《工業(yè)控制系統(tǒng)信息安全》課件-第八節(jié) 工業(yè)控制系統(tǒng)安全控制：認證與權(quán)限

7.1識別和認證識別和認證（IdentificationandAuthentication）是使用標識因素或憑據(jù)的組合來明確地識別潛在網(wǎng)絡(luò)用戶、主機、應(yīng)用程序、服務(wù)和資源的過程。身份證明系統(tǒng)一般由三方組成：一方是出示證件的人，稱作出示證者，又稱作申請者，他提出某種入門或入網(wǎng)請求；另一方為驗證者，檢驗出示證者的正確性和合法性，決定是否滿足其要求；第三方是攻擊者，他可以竊聽或偽裝示證者騙取驗證者的信任。認證系統(tǒng)在必要時也會有第四方，即可信者，他的作用是參與調(diào)解糾紛。7.1.1口令認證口令認證技術(shù)根據(jù)已知事物驗證身份，基于對請求訪問的設(shè)備或人應(yīng)該知道的東西測試（如PIN號碼或密碼）來確定真實性?？诹钫J證方案被認為是最簡單和最常見的認證形式。7.1.1口令認證為了解決因口令短而造成的安全性低的問題，常在口令后填充隨機數(shù)，如可變口令也可由單向函數(shù)來實現(xiàn)。這種方法只要求交換一對口令而不是口令表。若中間數(shù)據(jù)丟失或出錯，甲可向乙提供最近的取值，以求重新同步，而后乙可按上述方法進行驗證。7.1.1口令認證工業(yè)控制系統(tǒng)廣泛使用口令認證的方式，這種方式雖然簡單實用，但也可能存在一些安全隱患。工業(yè)控制系統(tǒng)環(huán)境中的計算機系統(tǒng)通常依賴于傳統(tǒng)口令進行身份驗證?？刂葡到y(tǒng)供應(yīng)商經(jīng)常為系統(tǒng)提供默認密碼。這些密碼是工廠設(shè)置的，通常容易猜測或不經(jīng)常更改，這會造成額外的安全風(fēng)險。此外，當前在工業(yè)控制系統(tǒng)環(huán)境中使用的協(xié)議通常具有不充分的或者根本沒有網(wǎng)絡(luò)服務(wù)認證。工業(yè)控制系統(tǒng)環(huán)境有關(guān)口令的一個特有的問題是，用戶的回憶和輸入密碼的能力可能會受到瞬間的壓力的影響。7.1.2挑戰(zhàn)/應(yīng)答認證挑戰(zhàn)/響應(yīng)認證要求服務(wù)請求者和服務(wù)提供者預(yù)先知道一個“秘密”代碼。當服務(wù)被請求時，服務(wù)提供者向服務(wù)請求者發(fā)送一個隨機數(shù)或字符串作為一個挑戰(zhàn)。服務(wù)請求者使用秘密代碼來為服務(wù)提供者生成唯一的響應(yīng)。如果響應(yīng)是預(yù)期的，它證明服務(wù)請求者可以訪問“秘密”，而不必在網(wǎng)絡(luò)上公開秘密。挑戰(zhàn)/響應(yīng)認證解決傳統(tǒng)口令認證的安全脆弱性。當口令（散列了的或普通的）通過網(wǎng)絡(luò)發(fā)送時，實際“秘密”本身的一部分正在被發(fā)送。通過向遠程設(shè)備提供秘密來執(zhí)行身份認證。7.1.2挑戰(zhàn)/應(yīng)答認證用戶在客戶端發(fā)起認證請求?？蛻舳藢⒄J證請求發(fā)往服務(wù)器。服務(wù)器返回客戶端挑戰(zhàn)值。用戶得到此挑戰(zhàn)值。用戶把挑戰(zhàn)值輸入給一次性口令產(chǎn)生設(shè)備（令牌）。令牌經(jīng)過某一算法，得出一個一次性口令，返回給用戶。用戶把這個一次性口令輸入到客戶端?？蛻舳税岩淮涡钥诹顐魉徒o服務(wù)器。服務(wù)器得到一次性口令后，與服務(wù)器端的計算結(jié)果進行匹配，返回認證結(jié)果?？蛻舳烁鶕?jù)認證結(jié)果進行后續(xù)操作。7.1.3物理令牌認證物理或令牌認證類似于口令認證，除了這些技術(shù)通過測試秘密代碼或由設(shè)備或一個請求訪問的人所擁有的令牌所產(chǎn)生的密鑰來確定真實性，例如安全令牌或智能卡。令牌認證防止復(fù)制秘密代碼或與他人共享。物理令牌中的秘密可以非常大，物理上是安全的，并且是隨機生成的。因為它嵌入在金屬或硅中，所以它沒有和手動輸入密碼相同的風(fēng)險。如果安全令牌丟失或被盜，授權(quán)的用戶失去訪問，不像傳統(tǒng)的密碼，可能丟失或被盜而沒有被注意到。智能卡（SmartCard）又稱IC卡。它將微處理器芯片嵌在塑卡上代替無源存儲磁條。智能卡的安全性比無源卡有了很大的提高，因為敵手難以改變或讀出卡中所存的數(shù)據(jù)。在智能卡上有一存儲用戶永久性信息的ROM，在斷電情況下也不會消失。

