我们是如此地依赖电力，长时间的停电将会危及运输系统、淡水供应、通信和银行业务

恶意的黑客正在威胁世界各地的公共安全。例如，美国1月发布的《国家情报战略报告》警告说：“随着信息技术被整合到关键基础设施、重要的国家网络和消费设备中，网络威胁将对公共卫生、安全和繁荣构成越来越大的风险。”美国国家情报局局长丹尼尔•科茨（Daniel Coats）在国会发表讲话时更简洁地说：“警告灯正闪烁着红光”。建议这段删除！！！

 无论是发电厂还是不同形式的公共交通，关键的基础设施日益成为受攻击的目标（图片：Cegoh，Pixabay）

关键基础设施，无论是发电厂、国家铁路和地方地下交通系统，还是其他形式的公共交通，都日益成为网络攻击的目标。网络攻击可能会切断医院、家庭、学校和工厂的电力供应。我们非常依赖高效的电力供应，断电也将对其他重要服务产生重大影响。近年来发生的一些事件不仅证明了威胁是切实存在的，而且还表明，我们不止一次地从噩梦般的后果中死里逃生。

以下三个例子说明了网络武器的演变，包括旨在破坏关键基础设施运行的恶意软件。网络化传感器和其他连接设备在工业环境中的使用日益增加，虽然这提高了我们的效率，但它也增加了攻击面。

一、三次让世界屏息的时刻

2010年对伊朗纳坦兹核电站的袭击在历史上留下特殊的一笔。当时，所谓的Stuxnet恶意软件首次公开亮相，并设法使核电站停止运转。Stuxnet蠕虫经过编程设计，让电机失控从而损坏通常用于浓缩铀离心机的电机。该软件成功地让1000台离心机暂停运转。

五年后，2015年12月，乌克兰遭遇了前所未有的电网攻击。这次袭击导致大范围停电。黑客侵入了三家能源公司，并暂时关闭了乌克兰三个地区的发电。在隆冬时节，将近25万人断电长达6小时。攻击者利用BlackEnergy3恶意软件关闭了三个变电站。据信，该恶意软件是通过spear phishing （网络钓鱼）电子邮件发送的，并隐藏在假冒的Microsoft Office附件中。

我们所知道的第三次也是最令人震惊的袭击发生在2017年。网络恐怖分子假定远程控制一个广为报道的位于沙特阿拉伯的工作站。他们使用一种称为Triton的新型恶意软件来接管核电站的安全仪表系统（emSIS）。同样，恶意软件是专门为工业控制系统配置的，该系统也称为操作技术（OT）。

调查人员认为，这是一种蓄意破坏行为，旨在通过破坏防止灾难性工业事故发生的安全系统来引发爆炸。以前的攻击集中在破坏数据或关闭能源工厂。根据一些报告，只有编码错误才能防止这种情况的发生。证据指向该事件源于另一个网络钓鱼或鱼叉式网络钓鱼软件的攻击。

二、经验教训

这些事件向我们表明，至少在过去的十年中，黑客一直在创建针对操作技术的恶意代码。三起事件都是由恶意软件触发的，这一事实也说明，我们需要对网络安全采取一种综合的方法，将过程、技术和人员结合起来。

网络安全专家公司（Security in Depth）的首席执行官迈克尔•康纳利（Michael Connory）最近告诉澳大利亚广播公司（ABC），“全球90%的网络攻击都是从电子邮件开始的”。网络的安全性取决于整个链条中最薄弱的环节，这是不言而喻的。

另一个关键问题是理解IT和OT之间区别的重要性。随着威胁向量扩展到诸如智能恒温器之类的基础资产，操作技术变得越来越容易获得。面临的挑战是，网络安全计划往往由IT路径主导。事实上，能源等行业以及包括制造业、医疗保健和运输业在内的许多其他行业的运营限制意味着我们需要一种网络安全路径，同时也保护OT。

IT的主要焦点是数据及其自由、安全流动的能力。IT存在于虚拟世界中，数据在虚拟世界中得以存储、检索、传输和操作。它是流动的，有许多移动部件和网关，这使其极其脆弱，并为各种不断演变的攻击提供了一个巨大的可攻击表面。攻击防御是指保护每一层结构，并不断识别和纠正弱点以保持数据流动。

与此相反，OT属于现实世界，它确保了所有指令动作的正确执行。虽然IT必须保护系统的每一层，但OT关乎维护系统的控制，这些系统可能是打开或关闭、封闭或开放的。OT系统是为特定的操作而设计的，例如确保打开或关闭发电机，或确保化学品罐充盈时溢流阀打开。OT属于现实世界，确保过去通常是封闭系统的安全以及控制。OT中的一切都是为了物理移动、控制设备和流程，以保持系统按预期工作，主要关注安全性和效率提高。

随着工业物联网（IIOT）的出现，以及物理机器与联网传感器和软件的集成，IT与OT之间的界限变得越来越模糊。随着越来越多的对象相互连接、通信和交互，网络罪犯获取网络和基础设施系统的端点以及潜在途径的数量激增。

