安全資訊

       盡管人們在防范工控系統網(wǎng)絡(luò )攻擊方面的意識在逐漸加強，但是現有的很多網(wǎng)絡(luò )安全防護框架仍然依賴(lài)于過(guò)時(shí)的安全性理念，即物理上獨立的網(wǎng)絡(luò )系統是足夠安全的、通過(guò)信息隱匿的方式可有效地防護網(wǎng)絡(luò )威脅等。目前，關(guān)于工控網(wǎng)絡(luò )系統安全主要存在四大誤區。

誤區1：工控自動(dòng)化系統沒(méi)有和互聯(lián)網(wǎng)連接，所以足夠安全

        一項在某代表性能源公司內部進(jìn)行的調查顯示，大部分的管理部門(mén)認為公司內的控制系統并沒(méi)有連接互聯(lián)網(wǎng)，然而，調查和審計顯示89%的控制系統是聯(lián)網(wǎng)的。

       另外，工控網(wǎng)絡(luò )系統有時(shí)在企業(yè)網(wǎng)絡(luò )和互聯(lián)網(wǎng)之間采用多種連接類(lèi)型，包括內部連接、直連、無(wú)線(xiàn)連接以及撥號連接。這些拼湊型的網(wǎng)絡(luò )連接方式使得工控系統非常開(kāi)放。以Slammer蠕蟲(chóng)病毒為例，該蠕蟲(chóng)可在3秒內以全掃描速度（55million/秒）攻擊多種類(lèi)的基礎設施，例如緊急服務(wù)、空管系統、ATM等。這正是由于互聯(lián)網(wǎng)的開(kāi)放性能而致。然而，諷刺的是唯一減緩蠕蟲(chóng)病毒攻擊速率的卻是網(wǎng)絡(luò )帶寬。

誤區2：工控網(wǎng)絡(luò )安裝了防火墻，足夠抵抗外界威脅

       防火墻為工控網(wǎng)絡(luò )系統提供了一定程度的安全防護，然而，這不能使得工控系統無(wú)懈可擊。在一項針對金融、能源、通信、媒體行業(yè)使用的37種防火墻進(jìn)行調研中，人們發(fā)現：

（1）大約80%的防火墻是允許入站規則內的“一切”服務(wù)，包括不安全的訪(fǎng)問(wèn)侵入防火墻和非保護區域；

（2）大約70%的防火墻允許網(wǎng)絡(luò )外圍的設備訪(fǎng)問(wèn)并控制防火墻。

誤區3：黑客無(wú)法理解SCADA/DCS/PLC

       近期，SCADA和處理控制系統成為了黑帽技術(shù)大會(huì )（Black Hat）的共同主題。對于黑客們來(lái)說(shuō)，網(wǎng)絡(luò )犯罪是非常有利可圖的。例如，幾乎不耗周期的一次攻擊獲取的信息可以80k美元賣(mài)給犯罪組織。同時(shí)，由于以下原因，黑客逐漸具有了攻擊工控系統的能力。  

（1）不少蠕蟲(chóng)病毒都是為特定的目標和應用量身定制的。

（2）現有的SCADA規范可以隨處購買(mǎi)或從網(wǎng)絡(luò )上獲取，這也為黑客在一定程度上理解SCADA規范提供了便利。

（3）Shodan搜索引擎很容易定位不安全的工控設備和系統，同時(shí)，很多被攻擊的系統仍采用低安全系數的用戶(hù)名和密碼，例如“windows”，“123456”。

誤區4：我們的設備不會(huì )成為目標

       這是一個(gè)很危險的意識。首先，我們的系統并不是一定會(huì )成為攻擊目標，但是會(huì )變成受害者。80%的工控網(wǎng)絡(luò )安全事件都是無(wú)意中發(fā)生的，卻是極具危害性。仍以Slammer蠕蟲(chóng)病毒為例，該病毒目的在于盡可能多地擊倒所有網(wǎng)絡(luò )系統中的所有設備，而并不是針對性地襲擊某個(gè)能源公司或者緊急設備。然而，該病毒的侵入對這些緊急設備造成了重要危害。另外，由于很多工控系統基于不安全的操作系統，使得這些工控系統很容易暴露在網(wǎng)絡(luò )攻擊中。

所以，針對工控網(wǎng)絡(luò )安全防護，我們可以做些什么？

       為了抵抗工控網(wǎng)絡(luò )攻擊，安全防護系統需要符合特定的要求。其中，基于網(wǎng)絡(luò )邊界的防護方法是工控網(wǎng)絡(luò )安全的第一道重要防線(xiàn)。另外，人們必須對網(wǎng)絡(luò )內的脆弱系統和易成為攻擊目標的設備進(jìn)行安全防護。

       由于網(wǎng)絡(luò )安全犯罪活動(dòng)的頻率和復雜度不斷增長(cháng)，工控網(wǎng)絡(luò )安全防護系統必須進(jìn)行持續審查和重新評估，任何關(guān)于工控網(wǎng)絡(luò )安全的固定認知也需要不斷的更新或改變。