专家建议不要在SCADA系统中部署防火墙
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
毫无 疑问 , S C A DA 系 统 也不 例 外 、I n d u c t i v e A u t o ma t i o n 软 件 T程 师 C a r l G o u l d i 兑: “ 其实 , S C A DA 系统 的 实 质 是基 于 软 件 来 进 行 [ 业 过 程 的控 制 、 删和 分 析 。各种现 场 摔 制器 负
Wa t e r f a l l S e c u r i W T 控安全研 究室副 总裁 A n d r e w G i n t e r 却指 出, 由 防 火墙 控 制 的 i n b o u n d 和o u t b o u n d网 络 流 量 , 以 及 自
USGs的选 型
的 网 络 威 胁 有 多恶 劣 。
防 火 墙 的 安 全 局 限性
US G s 负 责 工 控 网络 到 企 业 管 理 网 络 之 间 的 实 时 单 向 数
据传输 . 其连接 T控 网络 系统的数据库软件 , 自动请 求查询信
息, 并 将 信 息 从 传 输 模 块 发送 到 企 业 管 理 网 络 端 的 接 收 模 块 , 而 这 些 信 息将 被 储存 在 企 业 管 理 网络 内 的 备 份数 据 服 务器 。
欺欺人的解释 : 这 是因为 , 攻击将同l 洋使 得 黑 客 受 到 影 Ⅱ 向。这
完 全 是 一种掩 可 盗铃 的 说法 !
S C A D A 系统 面 临 的 安 全 威 胁
警 毒
l 粤 龆 i
ห้องสมุดไป่ตู้;
:
> i誉 i t
? l | 卜
美 国 DHS ( 2 0 2 5 关 链 挂 础 设 施 战略 性 风 险 评 估报 告 》 指 出: 未 来 十牛 , 信息技术将 关键基 础没施领域 广 ‘ 泛结合 , 冈 此, 莅面临 普遍安全 问题的同时 , 网 络 物 理 系 统 的 多样 性 , 还 将 带 来 未 知 的 宦 全 漏 洞和 攻 击 面 。
宠 全 公 司都 有 类 似产 品 。 实 时 数 据传 输
责S C A 1 ) A通 信 , 同 时 采 集 时 数 据 . 并 永 用 户终 端 陶 形
面 。”
而 征 此 过 程 中 ,操 作 电 脑 和 控 制 器 的 网络 连 接 可 能 会 到 黑 客 攻 击 。 DHS 的战略性风险评估报告指 l L { J , 仅2 0 1 4年 发
U n i d i r e c t i o n a l R e # i c a t i o n
单 向 安 全 网 芙 也称 为 “ 数据 二极管 ” , 是 近 年 来 同 外安 全
公司研发 , 并 在 丁 业 网络 环 境 中推 广的 一 种安 全 没 备 。单 I 司网 关 解决方案 是成对 的 , T X装盟 包含…个激 光器 , RX 装 置 包 含一 个 光学 接收 器 。成 对 的 网 关可 以 从 业 务网络 中 传输 信 息 , 旧不会将任何病毒 、 Do S 攻击 、 人 为 错 或 者 其 他 信 息 回 传 到 受 保 护 的 网络 日前 , S A NS 、 Wa t e f r a l l S e c u i r t y 和c i t i s - 兀 1 等国 外
为
统运 行的有效 陛, 选用的 US G s 和 备份服务器必 须
身 的 安 全 防 范 局限 性 , 会导 致 更 多脆 弱 性 问 题 。 G i n t e r 补充道, 所 有 软 件都 存在 漏 洞 , 防 火墙 自 身的 软 件 系 统 一 样 可以被 黑 。
防 火 墙 MS US Gs
操控管理 者通过对 备份数 据服 务器的信息查 向和分析 .
可 以全 面 了 解 S C A DA 系统 的 运 行 情 况 ,而 无 需 直接 连 接 到 S CA DA 系 统 。 G i n t e r说道 ,从 物 理 层 面 来 讲 ,由 十 不 能 向 S C A DA 系统 发送 信息 , 当然 也就 不 能实 现 对 蓄 意 破 坏 和 攻
计 算 机 与 网 络
厦霜霭 固
专 家 建 议不 要 住 S C A DA系 统 中 部署 防 火墙 , 对 于 那 些 还
未 受 到 网 络 攻 击 的 关键 基 础 设 施 , 如电网 , 或 许 有 人 会给 自
h -咖 r l c a 『 p o - - --o . t
适应不同的网络和 S CA DA技 术 , ( ; i n t e r 同 时 强 调 ,备份 眼 务 器 的数 据 备 份 过 程必 须 对 外 部 管理 控 制 用 户 透 明 ,而且 不 会 对 主 服 务器和 保护 网 络 造 成 影 响 另 - - 一 个需 要 考 虑 的 因 素是 , 系 统 管 理 机 构 须 确 定 昕 需 的 US Gs 系 统 可 以 备份 的 哪 些 工控 应用教 据 . 如操 作 记 录 、 操作数据 、 控 制 系统 务器 成 过 程 控
q 三 的 网络 攻 击 事 故 就 达 2 4 5起 ,大 部 分 受 攻 击 的 目标 为 能 源 行业 , 而据 I CS — C E RT 数 据 表 明 , 这 些 事 放 中涉 眨 了 范 围 广 泛 的 巳 知 和 未 知 的威 胁 }段 , 其 中包 括 大 量 S C A DA和 I C S系 统 的 未 授 权 访 问 和 网 络攻 击 。 由此 , 你 可 以想 像 S C AI ) A面 临
防 火墙 指 是 一 种 由 软 件 和 馒 件 没 各组 合 而 成 .在 内 部 网 和外部网之间 、 专 用 网 与公 共 网 之 间 构 造 的 f 呆 _ 护屏障 。目前 ,
包括 S C A DA在 内的 大 多数 网 络 系 统 都 部 署 有 防 火墙 设 备 。 而 击 的 目的 。
Wa t e r f a l l S e c u r i W T 控安全研 究室副 总裁 A n d r e w G i n t e r 却指 出, 由 防 火墙 控 制 的 i n b o u n d 和o u t b o u n d网 络 流 量 , 以 及 自
USGs的选 型
的 网 络 威 胁 有 多恶 劣 。
防 火 墙 的 安 全 局 限性
US G s 负 责 工 控 网络 到 企 业 管 理 网 络 之 间 的 实 时 单 向 数
据传输 . 其连接 T控 网络 系统的数据库软件 , 自动请 求查询信
息, 并 将 信 息 从 传 输 模 块 发送 到 企 业 管 理 网 络 端 的 接 收 模 块 , 而 这 些 信 息将 被 储存 在 企 业 管 理 网络 内 的 备 份数 据 服 务器 。
欺欺人的解释 : 这 是因为 , 攻击将同l 洋使 得 黑 客 受 到 影 Ⅱ 向。这
完 全 是 一种掩 可 盗铃 的 说法 !
