今日頭條
官方微信
官方抖音
案例頻道
馬玉敏(1971-)
女,江蘇省丹陽市人,同濟大學CIMS研究中心博士,研究方向為網絡控制技術、數字化制造技術。
6.1 網絡中的安全性
信息安全、網絡可用性和可靠的通信是確保一個公司商業成功的三個主要特征。針對自動化網絡的攻擊,或者從互聯網對自動化網絡未經授權的接入嘗試,自動化系統的管理員都應該給予高度警惕。除此之外,在系統網絡中由公司職員或外部服務人員造成的有意或無意的安全威脅,同樣威脅到自動化生產過程。信息、生產過程以及操作過程的安全比以往任何時候都更為重要。
安全并非是一個靜態過程,而是一個動態過程。在這個過程中,很難對“虛擬”風險進行評估。然而,人們必須針對風險進行有效的防衛,并且根據最新的技術檢測這些防衛的有效性并進一步加以改進。對于安全等級的改進應當從風險的定義和評估開始。充分認識風險有助于適當的應對風險。
風險或者威脅總是在薄弱環節出現。在每個案例中,必須為具有潛在高風險的薄弱環節確定相應的優先級,并根據不同的優先級采取防范措施。區分優先次序涉及從經濟角度衡量風險,并且與相應的安全措施的代價進行平衡。
6.2 應急規劃
關于災難準備的全面性安全概念不僅包括如何防止病毒和黑客,也包括自然災害、硬件錯誤、人為錯誤等預防計劃。為了保護系統免受可能出現的災難,所有與安全相關的方面都應被考慮,并且應建立全面的防護墻。該防護墻將承受攻擊,并且有時可能因為一些因素而遭到破壞。用于維持防護墻功能的防范措施被概括地稱為IT安全。
圖1 全面的EDP防護墻
IT安全是一個針對整個公司的全面安全策略,包括常規目標和質量目標。其中,
● 常規目標,包括:①保護所有的IT系統;②防止破壞;③系統遭到破壞后的恢復工作。
● 質量目標,包括有效性、機密性、真實性和完整性。
6.2.1 安全漏洞和措施
為了達到一個能接受的安全等級,大約97%的公司采用病毒掃描,70%的公司采用接入控制工具,60%的公司采用防火墻。然而數據流的編碼措施卻很少采用,只有不到10%的公司采用這種措施。
根據調查,73%的公司的系統受到過病毒的感染,同時有31%的被調查者抱怨網絡可用性問題,其中一小部分安全漏洞是由工業間諜引起的,有4%是由DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊平臺所引起的,它通過使系統過載來對系統形成破壞。
由于自動化網絡并不會存在電子郵件問題,因此其風險主要是來自于網絡的可用性,工業間諜和DDoS攻擊。
6.2.2 自動化中的安全性
機器和系統的實用自動化是基于強大的通信。廣泛使用的總線系統正是為其而開發的,而現在正逐漸被以太網代替。在現場層中使用主流的以太網技術有利于成本的節省,同時也能通過消除技術屏障來簡化工程設計。這些都是眾所周知的使用以太網所能帶來的優點。但是,在安裝、操作和維護方面,基于以太網的自動化解決方案也決不會是一個退步。
關于有效的基礎組件,目前已經有多種類型的產品可供使用,如工業交換機。它們的使用無需專門知識,且有足夠的魯棒性能安裝在機器附近使用。合適的工業組件的有效性對以太網的成功起了很大的作用,由于RJ45端口本身的性質,即它提供了快速擴展可能性的同時,也提供了不可控制訪問性,因此人們必須考慮自動化的安全性方面的問題。由于簡單遠程訪問選項和無線LAN的使用,安全方面的討論將變得更加迫切。
