摘要：  据悉，去年5月底，多家网络安全供应商发出安全警告，一种名为火焰(Flame)的恶意间谍软件已在中东和北非部分地区大范围传播，该木马病毒已经或即将造成的巨大危害不容忽视。

关键字：  工业控制系统，网络安全，西门子

据悉，去年5月底，多家网络安全供应商发出安全警告，一种名为火焰(Flame)的恶意间谍软件已在中东和北非部分地区大范围传播，该木马病毒已经或即将造成的巨大危害不容忽视。

早在半年前，迈克菲(McAfee)在其发布的《2012年威胁预测报告》中展望了2012年的十大安全威胁，其中工业系统面临的安全威胁位居首位，很重要的一个原因就是很多工业控制系统尚未做好应对网络攻击的准备。

工业控制系统所面临的信息安全威胁（参考图）

工业控制系统所面临的信息安全威胁

2012年5月底，多家网络安全供应商发出安全警告，一种名为火焰(Flame)的恶意间谍软件已在中东和北非部分地区大范围传播，该木马病毒已经或即将造成的巨大危害不容忽视。据报道，联合国电信联盟官员也表示，火焰病毒是危险的间谍工具，可能用来攻击重要的基础设施，并拟就其危險性向成员国发出强烈警告。鉴于其表现出来的特征，许多安全专家宁愿称其为病毒武器，与普通的病毒不同，病毒武器并不以普通用户为对象，而是针对企业，工厂，政府等重要设施。

初步研究表明，火焰与2011年发现的Duqu很相似，都是以收集和盗窃目标的机密信息为目的，为了实现这一目标，它能够使出秘密录音、自动截屏，记录用户敲击键盘等各种手段盗窃重要工业数据。但与Duqu不同的是，Flame更加复杂，并具有显著的差异。火焰代码是模块化的、可扩展和可更新的，并将结果和其他重要文件发送给远程操控病毒的服务器。其隐蔽性特点也非常引人注目，当感染已被反病毒程序保护的计算机时，火焰会停止进行某种行动或执行恶意代码，因为这可能引起安全应用程序进行主动检测，这意味着该病毒可以潜藏很久。而且一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。

由于病毒利用微软加密算法的漏洞，将病毒伪装成微软签名文件进行传播，可以成功骗过绝大多数杀毒软件，微软官方已正式发布KB2718704补丁修补签名漏洞。霍尼韦尔安全更新认证小组(SUIT)技术人员已验证了KB2718704与霍尼韦尔系统的兼容性，并发出安全警告，希望用户尽快安装该操作系统补丁。

Honeywell"sSecurityUpdateInvestigationTeam(SUIT)

到面前为止，火焰似乎主要针对部分中东和北非国家，据报道火焰已感染了伊朗、黎巴嫩、叙利亚、苏丹以及其他中东和北非国家的相应目标计算机系统。在中国，已有截获该病毒的报告，瑞星已发布红色安全警报，并特别提醒广大企事业单位、政府部门，应高度重视此病毒，积极做好相对应的安全防范工作。

在火焰之前，另一著名案例是2010年发现的被称为世界"首枚数字弹头"的超级工厂病毒(Stuxnet)，该病毒也被称为震网，当年伊朗大约3万个互联网终端和布什尔核电站员工个人电脑被超级工厂病毒感染，造成大量离心机停转或损坏。这种蠕虫程序专门针对广泛应用于伊朗基础设施的德国西门子公司工业控制系统，利用操作系统和WinCC系统的漏洞，通过感染控制软件Step7可以实现恶意修改控制程序的目的。从此案例，可以断定那种认为控制协议的私密性特点足以防范网络攻击的观点已不合时宜。

工业控制系统在网络攻击面前显得"不堪一击"

早在半年前，迈克菲(McAfee)在其发布的《2012年威胁预测报告》中展望了2012年的十大安全威胁，其中工业系统面临的安全威胁位居首位，很重要的一个原因就是很多工业控制系统尚未做好应对网络攻击的准备，火焰病毒的出现是此预测的最新例证。

从目前披露的工业病毒特点来看，工业病毒对控制系统的影响已不再仅仅是影响计算机和网络设备运行那么简单，它们可以导致控制系统拒绝服务，可以修改控制程序从而控制或破坏工业生产，可以向操作人员发出虚假信息，以使操作员采取错误动作，其结果可能是造成生产瘫痪而导致重大经济损失，甚至于造成人员伤亡、环境破坏等重大事故。

然而在来势汹汹的工业网络威胁面前，绝大多数工业用户还没有做好准备，信息安全的缺陷比比皆是，相对于传统的信息安全重点行业，如金融行业，有些缺陷可以说很低级，对于攻击者而言，不需要高超技术就可以攻破这些不设防的网络。下面描述的Conficker蠕虫病毒感染案例足以说明工业系统信息安全的现状。

Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现，主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。一旦感染该蠕虫病毒，网络带宽会被大量占用，网络速度变的异常缓慢，严重影响数据交换，并最终导致网络系统瘫痪;而且受病毒感染主机形成一个规模庞大的僵尸网络，病毒控制者可以利用这个僵尸网络，侵入受感染计算机进行非法操作，如下载指定文件、安装其他恶意软件等。这种病毒在最近几年感染了许多疏于防范的工业系统的主机。

2011年12月，西南管线广东调控中心及场站感染Conficker病毒及其变种，造成部分场站的服务器与控制器通讯中断。

2010年5月，齐鲁石化某装置控制系统感染Conficker病毒，造成控制系统服务器与控制器通讯中断。

2011年3月，大庆石化炼油厂某装置控制系统感染Conficker病毒，造成控制系统服务器与控制器通讯中断。

其实Conficker病毒的防范并不困难，严格管理移动数据存储介质基本上就可以防止该病毒传入封闭的控制系统网络;及时安装Windows操作系统补丁程序可以防止该病毒利用知名的漏洞端口，从而对计算机系统进行感染;合理部署防病毒软件可以在该病毒爆发之前提早进行查杀处理，避免其危害。

窥一斑而见全豹，一种几年前的病毒还在大肆传播，足以说明系统信息安全措施之薄弱。

工业控制系统信息安全建设上的理解误区

工业系统之所以在网络攻击面前显得如此脆弱，究其根源，大都来自于控制系统维护人员对信息安全理解上的误区，例如：

系统是孤立的、封闭的不代表不存在信息安全隐患

即便工业系统是封闭的，Wi-fi，USB等方式仍能提供了很多侵入点，一个配备wifi-modem的USB设备甚至能将一个封闭的网络接入公网。而且大多数工业系统普遍没有相应的帐号管理、口令管理措施，管理员帐号公开，帐号权限分配不合理，帐号失效后不及时删除，口令公开、口令长期保持不变或过于简单等问题普遍存在，这都为非法侵入提供方便之门。

据相关统计数据显示，只有20%的数据破坏是由公司外部人所为，而80%的安全威胁来自内部，这包括操作失误、故意破坏和知识欠缺。