ENISA报告:ICS-SCADA防护建议-阿里云开发者社区

开发者社区> 泡泡浅眠> 正文

ENISA报告:ICS-SCADA防护建议

简介:
+关注继续查看

为实现关键基础设施防护,ENISA公布了《ICS-SCADA系统通信网络依赖》报告。

网络武器已经开始被用于干涉政治,这是十分明显的,例如可能与中国有关的OPM类似的网络间谍活动、俄罗斯人导致的DNC数据泄露进行政治操纵、疑似俄罗斯或其支持者搞的乌克兰大断电之类的物理破坏等,这些都已将众人目光聚焦到了关键国家基础设施的安全问题上。而这些基础设施中的大部分,大都是被ICS/SCADA系统控制并运营的。

欧盟网络与信息安全机构(ENISA)近期公布了一份新的ICS/SCADA系统通信网络依赖方面的分析与建议报告。该报告关注安全问题的两个主要原因:

  1. 网络分隔及各区段间的通信;
  2. 通常使用互联网与外界进行的通信。

该报告是由对 ENISA ICS/SCADA 组织成员与利益相关者对话的分析整理,以及来自官方信息源和该领域其他ICS/SCADA专家的数据编译而成。它强调了需关注的3个主要原因,并为其目标受众——资产拥有者和电力、石油、天然气、交通、医疗、供水及制造业运营者,提出了8条具体的安全建议。

3个令人担忧的攻击场景是:

可使攻击者接管网络中一个或多个资产的远程入侵;熟知基础设施的恶意雇员、承包商或第三方员工引发的内部人威胁;维护或升级过程中的感染风险。
与第3个场景相关的,是升级文件和固件存放的网站。

该报告仔细审查了ICS/SCADA通信网络及其依赖,检查了影响这些网络的威胁、漏洞、事件和攻击,同时关注了那些可能造成级联效应的问题。它还通过差距分析指出需要进行进一步工作的领域。

良好安全实践章节勾画了“先理解再防护”网络的必要步骤。这包括可“大幅提升网络及其通信可用性、完整性、机密性及不可抵赖性”的技术和过程列表。

最后,该报告为制造商、运营者和安全专家列出了8条“高级建议”,帮助他们提升ICS/SCADA系统和通信网络功能的安全水准及弹性。

  1. ICS/SCADA系统设计阶段就将安全包含进主要考虑中;
  2. 识别并确立ICS/SCADA系统操作人员角色;
  3. 定义网络通信技术和架构的时候多想想互操作性;
  4. 为设备生命周期不同参与者之间建立头脑风暴和通信信道以交换需求和解决方案;
  5. 将周期性ICS/SCADA设备更新过程列为系统主要操作的一部分;
  6. 在组织内建立周期性ICS/SCADA安全培训和意识培养活动;
  7. 欧盟层次上推进决策者、制造商和运营者之间更多的合作;
  8. 为可靠和恰当的网络风险保险要求的确立定义指南。

这些建议,只需在必要的地方做些微调,就可适用于任一行业。ENISA报告还进一步强调了其对运营技术的特别关注。比如说,第一条“设计安全”建议,它就解释称,“传统上,只有人体健康和生产技术活动的安全问题被列入了ICS/SCADA系统或基础设施设计时的主要考虑之一(连同效率、实时限制等等)。社会政治性安全的概念却一直被无视了——尽管该安全问题如今已是主要风险源之一,应被涵盖以预防未来攻击和事件。

尽管用户对ICS/SCADA开发和生产过程几乎没有控制权,ENISA建议:在设计阶段,设备及其相互通信的安全,应该成为将影响设备选择、实现方法和整体架构设计的主要概念之一。

该过程的结果,将是系统安全因大量威胁被缓解而得到提升。这些可以通过风险评估、漏洞评估或渗透测试来衡量。

以下基本结构在每条建议中都有重现:问题描述、要求的动作、实现的影响。结果就是对ICS/SCADA安全态势的深入解读,以及改善关键国家基础设施安全态势的实用步骤。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
3956 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7580 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
4963 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9307 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
80 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
721 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16274 0
+关注
2248
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载