《工業(yè)控制系統(tǒng)信息安全》課件-第九節(jié) 工業(yè)控制系統(tǒng)安全控制：審計(jì)與數(shù)據(jù)安全 -p2

加密9.3數(shù)據(jù)安全

加密9.3數(shù)據(jù)安全工業(yè)控制系統(tǒng)中的遠(yuǎn)程受控終端系統(tǒng)，需要確保下列幾方面的信息安全：1)控制中心站點(diǎn)和目標(biāo)受控終端系統(tǒng)之間傳輸?shù)目刂浦噶畹臋C(jī)密性。2)控制指令本身是可以鑒別的，即控制中心站點(diǎn)確保產(chǎn)生針對(duì)特定的受控終端系統(tǒng)的控制指令，該機(jī)制也可以確保控制指令的完整性。3)控制指令的生命周期的合規(guī)性，指的是入侵者不能隨意改變控制指令接收的順序。此處討論的網(wǎng)絡(luò)安全問題主要來(lái)源于惡意攻擊者非法改變控制指令的正確接收順序，進(jìn)而引起對(duì)工業(yè)生產(chǎn)運(yùn)轉(zhuǎn)的破壞（可用性）。加密9.3數(shù)據(jù)安全控制中心站點(diǎn)C必須確保其所發(fā)的指令能被正確的遠(yuǎn)程受控終端系統(tǒng)正確接收。實(shí)現(xiàn)這個(gè)安全目標(biāo)相對(duì)容易些，因?yàn)榭梢韵駽發(fā)送一條鑒別確認(rèn)信息?？刂浦行恼军c(diǎn)和遠(yuǎn)程受控終端系統(tǒng)之間的下行通信信道是可信和機(jī)密的但遠(yuǎn)程受控終端系統(tǒng)和控制中心站點(diǎn)間的上行通信信道只能確?？设b別性。網(wǎng)絡(luò)化的工業(yè)控制系統(tǒng)環(huán)境用戶在客戶端發(fā)起認(rèn)證請(qǐng)求?？蛻舳藢⒄J(rèn)證請(qǐng)求發(fā)往服務(wù)器。服務(wù)器返回客戶端挑戰(zhàn)值。用戶得到此挑戰(zhàn)值。用戶把挑戰(zhàn)值輸入給一次性口令產(chǎn)生設(shè)備（令牌）。令牌經(jīng)過某一算法，得出一個(gè)一次性口令，返回給用戶。用戶把這個(gè)一次性口令輸入到客戶端。客戶端把一次性口令傳送給服務(wù)器。服務(wù)器得到一次性口令后，與服務(wù)器端的計(jì)算結(jié)果進(jìn)行匹配，返回認(rèn)證結(jié)果。客戶端根據(jù)認(rèn)證結(jié)果進(jìn)行后續(xù)操作。C

策略：使用挑戰(zhàn)應(yīng)答方式（需要注意哪個(gè)是客戶端，哪個(gè)是服務(wù)器）公開密鑰所有人都可以獲得，通信發(fā)送方獲得接收方的公開密鑰之后，就可以使用公開密鑰進(jìn)行加密，接收方收到通信內(nèi)容后使用私有密鑰解密。預(yù)先把密鑰保存在本地，到需要建立連接在取出虛擬專用網(wǎng)9.3數(shù)據(jù)安全虛擬專網(wǎng)，是指將在物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接而構(gòu)成邏輯上的虛擬子網(wǎng)。它采用認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性等安全機(jī)制在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，使得數(shù)據(jù)通過安全的“加密管道”在公用網(wǎng)絡(luò)中傳播。虛擬專用網(wǎng)9.3數(shù)據(jù)安全移動(dòng)用戶遠(yuǎn)程訪問VPN連接，由遠(yuǎn)程訪問的客戶機(jī)提出連接請(qǐng)求，VPN服務(wù)器提供對(duì)VPN服務(wù)器或整個(gè)網(wǎng)絡(luò)資源的訪問服務(wù)。在此連接中，鏈路上第一個(gè)數(shù)據(jù)包總是由遠(yuǎn)程訪問客戶機(jī)發(fā)出。遠(yuǎn)程訪問客戶機(jī)先向VPN服務(wù)器提供自己的身份，之后作為雙向認(rèn)證的第二步，VPN服務(wù)器也向客戶機(jī)提供自己的身份。網(wǎng)關(guān)-網(wǎng)關(guān)VPN連接，由呼叫網(wǎng)關(guān)提出連接請(qǐng)求，另一端的VPN網(wǎng)關(guān)作出相應(yīng)。在這種方式中，鏈路的兩端分別是專用網(wǎng)絡(luò)的兩個(gè)不同部分，來(lái)自呼叫網(wǎng)關(guān)的數(shù)據(jù)包通常并非源自該網(wǎng)關(guān)本身，而是來(lái)自其內(nèi)網(wǎng)的子網(wǎng)主機(jī)。