《工业控制系统信息安全》课件-第八节 工业控制系统安全控制：认证与权限

7.1识别和认证识别和认证（IdentificationandAuthentication）是使用标识因素或凭据的组合来明确地识别潜在网络用户、主机、应用程序、服务和资源的过程。身份证明系统一般由三方组成：一方是出示证件的人，称作出示证者，又称作申请者，他提出某种入门或入网请求；另一方为验证者，检验出示证者的正确性和合法性，决定是否满足其要求；第三方是攻击者，他可以窃听或伪装示证者骗取验证者的信任。认证系统在必要时也会有第四方，即可信者，他的作用是参与调解纠纷。7.1.1口令认证口令认证技术根据已知事物验证身份，基于对请求访问的设备或人应该知道的东西测试（如PIN号码或密码）来确定真实性。口令认证方案被认为是最简单和最常见的认证形式。7.1.1口令认证为了解决因口令短而造成的安全性低的问题，常在口令后填充随机数，如可变口令也可由单向函数来实现。这种方法只要求交换一对口令而不是口令表。若中间数据丢失或出错，甲可向乙提供最近的取值，以求重新同步，而后乙可按上述方法进行验证。7.1.1口令认证工业控制系统广泛使用口令认证的方式，这种方式虽然简单实用，但也可能存在一些安全隐患。工业控制系统环境中的计算机系统通常依赖于传统口令进行身份验证。控制系统供应商经常为系统提供默认密码。这些密码是工厂设置的，通常容易猜测或不经常更改，这会造成额外的安全风险。此外，当前在工业控制系统环境中使用的协议通常具有不充分的或者根本没有网络服务认证。工业控制系统环境有关口令的一个特有的问题是，用户的回忆和输入密码的能力可能会受到瞬间的压力的影响。7.1.2挑战/应答认证挑战/响应认证要求服务请求者和服务提供者预先知道一个“秘密”代码。当服务被请求时，服务提供者向服务请求者发送一个随机数或字符串作为一个挑战。服务请求者使用秘密代码来为服务提供者生成唯一的响应。如果响应是预期的，它证明服务请求者可以访问“秘密”，而不必在网络上公开秘密。挑战/响应认证解决传统口令认证的安全脆弱性。当口令（散列了的或普通的）通过网络发送时，实际“秘密”本身的一部分正在被发送。通过向远程设备提供秘密来执行身份认证。7.1.2挑战/应答认证用户在客户端发起认证请求。客户端将认证请求发往服务器。服务器返回客户端挑战值。用户得到此挑战值。用户把挑战值输入给一次性口令产生设备（令牌）。令牌经过某一算法，得出一个一次性口令，返回给用户。用户把这个一次性口令输入到客户端。客户端把一次性口令传送给服务器。服务器得到一次性口令后，与服务器端的计算结果进行匹配，返回认证结果。客户端根据认证结果进行后续操作。7.1.3物理令牌认证物理或令牌认证类似于口令认证，除了这些技术通过测试秘密代码或由设备或一个请求访问的人所拥有的令牌所产生的密钥来确定真实性，例如安全令牌或智能卡。令牌认证防止复制秘密代码或与他人共享。物理令牌中的秘密可以非常大，物理上是安全的，并且是随机生成的。因为它嵌入在金属或硅中，所以它没有和手动输入密码相同的风险。如果安全令牌丢失或被盗，授权的用户失去访问，不像传统的密码，可能丢失或被盗而没有被注意到。智能卡（SmartCard）又称IC卡。它将微处理器芯片嵌在塑卡上代替无源存储磁条。智能卡的安全性比无源卡有了很大的提高，因为敌手难以改变或读出卡中所存的数据。在智能卡上有一存储用户永久性信息的ROM，在断电情况下也不会消失。

物理/令牌认证在工业控制系统环境中具有很强的作用。访问卡或其他令牌可以是用于计算机访问的有效形式的认证，只要计算机处于安全区域。7.1.4生物认证生物认证技术通过独特的生物学特性来确定请求访问者的真实性。可用的生物特征包括手指细节、面部几何形状、视网膜和虹膜特征、语音模式、打字模式等。由于生物特征对特定个体来说是唯一的，生物特征认证解决了物理令牌和智能卡丢失或被盗的问题。7.1.5数字签名数字签名是一种以电子形式存在于数据信息之中的，或作为其附件或逻辑上有联系的数据，可用于辨别数据签署人的身份，并表名签署人对数据信息中包含的信息的认可技术。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。一个完善的数字签名应该满足以下要求：其他任何人不能伪造签名。数字签名是真实的，签名者事后不能抵赖自己的签名。