SST-PFB3-PCI

SST-PFB3-PCI

：祖巧麗

：

工業(yè)控制系統(tǒng)面臨的安全問題

　　目前工業(yè)控制系統(tǒng)普遍存在一些嚴重的安全問題，主要表現(xiàn)為：

　　1.嚴重漏洞難以及時處理，系統(tǒng)安全風險巨大

　　當前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執(zhí)行的嚴重威脅類漏洞；而且近兩年漏洞的數(shù)量呈快速增長的趨勢。工業(yè)控制系統(tǒng)通信協(xié)議種類繁多、系統(tǒng)軟件難以及時升級、設備使用周期長以及系統(tǒng)補丁兼容性差、發(fā)布周期長等現(xiàn)實問題，又造成工業(yè)控制系統(tǒng)的補丁管理困難，難以及時處理威脅嚴重的漏洞。

　　2.工業(yè)控制系統(tǒng)協(xié)議缺乏足夠的安全性考慮，易被攻擊者利用

　　專有的工業(yè)控制通信協(xié)議或規(guī)約在設計時通常只強調通信的實時性及可用性，對安全性普遍考慮不足：比如缺少足夠強度的認證、加密、*等。尤其是工業(yè)控制系統(tǒng)中的無線通信協(xié)議，更容易遭受第三者的竊聽及欺騙性攻擊。

　　3.缺乏違規(guī)操作、越權訪問行為審計能力

　　操作管理人員的技術水平和安全意識差別較大，容易發(fā)生越權訪問、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下*的安全隱患。實事上，國內ICS相對封閉的環(huán)境，也使得來自系統(tǒng)內部人員在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風險。因此，對生產(chǎn)網(wǎng)絡的訪問行為、特定控制協(xié)議內容和數(shù)據(jù)庫數(shù)據(jù)的真實性、完整性進行監(jiān)控、管理與審計是非常必要的。

　　但現(xiàn)實環(huán)境中通常缺乏針對ICS的安全日志審計及配置變更管理。這是因為部分ICS系統(tǒng)可能不具備審計功能或者雖有日志審計功能但系統(tǒng)的性能要求決定了它不能開啟審計功能所造成的結果。同時目前的安全審計產(chǎn)品因缺乏對工業(yè)控制系統(tǒng)通信協(xié)議的解析能力而不能直接用于ICS系統(tǒng)中，需要專門的定制。由于工業(yè)控制系統(tǒng)通信協(xié)議缺乏統(tǒng)一的標準，使得這種定制工作代價巨大且不能通用也是造成ICS中違規(guī)操作行為審計缺乏的原因之一。

　　4.沒有足夠的安全政策、管理制度，人員安全意識缺乏

　　由于工業(yè)控制系統(tǒng)不像互聯(lián)網(wǎng)或與傳統(tǒng)企業(yè)IT網(wǎng)絡那樣備受黑客的關注，在2010年“震網(wǎng)”事件發(fā)生之前很少有黑客攻擊工業(yè)控制網(wǎng)絡的事件發(fā)生；工業(yè)控制系統(tǒng)在設計時也多考慮系統(tǒng)的可用性，普遍對安全性問題的考慮不足，更不用提制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及對人員的安全意識培養(yǎng)了。‘和平日久’造成人員的安全意識淡薄。

工業(yè)控制系統(tǒng)面臨的安全問題

　　目前工業(yè)控制系統(tǒng)普遍存在一些嚴重的安全問題，主要表現(xiàn)為：

　　1.嚴重漏洞難以及時處理，系統(tǒng)安全風險巨大

　　當前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執(zhí)行的嚴重威脅類漏洞；而且近兩年漏洞的數(shù)量呈快速增長的趨勢。工業(yè)控制系統(tǒng)通信協(xié)議種類繁多、系統(tǒng)軟件難以及時升級、設備使用周期長以及系統(tǒng)補丁兼容性差、發(fā)布周期長等現(xiàn)實問題，又造成工業(yè)控制系統(tǒng)的補丁管理困難，難以及時處理威脅嚴重的漏洞。

　　2.工業(yè)控制系統(tǒng)協(xié)議缺乏足夠的安全性考慮，易被攻擊者利用

　　專有的工業(yè)控制通信協(xié)議或規(guī)約在設計時通常只強調通信的實時性及可用性，對安全性普遍考慮不足：比如缺少足夠強度的認證、加密、*等。尤其是工業(yè)控制系統(tǒng)中的無線通信協(xié)議，更容易遭受第三者的竊聽及欺騙性攻擊。

　　3.缺乏違規(guī)操作、越權訪問行為審計能力

　　操作管理人員的技術水平和安全意識差別較大，容易發(fā)生越權訪問、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下*的安全隱患。實事上，國內ICS相對封閉的環(huán)境，也使得來自系統(tǒng)內部人員在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風險。因此，對生產(chǎn)網(wǎng)絡的訪問行為、特定控制協(xié)議內容和數(shù)據(jù)庫數(shù)據(jù)的真實性、完整性進行監(jiān)控、管理與審計是非常必要的。

　　但現(xiàn)實環(huán)境中通常缺乏針對ICS的安全日志審計及配置變更管理。這是因為部分ICS系統(tǒng)可能不具備審計功能或者雖有日志審計功能但系統(tǒng)的性能要求決定了它不能開啟審計功能所造成的結果。同時目前的安全審計產(chǎn)品因缺乏對工業(yè)控制系統(tǒng)通信協(xié)議的解析能力而不能直接用于ICS系統(tǒng)中，需要專門的定制。由于工業(yè)控制系統(tǒng)通信協(xié)議缺乏統(tǒng)一的標準，使得這種定制工作代價巨大且不能通用也是造成ICS中違規(guī)操作行為審計缺乏的原因之一。

