工业操控体系在进程出产、电力设备、水力油气和运送等范畴有着广泛的运用。传统操控体系的安全性首要依赖于其技能的隐秘性,简直未采纳任何安全办法。跟着企业办理层对出产进程数据的日益重视,工业操控体系越来越多地选用敞开lnternet技能完成与企业网的互连。现在,大多数工业通讯体系在商用操作体系的根底上开发协议,通讯运用中存在许多缝隙。在工业操控体系与Internet或其他公共网络互连时,这些缝隙将会露出给潜在进犯者。此外,工业操控体系多用于操控要害根底办法,进犯者出于政治意图或经济意图会主意向其主张进犯,以期形成严重后果。例如,2010年,“震网”病毒席卷全球,伊朗布什尔核电站因遭此进犯延期运转。因而,近年来,工业操控体系的信息安全问题成为一个广泛重视的热点问题。
本文首要首要结合工业操控体系的特色,剖析操控体系的要求及其面对的要挟和进犯,其次结合相关规范,从网络防护视点介绍了现在的信息安全处理思路,并介绍了相关的研讨趋势,包含安全通讯协议和安全操控器。
1、工业操控体系的信息安全剖析
1.1工业操控体系概述
工业操控体系是以核算机为根本组件,用于监测和操控物理进程的体系。这类体系包含了大部分网络体系与物理体系衔接的网络化体系。依据其运用规模,操控体系又可分为进程操控体系(PCS),监控和数据采集体系(SCADA),或网络一物理体系(CPS)。
操控体系一般由一系列网络设备构成,包含:传感器、履行器、进程操控单元和通讯设备。操控体系一般选用分层结构,典型的操控体系网络结构如图1所示,第一层为装置有传感器和履行器等现场设备的物理设备,现场设备经过现场总线网络与可编程逻辑操控器(PLC)或长途终端设备(RTU)衔接,PLC或RTU设备担任完成局域操控功用。第二层为操控网络,首要担任进程操控器和操作员站之间的实时数据传输。操作员站用于区域监控和设置物理设备的设定值。第三层为企业网,企业工作站担任出产操控,进程优化和进程日志记载。
依据操控体系的运用特性,能够分为安全相关的运用和非安全相关的运用。安全相关的运用一旦失效,或许会形成受操控的物理体系发生不行康复的损坏。假如这类操控体系遭受损坏,将会对公共健康和安全发生严重影响,并导致经济损失。
1.2工业操控体系的安全要求
传统IT信息安全的技能相对老练,但因为其运用场景与操控体系存在许多不同之处,因而,不能直接运用于操控体系的信息安全维护。本节首要针对操控体系与传统IT信息安全的差异,剖析操控体系信息安全的特有特色,并提出操控体系面对的新的应战。
操控体系的特色之一在于对可用性的要求。因而,传统信息安全的软件补丁办法和体系更新频率关于操控体系不再适用。例如,操控体系的体系升级需求提早几个月进行方案,并且更新时需求将体系设为离线状况。并且,在工业运用环境下,停机更新体系的经济本钱很高。此外,有些体系补丁还或许违背操控体系的规矩设定。例如,2008年3月7日,某核电站忽然停机,原因是体系中的一台监督工厂数据的核算机在软件更新后重启。核算机重启后将操控体系中的数据重置为默认值,导致安全体系认为用于给核燃料棒降温的水温下降。
操控体系的另一个特色在于对实时性的要求川。操控体系的首要任务是对出产进程主动做出实时的判别与决议计划。尽管传统信息安全对可用性的研讨许多,但实时可用性需求供给更为严厉的操作环境。例如,传统IT体系中常常选用握手协议和加密等办法增强安全性,而在操控体系中,添加安全办法或许会严重影响体系的呼应才能,因而不能将传统信息安全技能直接运用于操控体系中。为了确保操控体系具有更强的安全性,操控网络需求完成相关安全机制和规范,这就要求网络满意必定的功用要求。
除了以上两个特色,操控体系与传统IT信息体系的最大差异在于操控体系与物理国际存在交互联系。总的说来,信息安全中的许多技能办法和规划准则相对老练,如认证,拜访操控,音讯完整性,最小权限等。运用这些老练的技能能够协助咱们防护针对操控体系的进犯。可是,核算机安全首要考虑信息的维护,关于进犯怎么影响物理国际并没有研讨。并且,工业操控体系的资源有限,生命周期长,不能直接移植传统IT的信息安全技能。因而,尽管现在的信息安全东西能够为操控体系供给必要的防护机制,但只是依托这些机制,无法为操控体系供给充沛的深度维护。
