伴隨著互聯(lián)網(wǎng)信息技術(shù)、工業(yè)自動化技術(shù)的革命性突破和全球經(jīng)濟一體化的發(fā)展，工業(yè)互聯(lián)網(wǎng)應(yīng)運而生，并迅速成為熱門技術(shù)，成為國際工業(yè)界不斷研究和持續(xù)探索的熱點課題。經(jīng)過近幾年的發(fā)展，工業(yè)互聯(lián)網(wǎng)的推廣普及為工業(yè)經(jīng)濟發(fā)展提供了更多的內(nèi)驅(qū)力。為更好地激發(fā)工業(yè)互聯(lián)網(wǎng)的技術(shù)潛能，引領(lǐng)工業(yè)互聯(lián)網(wǎng)技術(shù)實現(xiàn)技術(shù)應(yīng)用開發(fā)，2014年成立了工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC），致力于分享綜合利用互聯(lián)網(wǎng)實現(xiàn)機械設(shè)備智能化應(yīng)用的改革創(chuàng)新。我國2016年也成立了工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，顯示了我國的工業(yè)互聯(lián)網(wǎng)發(fā)展的決心和巨大前景。

工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時延、高可靠、廣覆蓋特點的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是新一代信息通信技術(shù)與先進制造業(yè)深度融合所形成的新興業(yè)態(tài)與應(yīng)用模式。

其中，網(wǎng)絡(luò)體系是實現(xiàn)連接全工業(yè)系統(tǒng)、全價值鏈、全產(chǎn)業(yè)鏈的基礎(chǔ)，包括網(wǎng)絡(luò)互連、標(biāo)識解析、應(yīng)用支撐三大體系。數(shù)據(jù)包括“采集交換-集成處理-建模分析-決策與控制”，形成優(yōu)化閉環(huán)，驅(qū)動工業(yè)智能化。安全是工業(yè)/產(chǎn)業(yè)互聯(lián)網(wǎng)各個領(lǐng)域和環(huán)境的安全保障，包括設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全等。為加速提升工業(yè)互聯(lián)網(wǎng)的應(yīng)用質(zhì)量與效果，為我國的經(jīng)濟結(jié)構(gòu)調(diào)整、動能轉(zhuǎn)換貢獻力量，全面推進“中國制造2025”和“互聯(lián)網(wǎng)+”行動計劃，有必要圍繞國家網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護制度加強對中央企業(yè)工業(yè)互聯(lián)網(wǎng)信息安全領(lǐng)域解決方案的研究。

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展和新技術(shù)的應(yīng)用，中央企業(yè)的工業(yè)網(wǎng)絡(luò)從生產(chǎn)設(shè)備、控制系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)傳輸?shù)榷鄠€層面都發(fā)生了巨大的變化。在在新的變化下如何應(yīng)對安全風(fēng)險成為了一個至關(guān)重要又迫在眉睫的問題。

操作系統(tǒng)漏洞

PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機/操作站的主流。而在控制網(wǎng)絡(luò)中，上位機/操作站是實現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點，因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個短板。操作系統(tǒng)漏洞頻繁出現(xiàn)，安全事故時有發(fā)生。以Windows XP版本為例，就曾被發(fā)現(xiàn)了大量漏洞，典型的如輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區(qū)溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過這些漏洞，可以獲得Windows XP操作站的完全控制權(quán)，甚至為所欲為。

工業(yè)控制系統(tǒng)漏洞

由于早期的工業(yè)控制系統(tǒng)都是在相對獨立的網(wǎng)絡(luò)環(huán)境下運行，在產(chǎn)品設(shè)計和網(wǎng)絡(luò)部署時，只考慮了功能性和穩(wěn)定性，對安全性考慮不足。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間互聯(lián)互通的不斷推進，以及工控控制系統(tǒng)和工業(yè)設(shè)備接入互聯(lián)網(wǎng)的數(shù)量越來越多，通過互聯(lián)網(wǎng)對工業(yè)控制系統(tǒng)實施攻擊的可能性越來越高，而每年新發(fā)現(xiàn)的SCADA、DCS、PLC漏洞數(shù)量也不斷增加，這些都為工業(yè)互聯(lián)網(wǎng)帶來巨大的安全隱患。

從2011年以后工業(yè)控制系統(tǒng)的各種漏洞每年都在高速的增加，這些漏洞將會成為攻擊工業(yè)控制網(wǎng)絡(luò)的一種主要途徑，通過這些漏洞攻擊可以完成獲取系統(tǒng)權(quán)限、修改工程數(shù)據(jù)和控制流程、非法關(guān)閉現(xiàn)場設(shè)備等操作，造成重大的生產(chǎn)事故和經(jīng)濟損失。

工業(yè)控制網(wǎng)絡(luò)漏洞

工業(yè)控制網(wǎng)絡(luò)的設(shè)備分布于廠區(qū)各處，甚至是野外，由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的局限性，經(jīng)常需要無線網(wǎng)絡(luò)、衛(wèi)星、GPRS/CDMA等通用傳輸手段來實現(xiàn)與調(diào)度中心的連接和數(shù)據(jù)交換。這些傳輸手段沒有足夠的安全保護和加密措施，很容易出現(xiàn)網(wǎng)絡(luò)竊聽、數(shù)據(jù)劫持、第三人攻擊等安全問題，而且攻擊者還可以利用不安全傳輸方式作為攻擊工業(yè)控制網(wǎng)絡(luò)的入口，實現(xiàn)對于整個工業(yè)控制網(wǎng)絡(luò)的滲透和控制。

