工业安全：数字化旅程上的风险

　　上世纪60年代，未来主义曾经有过一段短暂繁荣，风头之盛远超今天的雷.库兹韦尔（Ray Kurzwel），人们在展望未来时表现出的超理性乐观大多源于这个时期。正是在这段时间，曼卡恩（Heman Kahn）和安东尼维纳（Anthony Wiener）在1967年合作完成了著作《2000年》。在这本书中，两人系统性展望了20世纪最后三分之一的时间中，人们可能会看到的创新清单。

　　创新清单中的每一项顶都让人期待。但清单中的很多构想直到今天都没有变成现实，无噪音直升机根本就没有出现，自然也就谈不上取代出租车；人造月亮没能在夜空闪耀，人们甚至还不知道人造月亮的科学原理是什么；星际航行依然遥不可及，人类至今还没能第二次踏上月球；我们的寿命距离150岁还有相当长的距离，而这种距离因为很多退行性疾病的出现而充全没有缩短的迹象。在美好的憧憬下，人们显然经常低估创造这种美好的难度。

　　西门子中国研充院信息安全总监胡建钩的脑海中经常闪过这样的故事。他想象中的工厂同样充满理想主义色彩，通过物联网技术、人工智能技术、30打印技术、机器人技术以及地理信息系统的集成，未来的工厂将可以实现无人值守和分布式运行，人们可以从所有繁重、重复、枯燥的工作中彻底解放出来；通过模块化操作、数字化运营和生态化构建，未来工厂将成为节能减排和保护环境的典范。

　　以今天的视角来看，这类工厂已不再是天方夜谭。仅在中国，无人化的工厂就有很多处。但胡建钩也知道这种科技梦想前面横亘着怎样的阻碍——当我们赋予机器和工厂思考决策能力的时候，怎么确保它们不受干扰按照既定的设想做正确的事情？在数字化高效时代，出错的成本可能很低，但是代价将是巨大的。

　　人们期待已久的先进工厂确实有可能在未来几年变成现实，但如果没有与新时代相适应的安全防护，“工业4.0”的构想将充满艰辛。

　　脆弱的工业体系

　　2005年，胡建钧从北京大学操作系统专业毕业，进入西门子的信息安全部门工作。当时，西门子刚刚将亏损的移动电话业务出售给明基，但仍旧是全球最重要的电信设备提供商之一。和美国研究院齐名的西门子中国研究院也已经进入了实质性的筹备阶段差不多一年之后，这所研究院在北京的望京落地，那里在随后很多年都是外企在华最著名的研究机构之一。

　　除了大厦将起和业务调整，胡建钧当然还可以感受到更大的变化。事实上，在这场发起于互联网的数字化浪潮中，激动人心的变化从来没有停止。当年的一次内部会议上，西门子就认真讨论了蓬勃发展的电信业务全IP化问题。所谓全IP化，是指原有电信网络的每个节点和所有底层架构都放弃长期使用的专有协议，转而通过软件等多种方式高效利用开放的TCP/IP协议。

　　由于强大的多业务承载能力和提供更高质量服务的能力，电信网络的IP化问题在当时其实已经引起了全世界的广泛关注。当年，北美和欧洲的数据业务在全部电信业务中的比重已经上升到90%，经由Skpe完成的长途呼叫也已经占到全球长途电话呼叫总数的4%以上。

　　随着信息技术企业积累的管理运营模式越来越成熟，人们相信IP协议将在电信网络大行其道，即便在稍微落后的中国也不例外。于是，越来越多的企业开始用软件和网络设备代替传统电信设备。

　　当年，伴随着中国的网民数量突破1亿，QQ开始和MSN、YahooMesage、ICQ等国外品牌一起对传统的电信网络构成冲击。2004年，在建设新的长途网络时，中国移动就选择采用软交换的方式，扩容原有长途网络的传统思路则被摒弃，技术变革的趋势已经非常明显。

　　稍微回顾一下那段历史，就会发现对网络的需求当时正处于全面爆发的前夜。谷歌和亚马逊已经是世界闻名的科技企业，苹果正在设计第一款智能手机，后来几乎改变人类联系方式的Facebook也已经创立了，电信行业扮演的角色确实需要根据时代做出适当的调整。

