虛擬空間的黑客攻擊對國民經濟與社會生活形成了新的嚴峻威脅。隨著信息和自動控制技術在能源工程上的大量應用，能源領域成為了黑客攻擊的主要對象。在美國，50%的重大黑客攻擊事件發生在能源領域。從沙特、伊朗、卡塔爾已經發生的事件中可以看出，重要能源設施在黑客攻擊的威脅下顯得非常脆弱。有知名保險公司警告說，全球能源行業也許正坐在一個"沒有保險的黑客攻擊定時炸彈"上。黑客攻擊給能源公司、保險公司、國家財政都帶來了巨大的成本負擔，也使能源實體的供應安全越來越依賴于虛擬空間的網絡安全。網絡安全無疑是21世紀能源安全所面臨的最為變化無常的新挑戰。

黑客為什么要攻擊能源設施？如何攻擊？能源企業如何抵御黑客攻擊？政府在這方面應該有何作為？世界各國如何合作應對？

2014年9月5日下午，北京國際能源專家俱樂部在京舉辦了《虛擬空間與能源安全》研討會，特邀美國國家能源安全理事會"能源與虛擬空間安全中心"主任GalLuft博士分享對此議題的看法。

GalLuft博士的主要觀點總結如下：

1.網絡安全已成為全球能源安全的重要組成部分，應完善對能源設施保護的思路。2006年是能源設施遭受攻擊的分水嶺。在1906-2006這100年里，能源設施遭受的主要是物理攻擊。2006年后，通過網絡對能源設施實施攻擊的嚴重性要大于物理攻擊。2013年美國256次重大網絡攻擊事件中，有50%以上是針對能源系統的。英國石油公司（BP）首席執行官公開披露，該公司每天遭受5萬多次網絡攻擊，而過去40年中全球能源系統遭受物理攻擊的次數總和僅為20萬次。

2.網絡攻擊對能源系統的危害與日俱增。黑客可以通過病毒軟件進入能源系統的控制中心，輕則導致系統癱瘓，重可造成災難性后果。2012年，一個名叫Shamoon的病毒感染了沙特阿美石油公司的3萬臺電腦，導致該公司關閉15天。2010年，在伊朗潛伏了兩年多的Stuxnet病毒軟件突然爆發，摧毀了伊朗Natanz核工廠的1000臺離心機。最近有新的病毒軟件可以掌控工業控制的SCADA系統，可修改系統監控數據，直接影響系統自動化決策，可對電廠、電網、石化工廠、水電站等自動化程度很高的能源工業設施帶來巨大的危害。相關報道見附錄。

3.能源設施遭受網絡攻擊的損失巨大，可能的后果不堪設想。英國政府估計，網絡攻擊已經給英國的油氣行業造成了每年4億英鎊的損失。其它潛在的風險更為巨大。全球各地的深水油氣生產平臺都有動態定位系統，該系統目前都與外部網絡保持連接。如果黑客控制了這一定位系統，所造成的損失可能是高達500億美元的環境災難。1975年河南駐馬店板橋水庫的潰壩造成了17多萬人死亡和1000多萬人喪失家園，而裝有全美國8100座主要大壩敏感數據的數據庫在2013年被黑客盜取，如果黑客控制大壩開閘放水或導致潰壩，后果不堪設想。

4.網絡攻擊的來源呈現多元化趨勢。任何通過芯片聯接的能源系統都存在被黑客攻擊的風險。能源系統聯接的設備越多，范圍越廣，風險越大。智能電網在能源利用效率方面具有優勢，但同時又在網絡安全方面留下隱患。美國許多地方因公眾反對潛在的信息泄露或網絡攻擊，智能電表無法入戶。GalLuft博士舉例，曾有黑客通過聯網的咖啡機制造線路過熱最終引發了火災。

