欧美韩国日本桃色,一区二区三区国产私人毛片,精品极品精品,亚洲一区人妻,久久久久久久久亚洲免费,青娱乐91,亚洲情涩,久久久成人毛片,日本欧美不卡二区在线

　　隨著新一年的到來，發(fā)電廠和大型電力企業(yè)對網(wǎng)絡(luò)安全的重視程度也邁上了一個新的臺階。NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例的生效意味著電力供應(yīng)和輸配電部門必須采取明確的安全防范措施，以確保持續(xù)供電。一旦有人違反了條例中的要求，就會被處以巨額罰款。

　　而許多行業(yè)外人士也正在密切關(guān)注電力行業(yè)的動態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)，而且是越早越好。在過去的一、兩年中，工業(yè)網(wǎng)絡(luò)安全經(jīng)歷了迅猛的發(fā)展。大約一年前，美國中央情報局（CIA）的一份報告中記錄了這樣一起事件：一項勒索行動中，一部放置在海外的設(shè)備被網(wǎng)絡(luò)黑客成功破壞。嚴(yán)重黑客攻擊（如圖所示）的性質(zhì)，已經(jīng)從單純的娛樂，擴(kuò)展到了犯罪、恐怖主義、甚至國家贊助的間諜活動。我們必須采取適當(dāng)而有力的防御措施來應(yīng)對黑客攻擊行為的不斷升級。

　　NERC CIP條例自2002年頒布以來，經(jīng)常有人將其執(zhí)行效果與那部在執(zhí)行上充滿混亂的Sarbanes-Oxley (SOX) 法案相比較。艾默生電力和水力部門的SCADA及安全業(yè)務(wù)發(fā)展經(jīng)理Eric Casteel承認(rèn)，兩者在執(zhí)行效果上有相似之處。他說：“SOX法案頒布之后，相關(guān)的指導(dǎo)很少而且對該法案的理解差異很大。NERC CIP標(biāo)準(zhǔn)頒布之后，情況也是如此。有些客戶正在走高質(zhì)量線路，并希望采取最佳做法，以求在審查中獲得‘A’。而有些客戶則只想拿一個‘C’了事。更有些工廠的相關(guān)人員還會以‘我們不屬于關(guān)鍵資產(chǎn)’為理由進(jìn)行搪塞。如果他們的工廠沒有停電啟動設(shè)施，同時也不是重要的兆瓦級發(fā)電站，那么他們就可能以此作為理由。但是從整體來看，一組電網(wǎng)的整體安全性僅等同于其中最薄弱部分的安全性。在這種情況下，標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)會對這些企業(yè)下達(dá)強(qiáng)制命令：每個發(fā)電、傳輸和配送部門，不論是否屬于關(guān)鍵資產(chǎn)部門，都必須履行這些條例?！?/P>

　　黑客能夠以各種手段和動機(jī)闖入你的系統(tǒng)。他們的特征具有普遍性，但也有特別之處。

　　要抵御業(yè)余愛好者的入侵并不困難，但是若想抵御訓(xùn)練有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。

　　從何入手？

　　如果你是從事電力或其他行業(yè)工作的，那么你應(yīng)該如何在你的DCS（集散控制系統(tǒng)）、SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）、或其它工業(yè)控制網(wǎng)絡(luò)中實施基本的網(wǎng)絡(luò)安全措施呢？通常在一個項目開始之前，應(yīng)該首先對當(dāng)前的情況進(jìn)行一次評估，尤其要對網(wǎng)絡(luò)中的所有設(shè)備做一次清查。你需要弄清楚設(shè)備是怎樣連接的，以及設(shè)備上運行著何種軟件。如果你希望找出黑客從外部進(jìn)入系統(tǒng)的方式并建立起適當(dāng)?shù)钠琳?，那么這就是你要做的第一件事。

　　“用戶對他們系統(tǒng)的實際架構(gòu)和連接方式的認(rèn)識往往非常膚淺，”西門子能源與自動化集團(tuán)過程自動化系統(tǒng)市場營銷經(jīng)理Todd Stauffer說道，“很多設(shè)備通過直接或間接的方式連接到控制網(wǎng)絡(luò)中，而生產(chǎn)過程負(fù)責(zé)人幾乎無法控制它們。因此，相關(guān)人員首先要做的事情之一，就是確認(rèn)系統(tǒng)的實際架構(gòu)。應(yīng)該說，實際架構(gòu)很可能與他們想象中的大相徑庭?？梢钥隙ǖ氖?，相關(guān)人員在確認(rèn)系統(tǒng)架構(gòu)的過程中幾乎總會發(fā)現(xiàn)意想不到的連接。”

