自在自线亚洲а∨天堂在线-中文字幕一区视频播放-扒开双腿猛进入喷水高潮叫声-欧美日本亚洲一区二区-老熟妇高潮偷拍一区二区-国产精品高清一区二区不卡-午夜色福利视频一区二区三区-亚洲国产成人精品福利在线观看-亚洲欧美成人一区二区在线电影

問題說明
      在過去的幾年中，隨著中斷，以及大規(guī)模的蠕蟲、病毒像Blaster等的增加，大家認識到，原來專有和被隔離的系統(tǒng)現(xiàn)在已經(jīng)連到了企業(yè)網(wǎng)絡(luò)上，而且包含很多互聯(lián)網(wǎng)上的連接點。還有一個共識就是，控制關(guān)鍵基礎(chǔ)設(shè)施的電氣設(shè)備在面對拒絕服務(wù)（DoS）、包含格式不正確的數(shù)據(jù)的數(shù)據(jù)包、由病毒、木馬和蠕蟲引起的惡意代碼時是易受擾動的。
      SCADA上執(zhí)行的網(wǎng)絡(luò)安全漏洞評估和過程控制網(wǎng)絡(luò)顯示了許多公司保護關(guān)鍵資產(chǎn)的一種模式。超過80%的電力、天然氣、水、能源公司過去曾經(jīng)提到，在他們的IT企業(yè)網(wǎng)絡(luò)和過程控制網(wǎng)絡(luò)之間安裝一個防火墻或是相似的網(wǎng)絡(luò)抵御裝置對于在SCADA系統(tǒng)和過程控制系統(tǒng)之下保護他們的關(guān)鍵資產(chǎn)的安全已經(jīng)足夠了。
      這些公司通常把過程控制網(wǎng)絡(luò)看成一個很大的黑箱，通過盡量把控制網(wǎng)絡(luò)環(huán)境從其它網(wǎng)絡(luò)中分離出來作為保護其安全的方法。雖然這是一個好的開始，也是一個正確的努力方向，考慮到通過以太網(wǎng)和互聯(lián)網(wǎng)路由協(xié)議聯(lián)系起來的重要資產(chǎn)現(xiàn)在所面臨的危險，在網(wǎng)絡(luò)安全問題上卻還有其它的解決辦法。
      在下文中將會由兩個網(wǎng)絡(luò)圖，第一幅圖顯示了典型的SCADA或DCS系統(tǒng)是如何組網(wǎng)來支撐企業(yè)網(wǎng)路的邏輯網(wǎng)絡(luò)圖。第二幅圖顯示了大多數(shù)公司是怎樣看待實時、SCADA和過程控制環(huán)境的安全問題的。他們通常會把網(wǎng)絡(luò)分成兩個環(huán)境——企業(yè)或是IT環(huán)境，SCADA或是過程控制系統(tǒng)環(huán)境。

圖1 SCADA和IT網(wǎng)絡(luò)典型網(wǎng)絡(luò)圖

圖2 通常把SCADA和IT劃分到兩個不同的安全區(qū)域

典型的SCADA網(wǎng)絡(luò)漏洞和創(chuàng)新的解決方法
      當使用企業(yè)網(wǎng)絡(luò)時，如果在SCADA和過程控制系統(tǒng)中沒有訪問控制和網(wǎng)絡(luò)劃分，就會為網(wǎng)絡(luò)攻擊創(chuàng)造機會。這危機可能來自內(nèi)部或是外部。以下的幾個章節(jié)將會涉及到SCADA攻擊和為了解決這些問題而提出的可能的新型解決方案。

外部威脅
蠕蟲、病毒。木馬和破壞SCADA網(wǎng)絡(luò)的惡意軟件

圖3 網(wǎng)絡(luò)劃分不清晰對于抵制外部攻擊比較困難
      在SCADA或是PCN環(huán)境中只有一種網(wǎng)絡(luò)解決方案通常會使SCADA工作站和服務(wù)器、電信網(wǎng)絡(luò)、PLC和RYU控制器對于自我傳播、變異的蠕蟲十分脆弱，而這些病毒要比反病毒供應(yīng)商的反應(yīng)要快的多。使用追加的安全區(qū)域、還有端口級別的安全方案和在每個安全區(qū)域之間使用防火墻，病毒和蠕蟲就可以被阻止在安全區(qū)外，而不管這種反病毒方案的是否具有最新的簽名文件。通過使用防火墻把SCADA環(huán)境進行劃分，可以把病毒解決方案設(shè)置成永遠不必和互聯(lián)網(wǎng)連接到一起，然而仍然可以自動的取得簽名更新，并把它們分配到SCADA環(huán)境中的計算機上。
      既然把SCADA環(huán)境直連接到IT網(wǎng)絡(luò)或是以太網(wǎng)上，都會把SCADA環(huán)境置于附加的攻擊和危險當中，一個比較好的方法就是在它自己的DMZ內(nèi)生成一個新的中立的安全區(qū)，這個中立的DMZ可以在企業(yè)IT網(wǎng)絡(luò)和SCADA環(huán)境之間形成一個緩沖區(qū)，這種設(shè)計會有很多好處。

