3月11日消息�,據(jù)國外媒體報(bào)道��,專家指出�����,一旦微軟下個(gè)月停止對(duì)Windows XP操作系統(tǒng)提供支持���,公共服務(wù)公司將面臨新的安全挑戰(zhàn)���。
公共服務(wù)控制系統(tǒng)運(yùn)行的Windows XP將更容易受到攻擊,導(dǎo)致停水�����、停電�����、停氣等故障���。 美國電力公司(American Electric Power Co. Inc.)前首席安全官邁克爾·阿桑特(Michael Assante)在接受媒體采訪時(shí)表示���,在美國,幾乎所有電力和天然氣公司都使用Windows XP工作站���。
阿桑特稱���,微軟將于4月8日后停止對(duì)Windows XP提供安全補(bǔ)丁和技術(shù)支持�,黑客將能夠更容易地開發(fā)惡意軟件�,利用不再打補(bǔ)丁的Windows XP造成地區(qū)性停電和其他生產(chǎn)事故。微軟的舉動(dòng)并不讓人感到意外�����,因?yàn)槲④洈?shù)年前就已經(jīng)公開了Windows XP的退役計(jì)劃����。受目前公共服務(wù)公司部署Windows XP方式的影響,每家公共服務(wù)公司對(duì)系統(tǒng)升級(jí)的成本超過1億美元�����。
微軟表示�����,它將幫助客戶升級(jí)到“一款更現(xiàn)代化的平臺(tái)���,在2015年7月14日前繼續(xù)為Windows XP用戶升級(jí)反惡意件特征庫和引擎”。但微軟也同時(shí)指出��,“過時(shí)系統(tǒng)上運(yùn)行的反惡意件解決方案的效果有限。” 2月14日發(fā)表的一份報(bào)告稱���,在2013年向美國國土安全部工業(yè)控制系統(tǒng)電腦緊急事故響應(yīng)團(tuán)隊(duì)報(bào)告的電腦安全事故中��,能源領(lǐng)域占到了59%���。美國國土安全部還指出,數(shù)起事故針對(duì)工業(yè)控制系統(tǒng)硬件和軟件開發(fā)商����。 盡管公共服務(wù)的不同部分都部署了Windows XP工作站,部分安全專家特別擔(dān)憂部署在公共服務(wù)控制中心的工作站����。這些工作站監(jiān)測(cè)野外公共服務(wù)設(shè)施的運(yùn)行情況,例如某條天然氣管道的壓力�����。阿桑特表示����,零日攻擊可能影響公共服務(wù)設(shè)施的運(yùn)行,“公共服務(wù)公司可能會(huì)受到欺騙,無法了解真實(shí)的情況”��。 其他安全研究人員同意阿桑特的看法�。
非盈利機(jī)構(gòu)能源行業(yè)安全聯(lián)盟(Energy Sector Security Consortium)創(chuàng)始人帕特里克·米勒(Patrick C. Miller)說,“公共服務(wù)設(shè)施遭到零日攻擊的可能性相當(dāng)高�����。” 一名安全專家指出����,公共服務(wù)公司員工信任控制系統(tǒng)給出的指示、數(shù)據(jù)和示警信息�����。例如�����,天然氣公司的管理工作站可能遭到入侵���,錯(cuò)誤地報(bào)告天然氣管道壓力低���,員工調(diào)高壓力可能造成爆炸事故�����。 誠然,沒有人能預(yù)測(cè)很快將發(fā)生的重大事故��。但是��,公共服務(wù)公司繼續(xù)依賴一款過時(shí)操作系統(tǒng)的時(shí)間越長(zhǎng)����,發(fā)生危險(xiǎn)的可能性就越高。阿桑特說��,“由于許多工業(yè)控制系統(tǒng)廠商不再為系統(tǒng)打補(bǔ)丁���,我們總是面臨危險(xiǎn)����。” 這一問題的根源部分在于工業(yè)控制系統(tǒng)的生命周期通常為10-15年�����。2000年代初�,許多公共服務(wù)公司將控制系統(tǒng)由UNIX平臺(tái)轉(zhuǎn)向Windows XP。阿桑特說,“目前的狀況是�����,Windows XP已經(jīng)落后三代����。” 過去,過時(shí)的操作系統(tǒng)不被認(rèn)為是個(gè)大問題�����,因?yàn)槟菚r(shí)控制系統(tǒng)聯(lián)網(wǎng)的程度遠(yuǎn)不如今天��。阿桑特說�,過去5年,工業(yè)控制系統(tǒng)聯(lián)網(wǎng)和分享數(shù)據(jù)產(chǎn)生了重大影響�����。
與大多數(shù)企業(yè)網(wǎng)絡(luò)相比����,工業(yè)控制系統(tǒng)升級(jí)到Windows 7或Windows 8的成本和復(fù)雜性都要高得多。據(jù)米勒說�����,全球大多數(shù)公共服務(wù)公司都向少數(shù)幾家廠商采購控制系統(tǒng),將這些控制系統(tǒng)升級(jí)到更現(xiàn)代化的操作系統(tǒng)通常需要數(shù)年時(shí)間和超過1億美元的成本���。對(duì)控制系統(tǒng)升級(jí)如此困難的原因就在于定制化,以及為保證新系統(tǒng)與原有系統(tǒng)兼容的互操作性測(cè)試�����。在大多數(shù)情況下���,軟件廠商在合同中都有免責(zé)條款���,如果公共服務(wù)公司自行升級(jí)操作系統(tǒng),它們不會(huì)提供質(zhì)保��。其結(jié)果就是許多公共服務(wù)公司和軟件開發(fā)商對(duì)系統(tǒng)升級(jí)過于緩慢����。
豫公網(wǎng)安備 41030502000584號(hào)