[工业网络][2] 安全背景知识

安全背景知识

物理、网络和人员安全

在考虑企业和工业的安全性时,安全从业人员传统上将自己划分为三个专业领域。我们借助于安全中经常使用的两个术语来描述这三个领域

  • 业内人士。属于您的设施的人员,包括员工和受邀承包商,访客或交付和服务人员。
  • 局外人。那些不属于你的人,不管他们是实体进入还是电子进入。这个类别涵盖了从供应商到惯犯的所有人!不请自来的外人是入侵者,至少是非法侵入

物理安全。警卫、大门、锁和钥匙,以及其他防止外人成为入侵者和防止内部人员去他们不属于的地方的方法。这是最古老和最成熟的安全分支,拥有最高比例的安全专业人员

人员安全。这里的从业者通常被这些问题所困扰:“我要带进我的工厂的外人值得信任吗?””,
“我可以继续信任我的内部人士吗?”安全行业的这一领域涵盖了从对新员工和承包商的犯罪背景调查,到对员工违反安全规定的调查,以及对现有内部人员的定期背景审查等方方面面。

网络安全。此类别涵盖计算机和网络上或涉及计算机和网络的意外或恶意行为的预防、检测和缓解。现在被称为商业或IT网络安全的领域起源于20世纪60年代和70年代的金融和情报界。

工业网络安全主要是适应工业网络的IT网络安全,但也包括物理和人员安全的重要元素。例如,如果你作为商业机密保存在你的控制网络上的有价值的工艺配方被工业间谍获取,这会有什么不同吗?

  • 通过公司防火墙和商业网络侵入你的工业网络,然后下载并出售它们?(网络安全事件)
  • 开着一辆面包车,伪装成你电脑磁带备份存储公司的合法信使,让一个不知情的员工交出你刚制作的备份磁带,里面包含同样的商业机密(这是一次人事安全事件)。
  • 深夜闯入工厂,巧妙地绕过防盗警报,从控制服务器中取出包含配方的硬盘(物理安全事件)。

这三件事的最终效果是一样的——你的秘密消失了!事实上,工业间谍可能会故意“打探”,根据你的防御最薄弱的地方选择攻击计划。

看看我们能不能想出一个工厂破坏的场景。例如,对工厂输送系统的成功破坏可能(1)涉及来自竞争输送公司的不道德推销员,他有犯罪记录(人员安全)。(2)参观工程部后,私自进入生产区(人身安全)。(3)在那里,他从笔记本电脑上下载了一个修改过的程序到输送机械PLC(网络安全)。这导致第二天传送带神秘故障,使他的公司收购。

在传送带系统的例子中,在哪里引入安全措施来中断导致传送带破坏的事件链?:

  • 他参观的工厂有一个“需要公司陪同”的物理安全政策,防止销售人员独自进入生产区
  • 工厂是否有积极的网络安全措施,防止销售人员进入PLC网络下载修改过的梯形逻辑程序?

风险评估和IT网络安全

假设你是一家位于美国中西部“龙卷风走廊”地区的大型小工具工厂的老板。你的工厂建筑和附属的商务办公楼如图所示。

image.png

例如,对于办公楼及其内容(如业务计算机系统)的风险,我们可以说明一种类型的风险评估—定量风险评估—是什么样的。在这个例子中,我们将考虑对办公楼及其计算机系统的一个物理威胁和一个网络威胁

第一种是轻度到中度的龙卷风,对办公楼和里面的东西构成人身威胁。假设一场轻度到中度(称为F0到F2级)龙卷风袭击办公楼的可能性是每20年一次(这是一个相当危险的街区!)该数字假定威胁的后果或对资产(办公楼)的平均损害为500万美元。因此,每年轻度至中度龙卷风破坏的风险为:
1 event/20 years × $5 million/event = 0.05×5=$0.25 million/year

现在我们用美元来衡量年风险。我们可以将其与另一种截然不同的风险进行比较,比如,一种特殊类型的网络攻击,由一名工业间谍发起,他试图下载你精心保护的最佳客户数据库,以及他们通常从你那里订购的产品。

image-1.png

一旦进入网络领域,进行定量风险评估会出现一个问题:与天气损害或抢劫等物理安全问题不同,我们没有太多的历史统计数据可以用来得出发生概率的数字。不过,有一些关于各种类型工业间谍活动频率的数据,包含了不同规模公司和行业的平均损失。这些数据,加上你工厂的损失数据,可能会使你能够得出一个合理的估计,从而继续进行定量评估(与此相对的是定性评估,这是另一种选择。我们将在即将到来的部分中专注于定性风险评估)。

让我们估计每三年发生一次网络盗窃(威胁)的可能性,以及由于这些信息被提供给竞争对手而导致的销售损失
(后果)1000万美元。然后,从这类网络事件来看:
1 event/three years × $10 million = $3.3 million/year

这就是定量风险评估的力量。这是第一次,我们可以用高层管理人员能够理解的术语来比较物理损失和网络损失的成本——美元。基于这种风险评估,我们可以得出结论,工业间谍网络攻击的货币风险大于龙卷风的货币风险。我们将看到如何根据计算的风险来评估对策或预防性补救措施,例如加强建筑以限制龙卷风的破坏,以确定它们是否值得。

