日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

高級(jí)持續(xù)性威脅正成為關(guān)鍵基礎(chǔ)設(shè)施及能源領(lǐng)域日漸艱巨的挑戰(zhàn)，它是一種復(fù)雜的網(wǎng)絡(luò)攻擊，通常是資金充裕、有國(guó)家背景的專業(yè)黑客小組所發(fā)動(dòng)。

成都創(chuàng)新互聯(lián)公司長(zhǎng)期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為大箐山企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、成都做網(wǎng)站，大箐山網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

針對(duì)工業(yè)控制系統(tǒng)(ICS)和數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)的高級(jí)持續(xù)性攻擊數(shù)量日漸增多，下屬美國(guó)國(guó)土安全部(DHS)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(Industrial Control)將ICS/SCADA和控制系統(tǒng)網(wǎng)絡(luò)列為黑客或病毒最容易攻擊的兩種目標(biāo)目標(biāo)。漏洞來(lái)源主要有兩種：內(nèi)部人員、面向外網(wǎng)的ICS/SCADA硬件;它們分別占漏洞總數(shù)的13%和87%。

要防御ICS/SCADA，企業(yè)顯然需要得到支持。如果缺乏合適的防御策略，連續(xù)不斷的APT攻擊將會(huì)使能源行業(yè)的高價(jià)格設(shè)備失效、紊亂乃至直接報(bào)廢。從經(jīng)濟(jì)上沖擊能源企業(yè)會(huì)直接導(dǎo)致國(guó)家電力、天然氣、石油資源的損失。能源行業(yè)和國(guó)家都應(yīng)立即開始規(guī)劃、資助并全面保護(hù)ICS和SCADA，這對(duì)于公私雙方而言都是最佳策略。

國(guó)土安全部：關(guān)鍵基礎(chǔ)設(shè)施間的關(guān)系

只考慮運(yùn)作中的關(guān)系，不考慮購(gòu)買機(jī)器和設(shè)備的過(guò)程。

保護(hù)ICS/SCADA的商業(yè)爭(zhēng)論

資助支持ICS升級(jí)替換的關(guān)鍵益處如下：

1. 維持美國(guó)的經(jīng)濟(jì)和生活方式

2. 保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施

3. 保證公司利潤(rùn)和股東權(quán)益

4. 減少公司負(fù)債

5. 美國(guó)政府將更難攫取更多權(quán)力或出臺(tái)更多監(jiān)管政策，這可能在未來(lái)削減能源領(lǐng)域的相關(guān)成本

控制內(nèi)部人員

人機(jī)交互接口(Human Machine Interface，HMI)是流行的攻擊界面。釣魚、魚叉釣魚和其它社會(huì)工程技術(shù)正繼續(xù)為黑客提供訪問(wèn)ICS/SCADA系統(tǒng)的手段。即使是采取了優(yōu)秀的員工培訓(xùn)計(jì)劃，被感染的供應(yīng)商或相關(guān)網(wǎng)絡(luò)也仍舊可能為攻擊者敞開大門。針對(duì)性的內(nèi)部人員入侵可能更難預(yù)測(cè)、識(shí)別或?qū)ζ洳扇?yīng)對(duì)措施。由于擔(dān)心訴訟、出于尷尬、擔(dān)心損失在公司內(nèi)的名譽(yù)，內(nèi)部員工不太可能向同事們披露遭遇的網(wǎng)絡(luò)安全問(wèn)題。

培訓(xùn)是減少乃至消除內(nèi)部人員攻擊的有效工具。所有能源企業(yè)都應(yīng)當(dāng)強(qiáng)制部署動(dòng)態(tài)流程，它能夠通知、指示、認(rèn)證并同意書面的合規(guī)性。培訓(xùn)系統(tǒng)設(shè)計(jì)(Instructional System Design)應(yīng)當(dāng)提前測(cè)試員工，根據(jù)員工級(jí)別量身定制培訓(xùn)知識(shí)。培訓(xùn)過(guò)程不應(yīng)當(dāng)完全基于計(jì)算機(jī)或依賴互聯(lián)網(wǎng)，另外則應(yīng)當(dāng)包括展示、研討會(huì)、案例研究/實(shí)踐。

