關(guān) 閉

新聞中心

EEPW首頁(yè) > 工控自動(dòng)化 > 設(shè)計(jì)應(yīng)用 > 工業(yè)控制系統(tǒng)的信息安全問(wèn)題

工業(yè)控制系統(tǒng)的信息安全問(wèn)題

作者: 時(shí)間:2017-06-08 來(lái)源:網(wǎng)絡(luò) 收藏

本文引用地址:http://butianyuan.cn/article/201706/352456.htm

在過(guò)程生產(chǎn)、電力設(shè)施、水力油氣和運(yùn)輸?shù)阮I(lǐng)域有著廣泛的應(yīng)用。傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對(duì)生產(chǎn)過(guò)程數(shù)據(jù)的日益關(guān)注,越來(lái)越多地采用開放lnternet技術(shù)實(shí)現(xiàn)與企業(yè)網(wǎng)的互連。目前,大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎(chǔ)上開發(fā)協(xié)議,通信應(yīng)用中存在很多漏洞。在與Internet或其他公共網(wǎng)絡(luò)互連時(shí),這些漏洞將會(huì)暴露給潛在攻擊者。此外,工業(yè)控制系統(tǒng)多用于控制關(guān)鍵基礎(chǔ)措施,攻擊者出于政治目的或經(jīng)濟(jì)目的會(huì)主動(dòng)向其發(fā)起攻擊,以期造成嚴(yán)重后果。例如,2010年,“震網(wǎng)”病毒席卷全球,伊朗布什爾核電站因遭此攻擊延期運(yùn)行。因此,近年來(lái),工業(yè)控制系統(tǒng)的問(wèn)題成為一個(gè)廣泛關(guān)注的熱點(diǎn)問(wèn)題。

本文主要首先結(jié)合工業(yè)控制系統(tǒng)的特點(diǎn),分析控制系統(tǒng)的要求及其面臨的威脅和攻擊,其次結(jié)合相關(guān)標(biāo)準(zhǔn),從網(wǎng)絡(luò)防護(hù)角度介紹了目前的解決思路,并介紹了相關(guān)的研究趨勢(shì),包括安全通信協(xié)議和。

1、工業(yè)控制系統(tǒng)的分析

1.1工業(yè)控制系統(tǒng)概述

工業(yè)控制系統(tǒng)是以計(jì)算機(jī)為基本組件,用于監(jiān)測(cè)和控制物理過(guò)程的系統(tǒng)。這類系統(tǒng)包含了大部分網(wǎng)絡(luò)系統(tǒng)與物理系統(tǒng)連接的網(wǎng)絡(luò)化系統(tǒng)。根據(jù)其應(yīng)用范圍,控制系統(tǒng)又可分為過(guò)程控制系統(tǒng)(PCS),監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA),或網(wǎng)絡(luò)一物理系統(tǒng)(CPS)。



控制系統(tǒng)通常由一系列網(wǎng)絡(luò)設(shè)備構(gòu)成,包括:傳感器、執(zhí)行器、過(guò)程控制單元和通信設(shè)備??刂葡到y(tǒng)通常采用分層結(jié)構(gòu),典型的控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示,第一層為安裝有傳感器和執(zhí)行器等現(xiàn)場(chǎng)設(shè)備的物理設(shè)施,現(xiàn)場(chǎng)設(shè)備通過(guò)現(xiàn)場(chǎng)總線網(wǎng)絡(luò)與可編程邏輯控制器(PLC)或遠(yuǎn)程終端設(shè)備(RTU)連接,PLC或RTU設(shè)備負(fù)責(zé)實(shí)現(xiàn)局域控制功能。第二層為控制網(wǎng)絡(luò),主要負(fù)責(zé)過(guò)程控制器和操作員站之間的實(shí)時(shí)數(shù)據(jù)傳輸。操作員站用于區(qū)域監(jiān)控和設(shè)置物理設(shè)施的設(shè)定值。第三層為企業(yè)網(wǎng),企業(yè)工作站負(fù)責(zé)生產(chǎn)控制,過(guò)程優(yōu)化和過(guò)程日志記錄。

