近日
，美國工控係統網絡應急響應小組(ICS-CERT)在zai其qi最zui新xin的de安an全quan報bao告gao中zhong指zhi出chu
，目mu前qian包bao括kuo電dian站zhan在zai內nei的de美mei國guo關guan鍵jian基ji礎chu設she施shi正zheng處chu於yu危wei險xian之zhi中zhong，而er且qie由you於yu這zhe些xie關guan鍵jian基ji礎chu設she施shi普pu遍bian連lian接jie到dao互hu聯lian網wang
，導dao致zhi這zhe些xie關guan鍵jian基ji礎chu設she施shi工gong業ye控kong製zhi係xi統tong中zhong出chu現xian了le超chao過guo600個IT安全漏洞。據ICS-CERT報告顯示，相關漏洞還涉及供水

、能源和石油等行業。

工控設施安全不容忽視 美曝出漏洞超600個

據悉
，該報告涵蓋了美國工控係統網絡應急響應小組在2015年針對全美基礎設施發布的112項評估
，以響應該機構“預防
、保護、緩解和響應關鍵基礎設施網絡威脅和通信中斷”的提議。

這些評估包括了46項結構設計評估
、28項網絡架構認證和有效性檢測，其直接來源是關鍵基礎設施的運營商和擁有者。此外還有38個網絡安全評估工具的測試
，包括關鍵基礎設施運營者的自我評估。工控應急小組並沒有保留這些測試數據。

調查顯示，目前已發現的漏洞數量高達638個，其中最常見的是“邊界保護”方麵的漏洞，工控應急小組表示這將導致非常嚴重的後果。

調查人員稱
，“邊界防護將會有效地減緩攻擊進程
，並讓麵向非法活動的檢測
、分析和警報更加簡單，支持運營和事件響應人員。”同時

，“缺乏強有力的保護，攻擊者將更容易滲透進關鍵資產的網絡邊界

，訪問高價值信息並操縱由工業控製係統管控的設備。”

另一個巨大問題是“最小運行環境”，其含義是通過將雇員能夠訪問到的係統限製到他們的工作需要上
，減少風險。工控應急小組表示
，在這方麵也發現了很多的問題。

報告指出
，“比如白名單使用較少、部署不安全的、過時的或者存在漏洞的操作係統服務，在係統運行不需要通訊端口時依然讓它們保持打開狀態。”

因此
，為了強化安全，有必要關閉所有非必需端口、服務和應用會縮小工業控製係統的攻擊界麵

，並提升監控、分析必要通訊流量的能力。

報告同時揭示了可能會對關鍵基礎設施造成威脅的新型IT趨勢，包括虛擬機和遠程控製工具的安全配置不合理、自帶設備辦公策略的崛起等。

報告中指出，“使用自帶辦公設備訪問個人電子郵件
、wangyeheshejiaomeitiyingyongduiyugongyekongzhixitongeryancunzaitianranfengxian。jigoubixukaolvfengxianheheshidecuoshi，biruyidongshebeiguanlixitong，laijiangfengxiankongzhidaokejieshoudejibie。”

同時
，關鍵基礎設施擁有者和運行者更加依賴雲服務的趨勢也會成為未來的問題之一。因此報告也提到，“機構必須確保工業控製係統架構中處於外界的部分擁有與工業控製係統本身相同的安全性。”

“機構必須考慮到工業控製係統運行信息完整性、安全性和保密性
，以及與恢複、事件管理、故障切換、診斷支持、監控和其它依賴雲端服務提供的特殊支持的運行和功能細節。”

而該評估包括了對多個領域的調查，因此顯示了問題的深度和廣度，如下圖所示。

美國不同行業在關鍵基礎設施工控係統曝出的漏洞占比

2015年的一份報告警告稱，對美國電網和相關設施的網絡攻擊可能對全國造成最高1萬億美金的經濟損失。

ICS-CERT解釋，考慮到對國家的重要性，與關鍵基礎設施相關的機構必須盡一切努力，對運行操作的係統部署更為強大的安保措施。

報告總結到，“保護國家的關鍵基礎設施對於確保公眾信心
、保護安全、caifuheshengminganquanzhiguanzhongyao。womendexuduoguanjianjichusheshiyilaiyuzidongkongzhixitonglaiquebaogongyeliuchengdexiaolvheanquan
，yincijigoujinxinganquanpinggushishifenyoubiyaode，zhekeyibangzhutamenlijieruheyouxiaofangzhisheshishoudaowangluoweixieqinhai。”

安全研究專家David Emm指出
，針對工業控製係統環境下手的攻擊者數量增長無疑意味著可利用的漏洞數量和類型也會同時增長。“2009年以來，被攻擊者試探和攻破的係統有所增多
，因此該數字將會開始上升。”

然(ran)而(er)，由(you)於(yu)黑(hei)客(ke)很(hen)有(you)可(ke)能(neng)曾(zeng)經(jing)訪(fang)問(wen)過(guo)美(mei)國(guo)大(da)型(xing)企(qi)業(ye)的(de)核(he)心(xin)係(xi)統(tong)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)環(huan)境(jing)中(zhong)存(cun)在(zai)如(ru)此(ci)多(duo)的(de)漏(lou)洞(dong)無(wu)疑(yi)為(wei)黑(hei)客(ke)針(zhen)對(dui)關(guan)鍵(jian)工(gong)控(kong)係(xi)統(tong)進(jin)行(xing)攻(gong)擊(ji)
，提(ti)供(gong)了(le)充(chong)分(fen)的(de)條(tiao)件(jian)。