久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

ACS880-07C
關注中國自動化產(chǎn)業(yè)發(fā)展的先行者!
隨著會計的發(fā)展,追蹤碳足跡
CAIAC 2025
2024
工業(yè)智能邊緣計算2024年會
2023年工業(yè)安全大會
OICT公益講堂
當前位置:首頁 >> 資訊 >> 行業(yè)資訊

資訊頻道

ICS/SCADA 工控安全性脆弱的5個原因
  • 作者:Brian Contos
  • 點擊數(shù):2391     發(fā)布時間:2015-08-17 12:04:00
  • 分享到:
關鍵詞:


來源:一點資訊


    編者按:

    隨著計算機和網(wǎng)絡技術的發(fā)展,信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,ICS (工業(yè)控制系統(tǒng)) 產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件。網(wǎng)絡化浪潮又將諸如嵌入式技術、多標準工業(yè)控制網(wǎng)絡互聯(lián)、無線技術等新興技術融合進來,從而拓展了工業(yè)控制的發(fā)展空間,帶來新的發(fā)展機遇。同時也帶來了工業(yè)控制系統(tǒng)的信息安全等問題。

    工業(yè)控制系統(tǒng)(ICS)是各式各樣控制系統(tǒng)類型的總稱,包括了監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng),分布式控制系統(tǒng)(DCS),過程控制系統(tǒng)(PCS)和其他控制系統(tǒng)(如可編程邏輯控制器等)。這些控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等,重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些控制系統(tǒng)的正常運行保證了國民經(jīng)濟的正常健康運行,同時保證了人民享受安全舒適的生活環(huán)境;而針對工業(yè)控制系統(tǒng)的安全事件頻發(fā)則為自動系統(tǒng)正常穩(wěn)定運行蒙上了陰影,此類事件往往會影響與國民經(jīng)濟和人民生活密切相關的設施,帶來巨大的破壞性,為了抵御此類事件的持續(xù)發(fā)生,我們必須查找到工業(yè)控制系統(tǒng)信息安全管理的中的薄弱環(huán)節(jié),這需要了解一些有關工業(yè)控制系統(tǒng)的架構(gòu)知識。

    縱觀全局,多數(shù)工控行業(yè)組織會部署符合標準的三個業(yè)務區(qū):

    業(yè)務區(qū)一:

    由實際的工業(yè)控制系統(tǒng)資產(chǎn)組成,包括物理資產(chǎn)、數(shù)字資產(chǎn)、邏輯資產(chǎn)和人力資產(chǎn)等。通常一些簡單的資產(chǎn)設施只能完成輕量級的任務,如開啟或關閉閥門,或是使用數(shù)控的方法來改變流量、溫度和壓力這樣的物理參數(shù)。

    業(yè)務區(qū)二:

    這個業(yè)務區(qū)由定制的設備構(gòu)成,這樣的設備稱作SCADA(Supervisory control and data acquisition),即數(shù)據(jù)采集與監(jiān)控系統(tǒng)。它是工業(yè)控制的核心系統(tǒng)設施,SCADA系統(tǒng)主要用于分布式系統(tǒng),如水處理、石油天燃氣管道、電力傳輸和分配系統(tǒng)、鐵路和其他公共運輸系統(tǒng)。

    此外,SCADA系統(tǒng)可以保護系統(tǒng)配置的專有信息,可以對現(xiàn)場的設備進行實時監(jiān)視和控制,實現(xiàn)數(shù)據(jù)采集、設備控制、測量、參數(shù)調(diào)節(jié)、各類信號報警等功能。

    業(yè)務區(qū)三:

    這個業(yè)務區(qū)類似銀行,零售店或保險公司中的傳統(tǒng)IT環(huán)境,除了一般的業(yè)務操作,這樣的IT業(yè)務區(qū)一般來說會為了更好得統(tǒng)計和監(jiān)控而連接到其他業(yè)務區(qū)中。

    隨著各行業(yè)企業(yè)對實現(xiàn)管理與控制的一體化需求的增加,工業(yè)控制系統(tǒng)和企業(yè)管理信息系統(tǒng)逐步實現(xiàn)了網(wǎng)絡化集成,管理信息網(wǎng)絡與生產(chǎn)控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換,導致工業(yè)控制系統(tǒng)不再是一個獨立運行的系統(tǒng),而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。

