關于工控系統(tǒng)網絡的四大誤區(qū)

盡管人們在防范工控系統(tǒng)網絡攻擊方面的意識在逐漸加強，但是現有的很多網絡安全防護框架仍然依賴于過時的安全性理念，即物理上獨立的網絡系統(tǒng)是足夠安全的、通過信息隱匿的方式可有效地防護網絡威脅等。目前，關于工控網絡系統(tǒng)安全主要存在四大誤區(qū)。

誤區(qū)1：工控自動化系統(tǒng)沒有和互聯(lián)網連接，所以足夠安全

一項在某代表性能源公司內部進行的調查顯示，大部分的管理部門認為公司內的控制系統(tǒng)并沒有連接互聯(lián)網，然而，調查和審計顯示89%的控制系統(tǒng)是聯(lián)網的。

另外，工控網絡系統(tǒng)有時在企業(yè)網絡和互聯(lián)網之間采用多種連接類型，包括內部連接、直連、無線連接以及撥號連接。這些拼湊型的網絡連接方式使得工控系統(tǒng)非常開放。以Slammer蠕蟲病毒為例，該蠕蟲可在3秒內以全掃描速度（55million/秒）攻擊多種類的基礎設施，例如緊急服務、空管系統(tǒng)、ATM等。這正是由于互聯(lián)網的開放性能而致。然而，諷刺的是唯一減緩蠕蟲病毒攻擊速率的卻是網絡帶寬。

誤區(qū)2：工控網絡安裝了防火墻，足夠抵抗外界威脅

防火墻為工控網絡系統(tǒng)提供了一定程度的安全防護，然而，這不能使得工控系統(tǒng)無懈可擊。在一項針對金融、能源、通信、媒體行業(yè)使用的37種防火墻進行調研中，人們發(fā)現：（1）大約80%的防火墻是允許入站規(guī)則內的“一切”服務，包括不安全的訪問侵入防火墻和非保護區(qū)域；（2）大約70%的防火墻允許網絡外圍的設備訪問并控制防火墻。

誤區(qū)3：黑客無法理解SCADA/DCS/PLC

近期，SCADA和處理控制系統(tǒng)成為了黑帽技術大會（Black Hat）的共同主題。對于黑客們來說，網絡犯罪是非常有利可圖的。例如，幾乎不耗周期的一次攻擊獲取的信息可以80k美元賣給犯罪組織。同時，由于以下原因，黑客逐漸具有了攻擊工控系統(tǒng)的能力。

（1）不少蠕蟲病毒都是為特定的目標和應用量身定制的。（2）現有的SCADA規(guī)范可以隨處購買或從網絡上獲取，這也為黑客在一定程度上理解SCADA規(guī)范提供了便利。（3）Shodan搜索引擎很容易定位不安全的工控設備和系統(tǒng)，同時，很多被攻擊的系統(tǒng)仍采用低安全系數的用戶名和密碼，例如“windows”，“123456”。

誤區(qū)4：我們的設備不會成為目標

這是一個很危險的意識。首先，我們的系統(tǒng)并不是一定會成為攻擊目標，但是會變成受害者。80%的工控網絡安全事件都是無意中發(fā)生的，卻是極具危害性。仍以Slammer蠕蟲病毒為例，該病毒目的在于盡可能多地擊倒所有網絡系統(tǒng)中的所有設備，而并不是針對性地襲擊某個能源公司或者緊急設備。然而，該病毒的侵入對這些緊急設備造成了重要危害。另外，由于很多工控系統(tǒng)基于不安全的操作系統(tǒng)，使得這些工控系統(tǒng)很容易暴露在網絡攻擊中。

所以，針對工控網絡安全防護，我們可以做些什么？為了抵抗工控網絡攻擊，安全防護系統(tǒng)需要符合特定的要求。其中，基于網絡邊界的防護方法是工控網絡安全的第一道重要防線。另外，人們必須對網絡內的脆弱系統(tǒng)和易成為攻擊目標的設備進行安全防護。由于網絡安全犯罪活動的頻率和復雜度不斷增長，工控網絡安全防護系統(tǒng)必須進行持續(xù)審查和重新評估，任何關于工控網絡安全的固定認知也需要不斷的更新或改變。