最近，剛剛出現的 Stuxnet 惡意軟件是解釋Tofino工業網絡安全解決方案可以保護工業以太網安全的重要例證之一。
        Stuxnet是首個利用Windows零日漏洞、針對控制系統和公共事業機構發動攻擊的惡意軟件。Stuxnet 的設計者綜合運用了漏洞知識、黑客伎倆以及潛在的物理安全漏洞，來發起針對重要基礎設施系統的攻擊。
　　Stuxnet 攻擊運用的高級知識之所以“巧妙”，原因有二。首先，該惡意軟件通過利用先前未知的 Windows 漏洞實施攻擊和傳播。其次，該惡意軟件的組件包括兩個具有rootkit行為、有數字簽名的驅動程序，對于惡意軟件而言，這點很不尋常。
　　這兩點已被媒體廣泛報道。我希望重點談一談遭受攻擊系統存在的潛在風險、多種不同攻擊媒介協同“作戰”的復雜性，以及這對能源領域意味著什么。
　　以下是我們目前了解到的Stuxnet攻擊的運行機制：
　　1. 用戶將 USB 驅動器(或任何移動存儲介質)連接到系統;
　　2. 已感染的驅動器利用零日Windows Shell Code漏洞實施攻擊，運行惡意軟件;
　　3. 該惡意軟件在受攻擊系統中進行搜索，試圖訪問西門子Windows SIMATIC WinCC SCADA 系統數據庫。(萬幸的是，該惡意軟件的一個簽名證書已被吊銷，另一個也即將被吊銷)
　　4. 該惡意軟件使用 WinCC 西門子系統中的硬編碼密碼來訪問存儲在 WinCC 軟件SQL 數據庫中的控制系統運行數據。
　　這一事件有何潛在影響？該惡意軟件的攻擊目標是西門子SIMATIC WinCC 監控與數據采集 (SCADA) 系統。該軟件可作為公用事業機構工業控制系統的 HMI(人機交互界面)。HMI 以圖形方式管理并顯示負責主要發電和輸電設施運行的電廠控制系統信息。
　　HMI 不間斷的監控發電廠控制系統的正常運行和整體運行狀態。許多情況下，設置 HMI 的目的是為了對控制系統間的流程加以控制。HMI提供的圖形化信息猶如一張地圖，類似于計算機網絡的拓撲圖。惡意軟件可能將部分重要基礎設施的“地圖”提交給其他惡意實體。
　　控制系統安全與 IT 安全
　　控制系統與 IT系統之間存在許多不同。IT系統要確保傳輸的機密性和可用性，而控制系統要保證全天候持續可用性。通常情況下，控制系統和IT 系統在相互獨立的網絡中運行，并由相互獨立的團隊進行管理。
　　由于控制系統必須做到全天候持續可用，控制系統環境中傳統的管理流程變更非常耗時。因此，補丁程序更新、安全保護更新和修補程序或其他相關資源通常不會作為優先考慮的事項。在此示例中，西門子在其應用程序中使用硬編碼密碼，以提供對其 SQL 數據庫的訪問。該公司曾警告更改此類密碼有可能危及系統的可用性。許多安全研究人員都曾對西門子這種明顯違反安全策略的做法提出過異議。但是，考慮到在該環境中優先保證可用性的需求，上述做法是非常常見的。
　　美國能源部 (DOE)、美國國家標準技術局和許多私營機構都曾呼吁彌合 IT 系統和控制系統在安全原則上的鴻溝。通過建立類似國家能源法規委員會(NERC)的傳統IT流程和法規遵從框架，可以實現上述目標。
　　有關控制系統的安全保護需求已經討論了一段時間，但在得出結論之前，新威脅就出現了。讓我們看一看在控制系統領域已經發生了什么：概念證明攻擊、意外實例、不滿員工的惡作劇、由于掌握的證據太少而無法確定其真實意圖的針對特定實例的攻擊。
　　2009年一切開始改變，4月7日NERC發布了一份公開警告，提示某種來自境外實體的惡意軟件攻擊已在電網中露出苗頭。這就是目前聲名大噪的Stuxnet攻擊。讓我們假設Stuxnet 意欲破壞電網、并將重要信息傳給不法分子，來了解一下Stuxnet攻擊的復雜性。
　　毋庸置疑，在 Microsoft Windows 中尋找一個支持代碼執行的零日漏洞需要相當的專業知識，不過這樣的例子也屢見不鮮。了解對控制系統的攻擊方式就能明晰這一攻擊異乎尋常的復雜性。
