2.2　工业互联网面临的威胁与风险分析

2.2.1　工业互联网面临的人员威胁与风险

全球信息安全专家普遍认为，对信息系统的最大威胁是人，而不是技术本身。来自各方面的相关人员对工业互联网的威胁可以是外部的，也可以是内部的。外部威胁可能包括恶意攻击者、行业竞争对手和不怀好意的系统操作员。对工业互联网系统构成潜在威胁的外部恶意攻击者，不仅包括外国情报机构（FIS）的网络攻击行动，而且还包括有组织犯罪分子、恐怖分子、黑客组织和极端民族主义者，甚至是恶意攻击者个人。工业互联网系统和组件的制造商，可能因为未能充分设计和构建安全的工业互联网设备而造成安全威胁，或将安全性视为事后考虑而非核心要素在设计时考虑，甚至故意在产品中留下后门，以便将来能够秘密获取用户数据，并在系统操作员不知情或不同意的情况下将其暴露给第三方。另一个外部威胁可能来自安装了不安全设备的制造系统、心存不满的系统外部运维人员或合作伙伴、未能对员工进行充分的财产安全培训，或未充分审查或监督有权使用工业互联网系统设施和设备的承包商和其他第三方。

人员对工业互联网系统的内部破坏即所谓的内部威胁，可能是恶意的，也可能是无意的。恶意的行为人包括根据外国情报机构的情报披露的恐怖组织或间谍人员，以及对企业不满或情绪不平衡的离职员工。非故意的内部威胁是由其他忠诚的员工造成的，他们对安全规章制度的无知、疏忽或懒惰，无意中向恶意攻击者提供未经授权的访问权限，或者可能通过单击钓鱼电子邮件不小心触发了网络攻击。如果系统操作员或其他合法参与工业互联网系统的人员，无意中将敏感数据或信息暴露给未经授权的第三方，则可能导致敏感工业互联网数据的无意泄露。

但是，在工业互联网中还存在着一类特殊的威胁，即新旧设备处于共存或过渡状态产生的攻击威胁。在通信技术领域，企业或组织每隔三至四年更换一次通信网络设备，固定资产财务方面的折旧周期与信息和通信技术的更新进步周期同步，同时也与运行最新应用程序所需的适应和处理能力相匹配。而与信息和通信技术领域不同，工业互联网设备的技术更新和财务折旧周期可能需要很长时间。据权威资料报道，有的关键基础设施中运行的RTU设备可能已经运行了超过35年，现场控制设备运行超过二三十年在许多工业控制行业并不少见，而且“当一个工业控制系统处于正常工作状态时，不要轻易去碰它，更不要说替换”已经成为工业控制领域的常识性认知。一个很好的例子是，根据英国航空公司2008年的调查报告，英国伦敦希思罗机场的4号航站楼行李系统在软件升级后发生故障，导致机场遭受严重损失。然而，技术老化过时的工业控制系统在工业互联网时代应被视为一种潜在的威胁，因为处理和存储能力有限的陈旧技术无法运行更安全、更可靠的工业互联网应用程序[如将Commodore64（1982年的8位家用电脑）的计算能力与当前主流笔记本电脑的基本计算能力进行比较]。随着信息和通信技术在工业互联网领域的不断渗透，这类威胁变得更加突出。如今在净水装置、医院X射线和正电子发射断层扫描（PET）系统的控制、自动取款机和桥梁姿态的控制系统中，很容易找到基于Intel 486 CPU配置的Windows XP SP1系统。普通民众的家用电脑中已经淘汰多年的硬件系统和操作系统，目前却仍然7×24小时地运行在很多行业的工业控制系统现场测控设备中。其中的脆弱性问题在于，这类陈旧设备中已经应用的信息通信技术更新换代十分迅速，而工业控制设备本身的使用寿命却相对很长，因此不匹配现象非常突出。此外，依据遗留工业控制系统设备的兼容性标准，可能要求新一代的工业互联网设备不能启用安全功能，因为旧的设备有可能不支持安全功能所需的软硬件资源条件。可以将此类工业控制领域的遗留系统的脆弱性定义为：无法通过常规措施和技术完全保护的系统，因此对受控过程的连续性、完整性和机密性构成更大的风险。而且，应用于工业控制的生产系统的大型运维工作需耗费数年时间，因此生产控制企业的执行管理层很难决策同意为更换和升级遗留工业控制系统规划必要的预算，工业互联网信息安全方面的投资预算往往被列为最不急迫的花费。另外，许多工业控制设备在20世纪60年代被开发为基于晶体管板技术的专有单板硬件结构，10年后或更长时间后安装的替换组件将无法在内部直接使用新技术，而更多的是利用现场兼容的接口进行互联互通。制造商可能已将新功能添加到组件中，而该功能仅在手册中有详细说明，需要连接服务器端并进行下载更新。例如，新生产的PLC可能包含一个基于SoC（系统级芯片）的Web服务器，该服务器提供对PLC的用户友好访问界面、嵌入式电子邮件客户端、SNMP代理和安全防护相关的资源，通过相应接口连接PLC的用户可以对PLC进行访问并获得控制权限，同时更新有关资源。而工业现场工程师可能并没有意识到这种功能方面的变化，当出现故障时，工程师往往会立即使用新的部件尽快更换有缺陷的部件。于是，新的PLC将具有新的连接访问功能，并将以未配置的出厂设置状态运行，攻击者将可以进行未经授权的连接访问。

工业互联网相关设备在设计方面也存在威胁。工业互联网系统特别是现场控制设备的组件使用出厂默认密码进行打包，默认情况下禁用安全选项。因此，在工业互联网域中安装组件很容易，但本质上非常不安全。一般情况下30%的工业应用程序出厂后程序将无法更改，或者商业合同中约定不允许更改出厂默认密码。并且很难说服工业控制系统制造商研发具有安全功能的产品组件，直到最近几年，在几次工业控制信息安全事件的推动下，一些工业制造商才开始改变其产品的默认安全状态，即在安装过程中需要更改密码。而与此问题密切相关的威胁是，在工业控制设备中包括密码在内的身份认证信息通常不加密，网络攻击者可以在内存中以明文形式，或在通信过程中通过窃听方式获取这些重要信息。此类威胁的典型案例是一家知名制造商的PLC设备外包装清楚地显示钻孔模板，并说明电源插头和UTP电缆的连接位置，并且随设备附带的光盘和一份两页的安装手册明确说明可以在连接PLC的网络计算机设备中启动光盘。然后，网络中的可执行文件会自动尝试发现PLC，用户基于Web的界面配置PLC。而就在光盘中的一个PDF文件中却详细地说明了如何设置或删除密码。在实际的生产环境中，由于各方面原因，操作工人并不会认真阅读手册，PLC安装时没有任何密码保护，就直接连接到互联网。使用Shodan类互联网搜索引擎（Shodan是一种搜索引擎，与Google类搜索引擎不同，Shodan搜索网络空间中的在线设备，可以通过Shodan搜索指定的设备，或者搜索特定类型的设备如linksys、cisco、netgear、SCADA等），恶意攻击者可以很容易发现这些没有任何身份认证保护措施或只有简单防护机制的PLC设备，并进一步控制该PLC实施下一步网络攻击行动。