《工業(yè)控制系統(tǒng)信息安全》課件-第九節(jié) 工業(yè)控制系統(tǒng)安全控制：審計與數(shù)據(jù)安全 -p2

加密9.3數(shù)據(jù)安全

加密9.3數(shù)據(jù)安全工業(yè)控制系統(tǒng)中的遠程受控終端系統(tǒng)，需要確保下列幾方面的信息安全：1)控制中心站點和目標受控終端系統(tǒng)之間傳輸?shù)目刂浦噶畹臋C密性。2)控制指令本身是可以鑒別的，即控制中心站點確保產(chǎn)生針對特定的受控終端系統(tǒng)的控制指令，該機制也可以確?？刂浦噶畹耐暾浴?)控制指令的生命周期的合規(guī)性，指的是入侵者不能隨意改變控制指令接收的順序。此處討論的網(wǎng)絡(luò)安全問題主要來源于惡意攻擊者非法改變控制指令的正確接收順序，進而引起對工業(yè)生產(chǎn)運轉(zhuǎn)的破壞（可用性）。加密9.3數(shù)據(jù)安全控制中心站點C必須確保其所發(fā)的指令能被正確的遠程受控終端系統(tǒng)正確接收。實現(xiàn)這個安全目標相對容易些，因為可以向C發(fā)送一條鑒別確認信息?？刂浦行恼军c和遠程受控終端系統(tǒng)之間的下行通信信道是可信和機密的但遠程受控終端系統(tǒng)和控制中心站點間的上行通信信道只能確?？设b別性。網(wǎng)絡(luò)化的工業(yè)控制系統(tǒng)環(huán)境用戶在客戶端發(fā)起認證請求。客戶端將認證請求發(fā)往服務(wù)器。服務(wù)器返回客戶端挑戰(zhàn)值。用戶得到此挑戰(zhàn)值。用戶把挑戰(zhàn)值輸入給一次性口令產(chǎn)生設(shè)備（令牌）。令牌經(jīng)過某一算法，得出一個一次性口令，返回給用戶。用戶把這個一次性口令輸入到客戶端?？蛻舳税岩淮涡钥诹顐魉徒o服務(wù)器。服務(wù)器得到一次性口令后，與服務(wù)器端的計算結(jié)果進行匹配，返回認證結(jié)果?？蛻舳烁鶕?jù)認證結(jié)果進行后續(xù)操作。C

策略：使用挑戰(zhàn)應(yīng)答方式（需要注意哪個是客戶端，哪個是服務(wù)器）公開密鑰所有人都可以獲得，通信發(fā)送方獲得接收方的公開密鑰之后，就可以使用公開密鑰進行加密，接收方收到通信內(nèi)容后使用私有密鑰解密。預(yù)先把密鑰保存在本地，到需要建立連接在取出虛擬專用網(wǎng)9.3數(shù)據(jù)安全虛擬專網(wǎng)，是指將在物理上分布在不同地點的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接而構(gòu)成邏輯上的虛擬子網(wǎng)。它采用認證、訪問控制、機密性、數(shù)據(jù)完整性等安全機制在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，使得數(shù)據(jù)通過安全的“加密管道”在公用網(wǎng)絡(luò)中傳播。虛擬專用網(wǎng)9.3數(shù)據(jù)安全移動用戶遠程訪問VPN連接，由遠程訪問的客戶機提出連接請求，VPN服務(wù)器提供對VPN服務(wù)器或整個網(wǎng)絡(luò)資源的訪問服務(wù)。在此連接中，鏈路上第一個數(shù)據(jù)包總是由遠程訪問客戶機發(fā)出。遠程訪問客戶機先向VPN服務(wù)器提供自己的身份，之后作為雙向認證的第二步，VPN服務(wù)器也向客戶機提供自己的身份。網(wǎng)關(guān)-網(wǎng)關(guān)VPN連接，由呼叫網(wǎng)關(guān)提出連接請求，另一端的VPN網(wǎng)關(guān)作出相應(yīng)。在這種方式中，鏈路的兩端分別是專用網(wǎng)絡(luò)的兩個不同部分，來自呼叫網(wǎng)關(guān)的數(shù)據(jù)包通常并非源自該網(wǎng)關(guān)本身，而是來自其內(nèi)網(wǎng)的子網(wǎng)主機。