　　艾默生過程管理的數(shù)據(jù)管理解決方案高級顧問David Rehbein，在Microsoft任職期間，從事了很多年網(wǎng)絡(luò)評估工作。他也認(rèn)為進(jìn)行評估是關(guān)鍵的第一步。 “在系統(tǒng)清查過程中，你可以發(fā)覺網(wǎng)絡(luò)上的每個IP地址，一些IP地址往往是在無人知曉的情況下悄然出現(xiàn)的。有些人連進(jìn)網(wǎng)絡(luò)、在上面放了點東西，卻忘了告訴管理員(IT)。于是，你的系統(tǒng)上就有了一個非法客戶端或服務(wù)器。如果你對它的存在一無所知，那么你就無法知道它是否打了正確的安全補(bǔ)丁。你更無法知道它是否安全，有沒有運行查毒軟件。

　　了解你的連接

　　獨立的控制系統(tǒng)很容易保護(hù)，但這樣的系統(tǒng)已經(jīng)很少存在了。如果管理員要了解工廠當(dāng)前的情況，那么他獲取信息的最簡單方法就是查看控制系統(tǒng)。這樣的話，控制系統(tǒng)就要連接到公司的網(wǎng)絡(luò)中，而公司網(wǎng)絡(luò)毫無疑問是連接互聯(lián)網(wǎng)的。如果這類連接沒有得到很好的保護(hù)，那么就可能成為了一個主要的突破口。控制系統(tǒng)與公司網(wǎng)絡(luò)結(jié)合得越全面，潛在的突破口就越多。這就是所謂的攻擊面積。

　　Rehbein回顧了一個他在微軟工作時參與的項目：“我們一天就完成了第一次評估，因為那是一個非常簡單的連接。他們沒有把工廠網(wǎng)絡(luò)連接到其他地方，能夠進(jìn)入該網(wǎng)絡(luò)的唯一方式是進(jìn)到建筑內(nèi)部。與這種情況形成鮮明對比的是：有些人希望和客戶或是位于瑞士的公司IT部門分享項目清單或者目前的生產(chǎn)水平。這就需要直接的互聯(lián)網(wǎng)連接，這也為其他任何人進(jìn)入你的系統(tǒng)打開了方便之門。

　　出于商業(yè)目的的連接會可能會招來更多潛在的攻擊，這給操作人員和控制系統(tǒng)帶來了更多的壓力。霍尼韋爾過程解決方案開放系統(tǒng)服務(wù)的全球項目經(jīng)理Shawn Gold擔(dān)心各企業(yè)正在失去自行處理問題的能力。日益依賴外部支持就意味著增加突破口?！叭魏闻c外部世界的連接都是有風(fēng)險的，”他警告說，“但是為了獲得有幫助的服務(wù)和資源，你又必須連接到外部，這在當(dāng)今的經(jīng)濟(jì)環(huán)境下更是如此。你可能已經(jīng)記錄了所有的連接，這是一件好事。但也會有潛在的未被記錄的連接，或為應(yīng)對緊急情況而特設(shè)的連接，可能造成安全風(fēng)險。因此你必須知道在緊急情況下該做些什么，以及在遇到困難時，如何保護(hù)自己?！?/P>

　　監(jiān)控軟件

　　除了連接之外，你還需要知道網(wǎng)絡(luò)上有什么軟件。這一點至關(guān)重要的，主要的原因有兩個：一些軟件存在可以被黑客利用的漏洞；編寫不良的程序可能會引起內(nèi)部問題。

　　“每次增加軟件的同時，你也增加了被攻擊范圍?！?霍尼韋爾過程解決方案的全球安全架構(gòu)師Kevin Staggs建議道，“你安裝的一些不必要的軟件可能會與其他一些必要的控制軟件形成沖突，導(dǎo)致系統(tǒng)失靈。有些故障甚至是你無法看到的。有時候，軟件在編寫時的錯誤會造成內(nèi)存溢出。我們發(fā)現(xiàn)一個反病毒系統(tǒng)補(bǔ)丁里有內(nèi)存溢出，而運行該程序的控制系統(tǒng)在出現(xiàn)內(nèi)存不足前大約能運行35天。到那時候，系統(tǒng)就會出現(xiàn)嚴(yán)重的減速或者顯示警告，而操作人員會不知所措?！?/P>

