以(yi)製(zhi)造(zao)業(ye)為(wei)核(he)心(xin)的(de)實(shi)體(ti)經(jing)濟(ji)才(cai)是(shi)保(bao)持(chi)國(guo)家(jia)競(jing)爭(zheng)力(li)和(he)經(jing)濟(ji)健(jian)康(kang)發(fa)展(zhan)的(de)基(ji)礎(chu)，也(ye)正(zheng)是(shi)由(you)於(yu)世(shi)界(jie)各(ge)國(guo)對(dui)於(yu)這(zhe)一(yi)理(li)念(nian)的(de)普(pu)遍(bian)認(ren)可(ke)

，才(cai)有(you)了(le)德(de)國(guo)的(de)工(gong)業(ye)4.0戰略、美國的先進製造業國家戰略
、印度的國家製造業政策等國家層麵的戰略規劃，我國也提出了中國製造2025計劃
，並將“以推動信息化和工業化深度融合為主線，大力發展智能製造，構建信息化條件下的產業生態體係和新型製造模式”作為戰略任務，來推進工業2.0、工業3.0和工業4.0並行發展。

在以上背景下，全球製造企業麵臨的網絡風險也越來越大。昔日的“孤島運行”已不複存在，IT和OT邊界已經消失，新技術的應用逐步將網絡的邊界變得模糊。大量工業物聯網設備的部署，在增加係統功能、提ti高gao生sheng產chan效xiao率lv的de同tong時shi
，也ye帶dai來lai了le諸zhu多duo漏lou洞dong
，致zhi使shi暴bao露lu的de攻gong擊ji麵mian逐zhu步bu擴kuo大da。同tong時shi伴ban隨sui著zhe勒le索suo軟ruan件jian的de肆si虐nue，各ge大da製zhi造zao廠chang商shang也ye遭zao受shou了le不bu同tong程cheng度du的de損sun失shi
，就jiu在zai2020年6月本田遭到Snake勒索軟件攻擊，被迫關停了在美國和土耳其的汽車工廠以及在印度和南美洲的摩托車生產工廠。

本文立足製造業，梳理總結針對製造業的常見攻擊類型
，最終給出防護的建議。

網絡釣魚攻擊

網絡釣魚攻擊仍然是最受歡迎的網絡攻擊工具。為了進行更具有危害性的攻擊或者行動
，通常需要打開進入目標企業的“大門”，一般情況下都使用釣魚郵件。比如在2016年，全球太陽能電池板製造商旭樂公司內一名員工收到了自稱是CEO的郵件
，郵件中提及需要公司內部員工的詳細信息，該員工未鑒別真偽便將內部員工的詳細信息發送給這位CEO，可這個CEO卻(que)是(shi)網(wang)絡(luo)犯(fan)罪(zui)分(fen)子(zi)，該(gai)員(yuan)工(gong)也(ye)成(cheng)了(le)網(wang)絡(luo)釣(diao)魚(yu)攻(gong)擊(ji)的(de)受(shou)害(hai)者(zhe)，造(zao)成(cheng)了(le)公(gong)司(si)機(ji)密(mi)信(xin)息(xi)的(de)泄(xie)露(lu)，也(ye)許(xu)後(hou)續(xu)犯(fan)罪(zui)分(fen)子(zi)還(hai)會(hui)有(you)更(geng)加(jia)瘋(feng)狂(kuang)的(de)滲(shen)透(tou)與(yu)攻(gong)擊(ji)行(xing)為(wei)。

類似於此的網絡釣魚攻擊也出現在2015年的烏克蘭停電事件中，黑客通過網絡釣魚郵件釋放BlackEnergy 3惡意軟件並在後續攻擊行為中成功取得電力公司工控網絡的登入權限
，登入SCADA係統後
，一個接一個的啟動斷路器截斷電力
，同時啟用KillDisk惡意軟件刪除重要日誌文件與主引導記錄，讓電廠員工無法快速恢複電力並進行後期的分析。同時黑客還進行了電話網絡的DDoS攻擊，讓客戶及其電廠員工之間難以溝通，因而不易了解狀況
，找出對策重啟電力。釣魚郵件如下：

網絡釣魚攻擊的常見特征：

帶有惡意附件的郵件;

帶有與已知網站不同、拚寫錯誤的超鏈接;

引人入勝的標題或者內容;

異常的電子郵件發件人;

