• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于工控協(xié)議防火墻的脆弱性分析

    2020-12-14 10:37:26張鐵忠
    錦繡·上旬刊 2020年8期
    關(guān)鍵詞:網(wǎng)絡(luò)協(xié)議

    摘要:本文以工控系統(tǒng)與IT系統(tǒng)比較為基礎(chǔ),從協(xié)議的角度分析了工控防火墻脆弱性產(chǎn)生的原因,并結(jié)合其在網(wǎng)絡(luò)背景下的具體表現(xiàn)形式,探討了脆弱性規(guī)避的方向,旨在加速工控專用防火墻進(jìn)步,提升網(wǎng)絡(luò)環(huán)境中工控系統(tǒng)的安全性。

    關(guān)鍵詞:工控系統(tǒng);網(wǎng)絡(luò)協(xié)議:防火墻脆弱性

    引言:現(xiàn)代工作背景下,工控系統(tǒng)已經(jīng)不能像傳統(tǒng)背景中以獨(dú)立的局域網(wǎng)絡(luò)運(yùn)行,而是需要參與公共網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。但由于工業(yè)生產(chǎn)的個性需求與工控系統(tǒng)的設(shè)計原理,工控系統(tǒng)信息安全性與運(yùn)行穩(wěn)定性是得不到保障的,專用防火墻功能存在較大的提升空間。

    一、工控系統(tǒng)與IT系統(tǒng)的區(qū)別

    現(xiàn)代背景下,IT系統(tǒng)防火墻設(shè)計已經(jīng)較為完善,網(wǎng)絡(luò)上存在的大多黑客、木馬等行為均無法繞過防火墻對IT系統(tǒng)進(jìn)行攻擊[1]。但工控系統(tǒng)暴露在網(wǎng)絡(luò)上之后,由于其自身功能與設(shè)計的特殊性,防火墻無法很好的保障自身信息安全,從而產(chǎn)生一定的風(fēng)險。因此,分析工控系統(tǒng)與IT系統(tǒng)的區(qū)別對于工控防火墻脆弱所在的明確與防火墻設(shè)計優(yōu)化有重大價值。

    (一)高性能需求

    相較于IT系統(tǒng)需求,工控系統(tǒng)對于性能要求更加突出,以生產(chǎn)管理功能為例,工控系統(tǒng)常無法忍受延時的存在,但I(xiàn)T系統(tǒng)允許延時存在。因此,工控系統(tǒng)網(wǎng)絡(luò)通信協(xié)議常會選擇直接應(yīng)用,不會進(jìn)行完善設(shè)計。也就是說工控系統(tǒng)中大多不存在加密或者身份認(rèn)證流程,以確保網(wǎng)絡(luò)通信實(shí)時響應(yīng)。而該種系統(tǒng)設(shè)計模式對于防火墻來說是災(zāi)難性的,IT系統(tǒng)中許多被判定為危害或者低危害的數(shù)據(jù)類型,在工控系統(tǒng)中具備成為生產(chǎn)影響因素的可能。

    (二)低流量設(shè)計模式

    隨智能化技術(shù)在工業(yè)生產(chǎn)中應(yīng)用不斷加深,工控系統(tǒng)中流量承載能力設(shè)計顯著提升,但與IT系統(tǒng)中的海量信息設(shè)計依舊無法相比。這也就導(dǎo)致了工控系統(tǒng)防火墻對于網(wǎng)絡(luò)中存在海量數(shù)據(jù)協(xié)議攻擊無抵抗能力,最終產(chǎn)生系統(tǒng)運(yùn)行癱瘓的現(xiàn)象。

    (三)系統(tǒng)生命周期

    工控系統(tǒng)相較于IT系統(tǒng)具備更新周期較長的特征,一般為十五到二十年。當(dāng)工控系統(tǒng)暴露到網(wǎng)絡(luò)環(huán)境中時,由于自身部分性能的落后,對于許多新型網(wǎng)絡(luò)病毒缺乏必要的防范能力,存在較大的信息安全風(fēng)險。

