早在半年前,迈克菲(McAfee)在其发布的《2012年威胁预测报告》中展望了2012年的十大安全威胁,其中工业系统面临的安全威胁位居首位,很重要的一个原因就是很多工业控制系统尚未做好应对网络攻击的准备,火焰病毒的出现是此预测的最新例证。
从目前披露的工业病毒特点来看,工业病毒对控制系统的影响已不再仅仅是影响计算机和网络设备运行那么简单,它们可以导致控制系统拒绝服务,可以修改控制程序从而控制或破坏工业生产,可以向操作人员发出虚假信息,以使操作员采取错误动作,其结果可能是造成生产瘫痪而导致重大经济损失,甚至于造成人员伤亡、环境破坏等重大事故。
然而在来势汹汹的工业网络威胁面前,绝大多数工业用户还没有做好准备,信息安全的缺陷比比皆是,相对于传统的信息安全重点行业,如金融行业,有些缺陷可以说很低级,对于攻击者而言,不需要高超技术就可以攻破这些不设防的网络。下面描述的Conficker蠕虫病毒感染案例足以说明工业系统信息安全的现状。
Conficker,也被称作Downup,Downadup或Kido,Conficker蠕虫最早于2008年11月20日被发现,主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。一旦感染该蠕虫病毒,网络带宽会被大量占用,网络速度变的异常缓慢,严重影响数据交换,并最终导致网络系统瘫痪;而且受病毒感染主机形成一个规模庞大的僵尸网络,病毒控制者可以利用这个僵尸网络,侵入受感染计算机进行非法操作,如下载指定文件、安装其他恶意软件等。这种病毒在最近几年感染了许多疏于防范的工业系统的主机。
2011年12月,西南管线广东调控中心及场站感染Conficker病毒及其变种,造成部分场站的服务器与控制器通讯中断。
2010年5月,齐鲁石化某装置控制系统感染Conficker病毒,造成控制系统服务器与控制器通讯中断。
2011年3月,大庆石化炼油厂某装置控制系统感染Conficker病毒,造成控制系统服务器与控制器通讯中断。
其实Conficker病毒的防范并不困难,严格管理移动数据存储介质基本上就可以防止该病毒传入封闭的控制系统网络;及时安装Windows操作系统补丁程序可以防止该病毒利用知名的漏洞端口,从而对计算机系统进行感染;合理部署防病毒软件可以在该病毒爆发之前提早进行查杀处理,避免其危害。
#page#
窥一斑而见全豹,一种几年前的病毒还在大肆传播,足以说明系统信息安全措施之薄弱。
工业控制系统信息安全建设上的理解误区
工业系统之所以在网络攻击面前显得如此脆弱,究其根源,大都来自于控制系统维护人员对信息安全理解上的误区,例如:
系统是孤立的、封闭的不代表不存在信息安全隐患
即便工业系统是封闭的,Wi-fi,USB等方式仍能提供了很多侵入点,一个配备wifi-modem的USB设备甚至能将一个封闭的网络接入公网。而且大多数工业系统普遍没有相应的帐号管理、口令管理措施,管理员帐号公开,帐号权限分配不合理,帐号失效后不及时删除,口令公开、口令长期保持不变或过于简单等问题普遍存在,这都为非法侵入提供方便之门。相关统计数据显示,只有20%的数据破坏是由公司外部人所为,而80%的安全威胁来自内部,这包括操作失误、故意破坏和知识欠缺。