5.實施網絡攻擊的主體多元，以非國家力量為主。攻擊者包括遭遇不順或被解雇的員工、極端的環保主義者、無政府主義者、對社會不滿者、恐怖分子和他國政府的網絡部隊等。

6.當前能源系統的網絡安全防護遠遠落后于IT系統。GalLuft博士指出，應加強對能源系統的網絡安全的重視，包括認知、理念、措施、合作等諸多方面。全球對IT系統的安全相當重視，但對能源領域的網絡安全還沒有充分的認識。未來的戰爭很可能不是通過武器來摧毀，而是網絡的打擊。通過網絡打擊可以使敵國的能源和工業系統癱瘓，從而不需要流血犧牲而達到目的。

7.全球對網絡安全的風險和危害的評估機制尚未建立。世界各國還沒有建立網絡安全的風險危害評估機制，也就沒有一個相應的險種可以賠償網絡攻擊帶來的損失。如果能源系統遭受物理攻擊而受到損失，保險公司可以依規賠償，但基于網絡攻擊可能帶來不可估量的損失，全球保險公司至今拒絕為網絡攻擊擔保。

8.保障能源系統免受網絡攻擊仍面臨諸多挑戰。GalLuft博士總結為依次遞進的五方面：一是日常檢測方面的難題，某些病毒有相當長的潛伏期，一旦爆發猝不及防；二是攻擊源很難及時識別，只有找到攻擊源才能想方設法有效地制止；三是要采取網絡隔離，一旦病毒爆發，必須立即采取隔離措施，盡量降低損失；四是可持續運行方面，能源系統必須具備孤立運行的能力。為此，維護數據系統電力供應的可靠性尤為重要，一旦斷電，需要電子控制的系統就無法運行；五是網絡攻擊的手段和途徑在不斷演變，今天的解決方案預防不了明天的攻擊。

9.中國在網絡安全領域的重視度和國際參與度有待提高。黑客攻擊影響能源安全在國際上還屬于前沿領域，各國都在探討應對措施，以色列為此已經成立了國家虛擬空間管理局（NationalCyberAdministration），并每年主辦有上萬人出席的全球大會，但中國一直缺席。

在討論中，與會專家還就能源系統如何預防網絡攻擊提出了以下建議：

1.在技術、人員、制度三個方面加強網絡安全建設。一是在技術層面提高能源系統的網絡安全防護措施；二是加強網絡安全的教育和培訓，增強企業和個人主觀的防護意識；三是加強國家層面的網絡安全制度建設，在法律上嚴懲黑客犯罪行為。大型能源企業要有專門負責網絡安全的部門與機構，在企業內落實各種防范措施。

2.建立網絡安全的信息共享機制。從全球來看，網絡安全的信息共享機制還沒有達成共識，能源企業因意識或競爭原因不愿披露受網絡攻擊的信息，導致更多企業受害。如2012年，沙特阿美公司因沒有及時分享遭受攻擊的信息而導致卡塔爾天然氣公司隨后又遭受攻擊。建議在煤、油、氣、電、管網及其他基礎設施的經營企業之間建立更廣泛的網絡安全合作機制，統籌協調各大能源領域的網絡安全應急與防護措施。建議能源領域的相關行業協會建立網絡安全的信息共享機制。

3.建立國家層面的網絡安全決策和執行機構。信息安全已經被列為國家安全委員會所關注的11類國家安全事項之一，但信息安全并不等于網絡安全。可以考慮在國家安全委員會下設立網絡與重大基礎設安全領導小組，遠期還可以參照以色列考慮設立"國家網絡安全管理局"，在國家層面制定網絡安全防護戰略，并督導對國民經濟有重大影響的企業落實網絡安全的相關規定。

4.建立網絡安全國際合作機制。網絡軍隊與網絡武器已經成為各國國防力量的重要組成部分，但各國都面臨著黑客攻擊對能源與其他工業基礎設施造成損失的共同挑戰。應該將網絡武器與民用設施保護分開對待，加強各國之間就能源設施保護的信息與經驗交流。作為維護全球能源安全的主要機構，國際能源署（IEA）在協調各國在網絡能源安全的信息共享與應對措施方面可以發揮重要作用。

5.在網絡安全的背景下，重新評估與設計智能電網。智能電網連接了眾多智能終端設備，任何一個接口都可能成為黑客攻擊的突破口，因而在構建智能電網時，不應只考慮其帶來的高效和便利，更應該考慮在網絡安全前提下的電力可靠供應。