    如在發(fā)電廠,他們使用監(jiān)控去更精確的實時改善用電過載的連接數(shù)。

    總的來說,這些區(qū)域是高度復雜的,通常將各個分部區(qū)域進行了很好的連接。 任何復雜的系統(tǒng)都難以避免出錯甚至事故的發(fā)生。值得一提的是,這樣的系統(tǒng)更具有攻擊的價值。

    這些攻擊范圍含蓋從網(wǎng)絡犯罪威脅到敲詐需求不滿足時被關閉電網(wǎng)導致通訊和應急服務癱瘓等。

    網(wǎng)絡犯罪分子一般會以攻擊工控設施來威脅政府索取好處,不然他們將會發(fā)動網(wǎng)絡攻擊。例如,關閉電網(wǎng)導致通訊和應急服務癱瘓。

    SANS機構(gòu)負責人Allen Paller說到,”數(shù)億美元被勒索,也許這只是部分。這類敲詐是網(wǎng)絡犯罪行業(yè)中最不為人所知的故事。”根據(jù)美國戰(zhàn)略與國際研究中心表明,在墨西哥和印度這樣的新型市場中,這類敲詐犯罪方式層出不窮。

    以下集中闡述SCADA安全性脆弱的5個原因

    1. 行業(yè)隔離

    如今,將IT技術人員與工控技術人員區(qū)分開來這樣的現(xiàn)象仍然存在。

    作者確實感覺得到,跨行業(yè)的工作人員需要跨界的交流越來越多,跨界的技術也在交叉融合。Stuxnet(震網(wǎng))攻擊就是利用了當今這樣的趨勢來籌備和發(fā)動的。

    然而,我們?nèi)稳蝗狈σ环N安全的策略,當攻擊行為通過從一個區(qū)域來發(fā)起而進入另一個區(qū)域來危害整個系統(tǒng)。缺少這樣涉及兩個不同行業(yè)技術的安全防御策略。

    區(qū)域間有了恰當?shù)姆雷o控制。但如果防護控制被繞過,幾乎沒有應對措施和方法去有效監(jiān)控和應對這些攻擊,共同修復漏洞。

    (1)斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡之間的所有不必要連接。

    (2)對確實需要的連接,系統(tǒng)運營單位要逐一進行登記,采取設置防火墻、單向隔離等措施加以防護,并定期進行風險評估,不斷完善防范措施。

    (3)嚴格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡之間交叉使用移動存儲介質(zhì)以及便攜式計算機。

    2. 傳統(tǒng)和現(xiàn)代技術手段共同使用

    還記得在西部片里的馬車標有Dollar標志的錢袋被搶劫么?

    今天,武裝押運車和數(shù)字化傳送取代了馬車。那工業(yè)控制又能做些什么呢?

    幾十年前的舊設備被重新包裝一下就投入到了新系統(tǒng)中,這些就舊設備被當做系統(tǒng)中的螺絲釘來完成類似TCP/IP協(xié)議棧的工作。更夸張的是,新設備簡單發(fā)送一個Ping命令到舊設備上就有可能摧毀系統(tǒng)。

    由于這些舊設備的工作年代太早,對于Ping這樣意料外的指令他們沒有能力去處理,舊設備能做的只是當事簡單的兩三個操作。它們想不到現(xiàn)在有人會Ping舊設備,盡管這對于當今系統(tǒng)來說再正常不過了。這就是為什么對于關鍵基礎設施網(wǎng)絡的滲透測試很少對運行中的非生產(chǎn)性試驗機床來進行。

    3. 區(qū)域間隙

    大家是否還在思考ICS這三個區(qū)域間是否可以用公共網(wǎng)絡加以填補? 是的,一些人確實這樣想,但幾乎看到的情況都證明這是錯誤的。

    現(xiàn)在的工業(yè)控制系統(tǒng)網(wǎng)絡越來越依靠于商業(yè)IT和Internet領域的操作系統(tǒng)、開放協(xié)議和通信技術,這些技術已被證明存在著脆弱性。通過將工業(yè)控制系統(tǒng)連接到互聯(lián)網(wǎng)或者其他公共網(wǎng)絡,工業(yè)控制系統(tǒng)的脆弱性就暴露給潛在的攻擊者。

    正是因為這個理念,很多人天真得認為這是工控系統(tǒng)的”護城河”,這卻導致了松懈的安全控制和有限的監(jiān)控。由于這樣的理念,工控系統(tǒng)的投資者可能不會去投資應對網(wǎng)絡攻擊的安全解決方案。

