3月11日消息����,據(jù)國外媒體報道��,專家指出��,一旦微軟下個月停止對Windows XP操作系統(tǒng)提供支持��,公共服務(wù)公司將面臨新的安全挑戰(zhàn)��。
公共服務(wù)控制系統(tǒng)運行的Windows XP將更容易受到攻擊�,導(dǎo)致停水�����、停電�、停氣等故障。 美國電力公司(American Electric Power Co. Inc.)前首席安全官邁克爾·阿桑特(Michael Assante)在接受媒體采訪時表示�,在美國,幾乎所有電力和天然氣公司都使用Windows XP工作站����。
阿桑特稱�,微軟將于4月8日后停止對Windows XP提供安全補丁和技術(shù)支持�����,黑客將能夠更容易地開發(fā)惡意軟件�����,利用不再打補丁的Windows XP造成地區(qū)性停電和其他生產(chǎn)事故���。微軟的舉動并不讓人感到意外���,因為微軟數(shù)年前就已經(jīng)公開了Windows XP的退役計劃。受目前公共服務(wù)公司部署Windows XP方式的影響�����,每家公共服務(wù)公司對系統(tǒng)升級的成本超過1億美元���。
微軟表示���,它將幫助客戶升級到“一款更現(xiàn)代化的平臺��,在2015年7月14日前繼續(xù)為Windows XP用戶升級反惡意件特征庫和引擎”�����。但微軟也同時指出����,“過時系統(tǒng)上運行的反惡意件解決方案的效果有限�。” 2月14日發(fā)表的一份報告稱,在2013年向美國國土安全部工業(yè)控制系統(tǒng)電腦緊急事故響應(yīng)團隊報告的電腦安全事故中��,能源領(lǐng)域占到了59%�����。美國國土安全部還指出��,數(shù)起事故針對工業(yè)控制系統(tǒng)硬件和軟件開發(fā)商�����。 盡管公共服務(wù)的不同部分都部署了Windows XP工作站�����,部分安全專家特別擔(dān)憂部署在公共服務(wù)控制中心的工作站�����。這些工作站監(jiān)測野外公共服務(wù)設(shè)施的運行情況�����,例如某條天然氣管道的壓力����。阿桑特表示,零日攻擊可能影響公共服務(wù)設(shè)施的運行�����,“公共服務(wù)公司可能會受到欺騙����,無法了解真實的情況”。 其他安全研究人員同意阿桑特的看法�����。
非盈利機構(gòu)能源行業(yè)安全聯(lián)盟(Energy Sector Security Consortium)創(chuàng)始人帕特里克·米勒(Patrick C. Miller)說�,“公共服務(wù)設(shè)施遭到零日攻擊的可能性相當(dāng)高�����。” 一名安全專家指出�����,公共服務(wù)公司員工信任控制系統(tǒng)給出的指示�、數(shù)據(jù)和示警信息�����。例如�����,天然氣公司的管理工作站可能遭到入侵�,錯誤地報告天然氣管道壓力低,員工調(diào)高壓力可能造成爆炸事故��。 誠然��,沒有人能預(yù)測很快將發(fā)生的重大事故����。但是,公共服務(wù)公司繼續(xù)依賴一款過時操作系統(tǒng)的時間越長�����,發(fā)生危險的可能性就越高�����。阿桑特說����,“由于許多工業(yè)控制系統(tǒng)廠商不再為系統(tǒng)打補丁,我們總是面臨危險����。” 這一問題的根源部分在于工業(yè)控制系統(tǒng)的生命周期通常為10-15年。2000年代初����,許多公共服務(wù)公司將控制系統(tǒng)由UNIX平臺轉(zhuǎn)向Windows XP。阿桑特說�����,“目前的狀況是,Windows XP已經(jīng)落后三代����。” 過去,過時的操作系統(tǒng)不被認為是個大問題�,因為那時控制系統(tǒng)聯(lián)網(wǎng)的程度遠不如今天。阿桑特說�����,過去5年��,工業(yè)控制系統(tǒng)聯(lián)網(wǎng)和分享數(shù)據(jù)產(chǎn)生了重大影響����。
與大多數(shù)企業(yè)網(wǎng)絡(luò)相比,工業(yè)控制系統(tǒng)升級到Windows 7或Windows 8的成本和復(fù)雜性都要高得多�。據(jù)米勒說,全球大多數(shù)公共服務(wù)公司都向少數(shù)幾家廠商采購控制系統(tǒng)�����,將這些控制系統(tǒng)升級到更現(xiàn)代化的操作系統(tǒng)通常需要數(shù)年時間和超過1億美元的成本�。對控制系統(tǒng)升級如此困難的原因就在于定制化,以及為保證新系統(tǒng)與原有系統(tǒng)兼容的互操作性測試�。在大多數(shù)情況下,軟件廠商在合同中都有免責(zé)條款,如果公共服務(wù)公司自行升級操作系統(tǒng)����,它們不會提供質(zhì)保��。其結(jié)果就是許多公共服務(wù)公司和軟件開發(fā)商對系統(tǒng)升級過于緩慢�。
豫公網(wǎng)安備 41030502000584號