云平臺安全問題

在云平臺中，作為底層支撐技術(shù)的虛擬化技術(shù)在帶來效率提升和開銷降低的同時,也帶來了一系列由于物理的共享與邏輯隔離的沖突而導(dǎo)致的數(shù)據(jù)安全問題。在公有云環(huán)境下，不同機構(gòu)之間物理隔離的網(wǎng)絡(luò)被由網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)取代。這種網(wǎng)絡(luò)資源復(fù)用模式雖然實現(xiàn)了網(wǎng)絡(luò)資源的高效利用、網(wǎng)絡(luò)流量的集中分發(fā)，但也帶來了諸多安全問題。

來自外部網(wǎng)絡(luò)的滲透

工業(yè)互聯(lián)網(wǎng)會有較多的開放服務(wù)，攻擊者可以通過掃描發(fā)現(xiàn)開放服務(wù)，并利用開放服務(wù)中的漏洞和缺陷登錄到網(wǎng)絡(luò)服務(wù)器獲取企業(yè)關(guān)鍵資料，同進還可以利用辦公網(wǎng)絡(luò)作為跳板，逐步滲透到控制網(wǎng)絡(luò)中。通過對于辦公網(wǎng)絡(luò)和控制網(wǎng)絡(luò)一系列的滲透和攻擊，最終獲取企業(yè)重要的生產(chǎn)資料、關(guān)鍵配方，嚴重的是隨意更改控制儀表的開關(guān)狀態(tài)，惡意修改其控制量，造成重大的生產(chǎn)事故。

帳號口令破解

由于企業(yè)有對外開放的應(yīng)用系統(tǒng)（如郵件系統(tǒng)），在登錄開放應(yīng)用系統(tǒng)的時候需要進行身份認證，攻擊都通過弱口令掃描、Sniffer密碼嗅探、暴力破解、信任人打探套取或社工比較合成口令等手段來獲取用戶的口令，這樣直接獲得系統(tǒng)或應(yīng)用權(quán)限。獲取了用戶權(quán)限就可以調(diào)取相關(guān)資料，惡意更改相關(guān)控制設(shè)施。

利用移動介質(zhì)攻擊

當(dāng)帶有惡意程序的移動介質(zhì)連接到工程師站或操作員站時，移動介質(zhì)病毒會利用移動介質(zhì)自運行功能，自動啟動對控制設(shè)備進行惡意攻擊或惡意指令下置。一方面造成網(wǎng)絡(luò)病毒在企業(yè)各個網(wǎng)絡(luò)層面自動傳播和感染，靠成業(yè)務(wù)系統(tǒng)和控制系統(tǒng)性能的下降，從而影響企業(yè)監(jiān)測、統(tǒng)籌、決策能力。另一方面會針對特定控制系統(tǒng)或設(shè)備進行惡意更改其實際控制量，造成生成事故。

PLC程序病毒的威脅

通過對工程師站及編程服務(wù)器的控制，感染（替換）其相關(guān)程序，當(dāng)PLC程序的下發(fā)時，惡意程序一起被下發(fā)到PLC控制設(shè)備上。惡意程序一方面篡改PLC的實際控制流，另一方面將運算好的虛假數(shù)據(jù)發(fā)給PLC的輸出，防止報警。通過這種方式造成現(xiàn)場設(shè)備的壓力、溫度、液位失控，但監(jiān)測系統(tǒng)不能及時發(fā)現(xiàn)，造成重大的安全事故。

利用工業(yè)通信協(xié)議的缺陷

Modbus、DNP3、OPC等傳統(tǒng)工業(yè)協(xié)議缺乏身份認證、授權(quán)以及加密等安全機制，利用中間人攻擊捕獲和篡改數(shù)據(jù)，給設(shè)備下達惡意指令，影響生產(chǎn)調(diào)度，造成生產(chǎn)失控。

利用無線網(wǎng)絡(luò)入侵

控制網(wǎng)絡(luò)通過DTU無線設(shè)備通過802.11b協(xié)議連接到管理區(qū)的網(wǎng)絡(luò)，通過對網(wǎng)絡(luò)無線信息的收集，偵測WEP安全協(xié)議漏洞，破解無線存取設(shè)備與客戶之間的通訊，分析出接入密碼，從而成功接入控制網(wǎng)絡(luò)，控制現(xiàn)場設(shè)備，獲取機要信息，更改控制系統(tǒng)及設(shè)備的控制狀態(tài)，造成重大影響。

工業(yè)互聯(lián)網(wǎng)實現(xiàn)了設(shè)備、工廠、人、產(chǎn)品的全方位連接，因此工業(yè)互聯(lián)網(wǎng)安全建設(shè)必須從綜合安全防護體系的視角對其進行統(tǒng)籌規(guī)劃。從工業(yè)互聯(lián)網(wǎng)的整體架構(gòu)來看，應(yīng)該在各個層面實施相應(yīng)的安全防護措施，并通過入侵檢測、邊界防護、協(xié)議分析、行為分析、安全審計、容災(zāi)備份、態(tài)勢感知等各種安全技術(shù)與安全管理相結(jié)合的方式實現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全防護，形成對工業(yè)互聯(lián)網(wǎng)安全的“監(jiān)測、報警、處置、溯源、恢復(fù)、檢查”工作閉環(huán)。