物理/令牌認證在工業(yè)控制系統(tǒng)環(huán)境中具有很強的作用。訪問卡或其他令牌可以是用于計算機訪問的有效形式的認證，只要計算機處于安全區(qū)域。7.1.4生物認證生物認證技術(shù)通過獨特的生物學(xué)特性來確定請求訪問者的真實性。可用的生物特征包括手指細節(jié)、面部幾何形狀、視網(wǎng)膜和虹膜特征、語音模式、打字模式等。由于生物特征對特定個體來說是唯一的，生物特征認證解決了物理令牌和智能卡丟失或被盜的問題。7.1.5數(shù)字簽名數(shù)字簽名是一種以電子形式存在于數(shù)據(jù)信息之中的，或作為其附件或邏輯上有聯(lián)系的數(shù)據(jù)，可用于辨別數(shù)據(jù)簽署人的身份，并表名簽署人對數(shù)據(jù)信息中包含的信息的認可技術(shù)。一套數(shù)字簽名通常定義兩種互補的運算，一個用于簽名，另一個用于驗證。一個完善的數(shù)字簽名應(yīng)該滿足以下要求：其他任何人不能偽造簽名。數(shù)字簽名是真實的，簽名者事后不能抵賴自己的簽名。如果當事人雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭執(zhí)，能夠在公正的仲裁者面前通過驗證簽名來認其真?zhèn)?。?shù)字簽名是實現(xiàn)認證的重要工具，常用的數(shù)字簽名體制有RSA，Rabin,ElGamal,Schnorr,DSS,GOST和離散對數(shù)等簽名體制。7.1.5數(shù)字簽名信息交換特定的接受者需要確定信息只來自于特定發(fā)送者。特定的接受者需要確定信息只發(fā)送給自己E(Kpub-R,E(KPRIV-S,K))7.1.5數(shù)字簽名公共密鑰協(xié)議一個完善的數(shù)字簽名應(yīng)該滿足以下要求：其他任何人不能偽造簽名。數(shù)字簽名是真實的，簽名者事后不能抵賴自己的簽名。D(E(M,Kpriv-s),Kpub-s)=M：發(fā)送者真實性保存E(M,Kpriv-s)：發(fā)送者不可偽造性7.1.5數(shù)字簽名工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸?shù)暮诵脑贠PCUA中建立客戶端與服務(wù)器之間的安全通信通道。該通道在通信過程中始終處于活動狀態(tài)，保證了所有消息交換的完整性和認證性。這意味著客戶端和服務(wù)器只需要一次相互認證。在該模型中，客戶端使用其API發(fā)送和接收相應(yīng)服務(wù)的請求和響應(yīng)。服務(wù)器主要為客戶端提供兩種服務(wù)，一種是接收來自客戶端的連接請求和通知訂閱請求，另一種是將某些事件的發(fā)生發(fā)布到客戶端，例如警報、數(shù)據(jù)值、事件和程序執(zhí)行結(jié)果的改變。7.1.5數(shù)字簽名（1）在建立安全通道之前，客戶端請求CA認證服務(wù)器是否合法。認證內(nèi)容包括CA簽名、簽發(fā)期限和失效日期以及CA撤銷列表。（2）CA向客戶端返回認證結(jié)果。（3）客戶端請求服務(wù)器建立安全連接?？蛻舳讼蚍?wù)器提供證書和一個現(xiàn)時值（nonce）。發(fā)送的數(shù)據(jù)用客戶端的私鑰簽名，然后由服務(wù)器的公鑰加密。（4）在服務(wù)器接收到連接請求后，服務(wù)器請求CA對客戶端進行認證。認證的內(nèi)容還包括CA簽名、簽發(fā)和失效日期以及CA撤銷列表。（5）CA向服務(wù)器返回認證結(jié)果。（6）客戶端認證后，服務(wù)器響應(yīng)客戶端的連接請求。服務(wù)器向客戶端發(fā)送一個隨機數(shù)、安全令牌和令牌的生存期。所發(fā)送的內(nèi)容由服務(wù)器的私鑰加密，然后由客戶端的公鑰加密。之后，客戶端和服務(wù)器可以通過安全通道相互通信。在隨后的通信中，消息的接收方計算接收到的消息的摘要，然后將其與簽名中的摘要進行比較，以檢查消息是否完整。7.1.6公鑰基礎(chǔ)設(shè)施技術(shù)公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI）它是一種運用公鑰密碼理論與技術(shù)建立的、用以實施和提供各種安全服務(wù)的、具有普遍適用性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。