在互联世界里,因为ICS/SCADA(工业控制系统/监控和数据采集系统)系统与互联网物理隔离就对网络攻击免疫的老一套认知已经不再适用。虽然很多企业已经承认传统物理隔离正在消失,有些企业依然坚信这是一种切实可行的安全措施。
理论上,物理隔离听起来是种挺好的策略。但实际操作中,事情往往没那么简单。即使在企业已经采取所有能用的方法隔离他们的ICS网络,与外面的世界断绝联系,我们依然可以看到网络威胁跨越了边界侵入进来。同时,即便有可能完全物理隔离ICS网络,内部人士依然会造成威胁。
无论企业是否实现了物理隔离,ICS网络都存在风险。原因何在,且听业界人士细细道来:
1. 文件交换的需要
甚至在物理隔离的操作技术(OT)环境中,文件也必须与外界进行交换。此类例子有软件补丁和来自系统集成方、承包商等第三方的文件等。对手可以利用这一点,诱骗雇员安装虚假软件更新和补丁,或者传输带恶意软件的文件到工业网络中。
本月早些时候,勒索软件作者就四处散布了名为“Allenbradleyupdate.zip”的恶意文件,伪装成洛克韦尔自动化公司的合法更新文件。该勒索软件若成功安装,便会锁定受害计算机,直到机主支付赎金才能登录系统访问计算机上的内容。控制系统拥有者和操作者被诱骗安装上恶意软件,损害到ICS网络的威胁是十分现实的。
2. 受感染的个人设备
很多雇员会将个人设备接入ICS网络,无论仅仅是为充个电,还是通过USB传输些文件。受感染的个人设备会将恶意软件引入网络,给ICS网络带来网络威胁。
2011年的一份研究中,美国国土安全部(DHS)员工有意在联邦机构和承包商停车场掉落数据盘和U盘。研究报告显示,60%的掉落设备(很容易包含有恶意代码)都被插入到了公司或机构的计算机上。
更近一些的例子,任天堂发布了火爆游戏“口袋妖怪(Pokemon Go)”的限量版App。攻击者便利用人们对该App的渴求,在第三方App商店里上架了假冒的口袋妖怪App,一旦安装便会夺取受害设备的控制权。ICS雇员可没对虚假App下载免疫,随后再将他们感染了恶意软件的个人设备连接到ICS网络,就会让恶意软件得以扩散并感染更多的资产。
3. 漏洞和人为过失
与所有网络类似,ICS环境也对软/硬件漏洞、设计缺陷等敏感。由于在设计时就没将安全考虑进去,ICS网络甚至比IT网络承受的风险更大。厂商和安全研究人员就经常性曝出操作技术中的新漏洞。然而,大多数ICS网络的系统并没有定期更新。
某些情况下,网络架构或配置上的缺陷,也会创造出可被黑客利用的漏洞。例如,为集成者建立的临时远程访问连接,如果不小心忘了关闭,会造成严重的安全风险。另外,需要远程接入ICS网络,而又没有安全接入机制可用的员工,有可能会诉诸“创造性的备选方案”来完成自己的工作。这些计划外的连接,都可能成为渗漏点,将工业网络暴露在外。
4. 内部人士威胁
由于ICS网络内缺乏身份验证或授权,可信内部人士(雇员、集成者、承包商)便对关键资产享有不受限制的访问权限。无论他们是无意犯错,还是心怀不满而故意破坏,造成的结果都与外部敌人带来的相当(甚至还更多更严重)。即使网络被完全物理隔离,对内部人士威胁都是不免疫的。对这种攻击方法的唯一防护措施,就是通过不间断的监控和更好的访问控制。
5. 联网技术和工业物联网(IIoT)
随着我们迈入现代制造业的下一个阶段,联网技术被越来越多地部署到了制造产业中。联网技术有时也被称作工业物联网,为现代生活提供了很多便利。智能传感器被用于自动改善性能、安全性、可靠性和节能度。这些技术让操作经理可以随时检查机器、流程、库存等等的状态,无论这些东西位于哪里。
这一点,对异地、转包制造工厂或供应商工厂而言特别有用。为利用这些联网技术,设施操作员必须开放他们的网络,也就消除了物理隔离,将网络暴露在了外部威胁眼前。
无论ICS网络物理隔离与否,它们都对安全威胁不设防。ICS安全最大的拦路虎,就是对控制层上所发生的活动——也就是对工控设备的访问和改变,缺乏可见性和控制权。要想在破坏造成之前检测并响应业务系统中的安全事件,专门为ICS环境而不是IT环境打造的新型监视工具是必须的。
防晒霜能隔离电脑的辐射吗?