圖4 新的數(shù)據(jù)DMZ會在IT和SCADA之間生成一個中立區(qū)域
      新的緩沖區(qū)的主要好處就是從SCADA環(huán)境中的數(shù)據(jù)可以在這里停留，然后才移動到其它的IT環(huán)境中。不是用很多IT直接連接到SCADA環(huán)境中，所有的數(shù)據(jù)收集和存檔都可以移到歷史數(shù)據(jù)庫DMZ，這就進一步限制了對SCADA環(huán)境的訪問，允許在這個區(qū)域和SCADA環(huán)境之間的防火墻規(guī)則可以編寫的更加嚴格。“最小特權(quán)”概念可以再次應(yīng)用，所以只有允許訪問SCADA系統(tǒng)的人員或是設(shè)備才允許進入到SCADA環(huán)境中。其它所有的用戶，確實要求訪問SCADA系統(tǒng)數(shù)據(jù)的，可以允許訪問歷史數(shù)據(jù)庫DMZ。
      使用歷史數(shù)據(jù)庫DMZ或是區(qū)域2的另外一個好處就是可以安裝中繼服務(wù)器，它可以把IT側(cè)的操作系統(tǒng)或是升級補丁傳遞到SCADA或是控制系統(tǒng)環(huán)境。如果對一個模擬環(huán)境或是正在開發(fā)的配有SCADA硬件和軟件的網(wǎng)絡(luò)進行訪問，強烈建議這些新的操作系統(tǒng)和反病毒補丁首先在這個測試環(huán)境中運行。圖5中的網(wǎng)絡(luò)圖顯示了一個次級操作系統(tǒng)或是反病毒補丁系統(tǒng)是如何在區(qū)域2或是數(shù)據(jù)DMZ區(qū)上行安裝的，因此，我們就可以把這些升級和補丁下載到測試環(huán)境，在現(xiàn)場生產(chǎn)系統(tǒng)應(yīng)用這些升級和補丁之前，先對他們進行測試。

圖5把操作系統(tǒng)和反病毒補丁傳遞到模擬網(wǎng)絡(luò)以供測試
      一旦在模擬網(wǎng)絡(luò)中測試了這些補丁，對SCADA功能沒有反作用，可以使用區(qū)域2中的相同系統(tǒng)把這些補丁傳遞到現(xiàn)場的生產(chǎn)環(huán)境中。

圖6 把操作系統(tǒng)和反病毒補丁傳遞到現(xiàn)場生產(chǎn)系統(tǒng)中
      盡管補丁已經(jīng)在模擬網(wǎng)絡(luò)上經(jīng)過測試，把這些補丁推出系統(tǒng)到生產(chǎn)環(huán)境中仍然有一定的風險。一個選擇就是每次只對一個系統(tǒng)進行修補，另外一種方法就是，在工作站和服務(wù)器現(xiàn)場手動修補系統(tǒng)，參照區(qū)域2中的系統(tǒng)升級操作系統(tǒng)和反病毒補丁。

內(nèi)部威脅
SCADA環(huán)境的不安全遠程訪問
      除了來自互聯(lián)網(wǎng)和企業(yè)IT網(wǎng)絡(luò)的外部危險，還有來自防火墻背后撥號調(diào)制解調(diào)其訪問的內(nèi)部直接訪問的威脅。這種撥號調(diào)制解調(diào)器連接點只有在知道一個簡短的密碼或是簡單的4位PIN碼才可以對SCADA環(huán)境直接訪問。簡單的驗證算法的結(jié)合，直接訪問和操作SCADA硬件和軟件的能力，但是卻很少或是沒有審查跟蹤，將會使調(diào)制解調(diào)器成為外部攻擊進入的可能點。
      圖7描述了通過使用調(diào)制解調(diào)器或是不安全的VPN訪問進入到SCADA環(huán)境的一些點。這兩種方法都可以使外部系統(tǒng)取得與SCADA環(huán)境的直接連接，外界的惡意代碼通過使用這種外部訪問的方式所創(chuàng)建的橋梁可以很容易的潛入到SCADA環(huán)境中。

