姚羽：保卫工控安全就是保卫国家安全

聚焦信息技术领域 为产业发声

导读

2010年，全球第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒——震网病毒出现并席卷全球工业界，使得伊朗的核设施受到攻击，大量设备感染了这种病毒；2017年5月，WannaCry勒索病毒再次席卷全球，我国关键信息基础设施受到剧烈影响......保卫工业控制安全就是保卫我们的国家安全。面对如此严峻的安全形势，我们该如何认识工控安全现状？如何保卫我们的工控安全？如何培养工控安全人才？如何有效抵制攻击？黄河连线特此采访了东北大学计算机科学与工程学院教授、沈阳市大数据管理局副局长姚羽，以下为采访实录：

1.黄河连线：工业控制系统网络安全问题是从什么时候出现？现在的发展态势如何？

姚羽：工业控制系统网络安全实际上是伴随着攻击出现的。最典型的事件是2010年出现的第一个专门定向攻击真实世界中关键基础（能源）设施的“蠕虫”病毒——震网病毒，它使得伊朗的核设施受到攻击。以这个事件为标志，全世界开始真正关注工业控制系统的安全。当然，在20世纪80年代左右就已经有工业控制网络了，只是那时尚未出现这么严重的安全问题，所以工控安全问题不那么引人注意。

目前，在国际上，美国走在了工控安全的最前沿。其次是俄罗斯，俄罗斯的卡巴斯基公司很有特点，且在工控安全方面有非常全面的布局，防护措施做的很好。相对于美俄来说，我国的工控安全刚刚起步，目前处于快速发展的阶段。

2.黄河连线：近期有哪些让您印象深刻的工控安全事件？近期出现的这些工控安全事件和以往出现的工控安全事件相比，有什么新的特点或者变化？由此可以预测出工控安全未来的一些动向么？

姚羽：近期印象深刻的工控安全相关的事件非常多，最引人关注的就是WannaCry、Petya、Triton等。通过观察这些事件，可以得到以下几个特点：

首先，这几年工控安全事件的爆发数量逐渐增加，爆发规模和影响都越来越大。它们往往都是针对某些行业通用产品漏洞进行的攻击，一旦发起攻击，影响的面更大。此外，受工控系统控制的关键基础设施受到的攻击屡见不鲜，使安全事件的后果更为严重。

其次，大量工控系统处于“裸奔”状态，同时又与IT网络系统存在互联，使得工控系统的安全状况极为脆弱。例如，WannaCry本身并非专门针对工控系统的勒索软件，但是在爆发期间也有大量工控系统被连带攻击，导致控制系统瘫痪、企业停产等严重后果。

再次，攻击行为的组织化特点非常明显。攻击过程往往需要大型的团队协作完成，从漏洞挖掘、利用到攻击链条的设计与攻击代码的编写等进行全流程的专业开发。例如刚刚爆出的Triton恶意软件就是针对工业控制系统中专用的安全仪表系统（Safety Instrumented System，简称SIS）进行的攻击，从已知的攻击复杂度来看，该攻击事件的幕后黑手应该是国家支持型黑客。

最后，随着从事工控网络攻防研究的人越来越多，攻击的门槛会不断降低。例如，WannaCry就是由攻击者直接利用公开的“永恒之蓝”漏洞发起的攻击。随着攻击者开始关注工控安全这个领域，在Github上公开的工控系统攻防的相关工具越来越多。这意味着，通过不断的积累，攻击者潜在的攻击能力会越来越强，未来工控系统面临的风险越来越大。可能有一天，针对工控系统的攻击行为就是一个高中生改写了一个脚本而发起的，这也是我们需要关注的一个趋势。

3.黄河连线：能否通过一个例子，比如震网病毒，说明一下我们的工业系统是如何受到攻击然后解决危机的？

姚羽：目前阶段，对工控系统的攻击大部分是利用恶意软件来实施的。以震网蠕虫病毒为例，这一病毒特殊的地方在于它不直接攻击伊朗核设施，而是这样的攻击过程：在恶意软件开发出来后，最开始是在互联网上进行传播的。攻击者采用有针对性的方式，通过一些钓鱼攻击手段引诱被攻击者误操作后把病毒传播到了自己的外网计算机里。

