在機場�、酒店大堂、時尚的咖啡廳�,可以看到人們很自在地用筆記本電腦享受著上網(wǎng)沖浪的便捷,同時電信運營商們也在積極推廣城市熱點的接入覆蓋訪問�。但隨著無線網(wǎng)絡嗅探變得輕而易舉,你是否考慮過網(wǎng)絡環(huán)境是否安全?
伊朗布舍爾核電站的遭遇為我們敲響警鐘,黑客攻擊正在從開放的互聯(lián)網(wǎng)向封閉的工控網(wǎng)蔓延����,黑客動機從技術(shù)展示到利益獲取再到如今的高端性攻擊。因此��,在關(guān)系到國計民生與國家安全的重大項目中�,對國外品牌的選擇需要更加謹慎��,并對中國自主研發(fā)的產(chǎn)品有足夠的重視��。目前����,許多國家對引進國外產(chǎn)品帶來的國家安全隱患都十分重視。在同類項目中�����,可以分別采用不同的品牌�、不同的技術(shù),把雞蛋放在不同的籃子里�����,以分散風險。應該在一定程度上����,采取多種品牌、多種技術(shù)的策略����,權(quán)衡項目成本與項目安全,使二者達到最大程度的優(yōu)化與平衡�����。
據(jù)權(quán)威工業(yè)安全事件信息庫RISI統(tǒng)計�����,截止到2011年10 月�,全球已發(fā)生200 余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001年后�,通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長��,ICS 系統(tǒng)對于信息安全的需求變得更加迫切�。
近年來典型工業(yè)控制系統(tǒng)入侵事件:
2005年,美國水電溢壩事件;
2007年�,攻擊者入侵加拿大的一個水利SCADA 控制系統(tǒng)�����,破壞了用于取水調(diào)度的控制計算機;
2008年�,攻擊者入侵波蘭某城市地鐵系統(tǒng)����,通過電視遙控器改變軌道扳道器,導致四節(jié)車廂脫軌;
2010年�����,“網(wǎng)絡超級武器”Stuxnet 病毒針對性的入侵ICS 系統(tǒng)��,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營;
2011年�,黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)����,使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。
工業(yè)控制系統(tǒng)(ICS)概述
工業(yè)控制系統(tǒng)(ICS)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集�、監(jiān)測的過程控制組件,共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行���、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)�。其核心組件包括SCADA、DCS���、PLC����、RTU�����、IED以及接口技術(shù)等���。
對工業(yè)控制系統(tǒng)中IT基礎(chǔ)設(shè)施的運行狀態(tài)進行監(jiān)控�����,是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎(chǔ)�,其中核心組件就是數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)�,典型的SCADA系統(tǒng)由以下組件構(gòu)成:
目前工業(yè)控制系統(tǒng)廣泛應用于我國電力、水利���、污水處理���、石油天然氣��、化工��、交通運輸�����、制藥以及大型制造等行業(yè)中��,據(jù)不完全統(tǒng)計��,超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)���,工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。
一次典型的ICS 控制過程通常由控制回路����、HMI���、遠程診斷與維護工具三部分組件共同完成����,控制回路用以控制邏輯運算����、HMI執(zhí)行信息交互���、遠程診斷與維護工具,確保出現(xiàn)異常操作時進行診斷和恢復����。
隨著計算機和網(wǎng)絡技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展�����,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議��、通用硬件和通用軟件�����,通過各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接���,病毒���、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散。其風險主要來源于:
ICS風險的主要根源
漏洞隱蔽性和嚴重性;采用專用的硬件���、軟件和通信協(xié)議�����。
安全重視不夠�����、連接無序��、數(shù)據(jù)保護和應急管理不足;設(shè)計上考慮到封閉性��、主要以傳統(tǒng)安全為主����。
默認配置、連接�����、組網(wǎng)��、采購升級無序;主要基于工業(yè)應用的場景和執(zhí)行效率��。
工控平臺的脆弱性
平臺本身的安全漏洞問題;
殺毒軟件安裝及升級更新問題;
大量默認配置和默認口令;
專用平臺和通用平臺漏洞���。