呼叫網(wǎng)關(guān)首先應(yīng)答網(wǎng)關(guān)提供自己的身份，作為雙向認證的第二步，應(yīng)答網(wǎng)關(guān)也應(yīng)向呼叫網(wǎng)關(guān)提供自己的身份。VPN可分為兩種類型：一種是移動用戶遠程訪問VPN連接；另一種是網(wǎng)關(guān)-網(wǎng)關(guān)VPN連接。虛擬專用網(wǎng)9.3數(shù)據(jù)安全VPN采用多種技術(shù)來保證安全，這些技術(shù)包括隧道技術(shù)（Tunneling）、加/解密（Encryption&Decryption）、秘鑰管理（KeyManagement）、使用者與設(shè)備身份認證（Authentication）、訪問控制（AccessControl）等。（1）隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，它在共用網(wǎng)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道進行傳輸。數(shù)據(jù)包在隧道中的封裝及發(fā)送過程如圖所示。隧道是由隧道協(xié)議構(gòu)建的，常用的由第2、3層隧道協(xié)議。虛擬專用網(wǎng)9.3數(shù)據(jù)安全（2）加/解密技術(shù)在VPN應(yīng)用中，加/解密技術(shù)是講認證信息、通信數(shù)據(jù)等由明文轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加/解密的算法及強度。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)是保證密鑰在公用數(shù)據(jù)網(wǎng)上安全地傳遞而不被竊取?，F(xiàn)行的密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要利用Diffie-Hellman秘鑰分配協(xié)議，使通信雙方建立起共享密鑰。在ISAKMP中，雙方都持有兩把密鑰，即公鑰/私鑰對，通過執(zhí)行相應(yīng)的密鑰交換協(xié)議而建立共享密鑰。（4）身份認證技術(shù)VPN需要確認用戶的身份，以便系統(tǒng)進一步實施資源訪問控制或?qū)τ脩羰跈?quán)。（5）訪問控制訪問控制決定了誰能夠訪問系統(tǒng)、能訪問系統(tǒng)的何種資源及如何使用這些資源。采取適當(dāng)?shù)脑L問控制措施能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)，或者非法訪問系統(tǒng)資源等。IPSecVPN9.3數(shù)據(jù)安全IPSec協(xié)議使用認證頭AH和封裝安全凈載ESP兩種安全協(xié)議來提供安全通信。兩種安全協(xié)議都分為隧道模式和傳輸模式。傳輸模式用在主機到主機的通信，隧道模式用在其它任何方式的通信。傳輸模式只加密每個數(shù)據(jù)包的數(shù)據(jù)部分（負載），留下未加密的報頭。更加安全的隧道模式給每一個數(shù)據(jù)包添加一個新的報頭并且給原始的報頭和負載加密。在接收端，IPsec客戶端設(shè)備解密每個數(shù)據(jù)包。AH、ESP或AH+ESP既可以在隧道模式中使用，又可以在傳輸模式中使用。封裝安全載荷（ESP）定義在RFC2406中，用于為IP提供保密性和抗重播服務(wù)，包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性。IPSecVPN9.3數(shù)據(jù)安全IPSec的工作原理類似于包過濾防火墻，可以把它看做是包過濾防火墻的一種擴展。IPSec網(wǎng)關(guān)通過查詢安全策略數(shù)據(jù)庫（SPD）決定對接收到的IP數(shù)據(jù)包進行轉(zhuǎn)發(fā)、丟棄或IPSec處理。采用傳輸模式時，IPSec只對IP數(shù)據(jù)包的凈荷進行加密或認證。