能源互联网时代的安全焦虑

　　“你正在被监视。”刚回归的美剧《疑犯追踪》第五季以此为开场白。这绝不是危言耸听。在人人拥有智能手机的今天，一个升级包、没有密码的公共wifi、随意打开的一封邮件、一张图片……太多行为可以让隐私暴露在光天化日之下。

　　如果不是参加5月24日的2016中国石油石化企业信息技术交流大会，记者不会意识到信息安全威胁已经给个人和社会带来如此严峻的挑战。更不知道保障社会运行发展的基础设施尤其是能源行业早已成为黑客的目标——2010年伊朗核设施遭受“震网”病毒攻击导致无法正常运行；2014 年，阻断电力供应或破坏、劫持工业控制设备的“超级电厂”病毒让全球上千座发电站遭到攻击；2016年1月，乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件BlackEnergy攻击，成千上万的家庭在黑暗中度过……

　　黑色产业链已形成

　　电力、水利、石油化工、冶金、汽车、航空航天……超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。随着“工业4.0”时代的来临和“两化融合”脚步的加快, 工控设备高危漏洞、无线技术应用的风险、工业网络病毒、外国设备后门、高级持续性威胁等越来越多的网络安全隐患被带入了工业控制系统。与互联网和办公网相比，工控系统采用私有协议、运行环境相对落后，无法通过打补丁来解决安全问题。

　　2015年被ICS-CERT（美国工控系统网络应急响应小组）收录的工业控制网络攻击事件达到295起，其中能源行业排名第二，达到46起、占比16%。

　　和传统的信息安全攻击让人断网、电脑中毒、格式化硬盘相比，攻击工业控制系统导致加油站爆炸、电网断电的影响力和报酬显然更让黑客着迷。在网络恐怖主义渐起的今天，一个黑色产业链已经悄然形成。

　　“几年前，一个核心漏洞就可以卖到几十万欧元。”北京匡恩网络科技责任有限公司技术委员会主席、首席战略官孙一桉告诉《中国能源报》记者：政府、恐怖组织、竞争对手都可能成为攻击来源。2015年已经出现了恐怖分子利用工业控制系统进行网络袭击的案例；朝鲜和伊朗曾成功攻击了美国的网站和加油站。“防止这种攻击比防止核扩散还难，一封电子邮件就可以传播攻击代码。”

　　为什么采用物理隔离的工业控制系统还会被病毒攻击？事实上没有绝对的隔离，绝对的隔离意味着灵活性的丧失。北京洋浦伟业科技发展有限公司（梆梆安全）高级副总裁席曼丽告诉记者，完全的孤岛系统是无法有效提供服务的。出于工作便利性的需求，乌克兰电网和德国钢厂都存在控制类与非控制类系统未进行物理隔离，业务系统与工业系统联网的问题。用户在业务系统收发邮件、移动办公时，就非常容易遭受到有预谋的攻击。

　　另一个带有移动互联网时代特征的新趋势是，人们应用最为广泛的各类APP是恶意攻击者下手的主要目标。席曼丽告诉记者，恶意攻击者会对APP进行反编译、二次打包、插入广告、盗版，还会劫持用户的键盘操作、拦截短信验证码等。现在许多攻击还开始对移动设备与云端的通讯通道下手，进行信号劫持。有些无人机、智能设备的破解就是从通讯协议入手实现的。

　　能源互联网，真的准备好了吗？

　　随时随地的产能用能、随处可见的智能终端……人们能想到任何能源互联网的便利之处，都蕴藏着巨大的风险。

　　北京神州绿盟信息安全科技股份有限公司副总裁李晨告诉记者，随着信息技术的不断发展，石油石化领域的传统工业控制系统正在从孤岛式、封闭式结构，转为开放的形式，很多企业将生产环境转变为网络自动化形式，所有的设备都通过网络连接、搭建、管理和控制，这导致信息安全问题也接踵而至。2015年发生的乌克兰电力遭受攻击事件看到，在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的情况下，就可以达到对工控系统的运行影响 。除此之外，传输安全、服务器、数据库的保密性……这一系列都需要体系化的考虑和设计。

　　随着能源互联网的推进，大的统一电网体制会带来越来越多稳健性问题。某一环节或者节点的故障，可能会产生多米诺骨牌效应使整个网络瘫痪。“可再生能源发电的不确定性和雨雪冰冻等极端天气对能源互联网造成的损失可能会远远大于对传统电网的影响。同时对网络安全的要求也更苛刻，一旦遭受攻击，可能会致使整个网络瘫痪。” 南丹麦大学副教授任竞争认为，我国应积极推动面向能源互联网的信息安全技术的研究、开发和示范，同时完善相关技术标准和法律法规建设。

　　匡恩网络发布的《2015工业控制网络安全态势报告》显示，随着智能电网规模的扩大，电力系统结构的复杂性将显著增加，导致接口数量激增、电力子系统之间的耦合度更高，很难在系统内部进行安全域的划分，安全防护变得尤为复杂。

　　当前大量智能、可编程设备被接入系统，用于实现对电网运行状态实时监控、故障定位以及修复。这些智能设备一般都支持远程访问，比如远程断开/ 连接、软件更新升级等。利用某些软件漏洞,黑客可以入侵这些智能终端,操纵和关闭某些功能,暴露用户的使用记录,甚至可以通过入侵单点来控制局部电力系统。

　　用户侧的安全威胁也是能源互联网面临的全新课题。未来用户和电网之间将会出现更加广泛的联系,实现信息和电能的双向互动。基于AMI系统,用户侧的智能设备（如智能电器、插拔式电动车等）都将直接连到电力系统，不可避免地给用户带来安全隐患：一方面用户与电力公司之间的信息交互涉及到公共互联网,用户的隐私将会受到威胁;另一方面家用的智能设备充分暴露在电力系统中,易受到黑客攻击。

