<fieldset id="6wgag"></fieldset>

  • <strike id="6wgag"></strike><samp id="6wgag"><tbody id="6wgag"></tbody></samp>
    
  • <strike id="6wgag"></strike>
  • 首頁 » 創新知識 » 技術前沿

    控制工程師如何保護現代SCADA系統

    來源:OFweek 工控網     發布時間:2016-07-18
    工業控制網絡與企業其它組件整合的結構對于增強安全性能至關重要。要保護敏感的工業控制網絡,必須提供合適的流量分割、訪問控制、認證機制,與此同時,需要分析流量和警報日志,并適當處理安全警報。

      研究團隊接下來在沒有網絡、SIM卡或WiFi的條件下演示了AirHopper的攻擊過程。這項成果讓人們更加擔心物理隔離安全。

     

      當時,一些觀察家仍舊看好物理隔離系統。比如來自Dark Reading的艾里加·克考斯基(Erika Chickowski)寫道,系統管理員能夠采取一定的措施,保護系統免受AirHopper和其它使用聲音和非可見光傳輸惡意命令的威脅向量的攻擊。比如將聲音功能關閉、限制或完全禁止手機靠近物理隔離設備。

     

      但之后的事態發展并不利于物理隔離的支持者。

     

      今天,產業內的大多數人都認為物理隔離的設計華而不實。但這并不是說并不存在真正的物理隔離。

     

      埃里克·貝爾斯(Eric Byres)是SCADA安全領域的頂尖專家,他在Belden博客上發表的一篇文章中闡釋稱,控制房屋熱泵的電子溫度控制器等“瑣碎系統”更有可能和網絡隔絕,盡管從屬于這些系統的互聯溫度控制器、WiFi智能插頭和其它設備正在逐漸流行,變得日漸互聯。

     

      當然,與全國關鍵基礎設施保護相關的系統在很久以前就不使用物理隔離了,包括電網和運輸系統。

     

      貝爾斯引用美國國土安全部國家網絡安全與通訊整合中心(NCCIC)負責人西恩·麥克格爾(Sean McGurk)的話:在我們對私營領域進行的數百次漏洞評估經歷中,從來沒有發現過工作網絡、SCADA系統和能源管理系統與企業網絡隔離的情況。“平均而言,我們在這些網絡之間能夠發現11個直接連接。在一些極端的情況下,我們在生產網絡和公司網絡之間發現過250個連接。”

     

      簡而言之,現代工業控制系統太依賴于外部來源的信息流,無法采用物理隔絕。管理員總是需要安裝新的補丁和新版本軟件,這種需求帶來了SCADA入侵的新入口,比如USB鑰匙盤或者筆記本電腦。

     

      這只對外部威脅適用。Belden上發布的一篇獨立博文中稱,大多數工業安全事件來自于控制網絡內部。這不僅表明了物理隔絕的無用性,還展示了錯誤配置的防火墻、劃分糟糕的網絡、沒打補丁的軟件、設備錯誤、BlackEnergy等惡意軟件如何對關鍵系統產生安全沖擊。(BlackEnergy是黑客在烏克蘭最近發生的入侵斷電事故中使用的惡意軟件)

     

      如果物理隔離已經屬于過去時,系統管理員和控制工程師如何保護現代SCADA系統?

     

      未來的路依賴于基礎網絡和運行安全實例。保爾·佛格森(Paul Ferguson)是Trend Micro公司的資深威脅研究顧問,他在一份報告中解釋了安全人員如何集中于縮減風險,并保持適應性的、不斷發展的安全態勢。

     

      工業控制網絡與企業其它組件整合的結構對于增強安全性能至關重要。要保護敏感的工業控制網絡,必須提供合適的流量分割、訪問控制、認證機制,與此同時,需要分析流量和警報日志,并適當處理安全警報。

     

      遵從 IEC 62443 工控網絡與系統信息安全標準,企業能夠從完善的安全防御體系中獲取更多好處。通過將系統分割成區域,并在其間配置通信渠道與專門針對工控系統通信協議優化的防火墻,可以增加系統強度,提供更完善的保護。

     

      同樣的防御措施對于 SCADA 系統連接到企業網絡或外部網絡的情景也適用。這些情景現在通常被稱為工業互聯網(Industrial Internet)或者工業物聯網(Industrial Internet of Things)。

     

      在一篇關于計算技術的論文中,通用電氣副總裁兼首席技術官哈雷爾·柯岱什(Harel Kodesh)將工業網絡分為三層:邊界、中間層、云。通過保護邊緣設備并在網關層安裝傳感器,企業能夠進一步保護云,特別是在云服務器已經特別為安全優化、或者被配置為方便邊界設備與網關之間進行信息共享的狀態時。

     

      你可以擁有情景意識。如果你發現了一個 IP 地址同時想要連接到波蘭和英國的發電廠,就需要提起注意了。如果你只在自己的系統上進行操作,就無法獲得這樣的智能。這有點違反人們的直覺,但在這個背景下,云系統比相互隔絕的系統更加安全。

     

      按照“安全第一,功能第二”的信條制造物聯網設備,外加讓工控網絡的三個層次持續進行自驗證,這也將大大提升安全性。

     

      關于讓流程更加順暢,IT 人員可以向操作技術(Operation Technology,OT)部門學習更多東西:

     

      Tripwire 的公司首席研究官大衛·梅爾澤(David Meltzer)說:“對于想要在安全方面和 OT 進行合作的 IT 安全專家們而言,學習 OT 的工作原理是個不錯的開始點。”他補充稱:“這可能意味著購買可編程控制器培訓包、學習這些設備在其它環境中實際上是什么樣的、報名工業安全控制課程、讀一本關于這個主題的書。這對于專業人士而言大有助益,可以幫助他們以開放的心態了解對方。”

    責任編輯:覃琬蕓
    相關評論
    公共服務資源
    促進會會員征集
    設為首頁  |  關于我們  |  會員服務  |  友情鏈接  |  聯系我們
    中國·廣西工業創新促進會 ©版權所有  桂ICP備14000625號-2
    在线私拍国产福利精品| 无码日韩人妻av一区免费| ...91久久精品一区二区三区| 亚洲线精品一区二区三区影音先锋| 亚洲精品和日本精品| 日韩高清在线观看永久| 国产精品久久久久9999赢消| 国产精品日韩深夜福利久久 | 亚洲国产精品久久| 国内精品久久久久影院日本| 精品一区二区三区免费观看| HEYZO无码综合国产精品227| 九九精品视频在线| www亚洲精品少妇裸乳一区二区| 日韩欧美一区二区三区免费观看| 成人日韩熟女高清视频一区| 国产成人无码精品一区不卡| 国产精品社区在线观看| 精品伊人久久大线蕉地址| 久久精品免费一区二区喷潮| 亚洲日韩精品无码专区加勒比☆| 99久久久精品免费观看国产| 精品久久久久久无码不卡| 国产精品视频白浆合集| 精品久久久一二三区| 亚洲精品精华液一区二区| 亚洲爆乳精品无码一区二区| 久久精品国产亚洲av品善| 在线精品一区二区三区电影| 国产精品久久久福利| 夜夜精品视频一区二区| 日韩精品电影一区| 凹凸国产熟女精品视频| 日韩久久久久中文字幕人妻| 亚洲高清专区日韩精品| 精品国产日韩一区三区| 国产精品亚洲精品日韩电影| 合区精品中文字幕| 国产伦精品一区二区免费| 99精品视频在线| 久久精品国产亚洲网站|