当然,与传统IT体系比较,操控体系也存在更易操作的特色,为规划体系安全机制供给了便当。操控体系的网络动态特性更为简略,具有服务器变化少、网络拓扑固定、用户人群固定、通讯类型固定、运用的通讯协议少等特色。
1.3工业操控体系的要挟
工业操控体系面对的要挟能够分为两种:体系相关的要挟和进程相关的要挟。典型的体系相关要挟和进程相关要挟如表1所示。
体系相关的要挟是指因为软件缝隙所形成的要挟。操控体系从广义上是一种信息体系,会遭到体系相关的要挟,如协议完成缝隙、操作体系缝隙等。在操控体系安全项目CCSP2009陈述中,经过CSSP安全评价,将一般操控体系的体系相关要挟分为九种类型。表2列举了这九种安全问题。
进程相关的要挟是指工业操控体系在出产进程遭受的进犯。这种进犯运用进程操控的特色,进犯者不合法获取用户拜访权限后,发布合法的工业操控体系指令,导致工业进程的毛病。根据工业操控体系用户与工业进程的交互点,能够将进程相关的要挟分为两类:①影响现场设备的拜访操控的要挟;②影响中央操控台的要挟。前者一般发送过错的现场数据到操控体系状况监测中心,然后导致体系状况剖析呈现过错。后者一般在中央操控台履行合法的指令,但该指令对出产进程而言不合理,将对出产或设备发生负面影响。
操控体系的缝隙一旦被进犯者运用,会遭受不同类型的进犯,具体的进犯办法能够分为:
1)诈骗进犯:在通讯进程中伪装成某个合法设备。例如,运用一个假造的网络源地址。
2)回绝式服务进犯:体系中恣意资源的不行用。例如,设备因忙于应对很多的歹意流量而无法呼应其他音讯等。
3)中间人进犯:进犯者从通讯的一端阻拦一切音讯,修正音讯后再转发到终端接纳设备。
4)重播进犯:重复发送某个过期的音讯,如用户认证或指令等。
2、工业操控体系的信息安全处理思路
为了避免工业操控体系在通讯进程中遭受上述各种要挟与进犯,需求运用多层安全办法完成对体系的维护。本文将以现有的研讨成果为根底,从网络鸿沟防护、安全协议和安全操控器方面,介绍操控体系信息安全处理思路。
2.1网络鸿沟防护
上文所述工业操控体系的体系要挟,一方面是因为体系选用传统IT技能,如操作体系、Web服务器、邮箱的缝隙等形成,另一方面操控体系与企业网完成互连,露出于公共网络之中,面对更多的进犯。因而,为了确保工业操控体系的安全性,首要需求增强网络鸿沟的防护,以下降由企业网引进的要挟风险。规范SP800-82《工业操控体系(%&&&&&%S)安全攻略》指出,在处理工业操控体系网络与其他运用网络的衔接问题时,需求依照最小拜访准则规划,具体分为两点主张:
1)工业操控体系布置网络时,主张阻隔工业操控体系与其他企业网络。一般这两类网络的流量不同,且企业网对网络设备改动没有指定严厉的操控规程;假如工业操控体系网络流量存在于企业网上,或许会遭受回绝服务式进犯。网络阻隔能够经过选用防火墙等技能完成。
2)假如工业操控体系网络与企业网之间有必要树立衔接,尽或许地只允许树立一个衔接,且衔接经过防火墙或非军事区完成。在具体的技能办法上,SP800-82从身份认证、拜访操控、审计与核对、体系与通讯维护等方面具体介绍了可用的技能办法。
(1)身份认证
经过PIN码或暗码验证请求拜访的设备或人员。在网络上传输暗码时需求对暗码进行加密,经过选取适宜的加密哈希函数,能够阻挠重播进犯。暗码认证还能够辅以其他认证办法,如问询/应对或运用生物令牌或物理令牌。紧迫情况下,工业操控体系运用暗码和生物认证都存在必定风险。因而在不适合运用暗码的情况下,能够选用紧密的物理安全操控作为代替。
(2)拜访操控
根据人物的拜访操控(RBAC)能够用于约束用户的权限,使其能以最小的权限完成任务。体系办理员的通讯需求加以认证,并对其保密性和完整性加以维护,如运用SSHv2和HTTPS协议。这两个协议都运用公钥/私钥对进行用户认证。通讯两边发生并运用对称密钥加密数据交互进程。
RADJUS长途认证拨号用户服务式现在运用最多的认证和授权服务。它运用IEEE802.1×和EAP协议,能够在网络的各个层完成用户认证。例如,防火墙和接入路由能够作为认证署理。
