财产节制系统在过程出产、电力举措措施、水力油气和运输等范畴有着遍及的利用。传统节制系统的安然性首要依托于其手艺的隐蔽性,几近未采纳任何安然办法。跟着企业治理层对出产过程数据的日趋存眷,财产节制系统愈来愈多地采取开放lnternet手艺实现与企业网的互连。今朝,大年夜大都财产通信系统在商用把持系统的根本上开辟和谈,通信利用中存在良多缝隙。在财产节制系统与Internet或其他公共收集互连时,这些缝隙将会透露给暗藏报复打击者。别的,财产节制系统多用于节制关头根本办法,报复打击者出于政治目标或经济目标会主动向其倡议报复打击,以期造成严重后果。例如,2010年,“震网”病毒囊括全球,伊朗布什尔核电站因遭此报复打击延期运行。是以,比来几年来,财产节制系统的信息安然标题问题成为一个遍及存眷的热点标题问题。
本文首要起首连络财产节制系统的特点,阐发节制系统的要求及其面对的威胁和报复打击,其次连络相干尺度,从收集防护角度介绍了今朝的信息安然解决思路,并介绍了相干的研究趋势,包含安然通信和谈和安然节制器。
1、财产节制系统的信息安然阐发
1.1财产节制系统概述
财产节制系统是以计较机为根基组件,用于监测和节制物理过程的系统。这类系统包含了大年夜部门收集系统与物理系统连接的收集化系统。按照其利用范围,节制系统又可分为过程节制系统(PCS),监控和数据汇集系统(SCADA),或收集一物理系统(CPS)。
节制系统凡是由一系列收集设备构成,包含:传感器、履行器、过程节制单位和通信设备。节制系统凡是采取分层布局,典型的节制系统收集布局如图1所示,第一层为安装有传感器和履行器等现场设备的物理举措措施,现场设备经由过程现场总线收集与可编程逻辑节制器(PLC)或长途终端设备(RTU)连接,PLC或RTU设备负责实现局域节制功能。第二层为节制收集,首要负责过程节制器和把持员站之间的及时数据传输。把持员站用于区域监控和设置物理举措措施的设定值。第三层为企业网,企业工作站负责出产节制,过程优化和过程日记记实。
按照节制系统的利用特点,可以分为安然相干的利用和非安然相干的利用。安然相干的利用一旦掉效,可能会造成受节制的物理系统产生不成恢复的粉碎。假定这类节制系统蒙受粉碎,将会对公共健康和安然产生重大年夜影响,并导致经济损掉。
1.2财产节制系统的安然要求
传统IT信息安然的手艺相对成熟,但因为其利用处景与节制系统存在良多不合的地方,是以,不克不及直策利用于节制系统的信息安然呵护。本节首要针对节制系统与传统IT信息安然的辨别,阐发节制系统信息安然的特有属性,并提出节制系统面对的新的挑战。
节制系统的特点之一在于对可用性的要求。是以,传统信息安然的软件补丁编制和系统更新频率对节制系统不再合用。例如,节制系统的系统进级需要提早几个月进行打算,并且更新时需要将系统设为离线状况。并且,在财产利用环境下,停机更新系统的经济成本很高。别的,有些系统补丁还可能背反节制系统的法则设定。例如,2008年3月7日,某核电站突然停机,启事是系统中的一台监督工厂数据的计较机在软件更新后重启。计较机重启后将节制系统中的数据重置为默许值,导致安然系统觉得用于给核燃料棒降温的水温降落。
节制系统的另外一个特点在于对及时性的要求川。节制系统的首要任务是对出产过程主动做出及时的鉴定与决定计划。虽然传统信息安然对可用性的研究良多,但及时可用性需要供给更加严格的把持环境。例如,传统IT系统中常常采取握手和谈和加密等办法加强安然性,而在节制系统中,增加安然办法可能会严重影响系统的响应能力,是以不克不及将传统信息安然手艺直策利用于节制系统中。为了包管节制系统具有更强的安然性,节制收集需要实现相干安然机制和尺度,这就要求收集知足必然的机能要求。
除以上两个特点,节制系统与传统IT信息系统的最大年夜辨别在于节制系统与物理世界存在交互关系。总的说来,信息安然中的良多手艺办法和设计准则相对成熟,如认证,拜候节制,动静完全性,最小权限等。操纵这些成熟的手艺可以帮忙我们防御针对节制系统的报复打击。可是,计较机安然首要考虑信息的呵护,对报复打击若何影响物理世界并没有研究。并且,财产节制系统的资本有限,生命周期长,不克不及直接移植传统IT的信息安然手艺。是以,当然今朝的信息安然东西可觉得节制系统供给需要的防御机制,但仅仅依托这些机制,没法为节制系统供给充分的深度呵护。
