云晓春：新形势下关键信息基础设施的安全保护

随着“互联网 +”“中国制造 2025”国家战略的提出，我国“两化”融合的步伐正在不断加快，网络空间的边界向关键基础设施领域不断延展，工业控制系统、物联网也因此正面临着严重的网络安全威胁。

图 1 工业控制系统、物联网正面临着严重的网络安全威胁

网络安全新形势

目前出现的网络安全威胁可以归结到两个方面。第一，IT 技术的广泛应用带来更多的安全隐患。工控、物联网领域越来越多地使用通用操作系统、数据库和服务器等 IT 类产品，使攻击者能够轻易地利用现有系统的安全漏洞实现入侵、攻击。如震网病毒正是利用 Windows 操作系统的多个漏洞实施攻击。第二，全方位的开放互联增加更多的攻击平面。工控、物联网系统可以通过互联网直接或间接地访问、管理网络和生产网络的双向信息交互成为常态。开放互联趋势使得网络攻击平面得到极大的拓展，相应的安全防御边界也需要进一步扩展。

图 2 近几年来比较典型的网络安全事件

2010 年成功攻击伊朗核设施的 Stuxnet 病毒和 2016 年攻击乌克兰电力系统的 BlackEnergy恶意代码，都是对关键信息基础设施的攻击，是近几年来比较典型的网络安全事件，但其中BlackEnergy 恶意代码事件造成更大的震动。

为什么两次的攻击事件会造成不同的反响呢？首先需要对两次事件进行一个全方位比较。

图 3 两次网络攻击事件的全方位比较

可以看出，这两次攻击的目标都是针对关键国家基础设施，两次攻击也都是通过互联网对于现实空间的物理基础设施发动攻击的。但在 2010 年的 Stuxnet 病毒事件出现以后，大家都只是觉得这是一个高水平的、由国家长时间谋划并采用高精尖的技术才能产生的攻击事件，难度系数大，并不认为会经常发生，但是 2016 年攻击乌克兰电力系统事件被称为是 BlackEnergy恶意代码的事件，其中所展现出来的攻击水平就并不是那么高明，所使用的是普通病毒，利用电厂跟互联网的连接，用普通的方式发动攻击，同样也造成严重的影响。因此我们可以得出这样一个结论，目前对于关键信息基础设施的攻击，已经不只是高端技术的攻击，一般性的、普遍意义上的攻击，也能够对关键信息基础设施造成重大的危害。

基于这些原因，对于网络安全对抗的发展趋势，我们也可以得出以下三个观点：

第一，针对国家关键信息基础设施的网络攻防研究已然成为各国政府、安全界乃至暴恐组织的关注重点，相关的攻防对抗事件正在持续增加。美俄两个主要大国均已具备很强的针对关键基础设施的网络攻击能力，并在持续增强其攻击能力。无论是从攻击效果、攻击成本，还是攻击隐蔽性乃至攻击可控性看，针对国家关键基础设施的网络攻击将有可能逐步取代传统的军事战争，成为各国政府的优先选择手段之一。与传统的物理攻击方式相比，网络攻击对攻防双方具有明显的不对称性（远程、普适、隐匿、经济），未来必然成为暴恐组织的优先选择手段之一。

第二，对绝大多数关键信息基础设施而言，联网与否都不是保证其安全的决定条件。特别是随着互联网与信息技术的应用不断拓展，开放互联是大势所趋，它们也因此将面临更为严峻的安全威胁。

第三，对绝大多数关键信息基础设施而言，SCADA 系统（HMI）处于管理域与控制域的结合点，PLC 系统是工业控制的核心设备装置，它们本身缺乏必要的安全机制，同时又缺乏安全防护措施，成为网络攻击的主要目标。

安全保障新要求

新时代、新形势、新任务也带来安全保障的新要求。

（1）安全意识和责任。目前面临的网络安全问题，很多是意识问题，需要树立正确的网络安全观，不断强化网络安全意识，在头脑中真正筑起网络安全的“防火墙”，“只重发展轻安全、重建设轻防护”“关起门来搞更安全，不愿立足开放环境搞安全”“网络安全是中央的事、专业部门的事，同自己无关”这些看法都是不正确的。

同时，要落实关键信息基础设施防护责任制度，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门需履行好监管责任。在网络安全检查中可以发现，关键信息基础设施安全防护水平不高，物理隔离防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易和教育等信息可被窃取。一些重要工控企业对外国技术依赖严重，生产控制系统由外国公司建设，网络安全配置由外方人员操控，企业内部人员甚至不掌握安全设备配置和管理权限。

