新形勢下關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)

云曉春（國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）

隨著“互聯(lián)網(wǎng)+”“中國制造2025”國家戰(zhàn)略的提出，我國“兩化”融合的步伐正在不斷加快，網(wǎng)絡(luò)空間的邊界向關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域不斷延展，工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)也因此正面臨著嚴(yán)重的網(wǎng)絡(luò)安全威脅。

圖1 工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)正面臨著嚴(yán)重的網(wǎng)絡(luò)安全威脅

1 網(wǎng)絡(luò)安全新形勢

目前出現(xiàn)的網(wǎng)絡(luò)安全威脅可以歸結(jié)到兩個(gè)方面。第一，IT技術(shù)的廣泛應(yīng)用帶來更多的安全隱患。工控、物聯(lián)網(wǎng)領(lǐng)域越來越多地使用通用操作系統(tǒng)、數(shù)據(jù)庫和服務(wù)器等IT類產(chǎn)品，使攻擊者能夠輕易地利用現(xiàn)有系統(tǒng)的安全漏洞實(shí)現(xiàn)入侵、攻擊。如震網(wǎng)病毒正是利用Windows操作系統(tǒng)的多個(gè)漏洞實(shí)施攻擊。第二，全方位的開放互聯(lián)增加更多的攻擊平面。工控、物聯(lián)網(wǎng)系統(tǒng)可以通過互聯(lián)網(wǎng)直接或間接地訪問、管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的雙向信息交互成為常態(tài)。開放互聯(lián)趨勢使得網(wǎng)絡(luò)攻擊平面得到極大的拓展，相應(yīng)的安全防御邊界也需要進(jìn)一步擴(kuò)展。

圖2 近幾年來比較典型的網(wǎng)絡(luò)安全事件

2010年成功攻擊伊朗核設(shè)施的Stuxnet病毒和2016年攻擊烏克蘭電力系統(tǒng)的BlackEnergy惡意代碼，都是對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，是近幾年來比較典型的網(wǎng)絡(luò)安全事件，但其中BlackEnergy惡意代碼事件造成更大的震動(dòng)。

為什么兩次的攻擊事件會(huì)造成不同的反響呢？首先需要對兩次事件進(jìn)行一個(gè)全方位比較。

圖3 兩次網(wǎng)絡(luò)攻擊事件的全方位比較

可以看出，這兩次攻擊的目標(biāo)都是針對關(guān)鍵國家基礎(chǔ)設(shè)施，兩次攻擊也都是通過互聯(lián)網(wǎng)對于現(xiàn)實(shí)空間的物理基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊的。但在2010年的Stuxnet病毒事件出現(xiàn)以后，大家都只是覺得這是一個(gè)高水平的、由國家長時(shí)間謀劃并采用高精尖的技術(shù)才能產(chǎn)生的攻擊事件，難度系數(shù)大，并不認(rèn)為會(huì)經(jīng)常發(fā)生，但是2016年攻擊烏克蘭電力系統(tǒng)事件被稱為是BlackEnergy惡意代碼的事件，其中所展現(xiàn)出來的攻擊水平就并不是那么高明，所使用的是普通病毒，利用電廠跟互聯(lián)網(wǎng)的連接，用普通的方式發(fā)動(dòng)攻擊，同樣也造成嚴(yán)重的影響。因此我們可以得出這樣一個(gè)結(jié)論，目前對于關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，已經(jīng)不只是高端技術(shù)的攻擊，一般性的、普遍意義上的攻擊，也能夠?qū)﹃P(guān)鍵信息基礎(chǔ)設(shè)施造成重大的危害。