根據(jù)控制系統(tǒng)的應(yīng)用特性,可以分為安全相關(guān)的應(yīng)用和非安全相關(guān)的應(yīng)用。安全相關(guān)的應(yīng)用一旦失效,可能會(huì)造成受控制的物理系統(tǒng)發(fā)生不可恢復(fù)的破壞。如果這類控制系統(tǒng)遭受破壞,將會(huì)對(duì)公共健康和安全產(chǎn)生重大影響,并導(dǎo)致經(jīng)濟(jì)損失。

1.2工業(yè)控制系統(tǒng)的安全要求

傳統(tǒng)IT信息安全的技術(shù)相對(duì)成熟,但由于其應(yīng)用場(chǎng)景與控制系統(tǒng)存在許多不同之處,因此,不能直接應(yīng)用于控制系統(tǒng)的信息安全保護(hù)。本節(jié)主要針對(duì)控制系統(tǒng)與傳統(tǒng)IT信息安全的區(qū)別,分析控制系統(tǒng)信息安全的特有屬性,并提出控制系統(tǒng)面臨的新的挑戰(zhàn)。

控制系統(tǒng)的特點(diǎn)之一在于對(duì)可用性的要求。因此,傳統(tǒng)信息安全的軟件補(bǔ)丁方式和系統(tǒng)更新頻率對(duì)于控制系統(tǒng)不再適用。例如,控制系統(tǒng)的系統(tǒng)升級(jí)需要提前幾個(gè)月進(jìn)行計(jì)劃,并且更新時(shí)需要將系統(tǒng)設(shè)為離線狀態(tài)。而且,在工業(yè)應(yīng)用環(huán)境下,停機(jī)更新系統(tǒng)的經(jīng)濟(jì)成本很高。此外,有些系統(tǒng)補(bǔ)丁還可能違反控制系統(tǒng)的規(guī)則設(shè)定。例如,2008年3月7日,某核電站突然停機(jī),原因是系統(tǒng)中的一臺(tái)監(jiān)視工廠數(shù)據(jù)的計(jì)算機(jī)在軟件更新后重啟。計(jì)算機(jī)重啟后將控制系統(tǒng)中的數(shù)據(jù)重置為默認(rèn)值,導(dǎo)致安全系統(tǒng)認(rèn)為用于給核燃料棒降溫的水溫下降。

控制系統(tǒng)的另一個(gè)特點(diǎn)在于對(duì)實(shí)時(shí)性的要求川。控制系統(tǒng)的主要任務(wù)是對(duì)生產(chǎn)過(guò)程自動(dòng)做出實(shí)時(shí)的判斷與決策。盡管傳統(tǒng)信息安全對(duì)可用性的研究很多,但實(shí)時(shí)可用性需要提供更為嚴(yán)格的操作環(huán)境。例如,傳統(tǒng)IT系統(tǒng)中經(jīng)常采用握手協(xié)議和加密等措施增強(qiáng)安全性,而在控制系統(tǒng)中,增加安全措施可能會(huì)嚴(yán)重影響系統(tǒng)的響應(yīng)能力,因此不能將傳統(tǒng)信息安全技術(shù)直接應(yīng)用于控制系統(tǒng)中。為了保證控制系統(tǒng)具備更強(qiáng)的安全性,控制網(wǎng)絡(luò)需要實(shí)現(xiàn)相關(guān)安全機(jī)制和標(biāo)準(zhǔn),這就要求網(wǎng)絡(luò)滿足一定的性能要求。

