随着工业化与信息化的深度融合,智能化的工业控制系统在电力、交通、石化、市政、制造等涉及 国计民生的各行各业越来越重要,来自信息网络的安全威胁将逐步成为工业控制系统(Industrial Control System,简称ICS)所面临的最大安全威胁。国内主管部门及用户也愈发重视ICS的安全问题。2013年国内已做了大量的关于工业控制系统安全的工作,工业控制系统相关的安全标准正在制订过程中,电力、石化、制造、烟草等多个行业,已在国家主管部门的指导下进行安全检查、整改。在此种工控安全生态环境下,控制工程中文版记者与国内安全专家绿盟科技公司的李鸿培博士进行了深入交流,与其探讨了工控系统的安全风险及对策。
及时发现ICS的脆弱性
随着我国工业化与信息化深度融合的快速发展,成熟的IT及互联网技术正在不断地被引入到工业控制系统中,这必然因为需要与其它系统进行互联、互通、互操作而打破工业控制系统的相对封闭性。不像传统IT信息系统软件在开发时拥有严格的安全软件开发规范及安全测试流程,工业控制系统开发时仅重视系统功能实现而缺乏相应的安全考虑,现有的工业控制系统中难免会存在不少危及系统安全的漏洞或系统配置问题,而这些系统的脆弱性均有可能被系统外部的入侵攻击者所利用,轻则干扰系统运行、窃取敏感信息,重则有可能造成严重的安全事件。
李博士介绍:"截止到2013年12月,绿盟科技安全漏洞库中共收录到386个与ICS相关的漏洞。国家信息安全漏洞共享平台(CNVD)已累计发布了500多条ICS相关的漏洞。ICS漏洞数总体仍呈增长趋势,2013年漏洞数增长变缓。"
面对脆弱的工业控制系统,安全防护工作迫切需要得到应有的重视。李博士谈到:"安全防护是一个系统工程,包括从技术到管理各个方面的工作。其中最重要的就是对工业控制系统自身脆弱性问题的检测与发现,只有及时发现工业控制系统存在的脆弱性问题,才能进一步执行相应的安全加固及防护工作。我们认为,安全行业厂商和工业控制系统厂商应尽早建立合作机制、建立国家或行业级的漏洞信息分享平台与专业的关于工控系统的攻防研究团队,并尽早开发出适合于工业控制系统使用的脆弱性扫描设备。 "
适用于工业控制系统的漏洞扫描器和传统的IT系统漏洞扫描器相比,除了可以支持对常见的通用操作系统、数据库、应用服务、网络设备进行漏洞检测以外,还应该支持常见的工业控制系统协议,识别工业控制系统设备资产,检测工业控制系统的漏洞与配置隐患。通过使用工业控制系统扫描器,在工业控制系统设备上线前及维护期间进行脆弱性扫描,可以及时发现工业控制系统存在的脆弱性问题,了解工业控制系统自身的安全状况,以便能够及时地提供针对性的安全加固及安全防护措施。
重视APT攻击的检测与防护
近年来,工业控制系统安全威胁有所变化:单打独斗到有组织团体--从攻击个体到攻击群体再到攻击团体;攻击动机不再是技术突破,而是更具功利性--经济、政治与意识形态的驱动更加明显。此外,针对工业控制系统的攻击,不论是在规模宏大的网络战,还是在一般的网络犯罪中,都可以发现高级持久威胁(Advanced Persistent Threat ,简称APT)的影子。自2010年APT出现后,安全业界已陆续报道了数十起APT攻击事件。例如,2010年伊朗核电站遭遇Stuxnet攻击,2011年全球化工行业被Nitro窃取数据,2012年中东能源行业被Shamoon擦写硬盘数据和主引导记录等等。
1 2 下页