勒索病毒爆發一年后每天仍有近千臺設備受感染

信息安全漏洞高發 工業控制系統“裸奔”上網

距離蠕蟲勒索病毒“WannaCry”的全球范圍大爆發已有一年，然而直到今天，我國每天仍有近千臺設備受其感染，導致生產停滯或重要信息丟失。這背后，是我國絕大多數工業控制系統含有漏洞，且在沒有防護的情況下“裸奔”上網的嚴峻現實。

隨著“互聯網+”、“智能制造”與工業生產進一步深度融合，工業控制系統作為工業領域“神經中樞”，呈現互聯互通趨勢，與此同時，工業互聯網也成為黑客攻擊和網絡戰的重要目標。

“萬物互聯”釋放巨大紅利

背后潛藏危機不可忽視

工業互聯網是“互聯網+”與工業系統的深度融合，是智能制造的基石，也是企業提質增效的必由之路。不過，國家工業信息安全產業發展聯盟統計數據顯示，全球工業信息安全漏洞呈現連年高發態勢，2016年至2017年，漏洞增長率超過50%，其中半數以上為高危漏洞，廣泛分布在能源、制造、商業設施、水務、市政等關鍵領域。

杭州一家輪胎生產企業的車間里，一塊液晶大屏上跳動著一排排的參數，這些參數代表著橡膠原材料到成品輪胎的六十幾道環節。通過工業互聯網和人工智能算法匹配最優的合成方案，這家企業的產品合格率平均提升了3%到5%，年均增加利潤上千萬。這是工業互聯網為企業帶來巨大紅利的一個典型案例。

然而，“萬物互聯”背后潛伏的危機不容小視。不久前，一家電路板企業分公司的40臺工業電腦突然出現藍屏、重啟現象，導致生產線癱瘓，企業的運維工程師為恢復生產，兩天兩夜沒有合眼。360集團在接到企業通報后前往現場應急維護，發現這場安全事件源自該企業總部此前曾感染的“WannaCry”病毒。

“這樣的安全事件并不少見。在‘WannaCry’病毒在全球大范圍爆發一年后，我們還能監測到，每天有近千臺電腦感染此勒索病毒。”360集團董事長兼CEO周鴻祎說。“WannaCry”正是不法分子利用“永恒之藍”漏洞發起的攻擊。

攻擊者發起網絡攻擊可以直接影響工業控制系統的正常運行，例如可以直接對某些聯網工控設備發送指令導致設備關機或參數修改，造成生產事故，甚至影響生命財產安全和國家安全。

自2015年以來，全球每年發生的大型工業網絡安全事件數量都超過300起。像去年爆發、影響至今的“WannaCry”感染了全球150個國家的30萬臺主機，雷諾、日產等汽車制造廠商被迫停產，多國能源、通信等重要行業遭受損失，我國教育、能源、通信領域也受到波及。

“近年來，工業互聯網安全事件高發，呈現出定向攻擊精準性提升迅速、技術手段復雜化專業化、攻擊行為組織化的顯著特征。”國家工業信息安全產業發展聯盟相關人士對記者說。

隨著越來越多的工控系統聯網，黑客有目的地探測并鎖定攻擊目標更為容易。大量漏洞、攻擊方法可以通過互聯網等多種公開、半公開渠道獲取，極易被黑客等不法分子利用。

知名黑客組織“影子經紀人”曾泄露出一份機密文檔，其中包含了Windows遠程漏洞利用工具，可影響全球70%的Windows服務器。從2017年6月開始，該組織還每月出售瀏覽器、路由器、手機漏洞等相關入侵工具以及入侵數據，曝光的工具更進一步通過匿名網絡“暗網”等渠道進行非法交易和大量擴散。

業內人士表示，針對工業互聯網的攻擊已從原有的一個代碼攻擊一兩種漏洞，進化成一個攻擊代碼可以嵌入數十種底層系統漏洞，“這絕非一個業余愛好者能夠實現的攻擊”。

“這些攻擊通常都是經過精心策劃的，可以對現實世界造成嚴重后果。”周鴻祎說。

根據國家工業信息安全產業發展聯盟對維基解密公開的美國CIA文件分析，美國已建立起網絡攻擊武器庫和戰略資源庫，可引發國家級有組織的網絡攻擊行動，具備全方位、多層次的攻擊能力，可持續對全球開展大范圍網絡監聽與攻擊，不僅涵蓋Windows、OS X等主流操作系統，還包括手機、車載系統及智能電視等。

“有些國家甚至謀求通過工業設施和工業系統的網絡攻擊，達成政治訴求或經濟訴求。”國家工業信息安全產業發展聯盟專家委員會委員宮亞峰說。

漏洞隱蔽難以檢測

部分系統帶毒運行

《經濟參考報》記者從國家工業信息安全發展研究中心了解到，目前該中心監測到我國3000余個暴露在互聯網上的工控系統，九成以上含有漏洞，可以輕易被遠程控制，約兩成的重要工控系統可被遠程入侵并完全接管。

業內人士表示，由于網絡安全事件具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏了幾年都不被發現，結果往往是“誰進來了不知道、是敵是友不知道、干了什么不知道”，隱患長期潛伏。

多數工業系統在設計之初是封閉的“單機系統”，沒有考慮聯網需求，現在隨著工業“互聯網+”的推進，將必然導致一批系統和設施暴露。很多的系統和設備沒有防護軟件，也不能安裝殺毒系統，一旦上了網就是“裸奔”狀態。

