自在自线亚洲а∨天堂在线-中文字幕一区视频播放-扒开双腿猛进入喷水高潮叫声-欧美日本亚洲一区二区-老熟妇高潮偷拍一区二区-国产精品高清一区二区不卡-午夜色福利视频一区二区三区-亚洲国产成人精品福利在线观看-亚洲欧美成人一区二区在线电影

引言
        近幾年，公用事業(yè)公司在進行他們的商務(wù)活動時，已經(jīng)經(jīng)歷了很多改變。增加收益和降低開支的壓力使他們把SCADA系統(tǒng)與商務(wù)網(wǎng)絡(luò)集成在一起進行流線型操作?；ヂ?lián)網(wǎng)的流行使用戶要求他們可以對自己的帳戶進行在線訪問，在線轉(zhuǎn)帳，進一步增加網(wǎng)絡(luò)的暴露程度。另外，公共事業(yè)公司已經(jīng)通過使用互聯(lián)網(wǎng)使一些核心的商務(wù)操作，如故障的管理，更加便利。
        2003年八月的大規(guī)模停電引起了公眾對于互聯(lián)網(wǎng)故障的關(guān)注。結(jié)果，北美電力可靠性委員會（NERC）生成了緊急行動標(biāo)準(zhǔn)1200，這個行動方案的目的就是保證所有的實體都要對北美的大規(guī)模電網(wǎng)系統(tǒng)做出反應(yīng)，保護控制或是可能影響大規(guī)模電力系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)。2004年，NECR發(fā)行了一個續(xù)集和標(biāo)準(zhǔn)1200保持控制區(qū)域和可靠性協(xié)調(diào)機構(gòu)的強制性。在2005年第一季度，所有的控制區(qū)域和可靠性協(xié)調(diào)機構(gòu)必須要完成和提交適當(dāng)?shù)膮^(qū)域自我診斷更新表格，來顯示他們與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求符合或是不符合度。
        另外全球的恐怖主義，已經(jīng)引起了公眾對于公共事業(yè)公司關(guān)鍵基礎(chǔ)設(shè)施和SCADA系統(tǒng)的關(guān)注。盡管公眾十分擔(dān)憂，但是公共事業(yè)公司也不會因此而拒絕集成SCADA和互聯(lián)網(wǎng)所帶來的好處。危險可能是真實存在的，但是，幸運的是，保護SCADA系統(tǒng)的方法相對也是比較容易的。
        也許，來自公共事業(yè)公司的最大的危險就是來自他們?nèi)狈Ω影踩谋Ｗo的關(guān)注。許多國有或是私有的企業(yè)，控制著天然氣、能源、水等公共事業(yè)，但是卻從來沒有想過他們就是網(wǎng)絡(luò)襲擊的目標(biāo)，現(xiàn)在他們必須要采取有效的措施來保證網(wǎng)絡(luò)的安全了。雖然很多公共事業(yè)公司為他們SCADA系統(tǒng)提供了風(fēng)險評估機制，但是很多公司卻沒有。他們已經(jīng)越來越依賴緊密聯(lián)系的數(shù)字信息系統(tǒng)，而沒有充分意識到網(wǎng)絡(luò)襲擊的潛在危害。
        傳統(tǒng)意義上的SCADA系統(tǒng)是與其它系統(tǒng)隔離開的，他們在網(wǎng)絡(luò)上獨立操作。由于先前考慮到可能的攻擊，這樣看起來就為SCADA系統(tǒng)提供了所有必要的保護。具有這種有限訪問和很難破解密碼的通常是大型的專有系統(tǒng)，這樣，幾乎沒有人可以隨意進入其系統(tǒng)并進行攻擊。但是時過境遷，他們現(xiàn)在已經(jīng)集成到公司的網(wǎng)絡(luò)系統(tǒng)當(dāng)中，可以使他們的數(shù)據(jù)在網(wǎng)絡(luò)上共享，增加了工廠效率。所以，現(xiàn)在的情況是，目前的SCADA網(wǎng)路的安全性網(wǎng)絡(luò)的安全性。

