工业控制系统面临安全新挑战

　　导读：据国外媒体报道，德国西门子公司(Siemens AG)13日表示，一个旨在攻击西门子制造的工业控制系统的计算机病毒已基本得到控制。该计算机病毒攻击的工业控制系统用于监控电网和其他关键基础设施，此次事件给政府和私营部门敲响了“防范病毒攻击”的警钟。为应对全球信息通信网络安全的演进趋势和挑战，有效保障我国的网络信息安全，近日，工业和信息化部互联网网络安全应急专家组在京成立，为互联网网络安全应急管理工作提供技术咨询和决策支撑。

　　病毒首次攻击大型工业控制系统

　　这个攻击西门子工业控制系统的病毒被称为“Stuxnet”，该病毒会传播到插入电脑USB接口的设备中，并从中窃取数据。这是骇客首次尝试入侵大型工业电脑系统病毒，而这些病毒疑似来自台湾。

　　据悉，Stuxnet病毒利用微软Windows作业系统漏洞，透过USB散布病毒，专门锁定西门子生产的工业控制系统，并试图窃取系统内的资料。

　　分析人士表示，6月份首次监测到该计算机病毒对工业计算机系统发起了一次大规模的攻击，而这些计算机系统主要用于监控自动工厂、单位、核电站、水处理系统等。自动化企业长期的赢利前景使得一些黑客逐渐向工业领域参透，把工业控制系统作为攻击的目标。

　　截至目前为止，西门子全球客户只有9家已侦测到该病毒，且没有客户蒙受损失。

　　传统安全技术正日益失去作用

　　在工厂生产和商业系统间发展网络安全是项复杂的任务，以至于大多数IT和自动化部门都在犹豫是否要进行此项任务。IT部门可能不熟悉复杂的工业系统，任何错误都会对生产起到反作用。从工业自动化的前景和与IT安全的挑战来看，自动化部门宁可选择独立运行，在这些系统中留下通信“缺口”。

　　现在能结合工业计算机使用的安全技术可谓多种多样。但是几乎所有的安全技术，不论是基于硬件还是基于软件，都有一个相同的缺陷：要实现这些技术的话，必须对系统进行改动。然而这正是工业环境下应不惜一切代价予以避免的问题。

　　对于基于硬件的系统(如路由器、桥接器)而言，其缺点便是往往可通过其网络IP地址被予以识别，因此，很容易受到攻击。特别是在许多系统中，为了让数据传输不成问题，标准端口通常是开放的。而基于软件的解决方案由于不兼容，它们无法在某些专有操作系统上运行。

　　目前的杀毒软件更新程序比较复杂，需要大量的人力和财力。它们通常不能集成到使用老的处理器技术的系统中，因为这些解决方案缺少必要的性能。更别提那些需要经常更新的软件，否则，病毒会通过新发现的安全漏洞不断轻易攻击操作系统。

　　幸运的是，已经出现了新的解决方法。例如，OPC能够利用隧道技术使其在不同的系统和防火墙间工作。类似于虚拟专用网络(VPN)和点对点隧道协议(PPTP)，OPC隧道将数据有效载荷封装入另一协议中。从隧道外看，它就像是数据流，但是，在数据流内却是非常重要的产品数据。隧道技术也能够利用端口限制、用户认证和数据流加密来克服大多数IT安全缺陷。