登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
脆弱性泄露具有多种性质,在信息安全领域中历史悠久。虽然安全专业人员有时支持以缓和形式管理脆弱性泄露,SCADA系统更多相关结论的出现,使得许多安全专业人员重新对他们的观点进行思考。利用熟练的技术风险管理方法以及对风险模型的更为细致的观察,有助于在这个方面上更加清晰的思考。
理解泄密对IT风险所产生的影响的关键是承认威胁和脆弱性之间的相互作用。容易陷入仅考虑受影响脆弱性程度的陷阱。当研究人员公开脆弱性时,通常是为了更加安全的软件。实际上,脆弱性级别不受初期揭露的影响;无论我们是否知道脆弱性级别,当脆弱性进入环境时,级别发生变化(由于攻击者)。揭露的目的是识别脆弱性,并消弱脆弱性–通常通过路径–因此降低了脆弱性级别。
但是一个系统的修补是一个非常危险且耗时的过程。如同所有系统变化一样,进入生产前,必须对补丁进行彻底评估和测试。即便如此,补丁仍可能失败。因此必须对补丁过程相关成本和避免损害所获得利益进行对比。以前我们知道极少脆弱性曾经被实际解决,利用SCADA系统,我们现在可以处理高度敏感的系统,一般长时间不发生变化,实际应用补丁的可能性相当低。更重要的是,因为在种情况中无可可用的补丁,必须采用其它机制。最终,脆弱性程度不可能被影响数月。
威胁受揭露细节影响严重,似乎不直观。因为聪明人自有其成本利益的分析,任何使其成本降低的举措将增加其利益。提供的信息越多,例如武器化的攻击代码,成本越低。利用SCADA系统,攻击者知识库仍然相对较小,因此whitehats专家帮助大大帮助了该坏人。
许多研究人员(但不是全部)寻找脆弱点,试图降低风险。然而,他们忽略了威胁部分。这意味着,为了降低风险,脆弱性级别降低必须大于威胁程度的增加。虽然大多数脆弱性从来未被利用,过去的众多例子表明在揭露后发生的事故更多。既然已经掌握了SCADA的情况,不可能通过降低脆弱性级别以弥补威胁的增加,因此发生更多的事故。
研究人员提到其成功时,通常突出他们认为变得更安全的软件应用–通常这是微软喜欢的方式。这恰恰是他们不了解脆弱点以及理解威胁重要的很好的例子。虽然这些应用程序实际变得更加安全,实际上与事故降低无关紧要。这突出了两件事-第一,在所包含环境中起作用的事情比一定在整体中起作用-这也是为何QA部门仍然有意义的原因。第二,这种整体运行是不起作用的。
第二件事简直是不起作用的。在面对这些“更安全”方案时,风险如何改变?有没有人说明风险实在正在下降?问题是在世界代码库中(或者当今大型数据中心)太多软件试图利用现代技术查找每一个缺陷。不仅如此,差距正在扩大–这就像一个较差的数学数字问题-软件开发正在前面以50mph速度前进,脆弱性研究以5mph速度在相同方向移动,何时能够追上?
由于我们不可能找到所有脆弱性,通常也不可能找到“正确的”脆弱性,因此我们需要利用更好的且更有效的方式保护我们自己。虽然对脆弱性的“正面攻击”不起作用,但是还有其它方式处理这些问题。首先,我们可以在架构中涉及更好的控制方法。类似微软蓝帽奖的举措更有可能引起安全突破。第二,我们可以更加努力地进行威胁监测。虽然有另一个问题,但是已经显现成功,而且正在转好。这只是开始。
SCADA系统是个严肃的行业,其中可能威胁人的生命。Stuxnet是缺陷寻找不起作用的很好的例子-我们丢失了那些价值-以及替换技术的承诺-我们才发现违反规律并返回。为突出某问题的严重性,使其恶化毫无意义。让安全研究人员-在我们领域内最优秀的人才-开始以不同方式思考该问题。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
1.风电SCADA系统概述风力发电作为一种清洁、可持续的能源形式,在世界各地得到了广泛的应用,一般一个风电场由几十台到几百台风电机组及其配套系统构成,要方便地管理这些风电机组,就需要使用到SCADA系统。在风电场的运行中,SCADA(SupervisoryControlAndDataAcquisition,监控与数据采集)系统扮演
作为我国可再生能源战略的核心,海上风电在“十四五”规划期内即将迎来新一轮的成长高峰。这一领域以其丰富的资源、较高的发电利用小时数、无需占用土地资源以及便于大规模开发的优越性,成为全球风电产业发展的最前沿。截止到2022年底,全球的海上风电累计装机容量达到了57.6吉瓦,其中中国的累计装机