緊急的命令或者待辦事項類文件。

供應鏈攻擊

對dui於yu製zhi造zao業ye而er言yan
，不bu是shi一yi個ge廠chang商shang就jiu能neng完wan成cheng成cheng品pin的de生sheng產chan，必bi須xu依yi賴lai於yu不bu同tong廠chang商shang的de零ling部bu件jian才cai能neng完wan成cheng整zheng個ge產chan品pin的de生sheng產chan和he組zu裝zhuang，因yin此ci在zai製zhi造zao過guo程cheng中zhong需xu要yao多duo個ge合he作zuo商shang協xie同tong共gong享xiang才cai能neng實shi現xian高gao效xiao運yun營ying，在zai這zhe個ge過guo程cheng中zhong便bian引yin入ru了le供gong應ying鏈lian攻gong擊ji的de風feng險xian。

供應鏈攻擊是許多犯罪分子的攻擊手法
，通過該類攻擊可竊取製造廠商的敏感數據、zhishichanquandeng。eyigongjizheruguohuodelehezuohuobanfangwenzhizaochangshangwangluodequanxian，tongguogaiquanxian
，fanzuifenzijiukeyijinruzhizaochangshangdewangluo
，qiequminganxinxihuoshuju、甚至是核心的工藝製造文件等，對公司將造成重大傷害。

chucizhiwaizhizaochangshangshiyongdewaiburuanjianhuozheyingjiancunzaianquanfengxian，zaishebeijixitonggongyinglianshangtongyangcunzaibeigongjidekenengxing。daduoshuchanpinkaifashiyonglegonggongkaiyuanhuozhebiyuanzujian

，danzhexiezujianhuoduohuoshaocunzaianquanloudong，jiangyouquexiandezujianqianruchanpinzhong，kenenghuidaozhigengduodeanquanwenti，liru2020年6月份暴露出的Ripple20漏洞，Ripple20漏洞存在於由Treck公司開發的TCP/IP協議棧中，在過去的20多年間
，該協議棧已經被廣泛使用並集成到無數企業和個人消費者設備中，該係列漏洞將影響全球數億個物聯網(IoT)和工業控製設備。

勒索軟件攻擊

勒索軟件是一種感染計算機服務器
、台式機、筆記本電腦
、平板電腦和智能手機的惡意軟件，通過各種機製滲透
，並經常從一台機器橫向擴散到另一台機器。一旦感染係統，病毒會悄悄加密數據、視頻、文本等文件，然後向用戶索要贖金。敲詐勒索從數百到數千美元(通常以難以追蹤的加密貨幣如比特幣等形式)進(jin)行(xing)在(zai)線(xian)支(zhi)付(fu)，然(ran)後(hou)換(huan)取(qu)恢(hui)複(fu)用(yong)戶(hu)鎖(suo)定(ding)文(wen)件(jian)所(suo)需(xu)的(de)解(jie)密(mi)密(mi)鑰(yao)。勒(le)索(suo)需(xu)求(qiu)通(tong)常(chang)包(bao)括(kuo)一(yi)係(xi)列(lie)的(de)付(fu)款(kuan)截(jie)止(zhi)日(ri)期(qi)
，每(mei)錯(cuo)過(guo)一(yi)個(ge)截(jie)止(zhi)日(ri)期(qi)都(dou)會(hui)提(ti)高(gao)贖(shu)金(jin)金(jin)額(e)，並(bing)可(ke)能(neng)導(dao)致(zhi)一(yi)些(xie)文(wen)件(jian)的(de)破(po)壞(huai)。如(ru)果(guo)受(shou)害(hai)者(zhe)不(bu)付(fu)錢(qian)，攻(gong)擊(ji)者(zhe)會(hui)丟(diu)棄(qi)解(jie)密(mi)密(mi)鑰(yao)，從(cong)而(er)永(yong)久(jiu)無(wu)法(fa)訪(fang)問(wen)數(shu)據(ju)。

