IOT-控制工程在线
国际领先的权威的工业自动化专业媒体

Hot Tag:

当前位置: 物联网在线 > 工业控制 > SCADA > SCADA系统安全分析

SCADA系统安全分析

威胁受揭露细节影响严重,似乎不直观。因为聪明人自有其成本利益的分析,任何使其成本降低的举措将增加其利益。提供的信息越多,例如武器化的攻击代码,成本越低。利用SCADA系统,攻击者知识库仍然相对较小,因此whitehats专家帮助大大帮助了该坏人。
关键词: SCADA SCADA系统
时间:2012-12-22 13:53 来源:物联网在线 作者:Ken 点击:

分享到:
我要发布文章 收藏 推荐 打印

SCADA系统是个严肃的行业,其中可能威胁人的生命。Stuxnet是缺陷寻找不起作用的很好的例子-我们丢失了那些价值-以及替换技术的承诺-我们才发现违反规律并返回。为突出某问题的严重性,使其恶化毫无意义。让安全研究人员-在我们领域内最优秀的人才-开始以不同方式思考该问题。
 脆弱性泄露具有多种性质,在信息安全领域中历史悠久。虽然安全专业人员有时支持以缓和形式管理脆弱性泄露,SCADA系统更多相关结论的出现,使得许多安全专业人员重新对他们的观点进行思考。利用熟练的技术风险管理方法以及对风险模型的更为细致的观察,有助于在这个方面上更加清晰的思考。
  理解泄密对IT风险所产生的影响的关键是承认威胁和脆弱性之间的相互作用。容易陷入仅考虑受影响脆弱性程度的陷阱。当研究人员公开脆弱性时,通常是为了更加安全的软件。实际上,脆弱性级别不受初期揭露的影响;无论我们是否知道脆弱性级别,当脆弱性进入环境时,级别发生变化(由于攻击者)。揭露的目的是识别脆弱性,并消弱脆弱性–通常通过路径–因此降低了脆弱性级别。
  但是一个系统的修补是一个非常危险且耗时的过程。如同所有系统变化一样,进入生产前,必须对补丁进行彻底评估和测试。即便如此,补丁仍可能失败。因此必须对补丁过程相关成本和避免损害所获得利益进行对比。以前我们知道极少脆弱性曾经被实际解决,利用SCADA系统,我们现在可以处理高度敏感的系统,一般长时间不发生变化,实际应用补丁的可能性相当低。更重要的是,因为在种情况中无可可用的补丁,必须采用其它机制。最终,脆弱性程度不可能被影响数月
  威胁受揭露细节影响严重,似乎不直观。因为聪明人自有其成本利益的分析,任何使其成本降低的举措将增加其利益。提供的信息越多,例如武器化的攻击代码,成本越低。利用SCADA系统,攻击者知识库仍然相对较小,因此whitehats专家帮助大大帮助了该坏人。
  许多研究人员(但不是全部)寻找脆弱点,试图降低风险。然而,他们忽略了威胁部分。这意味着,为了降低风险,脆弱性级别降低必须大于威胁程度的增加。虽然大多数脆弱性从来未被利用,过去的众多例子表明在揭露后发生的事故更多。既然已经掌握了SCADA的情况,不可能通过降低脆弱性级别以弥补威胁的增加,因此发生更多的事故。
  研究人员提到其成功时,通常突出他们认为变得更安全的软件应用–通常这是微软喜欢的方式。这恰恰是他们不了解脆弱点以及理解威胁重要的很好的例子。虽然这些应用程序实际变得更加安全,实际上与事故降低无关紧要。这突出了两件事-第一,在所包含环境中起作用的事情比一定在整体中起作用-这也是为何QA部门仍然有意义的原因。第二,这种整体运行是不起作用的。
  第二件事简直是不起作用的。在面对这些“更安全”方案时,风险如何改变?有没有人说明风险实在正在下降?问题是在世界代码库中(或者当今大型数据中心)太多软件试图利用现代技术查找每一个缺陷。不仅如此,差距正在扩大–这就像一个较差的数学数字问题-软件开发正在前面以50mph速度前进,脆弱性研究以5mph速度在相同方向移动,何时能够追上?
  由于我们不可能找到所有脆弱性,通常也不可能找到“正确的”脆弱性,因此我们需要利用更好的且更有效的方式保护我们自己。虽然对脆弱性的“正面攻击”不起作用,但是还有其它方式处理这些问题。首先,我们可以在架构中涉及更好的控制方法。类似微软蓝帽奖的举措更有可能引起安全突破。第二,我们可以更加努力地进行威胁监测。虽然有另一个问题,但是已经显现成功,而且正在转好。这只是开始。
   (责任编辑:ioter)


