1200了解安全事件的組報(bào)警的哪些方面

時(shí)間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：106

了解安全事件的組報(bào)警的哪些方面



診斷緩沖區(qū)中的安全事件

CPU 將在診斷緩沖區(qū)中存儲(chǔ)有關(guān)重要操作和事件的信息。

發(fā)生以下安全事件（事件類(lèi)型）時(shí)，S7-1200 的診斷緩沖區(qū)中將輸入一條記錄：

使用正確或錯(cuò)誤的密碼轉(zhuǎn)至在線(xiàn)狀態(tài)。

檢測(cè)被操控的通信數(shù)據(jù)。

檢測(cè)存儲(chǔ)卡上被操控的數(shù)據(jù)。

檢測(cè)被操控的固件較新文件。

更改后的保護(hù)等級(jí)（訪問(wèn)保護(hù)）下載到 CPU。

限制或啟用密碼合法性（通過(guò)指令或 CPU 顯示器）。

由于**出允許的并行訪問(wèn)嘗試次數(shù)，在線(xiàn)訪問(wèn)被拒絕。

現(xiàn)有在線(xiàn)連接處于禁用狀態(tài)的**時(shí)。

使用正確或錯(cuò)誤的密碼登錄到 Web 服務(wù)器。

創(chuàng)建 CPU 的備份。

恢復(fù) CPU 組態(tài)。

在啟動(dòng)過(guò)程中：

- SIMATIC 存儲(chǔ)卡上的項(xiàng)目發(fā)生變更（SIMATIC 存儲(chǔ)卡不變）

- 更換了 SIMATIC 存儲(chǔ)卡

安全事件的組報(bào)警

為防止診斷緩沖區(qū)被大量相同的安全事件“淹沒(méi)”，STEP 7 V13 SP 1 及以上版本中可設(shè)置相應(yīng)參數(shù)，將這些事件作為組警報(bào)保存到診斷緩沖區(qū)中。在每個(gè)間隔（監(jiān)視時(shí)間）內(nèi)， CPU 僅為每種事件類(lèi)型生成一個(gè)組警報(bào)。

示例： Brute-Force 攻擊

利用 Brute-Force 攻擊，攻擊者通過(guò)系統(tǒng)地嘗試大量的可能密碼組合，獲取 CPU 的訪問(wèn)權(quán)。因此，CPU 會(huì)在數(shù)秒內(nèi)收到大量的登錄請(qǐng)求，而診斷緩沖區(qū)內(nèi)涌入大量相同的單獨(dú)條目會(huì)導(dǎo)致丟失重要的診斷信息。組報(bào)警幫助在此處提供。

操作組報(bào)警的原則

CPU 在診斷緩沖區(qū)內(nèi)輸入一種事件類(lèi)型的**個(gè)事件。然后它會(huì)忽略此類(lèi)型的所有后續(xù)安全事件。

在監(jiān)視時(shí)間（間隔）結(jié)束時(shí)，CPU 生成組報(bào)警，在該組中輸入過(guò)去的時(shí)間間隔內(nèi)的事件類(lèi)型和事件頻率。

如果這些安全事件在隨后的時(shí)間間隔內(nèi)也有出現(xiàn)，CPU 將僅為每個(gè)間隔生成一個(gè)組報(bào)警。

攻擊會(huì)在診斷緩沖區(qū)中離開(kāi)以下模式：**個(gè)單獨(dú)的報(bào)警后跟一系列組報(bào)警。此系列可以包含兩個(gè)、三個(gè)或更多的組報(bào)警，具體取決于選定的監(jiān)視時(shí)間和攻擊持續(xù)時(shí)間。

