日韩床上生活一级视频|能看毛片的操逼网站|色悠悠网站在线观看视频|国产免费观看A淫色免费|国产av久久久久久久|免费A级视频美女网站黄|国产毛片av日韩小黄片|热久久免费国产视频|中文字幕无码色色|成人在线视频99久久久

問題說明
      在過去的幾年中，隨著中斷，以及大規(guī)模的蠕蟲、病毒像Blaster等的增加，大家認識到，原來專有和被隔離的系統(tǒng)現(xiàn)在已經(jīng)連到了企業(yè)網(wǎng)絡上，而且包含很多互聯(lián)網(wǎng)上的連接點。還有一個共識就是，控制關鍵基礎設施的電氣設備在面對拒絕服務（DoS）、包含格式不正確的數(shù)據(jù)的數(shù)據(jù)包、由病毒、木馬和蠕蟲引起的惡意代碼時是易受擾動的。
      SCADA上執(zhí)行的網(wǎng)絡安全漏洞評估和過程控制網(wǎng)絡顯示了許多公司保護關鍵資產(chǎn)的一種模式。超過80%的電力、天然氣、水、能源公司過去曾經(jīng)提到，在他們的IT企業(yè)網(wǎng)絡和過程控制網(wǎng)絡之間安裝一個防火墻或是相似的網(wǎng)絡抵御裝置對于在SCADA系統(tǒng)和過程控制系統(tǒng)之下保護他們的關鍵資產(chǎn)的安全已經(jīng)足夠了。
      這些公司通常把過程控制網(wǎng)絡看成一個很大的黑箱，通過盡量把控制網(wǎng)絡環(huán)境從其它網(wǎng)絡中分離出來作為保護其安全的方法。雖然這是一個好的開始，也是一個正確的努力方向，考慮到通過以太網(wǎng)和互聯(lián)網(wǎng)路由協(xié)議聯(lián)系起來的重要資產(chǎn)現(xiàn)在所面臨的危險，在網(wǎng)絡安全問題上卻還有其它的解決辦法。
      在下文中將會由兩個網(wǎng)絡圖，第一幅圖顯示了典型的SCADA或DCS系統(tǒng)是如何組網(wǎng)來支撐企業(yè)網(wǎng)路的邏輯網(wǎng)絡圖。第二幅圖顯示了大多數(shù)公司是怎樣看待實時、SCADA和過程控制環(huán)境的安全問題的。他們通常會把網(wǎng)絡分成兩個環(huán)境——企業(yè)或是IT環(huán)境，SCADA或是過程控制系統(tǒng)環(huán)境。

圖1 SCADA和IT網(wǎng)絡典型網(wǎng)絡圖

圖2 通常把SCADA和IT劃分到兩個不同的安全區(qū)域

典型的SCADA網(wǎng)絡漏洞和創(chuàng)新的解決方法
      當使用企業(yè)網(wǎng)絡時，如果在SCADA和過程控制系統(tǒng)中沒有訪問控制和網(wǎng)絡劃分，就會為網(wǎng)絡攻擊創(chuàng)造機會。這危機可能來自內部或是外部。以下的幾個章節(jié)將會涉及到SCADA攻擊和為了解決這些問題而提出的可能的新型解決方案。

外部威脅
蠕蟲、病毒。木馬和破壞SCADA網(wǎng)絡的惡意軟件

圖3 網(wǎng)絡劃分不清晰對于抵制外部攻擊比較困難
      在SCADA或是PCN環(huán)境中只有一種網(wǎng)絡解決方案通常會使SCADA工作站和服務器、電信網(wǎng)絡、PLC和RYU控制器對于自我傳播、變異的蠕蟲十分脆弱，而這些病毒要比反病毒供應商的反應要快的多。使用追加的安全區(qū)域、還有端口級別的安全方案和在每個安全區(qū)域之間使用防火墻，病毒和蠕蟲就可以被阻止在安全區(qū)外，而不管這種反病毒方案的是否具有最新的簽名文件。通過使用防火墻把SCADA環(huán)境進行劃分，可以把病毒解決方案設置成永遠不必和互聯(lián)網(wǎng)連接到一起，然而仍然可以自動的取得簽名更新，并把它們分配到SCADA環(huán)境中的計算機上。
      既然把SCADA環(huán)境直連接到IT網(wǎng)絡或是以太網(wǎng)上，都會把SCADA環(huán)境置于附加的攻擊和危險當中，一個比較好的方法就是在它自己的DMZ內生成一個新的中立的安全區(qū)，這個中立的DMZ可以在企業(yè)IT網(wǎng)絡和SCADA環(huán)境之間形成一個緩沖區(qū)，這種設計會有很多好處。