6.加強中國在國際網絡安全方面的參與度。在能源領域的網絡安全國際會議中，還沒有中國人的參與。中國作為能源生產和消費大國，必須積極面對能源系統的新挑戰。能源企業、網絡企業、科研咨詢機構、各行業協會應積極參加網絡安全國際會議，也可以考慮在華舉辦"網絡與能源安全"國際會議，交流相關信息，探討應對措施。

附錄

Stuxnet病毒

2012年4月10日網上報道

一、簡介

Stuxnet病毒，中文譯為震網病毒，它是一種全新的蠕蟲病毒，以工業控制系統的核心計算機控制軟件為攻擊目標。2010年7月，德國專家率先發現了這種病毒。隨后，伊朗、印度尼西亞、印度和美國等國均遭到震網病毒的攻擊。隨著對病毒特點的進一步認識，西方媒體得出一致結論，震網病毒的目標是伊朗布什爾核電站。

2011年7月，電腦安全公司賽門鐵克通過一系列的試驗研究和分析，認定這種病毒是專門為襲擊離心機而設計的，并能突然更改離心機中的發動機轉速，這種突然的改變足以摧毀離心機且無法修復。同時，賽門鐵克認為這種病毒能夠對世界范圍內的工業控制系統造成物理破壞，并于2011年10月發現了這種病毒的變種。

二、危害及影響

震網病毒與傳統病毒的區別在于，其以對目標的物理攻擊為直接目的，而非傳統意義上的信息竊取和軟件系統破壞，而且攻擊對象直指工業控制系統。震網是第一個直接破壞現實世界中工業基礎設施的惡意代碼。以往采用病毒破壞工業基礎設施的設想僅存在于書本之中，而今震網病毒已經將其付諸實踐，因而震網病毒也被譽為世界上首個網絡"超級武器"。

震網病毒之所以能夠在短時間內帶來如此嚴重的影響，是因為它采取了多種先進技術，具有極強的隱身和破壞力。震網病毒利用了微軟操作系統中至少4個漏洞，其中有3個全新的零日漏洞；它偽造驅動程序的數字簽名，通過一套完整的入侵和傳播流程，突破工業專用局域網的限制，并利用主流工業控制過程監視系統--WinCC系統的2個漏洞，開展破壞性攻擊。

賽門鐵克在對軟件進行反編譯后發現，"震網"病毒結構非常復雜，因此它應該是一個"受國家資助高級團隊研發的結晶"。由于攻擊目標直指工業控制系統，這種病毒可以破壞世界各國的化工、發電和電力傳輸企業所使用的核心生產控制電腦軟件，并且代替其對工廠其他電腦"發號施令"。

"震網"感染的重災區集中在伊朗境內。因此美國和以色列被懷疑是"震網"的發明人。相關媒體普遍推測，以色列迪莫納核基地和美國能源部下屬的國家實驗室聯合完成了"震網"病毒的開發工作，在研發過程中，德國和英國政府也專門提供了必要的援助，并且，以色列曾在迪莫納核基地內對"震網"病毒進行測試。據賽門鐵克公司的統計，2010年7月份，伊朗感染震網病毒的主機只占25%，到9月下旬，這一比例達到60%。2010年9月27日，伊朗國家通訊社向外界證實該國的第一座核電站"布什爾核電站"已經遭到攻擊。因此，此次攻擊具有明確的地域性和目的性。

目前，全球已經有至少4.5萬個工業控制系統遭到過"震網"病毒的光顧，對那些不屬于自己打擊對象的系統，"震網"會在留下了其"電子指紋"后溜之大吉，繼續尋找真正的破壞目標。據推測，俄羅斯工程技術人員使用的U盤可能是本次病毒傳播的重要渠道。

震網病毒的出現使得工業系統的安全性面臨嚴峻的挑戰。在我國，WinCC已被廣泛應用于很多重要行業，目前在電力、鋼鐵、化工等大型重化工業企業中，工業以太網、DCS（集散控制系統）、現場總線等技術早已滲透到控制系統的方方面面。工業控制網絡的核心現在都是工控PC，大多數同樣基于Windows-Intel平臺。工業控制網絡除了可能遭到與攻擊民用/商用網絡手段相同的攻擊，例如通過局域網傳播的惡意代碼之外，還可能遭到針對現場總線的專門攻擊，因此，一旦類似震網的病毒在我國傳播，造成的影響和后果將十分嚴重。