保護你的SCADA網(wǎng)絡(luò)
        保護SCADA網(wǎng)絡(luò)的第一步就是生成一個書面的安全原則，這是保護整個網(wǎng)絡(luò)的重要組成部分。沒有一個適當(dāng)?shù)陌踩瓌t，就是使該公司處于網(wǎng)絡(luò)攻擊的危險地位、造成季度損失、甚是會導(dǎo)致法律訴訟。一個安全原則是一個動態(tài)而非靜態(tài)的文件，它不是一旦生成永不更改的。管理團隊需要提出一個明確的、可理解的目的、目標(biāo)、規(guī)則和正式的流程來定義整個計劃的地位和構(gòu)架。
        高級管理人員、IT部門、人力資源和一些合法的部門等這些關(guān)鍵的人員都應(yīng)該包含在這個計劃當(dāng)中。而且應(yīng)該包含以下幾個關(guān)鍵因素：
● 原則所涉及到的相關(guān)人員的角色和責(zé)任
● 允許的和不允許的行為和進程
● 不遵從原則的后果

漏洞評估
        準(zhǔn)備一個書面的原則之前，要進行一個漏洞評估。漏洞評估的旨在明確兩點，一是與SCADA相關(guān)的IT構(gòu)架的不同方面的潛在危險，二是這些不同構(gòu)架的優(yōu)先權(quán)。這通常以等級的形式表示出來，然后，這也排出了對安全的關(guān)注程度的優(yōu)先權(quán)，以及不同漏洞區(qū)域的投資等級。
例如，在一個典型的SCADA系統(tǒng)中，一些關(guān)鍵詞和相關(guān)的等級如下：
● 操作員站的操作的有效性
● 實時數(shù)據(jù)的準(zhǔn)確性
● 系統(tǒng)配置數(shù)據(jù)的保護
● 與商業(yè)網(wǎng)絡(luò)的連接
● 歷史數(shù)據(jù)的有效性
● 臨時用戶站的有效性

        一個漏洞評估系統(tǒng)執(zhí)行時類似一個理解一個系統(tǒng)是如何構(gòu)成的，威脅到系統(tǒng)的危險是如何生成的這樣一個確認(rèn)漏洞和缺點的機制。
        為了成功的運行一個漏洞評估機制，需要在物理上確認(rèn)所有的網(wǎng)絡(luò)和計算機設(shè)備，需要用到的軟件和網(wǎng)絡(luò)路由器。在進行檢查之后，應(yīng)該隨網(wǎng)絡(luò)構(gòu)架生成一個清晰的結(jié)構(gòu)圖。

進一步的安全方法
        如前所述，SCADA系統(tǒng)以前是與其它網(wǎng)絡(luò)分開的，要進行攻擊，只有在物理上穿越此系統(tǒng)。隨著公司網(wǎng)絡(luò)在電子上連接到了互聯(lián)網(wǎng)或是無線技術(shù)，物理訪問對于網(wǎng)絡(luò)攻擊來說已經(jīng)不需要了。其中一個解決方法就是隔離SCADA網(wǎng)絡(luò)，但是對于預(yù)算思想的操作來說，這不是一個實用的方法。這還會需要在遠(yuǎn)程地點的監(jiān)控工廠和遠(yuǎn)程終端單元。所以需要采用安全方法來保護網(wǎng)絡(luò)，一些常見的方法可以應(yīng)用與本質(zhì)上屬于所有的SCADA的網(wǎng)絡(luò)，例如那些以WAN形式出現(xiàn)的網(wǎng)絡(luò)，或是又基于互聯(lián)網(wǎng)訪問要求的網(wǎng)絡(luò)。核心的因素包括：
● 網(wǎng)絡(luò)設(shè)計
● 防火墻
● 虛擬專用網(wǎng)絡(luò)
● 隔離區(qū)

網(wǎng)絡(luò)設(shè)計——盡量保持簡潔
        簡單的網(wǎng)絡(luò)比比較復(fù)雜的、相互連接的網(wǎng)絡(luò)危險要少。要保持網(wǎng)絡(luò)的簡潔性，更重要的是，從一開始就要有良好的構(gòu)架。
        確保一個安全的網(wǎng)絡(luò)的關(guān)鍵因素就是控制接觸點的數(shù)目。接觸點應(yīng)該盡可能的少。雖然防火墻可以保護來自互聯(lián)網(wǎng)的訪問，但是很多現(xiàn)行的控制系統(tǒng)擁有自己的調(diào)制解調(diào)器，允許用戶在遠(yuǎn)程訪問系統(tǒng)進行調(diào)試。這些調(diào)制解調(diào)器往往直接與子站的控制器相連。如果確實需要訪問點，應(yīng)該是一個具有密碼保護的單點，使得用戶的登錄行為可以成功。