　　攻擊者了解通常SCADA 系統會限制通過以太網端口的網絡訪問和通過USB設備的物理訪問。同時攻擊者還要擁有西門子控制系統的相應知識，這種知識對于在控制系統領域實施攻擊以及找到訪問數據庫所需的默認硬編碼密碼均大有幫助。此類攻擊的復雜性可見一斑。
　　最后一點，攻擊者如何偽造認證憑據？整體而言，這是一個異乎尋常的復雜攻擊。
　　如何抵御 Stuxnet
　　如何有效防范這一攻擊？海天煒業自動化為您提供Tofino工業以太網安全解決方案，為您提供貼身指定的防火墻，提供設備保護區的區級安全，安全保護遠超一般傳統意義的防火墻。我們可以通過以下幾點來深入理解Tofino防控Stuxnet的原理。
        第一，惡意軟件。Tofino工業以太網安全解決方案是軟件與硬件相結合的整體性方案，包括Tofino安全設備、可裝載安全模塊以及中央管理平臺Tofino CMP，提供了針對病毒、木馬、蠕蟲（包括Stuxnet蠕蟲）、網絡風暴等多種網絡威脅的檢測功能。與此同時，Tofino能夠隱藏控制系統網絡設備IP地址，使得黑客攻擊成為無的之矢。
        Tofino工業以太網安全解決方案保護工業控制系統免受黑客的攻擊，有效防止與這一威脅相關的感染、惡意代碼執行和惡意有效負載，隔離、防御網絡風暴的侵害，實現對整個工業以太網的安全保障，有效防止網絡中各站點遭受外來入侵者的破壞。
　　第二，工業通信協議。Tofino支持廣泛的工業通信協議，全面涵蓋了目前應用最為廣泛的Modbus TCP/IP、OPC、DNP3等。提供手段對通信協議進行深入的檢查和控制，Tofino是世界上第一個針對Modbus TCP/IP協議內容進行檢測的防火墻。Tofino還可以定義點對點通信的通信協議，并具體到定義允許通過的指令，切實保障工業通信安全。
        第三，攻擊區域。USB 驅動器是主要的感染機制之一，這類設備在控制系統世界里無孔不入，一旦有外來可移動介質（例如U盤，可移動硬盤，以及第三方人員維護過程臨時介入的筆記本電腦等）繞過防火墻進入工業網絡的控制網，普通商用防火墻就再也無法發揮作用，對于此類網絡安全問題束手無策。Tofino工業網絡安全解決方案正好彌補了普通商用防火墻的缺憾，可以為工業網絡提供最底端的也是最深層的保護，即使用戶工業網絡已經感染病毒、木馬、蠕蟲等，Tofino仍然可以保護您的關鍵設備不受影響、正常運行。
        第四，Tofino的報警記錄功能。 Tofino能夠在第一時間探測出工業網絡中存在的異常和威脅，并及時將這些異常和威脅極其詳盡的（威脅來自哪個設備，攻擊去向哪個設備、采用的攻擊方式等）報告工程師，以便工程師在第一時間進行處理，從而避免由于網絡原因導致的安全事故。
　　在Tofino看來，Stuxnet攻擊的復雜性以及協同的高級持續性威脅的殺傷力足以令包括工業網絡安全在內的所有公用事業企業膽戰心驚。Stuxnet 攻擊凸顯出我們為確保工業網絡安全所做出的一系列努力的重要性。
　　目前，海天煒業自動化引進加拿大Byres SecurityInc.的Tofino工業網絡安全解決方案，正是基于對以往DCS客戶所在企業、工廠的DCS工業網絡安全事故頻發的理解和判斷，旨在推動Tofino產品的中國市場發展，幫助用戶彌合 IT 安全與控制系統安全之間的間隙，為中國的工業以太網安全事業保駕護航！
——————————————————————————
關于Tofino
        工業以太網應用越來越廣泛，工廠信息化進程也在不斷推進，怎樣保證開放性越來越強的控制網絡的安全性是目前擺在用戶及行業制造商面前的難題。

        青島海天煒業自動化控制系統有限公司與來自加拿大的全球首個工業以太網安全專家Byres Security Inc.結成合作伙伴，以獨特的設計理念、先進的制造技術以及卓越的產品性能為工業以太網通訊安全提供了可靠保障。目前已經為Honeywell、MTL、Invensys-Triconex、Hirschmann多家知名行業制造商OEM生產。
        更多內容請點擊：http://www.mosesceo.com/list.php?fid=85