與自動化技術的安裝方法和基礎結構同樣,安全措施也不能直接采用IT界的,而不作適當的修改。一種提高安全性而不增加復雜性的方法就是從機械上封鎖自由端口和插線電纜,如圖2所示。圖3是在工業交換機中建立訪問控制表,過濾訪問節點。一些制造商提供了專門設計的安全產品,它們使用加密技術建立VPN(Virtual Private Network,虛擬專用網)與防火墻相連接。然而,這些解決方案仍然過于昂貴,并且在實時能力上會起到副作用,而且參數化復雜。
圖2 自動化組件中的機械安全解決方案
圖3 在工業交換機中建立訪問控制表
6.3 網絡攻擊的檢測與處理
人們總是期望能從自己的桌面上自由地接入互聯網,也希望能從辦公環境接入自動化網絡,因此互聯網和自動化網絡能直接或者間接的相互連接(例如遠程診斷/監控)。由于自動化網絡至少使用一些與辦公環境網絡相同或者相似的協議,因此它極有可能具有通過互聯網被攻擊的風險。遺憾的是,這些不同的網絡間幾乎沒有采取保護內部網絡的措施,這就意味著滲透進公司網絡獲取敏感數據或者破壞重要的操作過程的核心功能是有可能的。
因此防護概念的一個重要部分就是偵查與處理網絡攻擊。即時響應通常能夠避免進一步破壞。
6.3.1 網絡攻擊
為了滲透進一個網絡,必須具有基本現狀知識,它能夠使攻擊獲得成功。現狀知識可以通過自動化生產過程(掃描)或者通過非技術(社會工程或廢品)手段獲得,包括連接掃描和穿越防火墻兩種。
(1)連接掃描—確定公共可訪問服務
圖4 連接掃描
如圖4所示,使用簡單的建立連接嘗試以及確認(端口或者返回的數據格式),就能判定目標計算機的服務類型,這樣,這些服務的弱點就會被利用。為了使掃描不被記錄,攻擊者不將應答信息返還給目標系統,因此建立連接嘗試失敗。如果在短時間內多次嘗試失敗,這就表明一次攻擊,或者至少是一次攻擊的準備。
(2)穿越防火墻—確定網絡拓撲
圖5 穿越防火墻
如圖5所示,在穿越防火墻中,數據包與起始值為1的TTL(Time to Live,生存期)一起發送到合法端口。第一個接收器(路由,交換機等等)將TTL減至0并拒絕該數據包。然而,數據包的被拒并不是不留痕跡的;拒絕數據包的接收器會對發送者返還一個回饋“超時,拒絕數據包,我的IP地址是…”。下一個數據包與值為2的TTL一起,重復著該過程。這樣攻擊者就能獲得網絡的拓撲結構,而不會使NAT路由器崩潰。 等 級 功能/設備 保 護 努力/知識 費 用
網絡攻擊的類型主要有:
(1)不安全的中繼點
如果一個攻擊者訪問了一個不安全的中繼點,那么它就可以偽裝成一個交換機,并對數據包相應地加以標識(標簽),而真正的交換機將提供所有的網絡資源的訪問權。
(2)含無效參數的IP數據包
這種攻擊經常被用來中斷目標系統的操作(拒絕服務)。由于其無效參數,這些IP數據包易于識別。如果出現多次這樣的數據包表明系統遭到了攻擊。例如,如果源地址或目標地址,以及源端口和目標端口相同,則多數計算機會因為某種執行錯誤而崩潰。
(3)SYN 泛濫
在SYN泛濫情況下,攻擊者不停地發送同步數據包以啟動一個連接建立。這些數據包被發送到目標系統以打開其端口,并能不停地改變源端口。目標計算機便會建立一個TCP連接并發送帶有SYN和ACK標記的確認信息,并等待通信連接的確認,但是攻擊者并不會發送。這樣,建立了大量的“半”連接,這最終將耗盡目標系統的大量資源,使它再也無法完成實際任務。
(4)IP欺詐