　　4.沒有足夠的安全政策、管理制度，人員安全意識缺乏

　　由于工業(yè)控制系統(tǒng)不像互聯(lián)網(wǎng)或與傳統(tǒng)企業(yè)IT網(wǎng)絡那樣備受黑客的關注，在2010年“震網(wǎng)”事件發(fā)生之前很少有黑客攻擊工業(yè)控制網(wǎng)絡的事件發(fā)生；工業(yè)控制系統(tǒng)在設計時也多考慮系統(tǒng)的可用性，普遍對安全性問題的考慮不足，更不用提制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及對人員的安全意識培養(yǎng)了。‘和平日久’造成人員的安全意識淡薄。

SQUARE D PADLOCK ATTACHMENT 9001K4 *NEW*
 
SQUARE D 60AMP TYPE S2 CIRCUIT BREAKER FHP36060
 
EMECANIQUE SQUARE D 1HP/0.75KW VARIABLE SPEED AC DRIVE ATV18U18N4
 
SQUARE D CIRCUIT BREAKER 1P 10A 277VAC NIB MG 24432 34620
 
SQUARE D TYPE 3R, 3S &12 ENCL. SER. E1 PANELBOARD W/ BREAKERS, BROKEN HANDLE
 
SQUARE D B6.25 THERMAL OVERLOAD HEATING ELEMENT, LOT OF 3, NEW IN BAG
 
SQUARE D 9007CO54P5 SERIES A 24-120 VDC LIMIT SWITCH, NEW
 
SQUARE D SCHNEIDER ELECTRIC 1-PHASE 1KVA 60HZ TRANSFOMRER 1S7F
 
SQUARE D CLASS 9001 KEYED SELECTOR SWITCH KA-1 SER. G
 
SQUARE D 600V 335A 3-POLE POWER DISTRIBUTION BLOCK 9080 LBA364108
 
SQUARE D 9025 BCW-43 SERIES B 600 VOLT 10 AMP TEMPERATURE SWITCH, NEW
 
SQUARE D MTX848 PANELBOARD CABLE TROUGH, 8-5/8"W X 48"L X 5"D , NIB
 
SQUARE D SY/MAX MODEL 300 PROCESSOR MODULE 8020 SCP-323 S30606-532
 
SQUARE D 50/60HZ CLASS X2 INDUSTRIAL CONTROL TRANSFORMER 9070T500D1
 
SQUARE D 150A THERMAL-MAGNETI?C CIRCUIT BREAKER KCP34150MT SER-2
 
SQUARE D 1.5-75PSIG PRESSURE SWITCH 9012 GDW-4 SER C *NEW*
 
SQUARE D 15A 600VAC SNAP SWITCH AO-6 *LOT OF 2*
 
SQUARE D LIMIT SWITCH HEAD 9007K SER. A *NEW*
 
SQUARE D 220/240V 50/60HZ MAGNET COIL, 1707-S1-T24, NIB

SQUARE D 15A 600VAC SNAP SWITCH AO-6 *LOT OF 2*
 
SQUARE D LIMIT SWITCH HEAD 9007K SER. A *NEW*
 
SQUARE D 220/240V 50/60HZ MAGNET COIL, 1707-S1-T24, NIB
 
SQUARE D 3-POLE 3A MAG-GARD INSTANTANEOUS TRIP CIRCUIT BREAKER FAL3600311M
 
SQUARE D RED PUSH BUTTON 9001 KA-2 SER G
 
SQUARE D 240VAC 80A 3-POLE CIRCUIT BREAKER QOU380 *NEW*
 
SQUARE-D * MAGNET COIL NIB * 4491-S1-W27
 
SQUARE D 0.1-60 SECOND TIMING RELAY XTE1 WITH BASE XM0 4D
 
SQUARE D 20AMP 600V MOLDED CASE CIRCUIT BREAKER FA22020AC
 
SQUARE D 8A 1-POLE MULTI 9 SUPPLEMENTARY PROTECTOR NIB 24431 / C60
 
SQUARE D EMECANIQUE KEY OPERATED SELECTOR SWITCH, 9001KS73K5E12 *NEW*
 
SQUARE D CONTACTOR 110/120 VOLT 50/60 HZ 8502SA012S
 
SQUARE D CLASS 8536 SER.A 3PH MOTOR STARTER TYPE SC0 3
 
SQUARE D MERLIN GERIN Multi 9 10A CIRCUIT BREAKER C60 / 24432 *NEW LOT OF 2*
 
SQUARE D 600VAC 7A 3-POLE CIRCUIT BREAKER FAL3600712M *LOT OF 2*
 
SQUARE D EMECANIQUE ALTIVAR 28 ADJUSTABLE SPEED DRIVE ATV28HU29N4U *PLASTIC*
 
SQUARE D PANELBOARD CABLE THROUGH MTX8104, NEW
 
SQUARE-D * 3-POLE 225A 240VAC CIRCUIT BREAKER * Q2M3225MB
 
SQUARE D * 9070 SER.B CONTROL TRANSFORMER * S 30021-899-50
 
SQUARE D CLASS 9001 TYPE KA 3 SER. J FINGER SAFE RELAY 88002
 
SQUARE D 100AMP SER. 2 MOLDED CASE CIRCUIT BREAKER FAL32100
 
EMECANIQUE SQUARE D CONTACTOR LC1D12
 
SQUARE D S30609-503-51 SERIES B4 PROCESSOR,
 
SQUARE D 3-POLE 15A THERMAL MAGNETIC CIRCUIT BREAKER FAL360151352 *NEW IN BOX*