2017年WannaCry爆發，汽車製造商被襲擊就是一個臭名昭著的勒索軟件攻擊的例子。該病毒感染了150多個國家，超過20萬台的電腦。法國雷諾及其聯盟合作夥伴日產Nissan因其許多係統被攻擊癱瘓而被迫暫時停用歐洲的一些工廠。法國、斯洛文尼亞和羅馬尼亞的設施遭受重創
，雷諾被迫暫時關閉了工業生產線。

zhizaochangshangzaoshoudaozhezhonglesuoruanjiangongjihou
，mianlinzhezhongdadesunshi，yifangmianbeijiamidewenjiantongchangweizhizaoshengchanhuozheqitazhongyaoshujuwenjian，queshizheleiwenjianshengchanxianjianghuibeipoguanting，erhoumianlindeshilaizihezuoshangdegezhongyalijiqijingjisunshi;另一方麵遭遇攻擊後無法恢複被感染的文件，通過查殺病毒或者安全防護、genghuanxindebangongshebeidezhouqijiqigongzuoliangshizhizaochangshangwufajieshoude
，yincizhizaochangshangyoushibudebuzhifushujinyiqiwangkuaisuhuifushengchan，buruzhenggui，erzaizheqijiandanwudegongshijiqishengchanrenwuyoushiyibijudadejingjisunshi，yincigaileigongjishimuqianzhizaochangshangzuiweijupade。

物聯網攻擊

隨(sui)著(zhe)製(zhi)造(zao)業(ye)智(zhi)能(neng)化(hua)轉(zhuan)型(xing)的(de)逐(zhu)漸(jian)深(shen)入(ru)

，物(wu)聯(lian)網(wang)在(zai)推(tui)動(dong)智(zhi)能(neng)製(zhi)造(zao)轉(zhuan)型(xing)過(guo)程(cheng)中(zhong)所(suo)扮(ban)演(yan)的(de)角(jiao)色(se)正(zheng)變(bian)得(de)越(yue)來(lai)越(yue)重(zhong)要(yao)。有(you)了(le)各(ge)種(zhong)各(ge)樣(yang)的(de)物(wu)聯(lian)網(wang)設(she)備(bei)，製(zhi)造(zao)廠(chang)商(shang)能(neng)夠(gou)更(geng)有(you)效(xiao)、更準確地優化其生產工藝及流程。例如

，公司正在使用放置在設備中的物聯網傳感器跟蹤資產
、收集數據和執行分析。這些傳感器監測設備的各類運行參數及關鍵數據，以實現自動恢複，並縮短維修停機時間。

隨(sui)著(zhe)製(zhi)造(zao)工(gong)廠(chang)中(zhong)各(ge)種(zhong)類(lei)型(xing)物(wu)聯(lian)網(wang)設(she)備(bei)的(de)增(zeng)加(jia)，無(wu)形(xing)中(zhong)帶(dai)來(lai)了(le)更(geng)多(duo)的(de)安(an)全(quan)風(feng)險(xian)，物(wu)聯(lian)網(wang)設(she)備(bei)有(you)聯(lian)網(wang)屬(shu)性(xing)，極(ji)易(yi)暴(bao)露(lu)在(zai)網(wang)絡(luo)環(huan)境(jing)中(zhong)。製(zhi)造(zao)廠(chang)商(shang)的(de)物(wu)聯(lian)網(wang)、工控網、辦公網通常情況下未做有效隔離，通過物聯網設備的公開漏洞或者0Day即可滲透進入工控網，對生產的關鍵設備進行惡意攻擊
，影響生產並造成停機、加工事故等事件。

有詳細報道物聯網設備攻擊的工控安全事件如下所述。在2008年8月5日ri
，土tu耳er其qi境jing內nei跨kua國guo石shi油you管guan道dao發fa生sheng爆bao炸zha，破po壞huai了le石shi油you運yun輸shu管guan道dao，中zhong斷duan了le該gai管guan道dao的de石shi油you運yun輸shu。這zhe條tiao管guan道dao內nei安an裝zhuang了le探tan測ce器qi和he攝she像xiang頭tou
，然ran而er在zai管guan道dao被bei破po壞huai前qian，卻que沒mei有you收shou到dao任ren何he報bao警jing信xin號hao，攝she像xiang頭tou也ye未wei能neng捕bu獲huo爆bao炸zha事shi件jian發fa生sheng的de畫hua麵mian。後hou經jing調tiao查zha發fa現xian，引yin發fa事shi故gu的de緣yuan由you是shi監jian控kong攝she像xiang頭tou本ben身shen。黑hei客ke利li用yong網wang絡luo攝she像xiang頭tou的de軟ruan件jian漏lou洞dong
，攻gong入ru內nei部bu係xi統tong
，並bing在zai一yi台tai負fu責ze報bao警jing管guan理li的de電dian腦nao上shang安an裝zhuang了le一yi個ge惡e意yi程cheng序xu
，然ran後hou滲shen透tou到dao管guan道dao操cao作zuo控kong製zhi係xi統tong，在zai不bu觸chu動dong警jing報bao的de情qing況kuang下xia加jia大da管guan道dao內nei壓ya力li，石shi油you管guan道dao內nei的de超chao高gao壓ya力li導dao致zhi了le這zhe次ci爆bao炸zha的de發fa生sheng


