ENISA报告:ICS-SCADA防护建议
为实现关键基础设施防护,ENISA公布了《ICS-SCADA系统通信网络依赖》报告。
网络武器已经开始被用于干涉政治,这是十分明显的,例如可能与中国有关的OPM类似的网络间谍活动、俄罗斯人导致的DNC数据泄露进行政治操纵、疑似俄罗斯或其支持者搞的乌克兰大断电之类的物理破坏等,这些都已将众人目光聚焦到了关键国家基础设施的安全问题上。而这些基础设施中的大部分,大都是被ICS/SCADA系统控制并运营的。
欧盟网络与信息安全机构(ENISA)近期公布了一份新的ICS/SCADA系统通信网络依赖方面的分析与建议报告。该报告关注安全问题的两个主要原因:
- 网络分隔及各区段间的通信;
- 通常使用互联网与外界进行的通信。
该报告是由对 ENISA ICS/SCADA 组织成员与利益相关者对话的分析整理,以及来自官方信息源和该领域其他ICS/SCADA专家的数据编译而成。它强调了需关注的3个主要原因,并为其目标受众——资产拥有者和电力、石油、天然气、交通、医疗、供水及制造业运营者,提出了8条具体的安全建议。
3个令人担忧的攻击场景是:
可使攻击者接管网络中一个或多个资产的远程入侵;熟知基础设施的恶意雇员、承包商或第三方员工引发的内部人威胁;维护或升级过程中的感染风险。
与第3个场景相关的,是升级文件和固件存放的网站。
该报告仔细审查了ICS/SCADA通信网络及其依赖,检查了影响这些网络的威胁、漏洞、事件和攻击,同时关注了那些可能造成级联效应的问题。它还通过差距分析指出需要进行进一步工作的领域。
良好安全实践章节勾画了“先理解再防护”网络的必要步骤。这包括可“大幅提升网络及其通信可用性、完整性、机密性及不可抵赖性”的技术和过程列表。
最后,该报告为制造商、运营者和安全专家列出了8条“高级建议”,帮助他们提升ICS/SCADA系统和通信网络功能的安全水准及弹性。
- ICS/SCADA系统设计阶段就将安全包含进主要考虑中;
- 识别并确立ICS/SCADA系统操作人员角色;
- 定义网络通信技术和架构的时候多想想互操作性;
- 为设备生命周期不同参与者之间建立头脑风暴和通信信道以交换需求和解决方案;
- 将周期性ICS/SCADA设备更新过程列为系统主要操作的一部分;
- 在组织内建立周期性ICS/SCADA安全培训和意识培养活动;
- 欧盟层次上推进决策者、制造商和运营者之间更多的合作;
- 为可靠和恰当的网络风险保险要求的确立定义指南。
这些建议,只需在必要的地方做些微调,就可适用于任一行业。ENISA报告还进一步强调了其对运营技术的特别关注。比如说,第一条“设计安全”建议,它就解释称,“传统上,只有人体健康和生产技术活动的安全问题被列入了ICS/SCADA系统或基础设施设计时的主要考虑之一(连同效率、实时限制等等)。社会政治性安全的概念却一直被无视了——尽管该安全问题如今已是主要风险源之一,应被涵盖以预防未来攻击和事件。
尽管用户对ICS/SCADA开发和生产过程几乎没有控制权,ENISA建议:在设计阶段,设备及其相互通信的安全,应该成为将影响设备选择、实现方法和整体架构设计的主要概念之一。
该过程的结果,将是系统安全因大量威胁被缓解而得到提升。这些可以通过风险评估、漏洞评估或渗透测试来衡量。
以下基本结构在每条建议中都有重现:问题描述、要求的动作、实现的影响。结果就是对ICS/SCADA安全态势的深入解读,以及改善关键国家基础设施安全态势的实用步骤。
本文转自d1net(转载)
ENISA报告:ICS-SCADA防护建议相关推荐
- ICS/SCADA虚拟化的安全性影响:调查和未来趋势
本文来源于ECCWS 2016 – 第15届欧洲网络战争和安全会议,本文为非官方中文译文,由灯塔实验室翻译,作者联系邮箱:{tjcruz, rqueiroz, psimoes, edmundo}@de ...