　　能源互联网海量的感知终端意味着一切皆连接，战线拉长了，黑客们拥有了更多的突破点。

　　绑好鞋带再起跑

　　阿里巴巴集团研究员、云盾负责人吴瀚清把黑暗森林法则应用在企业安全上：一旦暴露在公众的视野中，黑客就会对你很感兴趣。世界杯期间，彩票网站受攻击很厉害；在热钱涌入P2P小贷行业期间，整个P2P小贷行业受攻击非常频繁。低调可以保护你一时，但是无法永远保护你，因为业务要发展，必然会暴露在公众的眼中。

　　中石油一位业内人士曾和孙一桉交流，认为现在防护越来越难，“以前是离散的工厂，现在开始互联互通、智能工厂了,工控系统网络安全防护难度越来越大。”

　　“我们国家正在智能化转型的关键节点，如果不做好安全设计规划，就像房子都装修好了再加新风系统一样麻烦且不可行，更像跑起来不系鞋带一样危险。”孙一桉认为，我们不能再重蹈互联网对安全设计与规划重视度不足的覆辙。在全国大建智能工厂、智能制造的过程中，早期做好网络安全的设计、规划、服务非常关键。对工业控制系统的防护，不是简单的杀毒、防火墙、加设备这么简单，建立有效的防护体系才是关键。

　　“眼下比较紧迫的有两个方面，首先是感知能力，2013年havex病毒攻击了全世界上千家能源企业，美国和西班牙可以实时报出有多少企业受到了攻击，而我们不行——并不是没有被感染，而是欠缺感知能力。我们正在很多行业部署设备，提供服务监测，让企业知道其实这种事情已经发生。”孙一桉告诉记者。

　　接下来就是防护。全面的安全评估之后，防护要从四个方面入手。匡恩独创了涵盖“结构安全性、本体安全性、行为安全性和基因安全性”及“时间持续性防护”的“4+1”安全防护体系。首先，工控系统的安全必须建立在结构安全的基础上，即基础设施建设过程中网络结构、区域和层次的划分必须满足安全要求。工控系统一旦切断可能造成停产甚至安全事故。只能先隔离故障的部分，其余部分继续生产。采集数据可以停，但生产不能停。

　　第二是本体安全，确保设备自身不带病毒、漏洞和后门，或者知道哪里有后门。

　　工控系统的设计与调试周期长达数年，考虑到经济效益，补偿性措施非常重要。

　　第三是行为安全，即系统内部和外部发起的行为是否具有安全隐患。攻击手段已经越来越复杂，havex病毒的每一个步骤看起来都合法，但连起来就是恶意的。匡恩在入侵特征检测做了大量工作，包括智能学习引擎、黑白名单防护等，应用在了很多行业。

　　最后是基因安全，即CPU、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信、自主可控。这需要厂商的配合，在设备里逐渐植入工具，周期比较长。

　　这四个安全解决后，还需要时间的持续性——有相应的组织架构、人员、流程确保长期的监控、感知、分析攻击，这是个系统工程。

　　2014年起步的匡恩网络虽然时间不长，但已经在全国15个城市建立了分公司和技术中心，逐渐形成覆盖工业控制系统全生命周期的系列产品,参与并推动多个智能工业网络安全相关国家标准和行业标准的制定，拥有全国唯一一家关键基础设施控制网络安全防护技术实验室。

　　刚刚当选中国网络安全产业联盟第一届关键基础设施保护工作委员会主任的孙一桉告诉记者，因为起步较晚、实践经验不足，所以和发达国家相比，我国在标准上亟待完善。虽然匡恩参与了十几个标准的制定，但这个过程推行的很慢。传统的信息安全有自己的组织、理念，工业控制又有自己的一套理念，两个糅合在一起做标准非常难。

　　不要等到事件驱动

　　有趣的是，工控系统的防护在企业内部遭遇到一些尴尬——谁来拍板负责？孙一桉参加过国内某大型钢铁企业的一次工控系统安全会议，分管的副总非常重视，坐在很长的会议桌的中间。一端坐着负责IT（信息中心）的人，另一端坐着负责OT（生产运维）的人，副总叫了好几次，他们都不肯坐在一块儿。到底用什么方法？真出了问题谁来负责任？常常存在很多分歧。

　　对安全的重视和实施来自三个方面：政策驱动、事件驱动和技术驱动。2014年我国成立了由国家主席习近平直接领导的中央网络安全和信息化领导小组,2015年6月和7月我国相继颁布了《中华人民共和国网络安全法(草案)》和第29号主席令《中华人民共和国国家安全法》。

　　孙一桉表示，乌克兰电网事件之后，公安部、工信部、网信办等各部委高度重视工控安全。国资委2014年做试点以来，匡恩也积极参与，与电力石化冶金烟草等试点项目进行了多方位合作。去年开始配合国家有关机关，对很多行业特别是电力行业进行全面的安全风险评估测试，今年开始逐级实施解决方案。

　　事件驱动最有效，但代价也是最惨重的。事故一旦发生，回头再去看防护的成本微乎其微。建成以后再加防护不只是成本高，对于有些系统来说是不可能的。

　　长远考虑，孙一桉建议企业一定要有网络安全部门。美国大多数工业企业都有首席信息安全官职位，有威胁情报团队，定期进行内部分析，报告给CEO。“大型工业企业必然会走上这条路，这种威胁是没有边界的。针对核电站的攻击，很可能会传播到石化行业。很多已经发生的事故被归结为生产事故，其实是网络安全问题。”