2.2.2　工业互联网潜在的技术威胁与风险

1. 有线网络方面存在的攻击威胁

正如Stuxnet和德国钢厂的攻击过程所反映的情况那样，针对工业互联网的网络攻击，其复杂程度将远高于普通的互联网攻击。攻击者一般利用诸如鱼叉钓鱼和水坑等技术实施复杂的多阶段攻击，恶意代码载体利用这类技术诱使工业互联网目标中的生产操作人员无意中将恶意软件下载到公司的核心控制系统中。病毒、蠕虫、特洛伊木马、逻辑炸弹是不同类型的恶意软件，其攻击影响效果从临时中断或拒绝服务到阻止合法用户访问系统（如勒索软件），甚至造成设备的物理破坏（如2010年Stuxnet和2014年德国钢厂事件）。

许多工业互联网系统及其协议都是在专有产品和专属封闭环境中开发设计的，在讨论工业互联网协议的技术脆弱性时，需要区分工业互联网协议规范中固有（难以纠正）的错误和协议实现过程的脆弱性。在协议规范设计方面，工业互联网架构和设计由于应用场景状态模糊、缺乏对工业现场应用场景和工艺流程的了解，以及没有经过任何网络攻击破坏方面的测试，因而呈现出安全的结构较为模式化和逻辑化。因此，各种各样的工业互联网协议不能保护协议消息内容的完整性，不能有效防止中间人攻击，也无法规定当检测到不符合逻辑的协议要素时如何防止遭到破坏。对Modbus TCP和Modbus、KNX/IP和KNX/EIB及其他典型工业互联网协议进行协议安全性形式化分析的研究表明，工业互联网协议并不安全，不能抵御网络攻击。不安全的工业互联网协议容易被恶意攻击者利用，并形成可利用的工业互联网攻击威胁向量和特洛伊木马软件等。除了基本的协议错误和脆弱性外，工业互联网协议的实现也并不健壮。工业控制产品制造商和系统集成商都普遍认为，工业互联网的最终用户通常只对工业控制本身的新功能感兴趣，而对协议实现的安全性和健壮性并不是很关注。随着网络攻击事件发生的频繁程度和破坏能力越来越强，互联网信息技术产品厂商早已吸取教训，并非常注意在通信协议设计时，重点考虑对诸如“ping-of-death”攻击和DNS绑定攻击等恶意行为的防范，但工业互联网协议设计实现者却还并未对上述协议攻击给予足够重视，没采取任何实质性的防护设计。网络嗅探器（如Network sniffers等）通常被信息与通信技术界的网络管理者用来扫描网络中的活动系统和端口，然而，当工业制造企业的设备控制人员接收到由这类工具发送的意外分组，或不符合逻辑条件的工业互联网通信协议数据分组时，自动控制人员往往会忽略该分组，因为对这些数据分组采取额外的操作可能会发生暂停或延时动作，甚至停止相关操作过程。由于缺乏协议健壮性方面的设计考虑，大多数工业互联网设备在遭遇拒绝服务攻击时会崩溃，而且必须通过重新加载设备电源或重启设备才能恢复正常运行，部分工业控制设备还会在普通的网络级连接扫描过程中崩溃。此外，更为糟糕的情况是，当工业控制设备重新通电后，在并没有加载任何防护性功能插件的情况下，扫描过程将继续重复进行。部分工业互联网控制协议存在严重的关联破坏性安全漏洞，如当控制协议的某些端口遭受持续性扫描探测时，控制设备中该类协议的服务器将会崩溃，连接工业互联网设备的各种其他协议将出现超时，进而导致该工业互联网设备崩溃，类似于“ping-of-death”攻击。这种渗透性测试还会导致出现工业机器人非预期的旋转或动作，城市照明系统突发性变暗等意外事故。尽管工业互联网控制的工业过程与安全生产紧密相关，但缺乏输入验证的威胁，以及工业互联网协议实现时缺乏健壮性的问题，仍然存在于当前大多数工业互联网组件和应用程序中。

