盡管對(duì)于工控系統(tǒng)的網(wǎng)絡(luò)安全觀念日益提升，但是依舊有許多IT安全模式堅(jiān)守著其過(guò)時(shí)的觀念：物理隔離系統(tǒng)和通過(guò)隱匿來(lái)實(shí)現(xiàn)安全已經(jīng)足夠了。然而，事實(shí)并非如此。

這里我們列舉了商業(yè)工控系統(tǒng)中常見的五個(gè)神觀點(diǎn)，大致可以解釋為什么傳統(tǒng)空氣隔絕和以網(wǎng)絡(luò)安全為基礎(chǔ)的方法不足以保護(hù)工業(yè)系統(tǒng)。

神觀點(diǎn)之一：我們的工業(yè)自動(dòng)系統(tǒng)沒有與互聯(lián)網(wǎng)相連，因此它們很安全

工業(yè)控制系統(tǒng)（ICS）平均有11個(gè)與互聯(lián)網(wǎng)的直接連接。如果你認(rèn)為自己是一個(gè)例外，還是再次核實(shí)一下吧。

在一個(gè)針對(duì)主流能源公司的內(nèi)部調(diào)查中發(fā)現(xiàn)，大多數(shù)公司管理層認(rèn)為控制系統(tǒng)是不與業(yè)務(wù)網(wǎng)絡(luò)連接，而一份統(tǒng)計(jì)結(jié)果顯示89%的系統(tǒng)實(shí)際上是聯(lián)網(wǎng)的。更重要的是，業(yè)務(wù)網(wǎng)絡(luò)安全只是針對(duì)通用業(yè)務(wù)流程，并不對(duì)關(guān)鍵流程系統(tǒng)進(jìn)行保護(hù)。公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間存在多層連接類型，其中包括內(nèi)部網(wǎng)絡(luò)、直接網(wǎng)絡(luò)連接、無(wú)線和撥號(hào)調(diào)制解調(diào)器等。

這種不完整的安全防護(hù)會(huì)讓你門戶大開。以“Slammer”蠕蟲為例，它影響了重要的基礎(chǔ)設(shè)施，例如應(yīng)急服務(wù)器、空中交通管制系統(tǒng)以及ATM機(jī)等，實(shí)現(xiàn)了在三分鐘內(nèi)以每秒5500萬(wàn)的全速掃描——這一切當(dāng)然要多虧了互聯(lián)網(wǎng)。諷刺的是，唯一讓它減速的原因是滲透時(shí)缺乏網(wǎng)絡(luò)帶寬，其中包括：

·美國(guó)俄亥俄州戴維斯-貝斯核電站的計(jì)算機(jī)和系統(tǒng)顯示由一個(gè)承包商T1線路感染了病毒，導(dǎo)致其安全監(jiān)控離線長(zhǎng)達(dá)五個(gè)小時(shí)。·北美店里可信委員會(huì)發(fā)現(xiàn)，Slammer通過(guò)一個(gè)連接到遠(yuǎn)程電腦上的VPN感染了電氣公司的系統(tǒng)。而這些計(jì)算機(jī)是怎樣被感染的呢？是通過(guò)公司網(wǎng)絡(luò)，蠕蟲病毒大肆傳播，阻塞了SCADA（數(shù)據(jù)采集和監(jiān)控系統(tǒng)）的流量。·攻擊者通過(guò)感染員工筆記本電腦，入侵了美國(guó)哈里斯堡水處理廠系統(tǒng)，遠(yuǎn)程訪問了SCADA的人機(jī)界面，同時(shí)還安裝了惡意軟件和間諜軟件。

神觀點(diǎn)之二：我們已經(jīng)裝了防火墻，因此我們不會(huì)受到外部威脅

不可否認(rèn)，防火墻提供了一定程度的保護(hù)，但是它們不是刀槍不入的。一項(xiàng)研究調(diào)查了來(lái)自金融、能源、電信、媒體以及汽車公司的37種防火墻，結(jié)果顯示：

·接近80%允許“任意”服務(wù)對(duì)防火墻和控制區(qū)的入站規(guī)則和無(wú)擔(dān)保訪問；·接近70%允許外圍網(wǎng)絡(luò)設(shè)備訪問和管理防火墻。

神觀點(diǎn)之三：黑客不知道什么是SCADE/DCS/PLC（數(shù)據(jù)采集與監(jiān)控系統(tǒng)/集散控制系統(tǒng)/可編程邏輯控制器）

這些日子以來(lái)，SCADA和程序控制系統(tǒng)頻繁成為黑客“黑帽大會(huì)”的熱門議題。當(dāng)然因?yàn)橛胁诲e(cuò)的理由：每個(gè)賣給有組織犯罪團(tuán)伙的0day漏洞利用可高達(dá)8萬(wàn)美元，網(wǎng)絡(luò)犯罪最終變得非常有利可圖。