在IP欺詐的情況下,操作數據包的發送者IP地址,使其看上去像是來自于另一臺計算機。IP欺詐經常被用來通過防火墻或是在進行攻擊的情況下隱藏攻擊者的身份。
(5)登錄攻擊
在登錄攻擊情況下,發送至目標計算機的TCP數據包具有以下屬性:
● SYN標志被置位;
● 發送地址與目標計算機的地址是相同的。
目標計算機便會將它本身的ACK標志當作是新建立連接的SYN標志。這種無限循環將導致目標系統的崩潰。
(6)MAC(地址)泛濫/人為干擾
諸如“disniff”或“macof”這種軟件,會產生帶有不同MAC地址的數據包。如果在網絡攻擊中,一個交換機面對帶有成千上萬的不同的MAC發送地址的數據包,其內部的MAC列表(ARP列表)便會超出限度。交換機因此無法為特殊的數據包轉發使用其分配選項。結果,交換機就變成了集線器。這意味著它將所有接收到的數據包發送到所有端口,由此攻擊者便能記錄所要的數據包。
其它的攻擊方式還有:數據泛濫、SYN發送者無法找到、ICMP回復請求、緩沖器溢出、Smurf攻擊和整數溢出等。
6.3.2 Rootkit
Rootkit是在系統中隱藏運行的程序,它最早出現于2000年左右,鑒于其結構,功能和操作方法,是最復雜的一種攻擊形式,它威脅著網絡以及自動控制系統的安全。為了不被識破,Rootkit隱藏了它的過程、注冊表信息、相關文件和網絡連接。Rootkit截取了所有與硬盤空間相關的請求、運行過程以及注冊表信息,并操縱它們使自己不被發現并刪除。Rootkit可以無需交換文件就可以隱藏目標。它也可以在網絡掃描下隱藏自身的網絡連接信息,并使自己不被包括在連接列表窗體(網絡統計)中。它們和正在運行的服務使用同一端口,這樣它們就可以順利通過防火墻了。
要保護系統不受Rootkit的侵害非常困難,因為系統的源代碼一般都是公開的,也就是說要編譯一個新的不被防毒系統所識破的Rootkit是一件十分容易的事情。由于Rootkit一般都在系統的核心活動,它們擁有與操作系統本身相同的權限。它們操縱防火墻和病毒掃描器的驅動程序。
Rootkit的應用范圍很廣,包括:
● 可以隱藏鍵盤記錄程序和其它間諜軟件,這些軟件可以獲取密碼或用于工業間諜活動;
● 可以在不需要服務器操作知識的情況下通過網絡或FTP服務器散布非法的內容;
● 可以用來建立后門,為了DDoS攻擊和其它網絡攻擊提供方便;
● 可以用來操縱簽名和樣本文件,它們被用來偵測垃圾郵件、病毒、蠕蟲病毒、特洛伊木馬等。
6.4 防范機制
信息安全包括了保護數據/文件不被誤操作、盜竊、間諜以及操縱的所有合適的措施。為了防止機密數據的丟失越來越多地使用了防火墻,入侵檢測/響應和防入侵系統。這些系統也可以結合在一起使用,其目的就是將公司網絡屏蔽于外網之外。
6.4.1 分級保護機制
一個結合安全措施的解決方法主要針對于它的最薄弱的連接,所以,所有可能的薄弱環節都必須考慮周到。所需要的安全措施一般應該提供相同的防護等級,因為攻擊總是對準那些最薄弱的點。為了使過程更為簡單,可將可能的保護機制劃分等級。表1顯示了所達到的保護程度。
表1 分級安全機制
0
設備不含密碼保護
-使用集線器
-可自由訪問的設備,連接和電纜
1
從機械方面保護的電纜,設備和連接(控制柜,安全罩等)
-無自由連接的電纜。 提供保護,防止環路的無意形成,電纜中斷,和非授權的網絡連接
最小
2
等級一
-不使用網絡集線器
-使用非管理交換機 通過數據的專門轉發,防止數據和信息的被動記錄。