訓(xùn)練結(jié)束后應(yīng)當(dāng)進(jìn)行事后測(cè)試。測(cè)試的通過(guò)率較高意味著員工已經(jīng)吸收了課程知識(shí)，更重要的是，證明了員工確實(shí)接收到并理解了信息。成功通過(guò)了測(cè)試的員工不能在之后聲稱“我當(dāng)時(shí)不知道”，或者對(duì)同事的安全錯(cuò)誤表示熟視無(wú)睹。

ICS/SCADA系統(tǒng)最初的設(shè)計(jì)理念是無(wú)需網(wǎng)絡(luò)也可單獨(dú)操作。然而一旦連接到網(wǎng)絡(luò)，黑客就可以遠(yuǎn)程發(fā)起數(shù)據(jù)請(qǐng)求。除非采取預(yù)防措施，這樣的人機(jī)通訊方式仍將對(duì)攻擊者可見(jiàn)。為防止攻擊者獲得網(wǎng)絡(luò)指揮、控制和通信權(quán)限，人機(jī)交互過(guò)程中應(yīng)當(dāng)始終運(yùn)行安全連接，例如網(wǎng)銀使用的協(xié)議。如果通過(guò)移動(dòng)端訪問(wèn)ICS/SCADA，必須啟用VPN。

其它優(yōu)秀措施包括：使用最小特權(quán)賬戶、對(duì)關(guān)鍵流程采取雙人控制、限制便攜式媒介、在超級(jí)用戶想要訪問(wèn)系統(tǒng)并作出修改時(shí)為其分配個(gè)人用戶和口令，而不是使用常見(jiàn)的admin作為登陸名。

很重要的一點(diǎn)在于，不要忽略與公司相聯(lián)系的組織，比如供應(yīng)商。缺乏對(duì)第三方公司的權(quán)限控制可能導(dǎo)致非法人員得到管理員權(quán)限。如果這些權(quán)限被濫用或劫持，黑客就可以通過(guò)互聯(lián)系統(tǒng)得到控制權(quán)限，訪問(wèn)到其主要目標(biāo)。比如2014年塔吉特入侵事件中，黑客就是以一家采暖通風(fēng)與空調(diào)(Heating, Ventilation and Air Conditioning，HVAC)供應(yīng)商作為跳板的。如果能源公司不采取行動(dòng)，第三方供應(yīng)商可能并沒(méi)有相應(yīng)的資源或動(dòng)機(jī)來(lái)部署防御。

獎(jiǎng)勵(lì)部署完善安全措施的供應(yīng)商，對(duì)無(wú)法符合能源行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的供應(yīng)商進(jìn)行限制，這可能會(huì)鼓勵(lì)外部合作伙伴加強(qiáng)網(wǎng)絡(luò)安全防御。#p#

安全挑戰(zhàn)

人員因素最容易導(dǎo)致非法訪問(wèn)、惡意軟件感染、有意破壞ICS/SCADA網(wǎng)絡(luò)及設(shè)備

ICS/SCADA接收來(lái)自遠(yuǎn)程終端單元(Remote Terminal Units，RTU)的信息，該單元會(huì)通過(guò)數(shù)字網(wǎng)絡(luò)或無(wú)線電進(jìn)行通訊

網(wǎng)絡(luò)可能會(huì)被惡意軟件或拒絕服務(wù)攻擊所侵害。無(wú)線電是攻擊源使用的新型攻擊界面

能源領(lǐng)域基礎(chǔ)設(shè)施中的大多數(shù)人物都需要人員參與完成

事故會(huì)發(fā)生。關(guān)鍵基礎(chǔ)設(shè)施仍處于危險(xiǎn)中

ICS/SCADA系統(tǒng)往往是定制的，它們使用傳統(tǒng)的操作系統(tǒng)的數(shù)據(jù)鏈接。數(shù)字網(wǎng)絡(luò)的增長(zhǎng)以及ICS/SCADA設(shè)備不可避免所需要的網(wǎng)絡(luò)連接從未涉及用于網(wǎng)絡(luò)操作繼續(xù)

獨(dú)立系統(tǒng)能夠增加安全性，然而具有成本和功能方面的缺點(diǎn)