（2）检测认证与审查。2017 年 5 月，网信办出台《网络产品和服务安全审查办法（试行）》，其中第二条规定：关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。2017 年 6 月四部门发布《网络关键设备和网络安全专用产品目录（第一批）》，明确指出：列入该目录的设备和产品，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或安全检测符合要求后，方可销售或提供。同月，四部门还发布了《承担安全认证和安全检测任务机构名录（第一批）》。

结合上位文件和当前的情况，对于如何做好检测认证与审查，这里提三点建议 :

①对于关键基础设施领域采用的核心设备与装置，应实施例行的入网安全检测与认证，必要时进行全面的网络安全审查，以掌握其安全性状况；②相关的网络安全检测与认证，其检测标准、方法和 工具 必须由我方完全自主可控；③通过安全检测与认证，建立统一的国家漏洞信息共享平台。

（3）安全巡检与评估。习近平总书记在“4·19”讲话中指出：“要加强网络安全检查，摸清家底，明确保护范围和对象，及时发现隐患、修补漏洞，做到关口前移，防患于未然”。

按照总书记的要求，这里提两点建议：

①上线前要进行风险评估。对于有联网（外）或入网（内）需求的关键信息基础设施，须具备必要的网络安全风险防控能力，应对其进行上线前的风险评估。评估主要可以从安全防护措施和安全应急能力两个方面进行。②做好运行中的安全巡检。对已联网（外）或入网（内）的关键信息基础设施，应对其开展不定期地远程巡检或现场检查，以全面掌握国家关键信息基础设施的整体安全性状况。 国家互联网应急中心（CNCERT）在对全国范围内电力、煤炭、水务、燃气、供热、消防、电梯、视频监控等多个行业的 1500 多个联网生产运行系统或云平台开展远程安全巡检中发现，超过 20% 存在严重的网络安全风险与隐患。

（4）态势感知与预警。习近平总书记在“4·19”讲话中指出：“聪者听于无声，明者见于未形”。感知网络安全态势是做好网络安全工作的基础。如果对网络攻击感知不到位、预警不及时、行动不统一，反射弧太长，就会错失良机。因此，需要在三方面着手加强：

①加强网络安全信息的统筹机制、手段和平台的建设。把政府和企业、国内和国外的安全威胁、风险情况和事件信息汇集起来，综合分析、系统研判，既掌握网络空间当前状态，又分析下一步动态，为科学决策指挥提供依据。②加强网络安全事件应急指挥能力的建设。实现对网络安全重大事件的统一协调指挥和响应处置。③加强网络安全主动发现和监测预警的能力建设。通过在网络空间开展联网设备、组件及系统的探测发现，有助于我们提前发现暴露在互联网上的关键信息基础设施及其组件。通过在互联网关口对工控及物联网通信流量的监测分析，有助于及时发现境外国家或组织对我国关键信息基础设施所实施的探测、渗透、窃密或破坏等恶意行为。

（5）数据跨境监管。国家的数据安全问题越来越突出，特别是重要数据出境的监管变得愈发重要。监测发现是关键，根据监测结果来进行信息通报和违规查处。CNCERT 目前已具备对生物医疗领域三大类数据（生物基因、医学影像、身份识别）的识别与监测能力。

（6）安全保障体系。如何强化不同地区、不同行业、不同领域关键信息基础设施之间的威胁信息共享，加强协同应对，着力构建全国一体化的关键信息基础设施安全保障体系，这是一个值得思考也必须思考的问题。

图 4

经过数年来的研究和实践，可以考虑如下模式：

①建立行业应急支撑队伍。面向电力、石化、交通等不同关键信息基础设施行业，从安全厂商中评选技术实力强、社会责任感强的企业组成应急支撑队伍。②建设预警通报机制。面向产品制造商和关键信息基础设施运营企业提供工控及物联网产品漏洞、恶意代码、安全事件、行业安全态势等的信息共享与预警通报。③完善应急处置机制。当关键信息基础设施运营企业发生重大网络安全事件时，提供相关场景下的有效处置流程，必要时支撑开展实地取证分析和网络系统恢复。④加强应急演练。帮助关键信息基础设施运营企业构建复杂工业网络场景下应急演练环境并组织攻防对抗演练、安全技能培训。