封裝數(shù)據(jù)包繼續(xù)使用原IP頭部，只對部分域進行修改。IPSec協(xié)議頭部插入到原IP頭部和傳送層頭部之間。采用隧道模式時，IPSec對整個IP數(shù)據(jù)包進行加密或認證。產(chǎn)生一個新的IP頭，IPSec頭被放在新IP頭和原IP數(shù)據(jù)包之間，組成一新IP頭。SSL/TSLVPN9.3數(shù)據(jù)安全SSLVPN也稱做傳輸層安全協(xié)議（TLS）VPN。TLS提供一種在兩臺機器之間加密每一個數(shù)據(jù)包內(nèi)容的安全通道。TLS協(xié)議主要用于HTTPS協(xié)議中。TLS也可以作為構(gòu)造VPN的技術(shù)。TLSVPN的最大優(yōu)點是用戶不需要安裝和配置客戶端軟件。只需要在客戶端安裝一個IE瀏覽器即可。數(shù)據(jù)加密身份驗證防篡改SSL/TSLVPN9.3數(shù)據(jù)安全由于TLS協(xié)議允許使用數(shù)字簽名和證書，故它能提供強大的認證功能。在建立TLS連接過程中，客戶端和服務(wù)器之間要進行多次的信息交互。TLS協(xié)議的連接建立過程如圖所示。與許多C/S方式一樣：客戶端向服務(wù)器發(fā)送“Clienthello”信息打開連接。這個Hello信息標識就是Client最高支持的TLS版本，支持的密碼套件，Session信息以及壓縮算法。服務(wù)器用“Serverhello”回答；會發(fā)送與協(xié)商確定Client的密碼套件，同時會發(fā)送ServerCertificate證書信息和服務(wù)器公鑰。要求客戶端提供它的數(shù)字證書；Client收到ServerHello后，會驗證Server的證書信息是否合法，如果合法，則產(chǎn)生對稱密鑰，服務(wù)器公鑰進行加密。完成證書驗證，執(zhí)行密鑰交換協(xié)議密鑰交換協(xié)議的任務(wù)：SSL/TSLVPN9.3數(shù)據(jù)安全TLSVPN的實現(xiàn)主要依靠下面三種協(xié)議的支持。1）握手協(xié)議具體協(xié)議流程如下：TLS客戶機連接至TLS服務(wù)器，并要求服務(wù)器驗證客戶機的身份。TLS服務(wù)器通過發(fā)送它的數(shù)字證書證明其身份。服務(wù)器發(fā)出一個請求，對客戶端的證書進行驗證。協(xié)商用于消息加密的加密算法和用于完整性檢驗的雜湊函數(shù)?？蛻魴C生成一個隨機數(shù)，用服務(wù)器的公鑰對其加密后發(fā)送給TLS服務(wù)器。TLS服務(wù)器通過發(fā)送另一隨機數(shù)據(jù)做出響應(yīng)。對以上兩個隨機數(shù)進行雜湊函數(shù)運算，從而生成會話密鑰。SSL/TSLVPN9.3數(shù)據(jù)安全TLSVPN的實現(xiàn)主要依靠下面三種協(xié)議的支持。2）TLS記錄協(xié)議協(xié)議建立在TCP/IP協(xié)議之上，用在實際數(shù)據(jù)傳輸開始前通信雙方進行身份認證、協(xié)商加密算法和交換加密密鑰等。3）警告協(xié)議警告協(xié)議用于提示何時TLS協(xié)議發(fā)生了錯誤，或者兩個主機之間的會話何時終止。只有在TLS協(xié)議失效時告警協(xié)議才會被激活。優(yōu)點缺點無須安裝客戶端軟件；適用于大多數(shù)設(shè)備；適用于大多數(shù)操作系統(tǒng)；支持網(wǎng)絡(luò)驅(qū)動器訪問；不需要對網(wǎng)絡(luò)做改變；較強的資源控制能力；費用低且有良好安全性；可繞過防火墻進行訪問；已內(nèi)嵌在瀏覽器中。認證方式單一；應(yīng)用的局限性很大；只對應(yīng)用通道加密；不能對消息進行簽名；LAN連接缺少解決方案；加密級別通常不高；不能保護UDP通道安全；是應(yīng)用層加密，性能差；不能訪問控制；需CA支持。SSH9.3數(shù)據(jù)安全SSH是用于安全地訪問遠程計算機的命令接口和協(xié)議。