隨著工業化與信息化的深度融合,智能化的工業控制系統在電力、交通、石化、市政、制造等涉及 國計民生的各行各業越來越重要,來自信息網絡的安全威脅將逐步成為工業控制系統(Industrial Control System,簡稱ICS)所面臨的最大安全威脅。國內主管部門及用戶也愈發重視ICS的安全問題。2013年國內已做了大量的關于工業控制系統安全的工作,工業控制系統相關的安全標準正在制訂過程中,電力、石化、制造、煙草等多個行業,已在國家主管部門的指導下進行安全檢查、整改。在此種工控安全生態環境下,控制工程中文版記者與國內安全專家綠盟科技公司的李鴻培博士進行了深入交流,與其探討了工控系統的安全風險及對策。
及時發現ICS的脆弱性
隨著我國工業化與信息化深度融合的快速發展,成熟的IT及互聯網技術正在不斷地被引入到工業控制系統中,這必然因為需要與其它系統進行互聯、互通、互操作而打破工業控制系統的相對封閉性。不像傳統IT信息系統軟件在開發時擁有嚴格的安全軟件開發規范及安全測試流程,工業控制系統開發時僅重視系統功能實現而缺乏相應的安全考慮,現有的工業控制系統中難免會存在不少危及系統安全的漏洞或系統配置問題,而這些系統的脆弱性均有可能被系統外部的入侵攻擊者所利用,輕則干擾系統運行、竊取敏感信息,重則有可能造成嚴重的安全事件。
李博士介紹:"截止到2013年12月,綠盟科技安全漏洞庫中共收錄到386個與ICS相關的漏洞。國家信息安全漏洞共享平臺(CNVD)已累計發布了500多條ICS相關的漏洞。ICS漏洞數總體仍呈增長趨勢,2013年漏洞數增長變緩。"
面對脆弱的工業控制系統,安全防護工作迫切需要得到應有的重視。李博士談到:"安全防護是一個系統工程,包括從技術到管理各個方面的工作。其中最重要的就是對工業控制系統自身脆弱性問題的檢測與發現,只有及時發現工業控制系統存在的脆弱性問題,才能進一步執行相應的安全加固及防護工作。我們認為,安全行業廠商和工業控制系統廠商應盡早建立合作機制、建立國家或行業級的漏洞信息分享平臺與專業的關于工控系統的攻防研究團隊,并盡早開發出適合于工業控制系統使用的脆弱性掃描設備。 "
適用于工業控制系統的漏洞掃描器和傳統的IT系統漏洞掃描器相比,除了可以支持對常見的通用操作系統、數據庫、應用服務、網絡設備進行漏洞檢測以外,還應該支持常見的工業控制系統協議,識別工業控制系統設備資產,檢測工業控制系統的漏洞與配置隱患。通過使用工業控制系統掃描器,在工業控制系統設備上線前及維護期間進行脆弱性掃描,可以及時發現工業控制系統存在的脆弱性問題,了解工業控制系統自身的安全狀況,以便能夠及時地提供針對性的安全加固及安全防護措施。
重視APT攻擊的檢測與防護
近年來,工業控制系統安全威脅有所變化:單打獨斗到有組織團體--從攻擊個體到攻擊群體再到攻擊團體;攻擊動機不再是技術突破,而是更具功利性--經濟、政治與意識形態的驅動更加明顯。此外,針對工業控制系統的攻擊,不論是在規模宏大的網絡戰,還是在一般的網絡犯罪中,都可以發現高級持久威脅(Advanced Persistent Threat ,簡稱APT)的影子。自2010年APT出現后,安全業界已陸續報道了數十起APT攻擊事件。例如,2010年伊朗核電站遭遇Stuxnet攻擊,2011年全球化工行業被Nitro竊取數據,2012年中東能源行業被Shamoon擦寫硬盤數據和主引導記錄等等。
1 2 下頁