S C A D A 系统 面 临 的 安 全 威 胁
警 毒
l 粤 龆 i
ห้องสมุดไป่ตู้;
:
> i誉 i t
? l | 卜
美 国 DHS ( 2 0 2 5 关 链 挂 础 设 施 战略 性 风 险 评 估报 告 》 指 出: 未 来 十牛 , 信息技术将 关键基 础没施领域 广 ‘ 泛结合 , 冈 此, 莅面临 普遍安全 问题的同时 , 网 络 物 理 系 统 的 多样 性 , 还 将 带 来 未 知 的 宦 全 漏 洞和 攻 击 面 。
宠 全 公 司都 有 类 似产 品 。 实 时 数 据传 输
责S C A 1 ) A通 信 , 同 时 采 集 时 数 据 . 并 永 用 户终 端 陶 形
面 。”
而 征 此 过 程 中 ,操 作 电 脑 和 控 制 器 的 网络 连 接 可 能 会 到 黑 客 攻 击 。 DHS 的战略性风险评估报告指 l L { J , 仅2 0 1 4年 发
U n i d i r e c t i o n a l R e # i c a t i o n
单 向 安 全 网 芙 也称 为 “ 数据 二极管 ” , 是 近 年 来 同 外安 全
公司研发 , 并 在 丁 业 网络 环 境 中推 广的 一 种安 全 没 备 。单 I 司网 关 解决方案 是成对 的 , T X装盟 包含…个激 光器 , RX 装 置 包 含一 个 光学 接收 器 。成 对 的 网 关可 以 从 业 务网络 中 传输 信 息 , 旧不会将任何病毒 、 Do S 攻击 、 人 为 错 或 者 其 他 信 息 回 传 到 受 保 护 的 网络 日前 , S A NS 、 Wa t e f r a l l S e c u i r t y 和c i t i s - 兀 1 等国 外
为
统运 行的有效 陛, 选用的 US G s 和 备份服务器必 须
身 的 安 全 防 范 局限 性 , 会导 致 更 多脆 弱 性 问 题 。 G i n t e r 补充道, 所 有 软 件都 存在 漏 洞 , 防 火墙 自 身的 软 件 系 统 一 样 可以被 黑 。
防 火 墙 MS US Gs
操控管理 者通过对 备份数 据服 务器的信息查 向和分析 .
可 以全 面 了 解 S C A DA 系统 的 运 行 情 况 ,而 无 需 直接 连 接 到 S CA DA 系 统 。 G i n t e r说道 ,从 物 理 层 面 来 讲 ,由 十 不 能 向 S C A DA 系统 发送 信息 , 当然 也就 不 能实 现 对 蓄 意 破 坏 和 攻
计 算 机 与 网 络
厦霜霭 固
专 家 建 议不 要 住 S C A DA系 统 中 部署 防 火墙 , 对 于 那 些 还
未 受 到 网 络 攻 击 的 关键 基 础 设 施 , 如电网 , 或 许 有 人 会给 自
h -咖 r l c a 『 p o - - --o . t
适应不同的网络和 S CA DA技 术 , ( ; i n t e r 同 时 强 调 ,备份 眼 务 器 的数 据 备 份 过 程必 须 对 外 部 管理 控 制 用 户 透 明 ,而且 不 会 对 主 服 务器和 保护 网 络 造 成 影 响 另 - - 一 个需 要 考 虑 的 因 素是 , 系 统 管 理 机 构 须 确 定 昕 需 的 US Gs 系 统 可 以 备份 的 哪 些 工控 应用教 据 . 如操 作 记 录 、 操作数据 、 控 制 系统 务器 成 过 程 控
q 三 的 网络 攻 击 事 故 就 达 2 4 5起 ,大 部 分 受 攻 击 的 目标 为 能 源 行业 , 而据 I CS — C E RT 数 据 表 明 , 这 些 事 放 中涉 眨 了 范 围 广 泛 的 巳 知 和 未 知 的威 胁 }段 , 其 中包 括 大 量 S C A DA和 I C S系 统 的 未 授 权 访 问 和 网 络攻 击 。 由此 , 你 可 以想 像 S C AI ) A面 临
防 火墙 指 是 一 种 由 软 件 和 馒 件 没 各组 合 而 成 .在 内 部 网 和外部网之间 、 专 用 网 与公 共 网 之 间 构 造 的 f 呆 _ 护屏障 。目前 ,
包括 S C A DA在 内的 大 多数 网 络 系 统 都 部 署 有 防 火墙 设 备 。 而 击 的 目的 。