日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
【公益譯文】采取縱深防御策略提升工控系統(tǒng)網(wǎng)絡(luò)安全

工控系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施不可分割的一部分,可簡化電力、石油天然氣、供水、交通及化工等重要行業(yè)部門的運營。日益增長的網(wǎng)絡(luò)安全問題及其對工控系統(tǒng)的影響愈發(fā)凸顯了關(guān)鍵基礎(chǔ)設(shè)施所面臨的重大風(fēng)險。解決工控系統(tǒng)的網(wǎng)絡(luò)安全問題,須對安全挑戰(zhàn)與特定防護(hù)措施有清晰認(rèn)識。全局法使用特定措施逐步增強(qiáng)安全,助力防護(hù)工控系統(tǒng)中的網(wǎng)絡(luò)安全威脅與漏洞。這種方法一般被稱為“縱深防御”,適用于工控系統(tǒng),為優(yōu)化網(wǎng)絡(luò)安全防護(hù)提供了靈活、可用的框架。

創(chuàng)新互聯(lián)建站堅持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時代的奈曼網(wǎng)站設(shè)計、移動媒體設(shè)計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

人們之所以關(guān)注控制系統(tǒng)的網(wǎng)絡(luò)安全問題,一方面是因為某些系統(tǒng)沿用傳統(tǒng)特性,另一方面是因為工控系統(tǒng)聯(lián)網(wǎng)需求日益增長。在這種關(guān)注下,大量已知漏洞被發(fā)現(xiàn),同時一些工控系統(tǒng)領(lǐng)域前所未見的新型威脅也浮出水面。許多老舊系統(tǒng)缺乏恰當(dāng)?shù)陌卜滥芰?,無法抵御新型威脅,而現(xiàn)行網(wǎng)絡(luò)安全方案由于會影響到系統(tǒng)可用性而無法使用。工控系統(tǒng)連接到企業(yè)、廠商或?qū)Φ染W(wǎng)絡(luò)可加劇此問題。

本文深度探討了較突出的網(wǎng)絡(luò)風(fēng)險問題,并結(jié)合工控系統(tǒng)對這些問題做了進(jìn)一步闡述。文章還就如何針對特定問題制定緩解策略發(fā)表了看法,并為如何在工控環(huán)境制定深度安全防護(hù)計劃提供了建議,目的是為網(wǎng)絡(luò)緩解策略的制定以及策略在工控環(huán)境中的應(yīng)用提供指導(dǎo)。

現(xiàn)行工控系統(tǒng)架構(gòu)概覽

曾經(jīng)隔離的工控系統(tǒng)逐漸走向融合,助力企業(yè)簡化并管理復(fù)雜的環(huán)境。在聯(lián)網(wǎng)及向工控系統(tǒng)域添加IT組件時,如下情況可導(dǎo)致安全問題:

對于自動化與工控系統(tǒng)越來越依賴;

與外部網(wǎng)絡(luò)的不安全連接;

使用的技術(shù)包含已知漏洞,在控制域造成前所未見的網(wǎng)絡(luò)風(fēng)險;

缺乏與工控系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)安全業(yè)務(wù)案例;

某些控制系統(tǒng)技術(shù)僅有有限的安全能力,這種能力一般僅在管理員發(fā)現(xiàn)(或不會阻礙流程)時才會啟用;

許多常用的控制系統(tǒng)通信協(xié)議缺乏基本的安全功能(如認(rèn)證與授權(quán));

關(guān)于工控系統(tǒng)、工控系統(tǒng)操作及安全漏洞的開源信息大量存在。對于有效保障網(wǎng)絡(luò)與IT網(wǎng)絡(luò)安全,這種方法可謂另辟蹊徑。將新型IT架構(gòu)與缺乏真正網(wǎng)絡(luò)安全防護(hù)措施的隔離網(wǎng)絡(luò)融合具有很大挑戰(zhàn)。顯然,使用路由器與交換機(jī)可將設(shè)備進(jìn)行簡單互聯(lián),但是個人的非法入侵會導(dǎo)致對系統(tǒng)的不受限訪問。圖2中提供的融合架構(gòu)包含了來自于外部的連接,如企業(yè)局域網(wǎng)、對端站點、廠商站點以及互聯(lián)網(wǎng)。

長期以來,業(yè)界將控制系統(tǒng)的運營安全定義為系統(tǒng)安全有效運行的可靠性水平。將工控系統(tǒng)同外部(不可信)網(wǎng)絡(luò)完全隔離,總體通信安全的范圍被壓縮至員工相關(guān)威脅(這里的員工指的是可物理訪問設(shè)備或工廠車間的員工)。這樣,信息基礎(chǔ)設(shè)施內(nèi)的大多數(shù)數(shù)據(jù)通信僅需要有限授權(quán)或安全監(jiān)管。運行命令、指令與數(shù)據(jù)采集發(fā)生在封閉環(huán)境中,這個環(huán)境中的所有通信都受信任。一般情況下,命令或指令通過網(wǎng)絡(luò)下發(fā),預(yù)期在到達(dá)目標(biāo)后執(zhí)行授權(quán)功能,因為只有授權(quán)操作員才可以訪問系統(tǒng)。

如圖所示,融合架構(gòu)若被入侵,攻擊者可通過各種渠道訪問企業(yè)局域網(wǎng)、控制系統(tǒng)局域網(wǎng)甚或通信局域網(wǎng)的關(guān)鍵系統(tǒng)。此種架構(gòu)本質(zhì)上要求與各種信息源交換數(shù)據(jù),這可以被攻擊者所利用。