除了以上兩個(gè)特點(diǎn),控制系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)的最大區(qū)別在于控制系統(tǒng)與物理世界存在交互關(guān)系。總的說(shuō)來(lái),信息安全中的許多技術(shù)措施和設(shè)計(jì)準(zhǔn)則相對(duì)成熟,如認(rèn)證,訪問(wèn)控制,消息完整性,最小權(quán)限等。利用這些成熟的技術(shù)可以幫助我們防御針對(duì)控制系統(tǒng)的攻擊。但是,計(jì)算機(jī)安全主要考慮信息的保護(hù),對(duì)于攻擊如何影響物理世界并沒(méi)有研究。而且,工業(yè)控制系統(tǒng)的資源有限,生命周期長(zhǎng),不能直接移植傳統(tǒng)IT的信息安全技術(shù)。因此,雖然目前的信息安全工具可以為控制系統(tǒng)提供必要的防御機(jī)制,但僅僅依靠這些機(jī)制,無(wú)法為控制系統(tǒng)提供充分的深度保護(hù)。

當(dāng)然,與傳統(tǒng)IT系統(tǒng)相比,控制系統(tǒng)也存在更易操作的特點(diǎn),為設(shè)計(jì)系統(tǒng)安全機(jī)制提供了便利??刂葡到y(tǒng)的網(wǎng)絡(luò)動(dòng)態(tài)特性更為簡(jiǎn)單,具有服務(wù)器變動(dòng)少、網(wǎng)絡(luò)拓?fù)涔潭?、用戶人群固定、通信類型固定、使用的通信協(xié)議少等特點(diǎn)。

1.3工業(yè)控制系統(tǒng)的威脅

工業(yè)控制系統(tǒng)面臨的威脅可以分為兩種:系統(tǒng)相關(guān)的威脅和過(guò)程相關(guān)的威脅。典型的系統(tǒng)相關(guān)威脅和過(guò)程相關(guān)威脅如表1所示。



系統(tǒng)相關(guān)的威脅是指由于軟件漏洞所造成的威脅??刂葡到y(tǒng)從廣義上是一種信息系統(tǒng),會(huì)受到系統(tǒng)相關(guān)的威脅,如協(xié)議實(shí)現(xiàn)漏洞、操作系統(tǒng)漏洞等。在控制系統(tǒng)安全項(xiàng)目CCSP2009報(bào)告中,通過(guò)CSSP安全評(píng)估,將一般控制系統(tǒng)的系統(tǒng)相關(guān)威脅分為九種類型。表2列舉了這九種安全問(wèn)題。



過(guò)程相關(guān)的威脅是指工業(yè)控制系統(tǒng)在生產(chǎn)過(guò)程遭受的攻擊。這種攻擊利用過(guò)程控制的特點(diǎn),攻擊者非法獲取用戶訪問(wèn)權(quán)限后,發(fā)布合法的工業(yè)控制系統(tǒng)命令,導(dǎo)致工業(yè)過(guò)程的故障?;诠I(yè)控制系統(tǒng)用戶與工業(yè)過(guò)程的交互點(diǎn),可以將過(guò)程相關(guān)的威脅分為兩類:①影響現(xiàn)場(chǎng)設(shè)備的訪問(wèn)控制的威脅;②影響中央控制臺(tái)的威脅。前者通常發(fā)送錯(cuò)誤的現(xiàn)場(chǎng)數(shù)據(jù)到控制系統(tǒng)狀態(tài)監(jiān)測(cè)中心,從而導(dǎo)致系統(tǒng)狀態(tài)分析出現(xiàn)錯(cuò)誤。后者通常在中央控制臺(tái)執(zhí)行合法的命令,但該命令對(duì)生產(chǎn)過(guò)程而言不合理,將對(duì)生產(chǎn)或設(shè)備產(chǎn)生負(fù)面影響。

控制系統(tǒng)的漏洞一旦被攻擊者利用,會(huì)遭受不同類型的攻擊,具體的攻擊形式可以分為:

1)欺騙攻擊:在通信過(guò)程中偽裝成某個(gè)合法設(shè)備。例如,使用一個(gè)偽造的網(wǎng)絡(luò)源地址。

2)拒絕式服務(wù)攻擊:系統(tǒng)中任意資源的不可用。例如,設(shè)備因忙于應(yīng)答大量的惡意流量而無(wú)法響應(yīng)其他消息等。