由外网计算机到工控内网计算机的的传播过程主要是利用人的因素。即便个人计算机与工控的系统是物理隔离的，但是仍然可以通过U盘实现蠕虫病毒的传播。在伊朗的核设施中，管理网和控制网在物理上是完全隔离的，但是病毒仍然由外界进入管理网，再传播到控制网，这可能不仅仅是由一个传播者实现的，而是通过多个用户的传播达成的。也就是说，虽然做到了物理隔离，但是人的安全意识差，给这种渗透带来了攻击的机会。

震网病毒的独特之处是它会修改工控编程软件的编译行为，使运行工控软件的PLC（可编程逻辑控制器）执行恶意操作。虽然震网病毒只是改了一个参数，但是工业控制系统却对这样的修改很敏感。因为工控系统在设计之初并没有考虑被篡改参数这件事，所以一旦参数被修改，就会对工控系统造成极大危害，最终导致伊朗的核设施爆炸。

现在我们都在谈两化融合、中国制造2025、工业4.0，这都要求工业控制网络和IT网络一定要有连接，这是一个不可逆的趋势，这也意味着工控安全问题会日益突出。

4.黄河连线：面对愈加严峻的工控安全问题，该如何捍卫我们的工业控制系统网络安全？比如，面对2017年上半年发生的wannacry勒索事件，工控行业应该如何有效抵御及防范？

姚羽：现阶段，我们第一步要做的是提高对工控安全的认识，尤其是国内的企业。我们知道，工业领域一直有工业安全的概念，但是传统的工业安全和我们今天所说的安全不一样。传统的安全是指运行安全，是在假定不存在恶意行为的前提下保证工控系统运行中不出现生产事故。而我们今天所说的安全是要防范攻击者的恶意行为。当我们跟很多工业企业去打交道的时候，他们会说我们有工控安全，显然他们还没有意识到这种差别。

其次，在大家认识到工控系统安全的必要性后，还要做好防护策略。在运行方面，工业系统要求保证实时性，这意味着互联网安全的防御手段，如防火墙、杀毒软件等往往不会被工业企业接受，因为这些防御手段往往会影响工业生产的实时性；此外，防御策略的实施不能影响工控系统运行的稳定性和连续性，如果一个安全手段的实施需要系统重启甚至导致停产，这是不可接受的。

当然，这并不意味着所有的网络安全手段都不适用于工控系统，有一些不会参与到工业生产过程中的安全防护措施是可以应用的。对于工业控制系统而言，一般会应该使用白名单、工控蜜罐、旁路数据分析等防护手段，可以做到不会影响生产，又可以起到防护作用。

第三，要落实标准规范，完善网络安全管理制度。近期，国家下发了一批工控安全相关的条例、工作指南、管理办法、防护指南等，工业企业要参考这些法规、规范等，落实本企业的网络安全防护。当然，对于普通用户而言，要提高安全意识，尤其是不要随意插拔移动介质，毕竟U盘的不当使用是恶意软件渗透的主要途径。

5.黄河连线：面对严峻的工控安全问题，我们要做好防御，但是随着现在物联网、人工智能、大数据等新技术的出现和飞速发展，您认为这对工业控制系统网络安全是好事还是坏事？您对未来的工业控制系统网络安全的发展有哪些看法和观点？

姚羽：我认为物联网、人工智能、大数据的发展对工控安全是好事。

首先，物联网有很大部分的应用场景在工控上，从工控安全角度来说，物联网安全一定程度上也是工控安全。随着物联网的发展会出现很多的安全问题，那我们也有很多研究的机会。

其次，大数据会对工控安全有很强的支持作用。之前，我们考虑网络安全的分析是就一点论局部的网络安全，现在有了大数据做支持，对于攻击行为的分析就可以不仅仅限于局部数据。如果放在互联网大的背景中，就拥有了很多安全数据来源，这些数据可以告诉我们，一次攻击行为背后的攻击者之前做过哪些事、有哪些关联攻击者、其他攻击行为特点等。通过多源的数据分析，才能以更全面的视角审视一次安全事件，并进一步给防御者提供有效的预警预测。

