b********e
发帖数: 73 | 1 美国《华盛顿时报》网站3月17日文章,作者:肖恩•沃特曼
安全专家说,中国的大坝、石油天然气管道、工厂和其他计算机控制的基础设施比
其他国家的此类设施更易受到网络攻击。
“震网”(Stuxnet)计算机蠕虫病毒去年控制了数百座铀浓缩离心机并使之停止工
作,延缓了伊朗核计划的进展,并以此显示了此种攻击的有效性。对中国的计算机控制基
础设施进行网络攻击将危及这个世界第二大经济体,从而可能影响包括美国在内的北京
贸易伙伴的经济状况。
安全专家说,中国易受攻击根源在于其刚刚起步的国内软件业——这一行业受到北
京扶持——及其计算机防御组织缺乏透明性,这使得与进入西方的系统相比,擅自进入中
国的系统较为容易。
有意思的是,人们普遍认为中国在网络空间里是一个侵略者。美国和其他西方国家
认定,在一些以它们的基础设施计算机系统为目标的网络间谍活动中,北京是幕后黑手。
工厂、大坝、公用设备和其他工业活动依赖运行数据采集与监视控制系统(SCADA)
的计算机来运转、养护和检修它们的机械。类似 “震网”病毒这样的恶意计算机程序
使黑客得以劫持这一系统。中国国内最主要的SCADA软件开发商是北京亚控科技公司。
该公司在其网站上夸耀说,它的“组态王”(Kingview)SCADA软件产品是在中国该类产品
中运用最为广泛的,在航空航天和国防工业中也有客户。
在一家美国计算机安全公司工作的狄龙•贝雷斯福德去年在组态王软件中发
现了一个致命缺陷并向该公司和中国当局报告了这一情况,但他碰了壁,遭到否认。这让
人们对中国的网络安全措施产生了严重怀疑。
贝雷斯福德说,这种缺陷能使黑客控制任何由组态王软件操控的工业机械。他去年
确认了这一缺陷,并立即通知了亚控科技公司和中国国家计算机网络应急技术处理协调
中心(CN-CERT)。二者都没有承认贝雷斯福德与它们有过联系,也没有在三个半月内采取
措施处理这一缺陷。
贝雷斯福德说,这并不是他第一次在中国软件中发现缺陷。他在提到CN-CERT和中国
其他官方计算机安全组织时说:“在涉及国内厂家开发的软件的缺陷时,他们不是完全透
明或公开的。”
缺乏透明度是一个问题:为了有效修补漏洞,这项工作必须公开行事,这样每个拥有
这一软件的人才会知道需要下载和运行补丁程序。
贝雷斯福德说,中国的基础设施“(与其他国家一样)易受攻击,而且很可能程度更甚
”。 |
|