圖4 新的數(shù)據(jù)DMZ會在IT和SCADA之間生成一個中立區(qū)域
      新的緩沖區(qū)的主要好處就是從SCADA環(huán)境中的數(shù)據(jù)可以在這里停留，然后才移動到其它的IT環(huán)境中。不是用很多IT直接連接到SCADA環(huán)境中，所有的數(shù)據(jù)收集和存檔都可以移到歷史數(shù)據(jù)庫DMZ，這就進一步限制了對SCADA環(huán)境的訪問，允許在這個區(qū)域和SCADA環(huán)境之間的防火墻規(guī)則可以編寫的更加嚴格?！白钚√貦唷备拍羁梢栽俅螒?，所以只有允許訪問SCADA系統(tǒng)的人員或是設備才允許進入到SCADA環(huán)境中。其它所有的用戶，確實要求訪問SCADA系統(tǒng)數(shù)據(jù)的，可以允許訪問歷史數(shù)據(jù)庫DMZ。
      使用歷史數(shù)據(jù)庫DMZ或是區(qū)域2的另外一個好處就是可以安裝中繼服務器，它可以把IT側的操作系統(tǒng)或是升級補丁傳遞到SCADA或是控制系統(tǒng)環(huán)境。如果對一個模擬環(huán)境或是正在開發(fā)的配有SCADA硬件和軟件的網(wǎng)絡進行訪問，強烈建議這些新的操作系統(tǒng)和反病毒補丁首先在這個測試環(huán)境中運行。圖5中的網(wǎng)絡圖顯示了一個次級操作系統(tǒng)或是反病毒補丁系統(tǒng)是如何在區(qū)域2或是數(shù)據(jù)DMZ區(qū)上行安裝的，因此，我們就可以把這些升級和補丁下載到測試環(huán)境，在現(xiàn)場生產(chǎn)系統(tǒng)應用這些升級和補丁之前，先對他們進行測試。

圖5把操作系統(tǒng)和反病毒補丁傳遞到模擬網(wǎng)絡以供測試
      一旦在模擬網(wǎng)絡中測試了這些補丁，對SCADA功能沒有反作用，可以使用區(qū)域2中的相同系統(tǒng)把這些補丁傳遞到現(xiàn)場的生產(chǎn)環(huán)境中。

圖6 把操作系統(tǒng)和反病毒補丁傳遞到現(xiàn)場生產(chǎn)系統(tǒng)中
      盡管補丁已經(jīng)在模擬網(wǎng)絡上經(jīng)過測試，把這些補丁推出系統(tǒng)到生產(chǎn)環(huán)境中仍然有一定的風險。一個選擇就是每次只對一個系統(tǒng)進行修補，另外一種方法就是，在工作站和服務器現(xiàn)場手動修補系統(tǒng)，參照區(qū)域2中的系統(tǒng)升級操作系統(tǒng)和反病毒補丁。

內部威脅
SCADA環(huán)境的不安全遠程訪問
      除了來自互聯(lián)網(wǎng)和企業(yè)IT網(wǎng)絡的外部危險，還有來自防火墻背后撥號調制解調其訪問的內部直接訪問的威脅。這種撥號調制解調器連接點只有在知道一個簡短的密碼或是簡單的4位PIN碼才可以對SCADA環(huán)境直接訪問。簡單的驗證算法的結合，直接訪問和操作SCADA硬件和軟件的能力，但是卻很少或是沒有審查跟蹤，將會使調制解調器成為外部攻擊進入的可能點。
      圖7描述了通過使用調制解調器或是不安全的VPN訪問進入到SCADA環(huán)境的一些點。這兩種方法都可以使外部系統(tǒng)取得與SCADA環(huán)境的直接連接，外界的惡意代碼通過使用這種外部訪問的方式所創(chuàng)建的橋梁可以很容易的潛入到SCADA環(huán)境中。

