透视_震网_病毒
Stuxnet攻防
摘要Stuxnet又名“震网”,是针对微软件系统以及西门子工业系统的最新病毒,目前已感染多个国家及地区的工业系统和个人用户,此病毒可通过网络传播,与以往病毒不同,其代码非常精密曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet目前已经侵入我国。
瑞星昨日发布的预警显示,国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击,而且由于安全制度上的缺失,该病毒还存在很高的大规模传播风险。
据瑞星安全专家介绍,Stuxnet 蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。
关键字:震网;超级工厂;Stuxnet蠕虫病毒目录一.病毒简介二.病毒的传染(一)传染方式:(二)传染流程三. 病毒原理四.病毒防御五.解决方案(一)杀毒软件清除病毒(二)手工清除病毒六.安全建议七.结束语一、病毒简介病毒名称:Worm.Win32.Stuxnet病毒概述:Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。
特别是针对西门子公司的SIMATIC WinCC监控与数据采集(SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。
传播途径:该病毒主要通过U盘和局域网进行传播。
历史“贡献”:曾造成伊朗核电站推迟发电。
2010-09-25,进入中国。
Stuxnet及其变种是一种利用最新的Windows Shell漏洞传播恶意文件的蠕虫。
造成这个漏洞的原因是Windows 错误地分析快捷方式,当用户单击特制快捷方式的显示图标时可能执行恶意代码(文件带有.LNK扩展名)。
二、病毒的传染(一)传染方式:这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。
黑客越来越黑 震网病毒袭击伊朗核电站
黑客越来越黑震网病毒袭击伊朗核电站荀子在《劝学》中道:青,取之于蓝,而青于蓝;冰,水为之,而寒于水。
黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙,对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
随着互联网不断扩张与升级,黑客魔爪已经从互联网延伸至汽车(相关阅读:红色警报!黑客入侵会导致汽车刹车失灵)、电网甚至成为国家之间战争的机器。
在这个网民安全意识不够成熟、安全防护措施还不完善的黑产业无比红火的年代,在金钱与利益的驱动下,黑客越来越黑,病毒越来越毒。
病毒与黑客成未来战争中的枪炮与士兵网络成为未来战争的兵家必争平台之一,在对未来战争规模的判断上,美国和俄罗斯的军事专家都认为爆发全面核战争的可能性几乎为零,未来战争将是综合性高技术的“非接触战争”,单靠某一种技术、某一种武器装备、某一种领域的优势,将很难左右武装冲突的结局。
网络战和电子战固然将在未来战争中占据重要地位,但只有二者的结合即信息化战争,才是未来的主要战争形式。
病毒与黑客成未来战争中的枪炮与士兵“军人是战争的主人,战争是为军人创造的”,这句话在未来战争中将不再适用。
一些掌握尖端技术的“不穿军装的人”将在未来战场以外的地方决定着战争结局。
这也许是新世纪新战争的最大特点。
美国国防部现在已经开始网罗计算机“黑客”,准备在未来战争中将其用于瘫痪敌方计算机和通信指挥系统。
近日,计算机安全专家发现了一种威力巨大的“网络蠕虫病毒”。
在对这种名为“震网”的病毒进行了深入分析后,越来越多的人相信,这可能是全球第一种投入实战的网络武器,它的打击对象或许就是饱受西方谴责的伊朗布舍尔核电站。
伊朗半官方的通讯社报道,该国核能机构正采取一切必要措施来清除入侵电脑系统的“蠕虫病毒”。
外界普遍认为,该病毒可能系伊朗的敌人专门为破坏布舍尔核电站而“量身定做”的。
【推荐下载】肆虐伊朗工业控制系统的三个超级病毒
张小只智能机械工业网