3)中間人攻擊:攻擊者從通信的一端攔截所有消息,修改消息后再轉(zhuǎn)發(fā)到終端接收設(shè)備。

4)重播攻擊:重復(fù)發(fā)送某個(gè)過(guò)時(shí)的消息,如用戶認(rèn)證或命令等。

2、工業(yè)控制系統(tǒng)的信息安全解決思路

為了防止工業(yè)控制系統(tǒng)在通信過(guò)程中遭受上述各種威脅與攻擊,需要使用多層安全措施完成對(duì)系統(tǒng)的保護(hù)。本文將以現(xiàn)有的研究成果為基礎(chǔ),從網(wǎng)絡(luò)邊界防護(hù)、安全協(xié)議和方面,介紹控制系統(tǒng)信息安全解決思路。

2.1網(wǎng)絡(luò)邊界防護(hù)

上文所述工業(yè)控制系統(tǒng)的系統(tǒng)威脅,一方面是由于系統(tǒng)采用傳統(tǒng)IT技術(shù),如操作系統(tǒng)、Web服務(wù)器、郵箱的漏洞等造成,另一方面控制系統(tǒng)與企業(yè)網(wǎng)實(shí)現(xiàn)互連,暴露于公共網(wǎng)絡(luò)之中,面臨更多的攻擊。因此,為了保證工業(yè)控制系統(tǒng)的安全性,首先需要增強(qiáng)網(wǎng)絡(luò)邊界的防護(hù),以降低由企業(yè)網(wǎng)引入的威脅風(fēng)險(xiǎn)。標(biāo)準(zhǔn)SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》指出,在處理工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他應(yīng)用網(wǎng)絡(luò)的連接問(wèn)題時(shí),需要按照最小訪問(wèn)原則設(shè)計(jì),具體分為兩點(diǎn)建議:

1)工業(yè)控制系統(tǒng)部署網(wǎng)絡(luò)時(shí),建議隔離工業(yè)控制系統(tǒng)與其他企業(yè)網(wǎng)絡(luò)。通常這兩類網(wǎng)絡(luò)的流量不同,且企業(yè)網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備變更沒(méi)有指定嚴(yán)格的控制規(guī)程;如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量存在于企業(yè)網(wǎng)上,可能會(huì)遭受拒絕服務(wù)式攻擊。網(wǎng)絡(luò)隔離可以通過(guò)采用防火墻等技術(shù)實(shí)現(xiàn)。

2)如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與企業(yè)網(wǎng)之間必須建立連接,盡可能地只允許建立一個(gè)連接,且連接通過(guò)防火墻或非軍事區(qū)實(shí)現(xiàn)。在具體的技術(shù)措施上,SP800-82從身份認(rèn)證、訪問(wèn)控制、審計(jì)與核查、系統(tǒng)與通信保護(hù)等方面詳細(xì)介紹了可用的技術(shù)措施。

(1)身份認(rèn)證

通過(guò)PIN碼或密碼驗(yàn)證申請(qǐng)?jiān)L問(wèn)的設(shè)備或人員。在網(wǎng)絡(luò)上傳輸密碼時(shí)需要對(duì)密碼進(jìn)行加密,通過(guò)選取合適的加密哈希函數(shù),可以阻止重播攻擊。密碼認(rèn)證還可以輔以其他認(rèn)證措施,如詢問(wèn)/應(yīng)答或使用生物令牌或物理令牌。緊急情況下,工業(yè)控制系統(tǒng)使用密碼和生物認(rèn)證都存在一定危險(xiǎn)。因此在不適合使用密碼的情況下,可以采用嚴(yán)密的物理安全控制作為替代。

(2)訪問(wèn)控制

基于角色的訪問(wèn)控制(RBAC)可以用于限制用戶的權(quán)限,使其能以最小的權(quán)限完成任務(wù)。系統(tǒng)管理員的通訊需要加以認(rèn)證,并對(duì)其保密性和完整性加以保護(hù),如使用SSHv2和HTTPS協(xié)議。這兩個(gè)協(xié)議都使用公鑰/私鑰對(duì)進(jìn)行用戶認(rèn)證。通信雙方產(chǎn)生并使用對(duì)稱密鑰加密數(shù)據(jù)交互過(guò)程。