当然,与传统IT系统比拟,节制系统也存在更容易把持的特点,为设计系统安然机制供给了便当。节制系统的收集动态特点更加简单,具有办事器变动少、收集拓扑固定、用户人群固定、通信类型固定、利用的通信和谈少等特点。
1.3财产节制系统的威胁
财产节制系统面对的威胁可以分为两种:系统相干的威胁和过程相干的威胁。典型的系统相干威胁和过程相干威胁如表1所示。
系统相干的威胁是指因为软件缝隙所酿成的威胁。节制系统从广义上是一种信息系统,会遭到系统相干的威胁,如和谈实现缝隙、把持系统缝隙等。在节制系统安然项目CCSP2009陈述中,经由过程CSSP安然评估,将一般节制系统的系统相干威胁分为九种类型。表2列举了这九种安然标题问题。
过程相干的威胁是指财产节制系统在出产过程蒙受的报复打击。这类报复打击操纵过程节制的特点,报复打击者不法获得用户拜候权限后,发布合法的财产节制系统号令,导致财产过程的故障。基于财产节制系统用户与财产过程的交互点,可以将过程相干的威胁分为两类:①影响现场设备的拜候节制的威胁;②影响中间节制台的威胁。前者凡是发送弊端的现场数据到节制系统状况监测中间,从而导致系统状况阐发呈现弊端。后者凡是在中间节制台履行合法的号令,但该号令对出产过程而言不合理,将对出产或设备产生负面影响。
节制系统的缝隙一旦被报复打击者操纵,会蒙受不合类型的报复打击,具体的报复打击情势可以分为:
1)棍骗报复打击:在通信过程中假装成某个合法设备。例如,利用一个捏造的收集源地址。
2)拒尽式办事报复打击:系统中肆意资本的不成用。例如,设备因忙于应对大年夜量的歹意流量而没法响应其他动静等。
3)中间人报复打击:报复打击者从通信的一端反对所有动静,点窜动静后再转发到终端领受设备。
4)重播报复打击:反复发送某个过时的动静,如用户认证或号令等。
2、财产节制系统的信息安然解决思路
为了不财产节制系统在通信过程中蒙受上述各类威胁与报复打击,需要利用多层安然办法完成对系统的呵护。本文将以现有的研究功能为根本,从收集鸿沟防护、安然和谈和安然节制器方面,介绍节制系统信息安然解决思路。
2.1收集鸿沟防护
上文所述财产节制系统的系统威胁,一方面是因为系统采取传统IT手艺,如把持系统、Web办事器、邮箱的缝隙等造成,另外一方面节制系统与企业网实现互连,透露于公共收集当中,面对更多的报复打击。是以,为了包管财产节制系统的安然性,起首需要加强收集鸿沟的防护,以降落由企业网引进的威胁风险。尺度SP800-82《财产节制系统(ICS)安然指南》指出,在措置财产节制系统收集与其他利用收集的连接标题问题时,需要遵循最小拜候原则设计,具体分为两点建议:
1)财产节制系统摆设收集时,建议隔离财产节制系统与其他企业收集。凡是这两类收集的流量不合,且企业网对收集设备变动没有指定严格的节制规程;假定财产节制系统收集流量存在于企业网上,可能会蒙受拒尽办事式报复打击。收集隔离可以经由过程采取防火墙等手艺实现。
2)假定财产节制系统收集与企业网之间必需成立连接,尽可能地只承诺成立一个连接,且连接经由过程防火墙或非军事区实现。在具体的手艺办法上,SP800-82从身份认证、拜候节制、审计与查对、系统与通信呵护等方面具体介绍了可用的手艺办法。
(1)身份认证
经由过程PIN码或暗码验证申请拜候的设备或人员。在收集上传输暗码时需要对暗码进行加密,经由过程拔取合适的加密哈希函数,可以禁止重播报复打击。暗码认证还可以辅以其他认证办法,如扣问/应对或利用生物令牌或物理令牌。告急环境下,财产节制系统利用暗码和生物认证都存在必然危险。是以在不合适利用暗码的环境下,可以采取周到的物理安然节建造为替代。
(2)拜候节制
基于角色的拜候节制(RBAC)可以用于限制用户的权限,使其能以最小的权限完成任务。系统治理员的通信需要加以认证,并对其保密性和完全性加以呵护,如利用SSHv2和HTTPS和谈。这两个和谈都利用公钥/私钥对进行用户认证。通信两边产生并利用对称密钥加密数据交互过程。
RADJUS长途认证拨号用户办事式今朝利用最多的认证和授权办事。它利用IEEE802.1×和EAP和谈,可以在收集的各个层实现用户认证。例如,防火墙和接进路由可以作为认证代办署理。