　　但在热情高涨的市场中，西门子开始思考一个更重要的问题：既然以往被认为是专有网络的电信领域都越来越IP化，那些重要的工业企业、能源基础设施和交通系统是否也终将被数字化浪潮卷入其中。作为这些机构的重要上游企业，西门子又将面临怎样的安全挑战。“当时我们想，如果这一切变成真的，我们面监的挑战就大了”胡键钩回亿说，“我们那个时候就觉得，我们至少应该做点事情，为这个可能的趋势做点准备。”

　　警钟经那之前其实就曾响起，部分基础设施已经受到黑客困扰。1994年，美国亚利桑那州的盐河项目遭到入侵，黑客通过调解调器器入侵系统后，删除了用于监控水质和控制水传输的的系统文件，用户的用水数据也被删除；2003年，一名黑客成功绕过了俄罗斯一家天然气公司的安全防护系统，成功控制了整个公司的天然气流转，而这家公司对此几乎无能为力。

　　黑客成功的一个关键因素在于，工业体系在维护自身安全上远设有它们在的创造生产力上来现得那么强大。与互联网和移动互联网相比，建立在专有协议基础上的工业体系的运行环境通常极为确定。最初的设计完成后，这套体系在接下来几年中运行的程序、承载的职责都已经确定。这套系统的计算资源、存储资源和网络带宽资源都非常有限，留给未知元素的系统预留冗余非常少。由于与互联网分开，而且每个操作都可能具有全局影响，这些系统也很少升级软件，很多对IT设备已经构不成威胁的攻击反而会威励到工业体系的安全。

　　环境的变化终究快过既定的规划。当工业企业还在分散地应对不时而至的安全威胁时，外部环境的巨变即将证实：在一个全球互联的时代，这样的模式尚未开始就已经过时。

　　黑客的攻击

　　未知安全威胁带来的忐忑并没有持续多久，工业设施很快就成了黑客们攻击的目标。

　　2010年，伊朗核设施的工程师发现离心机的运营数据一直合乎要求，核研究却始终止步不前，他们一直没有办法得到预想中的结果——离心机的真实转速似乎无法满足实验的需要，但这与已经被验证过的科学理论不符。这些工程师不知道这种情况的出现是因为电气问题、施工问题、物理问题还是软件问题，于是就一次又一次地检验设施中的各个环节。

　　直到他们注意到核设施中那些安装了低版本windows系统的电脑纷纷蓝屏，才意识到可能感染了计算机病毒。这种病毒会摧毁低版本的windows系统。随后的研究发现，一种高级的蠕虫程序——震网病毒利用了wndovws系统中尚未被发现的4个漏洞，调整了商心机转速但并没有让这种调整在终端显示出来，正是这个病毒让伊朗的核计划被耽误了两年之久。

　　进一步的研究发现，为了让这种病毒感染未接入互联网的内部网络，黑客精心设计了一个“低调”的传播系统。在感染核设施中的计算机之前，这些病毒已经在伊朗“潜伏”了两年之久，一家总部设在伊斯法罕的工业自动化系统生产企业很早就被攻击，震网病毒还从那里带走了七份重要的工业企业图纸。随后，距离伊斯法军不远的一家钢铁企业也受到攻击，伊朗最大的工业园区中的上千个网络在这波攻击中遭受了损失。之后，被美国司法入制裁名单的内达实业集团被效击，这是又一家为水站、水泥，以及石油、天然气及石化企业是供工业自动化服务的公司。最后，震网病毒才绕过所有障碍，完成了对核设施的攻击。

