全球大壩網絡安全現狀與應對網絡攻擊措施

D.維利

全球大壩網絡安全現狀與應對網絡攻擊措施

D.維利

全球大壩如今已成為網絡攻擊的主要目標，無論大壩規模大小和功能重要與否，都應采取必要措施保障其網絡安全。簡單介紹了大壩遭受網絡攻擊的危害與后果，并對此進行了充分論證。最后提出了有助于改善大壩基礎設施，使其免受網絡攻擊的3種方法和措施，具有一定的實際指導意義。

大壩；大壩安全；網絡安全；控制系統；方法和措施

1 大壩遭受網絡攻擊危害現狀

2016年年中，美國指控幾名伊朗黑客利用谷歌攻擊紐約鮑曼(Bowman)大壩控制系統。這是美國政府第一次因本土關鍵基礎設施受到網絡攻擊而起訴另一國公民。

由于鮑曼水利樞紐堅實可靠，因此此次黑客入侵并未造成進一步的影響，意味著并沒有產生實質性的損壞。但起訴書稱，黑客能夠“訪問大壩運行信息，包括水位、溫度和閘門等”。如果不是及時發現，攻擊者將有可能獲取更高的訪問權限，帶來更大的麻煩或為以后埋下隱患。

當美國司法部做出起訴決定時，不僅在美國，與此同時，世界各國也正對關鍵基礎設施的網絡攻擊保持著高度警惕。幾年前，以伊朗核設施為攻擊目標的震網(Stuxnet)病毒就是一種高度復雜的目標性攻擊，此后，烏克蘭又淪為關鍵基礎設施受到公開網絡攻擊的受害者。這次攻擊已得到確認，其目標為烏克蘭國家電網，曾造成多處停電數小時，影響到成千上萬人。此外，日本也曾是被攻擊對象之一，該國針對其關鍵基礎設施頻繁的網絡攻擊都加強了防范，包括一些針對其公用事業公司和能源公司的高級持續性威脅。不久前威瑞森(Verizon)通信安全解決方案機構曾公開一份報告。報告指出，某水處理設施遭到網絡攻擊后嚴重受損。雖然要得出確定的結論為時尚早，但這份報告證實了“對水處理設施的攻擊與日俱增”這一傳聞。美國環保局也已著手加強水資源部門的網絡安全性。

綜上，廣泛的證據和一系列事件表明，全球范圍內基礎設施受到的網絡威脅一直呈上升態勢。對大壩業主和運營方來說，一定要了解這種攻擊對大壩運行、設備以及人員的風險，找出使大壩成為易受攻擊目標的薄弱環節，并部署相關措施，以減少和避免網絡攻擊。

2 大壩分類及其緣由

盡管因大壩規模和功能不同，種類也有所差異，但都在國民日常生活中起到非常重要的作用。從發電、水處理到防洪蓄水，全球社會在很大程度上都依賴于大壩。

美國時任總統奧巴馬非常了解大壩和其他關鍵基礎設施的重要性，曾于2014年頒布了13636號行政命令，明確了關鍵基礎設施的定義，并將大壩納入其中。根據該命令，關鍵基礎設施是指“對美國至關重要的實質或虛擬的系統和資產，這些系統和資產一旦遭到功能性損壞和破壞，會對國家經濟安全、國家公共健康等諸多公共事務造成破壞性影響”。

此外，美國國土安全部把該國近83 000座大壩列為16類關鍵基礎設施中的一類。理由是：大壩為美國提供了關鍵的蓄水和調控服務，包括水力發電、市政與工業供水、農業灌溉、防洪防沙、內陸貨船航運、工業廢棄物管理和娛樂休閑服務。大壩的主要服務功能為其他多種關鍵基礎設施部門和行業提供了支持。

在歐洲，法國和德國最先采取洲際辦法保護關鍵基礎設施，以免受網絡攻擊。2015年，德國議會通過了一項法規，規定大壩和水庫等關鍵基礎設施的業主和運營方負責嚴格執行網絡安全標準。同時，對不履行該職責的單位處以高達11.4萬美元的罰款。法國網絡與信息安全局曾提出了歐盟關鍵基礎設施網絡安全強制要求的設施和維護要求，極有可能被歐盟采納。在全球其他地區，澳大利亞和日本等國也已開展此項工作，制定了相關法規，從而盡早將其關鍵基礎設施受到網絡攻擊的風險降到最低。

3 受網絡攻擊的原因

世界各地的大壩都在老化，且用于日常運行的裝備狀況也在不斷惡化。事實上，美國土木工程師協會早在2013年的報告中就曾指出，美國國內的大壩平均壽命為52 a。建議每年投資210億美元用于修繕這些老化設施。在伊拉克，有報道稱該國最關鍵的基礎設施摩蘇爾(Mosul)大壩目前正瀕臨潰塌，一旦事故發生，下游將出現兇猛的洪水，很有可能造成50多萬人死亡。

如今，多數大壩都配備了數據采集與監控系統(SCADA)，即一種用于遠程監控和處理的工業控制系統(ICS)，其可靠性和服務的有效性尤為重要。在20世紀60年代引入SCADA之前，系統通過手動控制，運行人員需前往每個設施現場開啟和關閉系統。最初SCADA則可對過程進行自動控制、采集和存儲信息，并分析、顯示實時運行數據。SCADA等運行技術(OT)曾是獨立系統，并無互聯功能。而自數據驅動的分析軟件和跨平臺通信技術等引入工業系統以來，有效地提升了其產能和可靠性。盡管傳統系統在設計之初未考慮與這些先進技術的融合，但目前新舊系統已成功兼容。

