无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

眾所周知，調(diào)度自動化系統(tǒng)中SCADA肩負著提供實時數(shù)據(jù)，監(jiān)視系統(tǒng)運行狀況和故障分析幾大重要職能，是供電企業(yè)對電網(wǎng)進行監(jiān)控的主要手段。因此，調(diào)度自動化系統(tǒng)中SCADA的安全性直接關(guān)系到電網(wǎng)的安全性。隨著企業(yè)信息化步伐的加快和電力市場化的發(fā)展，近期內(nèi)調(diào)度自動化系統(tǒng)中SCADA安全問題也日益突現(xiàn)出其重要戰(zhàn)略意義。

1999年10月，美國一名計算機黑客公開宣稱，他將披露一份報告，其中詳細介紹了怎樣入侵電力企業(yè)內(nèi)部網(wǎng)絡(luò)以及怎樣關(guān)閉美國 30 多個供電公司電力網(wǎng)的方法。無獨有偶，美國一個聯(lián)邦調(diào)查機構(gòu)也同時發(fā)出警告，認為“世界上任何一個地方的一個人，只需要一部電腦，一個調(diào)制解調(diào)器和一根電話線，就有可能造成一個大面積區(qū)域的電力故障”。這些消息在業(yè)內(nèi)掀起了軒然大波，導致了業(yè)內(nèi)人士對供電企業(yè)最核心的運行系統(tǒng)（通常指調(diào)度自動化系統(tǒng)中SCADA，既監(jiān)視控制和數(shù)據(jù)采集系統(tǒng)）安全狀況的廣泛關(guān)注。     

本文章接下來的部分將探討調(diào)度自動化系統(tǒng)中SCADA網(wǎng)絡(luò)在網(wǎng)絡(luò)攻擊下所表現(xiàn)出來的安全風險，還有企業(yè)調(diào)度自動化系統(tǒng)中SCADA網(wǎng)絡(luò)最普遍的薄弱環(huán)節(jié)所在，以及一些可以降低風險的補救策略。

在調(diào)度自動化系統(tǒng)中SCADA安全性問題上，管理人員通常有三個比較典型的概念誤區(qū)，常常是這些錯誤觀念阻礙了信息安全技術(shù)在調(diào)度自動化系統(tǒng)中SCADA中的廣泛應(yīng)用。這些誤區(qū)是：

（1） 誤區(qū)之一：調(diào)度自動化系統(tǒng)中SCADA是一個孤立的，物理隔離的系統(tǒng)。

大部分調(diào)度自動化系統(tǒng)中SCADA通常建立于企業(yè)網(wǎng)絡(luò)以前，而且常常與企業(yè)內(nèi)部網(wǎng)絡(luò)是分離的。這樣的結(jié)果是，管理員的日常操作會建立在一個假設(shè)上：這些系統(tǒng)既不能通過企業(yè)網(wǎng)絡(luò)訪問，也不能從外部遠程進行訪問。然而這恰恰是一個最普遍的謬誤。

在現(xiàn)實中，調(diào)度自動化系統(tǒng)中SCADA網(wǎng)絡(luò)和企業(yè)信息網(wǎng)絡(luò)經(jīng)常是通過網(wǎng)橋相連的。這是因為兩個原因：

第一，由于企業(yè)信息管理的需求，調(diào)度自動化系統(tǒng)中SCADA工程師常常需要在企業(yè)內(nèi)部信息網(wǎng)的不同地點對調(diào)度自動化系統(tǒng)中SCADA進行監(jiān)視和控制，由此許多公司對調(diào)度自動化系統(tǒng)中SCADA建立了遠程訪問連接。

