今日頭條
官方微信
官方抖音
案例頻道遭受攻擊的類型 怎樣使無線通信更安全
過程自動化應用中的安全問題 最佳安全措施
1 概述
迄今為止,關于無線通信在過程自動化領域的應用中最經(jīng)常被提及的是安全問題。
人們對于無線網(wǎng)絡最常見的誤解是,它沒有有線網(wǎng)絡來得安全。 由于攻擊無線系統(tǒng)無需有形干擾,所以它常被誤認為比有線系統(tǒng)的安全性低。 但是事實上,有線和無線系統(tǒng)在面對攻擊的時候一樣脆弱。
由于這些脆弱性易為人理解,有責任感的設備供應商以及其他組織已經(jīng)開發(fā)出相關的技術和操作方法來對系統(tǒng)進行保護。 選擇并使用正確的安全措施將給您帶來一個安全、可靠而且易于使用的網(wǎng)絡——不管是有線還是無線都一樣。 當了解了這些風險,采取措施進行防護并不困難。
因為自組織現(xiàn)場網(wǎng)絡是無線技術在工廠內的一個重要的新應用,所以往往會導致大量關于安全方面的討論。因此,雖然本文討論的安全原則可應用于過程自動化領域的所有無線技術,仍然采用廠內自組織網(wǎng)絡作為例證。
2 通信安全
通信安全指的是將可驗證的數(shù)據(jù)從可信任的數(shù)據(jù)源發(fā)送到可信任的接收方而期間無第三方干擾的能力。
安全通信系統(tǒng)可以使您:
鑒別發(fā)送器和接收器——也就是說,要確認它們跟自稱的是否一致。
驗證信息有效——驗證收到的信息是否同發(fā)出的信息相一致。
數(shù)據(jù)加密——未經(jīng)授權者即使收到數(shù)據(jù)也無法閱讀。
這些都不是什么新概念了。 作為保證通信安全的方法,鑒別、驗證和加密早就以某些形式而存在了。
在討論這些技術如何影響無線網(wǎng)絡的安全之前,讓我們先回顧一下歷史,看一看在戰(zhàn)爭期間國王是如何利用信使將他的命令傳送給戰(zhàn)場指揮官的:
首先,國王將信息加密,或者將信息用密碼寫成,密碼只有他和戰(zhàn)地指揮官才能理解。
最后,國王、信使和指揮官使用預先安排的口令來鑒別信息的送出和接收者是否正確。
戰(zhàn)場指揮官然后將信息解密,并貫徹國王的指示。
現(xiàn)代通信使用相似(但是更為復雜)的安全技術,這些將在本文后面加以分析。
但我們首先需要考慮的問題是,當國王的(或您的)敵人試圖干擾通信時,將會發(fā)生什么情況?
3 遭受攻擊的類型
盡管有加密、鑒定和認證,您的通訊仍然有可能遭到攻擊,尤其當您沒有很好地實施安全措施時,就更容易遭受攻擊了。
我們還是使用和國王、信使以及戰(zhàn)場指揮官同樣的類推方法,來演示一下每種攻擊都是如何進行的。
拒絕服務 使用無用信息充塞信息通道,以此來阻止系統(tǒng)正常工作。這種攻擊包括阻塞,或者在信息通路上制造干擾等等。 例如國王的敵人可能會將道路用樹枝和巖石堵塞,以防止信使及時通過來傳遞信息。
欺騙 利用他人身份,試圖進入系統(tǒng)。 在本例中,有人假裝成國王,派遣自己的信使傳遞假信息給戰(zhàn)地指揮官。
中途攻擊 攻擊者在半路上截取、更改和/或控制信息而不讓發(fā)送者和接收者知道,他們之間的聯(lián)系已然遭受變化。
例如,國王派遣他信任的信使來傳遞信息——其實這個人并不值得信任; 信使將信息交給了另外一個人,這個人將信息加以更改;然后信使將新信息傳達給戰(zhàn)地指揮官。
信息重放 這是一種網(wǎng)絡攻擊的形式。 在這種情況下,信息未經(jīng)授權而被儲存,然后在發(fā)送者不知情的情況下被重復發(fā)送。
例如,不值得信賴的信使可能將國王的信息傳達給戰(zhàn)地指揮官,然后第二天,同樣的信息又被發(fā)送了一次——然后每天發(fā)送一次。 如果命令的內容是告訴指揮官將軍隊向西移動五英里,那么每接到這么一次命令軍隊都會移動五英里,以至于最后遠遠地偏離了指定位置。