基于這些原因，對于網(wǎng)絡(luò)安全對抗的發(fā)展趨勢，我們也可以得出以下三個(gè)觀點(diǎn)：

第一，針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防研究已然成為各國政府、安全界乃至暴恐組織的關(guān)注重點(diǎn)，相關(guān)的攻防對抗事件正在持續(xù)增加。美俄兩個(gè)主要大國均已具備很強(qiáng)的針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊能力，并在持續(xù)增強(qiáng)其攻擊能力。無論是從攻擊效果、攻擊成本，還是攻擊隱蔽性乃至攻擊可控性看，針對國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將有可能逐步取代傳統(tǒng)的軍事戰(zhàn)爭，成為各國政府的優(yōu)先選擇手段之一。與傳統(tǒng)的物理攻擊方式相比，網(wǎng)絡(luò)攻擊對攻防雙方具有明顯的不對稱性（遠(yuǎn)程、普適、隱匿、經(jīng)濟(jì)），未來必然成為暴恐組織的優(yōu)先選擇手段之一。

第二，對絕大多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施而言，聯(lián)網(wǎng)與否都不是保證其安全的決定條件。特別是隨著互聯(lián)網(wǎng)與信息技術(shù)的應(yīng)用不斷拓展，開放互聯(lián)是大勢所趨，它們也因此將面臨更為嚴(yán)峻的安全威脅。

第三，對絕大多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施而言，SCADA系統(tǒng)（HMI）處于管理域與控制域的結(jié)合點(diǎn)，PLC系統(tǒng)是工業(yè)控制的核心設(shè)備裝置，它們本身缺乏必要的安全機(jī)制，同時(shí)又缺乏安全防護(hù)措施，成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。

2 安全保障新要求

新時(shí)代、新形勢、新任務(wù)也帶來安全保障的新要求。

（1）安全意識(shí)和責(zé)任。目前面臨的網(wǎng)絡(luò)安全問題，很多是意識(shí)問題，需要樹立正確的網(wǎng)絡(luò)安全觀，不斷強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，在頭腦中真正筑起網(wǎng)絡(luò)安全的“防火墻”，“只重發(fā)展輕安全、重建設(shè)輕防護(hù)”“關(guān)起門來搞更安全，不愿立足開放環(huán)境搞安全”“網(wǎng)絡(luò)安全是中央的事、專業(yè)部門的事，同自己無關(guān)”這些看法都是不正確的。

同時(shí)，要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任制度，行業(yè)、企業(yè)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者承擔(dān)主體防護(hù)責(zé)任，主管部門需履行好監(jiān)管責(zé)任。在網(wǎng)絡(luò)安全檢查中可以發(fā)現(xiàn)，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)水平不高，物理隔離防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易和教育等信息可被竊取。一些重要工控企業(yè)對外國技術(shù)依賴嚴(yán)重，生產(chǎn)控制系統(tǒng)由外國公司建設(shè)，網(wǎng)絡(luò)安全配置由外方人員操控，企業(yè)內(nèi)部人員甚至不掌握安全設(shè)備配置和管理權(quán)限。

（2）檢測認(rèn)證與審查。2017年5月，網(wǎng)信辦出臺(tái)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》，其中第二條規(guī)定：關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。2017年6月四部門發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，明確指出：列入該目錄的設(shè)備和產(chǎn)品，應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或安全檢測符合要求后，方可銷售或提供。同月，四部門還發(fā)布了《承擔(dān)安全認(rèn)證和安全檢測任務(wù)機(jī)構(gòu)名錄（第一批）》。

結(jié)合上位文件和當(dāng)前的情況，對于如何做好檢測認(rèn)證與審查，這里提三點(diǎn)建議:

①對于關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域采用的核心設(shè)備與裝置，應(yīng)實(shí)施例行的入網(wǎng)安全檢測與認(rèn)證，必要時(shí)進(jìn)行全面的網(wǎng)絡(luò)安全審查，以掌握其安全性狀況；②相關(guān)的網(wǎng)絡(luò)安全檢測與認(rèn)證，其檢測標(biāo)準(zhǔn)、方法和工具必須由我方完全自主可控；③通過安全檢測與認(rèn)證，建立統(tǒng)一的國家漏洞信息共享平臺(tái)。

（3）安全巡檢與評估。習(xí)近平總書記在“4·19”講話中指出：“要加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，明確保護(hù)范圍和對象，及時(shí)發(fā)現(xiàn)隱患、修補(bǔ)漏洞，做到關(guān)口前移，防患于未然”。