　　全球最神秘、最安全的设施被黑客政克，说明工业控制系统已经无所适形。其实，经过不断的模索，黑客们早就建立了一套行之有效的攻击流程。一般来说，攻击者首先会通过网络扫猫，确定工业资产的类型、转换时间安排表和系统额外接入点，以此找到入侵系统的接口；随后，这些攻击者会对常用端口和服务进行进一步搜索分析，识别出常见的工业控制装备；接下来，这些攻击者会不留痕迹地在人机接口和历史数据库上建立自己的据点；一旦上述目标实现，攻击者就会通过渗透、控制、扰乱和攻击等方式破坏工业控制系统。疏于保护使得很多古老的攻击方式在工业40时代依然可以大行其道。除了蠕虫病毒，黑客频繁使用的另一种重要攻击手段——分布式拒绝服务攻击（Dsntributed Denial of Senvice）也极具价值。使用这种方法时，黑客首先会入侵多个联网设备，使之成为所谓的“僵户网络”。之后，黑客再操纵这个网络向目标计算机或者某个局域网控制下的工控体系发起进攻，使其因为不堪重负而瘫痪。去年，安全人员就发现了一个超过100万台设备的僵户网络，其中大多都是数字摄像机。

　　这种现象的背后是无意识的忽视。一项针对20个国家的359家企业的调查显示，31%的企业认为，其高管将工业系统的安全视作低优先级事项，尽管在过去的1年时间中，超过一半的企业都握历了至少1次安全攻击，还有4%的企业在相同的时间段内经历了4次安全攻击。

　　即便在最重视工业基础设施安全的美国，情况也从未令人满意。2015年，美国工控系统网络应急响应小组进行的调查发现，全美重要基础设施中存在至少638个严重的安全漏洞，“部署不完全的、过时的和存在漏洞的操作系统正严重威胁着美国重要工业基础设施的安全”，其中只是“对美国电网和相关设施的网络攻击，就可以造成每年1万亿美元的损失”。

　　原本，基于工业基础设施和互联网的不同，安全人员已经确立了不同的防护理念。在互联网领域，由于应用环境的变化非常迅速，防护策略的核心天长市黑名单制——那些被证明存在安全风险的应用都会被防护软件识别并删除，但在工业领域，由于应用环境的高度确定，安放策略的核心是白名单制——只有被新来的应用才能安装在系统上。但真实的情况是，由于种种原因，白名单制也没有在实际生产中得到很好的执行，工控系统因此变得更加脆弱。

　　震网病毒让西门子“意外”承担了巨大压力——尽管伊朗是西门子设备的禁运国，舆论在事件发生之初仍然普遍认为问题源自西门子的电气设备而非微软的操作系统。即便如此，胡建钧仍然觉得需要冷静思考，对于保护工业信息安全，到底应该做什么，怎么做。“这是一个充分调动了国家级资源去攻击一个企业或者工业设施的案例，这种攻击仅仅依靠企业力量很难完全抵御的，那我们的目标会是防范这种级别的风险么？”

　　胡建钧知道，无论怎样，改变迟早都会发生。

　　重建体系

　　2016年3月，西门子开始和清华大学蓝莲花团队合作。蓝莲花是国内最著名的黑客团队，他们在过去几年突破了一系列知名硬件的安全屏障，为这些硬件的改进提供了建义。在西门子指导下的一场模拟攻击中，蓝莲花团队利用勒索软件成功锁住了西门子的设备，并修改了控制程序。

　　“如果解决好匿名和利益输送两个问题，这就是一个完美的商业黑客软件了。”在西门子工作十多年后，胡建钧像了解自己的脾气一样了解工业安全，他知道这样的程序意味着什么。过去几件，他领导的团队一直在琢磨对手的“玩法”。

　　这之前，他们还在网络上设置了蜜罐系统来引诱黑客对西门子设备发起攻击。“我们想了解一下，针对工业体系的攻击有什么新特点，又是什么人对我们的设备感兴趣。”胡建钩的办公室旁就是西门子模拟黑客攻击行为的实验室，这里也是中国第一家由企业建立的信息安全实验室。每个工作日的白天，这里都会模拟最新攻击行为来检验系统安全水平。

　　“问题的出现，很多时候都是因为人的因素”，偏偏这种情况又非常多。员工们在值夜时玩游戏，他们那“几乎就是病毒库的U盘可以轻易将病毒带入内部网络；工业操作系统基本上不更新，病毒进入工业设施的内部网络之后简直如入无人之境；工业系统在运营一段时间之后需要设备调试，调试工程师习惯把个人电脑接入工业系统，但没人可以保证这些便携设备的安全；社会化工程就更是严重的安全隐患，免费U盘、钓鱼邮件等等都可以成为攻击的入口。

