亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

唐文：大家下午好！非常榮幸今天有機(jī)會(huì)跟大家共同探討工業(yè)信息安全，大家都知道公眾信息安全成為全球關(guān)注重點(diǎn)，包括國內(nèi)關(guān)注的重點(diǎn)，從2010年，病毒攻擊伊朗核的設(shè)施，去年最早2004年出了公共安全白皮書，到2010年開始從事工業(yè)信息安全研究，今天跟大家探討工業(yè)信息安全和過去選擇的技術(shù)課題，和為什么選擇？

一、工業(yè)信息安全

我們西門子內(nèi)部叫工業(yè)信息安全，我們看到工業(yè)信息安全意識(shí)到重要性。比如今天開會(huì)涉及的空調(diào)、照明、聲光電都統(tǒng)一的控制，日常大家駕車來會(huì)場開會(huì)，在路途中走過紅綠燈和道路控制系統(tǒng)，在西門子內(nèi)部就是工業(yè)控制系統(tǒng)。現(xiàn)代文明基礎(chǔ)就是工業(yè)控制系統(tǒng)，生活用到任何東西都是工廠生產(chǎn)出來，而這些工廠絕大多數(shù)自動(dòng)化工廠。

因此，當(dāng)工業(yè)基礎(chǔ)設(shè)施受到信息安全的威脅，有些黑客有意、無意攻擊的時(shí)候，對(duì)人類生活產(chǎn)生根本的影響，財(cái)產(chǎn)損失、甚至危機(jī)人的生命安全。導(dǎo)致工業(yè)信息安全越來越脆弱原因？就是技術(shù)進(jìn)步，15年以前工業(yè)信息系統(tǒng)像IT系統(tǒng)，我們今天有機(jī)會(huì)看工業(yè)信息系統(tǒng)，驚奇的發(fā)現(xiàn)以太網(wǎng)在工業(yè)信息系統(tǒng)得到廣泛的應(yīng)用，目前PC機(jī)也得到廣泛的應(yīng)用，操作人員都是基于Windows的PC機(jī)。標(biāo)準(zhǔn)的通訊協(xié)議越來越多用在工業(yè)信息系統(tǒng)。

2010年事件出現(xiàn)以后，IT領(lǐng)域黑客技術(shù)也可以用于工業(yè)信息系統(tǒng)攻擊，比如偷取生產(chǎn)配方、工藝，以及植入軟件對(duì)控制軟件的影響，去年底發(fā)生烏克蘭電網(wǎng)受到殺蟲組織的攻擊，導(dǎo)致斷電幾個(gè)小時(shí)非常嚴(yán)重的后果。在這里我們可以看一下，工業(yè)信息安全事件，這個(gè)圖表來自火眼，火眼這幾年也是非常著名的美國公司，火眼他統(tǒng)計(jì)2014年之前所有公共安全事件，信息源主要來自于USS、SCB等數(shù)據(jù)源。

我們可以看到在過去，尤其2010年以后公共安全事件出現(xiàn)急劇上升，而這里邊大多數(shù)漏洞，迄今為止出現(xiàn)949個(gè)漏洞。西門子這幾年曝出很多的漏洞，這是大實(shí)話。如果我們看CND等，西門子漏洞在公共體系中排名第一，但是西門子采取的策略不會(huì)隱藏漏洞，如果有人通報(bào)漏洞、我們發(fā)現(xiàn)漏洞發(fā)布之后自動(dòng)公開，西門子采取IT企業(yè)同樣的公開和客戶公開對(duì)話的處理，內(nèi)部統(tǒng)計(jì)的時(shí)候，發(fā)現(xiàn)西門子漏洞呈現(xiàn)一個(gè)特點(diǎn)，外面人報(bào)的漏洞越來越少，而自己發(fā)現(xiàn)漏洞越來越多。