- 工业控制系统的安全防护建议
工业控制系统 攻击中的针对工业控制系统的攻击,不论在规模宏大的网络战(Cyberwar),还是在一般的网络 犯罪(Cybercrime)中,都可以发现 APT 的影子. 网络战中的 APT--Stux ...
- 世界范围内糖化血红蛋白报告的3种建议形式
1检测什么? A1c检查用于评估2至3个月内的平均血糖水平.该检查测定的是糖化血红蛋白A1c的浓度.血红蛋白是红细胞(RBC)内的一种携氧蛋白.红细胞内存在多种正常血红蛋白以及一些已知的血红蛋白变异体 ...
- 实习报告大盘点 【建议收藏】
实习报告大盘点 [建议收藏] 毕业季大家各位小伙伴不仅需要操劳实习的事情还需要忙于毕业设计,我在此盘点一批没有在互联网发表过的实习报告给大家分享,希望大家顺利毕业 本实习报告内容每篇3000字左右 实 ...
- 破解密码的8种典型手段与防护建议
提到黑客攻击,你会想到什么?一个恶意行为者坐在满是<黑客帝国>式数字文本的屏幕前?或是一台强大的超级计算机正试图入侵整个世界?事实上,很多网络攻击可能只涉及一件事--破解你的密码.如果有人 ...
- 常见网络安全攻击路径分析与防护建议
攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施.攻击途径通常代表着有明确目的性的威胁,因为它们会经过详细的准备和规划.从心怀不满的内部人 ...
- 简析DNS攻击的常见类型、危害与防护建议
域名系统(DNS)是一种结构化的命名系统,是Internet基础结构的关键部分.目前,针对DNS的攻击已经成为网络安全中的一个严重问题,每年都有数千个网站成为此类攻击的受害者.为了保护网络免受此类攻击 ...
- ICS/SCADA 系统的对比
工业控制系统(ICS)自二十世纪六十年代后期投入使用后,在工业和现代生活的各个领域都普遍存在.无论在公用事业,能源,制造业还是其他各种应用领域,工业控制系统管理着我们大部分的生活. 由于模块化数字控制 ...
- 防不胜防?网络钓鱼攻击常用手法盘点与防护建议
[环境搭建资料.工具包.全套视频-等籽料]私信聆取 网络钓鱼攻击是最常见.最容易让受害者中招的网络犯罪之一,随着网络技术的不断发展,攻击者的伪装手段也变得愈发狡诈,攻击频次也再增高,各种新奇的攻击方式 ...
最新文章
- 线性表易错点与线性表程序设计易错点
- 城里城外看SSDT[转]
- ZOJ1654(二分构图题典例)
- 僵尸进程孤儿进程与守护进程
- Modernizr使用指南
- 翻译自 RedHat 文章:What is middleware? (什么是中间件?)
- word目录怎么跳转到相应页码_Word目录不会做?请看完整操作步骤
- NBOOT分析-NBOOT.c(2)
- C/C++教程 第十七章 —— MFC开发多人聊天室
- HTML5+CSS3+Bootstrap开发静态页面嵌入android webview中
- android字节流保存,android数据存储之文件存储方法
- 恒生电子 招聘FPGA开发/验证工程师
- 头歌-软件测试技术-面向对象测试_王铁军
- 新浪微博热门话题(30 分)(字符串)
- gradient设置上下渐变_CSS3 线性渐变(linear-gradient)
- 更精确的新旧中国居民身份证号码验证算法
- vue里面动态渲染图片?
- 陌陌新版本提升直播位置 究竟想要做什么?
- 什么是反应式编程? 这里有你想要了解的反应式编程 (Reactive programming)
- c#语言用XmlReader解析超大XML文件