如果当事人双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来认其真伪。数字签名是实现认证的重要工具，常用的数字签名体制有RSA，Rabin,ElGamal,Schnorr,DSS,GOST和离散对数等签名体制。7.1.5数字签名信息交换特定的接受者需要确定信息只来自于特定发送者。特定的接受者需要确定信息只发送给自己E(Kpub-R,E(KPRIV-S,K))7.1.5数字签名公共密钥协议一个完善的数字签名应该满足以下要求：其他任何人不能伪造签名。数字签名是真实的，签名者事后不能抵赖自己的签名。D(E(M,Kpriv-s),Kpub-s)=M：发送者真实性保存E(M,Kpriv-s)：发送者不可伪造性7.1.5数字签名工业控制系统数据传输的核心在OPCUA中建立客户端与服务器之间的安全通信通道。该通道在通信过程中始终处于活动状态，保证了所有消息交换的完整性和认证性。这意味着客户端和服务器只需要一次相互认证。在该模型中，客户端使用其API发送和接收相应服务的请求和响应。服务器主要为客户端提供两种服务，一种是接收来自客户端的连接请求和通知订阅请求，另一种是将某些事件的发生发布到客户端，例如警报、数据值、事件和程序执行结果的改变。7.1.5数字签名（1）在建立安全通道之前，客户端请求CA认证服务器是否合法。认证内容包括CA签名、签发期限和失效日期以及CA撤销列表。（2）CA向客户端返回认证结果。（3）客户端请求服务器建立安全连接。客户端向服务器提供证书和一个现时值（nonce）。发送的数据用客户端的私钥签名，然后由服务器的公钥加密。（4）在服务器接收到连接请求后，服务器请求CA对客户端进行认证。认证的内容还包括CA签名、签发和失效日期以及CA撤销列表。（5）CA向服务器返回认证结果。（6）客户端认证后，服务器响应客户端的连接请求。服务器向客户端发送一个随机数、安全令牌和令牌的生存期。所发送的内容由服务器的私钥加密，然后由客户端的公钥加密。之后，客户端和服务器可以通过安全通道相互通信。在随后的通信中，消息的接收方计算接收到的消息的摘要，然后将其与签名中的摘要进行比较，以检查消息是否完整。7.1.6公钥基础设施技术公钥基础设施（PublicKeyInfrastructure,PKI）它是一种运用公钥密码理论与技术建立的、用以实施和提供各种安全服务的、具有普遍适用性的网络安全基础设施。PKI为使用数字证书的网络环境中的通信的身份管理、保密性和完整性提供了一种被证明的手段。使用正确的系统、策略和配置，可以无缝连接利用PKI整合网络安全和信息隐私的各个方面。这在企业信息技术（IT）环境中得到了证实，而PKI今天已经遍布到世界各地的IT机构中。一个典型的PKI应用系统由认证中心CA、证书库、Web安全通信平台等部分组成。其中，认证中心和证书库是PKI的核心。7.1.6公钥基础设施技术工业控制系统网络的安全考虑之一是这些网络所使用的通信路径。公钥基础设施（PKI）在保证工业控制系统网络通信中起着关键作用。使用数字证书，PKI提供了一种机制来验证网络上所有实体的身份。并且还确保信息在通信实体之间安全共享。PKI是一种行之有效的安全通信机制，在许多组织中得到了广泛的应用。然而，由于资源受限的环境、带宽考虑和硬实时通信需求等因素，PKI作为ICS安全性的解决方案是具有挑战性的。然而，PKI在工业自动化和控制系统网络中的部署有其自身的一系列挑战，例如时间关键的操作、资源受限环境和带宽考虑。在企业IT环境中适用的定义良好的策略可能会导致ICS操作的瓶颈。ICS设备与IT环境中使用的计算机类型有很大不同，具有独特的要求和实时性的挑战。此外，PKI还确保数据交换只发生在认证实体之间。例如，远程站将能够确保信息仅发送到预期的控制系统，并且控制系统可以确保其接收的信息来自认证的远程站7.1.6公钥基础设施技术此外，PKI还确保数据交换只发生在认证实体之间。例如，远程站将能够确保信息仅发送到预期的控制系统，并且控制系统可以确保其接收的信息来自认证的远程站7.1.7射频识别射频识别（RadioFrequencyIdentification，RFID）是应用无线电波（频率为50KHz~5.8GHz）来自动识别单个物体对象的技术的总称。