张小只机械知识库肆虐伊朗工业控制系统的三个超级病毒
超级病毒又来了!近日,伊朗南部的一位国防官员表示,该地区的一家大型发电厂以及多家工业厂家再次遭到了超级病毒Stuxnet的袭击。
此前媒体已经多次报道伊朗遭受网络攻击。
伊朗是三个超级病毒震网(Stuxnet)、毒区(Duqu)和火焰(Flame)攻击的重灾区。
众所周知,超级病毒结构十分复杂,非一般人和组织能制作出来;另外,超级病毒的攻击目标非常明确,如伊朗的核电站核心设施,这样的攻击不像是一般黑客所为。
或许我们可以大胆预测,地区之间的网络战争已经打响。
超级病毒究竟有多厉害?真的能担当网络战争的重任吗?下面我们来简要了解一下上述三个超级病毒。
震网(Stuxnet)病毒,是一种蠕虫程序,于2010年被发现,是世界上首个网络超级武器。
震网病毒专门针对德国西门子公司的工业控制系统,如此明确的攻击目标使其获得世界首枚数字弹头的称号。
震网曾经感染了全球超过45000个网络,伊朗遭到的攻击最为严重。
伊朗基础设施大量使用西门子公司的工业控制系统,由此招致60%的个人电脑遭受攻击:大约3万个互联网终端和布什尔核电站员工个人电脑遭感染,并且震网试图破坏伊朗进行铀浓缩的离心机。
由此看来,可以造成工业破坏的震网可以算作合格的战争武器了。
毒区(Duqu)是出现于2011年继震网蠕虫后最为恶性的一种可窃取信息的蠕虫,而且与震网一样,毒区大多数出现在工控系统中。
然而与震网不同,毒区的目的是收集与攻击目标有关的各种情报。
它收集密。
《零日漏洞:震网病毒全揭秘》Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon
出版物刊名: 汕头大学学报:人文社会科学版
页码: 156-156页
年卷期: 2016年 第6期
主题词: First;病毒;the;to;of;《纽约时报》;《连线》杂志;国际关系;
摘要:无论在网络战发展史上,还是国际关系层面,美国联手以色列对伊朗核设施实施攻击的震网事件,都是里程碑式的。
震网病毒作为全球范围内第一个已知的,以政府为背景的网络武器,利用巧妙、精心设计的机制,对伊朗核设施成功进行攻击。
这个事件通过《纽约时报》2012年6月首次披露,迄今各种传说和演绎,充斥着阴谋论和想象力。
KimZetter著作《零日漏洞》让我们重温震网事件,是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物。
全书共分为序幕和19个章节,基于广泛采访事件相关人物,多方收集一手信息,包含了大量之前从未被披露过的有关震网的信息。
作为一名独立记者,KimZetter曾经为《连线》杂志写过100多篇文章,本书基于卡巴斯基实验室全球研究与分析团队成员的采访,精心梳理而成的一本非小说类著作。
2016年,中国读者可以先欣赏基于本书完成的纪录片《零日攻击》。
一个U盘传播的震网病毒,破坏了伊朗的核计划
一个U盘传播的震网病毒,破坏了伊朗的核计划编者按:纳坦兹核工厂的离心机级联方式,从左往右正是20,24,20,16,12,8,4,与震网病毒的描述完全相同!内贾德视察伊朗浓缩铀工厂原题 | 只靠U盘传播的震网病毒破坏了伊朗的核计划来源 | 百家号“史海挖掘者”作者 | 史海挖掘者震网病毒是一种首次发现于2010年的恶性蠕虫电脑病毒,攻击的目标是工业上使用的可编程逻辑控制器(PLC)。
震网病毒感染了全球超过20万台电脑,摧毁了伊朗浓缩铀工厂五分之一的离心机。
震网病毒的感染途经是通过U盘传播,然后修改PLC控制软件代码,使PLC 向用于分离浓缩铀的离心机发出错误的命令。
伊朗纳坦兹的核工厂与其他的恶性病毒不同,震网病毒看起来对普通的电脑和网络似乎没有什么危害。
震网病毒只会感染Windows操作系统,然后在电脑上搜索一种西门子公司的PLC控制软件。
如果没有找到这种PLC控制软件,震网病毒就会潜伏下来。
如果震网病毒在电脑上发现了PLC控制软件,就会进一步感染PLC软件。
随后,震网病毒会周期性的修改PLC工作频率,造成PLC控制的离心机的旋转速度突然升高和降低,导致高速旋转的离心机发生异常震动和应力畸变,最终破坏离心机。