当无线设备或间断用户设备需要与其连接时,认证代办署理向设备发出扣问,设备经由过程认证办事器返回认证信息,从而获得授权和接进许可。
调制解调器经常常利用于供给备份连接。回叫系统经由过程存储于数据库中的回叫号码,确认拨号者是不是为合法用户。长途节制软件需要利用独一的用户名和暗码,加密和审计日记。链路层的邻居认证需要利用CHAP和谈等实现。
无线用户接进和收集设备间的链接可利用多种编制实现,如IEEE 802.11b/g的收集接进点编制。所有的无线通信需要利用强加密,如IEEE802.11i中的AEP加密。无线接进需要利用IEEE802.1x认证客户。
(3)审计与查对
财产节制系统需要进行周期性的审计,验证内容包含:测试阶段的安然节制办法在出产系统中仍安装利用;出产系统不受安然粉碎,假定遭到安然粉碎则供给报复打击的信息;改动项目需要为所有的变动成立审查和核准的记实。
周期性的审计成果用必然的怀抱暗示,用于显示安然机能和安然趋势。审计需要利用特定东西进行记实保护,需要财产节制系统中的组件撑持。审计有益于保护财产节制系统在系统生命周期内的完全性。财产节制系统需要为审计东西供给靠得住的同步时候戳。财产节制系统利用中保护的日记可以存储于多个地址,加密或不加密都是可以的。
(4)系统与通信呵护
系统与通信的呵护可以经由过程收集防护办法,如防火墙和进侵检测系统等,和数据加密,如VPN等实现。收集防火墙节制不合安然等第的收集区域间的数据流量。NIST SP 800-41为防火墙的选择和防火墙策略供给了指导。在财产节制系统环境下,需要在节制网和企业网之间摆设防火墙。防火墙包含的特点功能包含:事务记实,进侵检测系统,基于非军事区的路由,拜候列表等。
当系统被嗅探或报复打击时,进侵检测系统发出警报。进侵检测系统经由过程在收集的各个关头点汇集信息,阐发数据包内容发现歹意流量,并发出警报、烧毁无效数据、记实事务和勾当并触发其他安然响应。对多种财产节制系统中的利用和谈所遭到的报复打击,如DNP和lCCP,进侵检测系统也会增加响应的报复打击特点。
基于IPSec的VPN可觉得收集鸿沟的通信供给安然地道,凡是在响应的防火墙上履行。IPsec可以包管完全性、认证和数据保密性。在地道进口处,IP包外增加额外的数据包头,路由器利用新的包头信息转发数据,达到地道出口时,将原始IP包提掏出来。在用户认证过程中,IPSec凡是利用私钥和RSA签名。在动静认证和完全性呵护时,利用MD5或SHA哈希函数。在数据加密时,利用AES或3DES。IPSec还利用Diffie-Hellman作为对称密钥推导。IPSec设备利用IKE和谈认证其他设备、协商和分派对称加密密钥和成立IPSec安然连接。
节制系统的安然治理包含检测、阐发、供给安然和事务响应。具体内容包含动态调剂安然要求,安然缝隙的优先级排序,和安然要求到安然治理的映照:认证和授权办事器,安然密钥,流量过滤,IDS,登录等。SNMP用于治理IP收集资本,如路由,防火墙和办事器等。SNMP也可用于供给节制系统收集的集中治理。SNMPv3包含的安然特点有动静完全性,认证和加密。SNMPv3利用MD5和SHA哈希算法和DES和AES加密算法。
(5)其他办法
为了包管收集把持的靠得住性,财产节制系统需要设置冗余拓扑和功能。财产节制系统中大年夜多利用以太网和IP收集作为通信和谈。以太网层的冗余可以经由过程在局域网内利用RSTP和谈中的网格拓扑而实现。IP层的冗余经由过程路由间的备份链接,如OSPF动态路由和谈,和IP收集冗余接人,如VRRP和谈等。MPLS可觉得IP收集中的虚拟肆意和谈数据供给靠得住的数据传输。地道如L2TP和谈等也能够为IP收集中的数据供给靠得住传输。
在节制系统中的时钟和收集设备需要切确同步,事务日记记及时也需要记实下准确的时候。NTP和谈和IEEEl588和谈可以用于时候同步。NTP和谈在因特网中遍及利用,IEEEl588和谈则首要知足节制系统对时钟同步的要求。这两种和谈都可由自力设备供给办事,或有其他收集设备的组件供给办事。
2.2和谈安然性
