工業4.0”，我們國家規劃為“中國製造2025”，也稱“工業互聯網”

，我個人認為“工業互聯網”這個稱呼更容易理解。互聯網的背後是人，互聯網攻擊和犯罪就是盜竊隱私
、詐騙財物；工業互聯網的背後是生產線，是控製係統、是汽車
、是衣食住行吃穿用的東西，網絡攻擊可能導致生產線停轉、控製失靈、車毀人亡。所以，習近平總書記在去年419網絡工作座談會上講話中提出：安全是發展的前提
，發展是安全的保障。這句話用到工業互聯網上更加恰當。沒有安全保障，工業互聯網將寸步難行。

一、現在越來越多工業係統暴露在互聯網上。

工業越發達的國家，暴露的也越多。360和東北大學工控安全實驗室進行過聯合研究，通過掃描部分網絡
，就發現了全球77766台控製係統和控製主機暴露在互聯網上，其中美國占大頭3萬多台，中國包括台灣在內近2000台
，涵蓋了所有目前流行的控製係統和工業控製協議，包括使用S7協議的西門子PLC、使用Modbus協議的施耐德PLC、使用DNP3的電力SCADA係統
，涉及的應用領域從離散控製到連續控製都有。這些係統一旦出現漏洞被攻擊、被遠程操控，可能引發災難性的後果。

二、從工業互聯網的發展趨勢上看，這種暴露會從常態化走向標準化。

也就是說無處不在的網絡連接，實時不間斷地大數據收集，以及來自雲端的智能化控製是工業互聯網的發展潮流。

工業互聯網安全隱患巨大：現狀令人擔憂！

我國提出的工業互聯網的四個應用場景：智能化生產、網絡化協同、個性化定製
、還hai有you服fu務wu化hua延yan伸shen
，這zhe其qi中zhong服fu務wu化hua延yan伸shen和he個ge性xing化hua定ding製zhi是shi天tian然ran跟gen互hu聯lian網wang融rong合he的de
，網wang絡luo化hua協xie同tong也ye是shi通tong過guo互hu聯lian網wang連lian接jie在zai一yi起qi的de。智zhi能neng化hua生sheng產chan分fen為wei兩liang種zhong情qing況kuang，一yi種zhong是shi直zhi接jie跟gen互hu聯lian網wang連lian接jie的de；另(ling)一(yi)種(zhong)是(shi)不(bu)直(zhi)接(jie)連(lian)接(jie)互(hu)聯(lian)網(wang)
，而(er)是(shi)通(tong)過(guo)監(jian)控(kong)調(tiao)度(du)網(wang)絡(luo)連(lian)接(jie)到(dao)企(qi)業(ye)管(guan)理(li)網(wang)。但(dan)是(shi)這(zhe)四(si)個(ge)係(xi)統(tong)本(ben)身(shen)都(dou)是(shi)通(tong)過(guo)各(ge)種(zhong)途(tu)徑(jing)連(lian)接(jie)在(zai)一(yi)起(qi)的(de)，並(bing)最(zui)終(zhong)連(lian)接(jie)到(dao)互(hu)聯(lian)網(wang)上(shang)
，因(yin)此(ci)，這(zhe)些(xie)工(gong)業(ye)係(xi)統(tong)最(zui)終(zhong)也(ye)間(jian)接(jie)暴(bao)露(lu)在(zai)互(hu)聯(lian)網(wang)上(shang)了(le)。

比如

，製造業的標杆企業三一重工
，為了實現卡車、挖掘機的智能，需要通過互聯網來收集數據和下發控製指令
；還通過工業互聯網將分散在信息係統、車間工控係統和生產設備上的數據進行彙聚
，實現互聯互通和智能生產。

在這個係統中，從網絡層看，要把IT網絡與OT網絡連接起來
，並實現數據交換。實際生產中
，管理層將工藝流程的設計數據分解成不同的子任務，分發給監控層
；監控層根據接收到的任務信息，轉化成相應的指令下發給控製層