不僅僅存在漏洞、存在潛在的風(fēng)險(xiǎn)，有的人利用漏洞控制工業(yè)控制系統(tǒng)，真正攻擊工業(yè)控制系統(tǒng)到目前為止只有三個(gè)，從這里邊可以看出工業(yè)控制系統(tǒng)一個(gè)趨勢，目前工業(yè)控制系統(tǒng)里頭專用的惡意軟件攻擊工業(yè)控制系統(tǒng)只看到三個(gè)案例，絕大多數(shù)出現(xiàn)的問題IT病毒感染控制系統(tǒng)，導(dǎo)致控制系統(tǒng)出現(xiàn)故障，這是非常多，我們?cè)跓煵荨⑹家姷胶芏喟咐?/p>

二、工業(yè)控制系統(tǒng)典型應(yīng)用

今天我簡單給一個(gè)工業(yè)控制系統(tǒng)圖，大家可能看表面看起來跟IT系統(tǒng)沒有太大區(qū)別，在上面也是有很多PC服務(wù)器，它構(gòu)成CMR、工作站、各種各樣服務(wù)器，工程站有時(shí)候筆記本或者PC機(jī)，真正有特色的地方在下邊，它有嵌入系統(tǒng)構(gòu)成的各個(gè)控制系統(tǒng)，PRC由嵌入系統(tǒng)構(gòu)成的，不像PC強(qiáng)大的計(jì)算能力，也不會(huì)隨意編成。然后通過電線控制現(xiàn)場的儀表構(gòu)成完整的系統(tǒng)。如果IT系統(tǒng)會(huì)認(rèn)為辦公最重要，比如我關(guān)心數(shù)據(jù)泄密、敏感的數(shù)據(jù)或者財(cái)務(wù)數(shù)據(jù)是不是泄露？工業(yè)控制系統(tǒng)重點(diǎn)不是上面，而是下面，在控制單元，因?yàn)榭刂茊卧脕砜刂莆锢硎澜纭?/p>

比如說我們所在會(huì)場，實(shí)際上在這里可以看到至少有幾個(gè)系統(tǒng)：空調(diào)新風(fēng)系統(tǒng)、照明控制等，如果正常工作自動(dòng)進(jìn)入安全狀態(tài)，保證大家發(fā)生事故有足夠時(shí)間逃生，所以工業(yè)控制系統(tǒng)跟普通的IT安全非常不同。咱們做信息安全可能了解，最開始了解CAI，在工業(yè)系統(tǒng)首先安全性，最后才是完整性，最后是機(jī)密性。我可能采集電信號(hào)，這些信號(hào)攔截之后對(duì)你沒有太大價(jià)值。

我們看典型的工業(yè)控制系統(tǒng)之后，我們看一下，這是來自卡巴斯基2014年白皮書，我們從2005年做公共安全，這么多年遇到最大的問題客戶不理解，為什么公共安全重要？我們遇到很多工業(yè)客戶，有的拜訪他們，有的時(shí)候是會(huì)議遇到他們，當(dāng)講起信息安全，他們認(rèn)為覺得我系統(tǒng)沒有安全？卡巴斯基白皮書列出五個(gè)神話：

1、第一我沒有與互聯(lián)網(wǎng)互聯(lián)，從右邊圖大家可以看到，大量系統(tǒng)都跟互聯(lián)網(wǎng)互聯(lián)，現(xiàn)在絕對(duì)沒有跟互聯(lián)網(wǎng)互聯(lián)系統(tǒng)很少了，可能核電、軍事系統(tǒng)沒有互聯(lián)，但是民事領(lǐng)域間接通過企業(yè)網(wǎng)、或者遠(yuǎn)程運(yùn)維定期和不定期互聯(lián)。比如電力很早維護(hù)條例，生產(chǎn)工業(yè)區(qū)和網(wǎng)閘割斷，所有電力人跟大家都是這樣介紹的，但是這幾年有機(jī)會(huì)接觸傳統(tǒng)和新發(fā)電企業(yè)，我們發(fā)現(xiàn)這個(gè)是神話。新能源發(fā)電企業(yè)，所有安裝發(fā)電設(shè)備，發(fā)電企業(yè)和運(yùn)維人員自己維護(hù)不了，當(dāng)出現(xiàn)故障需要廠商運(yùn)維，廠商運(yùn)維一種是駐廠運(yùn)維成本很大，還有遠(yuǎn)程運(yùn)維，絕大多數(shù)新能源汽車使用的遠(yuǎn)程運(yùn)維，Windows主機(jī)作為跳板機(jī)連到設(shè)備上進(jìn)行調(diào)試，盡管不是持續(xù)的連接，但是控制層開放一個(gè)口子到互聯(lián)網(wǎng)上。