呼叫網(wǎng)關(guān)首先應(yīng)答網(wǎng)關(guān)提供自己的身份，作為雙向認(rèn)證的第二步，應(yīng)答網(wǎng)關(guān)也應(yīng)向呼叫網(wǎng)關(guān)提供自己的身份。VPN可分為兩種類型：一種是移動(dòng)用戶遠(yuǎn)程訪問VPN連接；另一種是網(wǎng)關(guān)-網(wǎng)關(guān)VPN連接。虛擬專用網(wǎng)9.3數(shù)據(jù)安全VPN采用多種技術(shù)來(lái)保證安全，這些技術(shù)包括隧道技術(shù)（Tunneling）、加/解密（Encryption&Decryption）、秘鑰管理（KeyManagement）、使用者與設(shè)備身份認(rèn)證（Authentication）、訪問控制（AccessControl）等。（1）隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，它在共用網(wǎng)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道進(jìn)行傳輸。數(shù)據(jù)包在隧道中的封裝及發(fā)送過程如圖所示。隧道是由隧道協(xié)議構(gòu)建的，常用的由第2、3層隧道協(xié)議。虛擬專用網(wǎng)9.3數(shù)據(jù)安全（2）加/解密技術(shù)在VPN應(yīng)用中，加/解密技術(shù)是講認(rèn)證信息、通信數(shù)據(jù)等由明文轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加/解密的算法及強(qiáng)度。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)是保證密鑰在公用數(shù)據(jù)網(wǎng)上安全地傳遞而不被竊取?，F(xiàn)行的密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要利用Diffie-Hellman秘鑰分配協(xié)議，使通信雙方建立起共享密鑰。在ISAKMP中，雙方都持有兩把密鑰，即公鑰/私鑰對(duì)，通過執(zhí)行相應(yīng)的密鑰交換協(xié)議而建立共享密鑰。（4）身份認(rèn)證技術(shù)VPN需要確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實(shí)施資源訪問控制或?qū)τ脩羰跈?quán)。（5）訪問控制訪問控制決定了誰(shuí)能夠訪問系統(tǒng)、能訪問系統(tǒng)的何種資源及如何使用這些資源。采取適當(dāng)?shù)脑L問控制措施能夠阻止未經(jīng)允許的用戶有意或無(wú)意地獲取數(shù)據(jù)，或者非法訪問系統(tǒng)資源等。IPSecVPN9.3數(shù)據(jù)安全I(xiàn)PSec協(xié)議使用認(rèn)證頭AH和封裝安全凈載ESP兩種安全協(xié)議來(lái)提供安全通信。兩種安全協(xié)議都分為隧道模式和傳輸模式。傳輸模式用在主機(jī)到主機(jī)的通信，隧道模式用在其它任何方式的通信。傳輸模式只加密每個(gè)數(shù)據(jù)包的數(shù)據(jù)部分（負(fù)載），留下未加密的報(bào)頭。更加安全的隧道模式給每一個(gè)數(shù)據(jù)包添加一個(gè)新的報(bào)頭并且給原始的報(bào)頭和負(fù)載加密。在接收端，IPsec客戶端設(shè)備解密每個(gè)數(shù)據(jù)包。AH、ESP或AH+ESP既可以在隧道模式中使用，又可以在傳輸模式中使用。封裝安全載荷（ESP）定義在RFC2406中，用于為IP提供保密性和抗重播服務(wù)，包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性。IPSecVPN9.3數(shù)據(jù)安全I(xiàn)PSec的工作原理類似于包過濾防火墻，可以把它看做是包過濾防火墻的一種擴(kuò)展。IPSec網(wǎng)關(guān)通過查詢安全策略數(shù)據(jù)庫(kù)（SPD）決定對(duì)接收到的IP數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)、丟棄或IPSec處理。采用傳輸模式時(shí)，IPSec只對(duì)IP數(shù)據(jù)包的凈荷進(jìn)行加密或認(rèn)證。封裝數(shù)據(jù)包繼續(xù)使用原IP頭部，只對(duì)部分域進(jìn)行修改。IPSec協(xié)議頭部插入到原IP頭部和傳送層頭部之間。