360齐向东：工业互联网安全隐患巨大，安全现状令人担忧？

2月20日，在2017工业互联网峰会召开优艾设计网_设计LOGO的同时，360推出了国内首个工业互联网安全形势感知系统。与媒体交流时，360企业安全集团董事长齐向东表示，在消费互联网安全领域积累深刻的360进入工业互联网安全时，也花费了数年时间进行探索。工业互联网有其特殊性，保护安全并不容易。以下是齐向东在2017工业互联网峰会上的报告，雷锋网(公共编号:雷锋网)的编辑略有删除。

今天全世界都在讨论第四次工业革命，美国人称智能制造，德国人称工业4.0，我国计划中国制造2025，也称工业互联网，我个人认为工业互联网这个称呼更容易理解。互联网的背后是人，互联网攻击和犯罪是盗窃隐私，欺诈财产的工业互联网的背后是生产线，控制系统，汽车，衣食住行，网络攻击有可能停止生产线，控制故障，汽车破坏人。因此，习近平总书记在去年419网络工作座谈会上提出安全是发展的前提，发展是安全的保障。这句话更适合工业互联网。没有安全保障，工业互联网就走不动了。

一、现在越来越多的工业系统暴露在互联网上。

工业越发达的国家，暴露的也越多。360与东北大学工业控制安全实验室联合研究，通过扫描部分网络，发现世界77766台控制系统和控制主机暴露在互联网上，其中美国占头3万台以上，中国包括台湾在内约2000台，涵盖了当前流行的控制系统和工业控制协议，包括使用S7协议的西门子PLC、使用Modbus协议的施耐德PLC、使用DNP3的电力SCADA系统如果这些系统有漏洞被攻击或远程控制，可能会导致灾难性的结果。

二、从工业互联网的发展趋势来看，这种曝光将从常态化向标准化。

也就是说，无处不在的网络连接、实时大数据收集、云智能控制是工业互联网的发展趋势。

中国提出的工业互联网四个应用场景:智能生产、网络合作、个性化定制、服务延伸，其中服务延伸和个性化定制自然与互联网融合，网络合作也与互联网连接。智能生产分为两种情况，一种是直接连接到互联网，另一种是不直接连接到互联网，而是通过监控调度网连接到企业管理网。但是，这四个系统本身是通过各种方法连接的，最终连接到互联网上，所以这些工业系统最终也间接暴露在互联网上。

例如，制造业的基准企业三一重工，为了实现卡车、挖掘机的智能化，需要通过互联网收集数据，发行控制命令的工业互联网集中了信息系统、现场的工业控制系统和生产设备的数据，实现了互联互通和智能生产。

在该系统中，从网层来看，IT网络必须与OT网络连接，实现数据交换。在实际生产中，管理层将工艺流程的设计数据分解成不同的子任务，分发给监视层的监视层根据收到的任务信息，转换成相应的指令分发给控制层的控制层通过工业以太坊和现场总线，控制阀门、机械臂等执行部件，进行生产制造。

工业智能化之所以叫工业互联网，就是要继承互联网的开放性，一定会越来越开放，联网暴露度会越来越高。

三、暴露的工业互联网安全隐患巨大，安全现状令人担忧。

来自360补天平台的监测数据显示，工业互联网联盟成员中82家工业企业中，28.05%有漏洞，23.2分是高危漏洞，遭遇网络攻击的风险很大。这些脆弱性只是所有系统脆弱性的一部分，因为在脆弱性发现方式上，只是白帽子自主提交的，不包括自主扫描发现。在漏洞范围内，它也只是针对应用网站的漏洞，没有监控其协议漏洞和其他漏洞，也不包括主动扫描发现的漏洞。黑客可能会通过这些漏洞攻击工业系统。

卡巴斯基去年扫描了全球170个国家近20万套ICS工业控制系统，其中92%存在安全漏洞，有遭遇黑客攻击、接管和破坏的风险。

2015年12月黑客利用SCADA系统漏洞非法入侵乌克兰电力公司，远程控制配电管理系统，7台110kV和23台35kV变电站中断3小时，22.5万用户停电。

2016年12月，同一黑客组织再次攻击乌克兰另一家电力企业，这次通过数据网络入侵，间接影响电站的控制系统，变电站停止运行。

2016年4月德国核电负责燃油装卸系统的BlockBIT首页网络遭到攻击，安全人员在对该系统的安全检测中发现了远程控制木马，还没有进行非法操作，但核电站的操作人员为了防止不了，暂时关闭了发电站。