圖7——現(xiàn)在提供對SCADA進行遠程訪問的不安全方法
      除了上述所指出的現(xiàn)行調制解調器訪問SCADA環(huán)境的一些漏洞以外，調制解調器訪問只為解決問題、修補或是維護SCADA系統(tǒng)的原件提供了一個低帶寬的連接。新的解決方法要求更加強大的驗證，同時要限制對SCADA環(huán)境的直接訪問。對于訪問系統(tǒng)的時間和用戶名，還要提供一個審查跟蹤機制。
      把二因素OPT（一次性密碼）和thin－client計算機（Citrix和終端服務器），結合起來使用，那些只有通過許多訪問認證檢查的用戶才可以被提供訪問，通過把遠程用戶阻止在DMZ區(qū)域內限制對SCADA環(huán)境的訪問，只對SCADA環(huán)境提供thin-client訪問。
      遠程用戶，當提交了從令牌環(huán)上得到的變化的6位碼之后，還要提交一次4位PIN碼，這個6位碼和4位PIN碼結合為系統(tǒng)生成了OTP。在DMZ認證之后，遠程用戶必須輸入用戶名和密碼來進入thin-client服務器。一旦通過驗證進入到thin-client環(huán)境，一個基于用戶訪問文件的桌面會話就會顯示在遠程用戶面前。這些使用系統(tǒng)管理員文件的遠程用戶可以訪問PLC程序或是SCADA/HMI開發(fā)軟件，并可以進行修改下載到SCADA環(huán)境。
      圖8中的網(wǎng)絡圖顯示了這種新型的安全遠程訪問如何驗證遠程用戶，并把用戶包括在歷史數(shù)據(jù)庫DMZ中，同時允許thin-client會話通過SCADA防火墻訪問SCADA環(huán)境。

圖8為SCADA提供安全遠程訪問的示例解決方案
      新型遠程訪問方案除了安全特性，其它的優(yōu)點包括可以審查跟蹤誰、怎樣、何時訪問的SCADA環(huán)境。而且，因為遠程訪問解決方案是在媒質上獨立的，所以可以使用高帶寬連接進行遠程訪問，連接的性能也會大大加強。

非蓄意的內部危害
松懈的訪問控制把整個SCADA環(huán)境暴漏出來
      在SCADA網(wǎng)絡上使用了防御辦法所產(chǎn)生的另外一個基本的安全缺點就是松懈的訪問控制。因為在企業(yè)局域網(wǎng)和SCADA或是過程控制局域網(wǎng)之間只有一個防御層，所以執(zhí)行防御方案必須經(jīng)過良好的測試以一個良好的方式運行。最近，在能源、公共事業(yè)和制造企業(yè)進行了漏洞和危險評估，一個主要的問題就是在企業(yè)IT和SCADA環(huán)境之間的路由器或是防火墻上薄弱ACL（訪問控制列表）執(zhí)行情況。
      我們所分析的大多數(shù)路由器的執(zhí)行行為使用范圍從IP尋址到對SCADA環(huán)境的限制訪問?，F(xiàn)在自動的黑客工具和掃描軟件可以自動的獲取可以進行惡意進攻的IP地址列表。即使沒有這些自動工具，可以對企業(yè)網(wǎng)絡進行物理訪問的內部人員可以在網(wǎng)絡上放置一個跟蹤器，把所有的數(shù)據(jù)包記載到日志當中，這樣就可以查看從哪個地址可以突破安全設備這道防線。
      有一次，一個夏季實習生無意間聽到我們談及SCADA這個詞語，他講到，“他已經(jīng)在網(wǎng)絡上發(fā)現(xiàn)了一些叫做SCADA01和EMS05的計算機，雖然他不知道他們可以作什么，但是已經(jīng)訪問了這些服務器上的所有文件”。在防御設備（路由器或是防火墻）、一些附加的網(wǎng)段上進行嚴格的訪問控制，來防止對SCADA環(huán)境的意外訪問，這條道路還很漫長。參考下面圖9可以看到在IT和SCADA網(wǎng)絡之間防御設備上的松懈的訪問控制和ALC是如何把整個SCADA環(huán)境置于內部的員工或是合作人員可以進行意外訪問的危險境地之中的。

