工業(yè)控制系統(tǒng)的信息安全解決思路

發(fā)布時間：2024-01-23

為了防止工業(yè)控制系統(tǒng)在通信過程中遭受各種威脅與攻擊，需要使用多層安全措施完成對系統(tǒng)的保護。本文將以現(xiàn)有的研究成果為基礎(chǔ)，從網(wǎng)絡(luò)邊界防護、安全協(xié)議和安全控制器方面，介紹控制系統(tǒng)信息安全解決思路。
1.網(wǎng)絡(luò)邊界防護
上文所述工業(yè)控制系統(tǒng)的系統(tǒng)威脅，一方面是由于系統(tǒng)采用傳統(tǒng)it技術(shù)，如操作系統(tǒng)、web服務(wù)器、郵箱的漏洞等造成，另一方面控制系統(tǒng)與企業(yè)網(wǎng)實現(xiàn)互連，暴露于公共網(wǎng)絡(luò)之中，面臨更多的攻擊。因此，為了保證工業(yè)控制系統(tǒng)的安全性，首先需要增強網(wǎng)絡(luò)邊界的防護，以降低由企業(yè)網(wǎng)引入的威脅風(fēng)險。標(biāo)準(zhǔn)sp800-82《工業(yè)控制系統(tǒng)（ics）安全指南》指出，在處理工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他應(yīng)用網(wǎng)絡(luò)的連接問題時，需要按照最小訪問原則設(shè)計，具體分為兩點建議：
1）工業(yè)控制系統(tǒng)部署網(wǎng)絡(luò)時，建議隔離工業(yè)控制系統(tǒng)與其他企業(yè)網(wǎng)絡(luò)。通常這兩類網(wǎng)絡(luò)的流量不同，且企業(yè)網(wǎng)對網(wǎng)絡(luò)設(shè)備變更沒有指定嚴(yán)格的控制規(guī)程；如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量存在于企業(yè)網(wǎng)上，可能會遭受拒絕服務(wù)式攻擊。網(wǎng)絡(luò)隔離可以通過采用防火墻等技術(shù)實現(xiàn)。
2）如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)網(wǎng)之間必須建立連接，盡可能地只允許建立一個連接，且連接通過防火墻或非軍事區(qū)實現(xiàn)。在具體的技術(shù)措施上，sp800-82從身份認(rèn)證、訪問控制、審計與核查、系統(tǒng)與通信保護等方面詳細(xì)介紹了可用的技術(shù)措施。
（1）身份認(rèn)證
通過pin碼或密碼驗證申請訪問的設(shè)備或人員。在網(wǎng)絡(luò)上傳輸密碼時需要對密碼進行加密，通過選取合適的加密哈希函數(shù)，可以阻止重播攻擊。密碼認(rèn)證還可以輔以其他認(rèn)證措施，如詢問/應(yīng)答或使用生物令牌或物理令牌。緊急情況下，工業(yè)控制系統(tǒng)使用密碼和生物認(rèn)證都存在一定危險。因此在不適合使用密碼的情況下，可以采用嚴(yán)密的物理安全控制作為替代。
（2）訪問控制
基于角色的訪問控制（rbac）可以用于限制用戶的權(quán)限，使其能以最小的權(quán)限完成任務(wù)。系統(tǒng)管理員的通訊需要加以認(rèn)證，并對其保密性和完整性加以保護，如使用sshv2和https協(xié)議。這兩個協(xié)議都使用公鑰/私鑰對進行用戶認(rèn)證。通信雙方產(chǎn)生并使用對稱密鑰加密數(shù)據(jù)交互過程。
radjus遠(yuǎn)程認(rèn)證撥號用戶服務(wù)式目前使用最多的認(rèn)證和授權(quán)服務(wù)。它使用ieee802.1×和eap協(xié)議，可以在網(wǎng)絡(luò)的各個層實現(xiàn)用戶認(rèn)證。例如，防火墻和接入路由可以作為認(rèn)證代理。
當(dāng)無線設(shè)備或中斷用戶設(shè)備需要與其連接時，認(rèn)證代理向設(shè)備發(fā)出詢問，設(shè)備通過認(rèn)證服務(wù)器返回認(rèn)證信息，從而獲得授權(quán)和接入許可。
調(diào)制解調(diào)器經(jīng)常用于提供備份連接?；亟邢到y(tǒng)通過存儲于數(shù)據(jù)庫中的回叫號碼，確認(rèn)撥號者是否為合法用戶。遠(yuǎn)程控制軟件需要使用唯一的用戶名和密碼，加密和審計日志。鏈路層的鄰居認(rèn)證需要使用chap協(xié)議等實現(xiàn)。