    (四)設(shè)計方向不同

    IT系統(tǒng)安全設(shè)計以數(shù)據(jù)安全為核心,可以很好的與防火墻配合作業(yè),保障信息安全。但工控系統(tǒng)安全設(shè)計為容錯率提升與生產(chǎn)安全保障,即信息安全層面存在明顯缺失,最先進(jìn)的防火墻也無法實(shí)現(xiàn)全面防范,更何況先進(jìn)防火墻往往不具備工控系統(tǒng)的應(yīng)用可能性。

    二、工控防火墻脆弱性分析

    (一)脆弱性來源

    工控防火墻脆弱性產(chǎn)生的核心原因?yàn)楣た赝ㄐ艆f(xié)議中存在多種防護(hù)功能缺失,防火墻無法進(jìn)行全面的防護(hù)設(shè)計。具體內(nèi)容包含:第一,認(rèn)證機(jī)制的缺乏,只要數(shù)據(jù)格式與長度匹配,就能夠?qū)た叵到y(tǒng)發(fā)出指令。系統(tǒng)總體入侵難度較低,生產(chǎn)流程安全系數(shù)較低;第二,缺乏授權(quán)機(jī)制,工控系統(tǒng)內(nèi)各個渠道擁有近乎于完相同的權(quán)限,網(wǎng)絡(luò)攻擊行為極易從系統(tǒng)中讀取關(guān)鍵信息,甚至進(jìn)行修改;第三,缺乏加密機(jī)制,違法者可以通過向系統(tǒng)多次發(fā)送相似信息截取反饋的模式,實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)讀取,信息安全風(fēng)險較大;第四,協(xié)議數(shù)據(jù)行為,多次重復(fù)信息便會導(dǎo)致協(xié)議拒絕通信,從而對生產(chǎn)流程造成影響;第五,流量控制,上文已經(jīng)論述過,對典型泛洪攻擊抵抗能力過差,系統(tǒng)運(yùn)行極易受到干擾。

    (二)脆弱性表現(xiàn)

    第一,非法人員通過安全旁路對系統(tǒng)進(jìn)行訪問,并通過特定格式的信息進(jìn)行生產(chǎn)干擾或者數(shù)據(jù)竊取,造成企業(yè)經(jīng)濟(jì)利益損失。

    第二,非法人員通過系統(tǒng)數(shù)據(jù)分析獲取系統(tǒng)表示與鑒別信息,通過安全路徑對系統(tǒng)進(jìn)行訪問,讀取工控系統(tǒng)信息。

    第三,利用工控協(xié)議漏洞,仿真度極高的偽裝合法用戶,從而實(shí)現(xiàn)系統(tǒng)信息操控。

    第四,上述非法手段進(jìn)入內(nèi)網(wǎng)向外發(fā)送安全信息,使內(nèi)網(wǎng)資源內(nèi)公開化利用,對企業(yè)造成極大的財產(chǎn)損失。

    第五,通過信息流監(jiān)控手段,多角度獲取殘留信息,進(jìn)行內(nèi)部數(shù)據(jù)竊取。

    第六,通過內(nèi)部信息通道阻隔,刪除管理人員向防火墻發(fā)送的指令信息,實(shí)現(xiàn)部分防火墻功能的影響。

    第七,利用工控協(xié)議權(quán)限開放的特征,模擬管理員身份對系統(tǒng)安全設(shè)計進(jìn)行修改,進(jìn)而實(shí)現(xiàn)防火墻功能的削弱。

    第八,截取內(nèi)部網(wǎng)絡(luò)與外部設(shè)備之間的信息傳輸渠道進(jìn)行數(shù)據(jù)竊取。

    (三)脆弱性優(yōu)化思路

    工控系統(tǒng)脆弱性主要來源于其設(shè)計基礎(chǔ)協(xié)議,安全防范功能的缺失[2]。但由于生產(chǎn)應(yīng)用的限制,強(qiáng)行對識別功能、權(quán)限功能等進(jìn)行復(fù)雜化設(shè)計會影響工業(yè)生產(chǎn)的開展與智能化技術(shù)深入應(yīng)用,因此,工控防火墻功能優(yōu)化的主要方向有:

