摘要：印度孟买的电力系统突发大规模故障，超过1200万人陷入断电之中。事故发生后，有关部门将其归咎于技术失误。几个月后，美国网络安全公司Recorded Future发布报告，指出这是一起针对工业控制系统的网络攻击行为。攻击源头被怀疑与境外APT组织有关。攻击者入侵

当工业数据成为勒索软件的“新目标”，我们真的准备好了吗？

印度孟买的电力系统突发大规模故障，超过1200万人陷入断电之中。事故发生后，有关部门将其归咎于技术失误。几个月后，美国网络安全公司Recorded Future发布报告，指出这是一起针对工业控制系统的网络攻击行为。攻击源头被怀疑与境外APT组织有关。攻击者入侵的核心是工业控制层的PLC与SCADA设备。

在以往，勒索软件的目标是办公网、数据库、邮件服务器，今天，工业数据，尤其是与关键设备运转直接挂钩的实时控制数据，成了新的“香饽饽”。

曾经，工业控制系统的安全逻辑很简单：物理隔离，不联网，攻击者必须进入工厂，接触设备，风险成本高。这种封闭架构正在快速瓦解。为了提高效率，工厂接入了工业互联网、5G专网、边缘计算平台；远程运维、跨地调度成为标配。系统之间的壁垒打开，攻击者找到了可乘之机。

核心设备、协议与操作系统，很多都是不清楚。中国市场44%设备来自西门子。这些设备的底层协议不公开、逻辑封闭，维护文档和补丁严格受控。国内企业无法准确识别系统内部是否存在后门、漏洞。“看不清”系统本质，防护策略难以制定。

过去十年，工业防护技术有了不少进步。入侵检测、深度协议识别、白名单防火墙纷纷上阵。这类防护体系，统称为“自卫模式”。它是从系统内部入手，逐层设防。

一线工程人员普遍反映：这套模式在实操中问题很多。工业控制系统不能频繁升级更新，部署侵入式的安全组件容易干扰原有流程。新型攻击越来越隐蔽，“自卫系统”只能事后溯源，响应时间无法跟得上攻击节奏。

在欧美爆发的Triton攻击，攻击者针对石油化工厂的安全仪表系统进行逻辑篡改，手法极其隐蔽。从渗透到执行，整整持续了3个月，工厂方始终未察觉。事后调查发现，攻击利用的是设备厂商的通信漏洞。当前“自卫模式”无法应对“未知的未知”威胁。

我国工业控制系统的核心生态被海外供应链高度垄断。工业现场使用的协议多达十余种，Modbus、S7comm、DNP3等，大部分为封闭、厂商私有协议，通信加密薄弱，认证机制缺失。任何一个暴露在公网的端口，都可能反向构造攻击链。

攻击者掌握协议细节，就可伪装为合法设备，悄悄注入指令，实现“伪装控制”“物理破坏”。控制逻辑注入、虚假数据篡改等攻击模式是当前最重要的因素。

现在更多的研究团队尝试走“护卫模式”。这类技术不改变控制系统原有结构，不插入生产链，不接管控制权限，通过镜像流量分析、旁路审计、数字孪生复现等方式，构建“虚拟护盾”。中国工程院方滨兴院士团队构建的“盾立方”体系，尝试将传统信息域监测与工业功能域分析结合，实现非侵入式威胁感知。

“护卫模式”是从外围构建一道“观察者防线”。通过网络靶场演练、全流程模拟溯源，配合AI行为分析技术，可在攻击者发起操作前识别异常路径。这种方法可以落地在外部硬件设备上，不占用工业主控资源，降低运维成本。

核心设备依赖进口，系统生态不透明，任何防护都是被动的。所以，推动自主可控才是工业防护体系的基础。

工业系统一旦出事，代价是流水线停工、城市停电，人员伤亡。当工业数据成为攻击重点，“不能防住”就等于“等着出事”。

攻防对抗不断升级构建起“自控+外护”的双重防线，工业系统才会稳如磐石、攻不破、拿不走。

来源：内科医生小红姐一点号