第二，為了使企業(yè)決策者能夠快速地訪問電力系統(tǒng)重要狀態(tài)數(shù)據(jù)（例如實時負荷，母線電壓等），通常企業(yè)信息部門會在調(diào)度自動化系統(tǒng)中SCADA網(wǎng)絡(luò)和企業(yè)信息網(wǎng)絡(luò)之間增加一些數(shù)據(jù)的連接。一般說來，在增加這些數(shù)據(jù)鏈路的同時，管理員常常疏于對相應(yīng)安全風險的全面認識。而且，對于一些針對調(diào)度自動化系統(tǒng)中SCADA進行的非法入侵和訪問，企業(yè)的信息網(wǎng)絡(luò)所采取的安全防御機制幾乎沒有什么作用。
    （2）誤區(qū)之二：強有力的訪問控制可以保護 調(diào)度自動化系統(tǒng)中SCADA和企業(yè)內(nèi)部網(wǎng)之間的連接。

許多企業(yè)網(wǎng)絡(luò)和調(diào)度自動化系統(tǒng)中SCADA之間進行互聯(lián)時，常常需要集成不同的系統(tǒng)和不同的通信標準，這樣的結(jié)果是需要在兩個完全不同的系統(tǒng)之間傳送數(shù)據(jù)。由于集成兩個迥然不同的系統(tǒng)是非常復(fù)雜的，網(wǎng)絡(luò)工程師常常將絕大部分精力放在數(shù)據(jù)的成功傳送上，一旦主要功能大功告成，則常常忽視甚至省略了安全風險防御機制這一部分的工作量。

這樣，對來自于企業(yè)網(wǎng)絡(luò)的非法訪問，幾乎沒有訪問控制機制能夠?qū)φ{(diào)度自動化系統(tǒng)中SCADA起到保護作用，主要是由于網(wǎng)絡(luò)管理人員常常忽視這些系統(tǒng)的訪問連接點。盡管使用內(nèi)部防火墻和入侵檢測系統(tǒng)（IDS）以及嚴格的口令管理辦法可以起到很大的防范作用，但是很少有企業(yè)能夠完全保護所有通向調(diào)度自動化系統(tǒng)中SCADA的訪問入口。這樣就給無授權(quán)的非法訪問留下了空子。

（3）誤區(qū)之三：進入調(diào)度自動化系統(tǒng)中SCADA需要專業(yè)知識，一般網(wǎng)絡(luò)黑客很難入侵和控制。

 一些管理人員認為，調(diào)度自動化系統(tǒng)中SCADA的攻擊者缺乏對系統(tǒng)設(shè)計和實施相關(guān)信息的了解，從而使入侵變得困難。這些想法是不正確的。 在一個互聯(lián)的環(huán)境中，系統(tǒng)的脆弱性也相應(yīng)地增加。由于供電企業(yè)在國家基礎(chǔ)設(shè)施中是一個關(guān)鍵的組成部分，因此它們非常有可能成為有組織的“網(wǎng)絡(luò)恐怖分子”的目標。有區(qū)別于一般的無組織的黑客，這些攻擊者常常是意志堅強，資金充足，而且具有“局內(nèi)人”的專業(yè)知識。而且，有備而來的入侵者幾乎肯定會使用各種可能的手段來得到有關(guān)調(diào)度自動化系統(tǒng)中SCADA及其脆弱之處的詳細信息，以達成實現(xiàn)供電運行故障的目標。        

另一個越來越大的風險是，由于調(diào)度自動化系統(tǒng)中SCADA正逐漸成為一個開放的系統(tǒng)，與調(diào)度自動化系統(tǒng)中SCADA運作有關(guān)的資料隨處可得。一部分是因為自動化產(chǎn)品市場競爭日益激烈，調(diào)度自動化系統(tǒng)中SCADA和遠方控制終端（RTU）之間的通信標準和協(xié)議在出版的技術(shù)手冊中毫不費力即可找到，其中包括控制中心之間的通信標準，警告信號的處理，控制命令的發(fā)出，以及數(shù)據(jù)的輪詢方式等等一系列重要技術(shù)標準。而且，調(diào)度自動化系統(tǒng)中SCADA的生產(chǎn)廠家常常出于方便用戶的考慮出版其產(chǎn)品的設(shè)計和維護手冊，發(fā)售工具軟件包以便于用戶在調(diào)度自動化系統(tǒng)中SCADA環(huán)境下進行二次開發(fā)，這一切都使調(diào)度自動化系統(tǒng)中SCADA日益成為一個“透明運作”的系統(tǒng)，使其脆弱點暴露無遺。