消防队扑灭了大火，但没有解决根本原因。在初始设计和开发阶段，就开始考虑安全威胁至关重要。在许多情况下，组织只关注实施后的安全性，而不是从开发生命周期开始构建网络弹性。IEC/TC/57技术委员会的工作为最佳实践的标准化提供了一个很好的例子。

三、设计安全性 

IEC/TC 57成立了一个工作组（WG 15），通过设计确保电网安全。该工作组从技术角度评估要求，并定义了实现要求的标准方法，已经确定了设计安全电力系统所需的组件。其中包括端到端加密原则、所有用户角色的定义和身份管理，以及对系统本身的普遍监控。

“我们今天所做的一切都将在今后继续，但我们需要改变我们的重点，” IEC/TC 57/WG 15成员莫雷诺•卡鲁洛（Moreno Carullo）说。“我们需要从寻找坏人转向设计安全。”

目前，IEC 62351系列标准（参见IEC 62351-1：详细概述简介）描述了安全电力系统的架构，并对其协议和组件进行了标准化。一篇有趣的文章对其进行了更好的概述，它是IEC 62351-10:TC57系统的安全架构指南。

四、标准及合格评定

IEC认为，全面、基于风险的方法是建立网络弹性的最佳途径。基于风险的方法可能非常有效，尤其是在评估现有或潜在的内部脆弱性并确定或可能的外部威胁的基础上。这是将标准与测试和认证（也称为合格评定）结合在一起的整体方法的一部分，而不是将它们视为不同的领域，因此效果最好。

这种方法不仅展示了基于最佳实践的安全措施的使用，而且表明组织已经有效地实施了这些措施，从而增强了利益相关者的信心。系统方法通过将风险优先化和降低到可接受的水平来工作，这需要一种中立的方法，根据不同的风险水平，适应从自我评估到独立的第三方测试等不同类型的符合性评估。

许多组织将其网络安全战略建立在遵守强制性规则和法规的基础上。这虽然可能会提高安全性，但却无法全面满足各个组织的需求。最坚固的防御系统同时依赖于“水平”和“垂直”标准。水平标准具有通用性和灵活性，而垂直标准则满足非常特殊的需求。其中两个水平标准的例子尤其突出。

五、水平和垂直标准

ISO/IEC 27000系列标准有助于保护纯信息系统（IT），并确保虚拟世界中的数据自由流动。它提供了一个强大的横向框架，用于在控制措施的实施、维护和持续改进中对照最佳规范进行基准测试。

IEC 62443是另一个横向标准系列，旨在保持OT系统在现实世界中运行。它可以应用于任何工业环境，包括关键的基础设施，如电力设施或核电站，以及卫生和运输部门。IECEE是电工设备和元件的IEC合格评定体系，该体系已建立了基于IEC 62443系列标准的全球认证服务。

补充横向标准是为满足特定行业的需求而设计的定制解决方案。纵向标准涵盖了核部门、工业通信网络、工业自动化和海事行业等的特定安全需求。

六、弹性构建

任何网络安全战略的目标都是尽可能多地保护资产，当然也包括最重要的资产。由于以平等的方式保护每件事是不可行的，因此重要的是要确定哪些东西是有价值的，哪些东西需要最大力度的保护，识别漏洞、然后确定优先级，并建立确保业务连续性的纵深防御体系结构。

实现弹性在很大程度上要理解和减轻风险，以便在系统的适当点上应用正确的保护。至关重要的是，这一过程与组织目标密切相关，因为缓解决策可能会对运营产生严重影响。理想情况下，它应该基于一种涉及整个组织利益相关者的系统方法。

纵深防御的一个关键概念是，安全需要一套协调的措施。在应对网络攻击的风险和后果时，有四个步骤是必须实现的：

1.了解系统，明确什么是有价值的，什么是最需要防护的

2.通过威胁建模和风险评估了解已知威胁

3.在国际标准的帮助下，基于全球最佳规范，解决风险并实施保护

4.根据要求采用适当水平的合格评定-测试和认证。

另一种方式是将其视为网络安全的ABC：

A是评估

B是解决风险的最佳规范

C是用于检测和维护的合格评定

基于风险的系统方法不仅展示了基于最佳规范的安全措施使用，还证明一个组织已有效地实施了这一系列措施，这增强了所有利益相关者的信心。也就是说要将正确的标准与适当的合格评定水平相结合，而不是将其视为不同的领域。

合格评定的目的是评定体系的组成部分、人员设计、操作和维护人员的能力，以及用于运行该体系的过程和程序。这可能意味着使用不同类型的合格评定——从企业自我评定或完全依赖供应商的声明到独立的第三方评定和测试——并根据不同的风险等级选择最合适的。

在网络威胁日益普遍的世界中，能够应用一套特定的国际标准，并结合专门的全球认证计划，是建立长期网络弹性的一种行之有效的方法。然而，标准和合格评定只能在根据威胁和漏洞的整体评估的基于风险的方法中发挥最大作用。这种方法不仅整合了技术和过程，还整合了人员，认识到培训的重要作用。