工業(yè)以太網(wǎng)安全性問題探析范文
本站小編為你精心準(zhǔn)備了工業(yè)以太網(wǎng)安全性問題探析參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,以太網(wǎng)技術(shù)已經(jīng)被廣泛應(yīng)用工業(yè)控制當(dāng)中,但是這也暴露出了諸多的安全問題。所以,深入的研究工業(yè)以太網(wǎng)中的各種協(xié)議,從協(xié)議的角度探究安全性問題的解決方案,會(huì)有更好的效果。基于此,本文首先分析了工業(yè)以太網(wǎng)的安全性問題;接著,總結(jié)并完善了工業(yè)以太網(wǎng)技術(shù)的安全防護(hù)技術(shù);最后,對(duì)工業(yè)以太網(wǎng)的安全防護(hù)方案進(jìn)行了總結(jié)。
關(guān)鍵詞:工業(yè)以太網(wǎng);協(xié)議;安全防護(hù);解決方案
隨著中國制造2025計(jì)劃的提出[1],工業(yè)互聯(lián)網(wǎng)的發(fā)展已經(jīng)上升到了國家戰(zhàn)略的層面上,工業(yè)互聯(lián)網(wǎng)的安全性問題,也越來越受到業(yè)界的重視。根據(jù)國家信息漏洞共享平臺(tái)的統(tǒng)計(jì),2017年就發(fā)現(xiàn)了超過1000條重大的信息安全漏洞。這其中涉及了絕大多數(shù)的工業(yè)互聯(lián)網(wǎng)控制設(shè)備供應(yīng)商,并且其中的高危漏洞占比更是達(dá)到了48.59%。根據(jù)權(quán)威機(jī)構(gòu)工業(yè)安全事件信息庫(RISI)的統(tǒng)計(jì),僅在2017年,就發(fā)生了超過200起專門針對(duì)基礎(chǔ)工業(yè)網(wǎng)絡(luò)所發(fā)起的攻擊,并且每一次的攻擊均造成了難以估量的經(jīng)濟(jì)損失[2]。一般來說,絕大多數(shù)的攻擊都是利用了現(xiàn)有的工業(yè)以太網(wǎng)的漏洞,來進(jìn)行惡意的攻擊和控制的。由于工業(yè)以太網(wǎng)的設(shè)計(jì)之初是應(yīng)用在封閉的網(wǎng)絡(luò)環(huán)境中的,所以其各種控制協(xié)議和策略均沒有考慮安全性的問題。但是隨著工業(yè)以太網(wǎng)的發(fā)展,封閉的網(wǎng)絡(luò)環(huán)境已經(jīng)無法支持現(xiàn)在工業(yè)以太網(wǎng)的發(fā)展,并且互聯(lián)網(wǎng)化也是發(fā)展的趨勢(shì)。所以按照現(xiàn)有的工業(yè)以太網(wǎng)協(xié)議,攻擊者只需要獲得相應(yīng)的權(quán)限,便可以輕松進(jìn)行惡意的篡改和監(jiān)聽[3]。以著名的Stuxnet蠕蟲病毒為例,該病毒便是利用西門子工控機(jī)的協(xié)議缺乏認(rèn)證和加密的缺陷,使得攻擊者可以輕松進(jìn)行監(jiān)聽和攻擊,這次的惡意攻擊給伊朗的核電站造成了難以估量的損失。
1工業(yè)以太網(wǎng)的安全性問題分析
目前工業(yè)互聯(lián)網(wǎng)的主要安全問題解決方式,到目前為止仍然是IEC62443標(biāo)準(zhǔn)的安全解決方案[4]。但是這種安全解決方案,是偏向于系統(tǒng)級(jí)的。工業(yè)以太網(wǎng)所使用的協(xié)議是現(xiàn)場總線型協(xié)議,與IT系統(tǒng)有著較大的差異,所以在安全性的需求上也不同[5]。工業(yè)以太網(wǎng)控制系統(tǒng)的安全性問題主要出現(xiàn)在數(shù)據(jù)明文傳輸,容易被監(jiān)聽或篡改等方面。工業(yè)以太網(wǎng)控制協(xié)議主要有Modbus/Tcp、Ethernet/IP、OPC、DNP3這五種,下面將對(duì)其安全性問題進(jìn)行分析。