按照總書記的要求，這里提兩點(diǎn)建議：

①上線前要進(jìn)行風(fēng)險(xiǎn)評估。對于有聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）需求的關(guān)鍵信息基礎(chǔ)設(shè)施，須具備必要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控能力，應(yīng)對其進(jìn)行上線前的風(fēng)險(xiǎn)評估。評估主要可以從安全防護(hù)措施和安全應(yīng)急能力兩個(gè)方面進(jìn)行。

②做好運(yùn)行中的安全巡檢。對已聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）的關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)對其開展不定期地遠(yuǎn)程巡檢或現(xiàn)場檢查，以全面掌握國家關(guān)鍵信息基礎(chǔ)設(shè)施的整體安全性狀況。

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）在對全國范圍內(nèi)電力、煤炭、水務(wù)、燃?xì)?、供熱、消防、電梯、視頻監(jiān)控等多個(gè)行業(yè)的1500多個(gè)聯(lián)網(wǎng)生產(chǎn)運(yùn)行系統(tǒng)或云平臺(tái)開展遠(yuǎn)程安全巡檢中發(fā)現(xiàn)，超過20%存在嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與隱患。

（4）態(tài)勢感知與預(yù)警。習(xí)近平總書記在“4·19”講話中指出：“聰者聽于無聲，明者見于未形”。感知網(wǎng)絡(luò)安全態(tài)勢是做好網(wǎng)絡(luò)安全工作的基礎(chǔ)。如果對網(wǎng)絡(luò)攻擊感知不到位、預(yù)警不及時(shí)、行動(dòng)不統(tǒng)一，反射弧太長，就會(huì)錯(cuò)失良機(jī)。

因此，需要在三方面著手加強(qiáng)：

①加強(qiáng)網(wǎng)絡(luò)安全信息的統(tǒng)籌機(jī)制、手段和平臺(tái)的建設(shè)。把政府和企業(yè)、國內(nèi)和國外的安全威脅、風(fēng)險(xiǎn)情況和事件信息匯集起來，綜合分析、系統(tǒng)研判，既掌握網(wǎng)絡(luò)空間當(dāng)前狀態(tài)，又分析下一步動(dòng)態(tài)，為科學(xué)決策指揮提供依據(jù)。

②加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力的建設(shè)。實(shí)現(xiàn)對網(wǎng)絡(luò)安全重大事件的統(tǒng)一協(xié)調(diào)指揮和響應(yīng)處置。

③加強(qiáng)網(wǎng)絡(luò)安全主動(dòng)發(fā)現(xiàn)和監(jiān)測預(yù)警的能力建設(shè)。通過在網(wǎng)絡(luò)空間開展聯(lián)網(wǎng)設(shè)備、組件及系統(tǒng)的探測發(fā)現(xiàn)，有助于我們提前發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的關(guān)鍵信息基礎(chǔ)設(shè)施及其組件。通過在互聯(lián)網(wǎng)關(guān)口對工控及物聯(lián)網(wǎng)通信流量的監(jiān)測分析，有助于及時(shí)發(fā)現(xiàn)境外國家或組織對我國關(guān)鍵信息基礎(chǔ)設(shè)施所實(shí)施的探測、滲透、竊密或破壞等惡意行為。

（5）數(shù)據(jù)跨境監(jiān)管。國家的數(shù)據(jù)安全問題越來越突出，特別是重要數(shù)據(jù)出境的監(jiān)管變得愈發(fā)重要。監(jiān)測發(fā)現(xiàn)是關(guān)鍵，根據(jù)監(jiān)測結(jié)果來進(jìn)行信息通報(bào)和違規(guī)查處。CNCERT目前已具備對生物醫(yī)療領(lǐng)域三大類數(shù)據(jù)（生物基因、醫(yī)學(xué)影像、身份識(shí)別）的識(shí)別與監(jiān)測能力。

（6）安全保障體系。如何強(qiáng)化不同地區(qū)、不同行業(yè)、不同領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施之間的威脅信息共享，加強(qiáng)協(xié)同應(yīng)對，著力構(gòu)建全國一體化的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，這是一個(gè)值得思考也必須思考的問題。