2、我們有防火墻因此安全的。當(dāng)然我們做IT安全都知道，防火墻作用多大？即便這樣的話，工業(yè)控制領(lǐng)域大多數(shù)被防火墻控制，他配制允許外部主機(jī)對(duì)防火墻進(jìn)行運(yùn)維。

3、黑客不了解工業(yè)信息安全，這已經(jīng)是以前的情況。

4、我的設(shè)施不是目標(biāo)，事實(shí)上在公共領(lǐng)頭，大量工業(yè)設(shè)施被感染IT病毒，像石化、煙草、鋼鐵行業(yè)見過典型的案例，通過亂插U盤或者上網(wǎng)感染病毒，導(dǎo)致工業(yè)控制系統(tǒng)不能正常運(yùn)轉(zhuǎn)。

5、我的安全系統(tǒng)可以抵御攻擊。

這樣工業(yè)神話存在普通性，網(wǎng)絡(luò)缺乏邊界，任何主機(jī)接進(jìn)網(wǎng)絡(luò)里，立刻訪問PRC，這個(gè)非常危險(xiǎn)，任意人可以竊聽、重放，目前病毒感染雖然只出現(xiàn)三個(gè)專用的公共病毒，但是對(duì)IT病毒缺乏免疫力。缺乏嚴(yán)重的共享賬戶，對(duì)惡意操縱缺乏認(rèn)識(shí)，一個(gè)用戶上去惡意操作改變我參數(shù)，往往不知道誰改變、也沒有回溯他為什么這么做？

潛在的安全威脅包含了：

1、未經(jīng)授權(quán)的訪問，比如來自互聯(lián)網(wǎng)、辦公網(wǎng)通過感染PC機(jī)，攻擊他的跳板機(jī)。比如烏克蘭電網(wǎng)攻擊，通過釣魚郵件感染PC機(jī)，操控烏克蘭電網(wǎng)誤操作，還把硬盤弄壞了，阻止你公共網(wǎng)恢復(fù)。

2、惡意代碼的攻擊，都是通過U盤操作、網(wǎng)絡(luò)操作操控你的PC機(jī)。

3、拒絕服務(wù)攻擊，我上位機(jī)感染病毒，但是感染IT病毒，會(huì)控制網(wǎng)發(fā)送大量的垃圾報(bào)網(wǎng)，發(fā)送PRC，不斷處理垃圾報(bào)網(wǎng)，計(jì)算資源被消耗掉，就會(huì)出現(xiàn)斷斷續(xù)續(xù)，這個(gè)我們?cè)跓煵菪袠I(yè)有具體的案例。

4、對(duì)控制和主態(tài)通訊的攻擊，任何攻擊者竊聽曝文，目前對(duì)所有攻擊都是有效的。

5、惡意操作，可能攻擊者他對(duì)攻擊系統(tǒng)非常了解，不需要借助專門的IT手段破壞網(wǎng)絡(luò)設(shè)施，通過操控上位機(jī)直接改變控制流程。在我們?nèi)ソ榻B研究思路之前，我先簡單介紹一下，目前安全圈在研究公共安全的一個(gè)誤區(qū)，當(dāng)我們談公共安全兩個(gè)圈：一個(gè)公共圈，前面介紹針對(duì)他們存在的誤區(qū)談?wù)摰模S著這幾年公共安全變著越來越火，越來越安全人進(jìn)入公共行業(yè)，他們也產(chǎn)生一個(gè)誤區(qū)，對(duì)工業(yè)系統(tǒng)錯(cuò)誤的認(rèn)識(shí)，一般進(jìn)入工業(yè)系統(tǒng)PRC控制物理環(huán)境，如果發(fā)現(xiàn)漏洞肯定非常重要，所以大家都奔PRC去，以至于這幾年不停曝PRC漏洞。