在過去10 a間，重要的公共設施都逐步采用了數字系統，可通過改變系統邏輯或調整系統信息從根本上配置系統，以此取代傳統老舊的模擬系統。當數字系統功能完善且成本降低的同時，相對于其模擬系統的“前輩”，這些系統更易受到攻擊。

現在自控技術與商業網絡和外部系統互聯，操作人員和供應商可對運行的各方進行遠程控制、監控和維護，最終提升產能，改善性能并削減成本。通信技術也融入到全球供應鏈中，且將生產和公共設施的運行與全球市場連接得更為緊密。盡管這些先進技術和科技提升了效率，但也形成了新的攻擊接口，帶來了復雜性，暴露出了許多缺陷，讓攻擊者有機可乘。黑客可利用這種缺陷，針對關鍵基礎設施的網絡發起攻擊極有可能造成其損壞、破壞甚至實質性危害。

如果網絡恐怖活動目的明確，在大量設施互聯的情況下，實施犯罪就更加容易。在采用聯網的數字系統之前，為破壞控制系統，不法分子需要抵達現場破壞某一控制系統，或通過人工才能將攻擊手段植入生產系統，而聯網系統和遠程訪問技術為其提供了便利條件，使其可在世界上任何地方訪問網絡，就像伊朗黑客從千里之外訪問美國鮑曼大壩一樣。

4 小型壩受到的攻擊

全球大壩規模不一，大多不像美國胡佛大壩或英國的基爾德(Kielder)水庫那樣規模龐大。規模大小取決于大壩的目標與用途，以及與其鄰近的人口數量。不論怎樣，即使是最小的大壩受到攻擊，也可能會引起大范圍的公共信任危機和社會恐慌，造成嚴重的環境危害，甚至危及生命。一起嚴重的大壩事故可導致水位短時間內急劇上漲，在沒有預警的情況下對沿岸數公里的人群造成嚴重影響。

以美國鮑曼大壩受到攻擊為例，報道廣泛認為，這次攻擊的威協性有限，因此漏洞很快被發現。此外，該次入侵并未抵達大壩用于控制水事務的核心系統。雖然由于大壩所處的地理位置，漏洞也很快被發現，同時沒有發現對大壩運行進行立即攻擊的征兆，但是應該重視此類攻擊。

這是因為，假設伊朗黑客獲得情報：3/5的ICS都由日本橫河電子公司制造。那么黑客可以找到“不是特別重要”的小型基礎設施作為目標，比如此時，同樣采用日本橫河電子系統遠程控制的某個大壩，由于對該大壩監測和安全防護的忽視，黑客們可通過分析找到最薄弱環節入侵。因此，收集這些信息有助于防范黑客攻擊更大更重要的目標。

然而，在針對關鍵基礎設施監測活動背后的特別動機很可能會被安全專家忽視。遭到破壞跡象以及事后遺留下來重要數字碎片難以重組，單憑這些難以偵查出黑客的動機。盡管如此，這要求大壩業主和運營商意識到，所有設施都存在風險。

5 防范網絡攻擊的措施

全球關鍵基礎設施受到網絡攻擊威脅的情況將越來越嚴重。在更換陳舊設備并找到傳統系統漏洞之前，需要研究黑客的攻擊方法、動機及其攻擊關鍵基礎設施的可能性，這比將其繩之于法更為重要。因不同行業和地區的法律規范、標準和導則不同，無法為關鍵基礎設施的安全制定唯一框架，但大壩業主和運營商可采取以下3種措施，防范并妥善處置網絡攻擊威脅。

(1) 及時報告可疑行為。切記不要輕視那些毫不起眼、危害不大的后方辦公室攻擊事件，如不應小視發生在鮑曼大壩的事件。這些漏洞都可作為早期非法監測、嘗試獲取數據的警示，這是進入網絡的初始入口，是最終獲取訪問更重要網絡和系統權限登陸點的第一道門檻。事實上，已有記錄顯示2002年基地組織試圖組織對美國大壩進行攻擊。

(2) 創建一種領先于現有法規種標準的網絡安全意識。無論身在何處，大壩設施都需符合政府或行業規定、規范、方針和標準。盡管多數人認為合規能最大程度地降低安全風險，且可提高關鍵基礎設施的可靠性，但不應把這些規章制度作為應對所有網絡風險的唯一方法。其實，無論是政府規章還是行業規范，往往會無意識地造成一種后果，即一些組織僅滿足于遵守基本的要求，但實際上基礎設施仍極易受到攻擊。因此，需超越這些標準，在組織內部創建一種氛圍，讓人員、工藝和技術都做好準備來應對網絡攻擊。

(3) 保證控制系統的監控能力。必須對大壩控制系統進行早期網絡攻擊威脅探測，并了解系統情況。對網絡通信實施自動監控，確保異常行為和事件及早提交和成功修復是針對網絡安全完善ICS功能的兩個主要方面。只有具有成熟的預警和計劃機制，才能鑒別、保護、檢測并采取必要措施，并具備從網絡攻擊事件中迅速恢復的能力。

總之，分布在世界各地的大壩對世界各國的安全都至關重要，應竭盡所能保護其免受網絡攻擊。

張卓然 鄒 瑜 譯

(編輯：唐湘茜)

1006-0081(2017)03-0031-03

2016-11-30

TV698

A