典型的RFID系统由RFID标签（Tag）、标签阅读器（Reader）、后台服务器（Sever）组成。一般来说，一个安全的RFID系统需要解决以下四个问题：一是保密性。只有授权阅读器能够获取标签的信息。二是标签的不可追踪性。只有阅读器知道标签是否存在，未授权阅读器和攻击者。三是不可欺骗性，攻击者不能模拟阅读器去欺骗标签，也不能模拟标签去欺骗阅读器。四是鲁棒性，攻击者对RFID进行阻断攻击时，阅读器和标签信息能保持同步，不会导致系统崩溃。由于RFID系统的阅读器和标签通信是在无保护的无线通道中进行的。因此，保持RFID系统的安全非常重要。7.2访问控制访问控制技术是一种过滤和阻断技术，一旦授权被确定，就被设计用来指导和调节设备或系统之间的信息流动。以下部分介绍了几种访问控制技术及其与工业控制系统的应用。基于角色的访问控制(RBAC)在基于角色的访问控制中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问。不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色而看不到用户。用户先经认证后获得一定的角色，该角色被分配了一定的权限，以特定的角色来访问系统资源。它能减少在有大量的智能设备的网络中安全管理的复杂性和花费。RBAC可以用来提供统一的手段来管理对工业控制系统设备的访问，同时降低维护单个设备访问级别和最小化错误的成本。应使用RBAC将工业控制系统用户权限限制为仅执行每个人的工作所需的权限（即，基于最小特权的原则配置每个角色）。7.2访问控制WEB服务器Web和Internet技术被添加到各种各样的工业控制系统产品中，因为它们使信息更容易访问，产品更便于用户使用，更易于远程配置。然而，它们也可能增加网络风险，并产生了新的安全脆弱性，需要加以解决。SCADA和数据记录系统软件供应商通常提供Web服务器作为产品选项，以便控制室外的用户可以访问工业控制系统信息。在许多情况下，必须将软件组件（如ActiveX控件或Java小应用程序）安装到或下载到访问Web服务器的每个客户端机器上。一些产品，如PLC和其他控制设备，可以使用嵌入式Web、FTP和电子邮件服务器，使它们更易于远程配置，并允许它们在特定条件发生时生成电子邮件通知和报告。当可行时，使用HTTPS而不是HTTP，使用SFTP或SCP而不是FTP，阻止入站FTP和电子邮件流量等。7.2访问控制虚拟本地局域网络(VLAN)VLAN将物理网络划分为更小的逻辑网络，以提高性能，提高可管理性，并简化网络设计。VLAN是通过以太网交换机的配置来实现的。每个VLAN包括一个隔离来自其他VLAN的流量的单个广播域。正如用交换机代替集线器减少冲突一样，使用VLAN限制广播流量，以及允许逻辑子网跨越多个物理位置。VLAN有两类：静态的，通常称为基于端口的，其中交换机端口被分配给VLAN，以便它对终端用户是透明的。动态的，其中终端设备与交换机协商VLAN特性，或者基于IP或硬件地址确定VLAN。通常不部署VLAN而部署防火墙或IDS的方式来处理主机或网络的脆弱性。然而，当正确配置时，VLAN可以允许交换机执行安全策略并在以太网层隔离流量。适当分割的网络还可以减轻可能由端口扫描或蠕虫活动引起的广播风暴的风险。7.2访问控制工业控制系统具有严格的可靠性和可用性要求。当需要检修和修理时，技术资源可能物理上不在控制室或设备中。因此，ICS经常使用调制解调器使供应商、系统集成商或控制工程师保持系统在网络或组件上进行拨号和诊断、修复、配置和执行维护。虽然这使授权人员容易访问，如果拨号调制解调器没有得到适当的保护，它们也可以为非授权使用提供后门。考虑在ICS中安装拨号调制解调器时使用回调系统。这确保拨号器是授权用户，通过调制解调器根据拨号器的信息和在ICS认可的授权用户列表中存储的回调号码建立工作连接。确保每个调制解调器的默认密码已更改，并有强密码。在物理上识别控制室操作员使用的调制解调器。配置远程控制软件，使用唯一的用户名和口令，强认证方式，合适的加密，和审计日志。远程用户使用该软件应在几乎实时的频率上进行监控。如果可行的话，在不使用时断开调制解调器，或者考虑在给定的一段时间内没有连接的话自动断开。调制解调器7.2访问控制无线工业控制系统内的使用无线是一项具有风险的选择。