SCADA/RTU接口

RTU和ICS/SCADA應(yīng)用之間的冗余安全連接能夠成為可靠、安全企業(yè)的基石。電力線路自動(dòng)化、預(yù)警系統(tǒng)、生產(chǎn)/傳輸系統(tǒng)全部需要通信媒介，信息j傳輸方式包括低速的撥號(hào)電話線、中速的無(wú)線電信號(hào)、高速的寬帶有線/無(wú)線網(wǎng)信息提供商。

大多數(shù)RTU系統(tǒng)不符合數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard，DES)和高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard，AES)要求。升級(jí)并部署符合行業(yè)加密標(biāo)準(zhǔn)的新RTU系統(tǒng)會(huì)產(chǎn)生成本。當(dāng)整個(gè)公司突然宕機(jī)時(shí)，甚至?xí)a(chǎn)生更大的成本，也許是因?yàn)樗麄円恢睂?duì)ICS/SCADA奉行的模糊即安全策略失效了。這完全在意料之中，因?yàn)闆](méi)有人會(huì)從ICS/SCADA設(shè)備本身入手。

不論是存儲(chǔ)還是傳輸過(guò)程中，數(shù)據(jù)都必須被加密。以加密格式泄露的數(shù)據(jù)對(duì)攻擊者而言通常是無(wú)用的。

通過(guò)在多個(gè)訪問(wèn)級(jí)別上部署多重密碼，可以增強(qiáng)RTU接口的安全性。多重密碼可以將應(yīng)用權(quán)限和ICS/SCADA硬件權(quán)限分割開來(lái)，避免最小特權(quán)用戶訪問(wèn)。所有硬件都應(yīng)當(dāng)使用硬件防火墻掩蓋真實(shí)IP地址。

企業(yè)應(yīng)當(dāng)部署基于不可否認(rèn)性的系統(tǒng)，對(duì)每一種活動(dòng)都分配一個(gè)數(shù)字記錄。RTU必須自動(dòng)記錄所有和訪問(wèn)相關(guān)的活動(dòng)，以實(shí)現(xiàn)其基本功能。經(jīng)常刪除、禁用并重命名默認(rèn)賬戶，并要求使用強(qiáng)密碼。應(yīng)當(dāng)考慮使用非對(duì)稱密碼的加密策略以及相關(guān)的維護(hù)軟件，比如LastPass。

老式/獨(dú)立設(shè)計(jì)

ICS/SCADA系統(tǒng)的運(yùn)行壽命長(zhǎng)達(dá)十年，其中一些設(shè)備已經(jīng)有30歲高齡了。 對(duì)這些設(shè)備而言，不光是很難找到備用部件，甚至都很難找到熟悉其組件和操作系統(tǒng)的工程師。la系統(tǒng)往往與傳統(tǒng)通訊設(shè)備相綁定，它們所導(dǎo)致的問(wèn)題是一致的。然而企業(yè)正繼續(xù)盲目地依靠“模糊即安全”原則。

就算它曾經(jīng)有效過(guò)，現(xiàn)在也已經(jīng)被諸如SHODAN這樣的物聯(lián)網(wǎng)搜索引擎打敗了。SHODAN并不像其它搜索引擎一樣索引網(wǎng)頁(yè)內(nèi)容，相反它索引HTTP、SSH、FTP和SNMP服務(wù)的數(shù)據(jù)，這些協(xié)議構(gòu)成了互聯(lián)網(wǎng)的大半江山。這意味著什么?攻擊者可以通過(guò)僅僅使用類似谷歌搜索引擎的服務(wù)發(fā)現(xiàn)特定的設(shè)備和制造商。模糊安全已死。

很多制造商早已拋棄了對(duì)老式ICS/SCADA硬件的流水線和支持，而老式硬件仍在忠心耿耿地工作著。由于不需要替換它們的功能，出于安全原因的替換需求經(jīng)常被忽視。開發(fā)商不愿意承擔(dān)更換高齡機(jī)電設(shè)備的相關(guān)研究和開發(fā)費(fèi)用，企業(yè)管理者也不愿意花錢更換仍舊可用的系統(tǒng)。但這是泡沫經(jīng)濟(jì)，老式系統(tǒng)無(wú)法應(yīng)對(duì)現(xiàn)代攻擊和APT。

