近日，美國知名網(wǎng)絡(luò)安全公司FireEye(火眼)發(fā)布了一份調(diào)查報(bào)告。報(bào)告中指出：在過去15年的時間里，全球范圍內(nèi)共發(fā)現(xiàn)了1500余個工業(yè)控制系統(tǒng)(ICS)漏洞;而現(xiàn)在，仍有一些漏洞未得到修復(fù)。

　　近年來，全球各國政府已經(jīng)將維護(hù)國家工業(yè)系統(tǒng)網(wǎng)絡(luò)安全放在了首要地位，因?yàn)楣�業(yè)系統(tǒng)的網(wǎng)絡(luò)安全是整個國家網(wǎng)絡(luò)安全的基石，具有十分重要的戰(zhàn)略地位。同時，近期歐盟通過的NIS(Network Information Service)條例，以及在波蘭召開的北約峰會(Warsaw NATO summit)都再一次強(qiáng)調(diào)了維護(hù)工業(yè)系統(tǒng)網(wǎng)絡(luò)安全的重要性，進(jìn)一步提高安全級別，防止工業(yè)系統(tǒng)遭到黑客攻擊。

　　FireEye近期發(fā)布了一份名為《Overload：Critical Lessons From 15 Years of ICS Vulnerabilities》(總結(jié)過去15年中，ICS漏洞帶來的經(jīng)驗(yàn)教訓(xùn))的調(diào)查報(bào)告。從2000年至今，F(xiàn)ireEye公司對123家工業(yè)設(shè)備制造商出產(chǎn)的工業(yè)設(shè)備進(jìn)行了跟蹤調(diào)查，從中發(fā)現(xiàn)了總計(jì)1552個能夠影響工控設(shè)備正常使用的安全漏洞。而2010年，是全球安全專家曝出ICS安全漏洞數(shù)量最多的一年。這其中最引人注目無疑就是網(wǎng)絡(luò)攻擊武器—Stuxnet震網(wǎng)病毒了(該病毒又名Stuxnet蠕蟲病毒，或超級病毒工廠)。

　　FireEye公司在報(bào)告中指出：2010年，全球范圍內(nèi)總計(jì)發(fā)現(xiàn)了149個ICS漏洞;2011年，這一數(shù)量呈現(xiàn)了爆發(fā)式的增長，增幅達(dá)到300%。在2012-2014年間，增幅有所放緩，平均每年為5%。而2015年則被相關(guān)安全專家稱做“ICS史上災(zāi)難性的一年”。在這一年中，僅僅兩家工業(yè)設(shè)備制造商就曝出了92個ICS漏洞。這一情況也引起了全球網(wǎng)絡(luò)安全領(lǐng)域內(nèi)專家和學(xué)者的高度關(guān)注。

　　報(bào)告中提到：“自從2010年發(fā)現(xiàn)了Stuxnet震網(wǎng)病毒之后，ICS系統(tǒng)網(wǎng)絡(luò)安全問題就引起了相關(guān)安全專家的關(guān)注�！痹�2000年2月到2010年12月的10年時間里，F(xiàn)ireEye公司總計(jì)發(fā)現(xiàn)了149個ICS漏洞。而從2011年到2016年4月，ICS漏洞的數(shù)量進(jìn)一步增長，達(dá)到1552個。我們預(yù)言：這一增長趨勢將會延續(xù)下去�！�

　　那么，ICS網(wǎng)絡(luò)安全的未來將會怎樣?

　　來自FireEye公司的安全專家表示，在接下來的幾年時間里，ICS漏洞數(shù)量的增長趨勢將不會改變。他們預(yù)計(jì)，漏洞的數(shù)量將以平均每年5%的幅度繼續(xù)增長，而在這期間，也會出現(xiàn)偶然的爆發(fā)或衰落。

　　回顧2013年2月至2016年4月期間出現(xiàn)的801個ICS漏洞，我們不難發(fā)現(xiàn)，在受到漏洞影響的設(shè)備中，有50%的設(shè)備采用了ICS Purdue工業(yè)設(shè)備設(shè)計(jì)模型。這種工控系統(tǒng)能夠允許操作人員監(jiān)督、控制設(shè)備的工作過程。一旦黑客對此類采用2級控制系統(tǒng)的設(shè)備發(fā)起攻擊，后果不堪設(shè)想。原因正是在于，在實(shí)施攻擊過程中，黑客可以控制設(shè)備的操作流程，隨意更改設(shè)備的初始設(shè)置參數(shù)，進(jìn)而可能會產(chǎn)生一些無法預(yù)想的嚴(yán)重后果。

　　“在對這801個漏洞做了進(jìn)一步的研究之后，F(xiàn)ireEye公司的安全人員發(fā)現(xiàn)：這其中大多數(shù)(58%)的設(shè)備都采用的是ICS Purdue 2級工控架構(gòu)模型。這種模型的主要功能是建立設(shè)備與工控中心計(jì)算機(jī)之間的接口�！蔽覀兺茢啵�這是因?yàn)橄噍^于1級模型軟件來說，2級模型軟件更便于監(jiān)測，同時，研究人員也更為熟悉2級模型軟件。然而，這種2級模型軟件也是一把雙刃劍，攻擊者也可以很輕易地就拿到訪問權(quán)限，進(jìn)而能夠控制設(shè)備的操作過程。

　　這其中有多少個零日漏洞(Zero-Day Vulnerabilities)呢?

　　據(jù)FireEye公司的調(diào)查報(bào)告顯示，在1552個漏洞中，有33%的漏洞屬于零日漏洞。不幸的是，僅僅在2016年的一年時間里，全球就曝出了400個零日漏洞，而其中的100余個漏洞至今仍未得到修復(fù)。

　　“對相關(guān)漏洞進(jìn)行修復(fù)，這對很多網(wǎng)絡(luò)安全公司來說，無疑是一個巨大的挑戰(zhàn)。黑客的攻擊技術(shù)正日趨成熟，因而增加了修復(fù)的技術(shù)難度�！痹谖覀儗�這1552個ICS漏洞進(jìn)行研究之后發(fā)現(xiàn)，有516個漏洞(占比為33%)至今仍未得到修復(fù)。由于缺乏制造商的補(bǔ)救措施以及未能及時地推出軟件安全補(bǔ)丁，使得大多數(shù)的ICS設(shè)備軟件仍舊處在危險(xiǎn)之中，這同時也給黑客留下了大量的攻擊機(jī)會。”