    第一,IT網(wǎng)絡(luò)流量的隔離,即通過訪問控制程序的優(yōu)化設(shè)計,在不影響工業(yè)生產(chǎn)的前提之下,盡可能多的控制IT網(wǎng)絡(luò)流量,從根源上杜絕不規(guī)范行為或者數(shù)據(jù)對工控系統(tǒng)與防火墻的損害。

    第二,協(xié)議流量訪問控制。主要指對IT訪問流量進(jìn)行限制,在防火墻上建立完善的數(shù)據(jù)判別算法,識別數(shù)據(jù)的重要性與規(guī)范性,拒絕部分非關(guān)鍵信息的訪問,并控制單位時間的網(wǎng)絡(luò)流量,避免多種網(wǎng)絡(luò)攻擊行為對系統(tǒng)造成影響。

    第三,智能算法的應(yīng)用。主要指在工控背景之下,特征數(shù)據(jù)復(fù)雜程度無法大幅提升時,通過智能算法的應(yīng)用建立異常行為檢測模型,即在不依賴特征數(shù)據(jù)的基礎(chǔ)之上,深度分析數(shù)據(jù)內(nèi)容,判別其對于系統(tǒng)是否會造成影響,確定數(shù)據(jù)攔截或者通過,實(shí)現(xiàn)工控背景之下的高效、精準(zhǔn)行為檢測。

    結(jié)論:工控系統(tǒng)由于其搭建協(xié)議使用的特殊性,防火墻中存在多種漏洞。技術(shù)人員應(yīng)當(dāng)明確工控防火墻系統(tǒng)的主要缺失,結(jié)合工業(yè)生產(chǎn)需求與現(xiàn)代技術(shù)背景,進(jìn)行科學(xué)防火墻功能優(yōu)化工作,確保網(wǎng)絡(luò)背景下工控系統(tǒng)的安全性。

    參考文獻(xiàn)

    [1]吳震生.基于工控協(xié)議防火墻的脆弱性研究[J].自動化與儀表,2019,34(08):105-108.

    [2]王世偉. 工業(yè)防火墻軟件框架設(shè)計及規(guī)則自學(xué)習(xí)方法研究[D].太原科技大學(xué),2018.

    作者簡介:張鐵忠(1968.10——)男,漢族,籍貫:山東德州,職稱:工程師,學(xué)歷:大專,研究方向:工業(yè)自動化。

    猜你喜歡
    網(wǎng)絡(luò)協(xié)議
    計算機(jī)網(wǎng)絡(luò)理論下的傳播研究結(jié)構(gòu)模型:Communication一詞的兩種翻譯
    一種藍(lán)牙多跳網(wǎng)絡(luò)協(xié)議的設(shè)計與研究
    電子制作(2018年17期)2018-09-28 01:56:52
    嵌入式協(xié)議棧的TCP/IP設(shè)計與實(shí)現(xiàn)
    魅力中國(2016年45期)2017-07-20 22:25:33
    寬帶數(shù)據(jù)鏈網(wǎng)絡(luò)協(xié)議的分析
    基于載波技術(shù)的多點(diǎn)溫度測量系統(tǒng)設(shè)計
    基于DPI技術(shù)的語音視頻流量監(jiān)控系統(tǒng)設(shè)計與實(shí)現(xiàn)
    關(guān)于天基傳輸網(wǎng)絡(luò)體系結(jié)構(gòu)的討論
    基于Packet Tracer的綜合實(shí)驗(yàn)平臺研究
    芻議局域網(wǎng)中網(wǎng)絡(luò)協(xié)議的添加與配置
    科技資訊(2015年10期)2015-06-29 18:17:23
    ZigBee無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)的低功耗分析
    华宁县| 自治县| 桃江县| 五峰| 八宿县| 伊川县| 汉阴县| 磐石市| 扶余县| 拉萨市| 四平市| 门源| 洞头县| 北安市| 双峰县| 全州县| 和平县| 钟祥市| 丰顺县| 防城港市| 勐海县| 大同市| 全椒县| 双牌县| 望江县| 蒙城县| 即墨市| 安西县| 商洛市| 河津市| 克什克腾旗| 重庆市| 延边| 同江市| 永靖县| 华坪县| 五华县| 苗栗市| 平顺县| 永春县| 华安县|