《工業(yè)控制系統(tǒng)信息安全》課件-第八節(jié) 工業(yè)控制系統(tǒng)安全控制：認證與權限

7.1識別和認證識別和認證（IdentificationandAuthentication）是使用標識因素或憑據(jù)的組合來明確地識別潛在網(wǎng)絡用戶、主機、應用程序、服務和資源的過程。身份證明系統(tǒng)一般由三方組成：一方是出示證件的人，稱作出示證者，又稱作申請者，他提出某種入門或入網(wǎng)請求；另一方為驗證者，檢驗出示證者的正確性和合法性，決定是否滿足其要求；第三方是攻擊者，他可以竊聽或偽裝示證者騙取驗證者的信任。認證系統(tǒng)在必要時也會有第四方，即可信者，他的作用是參與調解糾紛。7.1.1口令認證口令認證技術根據(jù)已知事物驗證身份，基于對請求訪問的設備或人應該知道的東西測試（如PIN號碼或密碼）來確定真實性。口令認證方案被認為是最簡單和最常見的認證形式。7.1.1口令認證為了解決因口令短而造成的安全性低的問題，常在口令后填充隨機數(shù)，如可變口令也可由單向函數(shù)來實現(xiàn)。這種方法只要求交換一對口令而不是口令表。若中間數(shù)據(jù)丟失或出錯，甲可向乙提供最近的取值，以求重新同步，而后乙可按上述方法進行驗證。7.1.1口令認證工業(yè)控制系統(tǒng)廣泛使用口令認證的方式，這種方式雖然簡單實用，但也可能存在一些安全隱患。工業(yè)控制系統(tǒng)環(huán)境中的計算機系統(tǒng)通常依賴于傳統(tǒng)口令進行身份驗證?？刂葡到y(tǒng)供應商經(jīng)常為系統(tǒng)提供默認密碼。這些密碼是工廠設置的，通常容易猜測或不經(jīng)常更改，這會造成額外的安全風險。此外，當前在工業(yè)控制系統(tǒng)環(huán)境中使用的協(xié)議通常具有不充分的或者根本沒有網(wǎng)絡服務認證。工業(yè)控制系統(tǒng)環(huán)境有關口令的一個特有的問題是，用戶的回憶和輸入密碼的能力可能會受到瞬間的壓力的影響。7.1.2挑戰(zhàn)/應答認證挑戰(zhàn)/響應認證要求服務請求者和服務提供者預先知道一個“秘密”代碼。當服務被請求時，服務提供者向服務請求者發(fā)送一個隨機數(shù)或字符串作為一個挑戰(zhàn)。服務請求者使用秘密代碼來為服務提供者生成唯一的響應。如果響應是預期的，它證明服務請求者可以訪問“秘密”，而不必在網(wǎng)絡上公開秘密。挑戰(zhàn)/響應認證解決傳統(tǒng)口令認證的安全脆弱性。當口令（散列了的或普通的）通過網(wǎng)絡發(fā)送時，實際“秘密”本身的一部分正在被發(fā)送。通過向遠程設備提供秘密來執(zhí)行身份認證。7.1.2挑戰(zhàn)/應答認證用戶在客戶端發(fā)起認證請求。客戶端將認證請求發(fā)往服務器。服務器返回客戶端挑戰(zhàn)值。用戶得到此挑戰(zhàn)值。用戶把挑戰(zhàn)值輸入給一次性口令產(chǎn)生設備（令牌）。令牌經(jīng)過某一算法，得出一個一次性口令，返回給用戶。用戶把這個一次性口令輸入到客戶端?？蛻舳税岩淮涡钥诹顐魉徒o服務器。服務器得到一次性口令后，與服務器端的計算結果進行匹配，返回認證結果?？蛻舳烁鶕?jù)認證結果進行后續(xù)操作。7.1.3物理令牌認證物理或令牌認證類似于口令認證，除了這些技術通過測試秘密代碼或由設備或一個請求訪問的人所擁有的令牌所產(chǎn)生的密鑰來確定真實性，例如安全令牌或智能卡。令牌認證防止復制秘密代碼或與他人共享。物理令牌中的秘密可以非常大，物理上是安全的，并且是隨機生成的。因為它嵌入在金屬或硅中，所以它沒有和手動輸入密碼相同的風險。如果安全令牌丟失或被盜，授權的用戶失去訪問，不像傳統(tǒng)的密碼，可能丟失或被盜而沒有被注意到。智能卡（SmartCard）又稱IC卡。它將微處理器芯片嵌在塑卡上代替無源存儲磁條。智能卡的安全性比無源卡有了很大的提高，因為敵手難以改變或讀出卡中所存的數(shù)據(jù)。在智能卡上有一存儲用戶永久性信息的ROM，在斷電情況下也不會消失。