RADJUS遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)式目前使用最多的認(rèn)證和授權(quán)服務(wù)。它使用IEEE802.1×和EAP協(xié)議,可以在網(wǎng)絡(luò)的各個(gè)層實(shí)現(xiàn)用戶認(rèn)證。例如,防火墻和接入路由可以作為認(rèn)證代理。

當(dāng)無(wú)線設(shè)備或中斷用戶設(shè)備需要與其連接時(shí),認(rèn)證代理向設(shè)備發(fā)出詢問(wèn),設(shè)備通過(guò)認(rèn)證服務(wù)器返回認(rèn)證信息,從而獲得授權(quán)和接入許可。

調(diào)制解調(diào)器經(jīng)常用于提供備份連接?;亟邢到y(tǒng)通過(guò)存儲(chǔ)于數(shù)據(jù)庫(kù)中的回叫號(hào)碼,確認(rèn)撥號(hào)者是否為合法用戶。遠(yuǎn)程控制軟件需要使用唯一的用戶名和密碼,加密和審計(jì)日志。鏈路層的鄰居認(rèn)證需要使用CHAP協(xié)議等實(shí)現(xiàn)。

無(wú)線用戶接入和網(wǎng)絡(luò)設(shè)備間的鏈接可以使用多種方式實(shí)現(xiàn),如IEEE 802.11b/g的網(wǎng)絡(luò)接入點(diǎn)方式。所有的無(wú)線通信需要使用強(qiáng)加密,如IEEE802.11i中的AEP加密。無(wú)線接入需要使用IEEE802.1x認(rèn)證客戶。

(3)審計(jì)與核查

工業(yè)控制系統(tǒng)需要進(jìn)行周期性的審計(jì),驗(yàn)證內(nèi)容包括:測(cè)試階段的安全控制措施在生產(chǎn)系統(tǒng)中仍安裝使用;生產(chǎn)系統(tǒng)不受安全破壞,如果受到安全破壞則提供攻擊的信息;改動(dòng)項(xiàng)目需要為所有的變動(dòng)建立審查和批準(zhǔn)的記錄。

周期性的審計(jì)結(jié)果用一定的度量表示,用于顯示安全性能和安全趨勢(shì)。審計(jì)需要使用特定工具進(jìn)行記錄維護(hù),需要工業(yè)控制系統(tǒng)中的組件支持。審計(jì)有利于維護(hù)工業(yè)控制系統(tǒng)在系統(tǒng)生命周期內(nèi)的完整性。工業(yè)控制系統(tǒng)需要為審計(jì)工具提供可靠的同步時(shí)間戳。工業(yè)控制系統(tǒng)應(yīng)用中維護(hù)的日志可以存儲(chǔ)于多個(gè)地點(diǎn),加密或不加密都是可以的。

(4)系統(tǒng)與通信保護(hù)

系統(tǒng)與通信的保護(hù)可以通過(guò)網(wǎng)絡(luò)防護(hù)措施,如防火墻和入侵檢測(cè)系統(tǒng)等,以及數(shù)據(jù)加密,如VPN等實(shí)現(xiàn)。網(wǎng)絡(luò)防火墻控制不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域間的數(shù)據(jù)流量。NIST SP 800-41為防火墻的選擇和防火墻策略提供了指導(dǎo)。在工業(yè)控制系統(tǒng)環(huán)境下,需要在控制網(wǎng)和企業(yè)網(wǎng)之間部署防火墻。防火墻包含的特征功能包括:事件記錄,入侵檢測(cè)系統(tǒng),基于非軍事區(qū)的路由,訪問(wèn)列表等。

