工業(yè)控制系統(tǒng)面臨安全新挑戰(zhàn)

　　導(dǎo)讀：據(jù)國(guó)外媒體報(bào)道，德國(guó)西門(mén)子公司(Siemens AG)13日表示，一個(gè)旨在攻擊西門(mén)子制造的工業(yè)控制系統(tǒng)的計(jì)算機(jī)病毒已基本得到控制。該計(jì)算機(jī)病毒攻擊的工業(yè)控制系統(tǒng)用于監(jiān)控電網(wǎng)和其他關(guān)鍵基礎(chǔ)設(shè)施，此次事件給政府和私營(yíng)部門(mén)敲響了“防范病毒攻擊”的警鐘。為應(yīng)對(duì)全球信息通信網(wǎng)絡(luò)安全的演進(jìn)趨勢(shì)和挑戰(zhàn)，有效保障我國(guó)的網(wǎng)絡(luò)信息安全，近日，工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急專(zhuān)家組在京成立，為互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急管理工作提供技術(shù)咨詢和決策支撐。

　　病毒首次攻擊大型工業(yè)控制系統(tǒng)

　　這個(gè)攻擊西門(mén)子工業(yè)控制系統(tǒng)的病毒被稱(chēng)為“Stuxnet”，該病毒會(huì)傳播到插入電腦USB接口的設(shè)備中，并從中竊取數(shù)據(jù)。這是駭客首次嘗試入侵大型工業(yè)電腦系統(tǒng)病毒，而這些病毒疑似來(lái)自臺(tái)灣。

　　據(jù)悉，Stuxnet病毒利用微軟Windows作業(yè)系統(tǒng)漏洞，透過(guò)USB散布病毒，專(zhuān)門(mén)鎖定西門(mén)子生產(chǎn)的工業(yè)控制系統(tǒng)，并試圖竊取系統(tǒng)內(nèi)的資料。

　　分析人士表示，6月份首次監(jiān)測(cè)到該計(jì)算機(jī)病毒對(duì)工業(yè)計(jì)算機(jī)系統(tǒng)發(fā)起了一次大規(guī)模的攻擊，而這些計(jì)算機(jī)系統(tǒng)主要用于監(jiān)控自動(dòng)工廠、單位、核電站、水處理系統(tǒng)等。自動(dòng)化企業(yè)長(zhǎng)期的贏利前景使得一些黑客逐漸向工業(yè)領(lǐng)域參透，把工業(yè)控制系統(tǒng)作為攻擊的目標(biāo)。

　　截至目前為止，西門(mén)子全球客戶只有9家已偵測(cè)到該病毒，且沒(méi)有客戶蒙受損失。

　　傳統(tǒng)安全技術(shù)正日益失去作用

　　在工廠生產(chǎn)和商業(yè)系統(tǒng)間發(fā)展網(wǎng)絡(luò)安全是項(xiàng)復(fù)雜的任務(wù)，以至于大多數(shù)IT和自動(dòng)化部門(mén)都在猶豫是否要進(jìn)行此項(xiàng)任務(wù)。IT部門(mén)可能不熟悉復(fù)雜的工業(yè)系統(tǒng)，任何錯(cuò)誤都會(huì)對(duì)生產(chǎn)起到反作用。從工業(yè)自動(dòng)化的前景和與IT安全的挑戰(zhàn)來(lái)看，自動(dòng)化部門(mén)寧可選擇獨(dú)立運(yùn)行，在這些系統(tǒng)中留下通信“缺口”。

　　現(xiàn)在能結(jié)合工業(yè)計(jì)算機(jī)使用的安全技術(shù)可謂多種多樣。但是幾乎所有的安全技術(shù)，不論是基于硬件還是基于軟件，都有一個(gè)相同的缺陷：要實(shí)現(xiàn)這些技術(shù)的話，必須對(duì)系統(tǒng)進(jìn)行改動(dòng)。然而這正是工業(yè)環(huán)境下應(yīng)不惜一切代價(jià)予以避免的問(wèn)題。

　　對(duì)于基于硬件的系統(tǒng)(如路由器、橋接器)而言，其缺點(diǎn)便是往往可通過(guò)其網(wǎng)絡(luò)IP地址被予以識(shí)別，因此，很容易受到攻擊。特別是在許多系統(tǒng)中，為了讓數(shù)據(jù)傳輸不成問(wèn)題，標(biāo)準(zhǔn)端口通常是開(kāi)放的。而基于軟件的解決方案由于不兼容，它們無(wú)法在某些專(zhuān)有操作系統(tǒng)上運(yùn)行。

　　目前的殺毒軟件更新程序比較復(fù)雜，需要大量的人力和財(cái)力。它們通常不能集成到使用老的處理器技術(shù)的系統(tǒng)中，因?yàn)檫@些解決方案缺少必要的性能。更別提那些需要經(jīng)常更新的軟件，否則，病毒會(huì)通過(guò)新發(fā)現(xiàn)的安全漏洞不斷輕易攻擊操作系統(tǒng)。

　　幸運(yùn)的是，已經(jīng)出現(xiàn)了新的解決方法。例如，OPC能夠利用隧道技術(shù)使其在不同的系統(tǒng)和防火墻間工作。類(lèi)似于虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)，OPC隧道將數(shù)據(jù)有效載荷封裝入另一協(xié)議中。從隧道外看，它就像是數(shù)據(jù)流，但是，在數(shù)據(jù)流內(nèi)卻是非常重要的產(chǎn)品數(shù)據(jù)。隧道技術(shù)也能夠利用端口限制、用戶認(rèn)證和數(shù)據(jù)流加密來(lái)克服大多數(shù)IT安全缺陷。