無線用戶接入和網(wǎng)絡(luò)設(shè)備間的鏈接可以使用多種方式實現(xiàn)，如ieee802.11b/g的網(wǎng)絡(luò)接入點方式。所有的無線通信需要使用強加密，如ieee802.11i中的aep加密。無線接入需要使用ieee802.1x認(rèn)證客戶。
（3）審計與核查
工業(yè)控制系統(tǒng)需要進行周期性的審計，驗證內(nèi)容包括：測試階段的安全控制措施在生產(chǎn)系統(tǒng)中仍安裝使用；生產(chǎn)系統(tǒng)不受安全破壞，如果受到安全破壞則提供攻擊的信息；改動項目需要為所有的變動建立審查和批準(zhǔn)的記錄。
周期性的審計結(jié)果用一定的度量表示，用于顯示安全性能和安全趨勢。審計需要使用特定工具進行記錄維護，需要工業(yè)控制系統(tǒng)中的組件支持。審計有利于維護工業(yè)控制系統(tǒng)在系統(tǒng)生命周期內(nèi)的完整性。工業(yè)控制系統(tǒng)需要為審計工具提供可靠的同步時間戳。工業(yè)控制系統(tǒng)應(yīng)用中維護的日志可以存儲于多個地點，加密或不加密都是可以的。
（4）系統(tǒng)與通信保護
系統(tǒng)與通信的保護可以通過網(wǎng)絡(luò)防護措施，如防火墻和入侵檢測系統(tǒng)等，以及數(shù)據(jù)加密，如vpn等實現(xiàn)。網(wǎng)絡(luò)防火墻控制不同安全等級的網(wǎng)絡(luò)區(qū)域間的數(shù)據(jù)流量。nistsp800-41為防火墻的選擇和防火墻策略提供了指導(dǎo)。在工業(yè)控制系統(tǒng)環(huán)境下，需要在控制網(wǎng)和企業(yè)網(wǎng)之間部署防火墻。防火墻包含的特征功能包括：事件記錄，入侵檢測系統(tǒng)，基于非軍事區(qū)的路由，訪問列表等。
當(dāng)系統(tǒng)被嗅探或攻擊時，入侵檢測系統(tǒng)發(fā)出警報。入侵檢測系統(tǒng)通過在網(wǎng)絡(luò)的各個關(guān)鍵點收集信息，分析數(shù)據(jù)包內(nèi)容發(fā)現(xiàn)惡意流量，并發(fā)出警報、廢棄無效數(shù)據(jù)、記錄事件和活動并觸發(fā)其他安全響應(yīng)。對于多種工業(yè)控制系統(tǒng)中的應(yīng)用協(xié)議所受到的攻擊，如dnp和lccp，入侵檢測系統(tǒng)也會增加相應(yīng)的攻擊特征。
基于ipsec的vpn可以為網(wǎng)絡(luò)邊界的通信提供安全隧道，通常在相應(yīng)的防火墻上執(zhí)行。ipsec可以保證完整性、認(rèn)證和數(shù)據(jù)保密性。在隧道入口處，ip包外增加額外的數(shù)據(jù)包頭，路由器使用新的包頭信息轉(zhuǎn)發(fā)數(shù)據(jù)，到達(dá)隧道出口時，將原始ip包提取出來。在用戶認(rèn)證過程中，ipsec通常使用私鑰和rsa簽名。在消息認(rèn)證和完整性保護時，使用md5或sha哈希函數(shù)。在數(shù)據(jù)加密時，使用aes或3des。ipsec還使用diffie-hellman作為對稱密鑰推導(dǎo)。ipsec設(shè)備使用ike協(xié)議認(rèn)證其他設(shè)備、協(xié)商和分配對稱加密密鑰以及建立ipsec安全連接。
控制系統(tǒng)的安全管理包括檢測、分析、提供安全和事件響應(yīng)。具體內(nèi)容包括動態(tài)調(diào)整安全要求，安全漏洞的優(yōu)先級排序，以及安全要求到安全管理的映射：認(rèn)證和授權(quán)服務(wù)器，安全密鑰，流量過濾，ids，登錄等。snmp用于管理ip網(wǎng)絡(luò)資源，如路由，防火墻和服務(wù)器等。snmp也可用于提供控制系統(tǒng)網(wǎng)絡(luò)的集中管理。snmpv3包括的安全特性有消息完整性，認(rèn)證和加密。snmpv3使用md5和sha哈希算法和des以及aes加密算法。
（5）其他措施