美國(guó)安全公司Mandiant在2013年二月發(fā)布了一份報(bào)告，文中披露，有中國(guó)軍方背景的黑客小組攻擊了一家公司，該公司能夠遠(yuǎn)程訪問(wèn)北美超過(guò)60%的石油和天然氣管道。如果這次攻擊的目標(biāo)是癱瘓?jiān)O(shè)施，則可能會(huì)對(duì)美國(guó)和加拿大的能源供應(yīng)及環(huán)境產(chǎn)生深遠(yuǎn)的影響。

背景

領(lǐng)域描述

天然氣領(lǐng)域包括天然氣的生產(chǎn)、加工、運(yùn)輸、配送和儲(chǔ)存;液化天然氣設(shè)施;天然氣控制系統(tǒng)

全美有超過(guò)47萬(wàn)家天然氣生產(chǎn)和冷凝井，有超過(guò)3萬(wàn)千米收集管道。天然氣洲際管道長(zhǎng)達(dá)51萬(wàn)公里

天然氣輸送管道超過(guò)193萬(wàn)公里，這些管道將天然氣輸送給家家戶戶

美國(guó)消耗的大多數(shù)天然氣都產(chǎn)自國(guó)內(nèi)

關(guān)鍵問(wèn)題

天然氣基礎(chǔ)設(shè)施是自動(dòng)化的，它們由天然氣企業(yè)和區(qū)域性供電公司掌控，這些公司依賴鮮先進(jìn)的能源管理系統(tǒng)

很多工業(yè)控制系統(tǒng)是連接到外網(wǎng)的，很容易遭到來(lái)自內(nèi)部的網(wǎng)絡(luò)威脅攻擊

關(guān)鍵功能

天然氣領(lǐng)域生產(chǎn)、加工、儲(chǔ)存、運(yùn)輸并向消費(fèi)者配送天然氣

呼吁行動(dòng)

老式系統(tǒng)很難與互聯(lián)網(wǎng)整合，其通訊方式也不安全，無(wú)法防御現(xiàn)代攻擊。能源行業(yè)必須理解這一點(diǎn)，并接受更新?lián)Q代的成本。新部署的系統(tǒng)將支持隱身、防火墻、加密和其它自衛(wèi)措施。

能源領(lǐng)域的合作伙伴在一天內(nèi)檢測(cè)到數(shù)百萬(wàn)次嗅探或攻擊并不是什么驚人之事。曾有一家電器生產(chǎn)商在24小時(shí)內(nèi)上報(bào)過(guò)1780萬(wàn)起事件。這就是網(wǎng)絡(luò)安全的現(xiàn)實(shí)，攻擊者只需要走運(yùn)一次就行，而作為防御者的你必須做到次次完美。

哪怕能源行業(yè)使用的系統(tǒng)短暫宕機(jī)都會(huì)對(duì)美國(guó)公民的生活造成毀滅性的打擊。這一領(lǐng)域的管理者承擔(dān)著社會(huì)、道德和法律責(zé)任，有義務(wù)在可行范圍內(nèi)保護(hù)網(wǎng)絡(luò)和物理安全的所有方面。

“我們能買得起設(shè)備嗎?”將不再是一個(gè)問(wèn)題。這個(gè)問(wèn)題必須變成“當(dāng)我的產(chǎn)業(yè)對(duì)網(wǎng)絡(luò)攻擊無(wú)能為力時(shí)，誰(shuí)會(huì)受到公眾的指責(zé)?我們會(huì)在報(bào)紙上找到誰(shuí)的名字?誰(shuí)將失去一切?”答案是你和你的公司。

本文作者約翰·布賴克(John Bryk)上校曾在美國(guó)空軍服役30年，他退役前在中歐擔(dān)任軍事外交官。他持有北達(dá)科他州立大學(xué)工商管理碩士學(xué)位，希望將這些知識(shí)和他即將拿到的網(wǎng)絡(luò)安全碩士相結(jié)合，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。

文章標(biāo)題：面向非技術(shù)管理者的工控系統(tǒng)(ICS/SCADA)安全指南
網(wǎng)站網(wǎng)址：http://www.dlmjj.cn/article/cdpcghh.html