當(dāng)系統(tǒng)被嗅探或攻擊時(shí),入侵檢測(cè)系統(tǒng)發(fā)出警報(bào)。入侵檢測(cè)系統(tǒng)通過(guò)在網(wǎng)絡(luò)的各個(gè)關(guān)鍵點(diǎn)收集信息,分析數(shù)據(jù)包內(nèi)容發(fā)現(xiàn)惡意流量,并發(fā)出警報(bào)、廢棄無(wú)效數(shù)據(jù)、記錄事件和活動(dòng)并觸發(fā)其他安全響應(yīng)。對(duì)于多種工業(yè)控制系統(tǒng)中的應(yīng)用協(xié)議所受到的攻擊,如DNP和lCCP,入侵檢測(cè)系統(tǒng)也會(huì)增加相應(yīng)的攻擊特征。

基于IPSec的VPN可以為網(wǎng)絡(luò)邊界的通信提供安全隧道,通常在相應(yīng)的防火墻上執(zhí)行。IPsec可以保證完整性、認(rèn)證和數(shù)據(jù)保密性。在隧道入口處,IP包外增加額外的數(shù)據(jù)包頭,路由器使用新的包頭信息轉(zhuǎn)發(fā)數(shù)據(jù),到達(dá)隧道出口時(shí),將原始IP包提取出來(lái)。在用戶認(rèn)證過(guò)程中,IPSec通常使用私鑰和RSA簽名。在消息認(rèn)證和完整性保護(hù)時(shí),使用MD5或SHA哈希函數(shù)。在數(shù)據(jù)加密時(shí),使用AES或3DES.IPSec還使用Diffie-Hellman作為對(duì)稱密鑰推導(dǎo)。IPSec設(shè)備使用IKE協(xié)議認(rèn)證其他設(shè)備、協(xié)商和分配對(duì)稱加密密鑰以及建立IPSec安全連接。

控制系統(tǒng)的安全管理包括檢測(cè)、分析、提供安全和事件響應(yīng)。具體內(nèi)容包括動(dòng)態(tài)調(diào)整安全要求,安全漏洞的優(yōu)先級(jí)排序,以及安全要求到安全管理的映射:認(rèn)證和授權(quán)服務(wù)器,安全密鑰,流量過(guò)濾,IDS,登錄等。SNMP用于管理IP網(wǎng)絡(luò)資源,如路由,防火墻和服務(wù)器等。SNMP也可用于提供控制系統(tǒng)網(wǎng)絡(luò)的集中管理。SNMPv3包括的安全特性有消息完整性,認(rèn)證和加密。SNMPv3使用MD5和SHA哈希算法和DES以及AES加密算法。

(5)其他措施

為了保證網(wǎng)絡(luò)操作的可靠性,工業(yè)控制系統(tǒng)需要設(shè)置冗余拓?fù)浜凸δ堋9I(yè)控制系統(tǒng)中大多使用以太網(wǎng)和IP網(wǎng)絡(luò)作為通信協(xié)議。以太網(wǎng)層的冗余可以通過(guò)在局域網(wǎng)內(nèi)使用RSTP協(xié)議中的網(wǎng)格拓?fù)涠鴮?shí)現(xiàn)。IP層的冗余通過(guò)路由間的備份鏈接,如OSPF動(dòng)態(tài)路由協(xié)議,和IP網(wǎng)絡(luò)冗余接人,如VRRP協(xié)議等。MPLS可以為IP網(wǎng)絡(luò)中的虛擬任意協(xié)議數(shù)據(jù)提供可靠的數(shù)據(jù)傳輸。隧道如L2TP協(xié)議等也可以為IP網(wǎng)絡(luò)中的數(shù)據(jù)提供可靠傳輸。

在控制系統(tǒng)中的時(shí)鐘和網(wǎng)絡(luò)設(shè)備需要精確同步,事件日志記錄時(shí)也需要記錄下準(zhǔn)確的時(shí)間。NTP協(xié)議和IEEEl588協(xié)議可以用于時(shí)間同步。NTP協(xié)議在因特網(wǎng)中廣泛使用,IEEEl588協(xié)議則主要滿足控制系統(tǒng)對(duì)于時(shí)鐘同步的要求。這兩種協(xié)議均可由獨(dú)立設(shè)備提供服務(wù),或者有其他網(wǎng)絡(luò)設(shè)備的組件提供服務(wù)。