各種現(xiàn)代形式的攻擊(以及其它不正當?shù)年幹\)使用電子方法進行,但是對您的通信以及依賴于通信的過程操作具有同樣巨大的破壞力——除非您知道如何有效地保護您的網(wǎng)絡。
4 過程自動化應用中的安全問題
電子郵件或電話通信的中斷已經(jīng)夠煩人的了,但是假如攻擊發(fā)生在過程控制通信中,那么后果可能嚴重得多了。 可以想象一下一個錯誤的數(shù)據(jù)可能帶來的一系列后果——產(chǎn)品質量發(fā)生問題、打亂計劃的停工期、無效勞動、以及健康、安全問題或環(huán)境事故等等。
雖然大多數(shù)工廠都在維護物理性安全方面有積極的計劃,傳統(tǒng)上過程控制信息的電子安全卻很少得到關注。但是后來過程控制網(wǎng)絡以及系統(tǒng)同其它的工廠以及商務系統(tǒng),直到同外界互聯(lián)網(wǎng)的聯(lián)系越來越多,安全方面的情況也就隨之發(fā)生了變化。
為了在這些情形下對數(shù)據(jù)加以保護,如今工廠一般會采用分層的方法來保證通信安全。
用來保護過程數(shù)據(jù)以及系統(tǒng)免遭外部攻擊。
在這個例子當中, 第一層安全防護是高質量、工業(yè)級的防火墻,處于因特網(wǎng)和公司的局域網(wǎng)(LAN)之間; 第二層是第二道防火墻,連接公司LAN和過程控制網(wǎng)絡。過程控制網(wǎng)絡由DCS/PLC,自動和優(yōu)化分組,歷史數(shù)據(jù)記錄儀和數(shù)據(jù)庫組成。每道防火墻都為它連接的兩個網(wǎng)絡之間提供一道電子安全屏障,阻擋未經(jīng)授權的或具有潛在危險的信息。
然而,商業(yè)防火墻根據(jù)設計通常是同因特網(wǎng)協(xié)議而非控制系統(tǒng)通信一起工作。 這一點常常讓人們感到緊張,因為他們擔心設備會收到來自于網(wǎng)絡方面的攻擊,或者網(wǎng)絡通過設備收到攻擊。
但是這就是無線網(wǎng)絡比類似的有線網(wǎng)絡安全性低的原因嗎?
5 有線VS 無線
無線系統(tǒng)無需物理性干擾即可被攻擊, 這是人們常常覺得無線比有線系統(tǒng)安全性差的一個原因。 但是事實上,無線和有線系統(tǒng)同樣易受攻擊。
關于無線系統(tǒng)的一個常見的誤解是,假如一個流氓設備處于無線網(wǎng)絡的覆蓋范圍,它很容易被連接到附屬的過程控制網(wǎng)絡中去。事實上卻不是這樣的,這一點在后面有更加詳細的討論。另外,這些低功率無線設備一般來說必須處于非常近的距離范圍內(大約750英尺或250米)才能進行通信。這個距離范圍十分有限,對于外部設備而言要對工廠內部的無線網(wǎng)絡產(chǎn)生干擾是很困難的。
即使外部設備可以進入網(wǎng)絡,正在形成的標準也可以通過界定一些方法對通信過程進行保護。 按照這些標準生產(chǎn)的產(chǎn)品將使過程自動化網(wǎng)絡非常穩(wěn)定地運行,并接受保護,免遭這些類型的攻擊。
事實上,出于安全意識的提高,無線設備以及網(wǎng)絡的供應商們在設計產(chǎn)品的時候也在考慮安全問題。因此,這些產(chǎn)品通常不是過程控制操作中的首要安全問題,相反,真正的問題常常來自于老式的DCS系統(tǒng)和私有協(xié)議,因為它們在一開始設計的時候并沒有考慮到我們今天要考慮的安全問題。
6 怎樣使無線通信更安全
無線設備供應對于無線設備的潛在安全風險以及對風險的關切做了仔細的研究,并采取步驟將這些安全措施整合到產(chǎn)品中去。
根據(jù)本文前面的講述,最有效的無線安全策略包括三種能力:
識別發(fā)送者和接收者
核實數(shù)據(jù)的有效性
為數(shù)據(jù)進行加密
另外,在我們舉的國王和戰(zhàn)場指揮官的例子中,當他們交換了信息之后還有兩個更加重要的問題:
定期改變密碼的關鍵管理措施
防阻塞,避免干擾和通信空間被堵塞
讓我們更加仔細地研究一下這幾個方面:
識別