让我们画一个组织结构图来表示一个独立工厂的简化管理结构。(请注意,在现代多工厂制造公司中,公司和工厂管理之间存在许多“虚线”关系。)

image-2.png

向CIO报告的IT网络安全经理负责公司防火墙、内部网和Internet访问,并且可能要处理这些IT安全问题

  • web,员工下载色情或非法内容。
  • Email传播病毒
  • 远程访问。允许授权用户通过调制解调器池或虚拟专用网连接,防止未经授权的人员和黑客进入。
  • 未经授权的软件。防止员工使用未付费或未经批准的软件。

工厂风险评估

现在我们已经介绍了业务办公楼,让我们来看看我们的小部件生产工厂大楼

image-3.png

在这里,我们看到了离散制造中常见的工业网络类型,包括PLC(可编程逻辑控制器)、HMI(人机界面)等设备。

这一次,让我们演示一个更适合于工厂场景的风险评估,在这种情况下,我们可能无法获得实际的数字或对物理或网络攻击可能性的估计。在定性风险评估中,相关性排名代替了绝对数字或可能性和后果的估计。输出是风险的优先级列表,显示哪些风险更大。

以下两张图中给出了定性评估的程序和风险矩阵。我们在这里评估两种情况。第一种是物理攻击,是一名心怀不满的员工用手工工具破坏装配线。第二种是网络攻击,破坏运行装配线的PLC网络。

image-4.png

根据图中所示的风险评估过程,风险评估小组得出结论,情景(b)(网络攻击)比情景(a)(物理攻击)更具威胁性。

谁对工业网络安全负责

image-5.png

  • 工程经理
  • 自动化和控制经理
  • 自动化工程师,技术员和工厂操作员
  • 设施经理
  • 物理安全经理

那么,首席执行官和高层管理人员通常认为谁负责工业网络的物理和网络安全?对于工业网络的物理安全,可能会有人认为,无论是谁负责工厂的物理安全,如设施或物理安全经理有这个职责。(虽然工厂保安人员通常守卫工厂入口,远离工厂的生产区域,理论上这可能掩盖了心怀不满的员工用管钳攻击PLC网络!)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/864247.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

K8s的基本使用和认识

目录 介绍 控制端 Node(节点) 控制端与节点的关系图 基本使用 创建和运行资源 查找和参看资源 修改和删除资源 介绍 控制端 api-server(api)是集群的核心是k8s中最重要的组件,因为它是实现声明式api的关键 kubernetes api-server的核心功能是提供了Kubernetes各类资…

应用监控SkyWalking调研

参考: 链路追踪( Skyworking )_skywalking-CSDN博客 企业级监控项目Skywalking详细介绍,来看看呀-CSDN博客 SkyWalking 极简入门 | Apache SkyWalking 使用 SkyWalking 监控 ClickHouse Server | Apache SkyWalking https://zhuanlan.zhihu.com/p/3…

Linux应急响应靶机 2

一、靶机介绍 应急响应靶机-Linux2 前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!! 1,提交攻击者IP 2,提交攻击者修改的管理员密码(明文) 3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.…

【每日刷题】Day78

【每日刷题】Day78 🥕个人主页:开敲🍉 🔥所属专栏:每日刷题🍍 🌼文章目录🌼 1. 1608. 特殊数组的特征值 - 力扣(LeetCode) 2. 1385. 两个数组间的距离值 - …

R可视化:好看的气泡图

加载R包 library(tidyverse) library(camcorder)gg_record(dir "tidytuesday-temp", device "png", width 8, height 8, units "in", dpi 320)导入数据 team_results <- readr::read_csv(https://raw.githubusercontent.com/rfordata…

设置Docker中时区不生效的问题

项目中使用docker-compose&#xff0c;并通过以下方式设置了时区 environment:- SET_CONTAINER_TIMEZONEtrue- CONTAINER_TIMEZONEAsia/Shanghai 但是并没有正确生效&#xff0c;网上有很多博客都在推荐这个做法&#xff0c;另外一种是使用标准环境标量 -TZAsia/Shangehai …

24 年程序员各岗位薪资待遇汇总(最新)

大家好&#xff0c;我是程序员鱼皮。今天分享 24 年 6 月最新的程序员各岗位薪资待遇汇总。 数据是从哪儿来的呢&#xff1f;其实很简单&#xff0c;BOSS 直聘上有一个免费的薪酬查询工具&#xff0c;只要认证成为招聘者就能直接看&#xff0c;便于招聘者了解市场&#xff0c;…

RabbitMQ消息可靠性等机制详解(精细版三)

目录 七 RabbitMQ的其他操作 7.1 消息的可靠性(发送可靠) 7.1.1 confim机制(保证发送可靠) 7.1.2 Return机制(保证发送可靠) 7.1.3 编写配置文件 7.1.4 开启Confirm和Return 7.2 手动Ack(保证接收可靠) 7.2.1 添加配置文件 7.2.2 手动ack 7.3 避免消息重复消费 7.3.…