物理/令牌認證在工業(yè)控制系統(tǒng)環(huán)境中具有很強的作用。訪問卡或其他令牌可以是用于計算機訪問的有效形式的認證，只要計算機處于安全區(qū)域。7.1.4生物認證生物認證技術通過獨特的生物學特性來確定請求訪問者的真實性?？捎玫纳锾卣靼ㄊ种讣毠?jié)、面部幾何形狀、視網(wǎng)膜和虹膜特征、語音模式、打字模式等。由于生物特征對特定個體來說是唯一的，生物特征認證解決了物理令牌和智能卡丟失或被盜的問題。7.1.5數(shù)字簽名數(shù)字簽名是一種以電子形式存在于數(shù)據(jù)信息之中的，或作為其附件或邏輯上有聯(lián)系的數(shù)據(jù)，可用于辨別數(shù)據(jù)簽署人的身份，并表名簽署人對數(shù)據(jù)信息中包含的信息的認可技術。一套數(shù)字簽名通常定義兩種互補的運算，一個用于簽名，另一個用于驗證。一個完善的數(shù)字簽名應該滿足以下要求：其他任何人不能偽造簽名。數(shù)字簽名是真實的，簽名者事后不能抵賴自己的簽名。如果當事人雙方關于簽名的真?zhèn)伟l(fā)生爭執(zhí)，能夠在公正的仲裁者面前通過驗證簽名來認其真?zhèn)巍?shù)字簽名是實現(xiàn)認證的重要工具，常用的數(shù)字簽名體制有RSA，Rabin,ElGamal,Schnorr,DSS,GOST和離散對數(shù)等簽名體制。7.1.5數(shù)字簽名信息交換特定的接受者需要確定信息只來自于特定發(fā)送者。特定的接受者需要確定信息只發(fā)送給自己E(Kpub-R,E(KPRIV-S,K))7.1.5數(shù)字簽名公共密鑰協(xié)議一個完善的數(shù)字簽名應該滿足以下要求：其他任何人不能偽造簽名。數(shù)字簽名是真實的，簽名者事后不能抵賴自己的簽名。D(E(M,Kpriv-s),Kpub-s)=M：發(fā)送者真實性保存E(M,Kpriv-s)：發(fā)送者不可偽造性7.1.5數(shù)字簽名工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸?shù)暮诵脑贠PCUA中建立客戶端與服務器之間的安全通信通道。該通道在通信過程中始終處于活動狀態(tài)，保證了所有消息交換的完整性和認證性。這意味著客戶端和服務器只需要一次相互認證。在該模型中，客戶端使用其API發(fā)送和接收相應服務的請求和響應。服務器主要為客戶端提供兩種服務，一種是接收來自客戶端的連接請求和通知訂閱請求，另一種是將某些事件的發(fā)生發(fā)布到客戶端，例如警報、數(shù)據(jù)值、事件和程序執(zhí)行結果的改變。7.1.5數(shù)字簽名（1）在建立安全通道之前，客戶端請求CA認證服務器是否合法。認證內容包括CA簽名、簽發(fā)期限和失效日期以及CA撤銷列表。（2）CA向客戶端返回認證結果。（3）客戶端請求服務器建立安全連接。客戶端向服務器提供證書和一個現(xiàn)時值（nonce）。發(fā)送的數(shù)據(jù)用客戶端的私鑰簽名，然后由服務器的公鑰加密。（4）在服務器接收到連接請求后，服務器請求CA對客戶端進行認證。認證的內容還包括CA簽名、簽發(fā)和失效日期以及CA撤銷列表。（5）CA向服務器返回認證結果。（6）客戶端認證后，服務器響應客戶端的連接請求。服務器向客戶端發(fā)送一個隨機數(shù)、安全令牌和令牌的生存期。所發(fā)送的內容由服務器的私鑰加密，然后由客戶端的公鑰加密。之后，客戶端和服務器可以通過安全通道相互通信。