2. 无线网络方面存在的攻击威胁

虽然工业互联网系统的基本属性包含了支持互联网的设备，但一个典型的工业互联网系统将使用多种通信体制和协议，包括蓝牙和WiFi等空中传送系统。射频（RF）武器是可用于拒绝、欺骗、干扰或瘫痪涉及工业互联网目标设备和/或网络的通信设备。干扰是一种可以用来对付无线传感器网络的射频攻击技术，第一种射频攻击通常利用信号强度，影响目标设备的数据包发送和接收速率和认证速率等。第二种射频攻击是信号注入，通过恶意产生并注入与原有信号特征参数一致的信号，影响目标设备的通信与控制过程。与大多数其他IT信息系统不同，工业互联网系统有一个显著特点，其网络系统中的数据流动模式具有一致性和规律性。这将有助于发电厂、水处理设施、电网和其他关键基础设施控制过程的稳定性和可靠性。但不幸的是，全面了解这些系统的恶意参与者可以通过所谓的语义攻击技术，引入错误的控制命令消息对这种控制过程进行破坏。信号注入攻击活动涉及攻击者将虚假数据引入系统，如通过电磁方式锁定一个或多个传感器进行定向信号分析和注入。第三种射频攻击称为侧信道攻击，本质上是被动攻击。在这种类型的攻击中，攻击者通过无线电方式窃听工业互联网系统，侵犯企业和用户隐私，攻击者在执行基于时间分析的基础上，可以掌握隐私信息、设备的功耗、网络流量、故障和电磁特征。另外，恶意攻击者通过进行长时间的恶意窃听，能够开展所谓特权提升攻击，通过窃听无线传感器网络的空中接口并掌握相关无线通信传输技术体制，攻击者可以伪装成合法设备进入网络，获得对设备或系统的特权访问，从而达到破坏目的。

3. 工业互联网攻击威胁的属性特征

1）攻击者和攻击行为的决定因素

针对工业互联网系统的攻击性质方面的因素主要包括：

（1）袭击者类型（极端民族主义国家或宗教国家的极端行为主义者、犯罪实体、政治活动家、不满员工或合作伙伴）。

（2）攻击者的资源和能力。

（3）攻击者选择的攻击目标。

（4）攻击目标本身及其所处环境的特点。

（5）攻击工具或武器的性质。

（6）攻击者的匿名要求。

表2-2描述了攻击者类型、访问类型和攻击武器类型。

攻击行动的形态可以是公开的、隐蔽的，或者秘密的。公开攻击是指攻击者毫不掩饰自己正在实施的攻击行为，而隐蔽攻击，比如2010年的Stuxnet攻击事件，受害者虽然已经意识到了正在发生的攻击事件，甚至已经从某种程度上怀疑制造袭击活动的幕后策划者，然而真正的袭击者却保持似是而非的否认态度。在隐蔽攻击行动中，攻击者获得对系统的访问权限，并针对目标系统执行破坏活动，而受害者对此一无所知。秘密袭击的典型案例是俄罗斯对美国能源部门网络的网络入侵行动，在这种特定情况下，攻击者希望行动保密或不被发现，但却难以成功。

2）远程、近距离访问或直接访问产生的攻击威胁

远程访问攻击是指攻击者实际远离目标系统，比如一个黑客组织在海外，向一家目标美国公司的员工发送网络钓鱼邮件。近距离访问攻击是指攻击者必须在物理上离目标系统足够近，才能实施攻击，但不能实际接触系统设备。近距离访问攻击的一个例子是，据报道称俄罗斯军事情报网络情报人员于2018年4月对荷兰禁止化学武器组织（OPCW）发动的攻击，攻击嫌疑人潜入荷兰OPCW组织的WiFi网络范围内，并准备在被捕前获得非法访问，其目的是破坏该组织的重要计算机系统。另一个近距离访问攻击的例子是，攻击者位于目标设施的安全围栏之外，但能够用射频武器（干扰机）锁定设备或网络。在直接访问攻击中，攻击者可以实际访问目标设备。典型案例是一个恶意的内部人员将包含恶意软件的USB插入目标系统，另一种情况是，攻击者能够通过各种渠道直接访问部署在远程的、安全性较差的工业设备。

3）供应链面临的攻击威胁

对工业系统最早且具有一定规模的网络攻击行动，实际上是在互联网出现之前的几年里发生的。据有关材料披露，1982年发生了一次利用传统天然气管道SCADA系统漏洞的所谓木马攻击行动，在苏联西伯利亚的一条管道上引发爆炸，该事件被称为史上首次成功的SCADA系统网络攻击行动。据美国前空军部长托马斯·里德介绍，“冷战”期间，美国中情局与加拿大当局合作，修改了被克格勃非法收购的SCADA系统软件，而该SCADA系统软件被安装在苏联境内从西伯利亚乌伦盖气田输送天然气至西欧的管道中。这次秘密的工业软件级的供应链攻击行动，涉及情报人员指使技术人员篡改软件、故意允许苏联在加拿大非法获取，然后坐等毫不知情的苏联工程师安装这种武器化了的软件。“运行泵、涡轮机和阀门的管道控制软件被恶意设置为在适当的时间间隔后失控，以便实现重置泵的速度和阀门的开闭动作间隔，进而产生远远超过管道接头和焊缝可承受的压力。结果是有史以来人类从太空中观察到的最具纪念意义的非核爆炸和火灾。”事后有报道声称，管道爆炸的威力相当于一枚3000吨级核武器，中断了苏联的天然气供应，并导致苏联政府在一年多之内急缺外汇收入。