　　Staggs補(bǔ)充說，這些有問題的程序可以產(chǎn)生和黑客引入的惡意軟件同樣的后果。如果軟件沒有被你的控制系統(tǒng)供應(yīng)商完全核實，那么就可能導(dǎo)致隱性沖突。他建議：“你應(yīng)該遵循一個非常良好的變化執(zhí)行過程。在你執(zhí)行一個變化之前，務(wù)必先檢查其基本的性能；在執(zhí)行變化之后，立刻再檢查一次，并觀察一段時間。如果你嚴(yán)謹(jǐn)?shù)竭@種程度，應(yīng)該就能夠偵測到任何可能發(fā)生的問題?！?/P>

　　當(dāng)你了解了自己網(wǎng)絡(luò)的情況之后，如果出現(xiàn)了問題，你就會知道是否需要處理它了。西門子的Stauffer提到，白帽（white hat）組織發(fā)布了他們在公用軟件平臺上發(fā)現(xiàn)的漏洞，敦促供應(yīng)商修正它們，并警告說：“他們沒有意識到，他們的這一舉動是在為系統(tǒng)添亂，當(dāng)傳統(tǒng)系統(tǒng)的漏洞被公布在互聯(lián)網(wǎng)上供所有人瀏覽的時候，相關(guān)人員不得不去做那些他們原先不準(zhǔn)備做的事情。這足以告訴黑客，對于一個給定的系統(tǒng)應(yīng)該從何著手實施攻擊。你還打算通過隱藏漏洞以保證安全嗎？忘了它吧。你的系統(tǒng)弱點早已經(jīng)被公布在網(wǎng)上了?！?/P>

　　咨詢你的供應(yīng)商

　　你可以采取的一個最簡單方法，就是向最初為你打造系統(tǒng)的供應(yīng)商進(jìn)行咨詢。大多數(shù)公司會提供指導(dǎo)、案例研究、最佳做法以及根據(jù)積累的經(jīng)驗得出的其他意見。

　　網(wǎng)絡(luò)安全還包含了許多方面，但在此處討論并不合適。人事政策，外部管理收購，實體安全，縱深防御等等，都會對網(wǎng)絡(luò)安全策略產(chǎn)生影響。許多組織和公司為工業(yè)系統(tǒng)提供了網(wǎng)絡(luò)安全資源。如果你希望對此作深入研究，那么最好看一下這篇文章的邊欄。你應(yīng)該始終牢記，沒有解決一切的答案，也沒有絕對的安全。你能夠指望的最好情況是你的保護(hù)等級強(qiáng)于攻擊者的攻擊力度。

[page_break]

　　你的網(wǎng)絡(luò)安全實施資源

　　我們需要利用多種資源，或者說通過適當(dāng)?shù)目v深防御控制來“保障”過程控制系統(tǒng)的安全。譬如獲取管理支持，進(jìn)行評估，確定風(fēng)險因素，選擇修復(fù)方案，在獲取管理支持后對適當(dāng)?shù)募夹g(shù)、程序和安全意識作高效整合并開展培訓(xùn)計劃?？傊?，請千萬記得獲取管理支持。

　　網(wǎng)絡(luò)安全的學(xué)習(xí)方式是多種多樣的，要根據(jù)具體的過程而定。但是，最佳出發(fā)點無疑是先回顧并深入理解以下內(nèi)容：

　　1. NERC CIP（北美電力保障組織，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例：這套重要的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對大型電力系統(tǒng)組織有著深遠(yuǎn)的影響。它還牽扯到其他涉及過程控制的領(lǐng)域，如航空、鐵路、廢水處理、天然氣、煉油、化工和制造業(yè)。因為這些領(lǐng)域在國際上也被公認(rèn)是關(guān)鍵的基礎(chǔ)設(shè)施。NERC CIP是第一部具有制裁力的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn)，可能被處以高達(dá)每天100萬美元的罰款。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，其他用到SCADA和DCS的領(lǐng)域也正在對它進(jìn)行審核。NERC CIP標(biāo)準(zhǔn)可在www.nerc.com獲得。該標(biāo)準(zhǔn)需要結(jié)合具體的情況解釋執(zhí)行，遵守標(biāo)準(zhǔn)的方式不止一種。

　　2. 美國愛達(dá)荷國家實驗室的國家SCADA系統(tǒng)試驗平臺和DHS控制系統(tǒng)安全計劃：這項計劃提供了許多關(guān)于安全意識、安全評估和安全架構(gòu)方面的細(xì)節(jié)。它涉及的范圍非常廣泛，其中，我們特別推薦的一項是控制系統(tǒng)的網(wǎng)絡(luò)安全獲取語言，相應(yīng)鏈接為：www.us-cert.gov/control_systems。這份文件將有助于你辨識哪些控制對于保護(hù)系統(tǒng)而言是必須的。