在隨后的通信中，消息的接收方計算接收到的消息的摘要，然后將其與簽名中的摘要進行比較，以檢查消息是否完整。7.1.6公鑰基礎設施技術公鑰基礎設施（PublicKeyInfrastructure,PKI）它是一種運用公鑰密碼理論與技術建立的、用以實施和提供各種安全服務的、具有普遍適用性的網(wǎng)絡安全基礎設施。PKI為使用數(shù)字證書的網(wǎng)絡環(huán)境中的通信的身份管理、保密性和完整性提供了一種被證明的手段。使用正確的系統(tǒng)、策略和配置，可以無縫連接利用PKI整合網(wǎng)絡安全和信息隱私的各個方面。這在企業(yè)信息技術（IT）環(huán)境中得到了證實，而PKI今天已經(jīng)遍布到世界各地的IT機構中。一個典型的PKI應用系統(tǒng)由認證中心CA、證書庫、Web安全通信平臺等部分組成。其中，認證中心和證書庫是PKI的核心。7.1.6公鑰基礎設施技術工業(yè)控制系統(tǒng)網(wǎng)絡的安全考慮之一是這些網(wǎng)絡所使用的通信路徑。公鑰基礎設施（PKI）在保證工業(yè)控制系統(tǒng)網(wǎng)絡通信中起著關鍵作用。使用數(shù)字證書，PKI提供了一種機制來驗證網(wǎng)絡上所有實體的身份。并且還確保信息在通信實體之間安全共享。PKI是一種行之有效的安全通信機制，在許多組織中得到了廣泛的應用。然而，由于資源受限的環(huán)境、帶寬考慮和硬實時通信需求等因素，PKI作為ICS安全性的解決方案是具有挑戰(zhàn)性的。然而，PKI在工業(yè)自動化和控制系統(tǒng)網(wǎng)絡中的部署有其自身的一系列挑戰(zhàn)，例如時間關鍵的操作、資源受限環(huán)境和帶寬考慮。在企業(yè)IT環(huán)境中適用的定義良好的策略可能會導致ICS操作的瓶頸。ICS設備與IT環(huán)境中使用的計算機類型有很大不同，具有獨特的要求和實時性的挑戰(zhàn)。此外，PKI還確保數(shù)據(jù)交換只發(fā)生在認證實體之間。例如，遠程站將能夠確保信息僅發(fā)送到預期的控制系統(tǒng)，并且控制系統(tǒng)可以確保其接收的信息來自認證的遠程站7.1.6公鑰基礎設施技術此外，PKI還確保數(shù)據(jù)交換只發(fā)生在認證實體之間。例如，遠程站將能夠確保信息僅發(fā)送到預期的控制系統(tǒng)，并且控制系統(tǒng)可以確保其接收的信息來自認證的遠程站7.1.7射頻識別射頻識別（RadioFrequencyIdentification，RFID）是應用無線電波（頻率為50KHz~5.8GHz）來自動識別單個物體對象的技術的總稱。典型的RFID系統(tǒng)由RFID標簽（Tag）、標簽閱讀器（Reader）、后臺服務器（Sever）組成。一般來說，一個安全的RFID系統(tǒng)需要解決以下四個問題：一是保密性。只有授權閱讀器能夠獲取標簽的信息。二是標簽的不可追蹤性。只有閱讀器知道標簽是否存在，未授權閱讀器和攻擊者。三是不可欺騙性，攻擊者不能模擬閱讀器去欺騙標簽，也不能模擬標簽去欺騙閱讀器。四是魯棒性，攻擊者對RFID進行阻斷攻擊時，閱讀器和標簽信息能保持同步，不會導致系統(tǒng)崩潰。由于RFID系統(tǒng)的閱讀器和標簽通信是在無保護的無線通道中進行的。因此，保持RFID系統(tǒng)的安全非常重要。7.2訪問控制訪問控制技術是一種過濾和阻斷技術，一旦授權被確定，就被設計用來指導和調節(jié)設備或系統(tǒng)之間的信息流動。以下部分介紹了幾種訪問控制技術及其與工業(yè)控制系統(tǒng)的應用?；诮巧脑L問控制(RBAC)在基于角色的訪問控制中，用戶不是自始至終以同樣的注冊身份和權限訪問系統(tǒng)，而是以一定的角色訪問。