SCADA(SupervisoryControlAndDataAcquisition)系统,即数据采集与监视控制系统。SCADA工业组态软件是工业控制的核心系统之一,涉及各行各业,其主要功能是对生产现场的运行设备进行监控并就危险情况进行报警,具体涵盖数据采集、设备远程操作、生产工艺过程的实时监控及报警,数据分析统计等功能,被广
“随着工业自动化的发展,如何确保企业跟上先进技术的步伐?考虑像SCADA这样的工业自动化技术如何加速IIoT应用的实施。”工业物联网(IIoT)正在取代监控和数据采集(SCADA)吗?这是现在经常看到的消息,但它确实已经成为议程的一部分了吗?来源:控制工程中文版作者:PeteDiffleySCADA系统将传感器、
SCADA-SupervisoryControlandDataAcquisitionSCADA是一种过程控制系统体系结构,它使用计算机,网络数据通信和图形化人机界面(HMI)来实现高级过程监督管理和控制。SCADA系统与其他设备通信,例如可编程逻辑控制器(PLC)和PID控制器,从而与工业过程涉及到的工厂和设备进行交互。SCADA系统占据控制系统工
为聚焦解决工业基础产品和工艺应用难题,工业和信息化部继续组织开展工业基础领域重点产品、工艺“一条龙”示范应用推广工作。经企事业单位自愿申报,各地工业和信息化主管部门、中央企业推荐,第三方推进机构组织专家评审,现将2019年度工业强基重点产品、工艺“一条龙”应用计划示范企业和示范项目名
做风电场的后评估工作是基于SCADA里面的数据,来评估发电能力和功率曲线。SCADA在使用时有不同的选择,在不同的时间步长条件下,最终计算出来的功率曲线位置和值肯定也有所差别,我们正在研究如何更好地选择使用SCADA数据的时间步长。10月18日,美迪欧动力气象技术有限公司技术负责人蒋紫虓出席2018年
[$NewPage$][$NewPage$][$NewPage$][$NewPage$][$NewPage$][$NewPage$][$NewPage$]
国网吉林省电力有限公司2018年第二批物资单一来源谈判采购结果公告(采购编号:JLZB-18DYLY0012-18DYLY013)国网吉林省电力有限公司2018年第二批物资单一来源谈判采购结果公告如下:请以上成交人于5月29日-5月31日到国网吉林省电力有限公司供应商服务大厅(地址:长春市平泉路1427号,国网吉林省电力有限
世界供水系统面临着越来越严重的社会和环境压力,供水企业希望通过新技术来满足不断增长的用水需求和越发严苛的环保标准,而智慧水务中DMA(独立计量分区)、SMS(智能计量系统)和SCADA系统(数据采集与监视控制系统)在帮助用户创造可持续用水上已做出了不小的贡献。智慧水务是基于信息和网络平台技术的一
10月17日,北京国际风能大会暨展览会(CWP2017)在中国国际展览中心(新馆)隆重召开。展会期间,上海电气举办了风电技术论坛,上海电气风电集团技术部SCADA高级主管吴祎主题分享《风云集控-不仅是集控》,吴祎表示,集控是一个共享运维中心,风场、新能源分散在各地,而且比较偏僻。做集控系统,就是
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
近日,广东燃料电池汽车示范应用城市群综合监管平台(简称“广东燃料电池汽车监管平台”)获得了国家公安部核准颁发的“信息系统安全等级保护二级备案证明”(简称“等保二级”)。据悉,国家等级保护认证是中国最权威的信息产品安全等级资格认证,认证由国家信息安全监管部门进行监督、检查,要求非常严
6月26日,国家能源局在京召开电力行业网络与信息安全联席会议全体会议,会议总结“十四五”以来电力网络安全工作,分析研判电力网络安全面临的形势和风险,部署“十四五”后半期和2023年电力网络安全重点工作。国家能源局党组成员、副局长余兵出席会议并讲话。会上,中央网信办、国家发展改革委、公安
国家能源局综合司关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知国能综通安全〔2023〕69号电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。召集人:余兵国家能源局党组成员、副局
北极星电力网获悉,国家能源局综合司发布关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知,国能综通安全〔2023〕69号,详情如下:电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。
