D.维利

全球大坝网络安全现状与应对网络攻击措施

D.维利

全球大坝如今已成为网络攻击的主要目标，无论大坝规模大小和功能重要与否，都应采取必要措施保障其网络安全。简单介绍了大坝遭受网络攻击的危害与后果，并对此进行了充分论证。最后提出了有助于改善大坝基础设施，使其免受网络攻击的3种方法和措施，具有一定的实际指导意义。

大坝；大坝安全；网络安全；控制系统；方法和措施

1 大坝遭受网络攻击危害现状

2016年年中，美国指控几名伊朗黑客利用谷歌攻击纽约鲍曼(Bowman)大坝控制系统。这是美国政府第一次因本土关键基础设施受到网络攻击而起诉另一国公民。

由于鲍曼水利枢纽坚实可靠，因此此次黑客入侵并未造成进一步的影响，意味着并没有产生实质性的损坏。但起诉书称，黑客能够“访问大坝运行信息，包括水位、温度和闸门等”。如果不是及时发现，攻击者将有可能获取更高的访问权限，带来更大的麻烦或为以后埋下隐患。

当美国司法部做出起诉决定时，不仅在美国，与此同时，世界各国也正对关键基础设施的网络攻击保持着高度警惕。几年前，以伊朗核设施为攻击目标的震网(Stuxnet)病毒就是一种高度复杂的目标性攻击，此后，乌克兰又沦为关键基础设施受到公开网络攻击的受害者。这次攻击已得到确认，其目标为乌克兰国家电网，曾造成多处停电数小时，影响到成千上万人。此外，日本也曾是被攻击对象之一，该国针对其关键基础设施频繁的网络攻击都加强了防范，包括一些针对其公用事业公司和能源公司的高级持续性威胁。不久前威瑞森(Verizon)通信安全解决方案机构曾公开一份报告。报告指出，某水处理设施遭到网络攻击后严重受损。虽然要得出确定的结论为时尚早，但这份报告证实了“对水处理设施的攻击与日俱增”这一传闻。美国环保局也已着手加强水资源部门的网络安全性。

综上，广泛的证据和一系列事件表明，全球范围内基础设施受到的网络威胁一直呈上升态势。对大坝业主和运营方来说，一定要了解这种攻击对大坝运行、设备以及人员的风险，找出使大坝成为易受攻击目标的薄弱环节，并部署相关措施，以减少和避免网络攻击。

2 大坝分类及其缘由

尽管因大坝规模和功能不同，种类也有所差异，但都在国民日常生活中起到非常重要的作用。从发电、水处理到防洪蓄水，全球社会在很大程度上都依赖于大坝。

美国时任总统奥巴马非常了解大坝和其他关键基础设施的重要性，曾于2014年颁布了13636号行政命令，明确了关键基础设施的定义，并将大坝纳入其中。根据该命令，关键基础设施是指“对美国至关重要的实质或虚拟的系统和资产，这些系统和资产一旦遭到功能性损坏和破坏，会对国家经济安全、国家公共健康等诸多公共事务造成破坏性影响”。

此外，美国国土安全部把该国近83 000座大坝列为16类关键基础设施中的一类。理由是：大坝为美国提供了关键的蓄水和调控服务，包括水力发电、市政与工业供水、农业灌溉、防洪防沙、内陆货船航运、工业废弃物管理和娱乐休闲服务。大坝的主要服务功能为其他多种关键基础设施部门和行业提供了支持。

在欧洲，法国和德国最先采取洲际办法保护关键基础设施，以免受网络攻击。2015年，德国议会通过了一项法规，规定大坝和水库等关键基础设施的业主和运营方负责严格执行网络安全标准。同时，对不履行该职责的单位处以高达11.4万美元的罚款。法国网络与信息安全局曾提出了欧盟关键基础设施网络安全强制要求的设施和维护要求，极有可能被欧盟采纳。在全球其他地区，澳大利亚和日本等国也已开展此项工作，制定了相关法规，从而尽早将其关键基础设施受到网络攻击的风险降到最低。

3 受网络攻击的原因

世界各地的大坝都在老化，且用于日常运行的装备状况也在不断恶化。事实上，美国土木工程师协会早在2013年的报告中就曾指出，美国国内的大坝平均寿命为52 a。建议每年投资210亿美元用于修缮这些老化设施。在伊拉克，有报道称该国最关键的基础设施摩苏尔(Mosul)大坝目前正濒临溃塌，一旦事故发生，下游将出现凶猛的洪水，很有可能造成50多万人死亡。

如今，多数大坝都配备了数据采集与监控系统(SCADA)，即一种用于远程监控和处理的工业控制系统(ICS)，其可靠性和服务的有效性尤为重要。在20世纪60年代引入SCADA之前，系统通过手动控制，运行人员需前往每个设施现场开启和关闭系统。最初SCADA则可对过程进行自动控制、采集和存储信息，并分析、显示实时运行数据。SCADA等运行技术(OT)曾是独立系统，并无互联功能。而自数据驱动的分析软件和跨平台通信技术等引入工业系统以来，有效地提升了其产能和可靠性。尽管传统系统在设计之初未考虑与这些先进技术的融合，但目前新旧系统已成功兼容。