，並bing且qie黑hei客ke刪shan除chu了le長chang達da60個小時的監控錄像以“毀屍滅跡”，meiyouliuxiarenhexiansuo。suirangaishijianfashengzaiyouqixingye
，danheikedegongjishoufayushiyongjishuwangwangkeyibeipingyizhiqitaxingye
，beiheikemiaozhundezhizaoqiyejiyoukenengfashengzhizaochanpinbulianglvshangsheng
、加工關鍵設備損毀、員工傷亡等事件。

複雜工業設備攻擊

製造廠商的核心資產有別於其餘行業
，除了常見的PLC
、HMI等設備外，還有特有的數控機床
、工業機器人、光學測量係統等，這些資產通常具有係統構成複雜
、技術點眾多
、編程環境專有等特點
，比如工業機器人由控製係統
、驅動係統、執行關節等組成
，它是根據任務程序執行相應的製造任務
，這些任務程序在控製係統中解析後分解為多個執行步驟(例如，“向右移動”、“鉗子打開”、“向下移動”、“撿拾件”)來完成產品的對應生產過程。每一個機器供應商都有自己的專用語言來編寫任務程序，如ABB的Rapid
、Comau的PDL2
、Fanuc的Karel、川崎的AS、Kuka機器人語言(KRL)、三菱的Melfa Basic、安川的Inform。這些工業機器人編程語言(IRPLs)都是專有的，而且每種語言都有一套獨特的功能。

IRPLs非(fei)常(chang)強(qiang)大(da)，因(yin)為(wei)它(ta)允(yun)許(xu)程(cheng)序(xu)員(yuan)編(bian)寫(xie)自(zi)動(dong)化(hua)程(cheng)序(xu)，也(ye)可(ke)以(yi)從(cong)網(wang)絡(luo)或(huo)文(wen)件(jian)讀(du)寫(xie)數(shu)據(ju)，訪(fang)問(wen)進(jin)程(cheng)內(nei)存(cun)
，執(zhi)行(xing)從(cong)網(wang)絡(luo)動(dong)態(tai)下(xia)載(zai)的(de)代(dai)碼(ma)等(deng)等(deng)。如(ru)果(guo)使(shi)用(yong)不(bu)當(dang)，沒(mei)有(you)安(an)全(quan)意(yi)識(shi)，強(qiang)大(da)的(de)編(bian)程(cheng)功(gong)能(neng)可(ke)能(neng)非(fei)常(chang)危(wei)險(xian)。比(bi)如(ru)可(ke)以(yi)編(bian)寫(xie)蠕(ru)蟲(chong)傳(chuan)播(bo)程(cheng)序(xu)
，在(zai)網(wang)內(nei)的(de)機(ji)器(qi)人(ren)中(zhong)進(jin)行(xing)自(zi)我(wo)傳(chuan)播(bo)。感(gan)染(ran)新(xin)機(ji)器(qi)人(ren)後(hou)，蠕(ru)蟲(chong)將(jiang)開(kai)始(shi)掃(sao)描(miao)網(wang)絡(luo)以(yi)尋(xun)找(zhao)其(qi)他(ta)潛(qian)在(zai)目(mu)標(biao)，並(bing)利(li)用(yong)網(wang)絡(luo)進(jin)行(xing)傳(chuan)播(bo)。該(gai)蠕(ru)蟲(chong)程(cheng)序(xu)中(zhong)包(bao)括(kuo)了(le)文(wen)件(jian)收(shou)集(ji)功(gong)能(neng)，獲(huo)取(qu)受(shou)感(gan)染(ran)機(ji)器(qi)人(ren)中(zhong)的(de)敏(min)感(gan)數(shu)據(ju)及(ji)文(wen)件(jian)，下(xia)圖(tu)為(wei)蠕(ru)蟲(chong)惡(e)意(yi)軟(ruan)件(jian)的(de)網(wang)絡(luo)掃(sao)描(miao)示(shi)例(li):

chucizhiwaigongyejiqirenzhonghaicunzaizhuduoloudong
，birumuluchuanyueloudong
，keshigongjizhenenggouqiequjilumubiaojiqirenyundongderizhiwenjian，gairizhiwenjianbaohanzhuruzhishichanquan(如產品構建方式)之類的敏感信息，然後
，攻擊者可以訪問其他目錄中的其他文件(包括身份驗證機密的文件)