如果你不認(rèn)為黑客對(duì)你的工控系統(tǒng)感興趣，或是他們有能力攻擊你的系統(tǒng)。那么，你或許應(yīng)該重新思考一下這個(gè)問題，原因如下：

·目標(biāo)蠕蟲和其他漏洞利用已經(jīng)根據(jù)特定的應(yīng)用程序或者目標(biāo)進(jìn)行剪裁。·現(xiàn)有的SCADA規(guī)格可以很輕松地在線購(gòu)買或者訪問。這些都是很好的黑客讀物，幫助他們更好的理解這些東西。·Shodan搜索引擎讓定位全球范圍內(nèi)不安全的工業(yè)設(shè)備和系統(tǒng)變得輕而易舉。罪犯對(duì)此再清楚也不過(guò)了，許多情況下這些設(shè)備仍在運(yùn)行當(dāng)中，還使用著如“admin”和“1234”這樣的通用密碼和登錄信息。·Basecamp項(xiàng)目、Nessu插件以及Metasploit模塊都有助于進(jìn)行滲透測(cè)試——但同時(shí)也可以用來(lái)犯罪。

神觀點(diǎn)之四：我們的設(shè)施不會(huì)成為目標(biāo)

這是個(gè)非常危險(xiǎn)的想法。即使我們將事實(shí)一一例舉，可能你也無(wú)法理解這二者間為什么沒有關(guān)聯(lián)。

首先，你的組織并不需要成為攻擊的目標(biāo)，就可以當(dāng)受害者——80%的控制系統(tǒng)事故屬于意外，但仍有害。舉個(gè)例子，Slammer旨在攻擊全球范圍中盡可能多的全球系統(tǒng)。它并不專門針對(duì)能源公司或者緊急服務(wù)進(jìn)行攻擊，但是會(huì)對(duì)許多公司產(chǎn)生巨大的影響。

其次，許多系統(tǒng)已經(jīng)暴露于攻擊之下，這一切都要多虧它們運(yùn)用的不安全操作系統(tǒng)。卡巴斯基曾做過(guò)的調(diào)查顯示，越來(lái)越多運(yùn)行了SCADA軟件的電腦遭遇相同的惡意軟件時(shí)影響業(yè)務(wù)系統(tǒng)（IT），其中包括但不僅限于眾所周知的木馬、病毒、蠕蟲、PUP以及其他一些針對(duì)Windows操作系統(tǒng)的漏洞利用。

卡巴斯基研究顯示了許多工業(yè)用電腦感染了影響商業(yè)系統(tǒng)的相同惡意程序：

　　神觀點(diǎn)之五：外部安全系統(tǒng)可以保護(hù)我們免受傷害

這是我們還存有技術(shù)的部分，但重要的是清楚一點(diǎn)：現(xiàn)有的大多數(shù)安全系統(tǒng)都存在技術(shù)缺陷。

這里列舉了一些當(dāng)前系統(tǒng)存在的主要問題：

·IEC 61508認(rèn)證（SIL）評(píng)估結(jié)果為不安全。·現(xiàn)代SIS是基于微型處理器的，通過(guò)一臺(tái)Windows個(gè)人電腦便能配置可編程系統(tǒng)。·以太網(wǎng)通信使用了不安全的通信協(xié)議（Modbus TCP、OPC.），已經(jīng)是集成控制和安全系統(tǒng)司空見慣的“漏洞”。·許多SIS通信接口模塊運(yùn)行內(nèi)置的操作系統(tǒng)和以太網(wǎng)存在很多已知漏洞。·LOGIIC SIS 項(xiàng)目（ICSJWG）：SIS-ICS集成增加了風(fēng)險(xiǎn)，默認(rèn)配置并不安全。

那么，我們能做什么呢？

為了在以流程為中心、高利用性的工業(yè)控制環(huán)境中成功抵御攻擊，安全系統(tǒng)應(yīng)該滿足特定的需求。

盡管空氣隔絕和基于安全考量的方式是重要的第一道安全防線，而針對(duì)周邊、非常脆弱的系統(tǒng)以及淪為目標(biāo)設(shè)備的保護(hù)，也必須加以實(shí)施。

隨著包括有針對(duì)性攻擊和APT攻擊在內(nèi)的網(wǎng)絡(luò)犯罪活動(dòng)越來(lái)越多，當(dāng)這些攻擊活動(dòng)在頻率和復(fù)雜程度都上升之際，安全系統(tǒng)應(yīng)該受到持續(xù)檢測(cè)和反復(fù)評(píng)估。而無(wú)論你對(duì)于工控系統(tǒng)抱有怎樣的信仰，一旦你堅(jiān)守信念，就該得到相同的對(duì)待。