工業(yè)控制系統(tǒng)通常來說分成若干層次，大型的工業(yè)系統(tǒng)最高ERP，通過ERP做企業(yè)生產(chǎn)規(guī)劃，ERP導(dǎo)入MES，MES進(jìn)行排班做各種各樣制造規(guī)劃，然后才進(jìn)入監(jiān)控層、現(xiàn)場設(shè)備層，但是很多研究人員認(rèn)為，一般我們都是這樣劃分層次，每個(gè)層次單獨(dú)拎出來做安全，這個(gè)對(duì)下面三個(gè)層次不成立的。正常情況下監(jiān)控層、控制層、現(xiàn)場設(shè)備層是完整的，我工作的時(shí)候必須有PRC控制現(xiàn)場儀表，現(xiàn)場儀表控制過程，這個(gè)分不開，PRC必須和上位機(jī)合作，所以這三者構(gòu)成一個(gè)整體。一旦脫離這個(gè)整體出現(xiàn)荒唐的結(jié)果，大家都研究PRC，但是中國有上千萬PRC工作，多少曝光互聯(lián)網(wǎng)上？可以告訴大家，不超過300個(gè)。其他PRC都是部署內(nèi)網(wǎng)，對(duì)它發(fā)動(dòng)攻擊，必須先攻擊上位機(jī)，從上位機(jī)攻擊PRC，我單純把PRC研究，攻擊路徑怎么樣？如何發(fā)生？

就會(huì)出現(xiàn)這個(gè)問題，我經(jīng)常跟安全圈同事交流。舉一個(gè)例子，智能家居越來越進(jìn)入普通的家庭，冰箱就智能、空調(diào)有智能、甚至插線板也有智能，也面臨網(wǎng)絡(luò)安全問題，有沒有遠(yuǎn)程黑客控制我家電，非常不安全。應(yīng)該家庭邊界部署安全網(wǎng)關(guān)，這個(gè)安全網(wǎng)關(guān)保證所有家電安全運(yùn)轉(zhuǎn)，而不是要求每一個(gè)家電都像PC，必須CIA必須最高要求。比如我冰箱，保證安全必須加裝一個(gè)硬盤，我們所有人必須有一個(gè)密碼，如果輸錯(cuò)三次冰箱鎖死。近年來標(biāo)準(zhǔn)化領(lǐng)域，要求PRC和智能儀表達(dá)到PC水平，智能儀表里邊只有一個(gè)單片機(jī)，甚至有的智能儀表通過電瓶線進(jìn)行連接，我們正在制定協(xié)議，要求PRC和儀表加裝防火墻。

大家可以看到照片是目前在北京工業(yè)安全設(shè)施，是西門子全球最好的實(shí)驗(yàn)室，西門子主流的PRC、工業(yè)交換器等都有，這個(gè)實(shí)驗(yàn)室仿真完整的工廠，在工廠進(jìn)行各種各樣試驗(yàn)，包括攻擊和防御實(shí)驗(yàn)。我們研究思路從2005年到現(xiàn)在形成一整套研究思路，我們稱之為從檢測到防護(hù)，正在向第三步檢測響應(yīng)，在檢測研發(fā)相應(yīng)的工具，防護(hù)方面也有相應(yīng)的技術(shù)。