(1)Modbus/Tcp協(xié)議安全性問題一個(gè)典型的Modbus/Tcp控制系統(tǒng)的結(jié)構(gòu)如圖1所示,多個(gè)PLC控制器與設(shè)備之間采用串行Modbus協(xié)議進(jìn)行通信。文獻(xiàn)[6]就指出了Modbus/Tcp控制系統(tǒng)在信息傳輸時(shí),缺乏安全保護(hù)措施,容易受到洪泛攻擊、重放攻擊等安全性威脅。文獻(xiàn)[7]總結(jié)了Modbus/Tcp協(xié)議的主要安全性威脅,主要包括加密、認(rèn)證、效驗(yàn)、可編程、溢出、廣播風(fēng)暴等。(2)Ethernet/IP協(xié)議安全性問題Ethernet/IP是實(shí)時(shí)的通信協(xié)議,因?yàn)樵搮f(xié)議缺乏時(shí)間戳和加密操作,所以容易受到拒絕服務(wù)的攻擊,以及數(shù)據(jù)篡改和中間人攻擊等[8]。同時(shí)由于UDP之上的Ethernet/IP協(xié)議是無連接的,其并沒有進(jìn)行數(shù)據(jù)的可靠性和完整性校驗(yàn),這就會(huì)造成重放攻擊和拒絕服務(wù)攻擊的開展。總的來說Ethernet/IP協(xié)議存在著加密、認(rèn)證、重放、拒絕服務(wù)等安全性漏洞。(3)OPC協(xié)議安全性問題OPC協(xié)議是一種中間協(xié)議,實(shí)現(xiàn)現(xiàn)場信號(hào)和軟件的數(shù)據(jù)通信。最新的OPC協(xié)議規(guī)范已經(jīng)進(jìn)行了安全性防護(hù)的補(bǔ)充,其可以在底層的數(shù)據(jù)通信中提供加密的需求,并且提供可靠性和完整性校驗(yàn)。雖然這些措施對(duì)整個(gè)協(xié)議的安全性有一定的提高,但是其仍然存在著認(rèn)證、DOS、主機(jī)等方面的安全性威脅[9]。(4)DNP3協(xié)議安全性問題DNP3是美國國家通信標(biāo)準(zhǔn),其存在著DNP3-Sec和DNP3-SAv5兩個(gè)加強(qiáng)安全性的變種版本。DNP3-Sec主要是在數(shù)據(jù)鏈路層進(jìn)行安全性加強(qiáng),DNP3-SAv5主要是在應(yīng)用層進(jìn)行安全性加強(qiáng)。雖然其在數(shù)據(jù)的認(rèn)證、加密、完整性校驗(yàn)、可靠性等方面有一定程度的提升,但是其仍然存在著拒絕服務(wù)、惡意篡改、惡意監(jiān)聽等安全性威脅[10]。上述四種協(xié)議,在一定程度上都滿足了可用性和可靠性的要求,其對(duì)安全性的提升主要側(cè)重在完整性上。只有DNP3協(xié)議對(duì)信息安全的五項(xiàng)基本要求(保密性、完整性、可用性、可控性、不可否認(rèn)性)都做出了安全性的提升。但是某些研究也表明,DNP3協(xié)議仍然存在著安全性的問題[11]。
2工業(yè)以太網(wǎng)的安全性問題解決方案
本文將從外部主動(dòng)防護(hù)技術(shù)、內(nèi)部被動(dòng)防護(hù)技術(shù)和協(xié)議本身的安全性改進(jìn)三個(gè)方面來進(jìn)行闡述。(1)外部主動(dòng)防護(hù)技術(shù)外部主動(dòng)防護(hù)系統(tǒng)部署在系統(tǒng)外部,主要有縱深防御技術(shù)、入侵檢測、入侵防御等等。防火墻、網(wǎng)間隔離、白名單、黑名單、端口過濾等技術(shù)都屬于縱深防御技術(shù)。其也是目前來說可以有效確保工業(yè)控制系統(tǒng)安全的有效方法,其可以將工業(yè)控制設(shè)備分成多個(gè)“區(qū)”,如分軍事區(qū)、安全隔離區(qū)等等,再進(jìn)行安全策略的設(shè)計(jì)。目前國內(nèi)市場上的工業(yè)防火墻和網(wǎng)絡(luò)隔離設(shè)備供應(yīng)商主要有三零衛(wèi)士、海天煒業(yè)、力控華康等[12]。其產(chǎn)品均可以在工控網(wǎng)絡(luò)中建立黑名單、白名單協(xié)議關(guān)鍵字段過濾等安全防護(hù)措施,這可以有效較低工控網(wǎng)絡(luò)的安全性威脅。