全球工业系统的安全形势已经是危机四伏。该领域代表性企业西门子公司的产品必然是攻防双方的一个重点战场。在8月6日的Black Hat USA大会上，安全专家Dillon Beresford介绍了在西门子公司工业控制系统中发现更多漏洞的情况，这些漏洞包括复活节彩蛋、可用于发起远程拒绝服务攻击的漏洞，甚至是管理账号和密码硬编码漏洞。

    应当指出，在2010年的震网（Stuxnet）蠕虫事件中，将用户名和口令硬编码到应用程序中的问题已经出现在了西门子公司的WinCC产品中，并成为震网蠕虫攻击的重要环节。这种不符合基本开发规范的编码实现，也意味着攻击者一旦发现并利用，就可以通吃通杀，而防守方却无法彻底解决问题。

    震网蠕虫事件时，我们曾指出数据、配置、代码三分开也是工控系统开发的基本原则。但可以看到，西门子公司并未对相关问题做出调整。这似乎表明西门子公司仍然用产品私密性来保障其体系的安全。他们是否还以为，将更多权限开放给用户并不是应对安全问题的有效方法，而只会给自己带来更多麻烦？如果西门子公司没有其他层面的蓄意，我们只能认为其安全观是落后的。

    在8月召开的中国计算机网络安全年会上，组织者出于对工控问题的重视，无论是在高峰论坛还是在专题技术报告均安排了西门子公司发言。但西门子公司却将此视为危机公关的机会。

    概括其主旨观点，就是“微软的漏洞太多，震网蠕虫作者手段太高超，我们已经做出了响应，所以我们没有任何责任”。至于西门子公司工控系统的漏洞问题，以及对全局问题的总结和反思，则丝毫未谈。这种推卸责任的态度让很多在场的安全界同行愤愤不平。

    在国内，CNVD（国家信息安全漏洞共享平台）对工控系统漏洞的及时通报、电力科学研究院的相关标准研究、国内安全企业对震网蠕虫的跟进分析等，也让我国的工控安全事业有了一个自己的起点。

    从全球范围看，目前对工控安全的研究已经从最初对终端系统和应用软件的漏洞挖掘开始向软硬件结合和工控体系安全的方向扩展。今年3月，Ruben Santamarta在RootedCon作了题为SCADA Trojans: Attacking the Grid的技术报告，他对电力体系的理解之深刻，让我一位多年从事硬件研发的同事赞叹不已。工业控制系统的基础设施依然是复杂而昂贵的，如果国内安全厂商在平时不能对这些场景做构建等准备，一旦出现安全事故再进场，必然十分茫然。

   在这一领域，我们需要感谢US-CERT的工业控制系统安全小组，他们分析整理了大量相关漏洞信息，其简报也是该领域最为系统的聚合信息之一。美国国家标准和技术研究所发布的《工业控制系统安全指南》和《工业控制系统反病毒软件指南》等也是值得研究参考的文献。美国能源局、特情局、国家实验室等也纷纷开通专题网站、发布研究报告，对此问题的重视程度可见一斑。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。