代碼戰爭：全球工業網路安全新戰場大揭秘

　　《中國經濟週刊》 記者 張偉|北京報道

　　(本文刊發于《中國經濟週刊》2016年第16期)

　　4月19日，中共中央總書記、國家主席、中央軍委主席、中央網路安全和資訊化領導小組組長習近平在京主持召開網路安全和資訊化工作座談會併發表重要講話。

　　習近平強調，網路安全和資訊化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網路安全觀，加快構建關鍵資訊基礎設施安全保障體系，全天候全方位感知網路安全態勢，增強網路安全防禦能力和威懾能力。

　　對於這次座談會及其所強調的網路安全問題，不僅資訊行業高度關注，實業界更給予了特別關注。

　　2015年，我國明確提出“網際網路+”“中國製造2025”等重大戰略舉措，智慧製造、智慧終端成為中國製造新的“標配”。與此同時，工業控制網路安全成為無法躲避和回避的新的工業命題、國家安全命題。

　　近年來，國內外發生的越來越多的工業控制網路安全事件，用慘重的經濟損失和被危及的國家安全警示我們：工業控制網路安全正在成為網路空間對抗的主戰場和反恐新戰場。

　　代碼即武器

　　這是一場普通人看不到、也無法想像的新式戰爭。

　　2014年“超級電廠”病毒事件，全球上千座發電站遭到攻擊，歐美等國家為重災區；2015年“BlackEnergy”病毒事件，烏克蘭至少有三個區域的電力系統被攻擊導致大規模停電；2016年3月，美國國防部長卡特首次承認：美國使用網路手段攻擊了敘利亞ISIS組織……

　　隨著資訊技術和網路技術的迅猛發展，國家安全邊界已經超越地理空間限制，延伸到了資訊網路。

　　“棱鏡門”事件後，世界各國深刻認識到網路治理權關乎國家網路安全和利益，網路空間已經成為繼陸、海、空、天之後的第五大國家主權空間。

　　2015年末發生的烏克蘭電網斷電事件，以及2016年年初發生的烏克蘭機場受攻擊事件都表明：一直以來被認為相對安全的工業控制系統已經成為駭客攻擊的目標；而且，工業控制系統安全漏洞及攻擊方式，已經成為“黑市”熱銷商品，甚至被作為“特殊武器”列入“瓦森納協定”(全稱為《關於常規武器和兩用物品及技術出口控制的瓦森納安排》)的控制清單，而中國在被禁運國家之列。

　　在智慧化社會背景下，工業控制網路正成為網路空間對抗的主戰場和反恐新戰場。

　　秘而不宣的工業網路安全事件

　　在資訊技術與傳統工業融合的過程中，工業控制系統正面臨越來越多的網路安全威脅。

　　2014年，工控用戶在控制系統中發生網路安全事故的比例有所提升，受網路安全事件影響的企業佔比達到了28.6%，因病毒造成工控網路停機的企業高達19.1%。

　　2015年僅美國國土安全部的工業控制系統網路應急響應小組(ICS-CERT)就收到了295起針對關鍵基礎設施的攻擊事件，事實上，我們所看到的工業網路安全事件，只是冰山一角，還有更多的工業控制網路安全事件被秘而不宣。

　　2014年12月，德國聯邦資訊安全辦公室公佈消息稱：德國一家鋼鐵廠遭受高級持續性威脅(APT)網路攻擊，並造成重大物理傷害。攻擊導致工控系統的控制組件和整個生産線被迫停止運轉，由於是非正常關閉煉鋼爐，這次事件給鋼鐵廠造成了巨大的損失。

　　2015年4月，美國賽門鐵克公司聲稱發現了一個主要針對石油、天然氣等能源行業的木馬程式，該木馬能夠收集目標機器的數據，並將數據發送給木馬製作者進行分析，從而決定是否進一步入侵。

　　2015年6月，波蘭航空公司的地面作業系統遭遇駭客攻擊，導致長達5個小時的系統癱瘓，至少10個班次的航班被迫取消，超過1400名旅客滯留。這是全球首次發生的航空公司作業系統被黑事件。