防火墻
        防火墻是裝在網(wǎng)關(guān)服務(wù)器上，保護專有網(wǎng)絡(luò)計算機資源的免受外部用戶攻擊的一套安全程序。防火墻與路由程序緊密配合工作，它可以檢查每個網(wǎng)絡(luò)信息包，判斷是否允許它傳遞到目的地。防火墻還會包含一個代理服務(wù)器或是與其工作，這就可以使網(wǎng)絡(luò)要求可以代表工作站用戶。防火墻通常安裝在特別設(shè)計的計算機上，與網(wǎng)絡(luò)的其它部分分開，所以，任何引入的信息都不可能直接進入網(wǎng)絡(luò)資源。
        在信息包交換的網(wǎng)絡(luò)中，例如，互聯(lián)網(wǎng)，路由器是判斷一個網(wǎng)絡(luò)點是否是信息包的目的地的設(shè)備或是軟件。路由器最少連接到兩個網(wǎng)絡(luò)上，基于對它所連接的網(wǎng)絡(luò)，以及他對網(wǎng)絡(luò)現(xiàn)狀的理解，來判斷每個信息包的傳送路徑。路由器安裝在網(wǎng)關(guān)上（兩個網(wǎng)絡(luò)的交匯處），包含互聯(lián)網(wǎng)上的每個點。路由器通?？醋骶W(wǎng)絡(luò)交換機的一部分。
        在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)上使用安全放火墻十分重要。作為公司網(wǎng)絡(luò)信息出入的單點，防火墻可以很好的被監(jiān)控和保護。使用至少一臺防火墻和路由器把公司網(wǎng)絡(luò)和不屬于本公司的網(wǎng)絡(luò)隔離開十分必要。
在更大的站點，需要保護控制系統(tǒng)免受SCADA網(wǎng)絡(luò)內(nèi)部的攻擊。在公司網(wǎng)絡(luò)和SCADA系統(tǒng)之間使用防火墻可以達(dá)到這個目的，并且也高度建議使用防火墻。

虛擬專有網(wǎng)絡(luò)（VPN）
        現(xiàn)在更加復(fù)雜的網(wǎng)絡(luò)所面臨的一個主要的安全問題之一就是遠(yuǎn)程訪問。VPN是一個連接到遠(yuǎn)程SCADA網(wǎng)絡(luò)的安全方法。使用VPN，所有的數(shù)據(jù)在一定程度上是保密的，只對有限的人群開放，例如供應(yīng)商公司的員工。VPN是一個使用公用電纜把點連接起來的網(wǎng)絡(luò)。例如，有一些系統(tǒng)允許使用互聯(lián)網(wǎng)作為傳輸數(shù)據(jù)的媒質(zhì)來生成網(wǎng)絡(luò)。這些系統(tǒng)使用密碼技術(shù)和安全方法來保證只有授權(quán)用戶才可以訪問網(wǎng)絡(luò)，并保證數(shù)據(jù)不被干擾?；诂F(xiàn)存的網(wǎng)絡(luò)構(gòu)架，使用一體化的數(shù)據(jù)密碼和隧道技術(shù)，VPN提供了一個高水平的數(shù)據(jù)安全等級。一個典型的VPN服務(wù)器或者是作為防火墻的一部分或是作為一個獨立的設(shè)備安裝，外部人員進入SCADA網(wǎng)絡(luò)之前要進行驗證。

IP安全（IPsec）
       IP安全是互聯(lián)網(wǎng)工程任務(wù)組為了支持IP層安全的信息包交換而開發(fā)的一套協(xié)議。VPN已經(jīng)廣泛的應(yīng)用了IPsec。
       IPsec可以在一個網(wǎng)絡(luò)范圍內(nèi)使用，提供計算機等級的認(rèn)證和數(shù)據(jù)加密。IPsec可以被用來把使用高度安全的L2TP/IPsec的遠(yuǎn)程網(wǎng)絡(luò)生成連接。
       IPsec支持兩種加密模式：transport和tunnel。Transport加密只對每個信息包的一部分（有效載荷）進行加密，不涉及報頭部分。更加安全的tunnel模式可以同時對報頭和有效載荷進行加密。在接收方，IPsec兼容設(shè)備為每個信息包解碼。
      為了IPsec有效工作，發(fā)送和接收方應(yīng)該共享相同的公鑰。這通過ISAKMP/Oakley（安全聯(lián)盟和密鑰交換協(xié)議），這就允許接收者可以得到公鑰，并對發(fā)送者進行數(shù)字驗證。
       在網(wǎng)絡(luò)硬件，如路由器、交換機和網(wǎng)關(guān)的選擇階段，考慮到設(shè)備要支持IPsec來支持安全VPN連接的能力十分重要。