采用隧道模式時(shí)，IPSec對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。產(chǎn)生一個(gè)新的IP頭，IPSec頭被放在新IP頭和原IP數(shù)據(jù)包之間，組成一新IP頭。SSL/TSLVPN9.3數(shù)據(jù)安全SSLVPN也稱做傳輸層安全協(xié)議（TLS）VPN。TLS提供一種在兩臺(tái)機(jī)器之間加密每一個(gè)數(shù)據(jù)包內(nèi)容的安全通道。TLS協(xié)議主要用于HTTPS協(xié)議中。TLS也可以作為構(gòu)造VPN的技術(shù)。TLSVPN的最大優(yōu)點(diǎn)是用戶不需要安裝和配置客戶端軟件。只需要在客戶端安裝一個(gè)IE瀏覽器即可。數(shù)據(jù)加密身份驗(yàn)證防篡改SSL/TSLVPN9.3數(shù)據(jù)安全由于TLS協(xié)議允許使用數(shù)字簽名和證書，故它能提供強(qiáng)大的認(rèn)證功能。在建立TLS連接過程中，客戶端和服務(wù)器之間要進(jìn)行多次的信息交互。TLS協(xié)議的連接建立過程如圖所示。與許多C/S方式一樣：客戶端向服務(wù)器發(fā)送“Clienthello”信息打開連接。這個(gè)Hello信息標(biāo)識(shí)就是Client最高支持的TLS版本，支持的密碼套件，Session信息以及壓縮算法。服務(wù)器用“Serverhello”回答；會(huì)發(fā)送與協(xié)商確定Client的密碼套件，同時(shí)會(huì)發(fā)送ServerCertificate證書信息和服務(wù)器公鑰。要求客戶端提供它的數(shù)字證書；Client收到ServerHello后，會(huì)驗(yàn)證Server的證書信息是否合法，如果合法，則產(chǎn)生對(duì)稱密鑰，服務(wù)器公鑰進(jìn)行加密。完成證書驗(yàn)證，執(zhí)行密鑰交換協(xié)議密鑰交換協(xié)議的任務(wù)：SSL/TSLVPN9.3數(shù)據(jù)安全TLSVPN的實(shí)現(xiàn)主要依靠下面三種協(xié)議的支持。1）握手協(xié)議具體協(xié)議流程如下：TLS客戶機(jī)連接至TLS服務(wù)器，并要求服務(wù)器驗(yàn)證客戶機(jī)的身份。TLS服務(wù)器通過發(fā)送它的數(shù)字證書證明其身份。服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證。協(xié)商用于消息加密的加密算法和用于完整性檢驗(yàn)的雜湊函數(shù)?？蛻魴C(jī)生成一個(gè)隨機(jī)數(shù)，用服務(wù)器的公鑰對(duì)其加密后發(fā)送給TLS服務(wù)器。TLS服務(wù)器通過發(fā)送另一隨機(jī)數(shù)據(jù)做出響應(yīng)。對(duì)以上兩個(gè)隨機(jī)數(shù)進(jìn)行雜湊函數(shù)運(yùn)算，從而生成會(huì)話密鑰。SSL/TSLVPN9.3數(shù)據(jù)安全TLSVPN的實(shí)現(xiàn)主要依靠下面三種協(xié)議的支持。2）TLS記錄協(xié)議協(xié)議建立在TCP/IP協(xié)議之上，用在實(shí)際數(shù)據(jù)傳輸開始前通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法和交換加密密鑰等。3）警告協(xié)議警告協(xié)議用于提示何時(shí)TLS協(xié)議發(fā)生了錯(cuò)誤，或者兩個(gè)主機(jī)之間的會(huì)話何時(shí)終止。只有在TLS協(xié)議失效時(shí)告警協(xié)議才會(huì)被激活。優(yōu)點(diǎn)缺點(diǎn)無(wú)須安裝客戶端軟件；適用于大多數(shù)設(shè)備；適用于大多數(shù)操作系統(tǒng)；支持網(wǎng)絡(luò)驅(qū)動(dòng)器訪問；不需要對(duì)網(wǎng)絡(luò)做改變；較強(qiáng)的資源控制能力；費(fèi)用低且有良好安全性；可繞過防火墻進(jìn)行訪問；已內(nèi)嵌在瀏覽器中。認(rèn)證方式單一；應(yīng)用的局限性很大；只對(duì)應(yīng)用通道加密；不能對(duì)消息進(jìn)行簽名；LAN連接缺少解決方案；加密級(jí)別通常不高；不能保護(hù)UDP通道安全；是應(yīng)用層加密，性能差；不能訪問控制；需CA支持。SSH9.3數(shù)據(jù)安全SSH是用于安全地訪問遠(yuǎn)程計(jì)算機(jī)的命令接口和協(xié)議。