不同的角色被賦予不同的訪問權限，系統(tǒng)的訪問控制機制只看到角色而看不到用戶。用戶先經(jīng)認證后獲得一定的角色，該角色被分配了一定的權限，以特定的角色來訪問系統(tǒng)資源。它能減少在有大量的智能設備的網(wǎng)絡中安全管理的復雜性和花費。RBAC可以用來提供統(tǒng)一的手段來管理對工業(yè)控制系統(tǒng)設備的訪問，同時降低維護單個設備訪問級別和最小化錯誤的成本。應使用RBAC將工業(yè)控制系統(tǒng)用戶權限限制為僅執(zhí)行每個人的工作所需的權限（即，基于最小特權的原則配置每個角色）。7.2訪問控制WEB服務器Web和Internet技術被添加到各種各樣的工業(yè)控制系統(tǒng)產(chǎn)品中，因為它們使信息更容易訪問，產(chǎn)品更便于用戶使用，更易于遠程配置。然而，它們也可能增加網(wǎng)絡風險，并產(chǎn)生了新的安全脆弱性，需要加以解決。SCADA和數(shù)據(jù)記錄系統(tǒng)軟件供應商通常提供Web服務器作為產(chǎn)品選項，以便控制室外的用戶可以訪問工業(yè)控制系統(tǒng)信息。在許多情況下，必須將軟件組件（如ActiveX控件或Java小應用程序）安裝到或下載到訪問Web服務器的每個客戶端機器上。一些產(chǎn)品，如PLC和其他控制設備，可以使用嵌入式Web、FTP和電子郵件服務器，使它們更易于遠程配置，并允許它們在特定條件發(fā)生時生成電子郵件通知和報告。當可行時，使用HTTPS而不是HTTP，使用SFTP或SCP而不是FTP，阻止入站FTP和電子郵件流量等。7.2訪問控制虛擬本地局域網(wǎng)絡(VLAN)VLAN將物理網(wǎng)絡劃分為更小的邏輯網(wǎng)絡，以提高性能，提高可管理性，并簡化網(wǎng)絡設計。VLAN是通過以太網(wǎng)交換機的配置來實現(xiàn)的。每個VLAN包括一個隔離來自其他VLAN的流量的單個廣播域。正如用交換機代替集線器減少沖突一樣，使用VLAN限制廣播流量，以及允許邏輯子網(wǎng)跨越多個物理位置。VLAN有兩類：靜態(tài)的，通常稱為基于端口的，其中交換機端口被分配給VLAN，以便它對終端用戶是透明的。動態(tài)的，其中終端設備與交換機協(xié)商VLAN特性，或者基于IP或硬件地址確定VLAN。通常不部署VLAN而部署防火墻或IDS的方式來處理主機或網(wǎng)絡的脆弱性。然而，當正確配置時，VLAN可以允許交換機執(zhí)行安全策略并在以太網(wǎng)層隔離流量。適當分割的網(wǎng)絡還可以減輕可能由端口掃描或蠕蟲活動引起的廣播風暴的風險。7.2訪問控制工業(yè)控制系統(tǒng)具有嚴格的可靠性和可用性要求。當需要檢修和修理時，技術資源可能物理上不在控制室或設備中。因此，ICS經(jīng)常使用調制解調器使供應商、系統(tǒng)集成商或控制工程師保持系統(tǒng)在網(wǎng)絡或組件上進行撥號和診斷、修復、配置和執(zhí)行維護。雖然這使授權人員容易訪問，如果撥號調制解調器沒有得到適當?shù)谋Ｗo，它們也可以為非授權使用提供后門?？紤]在ICS中安裝撥號調制解調器時使用回調系統(tǒng)。這確保撥號器是授權用戶，通過調制解調器根據(jù)撥號器的信息和在ICS認可的授權用戶列表中存儲的回調號碼建立工作連接。確保每個調制解調器的默認密碼已更改，并有強密碼。在物理上識別控制室操作員使用的調制解調器。配置遠程控制軟件，使用唯一的用戶名和口令，強認證方式，合適的加密，和審計日志。遠程用戶使用該軟件應在幾乎實時的頻率上進行監(jiān)控。如果可行的話，在不使用時斷開調制解調器，或者考慮在給定的一段時間內沒有連接的話自動斷開。調制解調器7.2訪問控制無線工業(yè)控制系統(tǒng)內的使用無線是一項具有風險的選擇。