2.2協(xié)議安全性

工業(yè)通訊協(xié)議,如MODBUS協(xié)議等,協(xié)議設(shè)計(jì)時(shí)未采取安全措施。然而隨著控制系統(tǒng)與外部網(wǎng)絡(luò)的連接增多,需要增加通信雙方的認(rèn)證過(guò)程。協(xié)議的安全性可以通過(guò)兩種方式提高,一是直接修改協(xié)議,增加認(rèn)證功能;二是在不修改現(xiàn)有協(xié)議的基礎(chǔ)上,增加信息安全層。

文獻(xiàn)設(shè)計(jì)了一種認(rèn)證型Modbus協(xié)議,該協(xié)議通過(guò)對(duì)消息使用加密函數(shù)和哈希鏈,增強(qiáng)Modbus協(xié)議的認(rèn)證功能,從而使攻擊者無(wú)法偽裝成主機(jī)。同時(shí)利用一個(gè)壓縮函數(shù),減少數(shù)據(jù)存儲(chǔ)大小。這種方式可以增加協(xié)議對(duì)于通信雙方的認(rèn)證過(guò)程,但同時(shí)也會(huì)增加通訊負(fù)擔(dān),即每次通話傳輸?shù)南⒍夹枰?jīng)過(guò)加密認(rèn)證,不一定能滿足控制系統(tǒng)對(duì)于實(shí)時(shí)性的要求。因此在設(shè)計(jì)時(shí)需要同時(shí)考慮計(jì)算效率與計(jì)算消耗。

文獻(xiàn)借鑒功能安全的概念,提出了一種在通信系統(tǒng)之上增加信息安全模塊的方法??刂葡到y(tǒng)的功能安全在傳輸系統(tǒng)的基礎(chǔ)上增加功能安全層,無(wú)需改變底層傳輸系統(tǒng),即可實(shí)現(xiàn)系統(tǒng)的故障安全。類似地,文獻(xiàn)設(shè)計(jì)一種信息安全模塊,用于保護(hù)端到端通信的認(rèn)證、完整性和保密性。所謂的安全模塊不是指簡(jiǎn)單的物理模塊,而是與PROFINET IO中的設(shè)備模型相對(duì)應(yīng),是一個(gè)軟件實(shí)現(xiàn)。如圖2所示,安全模塊從應(yīng)用層中獲取過(guò)程數(shù)據(jù),通過(guò)加密算法加密過(guò)程數(shù)據(jù),利用MD5算法計(jì)算消息完整性編碼,狀態(tài)字節(jié)用于表示消息完整性和超時(shí)。安全模塊通過(guò)參數(shù)化,可以適應(yīng)不同的安全需求和不同的計(jì)算能力。消息完整性編碼可以防止中間人攻擊,例如,攻擊者截取發(fā)送的消息并篡改過(guò)程數(shù)據(jù),由于沒(méi)有密鑰,無(wú)法計(jì)算出準(zhǔn)確的消息完整性編碼,接受者在接收到消息后對(duì)MAC進(jìn)行驗(yàn)證,如果無(wú)法驗(yàn)證其正確性,則會(huì)修改狀態(tài)字節(jié),用以匯報(bào)受攻擊狀態(tài)。



安全模塊是置于PROFINET IO之上的軟件層,只能用于防御基于網(wǎng)絡(luò)的攻擊,而不能保證設(shè)備安全。如果攻擊者獲取了設(shè)備的控制權(quán),那么數(shù)據(jù)會(huì)被操控,而安全模塊將無(wú)法產(chǎn)生作用。因此,可以將安全模塊可以與設(shè)備安全措施相結(jié)合,解決設(shè)備和網(wǎng)絡(luò)安全。

