伴隨著互聯(lián)網(wǎng)信息技術(shù)、工業(yè)自動(dòng)化技術(shù)的革命性突破和全球經(jīng)濟(jì)一體化的發(fā)展，工業(yè)互聯(lián)網(wǎng)應(yīng)運(yùn)而生，并迅速成為熱門(mén)技術(shù)，成為國(guó)際工業(yè)界不斷研究和持續(xù)探索的熱點(diǎn)課題。經(jīng)過(guò)近幾年的發(fā)展，工業(yè)互聯(lián)網(wǎng)的推廣普及為工業(yè)經(jīng)濟(jì)發(fā)展提供了更多的內(nèi)驅(qū)力。為更好地激發(fā)工業(yè)互聯(lián)網(wǎng)的技術(shù)潛能，引領(lǐng)工業(yè)互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)技術(shù)應(yīng)用開(kāi)發(fā)，2014年成立了工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC），致力于分享綜合利用互聯(lián)網(wǎng)實(shí)現(xiàn)機(jī)械設(shè)備智能化應(yīng)用的改革創(chuàng)新。我國(guó)2016年也成立了工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，顯示了我國(guó)的工業(yè)互聯(lián)網(wǎng)發(fā)展的決心和巨大前景。

工業(yè)互聯(lián)網(wǎng)是滿(mǎn)足工業(yè)智能化發(fā)展需求，具有低時(shí)延、高可靠、廣覆蓋特點(diǎn)的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是新一代信息通信技術(shù)與先進(jìn)制造業(yè)深度融合所形成的新興業(yè)態(tài)與應(yīng)用模式。

其中，網(wǎng)絡(luò)體系是實(shí)現(xiàn)連接全工業(yè)系統(tǒng)、全價(jià)值鏈、全產(chǎn)業(yè)鏈的基礎(chǔ)，包括網(wǎng)絡(luò)互連、標(biāo)識(shí)解析、應(yīng)用支撐三大體系。數(shù)據(jù)包括“采集交換-集成處理-建模分析-決策與控制”，形成優(yōu)化閉環(huán)，驅(qū)動(dòng)工業(yè)智能化。安全是工業(yè)/產(chǎn)業(yè)互聯(lián)網(wǎng)各個(gè)領(lǐng)域和環(huán)境的安全保障，包括設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全等。為加速提升工業(yè)互聯(lián)網(wǎng)的應(yīng)用質(zhì)量與效果，為我國(guó)的經(jīng)濟(jì)結(jié)構(gòu)調(diào)整、動(dòng)能轉(zhuǎn)換貢獻(xiàn)力量，全面推進(jìn)“中國(guó)制造2025”和“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，有必要圍繞國(guó)家網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度加強(qiáng)對(duì)中央企業(yè)工業(yè)互聯(lián)網(wǎng)信息安全領(lǐng)域解決方案的研究。

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展和新技術(shù)的應(yīng)用，中央企業(yè)的工業(yè)網(wǎng)絡(luò)從生產(chǎn)設(shè)備、控制系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)傳輸?shù)榷鄠€(gè)層面都發(fā)生了巨大的變化。在在新的變化下如何應(yīng)對(duì)安全風(fēng)險(xiǎn)成為了一個(gè)至關(guān)重要又迫在眉睫的問(wèn)題。

操作系統(tǒng)漏洞

PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機(jī)/操作站的主流。而在控制網(wǎng)絡(luò)中，上位機(jī)/操作站是實(shí)現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點(diǎn)，因此其操作系統(tǒng)的漏洞就成為了整個(gè)控制網(wǎng)絡(luò)信息安全中的一個(gè)短板。操作系統(tǒng)漏洞頻繁出現(xiàn)，安全事故時(shí)有發(fā)生。以Windows XP版本為例，就曾被發(fā)現(xiàn)了大量漏洞，典型的如輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區(qū)溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過(guò)這些漏洞，可以獲得Windows XP操作站的完全控制權(quán)，甚至為所欲為。