有人认为通过智能生产和互联网隔离可以解决安全问题，这也是错误的。最著名的案例就是前几年伊朗核设施遭到震网蠕虫攻击破坏事件，伊朗的核设施的运行控制系统是完全隔离的，但是黑客组织首先定向攻击了伊朗核系统的一位核心人员，再利用电脑中系统的0day漏洞入侵了他的电脑，这台电脑使用过的一个USB盘被插入了核设施的控制网络里，利用了USB摆渡这种攻击手法将震网蠕虫植入了控制系统，最后控制破坏了伊朗的核设施。

2015年初，国内的某大型钢厂的高炉控制系统的上位机（安装控制软件的计算机）运行速度越来越慢，导致最后无法进行生产，连续更换两台备用计算机，上线后均在几个小时内发生同样的故障现象。直接导致该生产线停产3天，经济损失接近1亿。360安全人员现场处理发现，故障计算机充斥着五六年前流行的蠕虫、木马，进一步检查发现网络整体充斥着恶意流量、僵尸木马和蠕虫病毒。

物联网和恐吓软件

工业互联网是物联网的重要组成部分，物联网的安全威胁更令人震惊:去年10月，世界上约有80万人的网络照相机感染恶意软件，被控制的僵尸网络攻击了美国的网络基础设施DNS服务器

今年的RSA，勒索软件被评为七大致命攻击之首，以前勒索软件的目标是医疗、交通、政府等行业的数据系统，现在也开始转向物联网、工程控制。从攻击计算机和服务器加密锁定数据和文件转向锁定酒店门禁、电梯控制系统等、锁定酒店的所有门，只有支付赎金才能打开，锁定电梯也只有支付赎金才能运行，其威胁是灾难性的。

上述案例说明，如果工业互联网得不到有效保护，其结果将是灾难性的。

四、工业互联网安全管理的六项措施。

在工业互联网不太发达的情况下，OT表面全是隔离的，大伙儿淡化了安全意识，沒有采取安全措施，但实际上这仅仅逻辑性的隔离，OT依据各种各样方式与IT相连。安全意识淡漠和安全措施不利，OT系统也成了藏污纳垢的地方，漏洞丛生，后门和远程控制数不清，总书记419讲话中说的，谁进来不知道，敌人和朋友不知道，做了什么。

1.提高安全意识，将工业互联网的安全提高到最高水平，我认为应该采取以下六项措施。安全比工业互联网本身重要，使安全成为工业互联网的前提，成为顶级设计

2.建立24小时365天的工业互联网安全状况感知能力，网络攻击者不仅仅是攻击你的家，网络攻击是世界性的，我们对世界的网络安全状况有感知能力，特别是关注同行，就像你住在一个小区一样，邻居家被偷了，怎么偷了，知道这些情况对自己的防患于未来是有帮助的

3.建立跨越物理世界、商业世界、操作网络(OT)、信息网络安全一体系改变分裂对待OT、IT安全的情况，提高工业互联网警报、检测、应对、跟踪跟踪的深度防御能力，形成终端、边界、数据、工业云的安全防护、威胁信息收集和应急应对系统等

4.建立工业互联网安全运营和分析中心持续收集企业内的工业数据和安全数据，建立企业安全数据仓库。利用大数据方法发现工业生产异常，是数据驱动安全的最佳实践方法

5.重点防御保证重点基础设施安全。许多工业互联网企业涉及重要基础设施，更有可能受到APT攻击，需要重点防御。

6.共同防御，共同建设安全工业互联网命运共同体。去年，360提出了合作联动系统，通过数据合作、智能合作和产业合作建立了安全生态和立体防御系统，得到了世界安全行业的认可，上周在美国RSA大会上，360天与世界许多漏洞应对平台合作建立了应对机制等。