财产通信和谈,如MODBUS和谈等,和谈设计时未采纳安然办法。但是跟着节制系统与外部收集的连接增多,需要增加通信两边的认证过程。和谈的安然性可以经由过程两种编制进步,一是直接点窜和谈,增加认证功能;二是在不点窜现有和谈的根本上,增加信息安然层。
文献设计了一种认证型Modbus和谈,该和谈经由过程对动静利用加密函数和哈希链,加强Modbus和谈的认证功能,从而使报复打击者没法假装成主机。同时操纵一个紧缩函数,削减数据存储大年夜小。这类编制可以增加和谈对通信两边的认证过程,但同时也会增加通信承担,即每次通话传输的动静都需要颠末加密认证,不必然能知足节制系统对及时性的要求。是以在设计时需要同时考虑计较效力与计较耗损。
文献借鉴功能安然的概念,提出了一种在通信系统之上增加信息安然模块的编制。节制系统的功能安然在传输系统的根本上增加功能安然层,无需改变底层传输系统,便可实现系统的故障安然。近似地,文献设计一种信息安然模块,用于呵护端到端通信的认证、完全性和保密性。所谓的安然模块不是指简单的物理模块,而是与PROFINET IO中的设备模型相对应,是一个软件实现。如图2所示,安然模块从利用层中获得过程数据,经由过程加密算法加密过程数据,操纵MD5算法计较动静完全性编码,状况字节用于暗示动静完全性和超时。安然模块经由过程参数化,可以适应不合的安然需乞降不合的计较能力。动静完全性编码可以避免中间人报复打击,例如,报复打击者截取发送的动静并窜悔改程数据,因为没有密钥,没法计较出准确的动静完全性编码,接管者在领遭到动静后对MAC进行验证,假定没法验证其准确性,则会点窜状况字节,用以报告请示受报复打击状况。
安然模块是置于PROFINET IO之上的软件层,只能用于防御基于收集的报复打击,而不克不及包管设备安然。假定报复打击者获得了设备的节制权,那么数据会被操控,而安然模块将没法产生感化。是以,可以将安然模块可以与设备安然办法相连络,解决设备和收集安然。
和谈安然性主如果表此刻对传输数据进行加密措置,包管动静的完全性和保密性,并实现对设备的安然认证。在实际利用中,需要考虑两个影响身分,一方面,因为加密办法的计较劲大年夜,对通信及时性和系统的可用资本城市产生影响,二是需要设计合理有效的密钥治理编制。
3.节制器设计
以上从收集防护和通信和谈的角度介绍了两种安然标题问题解决思路,但其本质上都是对信息的呵护。不管是何种报复打击,其最终的目标都是实现对物理举措措施的粉碎,是以,需要研究报复打击对系统的状况猜想和节制算法的影响,从物理系统的角度设计防御办法。
为了理解节制系统与物理世界的交互过程,起首需要阐发报复打击对物理系统的影响;其次基于节制号令和传感器的测量值,猜想物理系统应有的现象,从而鉴定是不是遭到报复打击者的影响;最终在节制器算法设计时将报复打击身分考虑在内,设计出一种可以抵抗报复打击的节制算法。
文献对重播报复打击和完全性报复打击进行阐发,采取卡尔曼滤波和x2故障查验法检测系统是不是遭到报复打击。这类检测编制基于物理模型,可以作为基于收集和计较机系统模型的进侵检测的弥补。在设计检测算法时,需要考虑及时性和嵌进式平台的计较能力限制。
文献起首成立物理系统的典型模型,将物理系统简化为一个线性系统。其次,针对DOS报复打击和棍骗报复打击,在原有线性系统模型根本上增加报复打击身分。如图3所示,报复打击身分可能漫衍在闭环节制回路的不合部门,传感器部门、履行器部门和设备部门。基于不合的报复打击身分,设计带状况监测器的节制算法,用以检测系统的运行状况。该算法可使系统在遭到拒尽时办事报复打击时,仍然处于安然状况;在遭到棍骗报复打击时,可以检测出报复打击。安然节制器的设计今朝仅限于学术范畴的研究,在实际系统中的利用还没有成熟。这是因为设计节制器需要成立相对切确的物理模型,普适性不高。可能的解决思路是在节制器的硬件设计时采取主节制器和安然节制器的模式,操纵旁道信息,如法度履行时候、代码履行挨次等,假定主节制器与安然节制器的旁道信息不一致,则采纳安然办法。
4、结束语
本文起首研究了财产节制系统的行业特点和需求,并阐发了财产节制系统面对的威胁,其次在深进体味相干行业信息安然保障利用行规以后,介绍了合用于财产节制系统的信息安然近况,从收集防护、和谈安然性和节制器设计这三个角度阐发了今朝的研究思路,具有必然的借鉴意义。