2012年5月底,多家网络平安供给商收回平安正告,一种名为火焰(Flame)的歹意特务软件已在中东和北非局部地域大范围传达,该木马病毒曾经或行将形成的宏大危害不容无视。早在半年前,迈克菲(McAfee)在其发布的《2012年要挟预测报告》中瞻望了2012年的十大平安要挟,其中工业零碎面临的平安要挟位居首位,很重要的一个缘由就是很多工业控制零碎尚未做好应对网络攻击的预备。
工业控制零碎所面临的信息平安要挟
2012年5月底,多家网络平安供给商收回平安正告,一种名为火焰(Flame)的歹意特务软件已在中东和北非局部地域大范围传达,该木马病毒曾经或行将形成的宏大危害不容无视。据报道,结合国电信联盟官员也表示,火焰病毒是风险的特务工具,能够用来攻击重要的根底设备,并拟就其危性向成员国收回激烈正告。鉴于其表现出来的特征,许多平安专家宁愿称其为病毒武器,与普通的病毒不同,病毒武器并不以普通用户为对象,而是针对企业,工厂,政府等重要设备。
初步研讨标明,火焰与2011年发现的Duqu很类似,都是以搜集和偷盗目的的秘密信息为目的,为了完成这一目的,它可以使出机密录音、自动截屏,记载用户敲击键盘等各种手腕偷盗重要工业数据。但与Duqu不同的是,Flame愈加复杂,并具有明显的差别。火焰代码是模块化的、可扩展和可更新的,并将后果和其他重要文件发送给近程操控病毒的效劳器。其荫蔽性特点也十分有目共睹,当感染已被反病毒顺序维护的计算机时,火焰会中止停止某种举动或执行歹意代码,由于这能够惹起平安使用顺序停止自动检测,这意味着该病毒可以潜藏很久。而且一旦完成搜集数据义务,这些病毒还可自行消灭,不留踪迹。
由于病毒应用微软加密算法的破绽,将病毒假装成微软签名文件停止传达,可以成功骗过绝大少数杀毒软件,微软官方已正式发布KB2718704补丁修补签名破绽。霍尼韦尔平安更新认证小组(SUIT)技术人员已验证了KB2718704与霍尼韦尔零碎的兼容性,并收回平安正告,希望用户尽快装置该操作零碎补丁。
Honeywell’sSecurityUpdateInvestigationTeam(SUIT)
到面前为止,火焰似乎次要针对局部中东和北非国度,据报道火焰已感染了伊朗、黎巴嫩、叙利亚、苏丹以及其他中东和北非国度的相应目的计算机零碎。在中国,已有截获该病毒的报告,瑞星已发布白色平安警报,并特别提示广阔企事业单位、政府部门,应高度注重此病毒,积极做好绝对应的平安防备任务。
在火焰之前,另一著名案例是2010年发现的被称为世界"首枚数字弹头"的超级工厂病毒(Stuxnet),该病毒也被称为震网,当年伊朗大约3万个互联网终端和布什尔核电站员工团体电脑被超级工厂病毒感染,形成少量离心机停转或损坏。这种蠕虫顺序专门针对普遍使用于伊朗根底设备的德国西门子公司工业控制零碎,应用操作零碎和WinCC零碎的破绽,经过感染控制软件Step7可以完成歹意修正本着网络面前人人平等的原则,提倡所有人共同协作,编写一部完整而完善的百科全书,让知识在一定的技术规则和文化脉络下得以不断组合和拓展。 控制顺序的目的。从此案例,可以判定那种以为控制协议的私密性特点足以防备网络攻击的观念已不合时宜。
工业控制零碎在网络攻击面前显得"摧枯拉朽"
早在半年前,迈克菲(McAfee)在其发布的《2012年要挟预测报告》中瞻望了2012年的十大平安要挟,其中工业零碎面临的平安要挟位居首位,很重要的一个缘由就是很多工业控制零碎尚未做好应对网络攻击的预备,火焰病毒的呈现是此预测的最新例证。
从目前披露的工业病毒特点来看,工业病毒对控制零碎的影响已不再仅仅是影响计算机和网络设备运转那么复杂,它们可以招致控制零碎回绝效劳,可以修正控制顺序从而控制或毁坏工业消费,可以向操作人员收回虚伪信息,以使操作员采取错误举措,其后果能够是形成消费瘫痪而招致严重经济损失,甚至于形成人员伤亡、环境毁坏等严重事故。
