工業主機防護軟件，該軟件能智能學習并自動生成工業主機操作系統及專用軟件正常行為模式的“白名單”防護基線，主動阻斷未知程序、惡意軟件等運行，實現上位機從啟動、加載到持續運行過程全生命周期的安全保障[6]。

2)某石油天然氣管道工控系統由于地域分布廣和項目分期建設等原因，用戶缺乏對系統資產全面清晰的了解，同時缺乏基本的威脅監測手段，在發生病毒或網絡攻擊時不能實時發現、實時響應。通過采取在其生產管理層、過程監控層、現場控制層部署工業安全監測與態勢感知系統，實現數據匯集、全局風險評分、系統聯動處置等功能，可以將收集的數據進行可視化展現，實現對安全態勢的全局管控。

3)針對工業領域數據安全存在的諸如商業秘密泄露、圖紙數據隨意篡改、電子文件殘留等一系列問題，提出針對工業互聯網數據安全的解決方案。通過終端數據智能安全防護、網絡數據安全防護、因公外出數據、云平臺數據安全管控防護等方面的數據防護作用，確保工業設計環境中上下游企業在高效協同的同時，最大限度的防止商業秘密數據外泄、防止數據惡意篡改、減少圖紙數據大范圍分發的數據殘留風險。

4 構建我國工業領域網絡安全保障體系的幾點思考

全球主要國家積極應對工業領域網絡安全風險，提出系列行而有效的舉措。我國是工業大國和強國，做好工業領域網絡安全保障工作至關重要。結合全球工業領域網絡安全態勢分析，為全面構建我國工業領域網絡安全保障體系，有如下幾點思考與建議。

1)明確工業企業網絡安全真實需求

明確工業領域網絡安全真實需求是前提和關鍵。我國數字化轉型步伐加快，工業領域如何在數字化轉型中安全平穩過渡成為一大難題，只有“對癥下藥”才能從根本上解決問題。一是“不想用”：中小型企業往往因成本有限，對安全事件發生存在僥幸心理，在確認能獲得收益前不愿意做安全投入。二是“不敢用”：企業大多對新興數字技術不熟悉，在考慮數字技術落地或部署數字業務時，不確定是否會違背監管要求，是否帶來未知安全隱患。三是“不會用”：大部分企業缺少根據數字業務編排調配安全能力的實踐經驗，加之數字安全技術人才缺乏，實操能力普遍較弱。因此，應著力解決“不想用”“不敢用”“不會用”問題，解決工業企業網絡安全實際需求[7]。

2)體系化開展工業領域網絡安全體系建設

工業領域網絡安全體系建設是一項具有復雜性、長期性、重要性特征的大工程。只有政府、產業、高校、研究機構、供給側和需求側企業等各方形成工作合力，才能為我國工業數字化轉型筑牢安全保護屏障。現階段，我國已初步構建工業領域網絡安全保障體系，但仍難以滿足當前復雜嚴峻的網絡安全保障需要，工業領域網絡安全保障體系工作任重而道遠。下一步，政產學研用等各方應“查漏補缺”，同步推進政策保障、標準保障、技術保障、服務保障、人才保障等各方面工作。

3)做好做實工業領域網絡安全理論的實踐應用

伴隨數字化、智能化、網絡化在工業領域的深度應用，工業互聯網已成為工業領域的重要應用模式。工業互聯網安全相關工作已開展4年有余，頂層設計已逐步趨于完善，如何在產業、行業、企業等層面深耕應用成為當前的熱點問題。其中，工業互聯網企業網絡安全分類分級試點工作已成為從理論到實踐的一個成功案例。目前，“工業互聯網安全深度行”活動正在如火如荼開展，上海、江蘇等省份已啟動安全深度行活動，應鼓勵相關企業應積極參與，加速推進工業領域網絡安全理論的實踐應用。

5 結語

全球工業領域網絡安全形勢不斷變化，主要國家為應對嚴峻的網絡安全態勢積極采取措施，呈現出了新特點新趨勢。我國是工業大國強國，應始終處理好安全與發展的關系，在數字化轉型浪潮下，應基于基本國情，充分結合全球主要國家的積極舉措，加速構建完善的工業領域網絡安全保障體系，進一步為工業數字化轉型提質增效奠定扎實安全基礎。