了解安全事件的組報(bào)警的哪些方面

時(shí)間：2021-07-27作者：上海騰希電氣技術(shù)有限公司瀏覽：67

了解安全事件的組報(bào)警的哪些方面



診斷緩沖區(qū)中的安全事件

CPU 將在診斷緩沖區(qū)中存儲(chǔ)有關(guān)重要操作和事件的信息。

發(fā)生以下安全事件（事件類型）時(shí)，S7-1500 的診斷緩沖區(qū)中將輸入一條記錄：

使用正確或錯(cuò)誤的密碼轉(zhuǎn)至在線狀態(tài)。

檢測(cè)被操控的通信數(shù)據(jù)。

檢測(cè)存儲(chǔ)卡上被操控的數(shù)據(jù)。

檢測(cè)被操控的固件較新文件。

更改后的保護(hù)等級(jí)（訪問保護(hù)）下載到 CPU。

限制或啟用密碼合法性（通過指令或 CPU 顯示器）。

由于**出允許的并行訪問嘗試次數(shù)，在線訪問被拒絕。

現(xiàn)有在線連接處于禁用狀態(tài)的**時(shí)。

使用正確或錯(cuò)誤的密碼登錄到 Web 服務(wù)器。

創(chuàng)建 CPU 的備份。

恢復(fù) CPU 組態(tài)。

在啟動(dòng)過程中：

- SIMATIC 存儲(chǔ)卡上的項(xiàng)目發(fā)生變更（SIMATIC 存儲(chǔ)卡不變）

- 更換了 SIMATIC 存儲(chǔ)卡

安全事件的組報(bào)警

為防止診斷緩沖區(qū)被大量相同的安全事件“淹沒”，STEP 7 V13 SP 1 及以上版本中可設(shè)置相應(yīng)參數(shù)，將這些事件作為組警報(bào)保存到診斷緩沖區(qū)中。在每個(gè)間隔（監(jiān)視時(shí)間）內(nèi)， CPU 僅為每種事件類型生成一個(gè)組警報(bào)。

示例： Brute-Force 攻擊

利用 Brute-Force 攻擊，攻擊者通過系統(tǒng)地嘗試大量的可能密碼組合，獲取 CPU 的訪問權(quán)。因此，CPU 會(huì)在數(shù)秒內(nèi)收到大量的登錄請(qǐng)求，而診斷緩沖區(qū)內(nèi)涌入大量相同的單獨(dú)條目會(huì)導(dǎo)致丟失重要的診斷信息。組報(bào)警幫助在此處提供。

操作組報(bào)警的原則

CPU 在診斷緩沖區(qū)內(nèi)輸入一種事件類型的**個(gè)事件。然后它會(huì)忽略此類型的所有后續(xù)安全事件。

在監(jiān)視時(shí)間（間隔）結(jié)束時(shí)，CPU 生成組報(bào)警，在該組中輸入過去的時(shí)間間隔內(nèi)的事件類型和事件頻率。

如果這些安全事件在隨后的時(shí)間間隔內(nèi)也有出現(xiàn)，CPU 將僅為每個(gè)間隔生成一個(gè)組報(bào)警。

攻擊會(huì)在診斷緩沖區(qū)中離開以下模式：**個(gè)單獨(dú)的報(bào)警后跟一系列組報(bào)警。此系列可以包含兩個(gè)、三個(gè)或更多的組報(bào)警，具體取決于選定的監(jiān)視時(shí)間和攻擊持續(xù)時(shí)間。