圖4

經(jīng)過數(shù)年來的研究和實(shí)踐，可以考慮如下模式：

①建立行業(yè)應(yīng)急支撐隊(duì)伍。面向電力、石化、交通等不同關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，從安全廠商中評選技術(shù)實(shí)力強(qiáng)、社會(huì)責(zé)任感強(qiáng)的企業(yè)組成應(yīng)急支撐隊(duì)伍。

②建設(shè)預(yù)警通報(bào)機(jī)制。面向產(chǎn)品制造商和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)提供工控及物聯(lián)網(wǎng)產(chǎn)品漏洞、惡意代碼、安全事件、行業(yè)安全態(tài)勢等的信息共享與預(yù)警通報(bào)。

③完善應(yīng)急處置機(jī)制。當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，提供相關(guān)場景下的有效處置流程，必要時(shí)支撐開展實(shí)地取證分析和網(wǎng)絡(luò)系統(tǒng)恢復(fù)。

④加強(qiáng)應(yīng)急演練。幫助關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)構(gòu)建復(fù)雜工業(yè)網(wǎng)絡(luò)場景下應(yīng)急演練環(huán)境并組織攻防對抗演練、安全技能培訓(xùn)。

3 安全研究成果

近年來，基于CNCERT自主研發(fā)的分布式隱匿探測平臺(tái)，一直針對聯(lián)網(wǎng)設(shè)備及系統(tǒng)進(jìn)行探測掃描，在全球IP地址空間，對聯(lián)網(wǎng)的工控系統(tǒng)及物聯(lián)網(wǎng)系統(tǒng)和設(shè)備進(jìn)行掃描探測；并通過構(gòu)建設(shè)備指紋庫、全球IP定位庫和產(chǎn)品漏洞信息庫，可以識(shí)別生產(chǎn)廠商、產(chǎn)品型號及版本和所在地理位置，進(jìn)而匹配設(shè)備漏洞信息，掌握聯(lián)網(wǎng)系統(tǒng)和設(shè)備的整體安全態(tài)勢。

圖5

平臺(tái)通過對全球網(wǎng)絡(luò)空間的IP地址進(jìn)行探測掃描，重點(diǎn)對工控及物聯(lián)網(wǎng)系統(tǒng)和設(shè)備進(jìn)行發(fā)現(xiàn)、識(shí)別和漏洞關(guān)聯(lián)。平臺(tái)所使用的系統(tǒng)支持對50多類主流通信協(xié)議（工控和物聯(lián)網(wǎng)）展開探測，支持識(shí)別80多個(gè)廠商產(chǎn)品，這些產(chǎn)品范圍覆蓋PLC、HMI、工業(yè)交換機(jī)、SCADA系統(tǒng)、攝像頭、路由器、DTU等40余大類產(chǎn)品。通過系統(tǒng)探測結(jié)果自動(dòng)與漏洞庫關(guān)聯(lián)，匹配設(shè)備相關(guān)漏洞信息，識(shí)別潛在安全威脅。目前已發(fā)現(xiàn)全球2.2億余個(gè)網(wǎng)站， 1200萬個(gè)視頻攝像設(shè)備， 790萬余臺(tái)路由設(shè)備，9.1萬個(gè)工控設(shè)備。

目前，通過對國內(nèi)聯(lián)網(wǎng)工業(yè)控制設(shè)備及系統(tǒng)的探測掃描，發(fā)現(xiàn)國內(nèi)聯(lián)網(wǎng)工控設(shè)備共計(jì)14728臺(tái)，2018上半年CNCERT新增發(fā)現(xiàn)暴露設(shè)備1138臺(tái)，其中，數(shù)量排名前5位的省份為：臺(tái)灣（652）、香港（115）、江蘇（41）、浙江（39）、黑龍江（37），涉及Siemens、Schneider、Moxa等多家廠商生產(chǎn)的工控產(chǎn)品，大量設(shè)備存在拒絕服務(wù)、信息泄露、緩沖區(qū)溢出等高危漏洞。