　　2015年12月23日，烏克蘭至少有三個區域的電力系統被具有高度破壞性的惡意軟體攻擊，導致大規模停電，伊萬諾-弗蘭科夫斯克地區超過一半的家庭(約140萬人)遭遇停電困擾；整個停電事件持續數小時之久。在發電站遭受攻擊的同一時間，烏克蘭境內的其他多家能源企業如煤炭、石油公司也遭到了針對性的網路攻擊。

　　基礎設施、智慧製造、智慧終端，都可能成為“武器”

　　北京匡恩網路科技有限責任公司(下稱“匡恩網路”)總裁孫一桉告訴《中國經濟週刊》：超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業，工業控制系統己廣泛應用於國計民生的各個領域，包括基礎設施、民生/智慧城市、先進製造業和軍隊軍工等。

　　“最近美國剛剛發生了駭客破壞污水處理系統事件，造成飲用水受到污染。在人口高密度的國家，基礎設施是一個不可忽略的領域，一旦被攻擊或破壞，就會造成極大的危害。以城市裏的化工廠或者臨近水源的化工廠為例，如果整個工控系統被控制的話，這些工廠本身就變成了一個被利用的武器。在智慧製造領域，絕大多數已發現的網路問題，並不是惡意攻擊事件，而是系統被病毒入侵，設備有被控制的痕跡。”孫一桉説。

　　工業網路的安全問題，體現在民生領域的實例，就是越來越普及的智慧終端。孫一桉告訴《中國經濟週刊》，現在汽車、飛機、船舶都變得更加智慧化了，醫院裏也有了越來越多的智慧終端。

　　“兩年前，在美國的一次會議上，安全研究人員做了一個演示：一個房間裏是一台聯網的電腦，另一個房間有一個心臟起搏器，他們通過電腦控制並關閉了另一個房間的心臟起搏器。如果這個心臟起搏器是裝在病人身上的話，毫無疑問，這個病人肯定就一命嗚呼了。安全研究人員還特別強調：演示中使用的心臟起搏器型號跟某位前任副總統使用的型號一模一樣。”

　　“再舉個汽車的例子。我們經常可以看到廣告裏有這樣的場景：當兩輛汽車非常靠近的時候，汽車會自動執行剎車。這個功能看起來很智慧，但其實非常可怕。這意味著在我們的汽車上有一組晶片，可以不受我們的控制去改變速度，另外，很多車上都安裝有車載多媒體娛樂系統，這一系統與網際網路聯通，如果駭客通過車載多媒體系統入侵我們控制剎車的晶片，其危險不言而喻。

　　病毒攻擊成了非常克制的“國家間行為”

　　以2010年攻擊伊朗核設施的“震網”超級病毒為標誌性事件，工業控制網路的對抗已經成為影響各國國防安全的重要元素。

　　據孫一桉介紹，2010年伊朗核設施遭受“震網”超級病毒攻擊，大量生産核燃料用的離心機遭到破壞，病毒的複雜程度超出人們的想像，該事件也被稱為世界上首個“網路超級武器”事件。由於工業病毒攻擊可以直接導致物理設備的故障，並進一步造成生産癱瘓甚至爆炸的災難性後果，以美國為代表的各國政府已經將工業漏洞代碼列為軍備物資並限制出口和交易。

　　2015年5月，美國商務部提交了新的出口限制禁令：將未公開的軟體漏洞代碼視為潛在武器。

　　2015年5月，美國公佈了“瓦森納協定”的修改草案，這一協定將駭客技術加入了全球武器限制貿易的條約，這一新規可能使滲透測試工具、網路入侵、利用零日漏洞變成犯罪。

　　2016年3月，美國國防部長卡特首次承認：美國使用網路手段攻擊了敘利亞ISIS組織。

　　孫一桉告訴《中國經濟週刊》：工業控制網路安全已經成為國與國之間對抗的前沿陣地。美國從2008年就建立了國家級的工業控制系統攻防靶場——“曼哈頓計劃”，與其核武器計劃同名可見重視程度。