如前所述,通過識別,我們可以辨別發(fā)送者和接收者是否真的同其自己宣稱的一致。 在無線網(wǎng)絡方面, 網(wǎng)絡內的通信設備應該證明它們是網(wǎng)絡內授權的節(jié)點,同有關信息所稱相一致。
經(jīng)過授權的設備可以通過交換“密鑰”來對彼此進行鑒別,這些密鑰是一種數(shù)字編碼,等同于口令,已經(jīng)被編入設備和主機之中。 通過這種方法,我們可以防止那些沒有正確密鑰的流氓設備或者黑客通過訪問點侵入網(wǎng)絡并進行通信,好像它們是網(wǎng)絡的有效節(jié)點一樣。
有些供應商將識別能力在制造的時候就整合到無線網(wǎng)關當中。(網(wǎng)關用來從無線網(wǎng)絡中收集數(shù)據(jù),然后將信息傳遞到過程控制網(wǎng)絡)。正如在有限網(wǎng)絡中一樣,這些網(wǎng)關僅僅容許經(jīng)過授權的設備加入網(wǎng)絡——這樣您就可以在安裝和運行的時候定義這些設備的身份。
例如,您可對網(wǎng)關進行編程,這樣只有來自于已知的發(fā)送器才可以連接到網(wǎng)絡中去。 任何不在名單上的發(fā)送器,將無一例外地被認定為“流氓設備”,它們的訪問將遭到拒絕。 隨后發(fā)送器將接受那些僅僅來自于以前認定的網(wǎng)關或其它經(jīng)過網(wǎng)關認定為授權設備的信息。
流氓設備還可以通過另外一種方法來破壞網(wǎng)絡, 即偽裝成獲得授權的設備,然后截取并修改信息(稱作“欺騙”)。在這種情況下,利用信息完整性檢測碼,網(wǎng)關仍然可以防止流氓設備在您的網(wǎng)絡上進行通信。
核實
有一種可以對信息進行核實,看看它是否在通信的過程中遭到更改的方法是使用信息完整檢測碼。信息完整檢測碼是一種特殊形式的求校驗和,或者數(shù)學上的值,在從設備到網(wǎng)關和從網(wǎng)關到設備的通信過程中被加到通信包上去。
例如,假如有流氓設備試圖偽裝成網(wǎng)絡內合法的壓力變送器,在通信時它附帶的數(shù)學值將被發(fā)現(xiàn)同正確的信息完整檢測碼不符,這時信息將被認定為無效,并為接收器所擯棄。
有些網(wǎng)絡使用時間標記來提供另外一種水平的信息核實方法。 這時信息完整檢測碼將變?yōu)橐环N時間性功能。通過這種方法可以防止信息“重放”類型的攻擊,因為重復通信的時間標志不會符合信息完整檢測碼,簡單來說,時間標記可以保證信息的“新鮮度”。
加密
密碼技術用于無線網(wǎng)絡時,可以通過數(shù)字“密鑰”利用數(shù)學方法來改變信息中的數(shù)據(jù),或者將數(shù)據(jù)重新拼湊組合,使任何接收設備或系統(tǒng)以外的人無法閱讀(接收器可以使用匹配的密鑰來對數(shù)據(jù)進行解密)。
為了盡可能地減少未加密數(shù)據(jù)的暴露,在產(chǎn)生信息的實際設備那兒進行加密是一種很好的方法。
數(shù)據(jù)加密的方法有多種類型,這里介紹兩種最常見的方法:
AES (高級加密標準)是美國政府的一種標準,為許多對安全要求較高的組織應用,例如,聯(lián)邦儲備銀行用它在銀行之間傳遞貨幣。雖然這種加密技術非常可靠,但是它在計算方面要求很高,對于一些嵌入式的、用于工廠設備例如閥門和變送器的計算裝置來說,由于它們都過于嬌小,功率甚低,所以很難使用。然而,由于ASICs 的到來(專用集成電路),這種加密功能便可以在無線設備/網(wǎng)關層次上進行應用了。
XTEA (延伸小型加密算法)在計算強度方面較低——但是仍然足夠強大,使非法的信息解密幾乎沒有可能。
關鍵管理
所謂的關鍵管理指的是數(shù)據(jù)編碼解碼過程中的創(chuàng)造、分配、識別以及密鑰(密碼)的保存。
關鍵管理的薄弱會使得安全系統(tǒng)同時被削弱。這就好像您丟失了銀行卡——恰恰又發(fā)現(xiàn)您的密碼寫在了卡的背面一樣可怕。 或者打個比方,您以前的一個心懷不滿的員工仍舊擁有一套您的編碼密鑰,想象一下,會發(fā)生什么情況?