由于診斷緩沖區(qū)中的報(bào)警具有時(shí)間戳，因此可以確定攻擊持續(xù)時(shí)間。




①	例如，一種類(lèi)型的安全事件嘗試使用無(wú)效密碼登錄。
②	間隔（監(jiān)視時(shí)間）：在特定類(lèi)型的安全事件**發(fā)生（或重復(fù)發(fā)生）時(shí)，監(jiān)視時(shí)間開(kāi)始（或重新開(kāi)始）計(jì)時(shí)。
③	單個(gè)報(bào)警：一種類(lèi)型的**個(gè)安全事件立即輸入到診斷緩沖區(qū)。從該類(lèi)型的*四個(gè)安全事件開(kāi)始，CPU 僅創(chuàng)建組報(bào)警。 如果該類(lèi)型的安全事件在至少暫停一個(gè)間隔后發(fā)生，CPU 將在診斷緩沖區(qū)中輸入單個(gè)報(bào)警并對(duì)監(jiān)視時(shí)間重新計(jì)時(shí)。
④	組報(bào)警：在三個(gè)安全事件后，CPU 僅生成一個(gè)組報(bào)警作為此間隔內(nèi)所有其他安全事件的摘要。如果這些安全事件在隨后的時(shí)間間隔內(nèi)也有出現(xiàn)，CPU 將僅為每個(gè)間隔生成一個(gè)組報(bào)警。


上海騰希電氣技術(shù)有限公司專(zhuān)注于西門(mén)子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• 將 DP 從站添加到主站系統(tǒng)并進(jìn)行組態(tài)

  將 DP 從站添加到主站系統(tǒng)并進(jìn)行組態(tài)在網(wǎng)絡(luò)視圖中，可以直接從硬件目錄使用拖放功能或通過(guò)雙擊來(lái)添加各種 DP 從站。DP 從站的類(lèi)型為方便組態(tài)，我們將 DP 從站劃分為以下類(lèi)別：緊湊型 DP 從站（集成有數(shù)字量/模擬量輸入和輸出的模塊，例如，ET?200L）模塊化 DP 從站 （分配了 S5 或 S7 模塊的接口模塊，例如，ET?200M）智能 DP 從站（智能從站）（帶有如

• 1200在瀏覽器中顯示定制 Web 頁(yè)面

  在瀏覽器中顯示定制 Web 頁(yè)面在瀏覽器中顯示 Web 頁(yè)面從 Web 瀏覽器的標(biāo)準(zhǔn) Web 頁(yè)面調(diào)用此類(lèi) Web 頁(yè)面。除了導(dǎo)航欄中的其它鏈接，標(biāo)準(zhǔn) Web 頁(yè)面還具有到“用戶(hù)頁(yè)面”的鏈接。單擊“用戶(hù)頁(yè)面”鏈接打開(kāi)已組態(tài)為默認(rèn) HTML頁(yè)面的 Web 瀏覽器。

• **等級(jí)錯(cuò)誤組織塊 (OB 85)

  **等級(jí)錯(cuò)誤組織塊 (OB 85)說(shuō)明只要發(fā)生以下事件之一，CPU 操作系統(tǒng)就會(huì)調(diào)用 OB 85：非裝入 OB 的啟動(dòng)事件（OB 80、OB 81、OB 82、OB 83 和 OB 86 除外）操作系統(tǒng)訪問(wèn)塊時(shí)出錯(cuò)在系統(tǒng)較新過(guò)程映像期間出現(xiàn) I/O 訪問(wèn)錯(cuò)誤（如果由于組態(tài)原因，未禁止 OB 85 的調(diào)用）。提示若 OB 85 還沒(méi)編程，則在檢測(cè)到這些事件中的一個(gè)時(shí)，CPU 才切換到 STOP 模式

• VRRPv3 地址監(jiān)視

  地址監(jiān)視簡(jiǎn)介在此頁(yè)面中組態(tài) IPv4 地址監(jiān)視。路由器在*的時(shí)間段內(nèi)向每個(gè)組態(tài)的 IPv4 地址發(fā)送 ping 請(qǐng)求。如果在*的時(shí)間段內(nèi)未收到任何響應(yīng)，則降低相應(yīng)接口的 VRRP **級(jí)。描述該頁(yè)面包含以下框：“跟蹤 ID”(Track ID)輸入跟蹤 ID。“IP 地址”(IP Address)輸入要監(jiān)視的 IPv4 地址。較多可輸入五個(gè) IPv4 地址。該表格包括以下列：“跟蹤 ID”(T