三、產(chǎn)品

2007—2008年研制Styx安全工具，它的目的自動(dòng)化產(chǎn)生各種各樣嚴(yán)酷測試、包括機(jī)器測試，編碼位的錯(cuò)誤甚至各種各樣攻擊都會(huì)集成進(jìn)來，用它對(duì)PRC測試，一旦發(fā)現(xiàn)漏洞通知德國總部修復(fù)它，把新的補(bǔ)丁發(fā)布出來。而且這個(gè)遵循SCADA要求，覆蓋風(fēng)暴測試、測試暴露各種各樣需求。目前我們支持50多種協(xié)議，國內(nèi)應(yīng)當(dāng)最多的，因?yàn)槲覀冞@個(gè)工具只是內(nèi)部用，并沒有國外銷售。支持的協(xié)議工業(yè)領(lǐng)域廣泛利用的協(xié)議，也包括工業(yè)交換協(xié)議OPC，包括電信通訊協(xié)議，包括樓宇控制、交通控制，只要西門子從事的行業(yè)我們都會(huì)支持，所以在醫(yī)療通信領(lǐng)域兩個(gè)協(xié)議，其他協(xié)議是IT協(xié)議，目前在公共領(lǐng)域應(yīng)用非常廣，所以現(xiàn)在也支持。

配置管理，我們研制一個(gè)工具稱之為ISBC，自動(dòng)化對(duì)工業(yè)系統(tǒng)配置進(jìn)行檢查，上位機(jī)有Windows安全配置、數(shù)據(jù)庫安全配置，它重點(diǎn)對(duì)工業(yè)控制網(wǎng)絡(luò)、工業(yè)的PRC和工業(yè)交換機(jī)是不是安全進(jìn)行自動(dòng)化檢測。

西門子最著名基于縱深防御的安全控制系統(tǒng)，就像剛才提到智能家居例子，保證家庭智能設(shè)備安全，應(yīng)該加裝網(wǎng)端，實(shí)際建立防御圈。西門子提倡通過物理安全、安全單元、用戶賬戶管理、補(bǔ)丁賬戶防護(hù)等構(gòu)成完整的防護(hù)圈，PRC沒有認(rèn)證機(jī)制、安全機(jī)制，只要部署防護(hù)圈周邊，可以受到保護(hù)。目前中石化部署我們一套解決方案，并且2010年獲得石化工業(yè)協(xié)會(huì)科技進(jìn)步一等獎(jiǎng)。這個(gè)是具體的防御措施，前面就講到從檢測到防護(hù)的步驟，今天為止在中國開始建立西門子工業(yè)信息安全運(yùn)營中心，落在蘇州，北京有專家隊(duì)伍提供支持。

運(yùn)營中心說到根由，2015年開始大講威脅情報(bào)，并且開始轉(zhuǎn)變安全防御的重心，從原來的靜態(tài)防御轉(zhuǎn)向動(dòng)態(tài)防御，防御過程中熟知系統(tǒng)所處的狀態(tài)，就是現(xiàn)在強(qiáng)調(diào)的情景感知，而且強(qiáng)調(diào)通過行為識(shí)別異常，而不是通過指紋識(shí)別異常。西門子公共領(lǐng)域推動(dòng)技術(shù)進(jìn)步，在蘇州建立運(yùn)營中心，可以將一個(gè)個(gè)自動(dòng)化部署探針，對(duì)原來公共系統(tǒng)不會(huì)產(chǎn)生影響，只是取數(shù)據(jù)，取來數(shù)據(jù)用傳統(tǒng)的MSN技術(shù)和大數(shù)據(jù)進(jìn)行分析，對(duì)威脅情報(bào)的關(guān)聯(lián)，異常分析，然后告訴這些工廠，你的工廠面臨最大的安全威脅是什么？如何提升安全？如果面臨危機(jī)如何應(yīng)對(duì)它？提高系統(tǒng)的可見性，今年9月20號(hào)會(huì)開幕，我們建兩個(gè)仿真廠，一個(gè)北京、一個(gè)蘇州達(dá)到中型工廠規(guī)模，2017年初首先把西門子工廠介入進(jìn)來。

西門子在全中國有70多個(gè)分公司，其中40個(gè)多自動(dòng)化工廠，陸陸續(xù)續(xù)接進(jìn)來，也會(huì)邀請(qǐng)核心用戶。我們監(jiān)控分成兩個(gè)層面，PC用傳統(tǒng)的監(jiān)控安全日志，大數(shù)據(jù)進(jìn)行分析。由于時(shí)間關(guān)系，今天講到這里，謝謝大家！