PKI為使用數(shù)字證書的網(wǎng)絡(luò)環(huán)境中的通信的身份管理、保密性和完整性提供了一種被證明的手段。使用正確的系統(tǒng)、策略和配置，可以無縫連接利用PKI整合網(wǎng)絡(luò)安全和信息隱私的各個方面。這在企業(yè)信息技術(shù)（IT）環(huán)境中得到了證實，而PKI今天已經(jīng)遍布到世界各地的IT機構(gòu)中。一個典型的PKI應(yīng)用系統(tǒng)由認證中心CA、證書庫、Web安全通信平臺等部分組成。其中，認證中心和證書庫是PKI的核心。7.1.6公鑰基礎(chǔ)設(shè)施技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全考慮之一是這些網(wǎng)絡(luò)所使用的通信路徑。公鑰基礎(chǔ)設(shè)施（PKI）在保證工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信中起著關(guān)鍵作用。使用數(shù)字證書，PKI提供了一種機制來驗證網(wǎng)絡(luò)上所有實體的身份。并且還確保信息在通信實體之間安全共享。PKI是一種行之有效的安全通信機制，在許多組織中得到了廣泛的應(yīng)用。然而，由于資源受限的環(huán)境、帶寬考慮和硬實時通信需求等因素，PKI作為ICS安全性的解決方案是具有挑戰(zhàn)性的。然而，PKI在工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)中的部署有其自身的一系列挑戰(zhàn)，例如時間關(guān)鍵的操作、資源受限環(huán)境和帶寬考慮。在企業(yè)IT環(huán)境中適用的定義良好的策略可能會導(dǎo)致ICS操作的瓶頸。ICS設(shè)備與IT環(huán)境中使用的計算機類型有很大不同，具有獨特的要求和實時性的挑戰(zhàn)。此外，PKI還確保數(shù)據(jù)交換只發(fā)生在認證實體之間。例如，遠程站將能夠確保信息僅發(fā)送到預(yù)期的控制系統(tǒng)，并且控制系統(tǒng)可以確保其接收的信息來自認證的遠程站7.1.6公鑰基礎(chǔ)設(shè)施技術(shù)此外，PKI還確保數(shù)據(jù)交換只發(fā)生在認證實體之間。例如，遠程站將能夠確保信息僅發(fā)送到預(yù)期的控制系統(tǒng)，并且控制系統(tǒng)可以確保其接收的信息來自認證的遠程站7.1.7射頻識別射頻識別（RadioFrequencyIdentification，RFID）是應(yīng)用無線電波（頻率為50KHz~5.8GHz）來自動識別單個物體對象的技術(shù)的總稱。典型的RFID系統(tǒng)由RFID標簽（Tag）、標簽閱讀器（Reader）、后臺服務(wù)器（Sever）組成。一般來說，一個安全的RFID系統(tǒng)需要解決以下四個問題：一是保密性。只有授權(quán)閱讀器能夠獲取標簽的信息。二是標簽的不可追蹤性。只有閱讀器知道標簽是否存在，未授權(quán)閱讀器和攻擊者。三是不可欺騙性，攻擊者不能模擬閱讀器去欺騙標簽，也不能模擬標簽去欺騙閱讀器。四是魯棒性，攻擊者對RFID進行阻斷攻擊時，閱讀器和標簽信息能保持同步，不會導(dǎo)致系統(tǒng)崩潰。由于RFID系統(tǒng)的閱讀器和標簽通信是在無保護的無線通道中進行的。因此，保持RFID系統(tǒng)的安全非常重要。7.2訪問控制訪問控制技術(shù)是一種過濾和阻斷技術(shù)，一旦授權(quán)被確定，就被設(shè)計用來指導(dǎo)和調(diào)節(jié)設(shè)備或系統(tǒng)之間的信息流動。以下部分介紹了幾種訪問控制技術(shù)及其與工業(yè)控制系統(tǒng)的應(yīng)用。基于角色的訪問控制(RBAC)在基于角色的訪問控制中，用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問。不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機制只看到角色而看不到用戶。