精编油田工业控制的信息安全浅析

油田工业控制的信息安全浅析油田工业控制系统安全分析 目前Windows平台的技术架构已成为工业控制系统操作站的主流，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系

油田工业控制的信息安全浅析 油田工业控制系统安全分析 目前Windows平台的技术架构已成为工业控制系统操作站的主流，任何一个 版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对 的独立性，现场工程师通常在系统投入运行后不会对Windows平台打任何补丁， 更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。与 之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会 遭受感染，可能造成Windows平台乃至控制网络的瘫痪。著名的“震网”病毒就 是利用借助了4个0-daywindows漏洞进行针对西门子系统进行传播和感染。在 油田工业控制系统中，自动化厂商众多，上位机应用软件也是多种多样，很难形 成统一的防护规范以应对安全问题。美国工业控制系统网络紧急响应小组就曾经 发出警告，中国开发的工业控制系统软件（SCADA）发现两个安全漏洞，可能会 被攻击者远程使用。另外当应用软件面向网络应用时，常需要开放其应用端口。 常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用 一些工程自动化软件的安全漏洞获取现场生产设备的控制权。Web信息平台也常 常由于程序编写不规范带来安全缺陷，典型的如信息泄露、目录遍历、命令执行 漏洞、文件包含漏洞、SQL注入攻击、跨站脚本漏洞等，此类入侵是防火墙产品 无法抵御的。在油田企业中，在控制网络与办公网络、互联网之间一般采用IT 防火墙进行隔离，但IT防火墙并不是专为工业网络应用设计的产品，在防护工 业网络时存在较多缺陷：由于防火墙本身是基于TCP/IP协议体系实现的，所以 它无法解决TCP/IP协议体系中存在的漏洞。防火墙只是一个策略执行机构，它 并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。 从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。 防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。 防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数 据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大， 从而导致防火墙的性能下降，处理速度减慢。防火墙准许某项服务，却不能保证 该服务的安全性，它需要由应用安全来解决。所以，从防火墙的实际使用情况来 1