　　代碼即武器，在數字化經濟和數字化系統中，代碼成為了一種攻擊手段。“近兩年，代碼這個武器在民間得到了使用，成為恐怖襲擊的手段。2015年，‘11·13巴黎恐怖襲擊事件’中，恐怖分子利用網路手段來躲避檢查，他們用某品牌的遊戲機相互通訊。恐怖分子被抓住之後，發現他們身邊有一本安全手冊，告訴他們在什麼情況下怎麼做不會被抓到等等。

　　恐怖分子利用網路手段去躲避檢查和被捕，到利用網路手段去進行攻擊時間不會太長。2015年12月，烏克蘭電網、能源部門遭受網路攻擊，這些事件都是冰山一角。其背後的黑色産業已經在迅速蔓延。”

　　孫一桉説，工業控制網路安全不僅是國家間對抗的前沿和焦點，而且也是我們國家反恐的新戰場。“像攻擊伊朗核設施的‘震網’病毒，就有幾萬行代碼。70%以上的代碼是幹什麼的？就是保證病毒在不該發生的地方不發生，它是非常克制的，是國家間行為。到了2014年，‘Havex’病毒事件發生時，它一個月就衍生出幾百個變種，在民間也有廣泛的傳播”。

　　新戰場：交易簡單、破壞力驚人的武器，長期潛伏、態度曖昧的敵人

　　孫一桉告訴《中國經濟週刊》：“這個領域還有一個特點：攻擊絕對不是一時興起的短期行為。對基礎設施來講，它一旦找到入口，就會紮根於此。因為它知道基礎設施十幾年都未必更新，它會長期潛伏。不管你用什麼設備，都不能假設它進不來，我們稱之為入侵容忍度，真正要建立解決方案，必須要在它能夠進來的前提下，怎麼讓損失最小化。這個戰爭會持續進行下去，並將成為一個國家的核心競爭力。未來哪個國家在這個領域領先，就如同掌握了核武器一樣，動一動按鈕就可以攻擊別人。”

　　“而且，這種武器交易起來很容易。舉例説，如果你想把一個核彈頭運到什麼地方特別費勁，但把一個攻擊病毒，比如從美國傳到伊朗，是一瞬間的事兒，非常之容易，它的傳播速度和廣度，比核擴散還嚇人，還恐怖。這場新的戰爭現在才剛剛開始。這場對抗，應該引起跨行業的、高度的、國家級的重視。”孫一桉説。縱觀世界各國，不管政府財力如何都已經在這方面下足了工夫。“美國2008年建靶場，英國緊隨其後，2010年建的靶場。日本在經濟相對非常困難的情況下，2013年建了一個國家級靶場，我後來曾經去參觀過，去的時候它已經停用了，據説是後續資金沒跟上，這兩年又重新啟動了。”

　　工控網路安全正成為網路空間對抗的主戰場和反恐新戰場。一方面是政府和商業利益的雙重誘因。“工業控制網路攻擊的成本遠遠低於傳統的戰爭手段，但可能造成的嚴重後果卻不亞於戰爭，因此不僅各國政府不斷擴充網路軍隊進行攻防演練，民間駭客組織也非常活躍地在挖掘和利用工業漏洞，並通過工業漏洞開發各種隱蔽的數據竊取和劫持手段，從而獲取巨大的商業利益。”孫一桉説。

　　此外，網路恐怖主義也隨之甚囂塵上。2015年以來，已經出現了恐怖分子利用工業控制系統進行網路襲擊的案例。ISIS國際恐怖組織更是持續進行網路攻擊，甚至在其內部進行網路安全培訓，網路恐怖主義的威脅已經逐漸滲透到工業控制系統，對國家安全和民生構成嚴重威脅。

　　據孫一桉介紹，個別西方國家還蓄意挑起網路戰爭題材的概念。對“震網”病毒研究最多的一個德國科學家，他幾年之間連續發表了一系列論文，他追溯了“震網”病毒的幾個變種，得出的結論非常嚇人：早期的變種是非常隱蔽的，發展到後來，它把隨機隱蔽功能去掉了。這意味著它想讓別人發現它。

　　這背後的用意，很難揣測，但值得玩味。