【點評】在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下，Stuxnet病毒攻擊事件值得我們高度關注。Stuxnet病毒針對工業控制系統的核心操作軟件展開攻擊，歷史性的對工業控制系統造成了物理破壞，這樣的攻擊效果無異于網絡界的"超級武器"。同時，攻擊中所采用的多個新漏洞和傳播手段，將在很長一段時間內給新的攻擊提供最直接的動力。而更大的影響是，事件中顯露出來的攻擊思路和攻擊視野會帶來長久的示范效應。

世界最大石油公司持續遭受網絡攻擊，即將停產

2012年12月13日網上報道

今年八月份的時候，freebuf就曾報道過SaudiAramco(沙特阿拉伯國家石油公司)遭受嚴重網絡攻擊，惡意軟件Shamoon感染該公司網絡，造成該公司從外部訪問的所有電子系統突然中斷，影響了該公司的一些網絡訪問。

當時該公司官員聲稱已經采取了一系列措施和多個冗余系統，保障了其業務和數據庫系統的正常運行(據路透社報道實際情況比SaudiAramco發表的聲明更為嚴重，網絡上顯示大量的系統和網絡以及郵件服務器、域控服務器被入侵，約3萬臺左右)。

時至近日，SaudiAramco在應急響應不力的情況下，實在不堪折磨，打算停止該公司的石油生產。SaudiAramco公司發言人Abdullahal-Saadan說道："本次網絡襲擊的主要目的是在于阻止石油和天然氣于本地和國際市場之間的流動，感謝上帝，他們不能實現自己的目標。"

一個自稱"正義之劍"(CuttingSwordofJustice)的黑客組織聲稱對SaudiAramco遭攻擊一事負責，稱攻擊石油公司是處于政治目的，想竊取機密然后威脅他們公布相關機密。

美國電網若遭攻擊損害程度將超桑迪颶風

2012年12月4日網上報道

根據最新報告顯示，美國迫切需要一個全國性的戰略來保護其高度"脆弱"的電網，如果攻擊者攻擊美國電網，損害程度可能會遠遠超過颶風桑迪。

根據美國國家研究委員會的報告顯示，如果恐怖分子侵入任何一個關鍵設施(無論是通過用于破壞控制系統的互聯網惡意軟件，還是通過內部攻擊)，都可能讓美國大部分地區斷電達數星期或數個月。

這種攻擊的損害程度將比上個月颶風桑迪對美國東海岸的損害多幾十億美元以上。

卡內基-梅隆大學工程和公共政策系M.GrangerMorgan表示，"精心設計和執行的恐怖襲擊造成的損害更廣泛，持續時間更長，想都不用想，這種攻擊將會造成幾百億美元的損失。"

美國電網的"脆弱性"在于分布范圍廣泛(數百英里)，并有很多無人防守的關鍵設施。此外，20世紀90年代中期的聯邦立法為電力市場的更多競爭者打開了大門，強調國家的散布的輸電系統，這可能造成攻擊后發生多重故障的風險。

美國電網還包含很多重要設備，這些設備有些已有幾十年的歷史，缺乏先進的傳感和控制技術來防止系統中斷。一個典型的例子就是，在颶風桑迪后，美國LongIsland電力管理局難以恢復電力，造成超過700億美元的損失。新聞媒體報道稱，由于使用年代久遠的電腦主機，嚴重阻礙了公共事業設備的恢復進度。

計算機取證和安全專家兼佩斯大學教授DarrenHayes表示，"由于公共事業設備難以賺取利潤，最讓人擔心的就是陳舊系統的更新和安全投資。"

Hayes表示，公共事業設備的另一個問題是，加入IT操作以消減成本。

"安全一直都不是優先事項，但現在必須優先考慮安全性，很多公共事業設備將重點放在集中IT操作來降低成本，"Hayes表示，"這種集中化意味著，公共事業設施聯接在一起，可能被災難性地全部摧毀。"