本文链接SCADA系统安全分析
http://c.iot-online.com/SCADA/2012/122223328.html
 
 
声明:物联网在线转载作品均尽可能注明出处,该作品所有人的一切权利均不因本站转载而转移。作者如不同意转载,即请通知本站予以删除或改正。转载的作品可能在标题或内容上或许有所改动。



电子刊物.技术特刊

立即下载

《 物联网在线》推出的免费电子刊物《无线通讯术特刊》收集了当今最新MEMS技术,产品资讯,它们可使你能在更短的时间内了解业内最先进的无线通讯技术信息。

今天就让您的系统设计更上层楼!敬请马上立即下载该免费的《无线通讯特刊》。
   
无线通讯特刊     M2M技术特刊 下载  

MEMS技术特刊 下载



Sierra Wireless白皮书

LTE和M2M 融合之路  
促使 LTE 应用在 M2M 设备上的市场推动力 ; 打破阻碍 LTE 进入 M2M 市场的技术壁垒

立即下载.






 现在播报
亚控关于桂林东江水厂SCADA系统的应用案例
施耐德M340作为RTU单元的无线SCADA系统在中小城镇
HMITECH纵横科技屠宰分割加工厂温度监控系统方案
北京硕人时代推出ARAK系列控制器和远程数据采集
大同自来水公司无线SCADA系统的应用
风电质量建设成主旋律 SCADA风电监测系统受关注
基于S7-400的污水厂SCADA解决方案
上海颐通GPRSDTU在煤气管线监测项目上的应用实例
SCADA简介 整体构架
HMIBuilder人机界面分布式系统在油田的行业应用
地铁综合监控系统的未来
未来五年水处理行业SCADA市场有望迎来跨越式增长
北京众恒推出完整远程解决方案
传统的SCADA供应商正推出最新的创新性的产品功能
德国赫优讯发布世界上最小的针对西门子S7系列PLC的SCADA系统

 最新Tag
周鸿祎 数据采集 LinkIt One 压力传感器 mate8 BCM20737S 红外线传感器 SM351LT 小米5 VR LiteOS TinyOS MSP430 DA14580 CC2650 STM32 CC2564 MSP432 PLC STM32L0538 STM32F103 智能家居 人工智能 机器人 iphone7 能量采集 MCU 能源计量 ZIGBEE 传感器 工业物联网 智能手表 TZ1000 无人机 ATmega2560 无线传感器 Android 智能电视 i.MX NFC 信号采集 MEMS WIFI IOT LTE 伺服电机 无刷直流电机 智能照明 智能插座 无线充电 CC430 智能电网 Nest Edison ADT7320 ADIS16229 英特尔 家庭医疗 数字隔离器 智能集成 工业4.0 iPhone 7 虚拟现实 可穿戴设备 CC2538 CC2540 CC2541 CC3000 杨旭 麒麟950 华为mate8 阅读器 蓝牙 Linux AllJoyn 树莓派 Windows10 Windows 10 Zephyr RTOS 智能硬件 Qualcomm CC3200 温湿度传感器 5G 可穿戴技术 工业以太网 Arduino CSR8670 VMware 大数据 ITS 蓝牙智能 PIC32MZ 运动传感器 SmartBond 车联网 ADAS V2X 语音控制

返回页首


TopeWay Business Media


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

网站导航|帮助| 关于我们|隐私政策|联系我们|安全承诺

Copyright © 2011 Iot-online.com. 本网站所有内容均受版权保护。
未经版权所有人明确的书面许可,不得以任何方式或媒体翻印或转载本网站的部分或全部内容。


粤ICP备10057207号