根据美国工业控制系统网络紧急应变小组(ICS-CERT)的最新报告显示，在2009年到2011年间，美国关键基础设施公司报告的网络安全事件数量出现急剧增加。

　　在2009年，ICS-CERT仅确定了9起安全事件报告。在2010年，这个数字上升到41起。在2011年，为198起，在这198起事件中，7起事件导致ICS-CERT不得不部署现场事件响应小组，21起其他事件需要获取高级分析实验室的远程分析支持。根据该报告显示，涉及水利部门的安全事件占所有事件的一半以上，因为这个部门涉及大量面向互联网的控制系统设备。

　　IndustrialDefender市场营销副总裁KimLegelis表示，虽然并不是所有的报告事件都与网络攻击有关，但增加的幅度多少有些令人吃惊。

　　她表示：“虽然关键基础设施网络安全人员意识到威胁正在不断升级，但从该报告的数据来看，实际情况比预期的更严重。”

　　总体来看，ICS-CERT在2009年、2010年和2011年间执行了17次现场评估。最常见的网络入侵攻击方式是鱼叉式网络钓鱼攻击，占据17次事件中的7次，其余的11起事件涉及“复杂的攻击方式”，此外，有几起事件的目标都是数据盗窃。

　　“没有直接针对控制系统网络的入侵攻击，”该报告指出，“然而，鉴于很多这些企业网络的互联性质，一旦攻击者进入网络，他们就可能移动到网络的其他部分，包括控制系统(他们可能破坏关键基础设施操作)等。”

　　引人关注的是，在17起事件的12起事件中，企业原本可以通过部署安全最佳做法(例如登陆限制和正确配置防火墙)来阻止攻击，减少安全团队检测或者降低攻击影响的时间。就在上周，ICS-CERT发现，多个使用“默认用户名和密码”的系统可以通过互联网访问，这些系统包括Echeloni.LON产品，该产品被部署在电机、水泵、阀门、传感器和其他控制设备中。

　　根据ICS-CERT表示，在这17起事件中，10个企业原本可以通过使用入口/出口过滤掉已知的不良IP地址或域名来检测到入侵攻击。在3起事件中，外部企业已经通知资产所有者存在网络攻击或者入侵事件，而在另外两起事件中，第三方(例如咨询公司或者集成商)发现了入侵攻击。

　　“风险管理和评估仍然是一门艺术，而不是一门科学，”nCircle公司安全研究和开发主管LamarBailey表示，“我们需要IT和安全机构之间更多的协作以大幅度提高风险评估的准确性。”

　　为了应对鱼叉式钓鱼攻击，WombatSecurityTechnologies公司的NormanSadeh建议公司开发一个安全培训计划，例如向员工发送模拟钓鱼电子邮件。

　　“当员工受到模拟钓鱼攻击时，这就创建了一个很好的受教时刻，员工就会非常谦卑地学习相关知识，”Wombat公司首席科学家Sadeh表示，“这个时候应该及时地告诉他们做错了什么，攻击者的目标是什么以及如何避免今后发生类似攻击。”

(责任编辑：)