文/Nicolas Bennerscheid，Lars StephanBüldt，Sebastian Dännart

安联2023 年的风险报告分析称，除了业务中断之外，网络风险是全球企业面临的最大风险。因此，需要通过做好基础网络安全监测与防御，避免企业受到网络攻击的可能性。

对于流程工业的任何一家公司来说，一旦受到网络攻击，如果不及时采取措施将会遭到致命打击。2023 年《安联风险晴雨表》显示，网络风险如IT中断、勒索软件攻击或数据泄露，一直被认为是全球企业面临的最大风险。

网络攻击到底是如何实施的？

随着信息安全技术的高速发展，信息安全技术的全球性、互联性、信息资源和数据共享性等特点日益突出。使其极易受到各种类型的网络攻击，网络攻击的不可预测性、危害的连锁扩散性，大大威胁到信息安全的发展。很多网络攻击都是从监视和收集信息开始的，比如网络“钓鱼”或者其他社交工程手段。当获取目标的信息之后，就会开始初始攻击。如果网络“钓鱼”攻击成功，攻击者就可以方便地访问目标系统，然后利用获取的访问数据实施欺诈等行为。

信息安全管理规范

例如石油天然气、化工和制药等许多行业，都制定了严格的敏感信息保护规定，包括功能安全参数和一些相关数据。《德国信息技术安全法》和《事故条例》规定了保护设施免受网络攻击和检测网络攻击的要求，关键信息基础设施和具有特殊公共利益的公司将承担更多的责任，关键信息基础设施运营商必须采取技术和组织措施，以防止其信息技术系统、组件或流程的可用性、完整性、可靠性和保密性遭到破坏。

大多数黑客攻击都是从网络钓鱼攻击开始的

数据泄露对安全生产的影响

业务流程数字化经常被认为是企业利用新兴技术更新现有流程并加强竞争基础的最有效方式之一。然而随之也带来了一系列问题，比如工厂设备的一些关键数据需要注意传输安全。信息安全的保护目标与职业安全和事故预防也变得更加重要，在数据采集、传输和处理过程中，需要采取有效的措施保障数据的安全性和隐私性，防止数据泄露和滥用。

因为当工业企业的数据比如工艺生产设备的一些功能参数遭受破坏、更改、泄露后，工业生产设备、控制系统、信息系统将不能可靠正常运行，工业生产和业务的连续性也得不到保障。当安全参数（如温度或压力限值）泄露后，可以提供工厂运行状态相关信息，这可能会增加攻击者的成功机会，从而导致运行完整性受损和安全风险增加，甚至会发生安全事故。

假设有一家处理危险化学品的化工厂，其处理、存储和处置这些化学品的整个工艺流程数据，以及为保护环境而采取的安全措施等信息落入了不法分子之手，不管是数据泄漏或未经授权可以成功访问系统，都有可能导致工厂处于不安全状态。为了避免这种情况发生，必须采取必要的措施来保护这些机密数据。

加密过程数据通常包含有关监测系统、警报和应急计划等安全防范措施信息。恶意攻击者可以利用这一发现来操纵或绕过安全系统，例如通过更改警报阈值或操纵传感器配置来延迟停机。如果阀门意外打开或发生故障没有被正确记录，这可能导致危险化学品的意外释放，进而造成环境污染，并对人类和动物造成危害。

这种方法，即有针对性地关闭工业应急系统，特别是控制系统，是现代恶意软件包的主要功能之一，如“Industroyer2”和“Pipedream”/“Incontroler”，前者于2022 年在乌克兰使用，目的是破坏供应网络，后者是在美国发现的一个来源不明的恶意软件包。

目前有些恶意软件包就是专门攻击工控系统，比如美国网络安全和基础设施安全局（CISA）等机构已确定“Incontroller/PipeDream”恶意软件对液化天然气和电力供应商等能源机构和组织构成严重威胁。攻击者可使用该恶意软件对目标工业环境进行侦察，并控制PLC，实施可能导致工厂中断、安全故障和潜在物理灾难的破坏活动。

信息保护影响评估

为了评估哪些信息和通信流值得保护，首先必须明确了解或公布这些信息和通信流会产生什么影响。所谓的保护需要评估有助于确定必要的保护措施水平。

首先确定相关信息。这项工作听起来可能有些琐碎，但实际上需要对涉及的系统和业务流程进行深入分析，并需要专业部门的参与。因此，拥有良好的系统文档和成熟的业务流程管理是非常重要的基础。此外，对过程安全和功能安全概念的全面理解是必要的，特别是在确定过程工程系统中的安全参数的保护要求时。在某些情况下，相关的行业标准和法规已经明确规定了相关要求。如果已知相关数据和信息，就可以评估某个安全目标的损失所造成的影响。同样这里也需要专业部门，因为只有通过他们才能进行有效地影响评估（业务影响分析）。