非常低
3
等級一
-使用管理交換機
-無默認密碼;
獨立強效密碼 提供更強的保護,防止對配置的篡改,配置的篡改會使數據和信息訪問簡單,并能夠對其進行操作。
極低
低
4
等級一,三
-不使用DHCP(動態主機配置協議)
-激活訪問控制
(限制IP地址) -第二層屏障防止對配置的篡改
-不會為了與網絡連接,而“公開發送”所需的配置設定(第三層屏障防止數據間諜,第二層屏障防止數據操作) 低
低
5
等級一,三,四和五
-使用VLAN
-開啟冗余機制 -第二層屏障防止機械上的配置錯誤
-第四/三層屏障防止數據間諜和操作
-如果接入非授權的端口,開啟附加的自動冗余報警(本地/遠程)來通知人員。 中
低
6
從機械方面保護的電纜,設備和連接(控制柜,安全罩等)
-無自由連接的電纜。 -第五/四層屏障防止數據間諜和操作
-通過邏輯沖突區增強其有效性
-如果接入非授權的端口,開啟附加的自動冗余報警(本地/遠程)來通知人員。
-如果非法接入端口,開啟不可中斷的遠程報警。
-如果某個被使用的端口在機械上有所改變(例如:斷開連接器,為一個非法的筆記本獲取一個空閑的端口),則開啟附加的報警(其它的遠程/本地)中/高
低
7
等級一,三,四,五和六
使用附加的設備來保護每一個獨立的網絡島(防火墻,數據包過濾器,病毒掃描器,入侵檢測) -只適用于被批準的服務
-只使用被批準的硬件
-病毒保護
-在邏輯層檢測攻擊
-高性能需求
-與實時應用相結合的問題 高
高
8
等級一,三,四,五,六和七
-授權機制的集成(RADIUS服務器)
-入侵響應/回避 PKI系統(公開密鑰基礎結構)
-加密(帶IPSec的VPN)
-登錄
-生物學方法(指紋,虹膜,簽名,聲音,等)
-智能卡 -只允許授權的人員(授權系統不可被操縱)
-在邏輯層對攻擊進行防御與響應(反擊)
-可以對攻擊的類型進行跟蹤,檢測到薄弱環節,
-數據與信息保護,通過加密防止操縱與間諜非常高
非常高
9
等級一,三,四,五,六,七,八
-證書
-一次性密碼
-tempest(抑制和防止電磁泄漏)系統
-異常檢測機制 最高安全等級,被用于ABC武器或智能服務
極高
極高
6.4.2 防火墻
防火墻的任務可以分成兩個主要部分:
● 檢查數據包
● 日志和報警生成
在檢查數據包時,每個數據包都會被調查,以確定是否允許它在期望的方向上通過防火墻。該檢查遵循預定的準則,也就是規則。每個輸入輸出的數據包都必須通過防火墻。環繞防火墻的各條其它的路徑都會削弱檢查的效果,甚至可能完全消除防火墻的作用。因此,識別和消除其它路徑是非常重要的。
這些其它路徑可能是私有的調制解調器,來自于這些調制解調器的數據流繞開每個防火墻,直接進入網絡,建議調制解調器安裝在防火墻外部“非安全”一側。
因此,建議將防火墻安裝在公司網絡與外界網絡中間連接點的位置上。這樣能夠通過簡單的配置就可以得到高等級的安全性。
日志和報警的生成能使管理人員對攻擊作出快速而準確地響應。日志能有助于重建攻擊,并確定被利用的薄弱點,從而優化防火墻的配置。
6.4.3 數據包過濾器
根據每個數據包頭部的相關信息,數據包過濾器確定這個數據包是否被繼續轉發還是被拒絕。被評估的信息包括來源和目的IP地址,所使用的傳輸協議,相關端口號,涉及到的設備的MAC地址。
數據包過濾器被用來限制和防止特定計算機或網絡之間的通信,并限制和防止特定設備的使用。由于對計算性能的要求極低,數據包過濾器常被直接應用在路由器或接入點上。
