安全报告：针对重要基础设施企业的网络攻击增加

CNET科技资讯网 4月20日 国际报道 最新报告称，针对重要基础设施企业的网络攻击呈增长趋势。虽然攻击增加，但许多企业并未采取足够的保护措施保护其系统，而是在未采取安全措施的情况下部署智能电网等新技术。结果导致“重要产业在毫不知情的情况下遭遇网络攻击”。

杀毒软件厂商McAfee委托战略与国际研究中心（Center for Strategic and International Studies，CSIS）发布了这份报告。报告对2010年第四季度14个国家油、气、电、水和污水服务企业的200名IT安全高管进行了电子调查。

数十年来，安全一直是困扰电力公司的一个大问题，去年Stuxnet病毒肆虐使安全问题再次提上紧急日程。Stuxnet利用Windows系统漏洞，以西门子监督控制和数据获得（supervisory control and data acquisition，SCADA）软件为目标进行破坏活动。在剖析该恶意软件后，专家指出该恶意软件是针对伊朗核设施设计的。

McAfee公共部门副总裁兼首席技术官菲利斯·斯奈克（Phyllis Schneck）在接受采访时说：“Stuxnet改变了我们的认知。目前的病毒攻击能够直接针对基础设施的创建工作。”

约70%受访者表示，2010年频繁发现妨碍其系统的恶意软件；近一半电力产业的受访者表示其系统上发现Stuxnet病毒。目前尚不清楚是否有电力系统已受到Stuxnet影响，但近60%受访者称，公司因Stuxnet已制定出特别安全审查制度。

美国政府责任办公室（Government Accountability Office）和独立安全专家称，目前Stuxnet带来的威胁还包括智能电网。56%受访者表示，其公司计划部署新智能电网系统，并通过互联网与消费者连接，其中只有三分之二的公司计划为智能电网控制采取特殊安全措施。

斯奈克说：“智能电网与家庭连接时不采取安全措施，无法抵御网络攻击，为未来发生灾难埋下隐患。”

重要基础设施厂商面临的另一个攻击趋势是敲诈勒索。四分之一的受访者表示，自己曾是网络攻击的敲诈目标，被敲诈勒索的企业数量在过去一年内增长25%。印度和墨西哥被敲诈勒索的次数最高。

安全改进步伐太小

报告显示，攻击等级提高、人们对攻击的担忧日益加重，但安全改进步伐太小。约40%受访者表示，她们相信其产业缺陷增多，近30%的受访者认为其公司未为网络攻击做好准备。

报告指出：“逾40%企业高管预计一年内将有一次重大网络攻击，会造成至少24小时的服务损失、一个生命的死亡或人身伤害，或一个公司的破产。”来自印度、墨西哥和中国高管的担忧尤其突出。

与一年前相比，情况已发生巨大变化。2009年，近一半受访者表示从未遭遇网络攻击或大规模Dos攻击。现在80%的受访者称，其企业至少遭遇过一次大规模Dos攻击；85%的受访者网络遭入侵。四分之一的受访者称遭遇每日或每周DoS攻击，四分之一表示成为网络攻击勒索的受害者。

尽管攻击增加，高管忧心忡忡，但企业并未大力强化安全措施。部署安全技术的能源企业数量只增长一个百分点，为51%；油、气企业部署安全技术的比例增长3个百分点，为48%。巴西、法国和墨西哥在安全响应方面明显滞后，采取的安全措施只有中国、意大利和日本等国家的一半。

中国和日本公司与本国政府密切合作，国家法律将防止或制止在本国发生的攻击。