工業(yè)控制系統(tǒng)漏洞

由于早期的工業(yè)控制系統(tǒng)都是在相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境下運(yùn)行，在產(chǎn)品設(shè)計(jì)和網(wǎng)絡(luò)部署時(shí)，只考慮了功能性和穩(wěn)定性，對(duì)安全性考慮不足。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間互聯(lián)互通的不斷推進(jìn)，以及工控控制系統(tǒng)和工業(yè)設(shè)備接入互聯(lián)網(wǎng)的數(shù)量越來(lái)越多，通過(guò)互聯(lián)網(wǎng)對(duì)工業(yè)控制系統(tǒng)實(shí)施攻擊的可能性越來(lái)越高，而每年新發(fā)現(xiàn)的SCADA、DCS、PLC漏洞數(shù)量也不斷增加，這些都為工業(yè)互聯(lián)網(wǎng)帶來(lái)巨大的安全隱患。

從2011年以后工業(yè)控制系統(tǒng)的各種漏洞每年都在高速的增加，這些漏洞將會(huì)成為攻擊工業(yè)控制網(wǎng)絡(luò)的一種主要途徑，通過(guò)這些漏洞攻擊可以完成獲取系統(tǒng)權(quán)限、修改工程數(shù)據(jù)和控制流程、非法關(guān)閉現(xiàn)場(chǎng)設(shè)備等操作，造成重大的生產(chǎn)事故和經(jīng)濟(jì)損失。

工業(yè)控制網(wǎng)絡(luò)漏洞

工業(yè)控制網(wǎng)絡(luò)的設(shè)備分布于廠區(qū)各處，甚至是野外，由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的局限性，經(jīng)常需要無(wú)線網(wǎng)絡(luò)、衛(wèi)星、GPRS/CDMA等通用傳輸手段來(lái)實(shí)現(xiàn)與調(diào)度中心的連接和數(shù)據(jù)交換。這些傳輸手段沒(méi)有足夠的安全保護(hù)和加密措施，很容易出現(xiàn)網(wǎng)絡(luò)竊聽(tīng)、數(shù)據(jù)劫持、第三人攻擊等安全問(wèn)題，而且攻擊者還可以利用不安全傳輸方式作為攻擊工業(yè)控制網(wǎng)絡(luò)的入口，實(shí)現(xiàn)對(duì)于整個(gè)工業(yè)控制網(wǎng)絡(luò)的滲透和控制。

云平臺(tái)安全問(wèn)題

在云平臺(tái)中，作為底層支撐技術(shù)的虛擬化技術(shù)在帶來(lái)效率提升和開(kāi)銷(xiāo)降低的同時(shí),也帶來(lái)了一系列由于物理的共享與邏輯隔離的沖突而導(dǎo)致的數(shù)據(jù)安全問(wèn)題。在公有云環(huán)境下，不同機(jī)構(gòu)之間物理隔離的網(wǎng)絡(luò)被由網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)取代。這種網(wǎng)絡(luò)資源復(fù)用模式雖然實(shí)現(xiàn)了網(wǎng)絡(luò)資源的高效利用、網(wǎng)絡(luò)流量的集中分發(fā)，但也帶來(lái)了諸多安全問(wèn)題。

來(lái)自外部網(wǎng)絡(luò)的滲透

工業(yè)互聯(lián)網(wǎng)會(huì)有較多的開(kāi)放服務(wù)，攻擊者可以通過(guò)掃描發(fā)現(xiàn)開(kāi)放服務(wù)，并利用開(kāi)放服務(wù)中的漏洞和缺陷登錄到網(wǎng)絡(luò)服務(wù)器獲取企業(yè)關(guān)鍵資料，同進(jìn)還可以利用辦公網(wǎng)絡(luò)作為跳板，逐步滲透到控制網(wǎng)絡(luò)中。通過(guò)對(duì)于辦公網(wǎng)絡(luò)和控制網(wǎng)絡(luò)一系列的滲透和攻擊，最終獲取企業(yè)重要的生產(chǎn)資料、關(guān)鍵配方，嚴(yán)重的是隨意更改控制儀表的開(kāi)關(guān)狀態(tài)，惡意修改其控制量，造成重大的生產(chǎn)事故。

