据统计,2015年针对工业企业及相关设施的黑客攻击相比2014年增长了一倍。能源、交通、水利等关键基础设施的信息安全形势越来越严峻,因此需要革新工业安全理念,构建数字化时代的工业信息安全防护体系。
2010年,伊朗核设施的工程师发现了一个怪异的现象:离心机的运营数据一直合乎要求,核研究却始终止步不前。
他们一直没有办法得到预想中的结果——离心机的真实转速似乎无法满足实验的需要,但这与已经被验证过的科学理论不符。这些工程师不知道这种情况的出现是因为电气问题、施工问题、物理问题还是软件问题,于是就一次又一次地检验设施中的各个环节。直到他们注意到核设施中那些安装了低版本windows系统的电脑纷纷蓝屏,才意识到可能感染了计算机病毒。这种病毒会摧毁低版本的windows系统。
随后的研究发现,一种高级的蠕虫程序——震网病毒利用了windows系统中尚未被发现的4个漏洞,调整了离心机转速但并没有让这种调整在终端显示出来,正是这个病毒让伊朗的核计划被耽误了两年之久。
进一步的研究发现,为了让这种病毒感染未接入互联网的内部网络,黑客精心设计了一个“低调”的传播系统。在感染核设施中的计算机之前,这些病毒已经在伊朗“潜伏”了两年之久,一家工业自动化系统生产企业很早就被攻击,随后不远处的一家钢铁企业也受到攻击,伊朗最大的工业园区中的上千个网络在这波攻击中遭受了损失。之后,被美国司法部列入制裁名单的内达实业集团被攻击。最后,震网病毒才绕过所有障碍,完成了对核设施的攻击。
在这次事件中,西门子“意外”地承担了巨大压力——在事件发生之初,舆论普遍认为问题源自西门子的电气设备而非微软的操作系统。尽管真相最终水落石出,但该事件仍然引起西门子中国研究院信息安全总监胡建钧的思考:对于保护工业信息安全,到底应该做什么,怎么做。“这是一个充分调动了国家级资源去攻击一个企业或者工业设施的案例,这种攻击仅仅依靠企业力量很难完全抵御的,那我们的目标会是防范这种级别的风险么?”
早在本世纪初,西门子已经开始关注数字化背景下的企业安全风险。2005年,胡建钧从北京大学操作系统专业毕业,进入西门子的信息安全部门工作。当时,电信业务全IP化正在蓬勃发展,对网络的需求也处于全面爆发的前夜。在热情高涨的市场中,西门子开始思考一个更重要的问题:既然以往被认为是专有网络的电信领域都越来越IP化,那些重要的工业企业、能源基础设施和交通系统是否也终将被数字化浪潮卷入其中。
作为这些机构的重要上游企业,西门子又将面临怎样的安全挑战。“当时我们想,如果这一切变成真的,我们面临的挑战可就大了,”胡建钧回忆说,“我们那个时候就觉得,我们至少应该做点事情,为这个可能的趋势做点准备。”
2016年3月,西门子开始和国内最著名的黑客团队——清华大学蓝莲花团队合作。在西门子指导下的一场模拟攻击中,蓝莲花团队利用勒索软件成功锁住了西门子的设备,并修改了控制程序。
过去几年,他领导的团队一直在琢磨对手的“玩法”。这之前,他们还在网络上设置了蜜罐系统来引诱黑客对西门子设备发起攻击。“我们想了解一下,针对工业体系的攻击有什么新特点,又是什么人对我们的设备感兴趣。”胡建钧的办公室旁边就是西门子模拟黑客攻击行为的实验室,这里也是中国第一家由企业建立的信息安全实验室。每个工作日的白天,这里都会模拟最新攻击行为来检验系统安全水平。
在胡建钧看来,最大的问题是无法时刻洞察自身情况。“我们以为部署了防火墙会帮我们阻挡恶意攻击,殊不知它上面有直通的错误配置;我们以为这台设备一直都在正常工作,殊不知它上面已经悄悄运行着木马程序;我们以为现在网络和当年的设计是一致的,殊不知上面已经新增了很多节点;所有情况都已经变化,而我们根本无法感知。”不能及时感知,就不可能及时进行控制,进而也谈不上有效管理。
令胡建钧感到担心的,还有攻击企业系统的黑色产业链。链条上的人分工明确,配合专业,几乎无孔不入。他将在伊朗出现的工业安全事件定义成政治驱动的攻击行为,这类行为成本过于巨大,不会成为企业界的主流安全问题。但如果可以用低成本的方式发起攻击,并获取巨额的利益,事情就不一样了,“天下熙熙,皆为利来;天下攘攘,皆为利往,一旦变成商业行为,力量之大无论如何评价都不为过”。
这种趋势已经有了苗头。2010年,中国重大工业基础设施遭受的攻击还只有51次;到2015年,这个数字就增长到了341次,电力、石油、石化和军工的安全形势都堪称严峻。
作为当今世界最重要的工业体系建设者,西门子不想因为这些层出不穷的小问题影响到未来工业体系的建立和工业4.0理念的实行。在当今的工业体系中,这家低调的德国企业实在太重要了:他们既是全球最重要的设备提供商,也是相当重要的系统集成商,在某些时候还要扮演系统运营商的角色——西门子在成都的工厂早就被认为是工业4.0的样板工厂,其在安全领域的表现几乎决定着工业4.0理念的推进速度和程度。
西门子的传统保护手法是评估和执行。但建立在静态思想基础上的安全防护体系没有办法对外界的变化做出实时的反馈,也不能阻止企业安全水平逐步下滑的总体趋势。于是西门子决定延长自己的保护链。今年5月,西门子在苏州成立了工业信息安全运营中心,并首先将成都的样板工厂接入到这个运营中心里。未来,还将有越来越多的工厂被接入到这里。2017年5月4日,胡建钧在其负责的西门子工业信息安全运营中心启用仪式上做致辞及介绍。
西门子希望把这个中心变成未来工厂大脑的一部分。只要那些先进的工业基础设施接入运营中心,他们就可以实时监控网络和数字化工业基础设施中出现的威胁,并根据这些变化实时调整安全策略,同时给这些基础设施的运营者提出建议,双方共同保护设施的安全。为了更好服务国际及本地客户,运营中心在建设伊始就同时参考了国际和国内安全标准,目前运营中心已经获得了ISO27001国际认证,以及通过了国家等级保护三级的测试。
这不是一个孤立的团队。在德国慕尼黑、葡萄牙里斯本和美国米尔福德,西门子的另外三个信息安全中心可以为他们的中国同事提供必要支持。因为这些,胡建钧并不觉得互联网安全厂商在这个领域的跨界发展会是个大威胁,“要做好工业安全首先要洞察工业的本质,最合适的工业安全理念一定发源于有深厚工业背景和前瞻意识的企业。”