　　“我们最大的问题还是无法时刻洞察自身情况，”胡建钧说，“我们以为部署了防火墙会帮我们阳挡恶意攻击，殊不知它上面有直通的错误配置；我们以为这这台设备一直都在正常工作，殊不知它上面已经悄悄运行着木马程序；我们以为现在网络和当年的设计是一致的，殊不知上面已经新增了很多节点；所有情况都已经变化，而我们根本无法感知。”不能及时感知，就不可能及时进行控制，进而也谈不上有效管理。

　　胡建钩真正担心的是黑色产业链，链条上的人分工明确，配合专业，几乎无孔不入。他将在伊朗出现的工业安全事件定义成政治驱动的攻击行为，这类行为成本过于巨大，不会成为企业界的主流安全问题。但如果可以用低成本的方式发起政击，并获取巨额的利益，事情就不一样了，“天下熙熙，皆为利来；天下攘攘，皆为利往，一旦变成商业行为，力量之大无论如何评价都不为过”。

　　这种趋势已经有了苗头。2010年，中国重大工业基础设施遭受的政击还只有51次；到2015年，这个数字就增长到了341次，电力、石油、石化和军工的安全形势都堪称严峻。

　　今年年初的勒索软件席卷全球之后，胡建钩发现现实世界的变化太快了。一年前，他们刚意识到勒索软件可能让工业基础设施的制权落入他人之手，转眼之间，黑客就将勒索软件、比特币和匿名技术结合在了一起，其速度之快、效率之高简直令人咂舌。

　　西门子必须认真思考这些问题。作为当今世界最重要的工业体系建设者，西门子不想因为这些层出不穷的小问题影响到未来工业体系的建立和工业4.0理念的实行。在当今的工业体系中，这家低调的德国企业实在太重要了：他们既是全球最重要的设备提供商，也是相当重要的系统集成商，在某些时候还要扮演系统运营商的角色——西门子在成都的工厂早就被认为是工业4.0的样板工厂，其在安全领域的表现几乎决定着工业4.0理念的推进速度和程度。

　　西门子的传统保护手法是评估和执行。公司的工程师会首先对客户的整体状况进行评估，了解有些资产需要被列入受保护清单，不同资产又有着怎样的保护级别；之后，他们会和客户一起，通过软硬件系统的搭建、人才的培训和标准的建立来系统化提升工业控制系统的安全水平。

　　但建立在静态思想基础上的安全防护体系没有办法对外界的变化做出实时的反馈，也不能阻止企业安全水平逐步下滑的总体趋势。于是西门子决定延长自己的保护链。今年5月，西门子在苏州成立了工业信息安全运营中心，并首先将成都的样板工厂接入到这个运营中心里。未来，还将有越来越多的工厂被接入到这里，“至少那些对标中国制造2025和工业4.0的工厂，”胡建钩说，“我们希望它们能接进来。”

　　西门子为苏州的工业信息安全运营中心配备了25名全职工作人员。在北京，也有超过20人协助这个中心的运转，他们想把这个中心变成未来工厂大脑的一部分。只要那些先进的工业基础设施接入运营中心，他们就可以实时监控网络和数字化工业基础设施中出现的威励，并根据这些变化实时调整安全策略，同时给这些基础设施的运营者提出建议，双方共同保护设施的安全。为了更好服务国际及本地客户，运营中心在建设伊始就同时参考了国际和国内安全标准，目前运营中心已经获得了ISO27001国际认证，以及通过了国家等级保护三级的测试。

　　这不是一个孤立的团队。在德国慕尼黑、葡萄牙里斯本和美国米尔福德，西门子的另外三个信息安全中心可以为他们的中国同事提供必要支持，而这些地点分别对应不同的工业发展水平和工业文化，这是传统安全厂商无法比拟的竞争优势。因为这些，胡建钧并不觉得互联网安全厂商在这个领域的跨界发展会是个大威胁，“要做好工业安全首先要洞察工业的本质，最合适的工业安全理念一定发源于有深厚工业背景和前增意识的企业。”

　　摘自：《环球科学》2017年9月号

　　方行苇