隔離區(qū)
        隔離區(qū)是在信任區(qū)域（SCADA網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的緩沖區(qū)域，通過額外的防火墻和路由器分離開，為地址網(wǎng)絡(luò)攻擊提供了額外的安全層。使DMZ已經(jīng)成為把商務(wù)網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)分離開的越來越普遍的方法，是一種強烈建議使用的安全方法。

網(wǎng)絡(luò)和操作環(huán)境的安全
        在處理SCADA構(gòu)架時，需要明白在與SCADA有關(guān)的IT安全性能和關(guān)注于典型的商務(wù)網(wǎng)絡(luò)的安全性能方面具有相同和不同點。例如，在商務(wù)系統(tǒng)中，訪問服務(wù)器時非常典型的關(guān)注問題，而在SCADA環(huán)境下，訪問主要集中在操作員控制臺上。這些不同點產(chǎn)生了不同的網(wǎng)絡(luò)拓?fù)鋱D來提供必要的有效性，同時，SCADA系統(tǒng)下什么樣的問題是保證安全最需要關(guān)注的也是與商務(wù)網(wǎng)絡(luò)不同的。
認(rèn)證和授權(quán)
        認(rèn)證是一個處理確認(rèn)訪問SCADA系統(tǒng)的授權(quán)用戶的軟件。授權(quán)是定義一個訪問許可，允許用戶使用這個許可來訪問系統(tǒng)的相關(guān)內(nèi)容。驗證和授權(quán)是確認(rèn)和允許只有授權(quán)用戶訪問SCADA系統(tǒng)的單點控制機制，因此保證了對系統(tǒng)安全性的高度控制。
       為了提供有效的驗證，系統(tǒng)要求每個用戶使用各自的用戶名和密碼進入。共享的用戶名意味著該用戶對密碼和所完成的行為缺乏責(zé)任感。
        用戶必須在系統(tǒng)內(nèi)生成、編輯和取消，而且該系統(tǒng)是活躍的，可以把個人密碼保存起來。密碼過期保證操作人員在一個可控的時間周期內(nèi)例如一周或一個月等定期修改他們的密碼。
可靠的數(shù)據(jù)存儲和通訊
       對于SCADA系統(tǒng)來說很關(guān)鍵的數(shù)據(jù)應(yīng)該在保存和通訊時保證安全。建議關(guān)鍵數(shù)據(jù)例如密碼使用加密算法保存。相似地，遠(yuǎn)程登錄處理應(yīng)該使用VPN或是加密技術(shù)把用戶名或是密碼在網(wǎng)絡(luò)上通訊。關(guān)鍵數(shù)據(jù)如用戶名和密碼必須儲存在一個安全的數(shù)據(jù)庫中，使用bbbbbbs認(rèn)證和基于角色的安全系統(tǒng)對訪問權(quán)進行監(jiān)控和管理。
入侵檢測
      防火墻和其它的防御設(shè)備在進行觀測、識別和確認(rèn)攻擊特性的時候往往匯缺乏一定程度的智能性，這將會在他們所監(jiān)控的通訊中或是所收集的日志文件中顯出來。這些不足就解釋了入侵檢測系統(tǒng)（IDS）為什么在維護網(wǎng)絡(luò)安全方面越來越重要。
        簡而言之，IDS是一個知道如何從防火墻、路由器、服務(wù)器上閱讀和翻譯的專門工具。進一步，IDS經(jīng)常保存具有顯著攻擊特征的文件，然后把一些動作和行為與它在日志中所存儲的特征進行比較，如果現(xiàn)存的或是最近發(fā)生的行為與日志發(fā)生的匹配度很高，它就會察覺到了。
有很多IDS監(jiān)控方法：
● 網(wǎng)絡(luò)型IDS特征：基于網(wǎng)絡(luò)的IDS可以用很簡單少量的設(shè)備或是配置點對網(wǎng)絡(luò)幾乎不施加任何影響，對完整大型的網(wǎng)絡(luò)進行監(jiān)控。
● 主機型IDS特性：主機型IDS可以在它所監(jiān)控的主機上進行非常細(xì)節(jié)化的行為分析。
● 應(yīng)用型IDS特性：應(yīng)用型IDS只關(guān)注于某些特定的應(yīng)用上所發(fā)生的事件。它們通常通過分析應(yīng)用程序日志文件來檢測攻擊，通?？梢源_認(rèn)和很多類型的攻擊和可疑行為
        實際應(yīng)用中，大多數(shù)商業(yè)環(huán)境使用網(wǎng)絡(luò)型、主機型或是應(yīng)用型的IDS的某些綜合體來觀察網(wǎng)絡(luò)上發(fā)生的情況，對關(guān)鍵的主機和應(yīng)用程序的監(jiān)控更加密切。
規(guī)范對SCADA網(wǎng)絡(luò)的物理訪問
應(yīng)該對網(wǎng)絡(luò)的物理訪問倍加關(guān)注。
1、 使用Microsoft bbbbbbs的內(nèi)置特性，如NTFS在瀏覽網(wǎng)絡(luò)共享資源時進行驗證
2、 禁止任何非該組織內(nèi)部人員連接到該組織的以太網(wǎng)上，或是對其IT服務(wù)器室進行訪問。
3、 對網(wǎng)絡(luò)上日常運行的可能的可以行為進行監(jiān)控，當(dāng)運行嗅探軟件或是硬件時注意其IP地址。
4、 確保沒在列表上有陌生的IP地址。如果發(fā)現(xiàn)陌生的IP地址，要對其進行跟蹤，一旦你確定這個IP地址的出處，就可以采取行動了。如果你不確定，就在物理上斷開可能會發(fā)生入侵的網(wǎng)段。