圖7——現(xiàn)在提供對SCADA進行遠程訪問的不安全方法
      除了上述所指出的現(xiàn)行調(diào)制解調(diào)器訪問SCADA環(huán)境的一些漏洞以外，調(diào)制解調(diào)器訪問只為解決問題、修補或是維護SCADA系統(tǒng)的原件提供了一個低帶寬的連接。新的解決方法要求更加強大的驗證，同時要限制對SCADA環(huán)境的直接訪問。對于訪問系統(tǒng)的時間和用戶名，還要提供一個審查跟蹤機制。
      把二因素OPT（一次性密碼）和thin－client計算機（Citrix和終端服務(wù)器），結(jié)合起來使用，那些只有通過許多訪問認證檢查的用戶才可以被提供訪問，通過把遠程用戶阻止在DMZ區(qū)域內(nèi)限制對SCADA環(huán)境的訪問，只對SCADA環(huán)境提供thin-client訪問。
      遠程用戶，當提交了從令牌環(huán)上得到的變化的6位碼之后，還要提交一次4位PIN碼，這個6位碼和4位PIN碼結(jié)合為系統(tǒng)生成了OTP。在DMZ認證之后，遠程用戶必須輸入用戶名和密碼來進入thin-client服務(wù)器。一旦通過驗證進入到thin-client環(huán)境，一個基于用戶訪問文件的桌面會話就會顯示在遠程用戶面前。這些使用系統(tǒng)管理員文件的遠程用戶可以訪問PLC程序或是SCADA/HMI開發(fā)軟件，并可以進行修改下載到SCADA環(huán)境。
      圖8中的網(wǎng)絡(luò)圖顯示了這種新型的安全遠程訪問如何驗證遠程用戶，并把用戶包括在歷史數(shù)據(jù)庫DMZ中，同時允許thin-client會話通過SCADA防火墻訪問SCADA環(huán)境。

圖8為SCADA提供安全遠程訪問的示例解決方案
      新型遠程訪問方案除了安全特性，其它的優(yōu)點包括可以審查跟蹤誰、怎樣、何時訪問的SCADA環(huán)境。而且，因為遠程訪問解決方案是在媒質(zhì)上獨立的，所以可以使用高帶寬連接進行遠程訪問，連接的性能也會大大加強。

非蓄意的內(nèi)部危害
松懈的訪問控制把整個SCADA環(huán)境暴漏出來
      在SCADA網(wǎng)絡(luò)上使用了防御辦法所產(chǎn)生的另外一個基本的安全缺點就是松懈的訪問控制。因為在企業(yè)局域網(wǎng)和SCADA或是過程控制局域網(wǎng)之間只有一個防御層，所以執(zhí)行防御方案必須經(jīng)過良好的測試以一個良好的方式運行。最近，在能源、公共事業(yè)和制造企業(yè)進行了漏洞和危險評估，一個主要的問題就是在企業(yè)IT和SCADA環(huán)境之間的路由器或是防火墻上薄弱ACL（訪問控制列表）執(zhí)行情況。
      我們所分析的大多數(shù)路由器的執(zhí)行行為使用范圍從IP尋址到對SCADA環(huán)境的限制訪問?，F(xiàn)在自動的黑客工具和掃描軟件可以自動的獲取可以進行惡意進攻的IP地址列表。即使沒有這些自動工具，可以對企業(yè)網(wǎng)絡(luò)進行物理訪問的內(nèi)部人員可以在網(wǎng)絡(luò)上放置一個跟蹤器，把所有的數(shù)據(jù)包記載到日志當中，這樣就可以查看從哪個地址可以突破安全設(shè)備這道防線。
      有一次，一個夏季實習生無意間聽到我們談及SCADA這個詞語，他講到，“他已經(jīng)在網(wǎng)絡(luò)上發(fā)現(xiàn)了一些叫做SCADA01和EMS05的計算機，雖然他不知道他們可以作什么，但是已經(jīng)訪問了這些服務(wù)器上的所有文件”。在防御設(shè)備（路由器或是防火墻）、一些附加的網(wǎng)段上進行嚴格的訪問控制，來防止對SCADA環(huán)境的意外訪問，這條道路還很漫長。參考下面圖9可以看到在IT和SCADA網(wǎng)絡(luò)之間防御設(shè)備上的松懈的訪問控制和ALC是如何把整個SCADA環(huán)境置于內(nèi)部的員工或是合作人員可以進行意外訪問的危險境地之中的。