10月11日,中电联党委书记、常务副理事长杨昆在中电联本部会见三六零安全科技股份有限公司(以下简称“360集团”)创始人、董事长兼CEO周鸿祎一行。双方就当前国内外信息安全形势和电力企业数字安全工作开展深入交流和探讨。杨昆在会谈中指出,多年来,电力行业高度重视信息化建设,持续开展信息化战略
微软日前宣布与瑞典能源公司斯德哥尔摩Exergi签署了一项协议,将永久去除330万吨二氧化碳。斯德哥尔摩Exergi公司在一份声明中表示,该公司与微软的合同是迄今为止世界上最大的碳去除协议。斯德哥尔摩Exergi表示,计划于2028年开始向微软交付碳去除证书,并将持续十年。这家为斯德哥尔摩提供电力的瑞典
·微软公司宣布与Brookfield资产管理公司签署协议,投资超过100亿美元开发可再生能源电力,为数据中心供电。·两家公司称该交易是同类可再生能源电力交易中规模最大的一笔。·随着人工智能产业的发展、美国推动本土制造业的扩张和电动汽车产业的扩张,美国面临不断增长的电力需求。5月1日,微软公司与B
日前,科技巨头微软与BrookfieldRenewablePartners签署10.5GW的可再生能源协议。据悉,项目将于2026年建设。微软与Brookfield公司的交易将是此类企业最大的电力购买协议,该协议将主要关注太阳能和风能,也将包括“新的或无碳能源发电技术”。微软一直积极参与太阳能电力的采购,在德克萨斯州拥有容量
北极星储能网获悉,近日,微软(Microsoft)与布鲁克菲尔德资产管理公司(BrookfieldAssetManagement)签署了可再生能源协议,将在世界各地开发10.5GW可再生能源电力,以推动其人工智能数据中心的发展。据悉,这些项目将于2026年至2030年期间投入使用,其投资成本将超过115亿美元,这是有史以来最大的
科技向善,利成于益。2024年4月22日,由微软举办的第五届AIforEarth世界地球日活动圆满落幕,一场聚焦于AI与可再生能源融合发展的分享交流引人瞩目。固德威可持续发展研究院院长张可男博士受邀出席活动,以“AI驱动的供应链,可再生能源与数字化双转型”为主题进行分享交流。AI时代,人工智能正在改变
北极星太阳能光伏网获悉,近日,美国科技巨头微软公司与美国可再生能源开发商LeewardRenewableEnergy公司签订了两份200MW购电协议,微软公司将从Leeward公司购买合计400MW的光伏电量,该光伏电量将由Leeward可再生能源公司旗下位于德克萨斯州弗里奥县的莫罗湖太阳能公司和位于德克萨斯州布拉佐里亚县的
2月2日,据优美科官微消息,优美科与微软正式签订协议,利用人工智能(AI)作为促进和加速其电动汽车电池材料技术研究的手段。电池材料人工智能平台将利用微软的AzureOpenAI服务,并通过大量未发布的特定科学人工智能模型进行扩展。该平台将在优美科专有环境中运行,并完全保障知识产权。
据韩联社1月9日报道,韩华SolutionQCELL当地时间8日与微软签订了12GW规模的太阳能板供应合同,这是美国太阳能模块、EPC(设计、采购、施工)伙伴关系中规模最大的,也是去年1月双方签订战略伙伴关系的后续合同。韩华QCELL决定通过该合同从2025年到2032年,每年至少向微软提供1.5GW的太阳能模块和EPC服务
除了投资AI领域,大型科技公司们又开始在减排领域下单了。一般来说,企业可以购买碳信用来抵消自身产生的二氧化碳,然而,碳信用正被国际各界质疑中。因此,这些公司更倾向于通过碳捕捉及封存直接产生碳移除,这在效果上似乎更加直观和可验证。例如,亚马逊最近宣布,将在10年内从世界上最大的直接空气
初创公司HeirloomCarbon宣布,微软已经同意资助一项碳捕集技术,该技术利用石灰石的天然特性将二氧化碳从大气中清除。具体来说,微软将在10年内从HeirloomCarbon购买价值约2亿美元的碳信用额度(相当于31.5万吨二氧化碳),用于资助HeirloomCarbon在路易斯安那州和美国其他地方的碳捕集业务。HeirloomC
初创公司HeirloomCarbon宣布,微软已经同意资助一项碳捕集技术,该技术利用石灰石的天然特性将二氧化碳从大气中清除。具体来说,微软将在10年内从HeirloomCarbon购买价值约2亿美元的碳信用额度(相当于31.5万吨二氧化碳),用于资助HeirloomCarbon在路易斯安那州和美国其他地方的碳捕集业务。HeirloomC
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!