[工业网络][2] 安全背景知识

安全背景知识

物理、网络和人员安全

在考虑企业和工业的安全性时,安全从业人员传统上将自己划分为三个专业领域。我们借助于安全中经常使用的两个术语来描述这三个领域

  • 业内人士。属于您的设施的人员,包括员工和受邀承包商,访客或交付和服务人员。
  • 局外人。那些不属于你的人,不管他们是实体进入还是电子进入。这个类别涵盖了从供应商到惯犯的所有人!不请自来的外人是入侵者,至少是非法侵入

物理安全。警卫、大门、锁和钥匙,以及其他防止外人成为入侵者和防止内部人员去他们不属于的地方的方法。这是最古老和最成熟的安全分支,拥有最高比例的安全专业人员

人员安全。这里的从业者通常被这些问题所困扰:“我要带进我的工厂的外人值得信任吗?””,
“我可以继续信任我的内部人士吗?”安全行业的这一领域涵盖了从对新员工和承包商的犯罪背景调查,到对员工违反安全规定的调查,以及对现有内部人员的定期背景审查等方方面面。

网络安全。此类别涵盖计算机和网络上或涉及计算机和网络的意外或恶意行为的预防、检测和缓解。现在被称为商业或IT网络安全的领域起源于20世纪60年代和70年代的金融和情报界。

工业网络安全主要是适应工业网络的IT网络安全,但也包括物理和人员安全的重要元素。例如,如果你作为商业机密保存在你的控制网络上的有价值的工艺配方被工业间谍获取,这会有什么不同吗?

  • 通过公司防火墙和商业网络侵入你的工业网络,然后下载并出售它们?(网络安全事件)
  • 开着一辆面包车,伪装成你电脑磁带备份存储公司的合法信使,让一个不知情的员工交出你刚制作的备份磁带,里面包含同样的商业机密(这是一次人事安全事件)。
  • 深夜闯入工厂,巧妙地绕过防盗警报,从控制服务器中取出包含配方的硬盘(物理安全事件)。

这三件事的最终效果是一样的——你的秘密消失了!事实上,工业间谍可能会故意“打探”,根据你的防御最薄弱的地方选择攻击计划。

看看我们能不能想出一个工厂破坏的场景。例如,对工厂输送系统的成功破坏可能(1)涉及来自竞争输送公司的不道德推销员,他有犯罪记录(人员安全)。(2)参观工程部后,私自进入生产区(人身安全)。(3)在那里,他从笔记本电脑上下载了一个修改过的程序到输送机械PLC(网络安全)。这导致第二天传送带神秘故障,使他的公司收购。

在传送带系统的例子中,在哪里引入安全措施来中断导致传送带破坏的事件链?:

  • 他参观的工厂有一个“需要公司陪同”的物理安全政策,防止销售人员独自进入生产区
  • 工厂是否有积极的网络安全措施,防止销售人员进入PLC网络下载修改过的梯形逻辑程序?

风险评估和IT网络安全

假设你是一家位于美国中西部“龙卷风走廊”地区的大型小工具工厂的老板。你的工厂建筑和附属的商务办公楼如图所示。

image.png

例如,对于办公楼及其内容(如业务计算机系统)的风险,我们可以说明一种类型的风险评估—定量风险评估—是什么样的。在这个例子中,我们将考虑对办公楼及其计算机系统的一个物理威胁和一个网络威胁

第一种是轻度到中度的龙卷风,对办公楼和里面的东西构成人身威胁。假设一场轻度到中度(称为F0到F2级)龙卷风袭击办公楼的可能性是每20年一次(这是一个相当危险的街区!)该数字假定威胁的后果或对资产(办公楼)的平均损害为500万美元。因此,每年轻度至中度龙卷风破坏的风险为:
1 event/20 years × $5 million/event = 0.05×5=$0.25 million/year

现在我们用美元来衡量年风险。我们可以将其与另一种截然不同的风险进行比较,比如,一种特殊类型的网络攻击,由一名工业间谍发起,他试图下载你精心保护的最佳客户数据库,以及他们通常从你那里订购的产品。

image-1.png

一旦进入网络领域,进行定量风险评估会出现一个问题:与天气损害或抢劫等物理安全问题不同,我们没有太多的历史统计数据可以用来得出发生概率的数字。不过,有一些关于各种类型工业间谍活动频率的数据,包含了不同规模公司和行业的平均损失。这些数据,加上你工厂的损失数据,可能会使你能够得出一个合理的估计,从而继续进行定量评估(与此相对的是定性评估,这是另一种选择。我们将在即将到来的部分中专注于定性风险评估)。

让我们估计每三年发生一次网络盗窃(威胁)的可能性,以及由于这些信息被提供给竞争对手而导致的销售损失
(后果)1000万美元。然后,从这类网络事件来看:
1 event/three years × $10 million = $3.3 million/year

