病毒首次攻擊大型工業
控制系統 這個攻擊西門子工業控制系統的病毒被稱為“Stuxnet”,該病毒會傳播到插入電腦USB接口的設備中,并從中竊取數據。這是駭客首次嘗試入侵大型工業電腦系統病毒,而這些病毒疑似來自臺灣。
據悉,Stuxnet病毒利用微軟Windows作業系統漏洞,透過USB散布病毒,專門鎖定西門子生產的工業控制系統,并試圖竊取系統內的資料。
分析人士表示,6月份首次監測到該計算機病毒對工業計算機系統發起了一次大規模的攻擊,而這些計算機系統主要用于監控自動工廠、單位、核電站、水處理系統等。自動化企業長期的贏利前景使得一些黑客逐漸向工業領域參透,把工業控制系統作為攻擊的目標。
截至目前為止,西門子全球客戶只有9家已偵測到該病毒,且沒有客戶蒙受損失。
傳統安全技術正日益失去作用
在工廠生產和商業系統間發展網絡安全是項復雜的任務,以至于大多數IT和自動化部門都在猶豫是否要進行此項任務。IT部門可能不熟悉復雜的工業系統,任何錯誤都會對生產起到反作用。從工業自動化的前景和與IT安全的挑戰來看,自動化部門寧可選擇獨立運行,在這些系統中留下通信“缺口”。
現在能結合工業計算機使用的安全技術可謂多種多樣。但是幾乎所有的安全技術,不論是基于硬件還是基于軟件,都有一個相同的缺陷:要實現這些技術的話,必須對系統進行改動。然而這正是工業環境下應不惜一切代價予以避免的問題。
對于基于硬件的系統(如路由器、橋接器)而言,其缺點便是往往可通過其網絡IP地址被予以識別,因此,很容易受到攻擊。特別是在許多系統中,為了讓數據傳輸不成問題,標準端口通常是開放的。而基于軟件的解決方案由于不兼容,它們無法在某些專有操作系統上運行。
目前的殺毒軟件更新程序比較復雜,需要大量的人力和財力。它們通常不能集成到使用老的處理器技術的系統中,因為這些解決方案缺少必要的性能。更別提那些需要經常更新的軟件,否則,病毒會通過新發現的安全漏洞不斷輕易攻擊操作系統。
幸運的是,已經出現了新的解決方法。例如,OPC能夠利用隧道技術使其在不同的系統和防火墻間工作。類似于虛擬專用網絡(VPN)和點對點隧道協議(PPTP),OPC隧道將數據有效載荷封裝入另一協議中。從隧道外看,它就像是數據流,但是,在數據流內卻是非常重要的產品數據。隧道技術也能夠利用端口限制、用戶認證和數據流加密來克服大多數IT安全缺陷。
急需構建自動化系統的安全平臺
隨著生產和辦公環境的日益網絡化,使得業務流程效率日益提高。在這一過程中,企業往往忽略來自系統外部的危險,而這些危險其實如同內部風險一樣巨大。
許多工業計算機運行的是專有操作系統。人們常認為這些計算機比較安全,因為操作人員認為黑客沒有興趣將“惡意代碼”植入這些少數系統中。因此,系統中的一些安全漏洞常常不為人所知,很少有人想過如何屏蔽攻擊,如何應對現今流行的眾多病毒、蠕蟲或特洛伊木馬。
現在,較新的生產機器通常運行是的像Windows、以太網、TCP/IP和HTTP等標準。隨著公司范圍內聯網性不斷提高,這些類系統才更容易遭受來自網絡的安全威脅。例如,對工業
機器人進行維護期時,中央工業計算機經常會在無意間感染來自維修技術人員筆記本電腦的“惡意代碼” ,所導致的損害可能非常巨大。
因此,生產部門和IT部門需要同時確保各自系統的安全性和可用性,必須防止病毒、蠕蟲以及來自網絡的其他攻擊--高危目標。
“今天的自動化技術有本征的缺陷”,中國機電一體化技術協會專家委員會主任丁未表示,現在的自動化技術領域只有面向功能的算法,沒有支撐功能的安全算法平臺。這里指的安全算法不是信息領域中的加密、解密技術,而是指為了保障功能集合的安全結構。
我國工業系統安全基礎薄弱
現代工業控制系統包括過程控制、數據采集系統(sCaDa),分布式控制系統(DCB},程序邏輯控制(
PLC以及其他控制系統等,口前已應用于電力、水力、石化、醫藥、食品以及汽車、航天等工業領域,成為國家關鍵基礎設施的重要組成部分,關系到國家的戰略安全。
相關文獻指出,國家關鍵基礎所依賴的很多重要信息系統從技術特征上講是工CS,而不是傳統上的TCP/工P網絡,其安全是國家經濟穩定運行的關鍵,是信息戰中敵方的重點攻擊日標,攻擊后果極其嚴重。
與傳統的基于TCP/工C協議的網絡與信息系統的安全相比,我國工CS的安全保護水平明顯偏低,長期以來沒有得到關注。隨著信息化的推動和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時,也帶來了工CS的安全問題,如木馬、病毒、網絡攻擊造成信息泄露和控制指令篡改等。
據安全專家介紹,可能導致工Cs安全事件的因素有:控制系統發生拒絕服務;對PLC, DCS或SCADA中可編程指令進行非授權修改,使報警門限值改變,或使設備本身發生破壞;向控制系統的操作員發生虛假信息,使操作員采取錯誤動作;修改控制系統的軟件或配置設置;系統中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。
盡管工CS發生安全事故要比互聯網上的攻擊事件要少,但是由于工CS的特殊性,每一次事件,都代表著廣大人群的生活、生產受到巨大影響,經濟遭受重大損失甚至倒退。
信息化安全建設進入防護階段
其實,我國一直注重信息化安全建設。近年來,我國頒布了《國家信息安全標準體系》、《國家信息安全“十一五”規劃》等指導性文件,進行信息化安全建設,并取得了階段性成果。
據全國信息安全標準化技術委員會主任委員曲維枝介紹,信息安全標準在信息安全保障體系建設中發揮著基礎性、規范性作用,是確保信息安全產品和系統在設計、研發、生產、建設、使用、測評中保證其一致性、可靠性、可控性的技術規范、技術依據。沒有信息安全標準,信息化建設的安全可靠就無法保證。
隨著“三網融合”和“兩化融合”的進程已經取得階段性進展,以及網絡IP化、電信全業務運營的深入、客戶信息安全意識的提升,社會和經濟運行對通信服務質量的要求正在不斷提高。為應對全球信息通信網絡安全的演進趨勢和挑戰,有效保障我國的網絡信息安全,工信部在全國政協十一屆二次會議關于“加快中國網絡信息安全立法”的提案答復中表示,要爭取盡快使《中華人民共和國信息安全條例》進入立法程序,早日出臺。這標志著我國的信息安全建設正在從基礎設施層面的網絡安全保障階段,進入到通過立法保障網絡用戶權益不受侵害的應用層面,即:信息安全防護階段。
近日,工業和信息化部互聯網網絡安全應急專家組在京成立。根據工業和信息化部2009年頒布的《公共互聯網網絡安全應急預案》相關規定,工信部組織成立互聯網網絡安全應急專家組,為互聯網網絡安全應急管理工作提供技術咨詢和決策支撐。