    工業(yè)或許也不要求有更安全的解決方案因為他們覺得面臨的風險很低。這是一個惡性循環(huán)—-錯誤的假定得出錯誤的結(jié)論。

    4. 連接

    ICS系統(tǒng)是高度連接的。他們之間沒有任何泡沫存在,由無數(shù)的管道工程連接在 一起。如上所述,它們還具備作為螺絲釘?shù)哪芰Α?br/>
    一些連接范例如下:

    串口,IP與串口上IP

    Modbus 和DNP3

    Bluetooth和SMS

    有線以太網(wǎng)和無線以太網(wǎng)

    撥號上網(wǎng)的Modems

    Sneakernet

    許多老設備從非安全性的視角看運行非常好。他們的設計沒有考慮與其他系統(tǒng)間的傳輸,監(jiān)控和跨網(wǎng)絡測量。

    簡單講,他們不能被直接訪問來采取的滲透網(wǎng)絡攻擊行為。這是技術鴻溝,如同嘗試用撥盤電話接收短信一樣無法逾越。

    5. 實用性高于一切

    實用性超越所有架構(gòu)指標的確高于一切, 其次是完整性, 保密性居第三位。最終,系統(tǒng)設計依照此準則進行—周而復始。

    當實用性優(yōu)先準則引發(fā)安全風險時問題就出現(xiàn)了. 默認密碼很平常—–試想在工控設備上含有a public string的SNMP設默認密碼為”public”, 含有a private string的 SNMP用”private”為默認密碼,這會讓你掉進損失巨額金錢的漩渦中。

    作者聽說如果有應急事件發(fā)生或者需要所有人在任何時間訪問系統(tǒng)時,他們不需要到處尋找正確密碼。這樣的情況類似多人共享一個賬號,系統(tǒng)里同樣沒有獨立的負責人。

    甚至強化加密通訊可能在舊系統(tǒng)上無效,因為配備舊CUP的設備沒有足夠的運算能力來支撐系統(tǒng)加密,從而導致授權(quán)加密的通訊仍然以明文形式出現(xiàn)。

    是的,實用性是關鍵。但對于錯綜復雜連接在一起的系統(tǒng),安全隱患相當于災難性的打擊。這又回到了我們前面提到的”行業(yè)隔離”的議題上。

    SCADA安全越來越被重視,但仍然很脆弱,還有很長的一段路要走。需要各行業(yè),廠商和政府共同努力。


編譯:安恒信息DBAPPsecuiry LAB

熱點新聞

推薦產(chǎn)品

x
  • 在線反饋
1.我有以下需求:



2.詳細的需求:
姓名:
單位:
電話:
郵件:
主站蜘蛛池模板: 国产成人8x视频一区二区 | 一区国产视频 | 国产精品免费久久久免费 | 久久精品国产91久久综合麻豆自制 | 日韩欧美成人乱码一在线 | 九九视频免费精品视频免费 | 久久精品中文字幕不卡一二区 | 真正国产乱子伦高清对白 | 日本大片久久久高清免费看 | 一区国产视频 | 成年视频xxxxx在线网站 | 亚洲第5页 | 九九九色视频在线观看免费 | 日韩欧美国产高清 | 色综合色狠狠天天久久婷婷基地 | 欧美精品久久一区二区三区 | 九九精品视频在线播放8 | 国产在线色视频 | 日韩欧美中文字幕在线视频 | 久久精品亚洲综合一品 | 超级香蕉97在线观看视频 | 国产精品亚洲一区二区在线观看 | 欧美日韩国产成人高清视频 | 国产日产欧产精品精品推荐在线 | 欧美唯爱网 全黄性播放 | 精品精品国产高清a毛片牛牛 | 欧美日本韩国一区 | 蜜柚视频在线看2019 | 免费无遮挡十八女禁污污网站 | 日本第一次处毛片 | 高清影院在线欧美人色 | 色5月婷婷| 午夜精品久久久久久91 | 一级黄色片中国 | 亚洲呦呦系列视频 | 麻豆国产一区二区在线观看 | 九九热国产在线 | 成人无遮挡毛片免费看 | 国产成人夜间影院在线观看 | 亚洲欧洲日产国码久在线观看 | 九九精品视频在线播放8 |