据国外媒体报道,德国西门子公司(Siemens AG)13日表示,一个旨在攻击西门子制造的工业控制系统的计算机病毒已基本得到控制。该计算机病毒攻击的工业控制系统用于监控电网和其他关键基础设施控制工程网版权所有,此次事件给政府和私营部门敲响了“防范病毒攻击”的警钟。为应对全球信息通信网络安全的演进趋势和挑战,有效保障我国的网络信息安全,近日CONTROL ENGINEERING China版权所有,工业和信息化部互联网网络安全应急专家组在京成立,为互联网网络安全应急管理工作提供技术咨询和决策支撑。
病毒攻击工业控制系统
病毒首次攻击大型工业控制系统
这个攻击西门子工业控制系统的病毒被称为“Stuxnet”,该病毒会传播到插入电脑USB接口的设备中,并从中窃取数据。这是骇客首次尝试入侵大型工业电脑系统病毒,而这些病毒疑似来自台湾。
据悉,Stuxnet病毒利用微软Windows作业系统漏洞,透过USB散布病毒,专门锁定西门子生产的工业控制系统,并试图窃取系统内的资料。
分析人士表示,6月份首次监测到该计算机病毒对工业计算机系统发起了一次大规模的攻击,而这些计算机系统主要用于监控自动工厂、单位、核电站、水处理系统等。自动化企业长期的赢利前景使得一些黑客逐渐向工业领域参透,把工业控制系统作为攻击的目标。
截至目前为止,西门子全球客户只有9家已侦测到该病毒,且没有客户蒙受损失。
传统安全技术正日益失去作用
在工厂生产和商业系统间发展网络安全是项复杂的任务,以至于大多数IT和自动化部门都在犹豫是否要进行此项任务。IT部门可能不熟悉复杂的工业系统,任何错误都会对生产起到反作用。从工业自动化的前景和与IT安全的挑战来看,自动化部门宁可选择独立运行,在这些系统中留下通信“缺口”。
现在能结合工业计算机使用的安全技术可谓多种多样。但是几乎所有的安全技术,不论是基于硬件还是基于软件,都有一个相同的缺陷:要实现这些技术的话,必须对系统进行改动。然而这正是工业环境下应不惜一切代价予以避免的问题。
对于基于硬件的系统(如路由器、桥接器)而言,其缺点便是往往可通过其网络IP地址被予以识别,因此,很容易受到攻击。特别是在许多系统中,为了让数据传输不成问题,标准端口通常是开放的。而基于软件的解决方案由于不兼容,它们无法在某些专有操作系统上运行。
目前的杀毒软件更新程序比较复杂,需要大量的人力和财力。它们通常不能集成到使用老的处理器技术的系统中,因为这些解决方案缺少必要的性能。更别提那些需要经常更新的软件,否则,病毒会通过新发现的安全漏洞不断轻易攻击操作系统。
幸运的是,已经出现了新的解决方法。例如,OPC能够利用隧道技术使其在不同的系统和防火墙间工作。类似于虚拟专用网络(VPN)和点对点隧道协议(PPTP),OPC隧道将数据有效载荷封装入另一协议中。从隧道外看,它就像是数据流,但是,在数据流内却是非常重要的产品数据。隧道技术也能够利用端口限制、用户认证和数据流加密来克服大多数IT安全缺陷。
急需构建自动化系统的安全平台
许多工业计算机运行的是专有操作系统。人们常认为这些计算机比较安全,因为操作人员认为黑客没有兴趣将“恶意代码”植入这些少数系统中。因此,系统中的一些安全漏洞常常不为人所知,很少有人想过如何屏蔽攻击,如何应对现今流行的众多病毒、蠕虫或特洛伊木马。
现在,较新的生产机器通常运行是的像Windows、以太网、TCP/IP和HTTP等标准。随着公司范围内联网性不断提高,这些类系统才更容易遭受来自网络的安全威胁。例如,对工业机器人进行维护期时,中央工业计算机经常会在无意间感染来自维修技术人员笔记本电脑的“恶意代码” ,所导致的损害可能非常巨大。
因此,生产部门和IT部门需要同时确保各自系统的安全性和可用性,必须防止病毒、蠕虫以及来自网络的其他攻击——高危目标。
“今天的自动化技术有本征的缺陷”,中国机电一体化技术协会专家委员会主任丁未表示,现在的自动化技术领域只有面向功能的算法,没有支撑功能的安全算法平台。这里指的安全算法不是信息领域中的加密、解密技术CONTROL ENGINEERING China版权所有,而是指为了保障功能集合的安全结构。
我国工业系统安全基础薄弱
现代工业控制系统包括过程控制、数据采集系统(sCaDa),分布式控制系统(DCB},程序逻辑控制(PLC以及其他控制系统等,口前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域,成为国家关键基础设施的重要组成部分,关系到国家的战略安全。
相关文献指出,国家关键基础所依赖的很多重要信息系统从技术特征上讲是工CS,而不是传统上的TCP/工P网络,其安全是国家经济稳定运行的关键,是信息战中敌方的重点攻击日标,攻击后果极其严重。
与传统的基于TCP/工C协议的网络与信息系统的安全相比,我国工CS的安全保护水平明显偏低,长期以来没有得到关注。随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时,也带来了工CS的安全问题,如木马、病毒、网络攻击造成信息泄露和控制指令篡改等。
据安全专家介绍,可能导致工Cs安全事件的因素有:控制系统发生拒绝服务;对PLC, DCS或SCADA中可编程指令进行非授权修改控制工程网版权所有,使报警门限值改变,或使设备本身发生破坏;向控制系统的操作员发生虚假信息,使操作员采取错误动作;修改控制系统的软件或配置设置;系统中被引入了恶意软件(例如病毒、蠕虫、特洛伊木马等)。
尽管工CS发生安全事故要比互联网上的攻击事件要少,但是由于工CS的特殊性,每一次事件,都代表着广大人群的生活、生产受到巨大影响,经济遭受重大损失甚至倒退。
信息化安全建设进入防护阶段
其实,我国一直注重信息化安全建设。近年来,我国颁布了《国家信息安全标准体系》、《国家信息安全“十一五”规划》等指导性文件,进行信息化安全建设,并取得了阶段性成果。
据全国信息安全标准化技术委员会主任委员曲维枝介绍,信息安全标准在信息安全保障体系建设中发挥着基础性、规范性作用,是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范、技术依据。没有信息安全标准www.cechina.cn,信息化建设的安全可靠就无法保证。
随着“三网融合”和“两化融合”的进程已经取得阶段性进展,以及网络IP化、电信全业务运营的深入、客户信息安全意识的提升,社会和经济运行对通信服务质量的要求正在不断提高。为应对全球信息通信网络安全的演进趋势和挑战,有效保障我国的网络信息安全,工信部在全国政协十一届二次会议关于“加快中国网络信息安全立法”的提案答复中表示,要争取尽快使《中华人民共和国信息安全条例》进入立法程序,早日出台。这标志着我国的信息安全建设正在从基础设施层面的网络安全保障阶段,进入到通过立法保障网络用户权益不受侵害的应用层面,即:信息安全防护阶段。
近日CONTROL ENGINEERING China版权所有,工业和信息化部互联网网络安全应急专家组在京成立。根据工业和信息化部2009年颁布的《公共互联网网络安全应急预案》相关规定,工信部组织成立互联网网络安全应急专家组,为互联网网络安全应急管理工作提供技术咨询和决策支撑。