最后，由于供電企業(yè)常常希望整個公司能夠充分利用調(diào)度自動化系統(tǒng)中SCADA提供的數(shù)據(jù)和信息，由此造成調(diào)度自動化系統(tǒng)中SCADA傾向于向“開放式的標準系統(tǒng)”發(fā)展。這樣的結(jié)果導致了調(diào)度自動化系統(tǒng)中SCADA的安全性依賴于企業(yè)網(wǎng)絡(luò)的安全性。雖然要從專用的串行通信線路上入侵遠方終端（RTU）是很困難的，但是通過企業(yè)內(nèi)部網(wǎng)絡(luò)“滲透”到調(diào)度自動化系統(tǒng)中SCADA的控制臺并且“偷窺”系統(tǒng)正在執(zhí)行的操作并不困難。一旦攻擊者成功穿透到調(diào)度自動化系統(tǒng)中SCADA操作員的工作站上，并且通過“偷窺”迅速學會操作命令，則他就可以易如反掌地對一個復(fù)雜系統(tǒng)發(fā)起攻擊。

如前所述，企業(yè)網(wǎng)絡(luò)和調(diào)度自動化系統(tǒng)中SCADA網(wǎng)絡(luò)常�；ハ嗦�(lián)系，這樣調(diào)度自動化系統(tǒng)中SCADA的安全等級就只能受制于企業(yè)網(wǎng)絡(luò)的安全等級。而來自電力市場化的壓力使得電力企業(yè)網(wǎng)絡(luò)往往要具有向社會開放的訪問入口，這樣企業(yè)網(wǎng)的安全風險迅速增加。接下來的部分簡要提出了一些存在于“SCADA+企業(yè)網(wǎng)架構(gòu)”中影響調(diào)度自動化系統(tǒng)中SCADA安全的常見問題：  

很多有關(guān)供電企業(yè)內(nèi)部信息網(wǎng)的資料可以輕易地通過日常公共查詢而獲得。這些信息有可能被用于對網(wǎng)絡(luò)的惡意攻擊。例如，這些脆弱之處可能是：

Ø         公共網(wǎng)頁上常常為網(wǎng)絡(luò)入侵者提供了一些有用的數(shù)據(jù)，例如公司結(jié)構(gòu)，員工姓名，電子郵件地址，甚至是企業(yè)信息網(wǎng)的系統(tǒng)名；

Ø         域名服務(wù)器（DNS）允許“區(qū)域傳送”功能（zone transfers）并提供 IP 地址，服務(wù)器名稱以及電子郵件地址；

網(wǎng)絡(luò)架構(gòu)的設(shè)計是相當關(guān)鍵的一環(huán)，而其中最重要的是對互聯(lián)網(wǎng)，企業(yè)信息網(wǎng)和調(diào)度自動化系統(tǒng)中SCADA網(wǎng)進行適當?shù)姆侄胃綦x。網(wǎng)絡(luò)架構(gòu)設(shè)計欠妥會致使來自互聯(lián)網(wǎng)的入侵風險增加，從而最終危害調(diào)度自動化系統(tǒng)中SCADA 網(wǎng)絡(luò)。下面是一些常見的網(wǎng)架設(shè)計缺陷所在：

Ø         作為企業(yè)網(wǎng)功能的一部分，在配置 FTP（文件傳輸協(xié)議），企業(yè)網(wǎng)頁和電子郵件服務(wù)器時，常常不經(jīng)意地提供了訪問企業(yè)內(nèi)部網(wǎng)的入口。這是不必要的；