為了保證網(wǎng)絡(luò)操作的可靠性，工業(yè)控制系統(tǒng)需要設(shè)置冗余拓?fù)浜凸δ?。工業(yè)控制系統(tǒng)中大多使用以太網(wǎng)和ip網(wǎng)絡(luò)作為通信協(xié)議。以太網(wǎng)層的冗余可以通過在局域網(wǎng)內(nèi)使用rstp協(xié)議中的網(wǎng)格拓?fù)涠鴮崿F(xiàn)。ip層的冗余通過路由間的備份鏈接，如ospf動態(tài)路由協(xié)議，和ip網(wǎng)絡(luò)冗余接人，如vrrp協(xié)議等。mpls可以為ip網(wǎng)絡(luò)中的虛擬任意協(xié)議數(shù)據(jù)提供可靠的數(shù)據(jù)傳輸。隧道如l2tp協(xié)議等也可以為ip網(wǎng)絡(luò)中的數(shù)據(jù)提供可靠傳輸。
在控制系統(tǒng)中的時鐘和網(wǎng)絡(luò)設(shè)備需要精確同步，事件日志記錄時也需要記錄下準(zhǔn)確的時間。ntp協(xié)議和ieeel588協(xié)議可以用于時間同步。ntp協(xié)議在因特網(wǎng)中廣泛使用，ieeel588協(xié)議則主要滿足控制系統(tǒng)對于時鐘同步的要求。這兩種協(xié)議均可由獨立設(shè)備提供服務(wù)，或者有其他網(wǎng)絡(luò)設(shè)備的組件提供服務(wù)。
2.協(xié)議安全性
工業(yè)通訊協(xié)議，如modbus協(xié)議等，協(xié)議設(shè)計時未采取安全措施。然而隨著控制系統(tǒng)與外部網(wǎng)絡(luò)的連接增多，需要增加通信雙方的認(rèn)證過程。協(xié)議的安全性可以通過兩種方式提高，一是直接修改協(xié)議，增加認(rèn)證功能；二是在不修改現(xiàn)有協(xié)議的基礎(chǔ)上，增加信息安全層。
文獻(xiàn)設(shè)計了一種認(rèn)證型modbus協(xié)議，該協(xié)議通過對消息使用加密函數(shù)和哈希鏈，增強modbus協(xié)議的認(rèn)證功能，從而使攻擊者無法偽裝成主機。同時利用一個壓縮函數(shù)，減少數(shù)據(jù)存儲大小。這種方式可以增加協(xié)議對于通信雙方的認(rèn)證過程，但同時也會增加通訊負(fù)擔(dān)，即每次通話傳輸?shù)南⒍夹枰?jīng)過加密認(rèn)證，不一定能滿足控制系統(tǒng)對于實時性的要求。因此在設(shè)計時需要同時考慮計算效率與計算消耗。
文獻(xiàn)借鑒功能安全的概念，提出了一種在通信系統(tǒng)之上增加信息安全模塊的方法?？刂葡到y(tǒng)的功能安全在傳輸系統(tǒng)的基礎(chǔ)上增加功能安全層，無需改變底層傳輸系統(tǒng)，即可實現(xiàn)系統(tǒng)的故障安全。類似地，文獻(xiàn)設(shè)計一種信息安全模塊，用于保護端到端通信的認(rèn)證、完整性和保密性。所謂的安全模塊不是指簡單的物理模塊，而是與profinetio中的設(shè)備模型相對應(yīng)，是一個軟件實現(xiàn)。安全模塊從應(yīng)用層中獲取過程數(shù)據(jù)，通過加密算法加密過程數(shù)據(jù)，利用md5算法計算消息完整性編碼，狀態(tài)字節(jié)用于表示消息完整性和超時。安全模塊通過參數(shù)化，可以適應(yīng)不同的安全需求和不同的計算能力。消息完整性編碼可以防止中間人攻擊，例如，攻擊者截取發(fā)送的消息并篡改過程數(shù)據(jù)，由于沒有密鑰，無法計算出準(zhǔn)確的消息完整性編碼，接受者在接收到消息后對mac進行驗證，如果無法驗證其正確性，則會修改狀態(tài)字節(jié)，用以匯報受攻擊狀態(tài)。
安全模塊是置于profinetio之上的軟件層，只能用于防御基于網(wǎng)絡(luò)的攻擊，而不能保證設(shè)備安全。如果攻擊者獲取了設(shè)備的控制權(quán)，那么數(shù)據(jù)會被操控，而安全模塊將無法產(chǎn)生作用。因此，可以將安全模塊可以與設(shè)備安全措施相結(jié)合，解決設(shè)備和網(wǎng)絡(luò)安全。
協(xié)議安全性主要是體現(xiàn)在對傳輸數(shù)據(jù)進行加密處理，保證消息的完整性和保密性，并實現(xiàn)對設(shè)備的安全認(rèn)證。在實際應(yīng)用中，需要考慮兩個影響因素，一方面，由于加密措施的計算量大，對通信實時性和系統(tǒng)的可用資源都會產(chǎn)生影響，二是需要設(shè)計合理有效的密鑰管理方法。