；控製層通過工業以太網或現場總線

，控製閥門、機械臂等執行部件
，進行生產製造。

工業智能化之所以叫工業互聯網，就是要繼承互聯網的開放性，一定會越來越開放，聯網暴露度會越來越高。

三、暴露的工業互聯網安全隱患巨大，安全現狀令人擔憂。

來自 360 補天平台的監測數據顯示，工業互聯網聯盟成員中 82 家工業企業中，有 28．05 ％都出現過漏洞
，並且 23．2 ％是shi高gao危wei漏lou洞dong，遭zao遇yu網wang絡luo攻gong擊ji的de風feng險xian很hen大da。這zhe些xie漏lou洞dong還hai僅jin僅jin是shi全quan部bu係xi統tong漏lou洞dong的de一yi少shao部bu分fen，因yin為wei在zai漏lou洞dong發fa現xian方fang式shi上shang，它ta僅jin是shi白bai帽mao子zi主zhu動dong提ti交jiao的de，而er不bu包bao括kuo主zhu動dong掃sao描miao發fa現xian的de。在zai漏lou洞dong範fan圍wei上shang，它ta也ye僅jin僅jin是shi針zhen對dui應ying用yong站zhan點dian的de漏lou洞dong

，還hai沒mei有you監jian測ce它ta的de協xie議yi漏lou洞dong和he其qi他ta漏lou洞dong
，也ye不bu包bao括kuo主zhu動dong掃sao描miao發fa現xian的de漏lou洞dong，通tong過guo這zhe些xie漏lou洞dong
，黑hei客ke都dou有you可ke能neng攻gong擊ji工gong業ye係xi統tong。

卡巴斯基去年掃描了全球170個國家的近20萬套ICS工業控製係統，其中92％都存在安全漏洞，有遭遇黑客攻擊
、被接管
、被破壞的風險。

三個案例

2015年12月，黑客利用SCADA係統的漏洞非法入侵了烏克蘭一家電力公司
，遠程控製了配電管理係統

，導致7 台110kV與23 台35kV 變電站中斷了三個小時
，導致22．5萬用戶停電。

2016年12yue，tongyigeheikezuzhizaiciduiwukelanlingwaiyijiadianliqiyeshishilegongji，zhecishitongguoruqinshujuwangluo

，jianjieyingxiangledianchangdekongzhixitong，zaochengbiandianzhantingzhiyunxing。

2016年4月德國核電站負責燃料裝卸係統的Block B IT wangluozaodaogongji，anquanrenyuanzaiduizhetaoxitongdeanquanjiancezhongfaxianleyuanchengkongzhimuma，suiranhaimeiyouzhixingfeifacaozuo，danhedianzhandecaozuoyuanweifangbuce，linshiguanbilefadianchang。

兩個案例

yourenrenweitongguozhinengshengchanyuhulianwanggelikeyijiejueanquanwenti
，zheyeshicuowude。zuizhumingdeanlijiushiqianjinianyilanghesheshizaodaozhenwangruchonggongjipohuaishijian，yilangdehesheshideyunxingkongzhixitongshiwanquangelide，danshiheikezuzhishouxiandingxianggongjileyilanghexitongdeyiweihexinrenyuan，zailiyongdiannaozhongxitongde0day漏洞入侵了他的電腦
，這台電腦使用過的一個USB盤被插入了核設施的控製網絡裏，利用了“USB擺渡”這種攻擊手法將震網蠕蟲植入了控製係統
，最後控製破壞了伊朗的核設施。

2015年初，國內的某大型鋼廠的高爐控製係統的上位機（安裝控製軟件的計算機）yunxingsuduyuelaiyueman
，daozhizuihouwufajinxingshengchan，lianxugenghuanliangtaibeiyongjisuanji
，shangxianhoujunzaijigexiaoshineifashengtongyangdeguzhangxianxiang。zhijiedaozhigaishengchanxiantingchan3天
，經濟損失接近1億。360安全人員現場處置發現
，故障計算機上充斥著五六年前流行的蠕蟲、木馬
，進一步檢查發現，整個網絡中充斥各種惡意流量、僵屍木馬和蠕蟲病毒。

物聯網和勒索軟件

工業互聯網是物聯網的重要組成部分，物聯網的安全威脅更是觸目驚心：去年10月份，全世界有近80萬網絡攝像頭感染惡意軟件，受控組成僵屍網絡攻擊了美國互聯網基礎設施DNS服務器，造成了大半個美國互聯網斷網。

在今年的RSA上
，勒索軟件被評為七大致命攻擊之首，以前勒索軟件的目標是醫療
、交通、政府等行業的數據係統

，現在也開始轉向物聯網、工控。從攻擊電腦和服務器加密鎖定數據和文件轉向鎖定酒店的門禁、電梯控製係統等、被鎖定的酒店所有的門
，隻有繳納贖金才能打開，被鎖定電梯也隻有繳納贖金後才能運行
，其造成的威脅將是災難性的。