用戶先經(jīng)認證后獲得一定的角色，該角色被分配了一定的權(quán)限，以特定的角色來訪問系統(tǒng)資源。它能減少在有大量的智能設(shè)備的網(wǎng)絡(luò)中安全管理的復(fù)雜性和花費。RBAC可以用來提供統(tǒng)一的手段來管理對工業(yè)控制系統(tǒng)設(shè)備的訪問，同時降低維護單個設(shè)備訪問級別和最小化錯誤的成本。應(yīng)使用RBAC將工業(yè)控制系統(tǒng)用戶權(quán)限限制為僅執(zhí)行每個人的工作所需的權(quán)限（即，基于最小特權(quán)的原則配置每個角色）。7.2訪問控制WEB服務(wù)器Web和Internet技術(shù)被添加到各種各樣的工業(yè)控制系統(tǒng)產(chǎn)品中，因為它們使信息更容易訪問，產(chǎn)品更便于用戶使用，更易于遠程配置。然而，它們也可能增加網(wǎng)絡(luò)風(fēng)險，并產(chǎn)生了新的安全脆弱性，需要加以解決。SCADA和數(shù)據(jù)記錄系統(tǒng)軟件供應(yīng)商通常提供Web服務(wù)器作為產(chǎn)品選項，以便控制室外的用戶可以訪問工業(yè)控制系統(tǒng)信息。在許多情況下，必須將軟件組件（如ActiveX控件或Java小應(yīng)用程序）安裝到或下載到訪問Web服務(wù)器的每個客戶端機器上。一些產(chǎn)品，如PLC和其他控制設(shè)備，可以使用嵌入式Web、FTP和電子郵件服務(wù)器，使它們更易于遠程配置，并允許它們在特定條件發(fā)生時生成電子郵件通知和報告。當可行時，使用HTTPS而不是HTTP，使用SFTP或SCP而不是FTP，阻止入站FTP和電子郵件流量等。7.2訪問控制虛擬本地局域網(wǎng)絡(luò)(VLAN)VLAN將物理網(wǎng)絡(luò)劃分為更小的邏輯網(wǎng)絡(luò)，以提高性能，提高可管理性，并簡化網(wǎng)絡(luò)設(shè)計。VLAN是通過以太網(wǎng)交換機的配置來實現(xiàn)的。每個VLAN包括一個隔離來自其他VLAN的流量的單個廣播域。正如用交換機代替集線器減少沖突一樣，使用VLAN限制廣播流量，以及允許邏輯子網(wǎng)跨越多個物理位置。VLAN有兩類：靜態(tài)的，通常稱為基于端口的，其中交換機端口被分配給VLAN，以便它對終端用戶是透明的。動態(tài)的，其中終端設(shè)備與交換機協(xié)商VLAN特性，或者基于IP或硬件地址確定VLAN。通常不部署VLAN而部署防火墻或IDS的方式來處理主機或網(wǎng)絡(luò)的脆弱性。然而，當正確配置時，VLAN可以允許交換機執(zhí)行安全策略并在以太網(wǎng)層隔離流量。適當分割的網(wǎng)絡(luò)還可以減輕可能由端口掃描或蠕蟲活動引起的廣播風(fēng)暴的風(fēng)險。7.2訪問控制工業(yè)控制系統(tǒng)具有嚴格的可靠性和可用性要求。當需要檢修和修理時，技術(shù)資源可能物理上不在控制室或設(shè)備中。因此，ICS經(jīng)常使用調(diào)制解調(diào)器使供應(yīng)商、系統(tǒng)集成商或控制工程師保持系統(tǒng)在網(wǎng)絡(luò)或組件上進行撥號和診斷、修復(fù)、配置和執(zhí)行維護。雖然這使授權(quán)人員容易訪問，如果撥號調(diào)制解調(diào)器沒有得到適當?shù)谋Ｗo，它們也可以為非授權(quán)使用提供后門。考慮在ICS中安裝撥號調(diào)制解調(diào)器時使用回調(diào)系統(tǒng)。這確保撥號器是授權(quán)用戶，通過調(diào)制解調(diào)器根據(jù)撥號器的信息和在ICS認可的授權(quán)用戶列表中存儲的回調(diào)號碼建立工作連接。確保每個調(diào)制解調(diào)器的默認密碼已更改，并有強密碼。在物理上識別控制室操作員使用的調(diào)制解調(diào)器。配置遠程控制軟件，使用唯一的用戶名和口令，強認證方式，合適的加密，和審計日志。遠程用戶使用該軟件應(yīng)在幾乎實時的頻率上進行監(jiān)控。如果可行的話，在不使用時斷開調(diào)制解調(diào)器，或者考慮在給定的一段時間內(nèi)沒有連接的話自動斷開。調(diào)制解調(diào)器7.2訪問控制無線工業(yè)控制系統(tǒng)內(nèi)的使用無線是一項具有風(fēng)險的選擇。