但是在来势汹汹的工业网络要挟面前,绝大少数工业用户还没有做好预备,信息平安的缺陷屈指可数,绝对于传统的信息平安重点行业,如金融行业,有些缺陷可以说很低级,关于攻击者而言,不需求高明技术就可以攻破这些不设防的网络。上面描绘的Conficker蠕虫病毒感染案例足以阐明工业零碎信息平安的现状。
Conficker,也被称作Downup,Downadup或Kido,Conficker蠕虫最早于2008年11月20日被发现,次要应用Windows操作零碎MS08-067破绽来传达,同时也能借助任何有USB接口的硬件设备来感染。一旦感染该蠕虫病毒,网络带宽会被少量占用,网络速度变的异常迟缓,严重影响数据交流,并最终招致网络零碎瘫痪;而且受病毒感染主机构成一个规模庞大的僵尸网络,病毒控制者可以应用这个僵尸网络,侵入受感染计算机停止合法操作,如下载指定文件、装置其他歹意软件等。这种病毒在最近几年感染了许多疏于防备的工业零碎的主机。
2011年12月,东北管线广东调控中心及场站感染Conficker病毒及其变种,形成局部场站的效劳器与控制器通讯中缀。
2010年5月,齐鲁石化某安装控制零碎感染Conficker病毒,形成控制零碎效劳器与控制器通讯中缀。
2011年3月,大庆石化炼油厂某安装控制零碎感染Conficker病毒,形成控制零碎效劳器与控制器通讯中缀。 #p#分页标题#e#
其实Conficker病毒的防备并不困难,严厉管理挪动数据存储介质根本上就可以避免该病毒传入封锁的控制零碎网络;及时装置Windows操作零碎补丁顺序可以避免该病毒应用知名的破绽端口,从而对计算机零碎停止感染;合理部署防病毒软件可以在该病毒迸发之前延迟停止查杀处置,防止其危害。
窥一斑而见全豹,一种几年前的病毒还在大肆传达,足以阐明零碎信息平安措施之单薄。
工业控制零碎信息平安建立上的了解误区
工业零碎之所以在网络攻击面前显得如此软弱,究其本源,大都来自于控制零碎维护人员对信息平安了解上的误区,例如:
●零碎是孤立的、封锁的不代表不存在信息平安隐患
即使工业零碎是封锁的,Wi-fi,USB等方式仍能提供了很多侵入点,一个装备wifi-modem的USB设备甚至能将一个封锁的网络接入公网。而且大少数工业零碎普遍没有相应的帐号管理、口令管理措施,管理员帐号地下,帐号权限分配不合理,帐号生效后不及时删除,口令地下、口令临时坚持不变或过于复杂等成绩普遍存在,这都为合法侵入提供方便之门。相关统计数据显示,只要20%的数据毁坏是由公司内部人所为,而80%的平安要挟来自外部,这包括操作失误、成心毁坏和知识完善。
因而,经过复杂的物理隔离是不能够完成信息平安的。
●零碎曾经配置了防火墙就可以万事大吉了
防火墙只能起到门卫的作用,不能替代零碎的平安管理,而且合法侵入能够经过假装停止攻击,随着技术的开展提高,很多信息平安要挟都可以依托于我们也正在做着心目中属于未来的事业,那就是通过互联网金融创新,不断完善人与金融、货币之间的关系,让所有人都能享受到最好的金融服务 。正常的信息流骗过或绕过防火墙对零碎形成危害,虽然如今的防火墙功能曾经有了很大的进步,但是把戏创新的攻击手腕和平安要挟常常令传统的防火墙目不暇接,基于OSI模型三层、四层开展起来的防火墙关于以后盛行的基于使用层的攻击常常是能干为力。传统的防火墙关于网络流量的管理方式不够灵敏,依托防火墙单打独斗,通常会令其使用环境遭到很大限制,使用效果也大打折扣。
●零碎是由厂家设计施行的,所以是平安的
网络技术一日千里,没有任何设计能与日俱增的保证信息平安,随着工夫的推移、现场条件的变化和技术的开展,企业应从实践动身,活期组织展开信息平安反省,排查平安隐患,梗塞平安破绽。
●零碎已装置杀毒软件,病毒不再是要挟
