1.4 工业互联网的安全事件

近年来工业领域的网络安全事件频频发生，主要集中在设备层和控制层。工控领域长期以来是攻击者攻击的重点，并且对控制层的攻击无论影响程度和破坏程度都比较大。设备层的攻击目前是一个新兴的点，这主要是由于工业互联网的开放化，并且设备层中大量使用嵌入式设备，这些设备无论从资源还是运算能力都得到了极大的提高，同时都采用如Linux等开源操作系统，攻击门槛并不高。随着工业互联网的不断发展深入，加上云平台、IPv6、SDN和5G等技术的应用，除了控制层和设备层的攻击之外，将会有越来越多的攻击逐渐延伸到工业云平台、网络、数据等层面。通过对比近几年全球范围内工业互联网的安全事件与之前几年工业互联网的安全事件发现，近年来针对工业互联网的网络攻击不断攀升，受攻击的目标范围不断扩大，传统的攻击目标主要是SCADA等工业控制系统，近几年逐渐波及工业设备、云服务器、IT设备等，攻击方式也越来越多样化，如勒索软件、挖矿病毒、僵尸网络等。

工业互联网作为国家重点信息基础设施的重要组成部分，正在成为全世界最新的地缘政治角逐战场。例如，包括能源、电力等在内的关键网络已成为全球攻击者的首选目标。当前，网络安全威胁正在加速向工业领域蔓延，工业互联网安全事件频发已经严重影响到经济社会正常运行及国家安全，接连发生的安全事件引发各国对工业互联网安全的高度重视与关注。

2010年6月，伊朗纳坦兹核工厂离心机遭受“震网”（Stuxnet）蠕虫病毒破坏。该病毒侵入了西门子公司为核电站设计的工业控制软件，导致1000多台用以浓缩铀的离心机运行失控、最终高温自毁而报废。

2015年12月，欧洲乌克兰电力系统遭到高度破坏性的恶意软件BlackEnergy攻击，攻击者通过内网渗透，利用系统漏洞获取SCADA系统控制权限，远程操控SCADA系统，对系统直接发送相关跳闸操作命令。乌克兰至少有三个区域的电力系统被攻击，其中部分变电站的控制系统遭到破坏，监控管理系统同时遭到入侵，造成大面积停电，整个停电事件持续数小时之久。同时，停电过程中，电力线路保修中心遭受自动拨号软件的恶意攻击，导致客户系统阻塞，干扰事故处理和恢复，约140万人受到此事件影响。在发电站遭受攻击的同一时间，乌克兰境内的其他多家能源企业（如煤炭、石油公司）也遭到了针对性的网络攻击。

2020年2月，美国网络安全和基础设施安全局（CISA）发布公告，称一家未公开名字的天然气公司因遭受勒索软件攻击后被迫关闭设施两天。攻击从钓鱼邮件内的恶意链接发起，以IT网络为跳板攻击到OT网络的ICS资产，勒索软件对IT和OT资产都造成了影响。

2020年4月，以色列的废水处理厂、泵站、污水处理设施的SCADA系统多次遭受了网络攻击，以色列国家网络局发布公告称，各能源和水行业企业需要紧急更改所有联网系统的口令，以应对网络攻击的威胁。

2020年4月，葡萄牙跨国能源公司（Energias de Portugal，EDP）遭到勒索软件攻击。攻击者声称，已获取EDP公司10TB的敏感数据文件，并且索要1580比特币赎金（折合约1090万美元/990万欧元）。

2020年6月7日，本田汽车位于美国、欧洲及日本分公司的服务器遭勒索软件攻击。BBC的报道显示本田在48小时遭遇了极为惨烈的勒索软件攻击：勒索软件已经传播到本田的整个网络，影响了本田的计算机服务器、电子邮件以及其他内网功能。该攻击事件影响了本田公司在全球的业务，导致计算机和其他装置无法作业，造成部分工厂停工，损失十分严重。

2021年2月，美国佛罗里达州奥尔兹马尔的一个水处理基础设施遭到袭击，攻击者获得了水处理工厂系统的访问权限，并且试图将住宅和商业饮用水中的氢氧化钠的含量从百万分之100提高到百万分之1100，而这可能会使公众面临中毒的风险。攻击者盗用了工厂工作人员的TeamViewer凭证，用来远程监控系统。由于口令共享，黑客很容易就获得了访问权限，并开始在HMI（人机接口）中进行未经授权的更改。幸运的是，工作人员发现了该漏洞，从而避免了一场灾难。工控安全咨询公司Dragos在调查后指出，攻击者在水利基础设施建设公司的站点上部署了一个水坑，并收集了一系列信息，以提高僵尸网络恶意软件模拟合法Web浏览器活动的能力，而且该水坑攻击恶意脚本存在了将近两个月。

2021年5月，美国最大的燃油管道商Colonial Pipeline遭到勒索软件定向攻击，这次勒索攻击相当于切断了美国东部地区油气输送的主要动脉，导致其业务受到严重影响。此次勒索攻击由于涉及国家级关键基础设施，故而引起了全球的震动和广泛关注。

2021年5月，位于挪威的欧洲能源及基础设施企业技术方案供应商Volue公司遭到Ryuk勒索软件攻击。由于勒索软件关闭了挪威200座城市的供水与水处理设施的应用程序，导致挪威国内约85%的居民生活受到影响。攻击事件发生后，Volue公司迅速采取措施，关闭了托管的多种应用程序，将设备进行隔离，并调查攻击细节、影响范围以及可能产生的后果。

2021年11月，丹麦风力涡轮机巨头维斯塔斯（Vestas Wind Systems）遭遇网络攻击，这起事件破坏了其部分内部IT基础设施并导致尚未明确的数据泄露。攻击事件发生后，维斯塔斯的股价跌至两周低点。此次事件中，公司数据被挟持和加密，并且被勒索高额赎金，这些特点都属于勒索软件攻击的特征。

网络空间威胁行为体仍然会将关键基础设施、非PC目标、SCADA/ICS/IoT、车联网、无人机甚至卫星基础设施作为攻击目标；复合手段的攻击仍然会持续，比如威胁行为体会将攻陷的IoT、IT节点组织为僵尸网络，成为后续勒索和间谍行动的支点或跳板；网络攻击会成为国家级威胁行为体在外交对抗与军事冲突之间的更为折中的选项；网络战的阴霾持续加剧等。在新基建浪潮的推动下，工业网络安全产业将迎来新一轮发展机遇和巨大的发展空间。不可否认的是，工业行业普遍存在历史性、系统性存量网络安全问题（如先天的协议和设计缺陷、技术防护措施不到位、威胁感知能力不足、安全制度落实不力、应急处置能力不足等）与5G、云计算、大数据、物联网等新兴技术应用带来的新风险新问题（如平台安全、数据安全、应用安全、设备安全、控制安全）的叠加，形成了更为复杂严峻的网络安全挑战和现实威胁。面对这种系统性、全局性现实威胁以及可能产生灾难性的后果和影响，需要网络安全能力供给方、行业监管部门和工业企业精诚团结，密切协作，全面把握“危”与“机”，以变应变、以变求变，立足大局，把握大势，谋求网络安全对抗新优势。