西门子公司的PLC震网病毒的目标是伊朗的核工厂,位于纳坦兹的浓缩铀工厂需要大量的离心机来分离铀235和铀238,因此也广泛使用了西门子公司的PLC及控制软件。
2009年上半年,由于该工厂部分离心机的异常停机造成严重的生产事故,导致伊朗原子能机构的负责人迫于压力辞职。
在2009年11月到2010年1月之间,震网病毒就摧毁了伊朗1000多台离心机。
伊朗浓缩铀工厂的离心机在震网病毒的肆虐下,伊朗纳坦兹的核工厂里可用的离心机数量从4700台降低到3000多台。
到2010年,核工厂仍然因为技术问题多次停工,工厂的浓缩铀分离能力比去年下降了30%。
对于频繁出现在纳坦兹核工厂的生产事故,唯一合理的解释就是震网病毒。
国内外网络安全近年大事件介绍
美g当局表示,针对运行Linux设 备 , B 名 黑 s 协 LV 建 FMirai©意软件,MiraiM用Te0net扫描 器识别h线暴露的设备,并结a淜洞利用和默认凭证感染不安P的设备,不断添加到僵尸网络D。
牵m调查的美g联邦调查局(FBI)表 示 ,Mirai僵尸网络由3 A多台设备组成, 其 Dl多 为 数 n 录 像 机 (DVR)、监控摄像m和路由器。
此过程中使用的计算机病毒叫"震网病毒”。
3
© sh re
伊朗震网事件r蠕虫病毒( 20 0年01攻击目标是工业上使用的可编程逻辑 控 制 器 ( PLC) 。震网病毒感染了全球超过202台电脑1摧毁了伊朗浓缩铀工厂d 量离心©。震网病毒感染途经是通过U盘传播1 然 后 修 改 PLCw制 软 件 代 码 1 使 PLC向用于分离浓缩铀的离心©W出错误的命令。
5
© share
伊朗震网4件与震网病毒
在震网病毒的肆虐下,伊朗纳坦兹的核工厂里可用的离s机数量从4700台降低到 3000 多台。到20 0年,核工厂仍然因2技术间题多次停工,工厂的浓缩铀分离能力 大大下 降。对5频繁出现在纳坦兹核工厂的生64故,唯一合理的解释就©震网病毒 。
震网病毒代码的复杂性,以及对工业设备的精确攻击,表明这绝不©某1黑客的小打小 闹,而©来自5某1西方大国的网络谓报机构。根据各国反病毒专家对震网病毒的研究, 其幕后黑手指向美国和以色列。早在2005年,美国就开ae找一种可以破坏伊朗核计 划的隐蔽性r强的非军4手段。经过小布7和奥巴马0h政府的努力,终5研发出3攻 击伊朗核工厂的计算机系统并瘫痪离s机的震网病毒。
1
© share
从伊朗核电站遇袭事件
从伊朗核电站遇袭看电力行业主机加固一、伊朗核电站遇袭事件及分析从9月22日开始,国内各大新闻媒体包括中央电视台、新华网、人民网、新浪、腾讯、搜狐等都相继报道一种名为“震网”的病毒袭击伊朗核电站主机系统的消息。
“震网”蠕虫病毒,英文名称叫stuxnet,也叫“超级工厂病毒”,是世界上第一个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。
计算机安全专家对病毒进行深入分析后发现,该病毒可能是第一种投入实战的网络武器,只要电脑操作员将感染的病毒的U盘插入USB接口,这种病毒就可以在不需要任何操作的情况下,取得工业用电脑系统的控制权。
自动化软件是自动化系统的灵魂,目前,“震网”病毒对伊朗核电站自动化系统的破坏,其切入口就是系统的监控和数据采集系统(SCADA系统)。
该病毒可以自动识别攻击对象,可以自动取得自动化系统的控制权限,从而窃取保密信息、破坏系统运行,甚至控制系统的运行等。
二、主机加固的起源、国家政策及相关加固方法布什尔核电站遇袭事件,给我们敲响了警钟。
反观我们国内操作系统的使用情况,百分之八九十的操作系统是Wiindows,其次才是Unix、Linux等等,而在Unix等操作系统中,又有绝大部分使用的是国外进口的系统。
众所周知,对我国在操作系统的出口,美国有着严格的等级限制。
根据美国军方的标准,按照安全程度的高低,把操作系统由高到低分为四个档次,即A、B、C、D。
其中B档又分为B3、B2、B1级,C档分为C2、C1级。
则由高到低的排列为A、B3、B2、B1、C2、C1、D。
而美国是禁止向我们国家出口安全级别在C级以上的操作系统的。