这就是定量风险评估的力量。这是第一次,我们可以用高层管理人员能够理解的术语来比较物理损失和网络损失的成本——美元。基于这种风险评估,我们可以得出结论,工业间谍网络攻击的货币风险大于龙卷风的货币风险。我们将看到如何根据计算的风险来评估对策或预防性补救措施,例如加强建筑以限制龙卷风的破坏,以确定它们是否值得。

让我们画一个组织结构图来表示一个独立工厂的简化管理结构。(请注意,在现代多工厂制造公司中,公司和工厂管理之间存在许多“虚线”关系。)

image-2.png

向CIO报告的IT网络安全经理负责公司防火墙、内部网和Internet访问,并且可能要处理这些IT安全问题

  • web,员工下载色情或非法内容。
  • Email传播病毒
  • 远程访问。允许授权用户通过调制解调器池或虚拟专用网连接,防止未经授权的人员和黑客进入。
  • 未经授权的软件。防止员工使用未付费或未经批准的软件。

工厂风险评估

现在我们已经介绍了业务办公楼,让我们来看看我们的小部件生产工厂大楼

image-3.png

在这里,我们看到了离散制造中常见的工业网络类型,包括PLC(可编程逻辑控制器)、HMI(人机界面)等设备。

这一次,让我们演示一个更适合于工厂场景的风险评估,在这种情况下,我们可能无法获得实际的数字或对物理或网络攻击可能性的估计。在定性风险评估中,相关性排名代替了绝对数字或可能性和后果的估计。输出是风险的优先级列表,显示哪些风险更大。

以下两张图中给出了定性评估的程序和风险矩阵。我们在这里评估两种情况。第一种是物理攻击,是一名心怀不满的员工用手工工具破坏装配线。第二种是网络攻击,破坏运行装配线的PLC网络。

image-4.png

根据图中所示的风险评估过程,风险评估小组得出结论,情景(b)(网络攻击)比情景(a)(物理攻击)更具威胁性。

谁对工业网络安全负责

image-5.png

  • 工程经理
  • 自动化和控制经理
  • 自动化工程师,技术员和工厂操作员
  • 设施经理
  • 物理安全经理

那么,首席执行官和高层管理人员通常认为谁负责工业网络的物理和网络安全?对于工业网络的物理安全,可能会有人认为,无论是谁负责工厂的物理安全,如设施或物理安全经理有这个职责。(虽然工厂保安人员通常守卫工厂入口,远离工厂的生产区域,理论上这可能掩盖了心怀不满的员工用管钳攻击PLC网络!)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/762326.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Skipfish一键扫描网站漏洞(KALI工具系列三十四)

目录 1、KALI LINUX 简介 2、Skipfish工具简介 3、信息收集 3.1 目标IP 3.2 kali的IP 4、操作步骤 4.1创建目录 4.2开始扫描 4.3 配置扫描 4.4 指定范围 4.5 查看扫描结果 5、总结 1、KALI LINUX 简介 Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 &#xf…

TopK问题与如何在有限内存找出前几最大(小)项(纯c语言版)

目录 0.前言 1.知识准备 2.实现 1.首先是必要的HeapSort 2.造数据 其他注意事项 3.TopK的实现 0.前言 在我们的日常生活中总有排名系统,找出前第k个分数最高的人,而现在让我们用堆来在有限内存中进行实现 1.知识准备 想要实现topk问题首先我们要…

windows下启动redisSentinel

如果已经安装redis的就继续往下看&#xff0c;还没安装redis&#xff0c;先安装一下redis 安装完redis之后&#xff0c;打开redis的目录。 新建一个sentinel.conf文件 # 端口号 port 26379# Sentinel 监控的主节点信息&#xff0c;格式为 <master-name> <ip> &l…

Spring Cloud Sentinel

官网代码案例: 注意&#xff1a; 1. 引入依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId> </dependency> 2. 配置文件application.yml spring:cloud:sent…

海康视频播放,包含h5和web插件

自行下载 海康开放平台 demo 都写得很清楚&#xff0c;不多描述 1.视频web插件 vue2写法&#xff0c;公共vue文件写法&#xff0c;调用文件即可 开始时需要以下配置&#xff0c;不知道的找对接平台数据的人&#xff0c;必须要&#xff0c;否则播不了 getParameterData: {po…

4.Android逆向协议-详解二次打包失败解决方案

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 内容参考于&#xff1a;微尘网校 上一个内容&#xff1a;3.Android逆向协议-APP反反编译及回编译 工具下载&#xff1a; 链接&#xff1a;https://pan.baidu.…

什么是协程?协程和线程的区别

文章目录 前置知识应用程序和内核阻塞和非阻塞同步和异步并发和并行IO 发展历史同步编程异步多线程/进程异步消息 回调函数&#xff08;响应式编程&#xff09; 协程协程基本概念go 示例代码协程和线程的区别 个人简介 前置知识 在了解协程前&#xff0c;我们先理解一些相关的…

前端学习笔记(2406261):jquery使用checkbox控制页面自动刷新

文章目录 需求登录页面主页面 API用户登录login获取数据getdata 代码登录页面主页面 关于后端 需求 这是一个物联网的演示项目&#xff0c;web端能够实时显示后台数据的变化&#xff0c;其流程非常简单&#xff1a; 用户登录登录成功后显示主界面面主界面进入后自动显示数据数…

为什么网络爬虫广泛使用HTTP代理?