網(wǎng)絡(luò)管理員廣泛使用它來(lái)遠(yuǎn)程控制Web服務(wù)器和其他類型的服務(wù)器。通常，SSH被部署為telnet應(yīng)用程序的安全替代。SSH包含在大多數(shù)UNIX發(fā)行版中，通常通過第三方軟件包添加到其他平臺(tái)。SSH提供了對(duì)shell或操作系統(tǒng)命令解釋器的經(jīng)過身份驗(yàn)證和加密的路徑。兩個(gè)SSH版本都替換了Unix實(shí)用程序，如Telnet，rlogin和rsh，用于遠(yuǎn)程訪問。SSH可防止欺騙攻擊和通信中的數(shù)據(jù)修改。SSH協(xié)議涉及本地和遠(yuǎn)程站點(diǎn)之間的協(xié)商，用于加密算法（例如，DES，IDEA，AES）和身份驗(yàn)證。云安全9.3數(shù)據(jù)安全將業(yè)務(wù)數(shù)據(jù)移動(dòng)到云意味著與云提供商共同承擔(dān)對(duì)數(shù)據(jù)安全的責(zé)任。遠(yuǎn)程使用IT資源需要云用戶擴(kuò)展信任邊界以包括外部云。信任邊界重疊的另一個(gè)后果與云提供商對(duì)云消費(fèi)者數(shù)據(jù)的特權(quán)訪問有關(guān)。數(shù)據(jù)安全的程度現(xiàn)在僅限于云消費(fèi)者和云提供商應(yīng)用的安全控制和策略。此外，由于基于云的IT資源是共享的，因此可能存在來(lái)自不同云消費(fèi)者的重疊信任邊界。信任邊界的重疊和數(shù)據(jù)暴露的增加可以為惡意云消費(fèi)者（人力和自動(dòng)化）提供更多機(jī)會(huì)來(lái)攻擊IT資源并竊取或破壞業(yè)務(wù)數(shù)據(jù)該圖說明了一種情況，即需要訪問同一個(gè)云服務(wù)的兩個(gè)組織將其各自的信任邊界擴(kuò)展到云，從而導(dǎo)致信任邊界重疊。云提供商很難提供滿足云服務(wù)消費(fèi)者安全要求的安全機(jī)制。云安全9.3數(shù)據(jù)安全常見的云安全機(jī)制包括加密、哈希、數(shù)字簽名、公鑰基礎(chǔ)設(shè)施（PKI），身份和訪問管理（IAM）和單點(diǎn)登錄（SSO）等。1）數(shù)字簽名數(shù)字簽名機(jī)制是通過身份驗(yàn)證和不可否認(rèn)性提供數(shù)據(jù)真實(shí)性和完整性的手段。散列和非對(duì)稱加密都涉及數(shù)字簽名的創(chuàng)建，數(shù)字簽名基本上作為消息摘要存在，該消息摘要由私鑰加密并附加到原始消息?？尚殴粽撸ㄔ品?wù)使用者A）更改的消息。虛擬服務(wù)器B配置為在處理傳入消息之前驗(yàn)證數(shù)字簽名，即使它們?cè)谄湫湃芜吔鐑?nèi)。由于其無(wú)效的數(shù)字簽名，該消息被顯示為非法，因此被虛擬服務(wù)器B拒絕。9.3數(shù)據(jù)安全2）身份和訪問管理（IAM）身份和訪問管理（IAM）機(jī)制包含控制和跟蹤IT資源、環(huán)境和系統(tǒng)的用戶身份和訪問權(quán)限所必需的組件和策略。?身份驗(yàn)證——用戶名和密碼組合仍然是IAM系統(tǒng)管理的最常見的用戶身份驗(yàn)證憑證形式，它還可以支持?jǐn)?shù)字簽名，數(shù)字證書，生物識(shí)別硬件（指紋識(shí)別器），專業(yè)軟件（如語(yǔ)音分析程序），以及將用戶帳戶鎖定到已注冊(cè)的IP或MAC地址。?授權(quán)——授權(quán)組件定義訪問控制的正確粒度，并監(jiān)督身份，訪問控制權(quán)限和IT資源可用性之間的關(guān)系。?用戶管理——與系統(tǒng)的管理功能相關(guān)，用戶管理程序負(fù)責(zé)創(chuàng)建新的用戶身份和訪問組，重置密碼，定義密碼策略和管理權(quán)限。?憑據(jù)管理——憑據(jù)管理系統(tǒng)為已定義的用戶帳戶建立身份和訪問控制規(guī)則，從而減輕授權(quán)不足的威脅。盡管其目標(biāo)與PKI機(jī)制的目標(biāo)類似，但I(xiàn)AM機(jī)制的實(shí)現(xiàn)范圍是不同的，因?yàn)槌朔峙涮囟?jí)別的用戶權(quán)限外，其結(jié)構(gòu)還包括訪問控制和策略。IAM機(jī)制主要用于抵制授權(quán)不足，拒絕服務(wù)和重疊信任邊界威脅。9.3數(shù)據(jù)安全3）單點(diǎn)登錄（SSO）跨多個(gè)云服務(wù)傳播云服務(wù)使用者的身份驗(yàn)證和授權(quán)信息可能是一項(xiàng)