即目前国内所使用的操作系统,包括服务器和个人PC,安全级别都只是在C级。
其次,作为两个具有竞争关系的国家,我们并不能保证美国进口给我们的操作系统的安全性。
微软出于市场的考虑,承诺向中国政府开放部分源代码,然而,开放的程度众所周知。
今天你被震了没有?——手把手教你清除“震荡波”病毒
今天你被震了没有?——手把手教你清除“震荡波”病毒七楼住客
【期刊名称】《电击高手》
【年(卷),期】2004(000)006
【摘要】最近许多使用Windows 2000/XP/2003系统的用户在上网的过程中,都发现电脑不断重启、死机、出现系统错误的提示框等,有时还出现非常类似“冲击波”病毒倒计时的窗口。
其实这些都是最新出现的震荡波(Sasser)蠕虫病毒引起的,它能造成大面积的电脑瘫痪现象,从而极大地影响局域网与“震荡波”病毒的清除及预防措施。
【总页数】2页(P52-53)
【作者】七楼住客
【作者单位】E龙工作室
【正文语种】中文
【中图分类】TP309.5
【相关文献】
1.手动清除“震荡波”病毒 [J], 爆风雪
2.手把手教你清除笑哈哈病毒 [J], dizen
3.手把手教你做病毒 [J], 冰河
4.手把手教你读懂"小蝌蚪"检查报告 [J], 李彬兵
5.“震荡波”肆虐全球朝华软件防“震”有方 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿时间:2011-07-15作者简介:李战宝(1964-),男,河南,副研究员,本科,主要研究方向:国外信息安全研究;潘卓(1986-),女,黑龙江,翻译,本科,主要研究方向:国外信息安全研究。
李战宝,潘卓(1.国家信息技术安全研究中心,北京 100084)摘 要:2010年伊朗发生的“震网”病毒事件震动全球,成为业界瞩目的热点。
文章介绍了“震网”病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等,并探讨了该事件带来的启示。
关键词:“震网”病毒;数据采集与监视控制系统;工业控制系统中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)09-0230-03The Perspective of Stuxnet ViruLI Zhan-bao, PAN Zhuo( 1. National Research Center for Information Technology Security, Beijing 100084, China )Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it becamea hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus,its operating environment, its ways and features of infection, as well as its harm and preventive measures. We alsoexplore several inspirations referred to this event to our people, all of this as for reference only.Key words: stuxnet virus; SCADA; ICSdoi:10.3969/j.issn.1671-1122.2011.09.070透视“震网”病毒1 “震网”病毒震动业界近期,“震网”病毒(Stuxnet病毒)成为业界热议的焦点之一,信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一,并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一,且病毒攻击将更具目的性、精确性和破坏性。
根据著名网络安全公司赛门铁克的研究反映,早在2009年6月,“震网”病毒首例样本就被发现。