工控系統(tǒng)內(nèi)的安全挑戰(zhàn)

在基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的現(xiàn)代計算環(huán)境中(如對驅(qū)動控制系統(tǒng)運行的業(yè)務(wù)進(jìn)行管理的企業(yè)基礎(chǔ)設(shè)施),需解決技術(shù)相關(guān)漏洞問題。傳統(tǒng)上,這些問題由企業(yè)的IT安全組織負(fù)責(zé),根據(jù)重要信息資產(chǎn)的安全指導(dǎo)方案與運營計劃進(jìn)行工作。當(dāng)工控系統(tǒng)從屬于聯(lián)動架構(gòu)時,主要關(guān)注的問題就變成如何提供同時覆蓋控制系統(tǒng)域的安全規(guī)程。現(xiàn)有基于網(wǎng)絡(luò)的通信所產(chǎn)生的某些安全問題須在控制系統(tǒng)域解決,因為各廠商使用不同協(xié)議,再加上老舊系統(tǒng)固有的安全問題,也許很難保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)免于遭受時下的網(wǎng)絡(luò)攻擊。

開放的系統(tǒng)架構(gòu)中存在的、可遷移至控制系統(tǒng)域的漏洞包括惡意軟件(病毒、蠕蟲等等)漏洞、通過操控代碼提權(quán)、網(wǎng)絡(luò)偵測與數(shù)據(jù)收集、隱蔽流量分析、通過或繞過邊界防護(hù)非法入侵網(wǎng)絡(luò)等。對于更為先進(jìn)的系統(tǒng),漏洞還包括惡意移動代碼,如涉及JavaScript、applet小程序、VBScript及ActiveX的惡意活動內(nèi)容。成功入侵工控系統(tǒng)網(wǎng)絡(luò)后,會出現(xiàn)新的問題,如控制系統(tǒng)協(xié)議反向工程、針對操作員控制臺的攻擊、非法訪問受信任的對端網(wǎng)絡(luò)與遠(yuǎn)程設(shè)施等。要將信息安全與信息保障完全引入控制系統(tǒng)域,必須了解傳統(tǒng)IT架構(gòu)與工控系統(tǒng)技術(shù)之間的關(guān)鍵差異。

工控系統(tǒng)的五個關(guān)鍵的安全措施

以下是五個關(guān)鍵的安全措施,可推動工控系統(tǒng)環(huán)境中的網(wǎng)絡(luò)安全活動。

  • 安全指導(dǎo)方案。應(yīng)針對控制系統(tǒng)及其各部件制定安全指導(dǎo)方案,定期評審,以便納入當(dāng)前威脅環(huán)境、系統(tǒng)功能以及所需的安全級別。
  • 阻止對資源和服務(wù)的訪問。一般情況下,在網(wǎng)絡(luò)中部署提供訪問控制列表的邊界設(shè)備如防火墻或代理服務(wù)器,提供該技術(shù)。而主機(jī)方面,該技術(shù)可通過部署基于主機(jī)的防火墻和殺毒軟件實現(xiàn)。
  • 檢測惡意活動。惡意活動檢測可在網(wǎng)絡(luò)或主機(jī)層面實現(xiàn),通常需有經(jīng)驗的管理員對日志文件定期監(jiān)控。IDS是識別網(wǎng)絡(luò)問題的常用手段,也可部署在單個主機(jī)上。盡量在主機(jī)上開啟審計和事件日志功能。
  • 緩解可能出現(xiàn)的攻擊。在很多情況下,無需處理漏洞,因為漏洞修復(fù)可能會使系統(tǒng)不可用或效率降低。通過緩解措施,管理員可控制對漏洞的訪問,確保漏洞不被利用。通常,這一情況在制定臨時技術(shù)方案,創(chuàng)建過濾器或運行具備特定配置的服務(wù)和應(yīng)用時非常必要。
  • 解決核心問題。要解決核心安全問題,需經(jīng)常更新、升級、安裝軟件漏洞補(bǔ)丁或移除有漏洞的應(yīng)用。軟件漏洞可能會存在于網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用這三層中的任一層。廠商或開發(fā)人員應(yīng)提供緩解措施(如果有的話)供管理員部署。

免責(zé)聲明

本文原文來自于互聯(lián)網(wǎng)的公共方式,由“安全加”社區(qū)出于學(xué)習(xí)交流的目的進(jìn)行翻譯,而無任何商業(yè)利益的考慮和利用,“安全加”社區(qū)已經(jīng)盡可能地對作者和來源進(jìn)行了通告,但不保證能夠窮盡,如您主張相關(guān)權(quán)利,請及時與“安全加”社區(qū)聯(lián)系。

“安全加”社區(qū)不對翻譯版本的準(zhǔn)確性、可靠性作任何保證,也不為由翻譯不準(zhǔn)確所導(dǎo)致的直接或間接損失承擔(dān)責(zé)任。在使用翻譯版本中所包含的技術(shù)信息時,用戶同意“安全加”社區(qū)對可能出現(xiàn)的翻譯不完整、或不準(zhǔn)確導(dǎo)致的全部或部分損失不承擔(dān)任何責(zé)任。用戶亦保證不用做商業(yè)用途,也不以任何方式修改本譯文,基于上述問題產(chǎn)生侵權(quán)行為的,法律責(zé)任由用戶自負(fù)。


文章標(biāo)題:【公益譯文】采取縱深防御策略提升工控系統(tǒng)網(wǎng)絡(luò)安全
新聞來源:http://www.5511xx.com/article/djespoh.html