協(xié)議安全性主要是體現(xiàn)在對(duì)傳輸數(shù)據(jù)進(jìn)行加密處理,保證消息的完整性和保密性,并實(shí)現(xiàn)對(duì)設(shè)備的安全認(rèn)證。在實(shí)際應(yīng)用中,需要考慮兩個(gè)影響因素,一方面,由于加密措施的計(jì)算量大,對(duì)通信實(shí)時(shí)性和系統(tǒng)的可用資源都會(huì)產(chǎn)生影響,二是需要設(shè)計(jì)合理有效的密鑰管理方法。

3.控制器設(shè)計(jì)

以上從網(wǎng)絡(luò)防護(hù)和通訊協(xié)議的角度介紹了兩種安全問(wèn)題解決思路,但其本質(zhì)上都是對(duì)信息的保護(hù)。無(wú)論是何種攻擊,其最終的目的都是實(shí)現(xiàn)對(duì)物理設(shè)施的破壞,因此,需要研究攻擊對(duì)于系統(tǒng)的狀態(tài)預(yù)測(cè)和控制算法的影響,從物理系統(tǒng)的角度設(shè)計(jì)防御措施。

為了理解控制系統(tǒng)與物理世界的交互過(guò)程,首先需要分析攻擊對(duì)于物理系統(tǒng)的影響;其次基于控制命令和傳感器的測(cè)量值,預(yù)測(cè)物理系統(tǒng)應(yīng)有的現(xiàn)象,從而判斷是否受到攻擊者的影響;最終在控制器算法設(shè)計(jì)時(shí)將攻擊因素考慮在內(nèi),設(shè)計(jì)出一種可以抵御攻擊的控制算法。


文獻(xiàn)對(duì)重播攻擊和完整性攻擊進(jìn)行分析,采用卡爾曼濾波和x2故障檢驗(yàn)法檢測(cè)系統(tǒng)是否受到攻擊。這種檢測(cè)方法基于物理模型,可以作為基于網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)模型的入侵檢測(cè)的補(bǔ)充。在設(shè)計(jì)檢測(cè)算法時(shí),需要考慮實(shí)時(shí)性和嵌入式平臺(tái)的計(jì)算能力限制。



文獻(xiàn)首先建立物理系統(tǒng)的典型模型,將物理系統(tǒng)簡(jiǎn)化為一個(gè)線性系統(tǒng)。其次,針對(duì)DOS攻擊和欺騙攻擊,在原有線性系統(tǒng)模型基礎(chǔ)上增加攻擊因素。如圖3所示,攻擊因素可能分布在閉環(huán)控制回路的不同部分,傳感器部分、執(zhí)行器部分和設(shè)備部分?;诓煌墓粢蛩兀O(shè)計(jì)帶狀態(tài)監(jiān)測(cè)器的控制算法,用以檢測(cè)系統(tǒng)的運(yùn)行狀態(tài)。該算法可以使系統(tǒng)在受到拒絕時(shí)服務(wù)攻擊時(shí),仍然處于安全狀態(tài);在受到欺騙攻擊時(shí),可以檢測(cè)出攻擊。的設(shè)計(jì)目前僅限于學(xué)術(shù)領(lǐng)域的研究,在實(shí)際系統(tǒng)中的應(yīng)用尚未成熟。這是由于設(shè)計(jì)控制器需要建立相對(duì)精確的物理模型,普適性不高??赡艿慕鉀Q思路是在控制器的硬件設(shè)計(jì)時(shí)采用主控制器和安全控制器的模式,利用旁道信息,如程序執(zhí)行時(shí)間、代碼執(zhí)行順序等,如果主控制器與安全控制器的旁道信息不一致,則采取安全措施。

3、結(jié)束語(yǔ)

本文首先研究了工業(yè)控制系統(tǒng)的行業(yè)特點(diǎn)和需求,并分析了工業(yè)控制系統(tǒng)面臨的威脅,其次在深入了解相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)之后,介紹了適用于工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀,從網(wǎng)絡(luò)防護(hù)、協(xié)議安全性和控制器設(shè)計(jì)這三個(gè)角度分析了目前的研究思路,具有一定的借鑒意義。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