一、引言 网络爬虫作为自动抓取互联网信息的重要工具&#xff0c;在现代社会中发挥着不可或缺的作用。然而随着网络环境的日益复杂&#xff0c;网站反爬虫技术的不断进步&#xff0c;网络爬虫在获取数据的过程中面临着越来越多的挑战。为了应对这些挑战&#xff0c;HTTP 代理成…

已解决 SyntaxError: invalid syntax,Python报错原因和解决方案。

「作者简介」&#xff1a;冬奥会网络安全中国代表队&#xff0c;CSDN Top100&#xff0c;就职奇安信多年&#xff0c;以实战工作为基础著作 《网络安全自学教程》&#xff0c;适合基础薄弱的同学系统化的学习网络安全&#xff0c;用最短的时间掌握最核心的技术。 这篇文章带大家…

创建一个Django用户认证系统

目录 1、Django2、Django用户认证系统User 模型&#xff1a;Authentication 视图&#xff1a;认证后端 (Authentication Backends)&#xff1a;Form 类&#xff1a;中间件 (Middleware)&#xff1a;权限和组 (Permissions and Groups)&#xff1a; 3、创建一个django用户认证系…

科普文:一文搞懂jvm原理(二)类加载器

概叙 科普文&#xff1a;一文搞懂jvm(一)jvm概叙-CSDN博客 前面我们介绍了jvm&#xff0c;jvm主要包括两个子系统和两个组件&#xff1a; Class loader(类装载器) 子系统&#xff0c;Execution engine(执行引擎) 子系统&#xff1b;Runtime data area (运行时数据区域)组件&am…

“一带一路”再奏强音!秘鲁总统博鲁阿尔特参访苏州金龙

6月27日下午&#xff0c;首次访华的秘鲁共和国总统博鲁阿尔特一行到苏州金龙参观访问&#xff0c;受到了苏州金龙总经理黄书平的热情接待。 黄书平&#xff08;左二&#xff09;向博鲁阿尔特&#xff08;右一&#xff09;介绍苏州金龙发展情况 从苏州金龙发展历程、产品技术研…

【UE5.1】Chaos物理系统基础——02 场系统的应用

目录 步骤 一、运用临时场&#xff08;外部张力&#xff09;破裂几何体集 二、使用构造场固定几何体集 步骤 在上一篇中&#xff08;【UE5.1】Chaos物理系统基础——01 创建可被破坏的物体&#xff09;我们已经创建了可被破碎的几何体集&#xff0c;在最后我们防止几何体集…

基于K线最短路径构造的非流动性因子

下载地址https://download.csdn.net/download/SuiZuoZhuLiu/89492221

暴雨来袭,陈赫家变“水帘洞”网友:赫哥滴滴打船吗?

在魔都上海&#xff0c;一场突如其来的暴雨 不仅让街道变成了河流&#xff0c;还悄悄上演了一场现实版的“水帘洞”奇遇 而这场奇遇的主角&#xff0c;竟然是喜剧界的明星——陈赫&#xff01; 这天&#xff0c;乌云密布&#xff0c;电闪雷鸣 魔都的天空仿佛被捅了个窟窿 雨…

通过源码抽丝剥茧理解enable_shared_form_this/shared_ptr/weak_ptr智能指针实现原理

源码解析 首先先看如下简单代码,我们通过代码的顺序逐步解析 #include <iostream> #include <memory> using namespace std;class C :public enable_shared_from_this<C>{ public:C(){ std::cout<<"construct"<<endl; }~C(){ cout&l…

mqtt介绍和环境安装

Mqtt介绍 MQTT是机器对机器(M2M)/物联网(IoT)连接协议。它被设计为一个极其轻量级的发布/订阅消息传输协议。对于需要较小代码占用空间和/或网络带宽非常宝贵的远程连接非常有用&#xff0c;是专为受限设备和低带宽、高延迟或不可靠的网络而设计。 下载一个开源的emqx服务器和…

ARM功耗管理软件之时钟电源树

安全之安全(security)博客目录导读 思考&#xff1a;功耗管理软件栈及示例&#xff1f;WFI&WFE&#xff1f;时钟&电源树&#xff1f;DVFS&AVS&#xff1f; 目录 一、时钟&电源树简介 二、时钟树示例 三、电源树示例 一、时钟&电源树简介 时钟门控与自…

iPhone苹果手机iOS18如何隐藏打开APP怎么找出来恢复隐藏APP?

iPhone苹果手机如何隐藏APP&#xff1f; 1、iPhone苹果手机上一些APP不想让别人看到可以设置为隐藏APP&#xff0c;请长按要设置隐藏的APP&#xff0c;选择需要面容ID&#xff1b; 2、然后再接着选择隐藏并需要面容ID&#xff0c;选择后手机桌面将不在显示该APP&#xff1b; i…