防晒霜只有防晒功能,防晒分为物理防晒和化学防晒,物理防晒是运用反光科技,在皮肤表面形成一层保护膜,阻挡紫外线等对皮肤侵害,所以物理防晒有时候会显得油、不透气。 而化学防晒主要运用紫外线吸收剂,所以比较清爽。 而隔离霜除了具有防晒功能,成分中还会添加抗氧化成分、美白成分或维他命成分。 相比一般的防晒霜,隔离霜成分更精纯,更容易吸收,而且可以防彩妆和脏空气对皮肤的侵害。 有的隔离霜有特殊的润色功能,隔离霜最大的功劳,是抵挡紫外线给皮肤带来的伤害,但同时还能隔离脏空气、脏东西,以减少自由基对皮肤的伤害。 如果你是个办公室族,只是上下班的路上与阳光相遇,就只擦些隔离霜,而没有必要再涂上一层防晒霜;如果是外出游玩或到海边享用“阳光大餐”,那是一定要使用高倍数的防晒霜,对皮肤才安全。 另外,隔离霜,而且一天下来会产生较多的油污,所以洗脸时最好使用双重洗脸法——即先卸妆再洗脸,不管你有没有化妆。 敏感性皮肤慎用隔离 隔离霜基本上分为物理性及化学性两种。 物理性隔离霜是利用镜面反射的原理(多半含有二氧化钛的成分),让阳光照射到肌肤之后,就如同镜子一样反射出去,不会直接侵害到肌肤表面,因此物理性隔离霜的SPF越高,质地越油腻,一般也不必担心过敏问题。 化学性隔离霜质地清爽,但不太适合敏感性肌肤。 相对的,化学性隔离霜就是添加了能够吸收紫外线的倾泻成分,让它转为不会伤害肌肤的清爽质地,容易过敏的肌肤也要慎重使
虚拟机不能上网怎么解决啊
(网桥模式)在这种模式下,VMware虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。 在桥接模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。 同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。 使用桥接模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。 想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。 适用条件:如果你想利用VMWare在局域网内新建一个虚拟服务器,为局域网用户提供网络服务,就应该选择桥接模式。 (网络地址转换模式)使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。 也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。 NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。 采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网即可。 适用条件:如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。 (推荐大家适用此种网络连接模式)-only(主机模式)在某些特殊的网络调试环境中,要求将真实环境和虚拟环境隔离开,这时你就可采用Host-only模式。 在Host-only模式中,所有的虚拟系统是可以相互通信的,但虚拟系统和真实的网络是被隔离开的。 提示:在Host-only模式下,虚拟系统和宿主机器系统是可以相互通信的,相当于这两台机器通过双绞线互连。 在Host-only模式下,虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等),都是由VMnet1(Host-only)虚拟网络的DHCP服务器来动态分配的。 适用条件:如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统,进行某些特殊的网络调试工作,可以选择Host-only模式。 二、虚拟机自带系统服务之说明· VMware Authorization Service 验证服务· VMware Agent Service 代理服务· VMware DHCP Service· VMware NAT Service· VMware Virtual Mount Manager Extended三、虚拟机网络通信常见问题排除及解决方法1.虚拟机系统安装好后不出现网卡。 2.无论虚拟机系统选择哪种网络类型都无法正常和物理机系统正常通信。 3.虚拟机系统能够和物理机间正常通信,但虚拟机却无法访问互联网。
虚拟磁盘是咋回事? 既然是虚拟的,那有用吗?