Ø         企業(yè)內(nèi)部網(wǎng)與一些商業(yè)聯(lián)系伙伴（如銀行，ISP 等機構(gòu)）之間的數(shù)據(jù)連接沒有采用防火墻，入侵檢測系統(tǒng)（IDS）以及虛擬網(wǎng)（VPN）等等機制進行防御；

Ø         企業(yè)信息網(wǎng)提供了一些不必要的 MODEM 撥號接入，這是很不安全的，而且這些 MODEM 撥號訪問常常是作為遠程維護功能而設(shè)，并沒有嚴格按照一般撥號接入的規(guī)定進行管理，留下毫無防范的入口；

Ø         防火墻和其他網(wǎng)絡(luò)訪問控制機制沒有在內(nèi)部網(wǎng)段之間發(fā)揮作用，使得在不同的網(wǎng)絡(luò)分段之間沒有完全隔離；

Ø         調(diào)度自動化系統(tǒng)中SCADA服務(wù)器的操作系統(tǒng)如WINDOWS NT，2000 或 XP 等存在已知的安全漏洞而沒有打上最新的補丁程序，缺省的NT 帳號和管理員帳號沒有刪除或改名。即使是運行于 UNIX 或 LINUX 平臺上也存在同樣的問題；

Ø         造成缺乏實時有效的監(jiān)控的原因之一是，由于來自網(wǎng)絡(luò)安全防御設(shè)備的數(shù)據(jù)量極大，使得要區(qū)分出哪些是有關(guān)于供電企業(yè)信息安全防御的幾乎是不可能的，這造成要對供電企業(yè)網(wǎng)絡(luò)進行有效的實時監(jiān)控非常困難；

Ø         即使企業(yè)網(wǎng)絡(luò)安裝了入侵檢測系統(tǒng)，網(wǎng)絡(luò)安全保安也只能識別以個別方式進行的攻擊，而對有組織的，形式隨時間變化的攻擊則無能為力。這也造成了防御的困難；

目前來說，對供電企業(yè)最有效的信息安全策略是，定期例行的信息安全評估加上不間斷的安全體系升級，并且對整個系統(tǒng)進行實時監(jiān)視。以下重點提出了一些主要步驟，可以將安全漏洞的數(shù)量和影響減小到盡可能低。
    第一步：進行定期的危險點分析和評估

許多供電企業(yè)可能并沒有在定期的基礎(chǔ)上對調(diào)度自動化系統(tǒng)中SCADA和 EMS 系統(tǒng)（能量管理系統(tǒng)）的危險點進行危險性評估。這項工作應(yīng)盡快開展起來。另外，除了這兩個系統(tǒng)，其他如企業(yè)內(nèi)部信息網(wǎng)（MIS），WEB 服務(wù)器，以及用戶信息管理系統(tǒng)也應(yīng)納入評估范疇來尋找可能尚未發(fā)現(xiàn)的安全漏洞。另外，公共網(wǎng)與外部網(wǎng)的連接，以及防火墻的配置等也需引起重視。

當許多供電企業(yè)進行信息網(wǎng)建設(shè)時面臨很多選擇，包括信息安全軟件，網(wǎng)絡(luò)設(shè)備，系統(tǒng)配置等等方面的問題。雖然防火墻，入侵檢測系統(tǒng)，虛擬內(nèi)部網(wǎng)等等可以保護系統(tǒng)免受惡意攻擊，然而選擇了不適當?shù)木W(wǎng)絡(luò)產(chǎn)品，或者是配置使用不當都有可能嚴重阻礙安全體系的效率。因此，為了將與網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計有關(guān)的缺陷降低到最小，企業(yè)應(yīng)該與信息安全專業(yè)人員聯(lián)手，在建設(shè)網(wǎng)絡(luò)的同時保證其安全性不打折扣。
   第三步：加強安全管理