保护相关系统的机密性

为了确定适当的保护措施，必须区分需要保护的数据和信息的状态：存储在硬盘或其他数据载体上的信息和参数，即“静态数据”；正在传输或通信中的数据和参数，即“动态数据”。

在保护“静态数据”的保密性方面，重点是通过授予权限和选择加密单个信息或整个硬盘来保护访问。这里的基础是组织措施中描述的授权概念。在“动态数据”传输的情况下，通信保护是重中之重，如果信息传输是必要的和有计划的，也可以对数据和信息进行加密。此外，还可以通过安全网关和数据二极管自动限制特定的内容、数据类型或通信方向。在工业应用中，这类过滤还可实现控制信号或参数的非加密。基础设施措施也可在信息保密方面发挥作用，例如在相关区域安装镜面窗以实现视觉和窃听保护，以及用于访问保护安全系统，防止未经授权访问隔离系统。这些措施的必要强度取决于个别数据和信息的保护要求，应根据风险确定优先次序。

组织措施保护信息安全

通常情况下，由于一般条件的限制，技术措施可能不可行，或者会在不可持续的程度上阻碍业务流程的顺利进行。虽然技术措施能提供更可靠的保护，但在这种情况下也可以采取组织措施。组织措施主要包括描述安全措施和其实施的概念，以及规定相关利益方遵守某些行为的准则和指导方针。最基本的指导方针也是设计后续技术措施所必需的，这涉及信息的分类和分级以及具体如何处理。在此基础上，一个复杂的授权概念定义了谁可以访问、更改或删除哪些数据和信息。如果员工自愿或意外地泄露了信息，即使有再好的技术措施和最佳的组织框架条件也无济于事。因此，针对特定目标群体的宣传和增强所有员工的安全意识至关重要，这不仅包括对数据和信息相关性的认识，还包括为什么遵守组织措施能保证实际保护。

反复开展培训和宣传活动有助于形成一种“安全习惯”，让员工能够在日常工作中直观地掌握与安全相关的措施，从而为保护数据和信息的机密性做出积极贡献。

注重生产安全，不仅为了合规

在工艺设备中负责关键安全参数和数据的人员必须意识到，保密对工厂的运营安全至关重要。这不仅是为了遵守法律法规，更是为了提高安全性和保障性。合规是安全的底线，安全是合规的目标。企业若只满足合规要求，就一定会忽略关键的漏洞，会使“只追求合规”的公司面临着他们所不知道的漏洞风险，比如当工厂一些关键生产数据被竞争对手掌握时，会导致业务被抢走，甚至有时候还会造成人身安全。因此，安全和合规是相辅相成的，合规是基础，是核心，合规必定是安全的主线，安全也必定是基于合规的安全。

幸好目前，我们有办法最大限度地降低这些风险并减轻其影响。通过确保基本的安全措施并对自身的流程和系统进行单独分析，可以获得基本的保护，从而能够在节约资源的同时专注于公司的核心业务。根据公司的情况，可以选择在内部或外部获得支持进行分析。这样，就能有针对性地制定计划和措施，以满足每个公司的不同需求，从而为公司的成功做出经济贡献。此外，还能够满足相关法律要求。

储罐实例

用流程工业普遍需要使用的储存设备储罐，这样一个简单而具体的例子，来展示信息失密造成的危害。

B001 储罐用于储存一些危险介质（如液体），并通过测量底部压力LT6213 来监测其液面水平高度。当液面高度超过上限值时，B001 储罐入口的阀门V-617 将自动关闭。此外，B001 中的临界液位由音叉液位开关LZA101 监测。当液位达到临界水平时，入口处的附加安全阀V(Z)-104 会关闭。此外，还有一个机械过量加注保护装置，当B001 储罐完全加满时，允许液体溢流到B002 储罐。储罐可通过阀门V-620 关闭的软管排空，该阀门可在入口关闭的情况下通过现场手动操作打开。

为什么有关系统和组件配置的信息需要严格保密呢？比如B001 储罐存储了很多危险液体，然而当攻击者通过蓄意破坏或者改变储罐一些关键参数，这时就会造成储罐泄漏危险液体。需要注意的是，目前不仅会受到物理攻击，网络信息攻击也能带来风险。如果攻击者知道地面压力传感器LT6213 关闭阀门V-617 的限值，则可以通过改变相关参数，这样能破坏储罐，造成危险发生。特别是在传感器联网，参数存储在数字系统中的现代系统中，这些参数更容易被读取，工业信息安全易受攻击，工业安全生产必须得到适当保护。

这个储罐用于存放周围部件所需的物料