，並使用這些文件最終訪問控製係統。下圖為未經驗證確認的連接訪問機密文件示意。

以上僅是針對工業機器人係統舉例說明在製造業中存在對複雜工業設備攻擊的可能性
，其餘的關鍵設備如數控機床係統、激光測量係統等均因為其功能強大與複雜性可能存在漏洞或者正常功能被惡意使用情況。

防護建議

以上分析針對製造業最常見的攻擊類型，製造廠商需要提前做出防護措施以應對可能發生的攻擊。以下提出幾點建議：

加強員工的安全意識，組織相關培訓教授員工如何識別網絡釣魚

、如何防範等知識
，並不定期進行網絡釣魚測試。

引入設備供應鏈安全性評估和管理機製。對於工廠日常使用的各種操作機台
、IOT設(she)備(bei)

，移(yi)動(dong)設(she)備(bei)
，采(cai)購(gou)或(huo)使(shi)用(yong)前(qian)自(zi)行(xing)或(huo)者(zhe)尋(xun)找(zhao)專(zhuan)業(ye)安(an)全(quan)廠(chang)商(shang)協(xie)助(zhu)評(ping)估(gu)安(an)全(quan)性(xing)，嚐(chang)試(shi)和(he)供(gong)應(ying)商(shang)共(gong)同(tong)建(jian)設(she)漏(lou)洞(dong)修(xiu)複(fu)機(ji)製(zhi)，設(she)定(ding)產(chan)品(pin)安(an)全(quan)準(zhun)入(ru)門(men)檻(kan)。

對合作的上下遊廠商進行合規管控
，從業務、數據、文件等多個維度建立不同的權限級別，並針對外部的網絡訪問做詳細記錄以便溯源查詢。

積ji極ji梳shu理li現xian有you資zi產chan，根gen據ju重zhong要yao度du等deng指zhi標biao進jin行xing分fen區qu分fen域yu
，部bu署shu全quan網wang安an全quan管guan理li類lei產chan品pin，形xing成cheng具ju備bei快kuai速su反fan應ying能neng力li的de縱zong深shen型xing防fang禦yu體ti係xi。優you秀xiu的de安an全quan管guan理li類lei產chan品pin可ke以yi通tong過guo監jian測ce網wang絡luo流liu量liang等deng
，及ji時shi發fa現xian病bing毒du感gan染ran源yuan並bing進jin行xing隔ge離li處chu理li
，有you效xiao阻zu斷duan病bing毒du傳chuan播bo。分fen區qu分fen域yu後hou也ye可ke避bi免mian勒le索suo類lei軟ruan件jian在zai全quan廠chang擴kuo散san。

建立嚴格有效的數據備份方案，在本地
、異地和私有雲等處保存關鍵業務數據及文件，避免因勒索軟件感染關鍵文件而導致停產停工。

加jia強qiang主zhu機ji等deng端duan點dian安an全quan防fang護hu能neng力li。可ke以yi考kao慮lv部bu署shu合he適shi的de終zhong端duan安an全quan管guan理li軟ruan件jian
，對dui不bu具ju備bei部bu署shu條tiao件jian的de機ji器qi，在zai做zuo好hao兼jian容rong性xing測ce試shi的de基ji礎chu上shang
，盡jin可ke能neng的de安an裝zhuang係xi統tong補bu丁ding;如無需使用3389
，445等敏感端口則盡量關閉。

對IOT設備進行定期安全檢查，聯係廠家獲取最新版本固件實時更新，防止攻擊者利用已知漏洞發起攻擊。

對製造廠區內的無線連接進行管理，並定期更換密碼(使用強密碼)，管控私接AP
，關閉不必要的打印機等設備的無線功能。

外部人員訪問製造廠區內網絡時，采用虛擬專用網或者其餘加密連接方案，並做好行為記錄備案。

對數控機床、工業機器人等設備的程序文件做安全性掃描處理，確保程序文件不攜帶已知病毒。

如有可能需對數控機床、工業機器人等設備的程序做自動或定期的源代碼審查，如發現異常函數使用及時反饋編程人員進行修改、備案、記錄、分享經驗等。

建立與集成商公用的程序文件安全性審查庫
，並建立準入和身份驗證機製
，隻有經過認證的編程人員才有權限讀取和存放編程程序。