　　3. NIST SP 800-82（國家標(biāo)準(zhǔn)與技術(shù)學(xué)會特別出版）：這份新的文檔為保障工業(yè)控制系統(tǒng)安全提供了指導(dǎo)。最終版本即將在第三次也是最后一次公開討論期后推出。而討論的截止日期為2008年11月30日。你可以在csrc.nist.gov/publications下載最終版本的草案。

　　4. ISA 99：這個標(biāo)準(zhǔn)提供了建立和執(zhí)行控制系統(tǒng)安全計劃的詳細(xì)說明。該標(biāo)準(zhǔn)的第4部分進(jìn)一步說明了控制系統(tǒng)安全與傳統(tǒng)IT安全的不同之處。具體請訪問www.isa.org/isasp99。

　　5. 傳統(tǒng)的IT解決方案，譬如信息及相關(guān)技術(shù)的控制目標(biāo)(CObIT)，ISO 27005和ISO 17799標(biāo)準(zhǔn)：許多現(xiàn)有的IT控制和安全框架能夠在工業(yè)控制系統(tǒng)環(huán)境內(nèi)提供基本的操作。傳統(tǒng)IT業(yè)務(wù)系統(tǒng)和過程控制系統(tǒng)的連接往往要考慮到效率和成本控制。因此，最好的做法是對特定的IT和過程控制系統(tǒng)進(jìn)行優(yōu)勢互補(bǔ)。關(guān)鍵問題是如何劃定連接系統(tǒng)與獨立操作系統(tǒng)之間的界限？尋找這一答案對相關(guān)組織和行業(yè)來說無疑是個挑戰(zhàn)，卻有著特別的意義。www.isaca.org；www.iso.org。

　　許多組織為SCADA系統(tǒng)特別制定了標(biāo)準(zhǔn)，包括：ISA，ISO，IEC，API，AGA，ChemITC，DHS CSSP，PCSF，CIGRE，NSTB，IEEE，EPRI，I3P，NERC和NIST。Control Engineering將繼續(xù)通過其網(wǎng)絡(luò)安全博客，以實踐和應(yīng)用的方式解讀這些標(biāo)準(zhǔn)，從而為解決所有基礎(chǔ)設(shè)施普遍面臨的安全挑戰(zhàn)助一臂之力。

　　縱深防御的一個關(guān)鍵參考

　　由David Kuipers和Mark Fabro撰寫的 《控制系統(tǒng)的網(wǎng)絡(luò)安全：縱深防御策略》（2006年5月）一文被看作是工業(yè)網(wǎng)絡(luò)安全方面的經(jīng)典之作。Fabro是Lofty Perch總裁兼首席安全科學(xué)家，并曾經(jīng)與美國DHS和INL（愛達(dá)荷國家實驗室）開展過廣泛的合作。關(guān)于撰寫這篇報告，他這樣說道：

　　“隨著DHS的控制系統(tǒng)安全計劃(CSSP)在私營部門密切開展，其中一個主要的想法是探討如何在以前獨立的大型系統(tǒng)內(nèi)建立有效的網(wǎng)絡(luò)安全。考慮到其中一些‘專用’技術(shù)的‘年齡’和操作上的差別，我們無法用當(dāng)代的網(wǎng)絡(luò)安全解決方案對它們進(jìn)行合并。這些資產(chǎn)所有者和經(jīng)營者已經(jīng)告訴我們，諸如IDS(入侵檢測系統(tǒng))和防火墻之類的措施在起到積極效果的同時，又不會對操作造成任何影響。資產(chǎn)所有者需要一種平衡的安全策略，既不會打亂他們的系統(tǒng)，又能夠減少網(wǎng)絡(luò)風(fēng)險?！?/P>

　　 “縱深防御模型工作的理念是：針對控制架構(gòu)中不同層次采用與其相適的安全水平等級，并將各層次的安全元素結(jié)合在一起構(gòu)成一個全面的安全防御態(tài)勢。編寫這本實踐指南主要是為了指導(dǎo)讀者一些在控制系統(tǒng)環(huán)境中處理較常見的漏洞，以及如何部署適當(dāng)?shù)陌踩鉀Q方案以幫助彌補(bǔ)這些漏洞。該計劃的目標(biāo)是綜合CSSP收集的來自利益相關(guān)者的反饋，深入研究如何滿足他們的需求，并建立指導(dǎo)以備相關(guān)部門進(jìn)行評估。最終的指導(dǎo)經(jīng)過尋求它的利益相關(guān)者核實和審查，必定能夠產(chǎn)生非常積極的影響。目前，我們推薦的做法是對那些經(jīng)過論證確實能對控制系統(tǒng)架構(gòu)起到保護(hù)作用的方法作深入分析，盡量在提升安全性的同時不降低原有性能?！?BR>