工控系统面对安全挑战 理解误区待改变

　　2012年5月底，多家网络安全供应商发出安全警告，一种名为火焰（Flame）的恶意间谍软件已在中东和北非部分地区大范围传播，该木马病毒已经或即将造成的巨大危害不容忽视。早在半年前，迈克菲（McAfee）在其发布的《2012年威胁预测报告》中展望了2012年的十大安全威胁，其中工业系统面临的安全威胁位居首位，很重要的一个原因就是很多工业控制系统尚未做好应对网络攻击的准备。

　　工业控制系统所面临的信息安全威胁

　　2012年5月底，多家网络安全供应商发出安全警告，一种名为火焰（Flame）的恶意间谍软件已在中东和北非部分地区大范围传播，该木马病毒已经或即将造成的巨大危害不容忽视。据报道，联合国电信联盟官员也表示，火焰病毒是危险的间谍工具，可能用来攻击重要的基础设施，并拟就其危險性向成员国发出强烈警告。鉴于其表现出来的特征，许多安全专家宁愿称其为病毒武器，与普通的病毒不同，病毒武器并不以普通用户为对象，而是针对企业，工厂，政府等重要设施。

　　初步研究表明，火焰与2011年发现的Duqu很相似，都是以收集和盗窃目标的机密信息为目的，为了实现这一目标，它能够使出秘密录音、自动截屏，记录用户敲击键盘等各种手段盗窃重要工业数据。但与Duqu不同的是，Flame更加复杂，并具有显著的差异。火焰代码是模块化的、可扩展和可更新的，并将结果和其他重要文件发送给远程操控病毒的服务器。其隐蔽性特点也非常引人注目，当感染已被反病毒程序保护的计算机时，火焰会停止进行某种行动或执行恶意代码，因为这可能引起安全应用程序进行主动检测，这意味着该病毒可以潜藏很久。而且一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。

　　由于病毒利用微软加密算法的漏洞，将病毒伪装成微软签名文件进行传播，可以成功骗过绝大多数杀毒软件，微软官方已正式发布KB2718704补丁修补签名漏洞。霍尼韦尔安全更新认证小组（SUIT）技术人员已验证了KB2718704与霍尼韦尔系统的兼容性，并发出安全警告，希望用户尽快安装该操作系统补丁。

　　Honeywell’sSecurityUpdateInvestigationTeam（SUIT）

　　到面前为止，火焰似乎主要针对部分中东和北非国家，据报道火焰已感染了伊朗、黎巴嫩、叙利亚、苏丹以及其他中东和北非国家的相应目标计算机系统。在中国，已有截获该病毒的报告，瑞星已发布红色安全警报，并特别提醒广大企事业单位、政府部门，应高度重视此病毒，积极做好相对应的安全防范工作。

　　在火焰之前，另一著名案例是2010年发现的被称为世界“首枚数字弹头”的超级工厂病毒（Stuxnet），该病毒也被称为震网，当年伊朗大约3万个互联网终端和布什尔核电站员工个人电脑被超级工厂病毒感染，造成大量离心机停转或损坏。这种蠕虫程序专门针对广泛应用于伊朗基础设施的德国西门子公司工业控制系统，利用操作系统和WinCC系统的漏洞，通过感染控制软件Step7可以实现恶意修改控制程序的目的。从此案例，可以断定那种认为控制协议的私密性特点足以防范网络攻击的观点已不合时宜。