在过去10 a间，重要的公共设施都逐步采用了数字系统，可通过改变系统逻辑或调整系统信息从根本上配置系统，以此取代传统老旧的模拟系统。当数字系统功能完善且成本降低的同时，相对于其模拟系统的“前辈”，这些系统更易受到攻击。

现在自控技术与商业网络和外部系统互联，操作人员和供应商可对运行的各方进行远程控制、监控和维护，最终提升产能，改善性能并削减成本。通信技术也融入到全球供应链中，且将生产和公共设施的运行与全球市场连接得更为紧密。尽管这些先进技术和科技提升了效率，但也形成了新的攻击接口，带来了复杂性，暴露出了许多缺陷，让攻击者有机可乘。黑客可利用这种缺陷，针对关键基础设施的网络发起攻击极有可能造成其损坏、破坏甚至实质性危害。

如果网络恐怖活动目的明确，在大量设施互联的情况下，实施犯罪就更加容易。在采用联网的数字系统之前，为破坏控制系统，不法分子需要抵达现场破坏某一控制系统，或通过人工才能将攻击手段植入生产系统，而联网系统和远程访问技术为其提供了便利条件，使其可在世界上任何地方访问网络，就像伊朗黑客从千里之外访问美国鲍曼大坝一样。

4 小型坝受到的攻击

全球大坝规模不一，大多不像美国胡佛大坝或英国的基尔德(Kielder)水库那样规模庞大。规模大小取决于大坝的目标与用途，以及与其邻近的人口数量。不论怎样，即使是最小的大坝受到攻击，也可能会引起大范围的公共信任危机和社会恐慌，造成严重的环境危害，甚至危及生命。一起严重的大坝事故可导致水位短时间内急剧上涨，在没有预警的情况下对沿岸数公里的人群造成严重影响。

以美国鲍曼大坝受到攻击为例，报道广泛认为，这次攻击的威协性有限，因此漏洞很快被发现。此外，该次入侵并未抵达大坝用于控制水事务的核心系统。虽然由于大坝所处的地理位置，漏洞也很快被发现，同时没有发现对大坝运行进行立即攻击的征兆，但是应该重视此类攻击。

这是因为，假设伊朗黑客获得情报：3/5的ICS都由日本横河电子公司制造。那么黑客可以找到“不是特别重要”的小型基础设施作为目标，比如此时，同样采用日本横河电子系统远程控制的某个大坝，由于对该大坝监测和安全防护的忽视，黑客们可通过分析找到最薄弱环节入侵。因此，收集这些信息有助于防范黑客攻击更大更重要的目标。

然而，在针对关键基础设施监测活动背后的特别动机很可能会被安全专家忽视。遭到破坏迹象以及事后遗留下来重要数字碎片难以重组，单凭这些难以侦查出黑客的动机。尽管如此，这要求大坝业主和运营商意识到，所有设施都存在风险。

5 防范网络攻击的措施

全球关键基础设施受到网络攻击威胁的情况将越来越严重。在更换陈旧设备并找到传统系统漏洞之前，需要研究黑客的攻击方法、动机及其攻击关键基础设施的可能性，这比将其绳之于法更为重要。因不同行业和地区的法律规范、标准和导则不同，无法为关键基础设施的安全制定唯一框架，但大坝业主和运营商可采取以下3种措施，防范并妥善处置网络攻击威胁。

(1) 及时报告可疑行为。切记不要轻视那些毫不起眼、危害不大的后方办公室攻击事件，如不应小视发生在鲍曼大坝的事件。这些漏洞都可作为早期非法监测、尝试获取数据的警示，这是进入网络的初始入口，是最终获取访问更重要网络和系统权限登陆点的第一道门槛。事实上，已有记录显示2002年基地组织试图组织对美国大坝进行攻击。

(2) 创建一种领先于现有法规种标准的网络安全意识。无论身在何处，大坝设施都需符合政府或行业规定、规范、方针和标准。尽管多数人认为合规能最大程度地降低安全风险，且可提高关键基础设施的可靠性，但不应把这些规章制度作为应对所有网络风险的唯一方法。其实，无论是政府规章还是行业规范，往往会无意识地造成一种后果，即一些组织仅满足于遵守基本的要求，但实际上基础设施仍极易受到攻击。因此，需超越这些标准，在组织内部创建一种氛围，让人员、工艺和技术都做好准备来应对网络攻击。

(3) 保证控制系统的监控能力。必须对大坝控制系统进行早期网络攻击威胁探测，并了解系统情况。对网络通信实施自动监控，确保异常行为和事件及早提交和成功修复是针对网络安全完善ICS功能的两个主要方面。只有具有成熟的预警和计划机制，才能鉴别、保护、检测并采取必要措施，并具备从网络攻击事件中迅速恢复的能力。

总之，分布在世界各地的大坝对世界各国的安全都至关重要，应竭尽所能保护其免受网络攻击。

张卓然 邹 瑜 译

(编辑：唐湘茜)

1006-0081(2017)03-0031-03

2016-11-30

TV698

A