当无线设备或中止用户设备需求与其衔接时,认证署理向设备宣布问询,设备经过认证服务器回来认证信息,然后取得授权和接入答应。
调制解调器常常用于供给备份衔接。回叫体系经过存储于数据库中的回叫号码,承认拨号者是否为合法用户。长途操控软件需求运用仅有的用户名和暗码,加密和审计日志。链路层的街坊认证需求运用CHAP协议等完成。
无线用户接入和网络设备间的链接能够运用多种办法完成,如IEEE 802.11b/g的网络接入点办法。一切的无线通讯需求运用强加密,如IEEE802.11i中的AEP加密。无线接入需求运用IEEE802.1x认证客户。
(3)审计与核对
工业操控体系需求进行周期性的审计,验证内容包含:测验阶段的安全操控办法在出产体系中仍装置运用;出产体系不受安全损坏,假如遭到安全损坏则供给进犯的信息;改动项目需求为一切的变化树立检查和同意的记载。
周期性的审计成果用必定的衡量表明,用于显现安全功用和安全趋势。审计需求运用特定东西进行记载维护,需求工业操控体系中的组件支撑。审计有利于维护工业操控体系在体系生命周期内的完整性。工业操控体系需求为审计东西供给牢靠的同步时刻戳。工业操控体系运用中维护的日志能够存储于多个地址,加密或不加密都是能够的。
(4)体系与通讯维护
体系与通讯的维护能够经过网络防护办法,如防火墙和侵略检测体系等,以及数据加密,如VPN等完成。网络防火墙操控不同安全等级的网络区域间的数据流量。NIST SP 800-41为防火墙的挑选和防火墙战略供给了辅导。在工业操控体系环境下,需求在操控网和企业网之间布置防火墙。防火墙包含的特征功用包含:事情记载,侵略检测体系,根据非军事区的路由,拜访列表等。
当体系被嗅探或进犯时,侵略检测体系宣布警报。侵略检测体系经过在网络的各个要害点搜集信息,剖析数据包内容发现歹意流量,并宣布警报、抛弃无效数据、记载事情和活动并触发其他安全呼应。关于多种工业操控体系中的运用协议所遭到的进犯,如DNP和lCCP,侵略检测体系也会添加相应的进犯特征。
根据IPSec的VPN能够为网络鸿沟的通讯供给安全地道,一般在相应的防火墙上履行。IPsec能够确保完整性、认证和数据保密性。在地道入口处,IP包外添加额定的数据包头,路由器运用新的包头信息转发数据,抵达地道出口时,将原始IP包提取出来。在用户认证进程中,IPSec一般运用私钥和RSA签名。在音讯认证和完整性维护时,运用MD5或SHA哈希函数。在数据加密时,运用AES或3DES.IPSec还运用Diffie-Hellman作为对称密钥推导。IPSec设备运用IKE协议认证其他设备、洽谈和分配对称加密密钥以及树立IPSec安全衔接。
操控体系的安全办理包含检测、剖析、供给安全和事情呼应。具体内容包含动态调整安全要求,安全缝隙的优先级排序,以及安全要求到安全办理的映射:认证和授权服务器,安全密钥,流量过滤,IDS,登录等。SNMP用于办理IP网络资源,如路由,防火墙和服务器等。SNMP也可用于供给操控体系网络的会集办理。SNMPv3包含的安全特性有音讯完整性,认证和加密。SNMPv3运用MD5和SHA哈希算法和DES以及AES加密算法。
(5)其他办法
为了确保网络操作的牢靠性,工业操控体系需求设置冗余拓扑和功用。工业操控体系中大多运用以太网和IP网络作为通讯协议。以太网层的冗余能够经过在局域网内运用RSTP协议中的网格拓扑而完成。IP层的冗余经过路由间的备份链接,如OSPF动态路由协议,和IP网络冗余接人,如VRRP协议等。MPLS能够为IP网络中的虚拟恣意协议数据供给牢靠的数据传输。地道如L2TP协议等也能够为IP网络中的数据供给牢靠传输。
在操控体系中的时钟和网络设备需求准确同步,事情日志记载时也需求记载下准确的时刻。NTP协议和IEEEl588协议能够用于时刻同步。NTP协议在因特网中广泛运用,IEEEl588协议则首要满意操控体系关于时钟同步的要求。这两种协议均可由独立设备供给服务,或许有其他网络设备的组件供给服务。
2.2协议安全性
