工業(yè)安全的四大誤區(qū)
　　盡管人們?cè)诠I(yè)控制系統(tǒng)中防范網(wǎng)絡(luò)攻擊的意識(shí)在逐漸加強(qiáng)，但現(xiàn)有的許多網(wǎng)絡(luò)安全防護(hù)框架仍然依賴于過時(shí)的安全理念，即物理上獨(dú)立的網(wǎng)絡(luò)系統(tǒng)足夠安全，通過隱藏信息可以有效防護(hù)網(wǎng)絡(luò)威脅。目前，關(guān)于工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全性，主要存在四個(gè)誤區(qū)。
　　誤區(qū)一:工業(yè)自動(dòng)化系統(tǒng)沒有聯(lián)網(wǎng)，所以足夠安全。
　　在一家有代表性的能源公司進(jìn)行的調(diào)查顯示，大多數(shù)管理部門認(rèn)為公司內(nèi)的控制系統(tǒng)沒有聯(lián)網(wǎng)。然而，調(diào)查和審計(jì)顯示，89%的控制系統(tǒng)連接到互聯(lián)網(wǎng)。
　　此外，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)有時(shí)在企業(yè)網(wǎng)絡(luò)和因特網(wǎng)之間使用各種連接類型，包括內(nèi)部連接、直接連接、無線連接和撥號(hào)連接。這些東拼西湊的網(wǎng)絡(luò)連接使得工業(yè)控制系統(tǒng)非常開放。以“Slammer”蠕蟲為例。它可以攻擊多種基礎(chǔ)設(shè)施，如緊急服務(wù)、空中交通管制系統(tǒng)、自動(dòng)取款機(jī)等。，在3秒內(nèi)以全掃描速度(5500萬/秒)掃描。這正是因?yàn)榛ヂ?lián)網(wǎng)的開放性。然而具有諷刺意味的是，減緩蠕蟲攻擊速度的是網(wǎng)絡(luò)帶寬。

　　誤區(qū)二:工控網(wǎng)絡(luò)裝有防火墻，足以抵御外部威脅。
　　防火墻為工業(yè)控制網(wǎng)絡(luò)系統(tǒng)提供了一定程度的安全保護(hù)，但是，這并不能使工業(yè)控制系統(tǒng)無懈可擊。在對(duì)金融、能源、通信和媒體行業(yè)使用的37種防火墻的調(diào)查中發(fā)現(xiàn):(1)約80%的防火墻是入站規(guī)則內(nèi)的“一切”服務(wù)，包括入侵防火墻和無保護(hù)區(qū)域的不安全訪問；(2)大約70%的防火墻允許網(wǎng)絡(luò)外部的設(shè)備訪問和控制防火墻。
　　誤區(qū)三:黑客看不懂SCADA/DCS/PLC。
　　SCADA和過程控制系統(tǒng)已經(jīng)成為黑帽的共同話題。對(duì)于黑客來說，網(wǎng)絡(luò)犯罪非常有利可圖。例如，從幾乎不費(fèi)時(shí)的攻擊中獲得的信息可以以8萬美元的價(jià)格賣給犯罪組織。同時(shí)，由于以下原因，黑客逐漸具備了攻擊工業(yè)控制系統(tǒng)的能力。
　　(1)許多蠕蟲是為特定目標(biāo)和應(yīng)用定制的。
　　(2)現(xiàn)有的SCADA規(guī)范可以在任何地方購(gòu)買，也可以從網(wǎng)絡(luò)上獲取，這也在一定程度上為黑客了解SCADA規(guī)范提供了便利。
　　(3)Shodan搜索引擎可以輕松定位不安全的工控設(shè)備和系統(tǒng)。同時(shí)，很多被攻擊的系統(tǒng)仍然使用安全系數(shù)較低的用戶名和密碼，如“windows”、“123456”。
　　誤解4:我們的設(shè)備不會(huì)成為目標(biāo)。
　　這是一種非常危險(xiǎn)的意識(shí)。首先，我們的系統(tǒng)不一定是攻擊的目標(biāo)，但會(huì)成為受害者。80%的工控網(wǎng)絡(luò)安全事件都是無意的，但危害大。還是以Slammer蠕蟲病毒為例。這種病毒的目的是盡可能地?fù)舻顾芯W(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備，而不是專門攻擊一家能源公司或應(yīng)急設(shè)備。然而，病毒的入侵對(duì)這些急救設(shè)備造成了重要的危害。此外，由于許多工業(yè)控制系統(tǒng)基于不安全的操作系統(tǒng)，這些工業(yè)控制系統(tǒng)很容易受到網(wǎng)絡(luò)攻擊。