圖9——松懈的訪問控制不能阻止企業(yè)用戶的非蓄意訪問

內(nèi)部蓄意攻擊
單調(diào)的SCADA網(wǎng)絡(luò)設(shè)計限制了安全的有效性
      典型的防御解決辦法只有通過提供防止來自SCADA環(huán)境的外部攻擊有限防御措施來實現(xiàn)。很多情況下，SCADA網(wǎng)絡(luò)設(shè)計平平。每個可以訪問SCADA系統(tǒng)內(nèi)的任一系統(tǒng)的個人都可以訪問整個網(wǎng)絡(luò)。例如，如果沒有在SCADA網(wǎng)絡(luò)上執(zhí)行額外的安全方案和防御層，企業(yè)如何阻止對從下載代碼到以太網(wǎng)PLC的歷史數(shù)據(jù)訪問，或是訪問其它的SCADA服務(wù)器上的文件呢？下邊的圖10顯示了這種類型的SCADA網(wǎng)絡(luò)構(gòu)架，在各種類型的SCADA各組成部分之間沒有提供足夠的牽制政策。
      必須使用一種方法來限制控制物理進程的低層次的SCADA終端設(shè)備進行訪問。對SCADA和過程控制計算機工作站和控制室計算機設(shè)備的訪問不能自動等同于對操作物理設(shè)備的控制器的訪問。
      另外，如果SCADA計算機感染病毒，大多數(shù)情況下，PLC、RTU、和IDE控制下的程序可以在最后的設(shè)定狀態(tài)下以自動模式繼續(xù)運行，同時，計算機管理員恢復被影響的工作站或是服務(wù)器。如果對SCADA計算機設(shè)備和控制工廠物理設(shè)備的SCADA終端設(shè)備的訪問沒有分開，來自自我傳播的病毒、蠕蟲、木馬所帶來的潛在威脅所波及的范圍就會到達終端設(shè)備，已經(jīng)在實驗室條件下證明，某些設(shè)備可能會導致失敗。

圖10 ——SCADA構(gòu)架設(shè)計平平，不能夠阻止內(nèi)部的攻擊
內(nèi)部蓄意攻擊——
在提高網(wǎng)絡(luò)通訊時，SCADA軟件和設(shè)備容易受到攻擊
      像PLC、RTU和IED這些控制物理設(shè)備的裝置，應(yīng)該置于一個不同的安全區(qū)域，使用不同的訪問控制以限制對他們的訪問。SCADA服務(wù)器和操作面板應(yīng)該在另外一個安全區(qū)域。通過我們的一些研究調(diào)查和我們自己對SCADA設(shè)備的測試已經(jīng)表明，當網(wǎng)絡(luò)的帶寬等級提高時，這些控制器對攻擊就變的很脆弱，或是就會有畸形的網(wǎng)絡(luò)信息包傳送給SCADA軟件或是設(shè)備。
      通常，只使用大型的普通的SCADA網(wǎng)絡(luò)，在SCADA計算機或是工作站受到影響的時候這些終端設(shè)備得不到什么保護。最好的方法之一就是把這些SCADA環(huán)境劃分成不同的操作區(qū)域，在整個SCADA環(huán)境中分布的使用防火墻，為每個區(qū)域提供特別的訪問控制。

圖11 在SCADA環(huán)境中使用分布式防火墻可以保護終端設(shè)備

結(jié)論
      隨著SCADA和過程控制系統(tǒng)中不斷涌現(xiàn)出來的危險，這些用戶和操作員應(yīng)該時刻關(guān)注現(xiàn)在使用的抵制內(nèi)部和外部威脅的網(wǎng)絡(luò)訪問控制。在二十世紀90年代末，使用了以太網(wǎng)TCP/IP通訊已經(jīng)使市場上的SCADA或是過程控制系統(tǒng)的組成部分具有以太網(wǎng)通訊性能?，F(xiàn)在，在SCADA和過程控制系統(tǒng)上發(fā)現(xiàn)IP通訊是很平常的。
SCADA系統(tǒng)的用戶和操作員在SCADA和IT網(wǎng)絡(luò)的連接處只使用一種網(wǎng)絡(luò)抵御方案這種趨勢仍在繼續(xù)。這種單一抵御方案，如防火墻，是一個好的開端，但是卻把SCADA環(huán)境內(nèi)部變的不安全和脆弱。
      在SCADA環(huán)境中普通的網(wǎng)絡(luò)設(shè)計會使來自內(nèi)部或是外部的威脅不斷傳播，并且影響控制物理裝置的中斷設(shè)備?？梢允褂靡恍┬碌募夹g(shù)來保護SCADA環(huán)境內(nèi)部的安全，同時也可以提供對它的遠程訪問。
      了解SCADA和過程控制系統(tǒng)的漏洞在什么，內(nèi)部和外部的威脅會如何利用這些漏洞，并且知道怎樣執(zhí)行新的預(yù)防措施來阻止、保護和檢測網(wǎng)絡(luò)威脅是保護這些重要系統(tǒng)的關(guān)鍵所在。