工业通讯协议,如MODBUS协议等,协议规划时未采纳安全办法。但是跟着操控体系与外部网络的衔接增多,需求添加通讯两边的认证进程。协议的安全功用够经过两种办法进步,一是直接修正协议,添加认证功用;二是在不修正现有协议的根底上,添加信息安全层。
文献规划了一种认证型Modbus协议,该协议经过对音讯运用加密函数和哈希链,增强Modbus协议的认证功用,然后使进犯者无法伪装成主机。一起运用一个紧缩函数,削减数据存储巨细。这种办法能够添加协议关于通讯两边的认证进程,但一起也会添加通讯担负,即每次通话传输的音讯都需求经过加密认证,不必定能满意操控体系关于实时性的要求。因而在规划时需求一起考虑核算功率与核算耗费。
文献学习功用安全的概念,提出了一种在通讯体系之上添加信息安全模块的办法。操控体系的功用安全在传输体系的根底上添加功用安全层,无需改动底层传输体系,即可完成体系的毛病安全。类似地,文献规划一种信息安全模块,用于维护端到端通讯的认证、完整性和保密性。所谓的安全模块不是指简略的物理模块,而是与PROFINET IO中的设备模型相对应,是一个软件完成。如图2所示,安全模块从运用层中获取进程数据,经过加密算法加密进程数据,运用MD5算法核算音讯完整性编码,状况字节用于表明音讯完整性和超时。安全模块经过参数化,能够习惯不同的安全需求和不同的核算才能。音讯完整性编码能够避免中间人进犯,例如,进犯者截取发送的音讯并篡改进程数据,因为没有密钥,无法核算出准确的音讯完整性编码,接受者在接纳到音讯后对MAC进行验证,假如无法验证其正确性,则会修正状况字节,用以报告受进犯状况。
安全模块是置于PROFINET IO之上的软件层,只能用于防护根据网络的进犯,而不能确保设备安全。假如进犯者获取了设备的操控权,那么数据会被操控,而安全模块将无法发生效果。因而,能够将安全模块能够与设备安全办法相结合,处理设备和网络安全。
协议安全性首要是表现在对传输数据进行加密处理,确保音讯的完整性和保密性,并完成对设备的安全认证。在实践运用中,需求考虑两个影响要素,一方面,因为加密办法的核算量大,对通讯实时性和体系的可用资源都会发生影响,二是需求规划合理有用的密钥办理办法。
3.操控器规划
以上从网络防护和通讯协议的视点介绍了两种安全问题处理思路,但其本质上都是对信息的维护。无论是何种进犯,其终究的意图都是完成对物理设备的损坏,因而,需求研讨进犯关于体系的状况猜测和操控算法的影响,从物理体系的视点规划防护办法。
为了了解操控体系与物理国际的交互进程,首要需求剖析进犯关于物理体系的影响;其次根据操控指令和传感器的测量值,猜测物理体系应有的现象,然后判别是否遭到进犯者的影响;终究在操控器算法规划时将进犯要素考虑在内,规划出一种能够抵挡进犯的操控算法。
文献对重播进犯和完整性进犯进行剖析,选用卡尔曼滤波和x2毛病查验法检测体系是否遭到进犯。这种检测办法根据物理模型,能够作为根据网络和核算机体系模型的侵略检测的弥补。在规划检测算法时,需求考虑实时性和嵌入式渠道的核算才能约束。
文献首要树立物理体系的典型模型,将物理体系简化为一个线性体系。其次,针对DOS进犯和诈骗进犯,在原有线性体系模型根底上添加进犯要素。如图3所示,进犯要素或许散布在闭环操控回路的不同部分,传感器部分、履行器部分和设备部分。根据不同的进犯要素,规划带状况监测器的操控算法,用以检测体系的运转状况。该算法能够使体系在遭到回绝时服务进犯时,依然处于安全状况;在遭到诈骗进犯时,能够检测出进犯。安全操控器的规划现在仅限于学术范畴的研讨,在实践体系中的运用没有老练。这是因为规划操控器需求树立相对准确的物理模型,普适性不高。或许的处理思路是在操控器的硬件规划时选用主操控器和安全操控器的形式,运用旁道信息,如程序履行时刻、代码履行次序等,假如主操控器与安全操控器的旁道信息纷歧致,则采纳安全办法。
3、结束语
本文首要研讨了工业操控体系的职业特色和需求,并剖析了工业操控体系面对的要挟,其次在深化了解相关职业信息安全保证运用行规之后,介绍了适用于工业操控体系的信息安全现状,从网络防护、协议安全性和操控器规划这三个视点剖析了现在的研讨思路,具有必定的学习含义。