入侵檢測系統(tǒng)和入侵防御系統(tǒng)也是縱深防御技術(shù)重要的實(shí)現(xiàn)方式。其主要采用模式匹配的方法,對(duì)數(shù)據(jù)進(jìn)行辨析。入侵檢測系統(tǒng)是并聯(lián)旁路在系統(tǒng)中,它可以對(duì)系統(tǒng)中的所有數(shù)據(jù)流量進(jìn)行監(jiān)測,并發(fā)現(xiàn)惡意數(shù)據(jù)。入侵防御系統(tǒng)是串聯(lián)在系統(tǒng)中,系統(tǒng)中的所有數(shù)據(jù)需要通過入侵防御系統(tǒng)才可以進(jìn)行接收,其可以有效過濾惡意報(bào)文等[13]。(2)內(nèi)部被動(dòng)防護(hù)技術(shù)內(nèi)部被動(dòng)防護(hù)技術(shù)主要包括深度分組檢測和安全評(píng)估兩種方式。深度分組檢測主要是流量統(tǒng)計(jì)和協(xié)議報(bào)文分析,其可以發(fā)現(xiàn)異常流量和異常數(shù)據(jù),以便在問題出現(xiàn)之前將安全漏洞扼殺在搖籃中。安全評(píng)估系統(tǒng)也是工業(yè)控制網(wǎng)絡(luò)安全性解決方案中重要的組成部分,其通過對(duì)系統(tǒng)協(xié)議的分析,來對(duì)系統(tǒng)的整個(gè)安全性和可疑的攻擊進(jìn)行評(píng)估。安全性評(píng)估包含多種方法,主要有基于協(xié)議模型的方法、基于異常行為處理的方法、基于聚類分析的方法、基于中間件檢測的方法[14]。(3)協(xié)議的安全性改進(jìn)就目前技術(shù)來說,協(xié)議安全性改進(jìn)主要是通過加密和其他的安全協(xié)議承載傳輸數(shù)據(jù)這兩種方式來實(shí)現(xiàn)的。再細(xì)分又可以分為從端到端加密、鏈路加密、節(jié)點(diǎn)加密三種方式來實(shí)現(xiàn)[15],如圖2所示。
3總結(jié)
隨著工業(yè)大數(shù)據(jù)、中國制造2025的推進(jìn),工業(yè)控制系統(tǒng)的安全性問題顯得越來越重要,尤其是關(guān)乎國家安全的領(lǐng)域,如電網(wǎng)、核能等等。本文以協(xié)議為基礎(chǔ),總結(jié)并闡述了現(xiàn)今的工業(yè)控制網(wǎng)絡(luò)中存在的安全性問題;并且從外部主動(dòng)防護(hù)、內(nèi)部被動(dòng)防護(hù)、協(xié)議改進(jìn)這三種方式來論述工業(yè)控制網(wǎng)絡(luò)安全性提升的方法。
參考文獻(xiàn):
[1]袁勝.中國制造2025,工控安全不容忽視[J].中國信息安全,2016(4):44-47.
[2]羅軍舟,楊明,凌振,等.網(wǎng)絡(luò)空間安全體系與關(guān)鍵技術(shù)[J].中國科學(xué):信息科學(xué),2016,46(8):939.
[3]屈婉瑩,魏為民,朱蘇榕.工業(yè)控制系統(tǒng)通信協(xié)議安全研究[C]//2015年全國智能電網(wǎng)用戶端能源管理學(xué)術(shù)年會(huì).
[5]彭勇,江常青,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012(10):1396-1408.
[11]張盛山,尚文利,萬明,等.基于區(qū)域/邊界規(guī)則的ModbusTCP通訊安全防御模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(11):3701-3707.
[12]陶耀東,李寧,曾廣圣.工業(yè)控制系統(tǒng)安全綜述[J].計(jì)算機(jī)工程與應(yīng)用,2016,52(13):8-18.
[13]賴英旭,劉增輝,蔡曉田,等.工業(yè)控制系統(tǒng)入侵檢測研究綜述[J].通信學(xué)報(bào),2017,38(2):143-156.
作者:廖游 單位:中國電子科技集團(tuán)第三十研究所