數據包過濾器的配置非常簡單,但經過長時間的使用后,其規則將變得模糊。另一方面,服務與被所使用的端口進行動態協商,這也將帶來問題。為了確保非限制操作,所有可能被使用的的端口都必須打開。很顯然,這與大多數安全概念相沖突。
6.4.4 入侵檢測/響應
入侵檢測是指一個系統,它可以自動檢測出對網絡的試圖攻擊,并且對相關管理人員觸發報警。入侵響應則是指一個系統,當它受到試圖攻擊時將自動采取適當的對策。
6.5 藍牙安全性
在藍牙規范中來提供的密碼安全機制有兩個主要目的:防止未授權的藍牙設備干擾通信,并徹底禁止活動的未授權的通信。除了傳輸錯誤檢測和消除的非密碼的方式,規范還詳細定義了密碼的授權和加密算法。由于它們已經在芯片層實現了,所以在鏈路層,他們可以以標準化的形式提供。
鏈接密鑰是其所使用的加密方法的基礎。在配對時,兩個藍牙設備將統一鏈接密鑰。
藍牙的定義中介紹了三種安全模式:
● 安全模式1:藍牙設備自己不啟動任何有效的安全機制,只是響應其它設備的認證請求;
● 安全模式2:根據藍牙設備和所使用的服務,由用戶對安全機制加以選擇和使用。設備只有當已經接受了建立連接的請求時才啟動安全機制;
● 安全模式3:在建立連接時,認證總是必需的。但可以選擇對傳輸的數據進行加密。
另外,下列的查詢模式用于發現藍牙設備:
● 不可發現的:對其它設備的查詢,設備不作響應;
● 有限的可發現:設備只在用戶發出指令時,才對其它設備的查詢作出響應;
● 一般可發現:設備自動對其它設備的查詢作出響應。
其它操作模式有“不可連接模式”(不響應頁面請求)或“可連接模式”,“不可配對模式”(不可能配對)或“可配對模式”。
6.6無線局域網的安全性
2003年6月,《ZDNet》有一則下面的消息:
● 德國慕尼黑在4.5個小時中發現了356個接入點;
● 60%的無線局域網完全沒有受保護;
● 219個局域網沒有WEP加密;
● 72個局域網使用默認的SSID;
● 在2004年6月,無安全保護的無線局域網占50%(總共調查了1400個接入點)。
無線局域網(WLAN)技術給我們帶來了很多方便和可移動性,節約了網絡電纜的安裝,并在網絡中接入其它設備不存在任何問題等等,但是無線局域網有其自身的缺點。與有線網絡不同,任何一個在接入點有效區域內的無線網用戶都可以接收到所有的數據包并加以評估。這就意味著在操作WLAN時,除了有線網絡中所用到的安全機制外,還必須添加其它的安全機制。需要其它機制的主要原因就是傳輸介質(共享媒介)缺少物理保護。
在規劃和創建一個WLAN時,正確的規劃無線系統能有效地阻止無授權的訪問及相關損失。這些措施包括:
● 適當的天線選址,以確保良好的覆蓋;
● 選擇合適性能的天線以及天線運行時的合適發送功率;
● 選擇合適的頻率實現理想的覆蓋(2.4 GHz和/或5GHz);
● 信道選擇不要重疊;
● 負載平衡;
● 使用無線指令探測;
● 使用無線傳感器探測干擾源和非授權的接入點;
● 檢測驗證系統中的邏輯DoS攻擊和EAP泛濫;。
● 定期的更新設備固件,并檢查制造商網站支持網頁上的有關故障和安全問題信息,及時獲取制造商關于修補漏洞的支持。
作者信息:
馬玉敏(同濟大學CIMS中心)
張 龍(菲尼克斯亞太電氣(南京) 有限公司)
北京市公安局海淀分局備案號:11010802023656號