無線網(wǎng)絡(luò)的特別提示
       得到未授權(quán)訪問無線網(wǎng)絡(luò)的最常見的方法有兩種：一是使用未授權(quán)的客戶程序，例如筆記本電腦或是掌上電腦，二是對無線訪問點進行復(fù)制。如果無線網(wǎng)絡(luò)沒有采取任何保護措施，那么上述任何一種方法都可以對無線網(wǎng)路提供完全的訪問。
       現(xiàn)在已經(jīng)應(yīng)用了很多商用無線網(wǎng)絡(luò)，他們在價格、復(fù)雜性、和安全水平上有所不同。
       當(dāng)使用無線網(wǎng)絡(luò)時，可以采用以下幾個標(biāo)準(zhǔn)的安全方法來對攻擊者獲得訪問無線網(wǎng)絡(luò)的機會最小化。
● 審核用戶——無線網(wǎng)絡(luò)的訪問點包含所有的被授權(quán)可以訪問無線網(wǎng)絡(luò)的客戶MAC地址的配置列表。沒有在列表上的客戶將不能取得訪問。
● 網(wǎng)絡(luò)名（SSID）——這是一個可以在所有的客戶機和訪問點上配置的認(rèn)證字符串。共同使用無線網(wǎng)絡(luò)的客戶機和訪問點必須享有相同的網(wǎng)絡(luò)名。然而網(wǎng)絡(luò)名是一個在網(wǎng)絡(luò)上傳播的可讀的文本字符串，所以，只是使用網(wǎng)絡(luò)名不能夠完全保護無線網(wǎng)絡(luò)安全。
● 有線等效保密（WEP）——所有的用戶和訪問點應(yīng)該擁有可配置的靜態(tài)WEP。這是一個40、64、128位的字符串，所有的客戶和訪問點都必須要輸入。沒有正確的WEP字符串，就不會得到無線網(wǎng)絡(luò)訪問，SSID也是通過這種字符串進行加密的。大多數(shù)情況下，只是使用SSID和WEP就可以提供安全的解決辦法了。
● VPN（前邊已經(jīng)描述）可以為互聯(lián)網(wǎng)或是國內(nèi)企業(yè)網(wǎng)絡(luò)提供一個安全的連接。VPN只是在開放的互聯(lián)網(wǎng)上或是無線網(wǎng)絡(luò)上生成一個安全的通道。通過這個通道的傳輸?shù)臄?shù)據(jù)在客戶機上被加密，在無線訪問點內(nèi)部的網(wǎng)關(guān)上被解密并時期生效。使用VPN的另外一個優(yōu)點就是可以為兩種網(wǎng)絡(luò)：無線或是有線的，提供安全，而且維護費用相對較低。