网络虚拟磁盘具有以下特色:1、操作简单,服务器端安装好服务端程序,建立虚拟磁盘文件,设置好管理参数即可。 客户机器只需运行客户端程序,稍加设置即可使用,非常快捷方便。 2、虚拟磁盘访问速度快,特别是服务端具备高速阵列和千兆网络的环境下,调用虚拟盘程序的速度甚至有可能超过本机物理磁盘,即使是运行大型的游戏,也不成问题。 3、虚拟磁盘具有快照功能,只需要在建立好虚拟磁盘镜像文件后创建快照,日常维护中就可使用镜像快照功能快速的恢复以前的磁盘镜像。 4、虚拟磁盘采用的通讯协议完全兼容Windows和Linux系统,稳定可靠,使用更加放心。 客户端通过局域网连接服务器上的虚拟磁盘,在本地虚拟出1块或者多块逻辑硬盘,以达到与服务器硬盘无缝共享的效果。 在网吧中应用,只要在服务器上的虚拟磁盘里添加和安装游戏软件,客户端的虚拟盘里就有了相应的游戏软件,不需要到一台一台机器进行安装。 网络虚拟磁盘提供了读写磁盘保护,大大提高数据的安全性,不用担心客户端病毒、用户删除和格式化等等破坏性操作影响。 与一般的网络共享式服务器相比,网络虚拟磁盘对内存和CPU的占用率都非常低,一台虚拟磁盘服务器甚至可以负载200~300台客户机。 安装简单,操作容易,管理方便,大大降低网吧的日常管理维护强度,因此网络虚拟磁盘系统是网吧首选的管理软件,能够大大提高网吧的经营效益。 以下介绍最新的两款网络虚拟磁盘系统:网众虚拟磁盘与锐起虚拟磁盘。 == 网众虚拟磁盘系统 ==网众虚拟网络磁盘是为网吧游戏服务器度身定制的一个产品。 网众科技把应用在大型存储系统的iSCSI协议移植到网吧应用中,同时采用独有的磁盘快照技术,成功解决了现有网吧使用中磁盘容量不够,游戏更新麻烦,系统容易受病毒黑客攻击的弊端。 磁盘容量无限扩展不管服务端有多大容量的磁盘,都会自动作为一个虚拟的SCSI硬盘挂载到客户端,每个客户端都拥有海量的硬盘。 支持服务端挂接无限多个硬盘。 专有的iSCSI协议使得客户端挂载的是一个高速虚拟的SCSI硬盘。 游戏更新一次搞定同时支持从服务端和客户端直接更新游戏。 提供合并更新和直接更新等多种更新模式。 提供系统文件和注册表自动同步和更新功能。 不受病毒侵袭,并具备自动恢复功能,不怕客户删除文件操作服务端不需要任何共享,包括默认共享,从根本上杜绝了病毒的传播。 采用磁盘快照技术,就是客户端存在病毒文件,也是以普通的数据文件存在,无法传播。 提供客户端启动时候自恢复功能,自动清除上次工作文件。 ☆ 产品特点 强大的协议支持基于iSCSI协议,服务器不需要共享任何目录,彻底实现服务器和客户端隔离。 天生防病毒客户端通过共享方式无法访问服务端,杜绝了大部分病毒侵入的可能性;另外LanDsk是基于映象和磁盘级别的操作,不是基于文件基本操作,就算是客户端有病毒文件存在,在服务端看来只是存放在映象文件里面的部分数据而已。 维护方便通过对一台服务器的管理就可以管理整个网络。 安装、升级软件只需在一台工作站上进行,其它所有工作站就都可使用最新软件。 对整个系统的维护事实上只是对服务器的维护,不需对每台工作站一一处理,使繁重的机器维护量降到最低,大大节省了人力和时间。 安全性能好基于iSCSI协议,服务器不需要共享任何目录,彻底实现服务器和客户端隔离。 磁盘快照技术磁盘快照技术把共享的硬盘供每个客户端独享占有,这样每个客户端都可以任意读写硬盘,添加删除文件,甚至格式化系统硬盘,下次重新启动时候自动恢复到原来的状态。 网络利用率高在网众专有协议的支持下和Linux系统的优良的网络性能及其缓冲性能,可以最大限度发挥现有网络的潜力。 