一種保證數(shù)據(jù)安全的方法是頻繁地更改編碼密鑰。 通常密鑰更改得越頻繁,您的系統(tǒng)也就越不易遭受攻擊。 但是這樣系統(tǒng)會變得更加復雜,除非您的網(wǎng)關或者其它系統(tǒng)可以進行編程,使密鑰自動地“旋轉”變化。
關鍵管理有三種基本層次:
層次1:同一制造商生產(chǎn)的所有設備都使用同樣的密鑰。這種層次聊勝于無,不建議使用。
層次2:同一個網(wǎng)絡內的所有設備都是用同一個密鑰。 假如密鑰可以定期更改的話,對大多數(shù)網(wǎng)絡而言,這種層次的安全措施是可以接受的。
層次3: 每一對端到端通信配合之間都使用一個不同的密鑰。例如您可以為您的壓力變送器和閥門之間使用一套密鑰,而從壓力變送器到網(wǎng)關之間使用另外一套。
隨著安全措施層次的提高,關鍵管理復雜性也大大提高了。 您可以同您的安全專家和IT 團隊來共同決定哪一種對您的工廠最合適,或者使用無線設備供應商所建議的合適的安全層次。
防阻塞
防阻塞能力減少了射頻或者其它的電磁信號的干擾,這些信號可能是有意的,也可能是無意的,但是都可能會中斷網(wǎng)絡通信。
有種稱作擴頻的防阻塞技術,是通過將信息在更大的帶寬上進行分配后進行傳輸,以最大可能地保證通信的成功。 常見的有兩種方法:即跳頻擴頻(FHSS)和直接序列擴頻(DSSS).
FHSS 將通信集中成隨時間快速變化的一種獨特的頻率,如果一個頻率遭到干擾或障礙而堵塞,信息可以在很短的時間內跳到另外一個頻率來恢復進行。
DSSS用于Wi-Fi (IEEE802.11)通信技術,其中每個“0”或者“1”都用一個特定頻率的數(shù)字信息來表示,頻率之間具有微小的變化。這樣即使干擾使得通信部分中斷,接收器仍然可以識別足夠的其它頻率。
有些無線網(wǎng)絡同時使用FHSS 和DSSS 以便確保通信安全。
使無線通信更加安全——將所有安全措施放在一起
由于您不可能確切地知道您會面對哪些類型的攻擊,所以一個好的保護措施應該能夠防備所有類型的攻擊。 下面的圖表表示了我們剛剛評論的技術當中哪一種能夠減低常見的安全威脅帶來的風險。 (這個圖表并非指所有可能的安全威脅)。
|
|
拒絕服務
|
欺騙
|
中途截取
|
信息重放
|
|
防阻塞
|
ü
|
|
|
|
|
識別
|
|
ü
|
ü
|
|
|
核實
|
|
|
ü
|
ü
|
|
加密
|
|
ü
|
ü
|
|
|
關鍵管理
|
ü
|
|
|
ü
|
7 最佳安全措施
只要通信安全措施得當,無線通信技術可以為您帶來可觀的成本和性能效益。
讓我們來看一下在一些行業(yè)中的最佳實際操作方法,這些方法可以幫您加強網(wǎng)絡的安全(不管是有線的還是無線的),并保護數(shù)據(jù)的安全。
堅持開放標準。 私有軟件和協(xié)議常常很有誘惑力,使人相信因為知道它們的人更少,所以也就更安全。但是即使供應商特定的協(xié)議,那些真正想找到它們的人也一樣會輕易得手,反過來利用它們來對付您。
但是如果使用開放標準,您會受益于其他人所作的工作,并繼續(xù)受益,還可以持續(xù)對穩(wěn)定性和安全性進行改善,并增加新的功能。
選擇致力于安全方面的設備供應商。保護網(wǎng)絡安全最重要的步驟之一,是尋找一個能夠理解本課程所列舉的安全問題的供應商來進行合作。 安全措施應該設計到網(wǎng)絡框架中去,而不是事后添加。
領先的過程自動化無線技術的供應商,通常會考慮到一個安全可靠的網(wǎng)絡結構的方方面面, 并且知道如何執(zhí)行一個有效的安全策略的所有組成部分,包括加密、識別、核實、關鍵管理以及防阻塞技術等等。這樣強力有效的安全措施就會易于實行,而難以忽視。
同您的IT部門密切合作。您的IT 團隊具有記錄完整的安全實踐措施,可以為您的無線安全網(wǎng)絡提供幫助。 您可能需要先幫助它們理解您的應用和他們已經(jīng)習以為常的辦公以及商業(yè)系統(tǒng)的應用之間的區(qū)別,但是原則總是一樣的。
8 總結
只要措施得當,無線網(wǎng)絡可以同有線網(wǎng)絡一樣安全。因為無線設備在設計時就已經(jīng)考慮到安全問題,所以甚至有可能比有線網(wǎng)絡更加安全。
對通信安全進行的潛在攻擊方法包括: 拒絕服務、欺騙、中途截取以及信息重放等。
只有綜合了所有加密、識別、核實、關鍵管理以及防阻塞的方法,安全措施才最有效。只有綜合使用所有這些方法,您才會擁有真正的安全。
安全措施必須設計到系統(tǒng)架構中去,而不是事后添加。
經(jīng)驗豐富的設備供應商使您的安全策略的實施更加容易。但是要保證通信安全仍然是您的責任。而應用最佳安全措施將會有助于您的網(wǎng)絡安全。
北京市公安局海淀分局備案號:11010802023656號