2010年6月,“震网”病毒开始在全球范围大肆传播,截至2010年9月,已感染超过4.5万网络及相关主机。
其中,近60%的感染发生在伊朗,其次为印尼和印度(约30%),美国与巴基斯坦等国家也有少量计算机被感染。
数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。
德国GSMK公司专家认为,“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。
2010年8月布什尔核电站推迟启动的事件,将“震网”病毒推向前台,并在社会各界迅速升温。
2010年11月29日,伊朗总统内贾德公开承认,黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。
据报道,“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。
一位德国计算机高级顾问指出,由于“震网”病毒的侵袭,伊朗的核计划至少拖后了两年[2]。
据悉,2010年7月,我国某知名安全软件公司就监测到了“震网”病毒的出现,并发现该病毒已经入侵我国。
该公司反病毒专家警告说,“震网”病毒也有可能在我国企业中的大规模传播。
2010年10月3日,中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警,要求我国能源、交通、水利等部门立即采取措施,加强病毒防范工作。
由于“震网”病毒在伊朗感染的计算机占全球范围的60%,其首要目标就是伊朗的核设施,且技术实现复杂,很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。
以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露:“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’,伊朗的核武研发项目早已实现突破。
”书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控,该设备能在瞬间产生数万伏高压电,而在过去几年中,伊朗多处核设施发生供电事故。
以色列新闻网站 2010年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。
因此,有媒体认为,美国和以色列最有可能是发动该病毒袭击的幕后操纵者。
2312 “震网”病毒技术分析“震网”病毒主要利用Windows 系统漏洞通过移动存储介质和局域网进行传播,攻击以西门子公司控制系统(SIMATIC WinCC /Step7)的数据采集与监视控制系统(简称SCADA )。
SCADA 系统是一种广泛用于能源、交通、水利、铁路交通、石油化工等领域的工业控制系统(ICS )。
SCADA 系统不仅能够实现生产过程控制与调度的自动化,而且具备现场数据采集、监视、参数调节与各类信息报警等多项功能。
“震网”病毒激活后,将攻击SCADA 系统,修改其可编程逻辑控制器(PLC ),劫持控制逻辑发送控制指令,造成工业控制系统控制混乱,最终造成业务系统异常、核心数据泄露、停产停工等重大事故,给企业造成难以估量的经济损失,甚至给国家安全带来严重威胁。
2.1 运行环境“震网”病毒可以在Windows 2000、Windows XP、Windows Vista、Windows 7以及Windows Serve 等操作系统中激活运行。
该病毒激活后,将利用SIMATIC WinCC 7.0、SIMATIC WinCC 6.2等版本的工业控制系统软件漏洞,实现对CPU 6ES7-417和6ES7-315-2型可编程逻辑控制器(PLC )的攻击控制。
2.2 传播方式由于“震网”病毒的攻击目标SIMATIC WinCC 软件主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。