網(wǎng)絡(luò)管理員廣泛使用它來遠程控制Web服務(wù)器和其他類型的服務(wù)器。通常，SSH被部署為telnet應(yīng)用程序的安全替代。SSH包含在大多數(shù)UNIX發(fā)行版中，通常通過第三方軟件包添加到其他平臺。SSH提供了對shell或操作系統(tǒng)命令解釋器的經(jīng)過身份驗證和加密的路徑。兩個SSH版本都替換了Unix實用程序，如Telnet，rlogin和rsh，用于遠程訪問。SSH可防止欺騙攻擊和通信中的數(shù)據(jù)修改。SSH協(xié)議涉及本地和遠程站點之間的協(xié)商，用于加密算法（例如，DES，IDEA，AES）和身份驗證。云安全9.3數(shù)據(jù)安全將業(yè)務(wù)數(shù)據(jù)移動到云意味著與云提供商共同承擔(dān)對數(shù)據(jù)安全的責(zé)任。遠程使用IT資源需要云用戶擴展信任邊界以包括外部云。信任邊界重疊的另一個后果與云提供商對云消費者數(shù)據(jù)的特權(quán)訪問有關(guān)。數(shù)據(jù)安全的程度現(xiàn)在僅限于云消費者和云提供商應(yīng)用的安全控制和策略。此外，由于基于云的IT資源是共享的，因此可能存在來自不同云消費者的重疊信任邊界。信任邊界的重疊和數(shù)據(jù)暴露的增加可以為惡意云消費者（人力和自動化）提供更多機會來攻擊IT資源并竊取或破壞業(yè)務(wù)數(shù)據(jù)該圖說明了一種情況，即需要訪問同一個云服務(wù)的兩個組織將其各自的信任邊界擴展到云，從而導(dǎo)致信任邊界重疊。云提供商很難提供滿足云服務(wù)消費者安全要求的安全機制。云安全9.3數(shù)據(jù)安全常見的云安全機制包括加密、哈希、數(shù)字簽名、公鑰基礎(chǔ)設(shè)施（PKI），身份和訪問管理（IAM）和單點登錄（SSO）等。1）數(shù)字簽名數(shù)字簽名機制是通過身份驗證和不可否認性提供數(shù)據(jù)真實性和完整性的手段。散列和非對稱加密都涉及數(shù)字簽名的創(chuàng)建，數(shù)字簽名基本上作為消息摘要存在，該消息摘要由私鑰加密并附加到原始消息?？尚殴粽撸ㄔ品?wù)使用者A）更改的消息。虛擬服務(wù)器B配置為在處理傳入消息之前驗證數(shù)字簽名，即使它們在其信任邊界內(nèi)。由于其無效的數(shù)字簽名，該消息被顯示為非法，因此被虛擬服務(wù)器B拒絕。9.3數(shù)據(jù)安全2）身份和訪問管理（IAM）身份和訪問管理（IAM）機制包含控制和跟蹤IT資源、環(huán)境和系統(tǒng)的用戶身份和訪問權(quán)限所必需的組件和策略。?身份驗證——用戶名和密碼組合仍然是IAM系統(tǒng)管理的最常見的用戶身份驗證憑證形式，它還可以支持數(shù)字簽名，數(shù)字證書，生物識別硬件（指紋識別器），專業(yè)軟件（如語音分析程序），以及將用戶帳戶鎖定到已注冊的IP或MAC地址。?授權(quán)——授權(quán)組件定義訪問控制的正確粒度，并監(jiān)督身份，訪問控制權(quán)限和IT資源可用性之間的關(guān)系。?用戶管理——與系統(tǒng)的管理功能相關(guān)，用戶管理程序負責(zé)創(chuàng)建新的用戶身份和訪問組，重置密碼，定義密碼策略和管理權(quán)限。?憑據(jù)管理——憑據(jù)管理系統(tǒng)為已定義的用戶帳戶建立身份和訪問控制規(guī)則，從而減輕授權(quán)不足的威脅。盡管其目標與PKI機制的目標類似，但IAM機制的實現(xiàn)范圍是不同的，因為除了分配特定級別的用戶權(quán)限外，其結(jié)構(gòu)還包括訪問控制和策略。IAM機制主要用于抵制授權(quán)不足，拒絕服務(wù)和重疊信任邊界威脅。9.3數(shù)據(jù)安全3）單點登錄（SSO）跨多個云服務(wù)傳播云服務(wù)使用者的身份驗證和授權(quán)信息可能是一項