工控蠕蟲病毒威脅企業(yè)將如何應對

    21世紀是信息化時代。對石油化工等制造業(yè)而言，以震網(wǎng)蠕蟲為代表的木馬、病毒等對工業(yè)自動化生產(chǎn)安全帶來了*威脅，因此工業(yè)控制系統(tǒng)的安全成為信息化時代企業(yè)安全生產(chǎn)的重中之重。調(diào)查報告顯示，在工業(yè)信息安全產(chǎn)品應用領域中，石油化工占比zui多，達34%，其中油氣占13%、石化占11%、化工占10%;而在工控系統(tǒng)防火墻產(chǎn)品應用領域中，石油化工占比更高達76%，其中油氣占25%、石化占37%、化工占14%。那么，目前我國石油和化工行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀如何?面臨的安全挑戰(zhàn)有哪些?我們又該如何應對?對此，中國化工報記者進行了深入采訪。

工控系統(tǒng)安全不容忽視

國家網(wǎng)絡與信息安全技術研究所副所長許俊峰指出，保護工控系統(tǒng)之所以引起高度重視，是因為工控安全所面臨的風險有急劇擴大的趨勢。zui初的工控系統(tǒng)，被設計為獨立封閉的系統(tǒng)，其安全風險主要是設備運行的穩(wěn)定、操作合理性等問題。但是，隨著系統(tǒng)規(guī)模及相應系統(tǒng)的融合，商用管理軟件也被廣泛使用，這使得傳統(tǒng)互聯(lián)網(wǎng)中的攻擊手段可能被應用于工控系統(tǒng)。

*軟件研究所可信計算與信息保障實驗室副主任蘇璞睿也表示，工業(yè)控制系統(tǒng)的廣泛應用使其成為網(wǎng)絡攻擊的焦點。和傳統(tǒng)網(wǎng)絡相比，對工業(yè)控制系統(tǒng)的攻擊將對現(xiàn)實社會造成破壞，其破壞性更直接。未來，針對工業(yè)控制系統(tǒng)的攻擊將越來越頻繁，越來越普遍。震網(wǎng)雖然在國內(nèi)尚未有發(fā)作記錄，但其潛在威脅不容忽視，它讓業(yè)內(nèi)人士認識到工業(yè)控制系統(tǒng)面臨的安全威脅。

信息安全已經(jīng)上升到國家戰(zhàn)略高度。有專家表示，目前掌握的信息都表明，震網(wǎng)蠕蟲的開發(fā)是一種國家行為。從其采用的技術手段而言，與其所用到的windows系統(tǒng)的漏洞或工控系統(tǒng)的漏洞是普通的個人或一般網(wǎng)絡黑客組織所不具備的。而對安全保障專家而言，震網(wǎng)也是目前網(wǎng)絡戰(zhàn)zui成功、zui典型的代表。其原理是通過蠕蟲在互聯(lián)網(wǎng)傳播，不需要借助特工，通過病毒自由傳播、搜集目標進行攻擊。雖然其研發(fā)成本很高，但攻擊成本很低且較易實現(xiàn)。

海天煒業(yè)總劉安正以公司自身的發(fā)展舉例說，在自動化系統(tǒng)運維過程中可以發(fā)現(xiàn)，信息安全問題已經(jīng)愈來愈嚴重。有的企業(yè)影響了生產(chǎn)，造成了停車;有的企業(yè)雖然沒有影響停車，但生產(chǎn)安全穩(wěn)定運行已經(jīng)存在*的隱患。據(jù)劉安正介紹，大型流程工業(yè)的工控系統(tǒng)很多中過病毒，此前已發(fā)生過某煉化壓縮機速度異常降低、某石化芳烴裝置中蠕蟲病毒、某煉化公司硫黃裝置因類似原因停車等多起事故。

因此，兩化融合下的信息安全隱患應予以重視。齊魯石化公司勝利煉油廠自動化信息所所長王永昌認為，隨著石化行業(yè)信息化的不斷深入、精細化管理的需求，特別是智能工廠的即將實施，都離不開及時了解現(xiàn)場信息，管控結(jié)合就成為必然趨勢，DCS控制系統(tǒng)與外界不再隔離。控制網(wǎng)絡和信息網(wǎng)絡之間廣泛采用OPC通信技術。此外，*過程控制(APC)也需要OPC技術建立通訊。

然而，目前常用的OPC通訊隨機使用1024~65535中的任意端口，采用傳統(tǒng)IT防火墻進行防護配置時，被迫需要開放大量端口，形成嚴重的安全漏洞;同時，OPC的訪問權(quán)限過于寬松，任意網(wǎng)絡中的任意計算機都可以運行OPC中的服務;且OPC使用的Windows的DCOM和RPC服務極易受到攻擊。普通IT方后勤無法實現(xiàn)工業(yè)通訊協(xié)議的過濾，網(wǎng)絡中某個操作站/工程師站感染病毒，會馬上傳播到其他計算機，造成所有操作站同時故障，嚴重時可導致操作站失控甚至停車。

王永昌表示，僅靠目前現(xiàn)有的安全防護措施，已經(jīng)不能滿足石油化工行業(yè)信息安全的需求。他告訴中國化工報記者，2010年4月23日，齊魯石化SSOT裝置四臺操作站同時報警，連接不到服務器，同時發(fā)現(xiàn)服務器運行速度非常慢，無法正常關機重啟，斷電重啟后服務器及各操作站運行正常。此后幾天連續(xù)出現(xiàn)反復，并造成數(shù)據(jù)丟失。技術人員在對各服務器、操作站系統(tǒng)打補丁時發(fā)現(xiàn)了病毒。“采用傳統(tǒng)的黑名單方式進行病毒和攻擊阻斷，會產(chǎn)生滯后，勢必對生產(chǎn)造成影響，而且要持續(xù)對病毒庫進行更新，所以企業(yè)希望有一種更好的防護方式。”王永昌說。