圖9——松懈的訪問控制不能阻止企業(yè)用戶的非蓄意訪問

內部蓄意攻擊
單調的SCADA網(wǎng)絡設計限制了安全的有效性
      典型的防御解決辦法只有通過提供防止來自SCADA環(huán)境的外部攻擊有限防御措施來實現(xiàn)。很多情況下，SCADA網(wǎng)絡設計平平。每個可以訪問SCADA系統(tǒng)內的任一系統(tǒng)的個人都可以訪問整個網(wǎng)絡。例如，如果沒有在SCADA網(wǎng)絡上執(zhí)行額外的安全方案和防御層，企業(yè)如何阻止對從下載代碼到以太網(wǎng)PLC的歷史數(shù)據(jù)訪問，或是訪問其它的SCADA服務器上的文件呢？下邊的圖10顯示了這種類型的SCADA網(wǎng)絡構架，在各種類型的SCADA各組成部分之間沒有提供足夠的牽制政策。
      必須使用一種方法來限制控制物理進程的低層次的SCADA終端設備進行訪問。對SCADA和過程控制計算機工作站和控制室計算機設備的訪問不能自動等同于對操作物理設備的控制器的訪問。
      另外，如果SCADA計算機感染病毒，大多數(shù)情況下，PLC、RTU、和IDE控制下的程序可以在最后的設定狀態(tài)下以自動模式繼續(xù)運行，同時，計算機管理員恢復被影響的工作站或是服務器。如果對SCADA計算機設備和控制工廠物理設備的SCADA終端設備的訪問沒有分開，來自自我傳播的病毒、蠕蟲、木馬所帶來的潛在威脅所波及的范圍就會到達終端設備，已經(jīng)在實驗室條件下證明，某些設備可能會導致失敗。

圖10 ——SCADA構架設計平平，不能夠阻止內部的攻擊
內部蓄意攻擊——
在提高網(wǎng)絡通訊時，SCADA軟件和設備容易受到攻擊
      像PLC、RTU和IED這些控制物理設備的裝置，應該置于一個不同的安全區(qū)域，使用不同的訪問控制以限制對他們的訪問。SCADA服務器和操作面板應該在另外一個安全區(qū)域。通過我們的一些研究調查和我們自己對SCADA設備的測試已經(jīng)表明，當網(wǎng)絡的帶寬等級提高時，這些控制器對攻擊就變的很脆弱，或是就會有畸形的網(wǎng)絡信息包傳送給SCADA軟件或是設備。
      通常，只使用大型的普通的SCADA網(wǎng)絡，在SCADA計算機或是工作站受到影響的時候這些終端設備得不到什么保護。最好的方法之一就是把這些SCADA環(huán)境劃分成不同的操作區(qū)域，在整個SCADA環(huán)境中分布的使用防火墻，為每個區(qū)域提供特別的訪問控制。

圖11 在SCADA環(huán)境中使用分布式防火墻可以保護終端設備

結論
      隨著SCADA和過程控制系統(tǒng)中不斷涌現(xiàn)出來的危險，這些用戶和操作員應該時刻關注現(xiàn)在使用的抵制內部和外部威脅的網(wǎng)絡訪問控制。在二十世紀90年代末，使用了以太網(wǎng)TCP/IP通訊已經(jīng)使市場上的SCADA或是過程控制系統(tǒng)的組成部分具有以太網(wǎng)通訊性能。現(xiàn)在，在SCADA和過程控制系統(tǒng)上發(fā)現(xiàn)IP通訊是很平常的。
SCADA系統(tǒng)的用戶和操作員在SCADA和IT網(wǎng)絡的連接處只使用一種網(wǎng)絡抵御方案這種趨勢仍在繼續(xù)。這種單一抵御方案，如防火墻，是一個好的開端，但是卻把SCADA環(huán)境內部變的不安全和脆弱。
      在SCADA環(huán)境中普通的網(wǎng)絡設計會使來自內部或是外部的威脅不斷傳播，并且影響控制物理裝置的中斷設備?？梢允褂靡恍┬碌募夹g來保護SCADA環(huán)境內部的安全，同時也可以提供對它的遠程訪問。
      了解SCADA和過程控制系統(tǒng)的漏洞在什么，內部和外部的威脅會如何利用這些漏洞，并且知道怎樣執(zhí)行新的預防措施來阻止、保護和檢測網(wǎng)絡威脅是保護這些重要系統(tǒng)的關鍵所在。