4）工业现场设备面临的攻击威胁

工业现场设备是功能有限，能量、计算能力、内存和存储容量最小的低功耗功能单元组件。其广泛采用无线通信网络，经常远程部署、无人值守，物理安全性比大多数工业互联网设备低得多。正是这些原因，工业现场设备最容易受到物理攻击（近距离或直接进入）或射频无线攻击（近距离攻击）。而网络攻击虽然针对某些系统可能存在，但难度相对较大，抵近式攻击得以实施的先决条件是直接（而不是远程）的连接访问。开放的供应链系统对工业互联网系统架构中更高层次的、高价值IT信息系统目标设备构成了相对更大的威胁，原因在于供应链较低层级的员工或第三方承包商更容易对这些工业现场设备进行物理访问，将可能会诱发潜在的攻击行动。

5）本地应用程序面临的攻击威胁

造成本地应用程序漏洞的因素很多，其中非法访问是最重要的。可信的内部人员（如恶意员工或第三方承包商）可以直接插入恶意软件，或者在另一些情形中，不知情的员工不遵守安全政策，无意中使用了受感染的驱动器或允许未经授权地访问第三方操作，也可能导致发生本地攻击事件。在本地应用程序的使用场景中，由物理攻击或射频无线攻击形成的威胁是较小的。

6）工业互联网的生产控制网络面临的攻击威胁

工业互联网的网络中包含的硬件、软件及其通信设备，对恶意攻击者而言是最有价值的目标，不仅是因为其预期的直接攻击影响效果，而且因为攻击这些目标，可能会在系统的其他位置造成明显的连锁攻击反应。工业互联网的生产控制网络是工业互联网系统中价值很高的环节，攻击该网络可能会产生巨大的影响，也将是供应链攻击的高价值目标。由于它们的物理位置和更高的物理安全防护能力，外部恶意攻击者通过近距离访问实施攻击面临很多障碍。但是，虽然物理攻击或射频无线攻击的威胁很小，网络攻击造成的威胁却很大，因为工业互联网提供了恶意攻击者对这些控制设备的远程访问途径（例如，通过网络钓鱼电子邮件或水坑），或者提供了一个可信的（但恶意的）内部人员通过U盘传送恶意软件进行直接访问的可能性。即使是一个对企业或组织忠诚的员工，也可能因为不遵守相关信息安全防护规章制度和/或成为恶意攻击者的社会工程策略的受害者，进而直接非授权地访问不应该访问的网络。

7）工业互联网的云计算应用面临的攻击威胁

工业互联网云平台中的服务器受益于良好的物理和IT信息安全防护隔离措施、非常有限且受控的员工访问渠道和相对充足的系统冗余开销资源。这些措施都可以减轻近距离或直接访问攻击，并极大地降低射频无线攻击或物理攻击的潜在可能。然而，如前所述，工业互联网运营商在签订云服务合同时，所需要的网络安全性保障，依赖云服务提供商所能提供的充分和一致的安全性防护机制，因此，云服务提供商的安全防护能力成为工业互联网云平台自身安全性的制约性因素。工业互联网中的云计算最大的威胁来自可以远程传播的网络攻击武器，或者通过引入受病毒感染的云组件进行的供应链攻击。

8）远程应用程序面临的攻击威胁

与本地应用程序一样，有许多因素将影响远程应用程序的安全性。同样，物理访问和用户遵守安全策略是主要因素，射频无线攻击和物理攻击不是主要风险，供应链也不是。相比之下，恶意或不知情的内部员工直接访问网络应用程序的威胁更大，同时还有远程网络攻击的风险。

9）新技术的不断应用扩大了攻击面

随着新设备的引入和物理基础设施的改变，以及人工智能、类人脑交互和人机协同操作等新技术在工业互联网中的使用，创建了很多新的攻击面。攻击威胁可能由于技术本身的漏洞造成，技术的非常规性使用在操作过程中也容易形成攻击面，或者是由于人类与各种人工智能体（机器人、机械臂、协作机器人等）的交互界面增多，也将导致更多的攻击面形成。当攻击者利用这些漏洞作为工具在整个系统中发起破坏时，所有漏洞都会进一步危害数据和系统的安全性。

如图2-1所示，工业互联网系统的自身复杂性及构成工业互联网系统的各种功能的独特操作特性，造成了不同类型的威胁。