上麵這些案例說明，工業互聯網如果不能得到有效的保護
，其後果將是災難性。

四
、工業互聯網安全治理的六大措施。

在工業互聯網不太發達的時候，OT表麵上都是隔離的
，大家都淡化了安全意識，沒有采取安全措施，但實際上這隻是邏輯上的隔離
，OT通過各種途徑跟IT還是連接的。安全意識淡漠和安全措施不利，導致OT係統也變成了藏汙納垢的地方，漏洞叢生
，後門和遠控數不清，就像總書記419講話中說的
，誰進來了不知道，是敵是友不知道，幹了什麼不知道。

去年國內的某保密部門的生產係統癱瘓，所有機器都無法啟動
，被用蠕蟲病毒傳播的木馬遠程控製，導致係統崩潰。360安服團隊應邀對某涉核單位IT設施係統及工業控製係統進行的安全評估和檢查中，在信息安全技術體係、安全管理、安全運維各環節中都存在嚴重問題。很多IT係統的主機缺乏主要的殺毒軟件，基本處於裸奔狀態；係統補丁從安裝那天起就沒有做過任何的更新過。

360安全服務團隊對某核電站工控係統進行了安全檢查，包括如DCS係統上位機、實物保護係統以及相關終端，發現在技術層麵以及管理層麵均存在嚴重的安全隱患，包括沒有強製密碼策略以及登錄安全策略、終端存在弱口令甚至空口令

，以及濫用移動U盤等現象。

工業互聯網安全隱患巨大：現狀令人擔憂！

我認為要對工業互聯網進行有效的安全治理

，應該采取以下6項措施：

1． 提高安全意識，將工業互聯網的安全上升到最高級。安全比工業互聯網本身更重要
，讓安全成為工業互聯網的前提，成為頂層設計
；

2． 建(jian)立(li)全(quan)天(tian)候(hou)工(gong)業(ye)互(hu)聯(lian)網(wang)安(an)全(quan)態(tai)勢(shi)感(gan)知(zhi)能(neng)力(li)，一(yi)個(ge)網(wang)絡(luo)攻(gong)擊(ji)者(zhe)不(bu)會(hui)單(dan)純(chun)的(de)攻(gong)擊(ji)你(ni)一(yi)家(jia)，網(wang)絡(luo)攻(gong)擊(ji)是(shi)全(quan)球(qiu)的(de)，我(wo)們(men)要(yao)對(dui)全(quan)球(qiu)的(de)網(wang)絡(luo)安(an)全(quan)態(tai)勢(shi)有(you)感(gan)知(zhi)能(neng)力(li)
，尤(you)其(qi)要(yao)關(guan)注(zhu)同(tong)行(xing)的(de)
，就(jiu)好(hao)比(bi)你(ni)住(zhu)在(zai)一(yi)個(ge)小(xiao)區(qu)裏(li)，鄰(lin)居(ju)家(jia)被(bei)偷(tou)了(le)
，怎(zen)麼(me)偷(tou)的(de)，了(le)解(jie)這(zhe)些(xie)情(qing)況(kuang)對(dui)自(zi)己(ji)防(fang)患(huan)於(yu)未(wei)然(ran)是(shi)有(you)幫(bang)助(zhu)的(de)；

3． 建立跨越物理世界、商業世界、操作網絡（OT）、信息網絡（IT）一體化安全防禦體係。改變割裂對待OT、IT安全的狀況

，提高工業互聯網預警、檢測
、響應
、追蹤溯源的縱深防禦能力形成包括終端、邊界、數據、工業雲的安全防護，以及威脅情報收集和應急響應體係等；

4． jianligongyehulianwanganquanyunyingyufenxizhongxin。duiqiyeneigongyeshujuheanquanshujuchixushouji，jianliqiyedeanquanshujucangku。liyongdashujufangfafaxiangongyeshengchanyichang


，zheshishujuqudonganquandezuijiashijianfangfa；

5． 重點防禦保證關鍵基礎設施的安全。很多的工業互聯網企業都涉及關鍵基礎設施，有更大的概率遭受APT攻擊
，更需要重點防禦。

6． 協同防禦，共建安全＋工業互聯網命運共同體。去年，360提出了協同聯動體係，通過數據協同、智能協同和產業協同建立安全生態和立體防禦體係，得到了全球安全行業的認同
，上周在美國RSA大會上，360補天還聯合全球多家漏洞響應平台共建響應機製等。