帳號(hào)口令破解

由于企業(yè)有對(duì)外開(kāi)放的應(yīng)用系統(tǒng)（如郵件系統(tǒng)），在登錄開(kāi)放應(yīng)用系統(tǒng)的時(shí)候需要進(jìn)行身份認(rèn)證，攻擊都通過(guò)弱口令掃描、Sniffer密碼嗅探、暴力破解、信任人打探套取或社工比較合成口令等手段來(lái)獲取用戶(hù)的口令，這樣直接獲得系統(tǒng)或應(yīng)用權(quán)限。獲取了用戶(hù)權(quán)限就可以調(diào)取相關(guān)資料，惡意更改相關(guān)控制設(shè)施。

利用移動(dòng)介質(zhì)攻擊

當(dāng)帶有惡意程序的移動(dòng)介質(zhì)連接到工程師站或操作員站時(shí)，移動(dòng)介質(zhì)病毒會(huì)利用移動(dòng)介質(zhì)自運(yùn)行功能，自動(dòng)啟動(dòng)對(duì)控制設(shè)備進(jìn)行惡意攻擊或惡意指令下置。一方面造成網(wǎng)絡(luò)病毒在企業(yè)各個(gè)網(wǎng)絡(luò)層面自動(dòng)傳播和感染，靠成業(yè)務(wù)系統(tǒng)和控制系統(tǒng)性能的下降，從而影響企業(yè)監(jiān)測(cè)、統(tǒng)籌、決策能力。另一方面會(huì)針對(duì)特定控制系統(tǒng)或設(shè)備進(jìn)行惡意更改其實(shí)際控制量，造成生成事故。

PLC程序病毒的威脅

通過(guò)對(duì)工程師站及編程服務(wù)器的控制，感染（替換）其相關(guān)程序，當(dāng)PLC程序的下發(fā)時(shí)，惡意程序一起被下發(fā)到PLC控制設(shè)備上。惡意程序一方面篡改PLC的實(shí)際控制流，另一方面將運(yùn)算好的虛假數(shù)據(jù)發(fā)給PLC的輸出，防止報(bào)警。通過(guò)這種方式造成現(xiàn)場(chǎng)設(shè)備的壓力、溫度、液位失控，但監(jiān)測(cè)系統(tǒng)不能及時(shí)發(fā)現(xiàn)，造成重大的安全事故。

利用工業(yè)通信協(xié)議的缺陷

Modbus、DNP3、OPC等傳統(tǒng)工業(yè)協(xié)議缺乏身份認(rèn)證、授權(quán)以及加密等安全機(jī)制，利用中間人攻擊捕獲和篡改數(shù)據(jù)，給設(shè)備下達(dá)惡意指令，影響生產(chǎn)調(diào)度，造成生產(chǎn)失控。

利用無(wú)線網(wǎng)絡(luò)入侵

控制網(wǎng)絡(luò)通過(guò)DTU無(wú)線設(shè)備通過(guò)802.11b協(xié)議連接到管理區(qū)的網(wǎng)絡(luò)，通過(guò)對(duì)網(wǎng)絡(luò)無(wú)線信息的收集，偵測(cè)WEP安全協(xié)議漏洞，破解無(wú)線存取設(shè)備與客戶(hù)之間的通訊，分析出接入密碼，從而成功接入控制網(wǎng)絡(luò)，控制現(xiàn)場(chǎng)設(shè)備，獲取機(jī)要信息，更改控制系統(tǒng)及設(shè)備的控制狀態(tài)，造成重大影響。

工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了設(shè)備、工廠、人、產(chǎn)品的全方位連接，因此工業(yè)互聯(lián)網(wǎng)安全建設(shè)必須從綜合安全防護(hù)體系的視角對(duì)其進(jìn)行統(tǒng)籌規(guī)劃。從工業(yè)互聯(lián)網(wǎng)的整體架構(gòu)來(lái)看，應(yīng)該在各個(gè)層面實(shí)施相應(yīng)的安全防護(hù)措施，并通過(guò)入侵檢測(cè)、邊界防護(hù)、協(xié)議分析、行為分析、安全審計(jì)、容災(zāi)備份、態(tài)勢(shì)感知等各種安全技術(shù)與安全管理相結(jié)合的方式實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全防護(hù)，形成對(duì)工業(yè)互聯(lián)網(wǎng)安全的“監(jiān)測(cè)、報(bào)警、處置、溯源、恢復(fù)、檢查”工作閉環(huán)。