而人工智能的发展对于工控安全也有很大支持。比如，我们的团队做了一些聚类分析及相关的人工智能方面的工作，并利用深度学习对企业内部的流量进行分析。因为大量的数据分析仅靠人是分析是无法完成的，而通过人工智能的支持，就能大大提高分析效率并发掘潜在的规律。但是，我认为，在现阶段人工智能的作用还比较有限，例如，一些通过人工智能挖掘出来的结果是无法在防御中直接使用的，还需要工控安全专家去决策、判断这些结果背后隐藏了什么实际意义。人工智能目前只能起到一个初步筛选的作用，作为网络安全专家的助手，最后的决策还需要由人来做。

6.黄河连线：您目前是否有自己的团队？

姚羽：我之前从事恶意软件的传播数学模型这方面的研究，在2010年的震网事件之后开始关注工控安全，2012年开始做一些工业控制系统的漏洞捕获、分析研究工作，更面向应用。现在，我们成立了东北大学“谛听”工控网络安全实验室，目前有硕士和博士有30人左右，是国内比较早研究工控安全的实验室。

7.黄河连线：为什么给实验室取名“谛听”？有什么特别的寓意吗？

姚羽：“谛听”这个名字来源于地藏王菩萨的坐骑，在西游记中，它可辨别真假孙悟空，团队起这个名字，也是想要辨别工控领域的善恶。我们做了一个网络空间工业设备的搜索引擎1.0版本，在互联网上是公开的，可以搜索并查询互联网上暴露的工控设施情况。目前，我们内部已经做到了3.0版本，不仅仅包括搜索功能，还可以对攻击行为进行更深入的分析，我们的系统可以定义为：全网工控安全态势感知系统。

8.黄河连线：团队目前在工控安全方面的工作有哪些呢？

姚羽：谛听的定位就是做全网的工控安全态势感知。也就是说，基于互联网安全数据来洞悉网络安全风险，以网络安全大数据为基础，从全球的视角来理解分析工控网络安全，最终目的是为了决策和行动——态势认知、理解、预测。

态势认知主要包括谛听1.0的工控安全搜索引擎。此外我们还做了一些工控蜜罐，以此捕获互联网攻击者尝试进行的攻击行为。态势的理解主要根据态势认知得到的数据结合威胁分析情报的支持，得出攻击者的画像。判断攻击者日常所做的攻击行为有什么规律、工具是什么、属于什么组织、有什么意图等。态势预测主要延续之前做的基于网络攻防的数学模型的工作，利用手里工控安全的数据，对趋势进行分析、预测。

9.黄河连线：您之前说到了人在工控安全领域的重要性，那么我国工业控制系统网络安全人才目前是什么样的现状？如何才能成为工控安全领域的人才呢？

姚羽：我国的工控安全刚刚起步，这方面的人才非常匮乏。对于想要从事工控安全研究或技术工作的学生或技术人员，我有两点建议：第一，要有足够的兴趣。前面说过，国内的工控安全刚刚起步，这一领域还没完全展开，要做好坐冷板凳的准备，没有兴趣的话难以持久深入的做下去。第二，要做到理论和实践相结合。一方面工控安全的实践性很强，一定要把实践摆在最前边；另一方面，如果不把实践提升为理论，那实践也就成了一盘散沙，难成体系。国内工控安全领域发展很快，要时刻关注新的趋势，多关注新动态，与时俱进。

工控安全是一个典型的交叉学科，主要涉及两个方面：第一，要熟练掌握和深刻理解网络安全技术，第二要对工控领域的业务比较熟悉。不管是网络安全和工业控制，这两个行业都发展了很多年，博大精深，学习它们需要一个长期的过程。要想成为工控安全方面的人才，至少要对其中一个领域比较精通，在此基础上，学习和扩展另一个领域。通过交叉实践后才能真正做好。一开始的时候，可能相关的资料比较少，大家可以参阅我参与编著的《工业控制网络安全技术与实践》一书，这是国内第一部工控安全领域的著作。

另外，英语水平要高。由于国内工控安全方面的资料比较少，而国外在这一方面已经有一些成熟的东西，形成了自己的特点和体系，因此，要时刻关注国外的进展，到国外的社区中去搜集相关资料，关注相关事件。最后，还要具备一定编程能力。

声明：

部分图片来源于网络

黄河连线系太原九州连线文化传媒有限公司旗下品牌

本平台法律顾问为山西晋商律师事务所

黄河连线原创文章，转载请注明出处