由于診斷緩沖區(qū)中的報(bào)警具有時(shí)間戳，因此可以確定攻擊持續(xù)時(shí)間。




①	例如，一種類型的安全事件嘗試使用無效密碼登錄。
②	間隔（監(jiān)視時(shí)間）：在特定類型的安全事件**發(fā)生（或重復(fù)發(fā)生）時(shí)，監(jiān)視時(shí)間開始（或重新開始）計(jì)時(shí)。
③	單個(gè)報(bào)警：一種類型的**個(gè)安全事件立即輸入到診斷緩沖區(qū)。從該類型的*四個(gè)安全事件開始，CPU 僅創(chuàng)建組報(bào)警。 如果該類型的安全事件在至少暫停一個(gè)間隔后發(fā)生，CPU 將在診斷緩沖區(qū)中輸入單個(gè)報(bào)警并對(duì)監(jiān)視時(shí)間重新計(jì)時(shí)。
④	組報(bào)警：在三個(gè)安全事件后，CPU 僅生成一個(gè)組報(bào)警作為此間隔內(nèi)所有其他安全事件的摘要。如果這些安全事件在隨后的時(shí)間間隔內(nèi)也有出現(xiàn)，CPU 將僅為每個(gè)間隔生成一個(gè)組報(bào)警。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 冗余模式 HRP

  HRPHRP - 高速冗余協(xié)議HRP 是適用于環(huán)型拓?fù)渚W(wǎng)絡(luò)的一種冗余方法的名稱。交換機(jī)通過環(huán)網(wǎng)端口互連。其中一臺(tái)交換機(jī)組態(tài)為冗余管理器 (RM, Redundancy Manager)。其它交換機(jī)為冗余客戶端。冗余管理器通過測(cè)試幀檢查環(huán)網(wǎng)以確保其沒有中斷。冗余管理器通過環(huán)網(wǎng)端口發(fā)送測(cè)試幀并檢查其它環(huán)網(wǎng)端口是否接收到這些測(cè)試幀。冗余客戶端轉(zhuǎn)發(fā)測(cè)試幀。如果由于網(wǎng)絡(luò)中斷導(dǎo)致 RM 發(fā)送的測(cè)試幀無法到達(dá)其

• 處理許可證和許可密鑰

  處理許可證和許可密鑰簡介每種情況需要一個(gè)有效的 License Key，以使用 STEP 7 Basic、STEP 7 Professional、WinCC Engineering System 以及 WinCC Engineering System 和 WinCC Runtime 的選件。注意復(fù)制操作會(huì)導(dǎo)致許可密鑰損壞License?Key 不能復(fù)制。防拷貝保護(hù)將阻止復(fù)制 Licens

• 環(huán)網(wǎng)冗余 備用

  備用冗余環(huán)網(wǎng)鏈接備用冗余支持 HRP 環(huán)網(wǎng)的冗余鏈路。要建立備用連接，需將環(huán)網(wǎng)中兩個(gè)相鄰設(shè)備組態(tài)為備用主站或備用從站。備用主站和備用從站必須通過并行電纜連接至另一個(gè)環(huán)網(wǎng)中的兩個(gè)設(shè)備。在無故障運(yùn)行中，通過主站在兩個(gè)環(huán)網(wǎng)之間交換消息。如果主站線路受到干擾，從站會(huì)接管兩個(gè)環(huán)網(wǎng)之間的消息轉(zhuǎn)發(fā)。為兩個(gè)備用伙伴啟用備用冗余，并選擇用于將設(shè)備與想要鏈接到的環(huán)網(wǎng)相連接的端口。對(duì)于“備用連接名稱”(Standby

• CPU ST40

  技術(shù)數(shù)據(jù)SIMATIC S7-200 SMART，CPU ST40， 上，DC/DC/DC， 機(jī)載 I/O： 24 個(gè) 24V DC 數(shù)字輸入；16DO 24V DC； 電源：DC 20.4 - 28.8V DC， 程序存儲(chǔ)器/數(shù)據(jù)存儲(chǔ)器 40 KB 網(wǎng)絡(luò)服務(wù)器支持一般信息產(chǎn)品類型標(biāo)志CPU ST40 DC/DC/DC附帶程序包的● 工程系統(tǒng)STEP 7 Micro/WIN SMART安裝方式/安