在發現Stuxnet(2010年破壞伊朗核設施的高級惡意軟件)后，對國家的關鍵基礎設施的攻擊開始成為關注的焦點。伊朗表示要采取"先發制人"的方式來打擊他們認為應當負責任的國家。"紐約時報"報道稱美國和以色列共同開發了Stuxnet。

該報告提供了保護國家電力輸送系統的幾個建議，當然，一切都需要從錢開始，研究資助資金遠遠小于研發需求。

除了錢以外，該報告還建議開發、生產和儲備"通用恢復變壓器"，這可以暫時代替故障的高壓變壓器--這些變壓器通常是在美國以外地區定制的，需要幾個月甚至幾年來替換。通用恢復變壓器效率沒那么高，但它們可以顯著減少恢復電力的時間。美國國土安全局最近開始于美國電力行業合作開發和測試恢復變壓器。

其他"脆弱點"包括通信、傳感器和控制系統，這些都容易通過互聯網連接或者內部的攻擊。最好的解決辦法是斷開與互聯網的連接。如果不能斷開的話，應該部署國家最先進的技術和管理安全系統，包括監控操作人員錯誤或破壞的系統。

內部攻擊的威脅非常巨大，在8月份，名為Shamoon的病毒刪除了國有石油公司SaudiAramco公司三個季度的企業數據。據稱是內部人員通過USB插入電腦來感染系統的。

最后，該報告建議美國國土安全局和能源部跨地區制定安全戰略，這些戰略的目的在于消除漏洞。

另外，還需要政府機構和私營行業之間的信息共享與協作。但要做到這一點，聯邦政府將不得不解決公共政策和法律障礙。

俄羅斯黑客組織蜻蜓攻擊了西方一千多家能源公司

2014年7月17日佚名FreeBuf

某安全公司稱，近來一個稱為EnergeticBear的俄羅斯黑客組織使用一種復雜的網絡武器，已經使1000多家歐洲和北美能源公司受損，與震網相似，這種網絡武器可以使黑客們訪問到能源部門的控制系統。

往日的網絡犯罪通常僅注重在PC機上傳播惡意代碼，并且以PC使用者為目標，不管他們是屌絲還是高富帥。而今，能源部門的各種機構已經變成網絡犯罪感興趣的目標了。

幾天前，安全研究人員發現了一種類似震網的惡意代碼：Havex,它也是被編碼用作感染工業控制系統的SCADA系統，這種惡意代碼可能通過使用一個按鍵就能夠使水電大壩停運、核電站過載，甚至關閉一個國家的電網。

俄羅斯黑客襲擊1000多家能源公司

該黑客組織也被稱為"蜻蜓"，一個至少自2011年起便開始活躍的東歐黑客團體，并且自從2013年就一直使用釣魚網站和木馬對美國和其他一些國家的能源供應商組織實施攻擊。

賽門鐵克稱，"他們的主要目標是實施間諜活動，該團體似乎是有資源、有規模、有組織的，這無疑表明在這次惡意軟件活動中有政府的參與。"

根據賽門鐵克發表在官方博客的博文稱，蜻蜓組織的主要目標是許多國家的石油管道運營商、發電企業和其他能源工控設備提供商。

破壞操作

從2013年開始，蜻蜓組織就以那些使用工控系統來管理電、水、油、氣和數據系統的機構為攻擊目標，這次間諜活動在18個月的時間里影響了84個國家，但是大多數受害者機構都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭等國家。

賽門鐵克博文顯示，2013年初在將主要目標轉向美國和歐洲的能源公司之前，蜻蜓最初的目標是美國和加拿大的國防和航空企業，蜻蜓體現了國家支持的標志，展示了技術能力的高度。

攻擊向量

為達到通過遠程控制木馬(RAT)訪問計算機系統的目的，蜻蜓使用不同的技術感染工業軟件，包括在電子郵件、網站和第三方程序中捆綁惡意軟件，這種惡意軟件擁有實施破壞操作的能力，這種破壞操作可能中斷多個歐洲國家的能源供應。