【C语言】23.文件操作

由于要对数据进行持久化保存&#xff0c;我们就有了文件。 一、程序文件与数据文件 磁盘&#xff08;硬盘&#xff09;上的文件是文件。 但是在程序设计中&#xff0c;我们⼀般谈的文件有两种&#xff1a;程序文件、数据文件&#xff08;从文件功能的角度来分类的&#xff09…

“论云上自动化运维及其应用”写作框架,软考高级论文,系统架构设计师论文

论文真题 云上自动化运维是传统IT运维和DevOps的延伸&#xff0c;通过云原生架构实现运维的再进化。云上自动化运维可以有效帮助企业降低IT运维成本&#xff0c;提升系统的灵活度&#xff0c;以及系统的交付速度&#xff0c;增强系统的可靠性&#xff0c;构建更加安全、可信、…

2024年最适合Python小白的零基础入门教程!

伴随着云计算、大数据、AI等技术的迅速崛起&#xff0c;市场对Python人才的需求和市场人才的匮乏&#xff0c;让长期沉默的Python语言一下子备受众人的关注&#xff0c;再加上简单易学&#xff0c;使得Python一跃成为TIOBE排行榜的第一。 准备学Python或者想学Python的小伙伴们…

13 Redis-- 数据一致性模型、MySQL 和 Redis 的数据一致性

数据一致性模型 根据一致性的强弱分类&#xff0c;可以将一致性模型按以下顺序排列&#xff1a; 强一致性 > 最终一致性 > 弱一致性 数据一致性模型一般用于分布式系统中&#xff0c;目的是定义多个节点间的同步规范。 在这里&#xff0c;我们将其引入数据库和缓存组…

【正点原子K210连载】第十四章 按键输入实验 摘自【正点原子】DNK210使用指南-CanMV版指南

1&#xff09;实验平台&#xff1a;正点原子ATK-DNK210开发板 2&#xff09;平台购买地址https://detail.tmall.com/item.htm?id731866264428 3&#xff09;全套实验源码手册视频下载地址&#xff1a; http://www.openedv.com/docs/boards/xiaoxitongban 第十四章 按键输入实…

Vue3 登录成功,浏览器存在toke,再次访问/login路由到/index 首页页面

文章目录 目录 文章目录 流程 小结 概要流程技术细节小结 概要 首先需要清楚知道浏览器localstorage和Session storage的区别 localStorage 和 sessionStorage 是 HTML5 提供的两种客户端存储数据的方法&#xff0c;它们在使用和生命周期上有一些区别&#xff1a; 1. 生命周期…

@Cacheable解决复杂对象形参导致的缓存失效问题(如Map参数)

在Spring中使用 Cacheable 注解可以非常方便地实现方法的自动缓存机制。如以下代码&#xff1a; Cacheable(value "YwtbToken", key "#p0") public String createToken(String dlzh) {...}但当Cacheable 注解修饰的方法参数使用了复杂对象&#xff0c;如…

物联网数据可视化利器:云组态设计器全新升级

数据可视化已成为数据展示与分析领域非常重要的工具。由多种图表、3D图形组成的大屏能够帮助用户非常直观简洁地了解数据。在物联网环境下,用户在制作数据展示大屏时,对数据可视化工具提出了更高的要求,例如能够展示3D组件、灵活的图层结构、支持多种数据源、实时的数据更新、图…

函数创建单链表---无n型,需要 while 循环 + scanf

题目&#xff1a; #include <stdlib.h> struct link{int data;struct link *next; }; struct link* creatLink(); int main(){struct link *head,*p;headcreatLink();for(phead->next ;p;pp->next )printf("%d ",p->data );return 0; }/* 请在这里填…

软考《信息系统运行管理员》-2.1信息系统运维的管理

2.1信息系统运维的管理 信息系统运维管理体系框架 信息系统运维管理主要流程的目标 标准化&#xff1a;通过流程框架&#xff0c;构件标准的运维流程流程化&#xff1a;将大部分运维工作流程化&#xff0c;确保工作可重复&#xff0c;并且这些工作都有质量的完成&#xff0c;…

线性代数|机器学习-P20鞍点和极值

文章目录 1 . 瑞利商的思考1.1 瑞利商的定义1.2 投影向量 2. 拉格朗日乘子法3. 鞍点4. 线性拟合4.1 范德蒙矩阵线性拟合4.2 python 代码4.3 范德蒙矩阵缺点 5. 均值和方差5.1 样本均值和方差5.2 总体期望 μ \mu μ,总体方差 σ 2 \sigma^2 σ2 1 . 瑞利商的思考 1.1 瑞利商…

MySQL学习(6):SQL语句之数据控制语言:DCL

DCL用来管理数据库用户&#xff0c;控制数据库的访问权限 1.管理用户 1.1查询用户 use mysql; select * from user; #用户信息都存放在系统数据库mysql的user表中 在user表中&#xff0c;一个用户是由用户名和主机名共同决定的&#xff0c;上图中的host一栏就是用户的主机名…