近日，全球知名的高性能Web2.0安全解決方案領(lǐng)導(dǎo)廠商與高端Web安全設(shè)備提供商----WedgeNetworks（穩(wěn)捷網(wǎng)絡(luò)）宣布，基于公司BeSecureWeb安全網(wǎng)關(guān)成功構(gòu)建了對大型企業(yè)用戶自動化基礎(chǔ)設(shè)施的全面保護(hù)方案，利用創(chuàng)新的三點(diǎn)原則，提供對Stuxnet等針對工控系統(tǒng)惡意軟件的完整防護(hù)。據(jù)悉，隨著越來越多的全球性大型企業(yè)將其自動化系統(tǒng)Web化，已經(jīng)帶來嚴(yán)重安全隱患，而穩(wěn)捷網(wǎng)絡(luò)公司提供的Web安全保護(hù)方案將會發(fā)揮不可估量的資產(chǎn)安全保護(hù)價(jià)值。

工控系統(tǒng)不再安全

當(dāng)前，人們的生活已經(jīng)大量依靠周圍的電子設(shè)備。因此，在美國出現(xiàn)的對工業(yè)控制系統(tǒng)的首次信息安全攻擊并不令人感到意外。目前，此次攻擊的始作俑者-Stuxnet惡意軟件已經(jīng)在全球媒體上引發(fā)了巨大關(guān)注。事實(shí)上，在這次攻擊事件發(fā)生的幾小時(shí)之后，互聯(lián)網(wǎng)上就已經(jīng)公布了相關(guān)的鏈接。

這個(gè)鏈接提供了對Stuxnet惡意軟件的更多信息。該惡意軟件通過用戶的USB驅(qū)動器進(jìn)入控制系統(tǒng)，攻擊目標(biāo)是一個(gè)運(yùn)行在Windows平臺上被稱為SimaticWinCC的西門子SCADA系統(tǒng)。一旦這臺機(jī)器被感染，木馬就開始檢測是否該機(jī)器在使用西門子的SimaticWinCC軟件。然后，它會用一個(gè)用硬編碼寫入軟件的默認(rèn)密碼進(jìn)入控制系統(tǒng)的微軟SQL數(shù)據(jù)庫。

需要注意的是，目前全球很多頂級信息安全媒體都表達(dá)了對此類惡意軟件危害的擔(dān)憂。舉例來看，2010年在所謂的曙光計(jì)劃（AuroraProject）中，一個(gè)隸屬于美國政府的研究人員演示了通過網(wǎng)絡(luò)傳輸?shù)膼阂庵噶钍侨绾握?7噸重的發(fā)電機(jī)并造成巨大損失的。從這個(gè)意義上講，具有安全意識的人很容易將這些線索連接起來。

SCADA系統(tǒng)、Sensor網(wǎng)絡(luò)、自動化過程控制設(shè)備……顯然，除了常見的IT系統(tǒng)外，還有許多"機(jī)器對機(jī)器系統(tǒng)"，但保障它們的安全卻是一個(gè)難題。就拿Stuxnet來說，因?yàn)镾CADA系統(tǒng)不在互聯(lián)網(wǎng)上，所以要想實(shí)現(xiàn)及時(shí)的安全更新就變得很困難。

穩(wěn)捷提出三點(diǎn)原則

再比如AuroraProject，發(fā)電機(jī)是由一個(gè)計(jì)算能力非常有限的內(nèi)嵌系統(tǒng)控制提供諸如防火墻和反惡意軟件的自我保護(hù)?；ヂ?lián)網(wǎng)提供的出色性價(jià)比和便利性，促使當(dāng)前越來越多的設(shè)計(jì)人員把"機(jī)器對機(jī)器系統(tǒng)"Web化，顯而易見在未來會有更多的安全問題由此產(chǎn)生。

企業(yè)用戶如何才能保護(hù)關(guān)鍵的基礎(chǔ)設(shè)施不受諸如Stuxnet的惡意軟件攻擊呢？首先，要嚴(yán)格控制"機(jī)器對機(jī)器系統(tǒng)"的訪問。如有可能，應(yīng)該禁用或根本不提供USB驅(qū)動器。

其次，即使網(wǎng)絡(luò)本身沒有與互聯(lián)網(wǎng)鏈接，同樣也必須采取措施在整個(gè)網(wǎng)絡(luò)層經(jīng)常更新安全防護(hù)。比如穩(wěn)捷網(wǎng)絡(luò)BeSecureWeb安全網(wǎng)關(guān)就提供了一種更新其安全簽名的方式，脫機(jī)模式下每小時(shí)1次，且基礎(chǔ)設(shè)施運(yùn)營商也曾要求用這種方式阻止類似Stuxnet的惡意軟件在他們私人網(wǎng)絡(luò)中的傳播。

最后，在允許正常的指令通行的同時(shí)，應(yīng)用內(nèi)容層要嚴(yán)格執(zhí)行安全守則以防止惡意指令的襲擊。