应用范围广虚拟网络磁盘实现的是一个真正的物理硬盘,从3D网络游戏到大型的数据库应用,所有基于硬盘存储的应用系统都可以非常流畅运行虚拟网络磁盘上。 == 锐起虚拟磁盘系统 ==上海锐起信息技术有限公司全新推出的一套专用于网吧的软件,她采用锐起公司的专利技术虚拟文件系统,巧妙的解决了目前网吧存在的最令人头疼的关键问题:1.快速更新在线游戏无需逐台更新在线游戏,只需在一台设置为超级用户的电脑上进行一次,即可完成全部的更新。 2.安装新游戏方便只需在一台设置为超级用户的电脑上把游戏安装在服务器上,全部电脑都可使用新游戏。 配合系统升级功能,游戏更新轻而易举。 3.系统维护方便由于游戏全部安装在服务器,客户机的维护量很小,几乎所有的维护工作都可在一台电脑上完成。 4.增加游戏数量游戏全部安装在服务器上,只需要扩大服务器的硬盘,就可以安装更多数量的游戏。 5.硬盘保值由于本地硬盘只需要安装最基本的操作系统,无需很大的硬盘容量,不再需要不断的升级硬盘以容纳更多的游戏。 6.提高安全性采用最新的专利技术虚拟文件系统,对游戏和系统实现最完善的保护措施,杜绝有意无意的破坏。 ☆ 核心技术:锐起虚拟磁盘使用了独自开发的专利技术——锐起iDriver。 锐起iDriver技术是一项基于网络存储的磁盘仿真新技术,通过它可以利用单台计算机的磁盘空间为网络上的其他计算机仿真出功能上与本地磁盘完全相同的独立的虚拟磁盘设备,从而可以将网络中所有的磁盘存储资源集中到一台网络硬盘服务器iDriver-Sever上;而iDriver-Server则将利用其富足的磁盘空间,为每台客户机提供安全、高速、稳定、独立的虚拟磁盘服务,使客户机不但具有普通PC的灵活性,还具有易于管理,安全稳定的优点。 锐起iDriver技术一经面世,便引起了网吧行业内的巨大震动,网吧经营者们纷至沓来,希望尽快能拥有这样一个能降低系统硬件成本,减少系统管理维护资本,提高系统安全性与便利性的“得力助手”。 锐起iDriver技术通过磁盘管理、网络通信、数据监控与保护这三大模块,完善而有效地实现了对虚拟磁盘的管理、提升与保护,大大降低了网吧系统的总成本,这无疑给那些正为网吧长期发展中的诸多问题所困扰的经营者们带来了福音。 在应用了iDriver技术的网吧里,控制与减少总体拥有成本的目标可以立刻变成现实了,iDriver技术通过网络存储模式,大大减少了对物力与人力的投入。 网吧经营者从此无需频繁地添置与更新大容量存储设备和其他相关的附加设备了,系统的管理维护也只需少量具备单机维护经验人员即可,“节流”难题即刻解决了!iDriver技术专业的磁盘管理模块加强了系统对磁盘的管理能力,大大降低了对服务器的压力,可以让原本性能平平的服务器发挥出超凡的表现。 iDriver技术安装简便,操作灵活,整个系统的安装实施只需一次,系统中的所有客户端就都可以使用到,且安装异常简单,与单机安装操作系统、应用软件步骤相同。 iDriver技术为每一个网络用户提供了保险而私密的数据存放方式,能够有效防止病毒感染、黑客程序入侵、系统意外故障以及人为操作造成的各种数据破坏,iDriver的智能系统恢复功能使客户端重启后即可恢复正常,不用担心对系统造成损害。 iDriver技术获得的虚拟磁盘与真正的本地硬盘在功能上完全相同,因此客户端兼有普通PC全部的功能和特性,虚拟磁盘能够提供对应用软件和硬件设备的全面兼容;它同时支持各种文件系统,和多种操作系统,包括DOS、Win9x、WinNT/2000/XP、Linux等。 锐起iDriver技术将更迅速、更宽阔、更便捷,也更人性化的网络生存方式展现在我们面前,它一端连接着网吧,另一端则是无数的信息、无尽的资源与无穷的财富。
发表评论