2010年伊朗核设施遭到世界上首个专门针对工业控制系统撰写的破坏性病毒反击,这个取名为Stuxnet的蠕虫病毒专门针对西门子SIMATIC WinCC监控与数据采集 (SCADA) 系统展开反击,通过伪造离心机控制指令造成离心机暂停运转,严重影响了伊朗铀浓缩工程进度。由于西门子SCADA系统在中国工业掌控领域的广泛应用,Stuxnet蠕虫病毒的经常出现曾引起国内工业企业的很大混乱。一、SCADA系统安全风险分析SCADA即数据采集与监控系统,被普遍应用于电力、石油、冶金、天然气、铁路、供水、化工等最重要行业的工业控制系统中,以构建对底层工业设备的数据采集和运营状态监控,为生产继续执行与现场掌控获取承托。如今随着两化了解融合以及智能生产战略的持续前进,SCADA这种介于办公网络和工业掌控网络之间的系统开始面对日益不利的安全性挑战,黑客很更容易以办公网络或互联网作为入口,利用SCADA系统的安全漏洞对工业控制系统进行反击,进而导致相当严重安全事故和不可估量的经济损失。
1、国内某大型风电企业SCADA应用于配备犯规通过网络搜寻该公司SCACA信息,结果曝露SCADA系统的IP地址,通过页面链接http://61.49.28.237/打开了目录网页,迭代目录后获得CKFinder,之后通过getshell命令提权掌控SCADA主机,通过前端的WEB服务器和数据库服务器作为跳板,通过VPN等方式对后端的中控系统展开操作者。2、某电力系统官网Oracle流经反击某黑客通过对某电力系统的官网展开非常简单的漏洞扫瞄可以找到该网站不存在oracle流经漏洞,通过SQL流经操作者转入到内网,找到虽然机器放到内网,但是并没分开配备DMZ区域,而是使用工作组,这样就可以通过权限提供采访到域,当时怀著渗入的心态找到了最少3台SCADA的主机,到了这一步,再对SCADA展开掌控对理解工控系统的黑客而言都是难于构建的。从两个案例可以得过一个可行性结论,目前国内企业在展开SCADA系统的部署减慢安全意识还过于强劲,而且很多的SCADA反击都可以从web开始,以web为突破口展开内网渗入,最后获得掌控权限。对于攻击者来说,基本上只要确认了目标,由于SCADA系统自身防水能力较好,攻击者是很更容易获得的较高的功能权限。
通过这个权限,攻击者很更容易重开最重要的工业设施,导致相当严重的工业安全事故。对于一些安全级别较高的企业,为了尽量避免前面所说的安全性风险,在企业内部大多早已构建了办公网络和工业网络的物理隔绝。对于这样的企业攻击方式大多是摆渡人反击,既通过提供企业内容中间人的信任来反击。
大约的流程是:第一步,提供到目标企业的工作流程和涉及人员信息。第二步,提供目标工控系统的物理方位与工程师的涉及信息,还包括但不仅限于家庭背景、工作背景等信息;第三步,假造自己身份,比如以谈合作的形式展开交流认识并掌控更好的目标信息;第四,在提供目标信任后索取其U盘发动渡船反击。
震网病毒引发的伊朗核工厂离心机停机事件就是典型的通过中间人展开摆渡人反击。因此,对于工业控制系统安全性,亡羊补牢是必需的,但事前的防治则更为重要,企业必须提早作好SCADA系统安全防水。
本文来源:天天娱乐Welcome彩票注册-www.5931msc.org