安全研究成果

近年来，基于 CNCERT 自主研发的分布式隐匿探测平台，一直针对联网设备及系统进行探测扫描，在全球 IP 地址空间，对联网的工控系统及物联网系统和设备进行扫描探测；并通过构建设备指纹库、全球 IP 定位库和产品漏洞信息库，可以识别生产厂商、产品型号及版本和所在地理位置，进而匹配设备漏洞信息，掌握联网系统和设备的整体安全态势。

图 5

平台通过对全球网络空间的 IP 地址进行探测扫描，重点对工控及物联网系统和设备进行发现、识别和漏洞关联。平台所使用的系统支持对 50 多类主流通信协议（工控和物联网）展开探测，支持识别 80 多个厂商产品，这些产品范围覆盖 PLC、HMI、工业交换机、SCADA 系统、摄像头、路由器、DTU 等 40 余大类产品。通过系统探测结果自动与漏洞库关联，匹配设备相关漏洞信息，识别潜在安全威胁。目前已发现全球 2.2 亿余个网站， 1200 万个视频摄像设备， 790 万余台路由设备，9.1 万个工控设备。

目前，通过对国内联网工业控制设备及系统的探测扫描，发现国内联网工控设备共计14728 台，2018 上半年 CNCERT 新增发现暴露设备 1138 台，其中，数量排名前 5 位的省份为：台湾（652）、香港（115）、江苏（41）、浙 江（39）、 黑 龙 江（37）， 涉 及 Siemens、Schneider、Moxa 等多家厂商生产的工控产品，大量设备存在拒绝服务、信息泄露、缓冲区溢出等高危漏洞。

图 6 新增暴露设备的全国分布

图 7 新增暴露设备的漏洞类型

另外，针对国内的联网工业互联网云平台的巡查中， CNCERT 检测到国内联网工业互联网云平台（含 WEB 监控管理系统）共计 1968 个，其中 2018 上半年新增发现 1016 个，涉及消防、供水、医疗、基因检测行业。

图 8 新增平台的行业分类和比例

主要分布在北京、浙江和广东等信息产业发达省份；通过安全巡检，发现有超过 23% 的系统存在严重的安全漏洞，易被入侵。

图 9 新增平台的全国分布

目前，CNCERT 自主研发的工控物联网安全监测平台通过对互联网关口流量进行大数据分析，可实现：

（1）通联状况监测：对 Modbus、S7Comm、Ethernet/IP 等数十种工控物联网协议进行监测和设备画像，对跨省、跨境协议通信等数据进行分析，综合研判设备的在线规模和对外通联情况；

（2）安全态势监测：对工控物联网系统遭到的探测扫描、渗透窃密、僵尸木马等各类攻击行为的实时检测、分析、溯源和总体呈现，快速准确地感知恶意代码、异常行为、未知威胁；

（3）跨境数据监测：对目标领域中重要数据的跨境传输进行实时监测，以发现违规违法行为。

图 10 基于流量的工控物联网设备画像

在对跨境异常通联行为监测中，2018 上半年累计监测到与 Modbus、S7Comm 等工业协议相关的跨境通联行为 3632777 次，涉及 27688 个境外 IP 地址，分布于全球 91 个国家或地区。发现隶属于 Shadowserver、Shodan 等机构的 36 个境外 IP，对境内开展长期、持续、大范围的扫描探测；发现大量来自境外的 IP，针对根云、航 天 云 网 等 工 业 云 平 台 发 起 DDoS、HTTP 和WEB CGI 等多种类型的网络攻击。

图 11 工控相关的跨境通联行为

图 12 针对工业云平台的攻击行为

大量的基因数据出境行为也在基因数据跨境传输监测中被发现，从 2017 年 5 月至今，共发现 4391 家境内单位疑似发生基因数据出境行为，包括高等院校和科研院所（占比 19%）、医疗机构（占比 9%）和生物技术企业（占比72%）。我国基因数据流向境外 6 个大洲、229个国家和地区，跨境传输 925 万余包次；涉及境内 IP 地址近 358 万个，境外 IP 地址近 62 万个。

图 13

作者： 云晓春 ，国家计算机网络应急技术处理协调中心副主任兼总工程师，现任国家信息化专家咨询委员会委员，研究领域：互联网建模大规模网络恶意代码预警与防治技术分布式系统生存性技术安全性分析技术计算机信息内容安全技术。

（本文选自《信息安全与通信保密》2018年第十一期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。