企業(yè)在其信息網(wǎng)絡(luò)內(nèi)布設(shè)了網(wǎng)絡(luò)安全系統(tǒng)之后，對于網(wǎng)絡(luò)安全設(shè)備的正確管理和監(jiān)視就變得非常復(fù)雜和重要。我們必須認識到，如果只是采取了“純技術(shù)性”的解決方案而不進行密切的管理和監(jiān)視，安全設(shè)備的有效率會大大降低。因此，最好的辦法是雇傭有經(jīng)驗的IT安全專業(yè)人員來進行網(wǎng)絡(luò)設(shè)備的監(jiān)視。但是這樣作對許多企業(yè)來說成本太高。國外的做法是，對于很多對安全性要求較高的公司，有專門的公司提供安全設(shè)備和系統(tǒng)的管理和監(jiān)視服務(wù)。這樣的服務(wù)保證了公司安全體系正確的配置和補漏，而且實時監(jiān)視安全系統(tǒng)的運行情況和檢測惡意攻擊。對于我們國內(nèi)的企業(yè)，可以借鑒這樣的經(jīng)驗，與網(wǎng)絡(luò)安全公司進行合作，或者在公司內(nèi)設(shè)立網(wǎng)絡(luò)安全專職工程師崗位，專門進行網(wǎng)絡(luò)安全監(jiān)視和事故預(yù)防。這樣可以以相對較低的成本得到完善的安全管理和實施實時監(jiān)控，同時，也提升了已有信息安全機制的性能和作用，實現(xiàn)了安全系統(tǒng)的增值。
4 我公司調(diào)度自動化系統(tǒng)中SCADA的安全策略

根據(jù)我公司目前有6個服務(wù)器，70個工作站的網(wǎng)絡(luò)狀況，特推薦kaspersky網(wǎng)絡(luò)版系統(tǒng)解決方案，系統(tǒng)結(jié)構(gòu)圖如下：

 

使用產(chǎn)品：Kaspersky Anti-Virus for Workstation；

系統(tǒng)最低需求：

Windows 9x/Me/NT Workstation/2000 Pro/XP Home/XP Pro；

Windows NT 4.0 Workstation加SP3以上補丁；

Windows NT 4.0 Workstation 或者Windows 2000/XP Pro的本地管理員帳戶；

IE的版本在4.01以上；

至少32 Mb內(nèi)存；至少25 Mb剩余硬盤空間；

部署方式：在連網(wǎng)的Windows客戶端上安裝KAV for Windows workstation；

可滿足的需求：

對企業(yè)內(nèi)的聯(lián)網(wǎng)客戶端/工作站進行防毒控制。

可自動更新所有客戶端上的防毒軟件，使防毒工作完全自動化。

    我公司運行到現(xiàn)在，沒出現(xiàn)一起調(diào)度自動化系統(tǒng)中SCADA及企業(yè)信息網(wǎng)絡(luò)的安全事故。

由于在電力系統(tǒng)中調(diào)度自動化系統(tǒng)中SCADA的獨特重要性，其網(wǎng)絡(luò)安全性應(yīng)該引起日益廣泛的關(guān)注。因此，供電企業(yè)應(yīng)該立刻與信息安全專家聯(lián)手，對當前應(yīng)用的調(diào)度自動化系統(tǒng)中SCADA安全性進行全面的分析，評估系統(tǒng)當前的安全性等級，并且制定計劃來降低風險。我們必須認識到，企業(yè)信息安全并不僅僅停留在內(nèi)部信息網(wǎng)的層面。我們應(yīng)將信息產(chǎn)業(yè)領(lǐng)域的安全政策和規(guī)程引入到調(diào)度自動化系統(tǒng)中SCADA和工業(yè)自動化領(lǐng)域中來，將調(diào)度自動化系統(tǒng)中SCADA和企業(yè)信息網(wǎng)作為一個整體來進行風險分析，并制定整體的防范措施。