圖6 新增暴露設(shè)備的全國分布

圖7 新增暴露設(shè)備的漏洞類型

另外，針對國內(nèi)的聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)云平臺(tái)的巡查中， CNCERT檢測到國內(nèi)聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)云平臺(tái)（含WEB監(jiān)控管理系統(tǒng)）共計(jì)1968個(gè)，其中2018上半年新增發(fā)現(xiàn)1016個(gè)，涉及消防、供水、醫(yī)療、基因檢測行業(yè)。

圖8 新增平臺(tái)的行業(yè)分類和比例

主要分布在北京、浙江和廣東等信息產(chǎn)業(yè)發(fā)達(dá)省份；通過安全巡檢，發(fā)現(xiàn)有超過23%的系統(tǒng)存在嚴(yán)重的安全漏洞，易被入侵。

圖9 新增平臺(tái)的全國分布

目前，CNCERT自主研發(fā)的工控物聯(lián)網(wǎng)安全監(jiān)測平臺(tái)通過對互聯(lián)網(wǎng)關(guān)口流量進(jìn)行大數(shù)據(jù)分析，可實(shí)現(xiàn)：

（1） 通聯(lián)狀況監(jiān)測：對 Modbus、S7Comm、Ethernet/IP等數(shù)十種工控物聯(lián)網(wǎng)協(xié)議進(jìn)行監(jiān)測和設(shè)備畫像，對跨省、跨境協(xié)議通信等數(shù)據(jù)進(jìn)行分析，綜合研判設(shè)備的在線規(guī)模和對外通聯(lián)情況；

（2）安全態(tài)勢監(jiān)測：對工控物聯(lián)網(wǎng)系統(tǒng)遭到的探測掃描、滲透竊密、僵尸木馬等各類攻擊行為的實(shí)時(shí)檢測、分析、溯源和總體呈現(xiàn)，快速準(zhǔn)確地感知惡意代碼、異常行為、未知威脅；

（3）跨境數(shù)據(jù)監(jiān)測：對目標(biāo)領(lǐng)域中重要數(shù)據(jù)的跨境傳輸進(jìn)行實(shí)時(shí)監(jiān)測，以發(fā)現(xiàn)違規(guī)違法行為。

圖10 基于流量的工控物聯(lián)網(wǎng)設(shè)備畫像

在對跨境異常通聯(lián)行為監(jiān)測中，2018上半年累計(jì)監(jiān)測到與Modbus、S7Comm等工業(yè)協(xié)議相關(guān)的跨境通聯(lián)行為3632777次，涉及27688個(gè)境外IP地址，分布于全球91個(gè)國家或地區(qū)。發(fā)現(xiàn)隸屬于Shadowserver、Shodan等機(jī)構(gòu)的36個(gè)境外IP，對境內(nèi)開展長期、持續(xù)、大范圍的掃描探測；發(fā)現(xiàn)大量來自境外的IP，針對根云、航天云網(wǎng)等工業(yè)云平臺(tái)發(fā)起DDoS、HTTP和WEB CGI等多種類型的網(wǎng)絡(luò)攻擊。

圖11 工控相關(guān)的跨境通聯(lián)行為

圖12 針對工業(yè)云平臺(tái)的攻擊行為

大量的基因數(shù)據(jù)出境行為也在基因數(shù)據(jù)跨境傳輸監(jiān)測中被發(fā)現(xiàn)，從2017年5月至今，共發(fā)現(xiàn)4391家境內(nèi)單位疑似發(fā)生基因數(shù)據(jù)出境行為，包括高等院校和科研院所（占比19%）、醫(yī)療機(jī)構(gòu)（占比9%）和生物技術(shù)企業(yè)（占比72%）。我國基因數(shù)據(jù)流向境外6個(gè)大洲、229個(gè)國家和地區(qū)，跨境傳輸925萬余包次；涉及境內(nèi)IP地址近358萬個(gè)，境外IP地址近62萬個(gè)。

圖13