“我們遇到的很多現場設備比較老舊，有的還在使用十幾年前的操作系統，沒有任何安全防護軟件，這樣就可能存在很大的安全風險，而系統維護人員還沒有認識到。很多系統帶毒運行，有的主機甚至有三千多個病毒。一旦感染的惡意軟件在某個特定觸發條件下發作，就會對企業造成嚴重影響。”周鴻祎說。

一些重要的企業工控系統還被留下了后門程序，黑客或者惡意人員可以隨意進出操作。

目前，絕大多數的企業沒有能力識別或應對這些入侵和攻擊。國家工業信息安全發展研究中心通過安全監測發現，工業企業的信息安全應急手段普遍不足，約70%的被查工業企業缺少完善的應災備災體系。

技術不足人才匱乏

安全防護短板待補

隨著我國工業領域數字化、網絡化、智能化水平提升，安全問題已經逐漸引起重視。高速發展的同時，工業互聯網相關法規政策正逐步健全，標準體系建立取得進展，安全檢查評估也正有序開展。目前我國還存在安全防護意識薄弱、技術水平偏低、人才匱乏的問題，工業互聯網發展亟待補足短板。

對工業互聯網漏洞不重視、修復不及時的現象普遍存在。360補天漏洞響應平臺監測的工控信息系統漏洞中，有25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久。不少設備遭受攻擊的案例，是由于企業員工私自利用設備上網、使用U盤或在遠程維護過程中感染病毒造成的。

“從工業互聯網整體技術基礎上看，國外的技術產品還是主流，我們國家也在逐步用自己的產品進行替代，但還沒有完全替代。很多地方既有自己的知識產權，也有國外的知識產權，技術體系復雜，也在一定程度上造成不穩定性和安全隱患。”國家工業信息安全發展研究中心網安部副主任張格說。

業內人士認為，CPU、服務器、操作系統等核心產品和技術發展滯后，國產化率低，競爭力不足，是工業互聯網實現自主可控過程中的關鍵癥結。《工業信息安全態勢白皮書(2017年)》顯示，目前我國包括產品、技術和服務在內的工業信息安全產業占整個IT業比重不足2%，遠低于歐美發達國家的10%水平。

根據白皮書對我國近幾年重點領域信息安全檢查工作統計，數千個工控系統均由外國廠商提供運行維護，大量企業不具備自主維護能力，缺乏對國外產品和服務的監管。記者在浙江一家企業采訪時發現，進口設備廠商對工控系統控制異常嚴格，系統控制室的門禁卡甚至都掌握在進口廠商的維保人員手中，對于控制室內的情況，中方人員根本無法知曉和干預。

“網絡安全實質是人與人的對抗，不是購買和部署一批網絡安全設備、安裝一批軟件就能解決的。就像國家安全有了武器，還要有掌握武器的軍人和警察。網絡安全更需要專業安全運維人員來做分析、規劃、態勢研判、響應和處置。”周鴻祎認為，網絡安全將成為一個智力密集型的服務業，形成巨大的人才需求，但眼下行業人才儲備與需求規模相比還存在較大差距。

通力協作共同應對

織牢織密“安全網”

隨著IPv6下一代互聯網技術的部署和5G時代的到來，工業互聯網將面臨更為復雜多變的挑戰。加強工業信息安全建設、加快構建全方位的安全保障體系，是制造大國邁向制造強國的基礎。

“從國家到企業，應首先落實責任與分工。企業尤其需要重視并承擔起主體責任，工業互聯網不僅帶來經濟利益，也有相應的社會責任。”張格說。

“從現實情況看，政企單位還存在遭受網絡攻擊時不愿及時上報的問題。及時上報網絡攻擊事件對于早期發現、追蹤溯源和防止攻擊范圍及危害進一步擴大、保障國家網絡安全具有重大價值和意義。”周鴻祎認為，應出臺鼓勵網絡攻擊事件上報的相關政策，建立起漏洞管理全流程監督處罰制度和監督檢查力量。

“只有自主可控的產業做強做大，工業互聯網才能有安全可言。”多名業內人士表示，應盡快研究制定新一代信息技術在工業領域應用的安全架構，突破工業信息安全關鍵核心技術，重點發展一批高端產品，形成具有市場競爭力的產品體系。

啟明星辰信息技術集團股份有限公司CEO嚴望佳建議，大力推動國產安全設備在關鍵信息基礎設施保護中的應用，如對關鍵信息基礎設施的運營企業購置國產網絡安全設備出臺稅收優惠政策等，以激勵企業加大投入，推動相關產業的發展。

還有專家建議，從整體產業角度推動人才培養和建設，支持相關教育培訓機構開展網絡安全學科聯合建設，將工業網絡安全納入職業技能鑒定體系，培養一支門類齊全、技術精湛的專業人才隊伍。

眼下，我國國家網絡安全人才培養已取得一定進展，“網絡空間安全”被增設為一級學科，意味著網絡安全高層次人才培養邁出了重要一步。

不久前，我國首個工業信息安全技能大賽、阿里巴巴安全響應中心生態大會等相關領域會議召開，推動了行業內外進一步關注工業網絡安全和人才培養問題。

“阿里巴巴安全響應中心將大額提升發現漏洞的獎金，激發技術人才積極性。同時通過線下活動等形式，聯動國內國際技術人才，與高校等合作加大安全人才的培養力度。”阿里巴巴集團首席風險官鄭俊芳表示，在技術化、全球化、生態化、多元化等趨勢下，工業互聯網呼喚產業聯合共治、安全共建。

記者 朱涵