为了实现攻击,“震网”病毒首先通过互联网等感染外部主机;然后利用Windows 系统漏洞感染U 盘,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC 远程执行漏洞、打印机后台程序服务漏洞等多项系统漏洞,实现联网主机之间的传播;最后抵达安装了WinCC 软件的主机,实现对工业控制系统的攻击。
2.3 关键技术[3]“震网”病毒主要利用了五个Windows 系统漏洞(其中四个是“零日”漏洞)以及西门子公司控制系统SIMATIC WinCC 软件的漏洞,伪装RealTek 与JMicron 两大公司的数字签名,绕过安全产品的检测,最终实现了对工业控制系统的攻击。
由于“震网”病毒在U 盘和网络中的感染、传播技术与传统的蠕虫病毒相类似,因此,我们主要讨论“震网”病毒对工业控制系统可编程逻辑控制器的感染过程。
可编程逻辑控制器(PLC )是工业控制系统得以自主运行的关键。
PLC 中的控制代码通常由一台控制计算机通过数据线利用SIMATIC WinCC/step 7等软件进行上传和配置。
同时控制计算机还可以通过管理软件检测PLC 代码合法性和安全性。
PLC 中的代码一旦配置完成,就可以脱离控制计算机独立运行,自主完成工业控制系统中对生产现场的数据采集、监视、调度等工作。
图1 通过库文件s7otbxdx.dll来和PLC完成读写、查找等通信控制“震网”病毒激活后,会将原始的s7otbxdx.dll 文件重命名为s7otbxsx.dll。
然后,它将用自身取代原始的DLL文件。
现在,“震网”就可以拦截任何来自其他软件的访问PLC 的命令。
被“震网”修改后的s7otbxdx.dll 文件保留了原来的导出表,导出函数仍为109个,其中93个导出命令会转发给真正的DLL,即重命名后的s7otbxsx.dll,而剩下的16种涉及PLC 的读、写、定位代码块的导出命令则被“震网”病毒改动后的DLL 拦截。
图2 修改发送至PLC或从PLC返回的数据并将恶意代码隐藏在PLC中此外,“震网”病毒为了防止其写入PLC 的恶意数据被PLC 安全检测和防病毒软件发现,“震网”病毒利用PLC rootkit 技术将其代码藏身于假冒的s7otbxdx.dll 中,主要监测和截获对自己的隐藏数据模块的读请求、对受感染代码的读请求以及可能覆盖“震网”病毒自身代码的写请求,修改这些请求以保证“震网”病毒不会被发现或被破坏。
如,“震网”病毒劫持s7blk_read 命令,监测对PLC 的读数据请求,凡是读请求涉及“震网”病毒在PLC 中的恶意代码模块,将返回一个错误信息,以规避安全检测。
“震网”病毒在感染PLC 后,将改变控制系统中两种频率转换器的驱动,修改其预设参数。
频率转换器用来控制其他设备的运行速度,如发动机,大量应用于供水、油气管道系统、HVAC 等设施中。
“震网”病毒主要针对伊朗德黑兰Fararo Paya 生产的和芬兰VACON 生产的变频器,导致其控制设备发生异常。
2.4 防范措施“震网”病毒的传播和破环,凸显了物理隔离的专用网络和专用控制系统的安全问题。
目前,虽然微软公司和西门子公司都已经提供了针对“震网”病毒相关的漏洞补丁,安全厂商也提供了专用的杀毒软件,但为了防范类似“震网”病毒的破坏,还需要采取以下措施:一是为物理隔离的网络和主机及时更新操作系统补丁,建立完善的安全策略;二是建立应用软件安全意识,及时跟踪所用软件的安全问题,及时更新存在漏洞的软件;三是采取严格的技术和管理手段,规范移动存储介质的使用,阻止病毒利用移动存储介质进行传播;四是关闭各类主机中不必要的服务功能。
此外,作为应急响应措施,需要对能源、交通、水利重要部门的工业控制系统进行安全检查,做好应急防范。
3 “震网”病毒的特点“震网”病毒与传统蠕虫病毒相比,除了具有极强的隐蔽性与破坏力,还具备如下特点:3.1 病毒攻击具有很强的目的性和指向性“震网”病毒虽然能够像传统蠕虫病毒一样在互联网上广泛传播,但并不以获取用户数据或牟利为目的,但其最终的攻击目标是重要基础设施的自动控制系统ICS,修改ICS的数据采集、监测、调度等命令逻辑,造成工业控制系统的采集数据错误,命令调度混乱,甚至完全操纵控制系统的指控逻辑,按实施攻击者的意愿对工业生产造成直接破坏。