无障碍链接

中国时间: 11:04 2016年12月05日星期一

中国基础设施网络软件存在安全隐患


一家美国网络安全公司发现,中国自主开发的一个广泛应用在支柱产业的自动化软件存在安全缺陷。这个发现暴露出由计算机控制的基础设施存在安全隐患。网络安全专家警告说,针对计算机控制基础设施的网络攻击不仅会危及中国经济,也会威胁到美国的经济安全利益。

中国的大坝、油气输送管道、工厂和其他由计算机控制的基础设施相比其他国家更容易遭受网络袭击。这是华盛顿时报近日一篇报导援引网络安全专业人士所发出的告诫。

这似乎有些耸人听闻。但是,该报导说,这样的攻击是有先例的 - 去年,Stuxnet计算机蠕虫曾侵入伊朗的核反应系统,导致数百个铀浓缩离心机无法正常运转。

该报导说,中国在这方面的弱点源自于尚在发展中的本土软件产业。报导引述网络安全专业人士的话说,由于中国的计算机网络防御机构缺乏透明度,使其系统比西方国家的网络系统更易于遭受侵袭。

美国网络安全公司NSS Labs的网络系统安全研究员在对一个在中国广泛使用的监控和数据采集(SCADA)系统软件进行分析后,发现它存在安全隐患。

该公司的首席执行官里克·莫伊(Rick Moy)对美国之音说:“软件与生俱来就会存在缺陷和弱点。我们一直在分析各种软件可能存在的问题。我们分析了许多美国的软件,现在也开始分析中国的软件。因为中国有很大的市场,也是个相当工业化的国家。我们怀疑中国的软件可能与美国软件存在相似的问题。”

该公司研究员迪伦·贝里斯福德(Dillon Beresford)去年对亚控科技(WellinTech Inc.)开发的Kingview SCADA软件进行了分析后,发现该软件存在严重的安全疏漏。

亚控科技在其网站上称,它是一个全球经营的自动化软件公司,并自称是该领域亚洲规模最大、实力最强的公司。亚控科技网站说,它的软件广泛应用于市政、水利、电力、冶金,以及石化等支柱产业。

莫伊说,贝里斯福德依照该公司的规定,在发现软件安全隐患后,及时通知了亚控和相关机构。

他说:“贝里斯福德在发现这方面隐患后,给开发商和中国的计算机应急响应小组都发了电子邮件,报告了他的发现。但是,他在其后一百天,没有收到任何回复。”

贝里斯福德对华盛顿时报说,他在等了3个半月都没有得到任何回应。之后他将部分概念验证数据在互联网上发布。过了几天,中国的计算机应急响应小组表示问题已经得到修补。该小组在给美国计算机应急响应小组发送的一份电子邮件中解释说,贝里斯福德的邮件被每天要处理数千个邮件的当班人员给漏掉了。

贝里斯福德说,他还发现其他中国开发的软件存在疏漏。他对华盛顿时报说,中国的计算机应急响应小组和其他官方计算机安全机构,在涉及本土软件弱点问题时,往往不够透明和开放。他说,这方面的透明度相当重要,因为要有效进行修补,必须将问题公开,这样才能让用户知道他们需要下载修补软件。

美国智囊机构战略与国际研究中心的技术与公共政策项目主任詹姆斯·路易斯(James Lewis)在谈到中国本土软件存在的安全隐患问题时说,这方面的问题与其他问题是相互关连的。他说,中国希望成为全球创新者,但是要达到这个目的就必须重视知识产权的保护;而要保护知识产权,就不能无视中国存在猖獗的网络间谍现象。

另一方面,路易斯警告说,美国也应该重视中国存在的网络安全隐患,因为它关乎美国自身利益。

他说:“网络安全是个共同的问题。美国和中国在这方面的相互利益比起其他国家更多。这是因为它们的经济已经非常紧密地联系在一起。它们之间的网络也是相互交织的。”

他说,两国在网络安全方面的合作非常重要。但是,刘易斯承认,双方仍然在很多问题上缺乏互信。他说,两国关系在今后几年面临的挑战之一,就是消除歧见,建立起更大程度的互信。

XS
SM
MD
LG