国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

   如果國內(nèi)安全廠商在平時(shí)不能對(duì)工控做構(gòu)建等準(zhǔn)備，一旦出現(xiàn)安全事故再進(jìn)場(chǎng)，必然十分茫然。

　　今年8月有一件事讓筆者感到遺憾——在高鐵事故調(diào)查組中沒有見到信息安全專家的身影。雖然狹義上看這并非一起信息安全事故，但我們應(yīng)該看到，由物理安全和電氣安全組成的現(xiàn)有工業(yè)系統(tǒng)安全觀已經(jīng)陳舊，面對(duì)復(fù)雜的國際形勢(shì)和國內(nèi)情況，中國高鐵的安全以至整個(gè)工業(yè)體系的安全都需要經(jīng)得起國土安全角度的考察和推敲。

　　這種檢視不但要基于常態(tài)運(yùn)營，更要基于突發(fā)事件、自然災(zāi)害、恐怖襲擊等。潛在的威脅不僅來自物理層面上，還可能來自信號(hào)層面和信息層面，此時(shí)就需要信息安全專家的出場(chǎng)了。

　　在動(dòng)車事故發(fā)生前，高鐵系統(tǒng)已經(jīng)發(fā)生了3起電氣事故。網(wǎng)上曾出現(xiàn)傳言稱這幾起事故是某些國家釋放出蠕蟲所致。我對(duì)此做了搜索對(duì)比，發(fā)現(xiàn)這一傳言是由此前在《新京報(bào)》的一篇報(bào)道中的部分文字與一些所謂“蠕蟲”的消息拼接而成。從內(nèi)容上看，漏洞百出，質(zhì)量極低。但就是這樣一條假新聞，卻被國內(nèi)網(wǎng)站大量轉(zhuǎn)載，其中不乏專業(yè)的電氣技術(shù)協(xié)會(huì)組織。

　　全球工業(yè)系統(tǒng)的安全形勢(shì)已經(jīng)是危機(jī)四伏。該領(lǐng)域代表性企業(yè)西門子公司的產(chǎn)品必然是攻防雙方的一個(gè)重點(diǎn)戰(zhàn)場(chǎng)。在8月6日的Black Hat USA大會(huì)上，安全專家Dillon Beresford介紹了在西門子公司工業(yè)控制系統(tǒng)中發(fā)現(xiàn)更多漏洞的情況，這些漏洞包括復(fù)活節(jié)彩蛋、可用于發(fā)起遠(yuǎn)程拒絕服務(wù)攻擊的漏洞，甚至是管理賬號(hào)和密碼硬編碼漏洞。

　　應(yīng)當(dāng)指出，在2010年的震網(wǎng)（Stuxnet）蠕蟲事件中，將用戶名和口令硬編碼到應(yīng)用程序中的問題已經(jīng)出現(xiàn)在了西門子公司的WinCC產(chǎn)品中，并成為震網(wǎng)蠕蟲攻擊的重要環(huán)節(jié)。這種不符合基本開發(fā)規(guī)范的編碼實(shí)現(xiàn)，也意味著攻擊者一旦發(fā)現(xiàn)并利用，就可以通吃通殺，而防守方卻無法徹底解決問題。

　　震網(wǎng)蠕蟲事件時(shí)，我們?cè)赋鰯?shù)據(jù)、配置、代碼三分開也是工控系統(tǒng)開發(fā)的基本原則。但可以看到，西門子公司并未對(duì)相關(guān)問題做出調(diào)整。這似乎表明西門子公司仍然用產(chǎn)品私密性來保障其體系的安全。他們是否還以為，將更多權(quán)限開放給用戶并不是應(yīng)對(duì)安全問題的有效方法，而只會(huì)給自己帶來更多麻煩？如果西門子公司沒有其他層面的蓄意，我們只能認(rèn)為其安全觀是落后的。

　　在8月召開的中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上，組織者出于對(duì)工控問題的重視，無論是在高峰論壇還是在專題技術(shù)報(bào)告均安排了西門子公司發(fā)言。但西門子公司卻將此視為危機(jī)公關(guān)的機(jī)會(huì)。

　　概括其主旨觀點(diǎn)，就是“微軟的漏洞太多，震網(wǎng)蠕蟲作者手段太高超，我們已經(jīng)做出了響應(yīng)，所以我們沒有任何責(zé)任”。至于西門子公司工控系統(tǒng)的漏洞問題，以及對(duì)全局問題的總結(jié)和反思，則絲毫未談。這種推卸責(zé)任的態(tài)度讓很多在場(chǎng)的安全界同行憤憤不平。

　　從全球范圍看，目前對(duì)工控安全的研究已經(jīng)從最初對(duì)終端系統(tǒng)和應(yīng)用軟件的漏洞挖掘開始向軟硬件結(jié)合和工控體系安全的方向擴(kuò)展。今年3月，Ruben Santamarta在RootedCon作了題為SCADA Trojans: Attacking the Grid的技術(shù)報(bào)告，他對(duì)電力體系的理解之深刻，讓筆者一位多年從事硬件研發(fā)的同事贊嘆不已。工業(yè)控制系統(tǒng)的基礎(chǔ)設(shè)施依然是復(fù)雜而昂貴的，如果國內(nèi)安全廠商在平時(shí)不能對(duì)這些場(chǎng)景做構(gòu)建等準(zhǔn)備，一旦出現(xiàn)安全事故再進(jìn)場(chǎng)，必然十分茫然。

　　在這一領(lǐng)域，我們需要感謝US-CERT的工業(yè)控制系統(tǒng)安全小組，他們分析整理了大量相關(guān)漏洞信息，其簡報(bào)也是該領(lǐng)域最為系統(tǒng)的聚合信息之一。美國國家標(biāo)準(zhǔn)和技術(shù)研究所發(fā)布的《工業(yè)控制系統(tǒng)安全指南》和《工業(yè)控制系統(tǒng)反病毒軟件指南》等也是值得研究參考的文獻(xiàn)。美國能源局、特情局、國家實(shí)驗(yàn)室等也紛紛開通專題網(wǎng)站、發(fā)布研究報(bào)告，對(duì)此問題的重視程度可見一斑。

　　在國內(nèi)，CNVD（國家信息安全漏洞共享平臺(tái)）對(duì)工控系統(tǒng)漏洞的及時(shí)通報(bào)、電力科學(xué)研究院的相關(guān)標(biāo)準(zhǔn)研究、國內(nèi)安全企業(yè)對(duì)震網(wǎng)蠕蟲的跟進(jìn)分析等，也讓我國的工控安全事業(yè)有了一個(gè)自己的起點(diǎn)。

　　作者肖新光，網(wǎng)名江海客，安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師，研究方向?yàn)榉床《竞陀?jì)算機(jī)犯罪取證等。微博：weibo.com/seak