防病毒只是完成信息平安的一个根本内容,而且在实践使用当中,防病毒软件的管理常被无视,例如对与控制零碎的兼容成绩未加思索,杀毒引擎和病毒库不及时更新,操作零碎的补丁不及时更新,甚至还在运用过时的操作零碎,这些成绩将使防毒效能降低,或令其形同虚设。
此外由于控制零碎维护人员在计算机和网络知识上的完善,还普遍存在以下成绩:
●没有必要的审计措施,以致无法停止事情剖析;
●网络构造不合理,未按功用需求停止合理分层;
●网络之间没有必要的隔离和维护措施,缺乏平安边界控制;
●对关键敏感数据未采取任何拜访权限控制、数据加密、平安审计等措施;
●没有信息平安应急预案和手腕,例如缺乏必要的备份、备机等容灾措施;
形成这种景象的基本缘由在于临时以来控制零碎信息平安不是工厂管理者思索的重点,其平安观还停留在传统的物理平安和电气平安之上,但理想通知我们,这种观念曾经过时,管理者应充沛看法到增强工业控制零碎信息平安管理的重要性和紧迫性,切忌抱有幸运和张望的态度,只要转变了观念,完成真正意义上的控制零碎信息平安才干成为能够。
工业控制零碎如何面对信息平安应战
针对我国工业控制零碎信息平安管理任务中存在的成绩,工信部在2011年9月29日,特编制下发《关于增强工业控制零碎信息平安管理的告诉(工信部协[2011]451号)》文件。明白指收工业控制零碎信息平安面临着严峻的情势,而我国工业控制零碎信息平安管理任务中仍存在不少成绩,次要是对工业控制零碎信息平安成绩注重不够,管理制度不健全,相关规范标准缺失,技术防护措施不到位,平安防护才能和应急处置才能不初等,要挟着工业消费平安和社会正常运转。告诉要求各地域、各部门、各单位务必高度注重,加强风险认识、责恣意识和紧迫感,实在增强工业控制零碎信息平安管理。并着重增强和落实对包括核设备、钢铁、有色、化工、石油石化、电力、自然气、先进制造、水利枢纽、环境维护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生严密相关的多个重点范畴内工业控制零碎信息平安管理。 #p#分页标题#e#
该告诉在衔接管理、组网管理、配置管理、设备选择与晋级管理、数据管理、应急管理、工业控制零碎平安测评反省和破绽发布制度、增强工业控制零碎信息平安任务的组织指导等方面给出了指点意见。
为保证工业心态的信息平安,加大在硬件和软件上的投资固然重要,更重要的是应将工业控制零碎信息平安归入企业平安管理体系,并有相应的组织保证和资金保证。
工业控制零碎与商用信息零碎在平安性需求方面有很多相反之处,但同时也存在共同的需求,商用信息零碎通常侧重于保密性、完好性、可用性,工业消费更关注的是平安性、牢靠性、无效性,而且工业消费要求24小时延续运转,不能够经过封闭零碎以躲过攻击,平安措施还应充沛思索与控制零碎的兼容性。因而,在工业控制零碎信息平安体系下,应参照国际成熟的工业平安标准,如ISO/IEC27001和ISA-99,并结合工厂运用的控制零碎的实践状况,对平安制度体系停止详细规划,重点是确定信息平安任务要求和目标的总体方针,完善信息平安管理规章制度、方法和操作流程,制定平安操作的技术规范和标准等,约束和指点各级管理和运用人员的操作行为,以确保控制零碎的平安管理处于较高的程度。
确保控制零碎信息平安应有相应的组织体系保证,组织体系的设计准绳为指导担任制,只要惹起高层指导的足够注重和高层指导的参与,才干保证平安体系建立的顺利推进,组织体系应包括健全的一致的平安管理组织机构,担任制定平安标准,并依照规范的平安管理流程停止标准化的信息零碎平安管理和监视。
总结
现实通知我们,在网络要挟面前,工业控制零碎已不再是信息平安的净土,中国的企业用户应该对此有深入的看法,并做到高枕无忧、未雨绸缪,才干保证本人的工业控制零碎安康波动的运转。
企业海
