PlantWeb大学:无线技术安全--控制网



PlantWeb大学:无线技术安全
企业:艾默生 日期:2009-05-11
领域:工业无线 点击数:674
    通信安全                              有线 vs. 无线

    遭受攻击的类型                        怎样使无线通信更安全

    过程自动化应用中的安全问题            最佳安全措施

1  概述

    迄今为止,关于无线通信在过程自动化领域的应用中最经常被提及的是安全问题。

    人们对于无线网络最常见的误解是,它没有有线网络来得安全。 由于攻击无线系统无需有形干扰,所以它常被误认为比有线系统的安全性低。 但是事实上,有线和无线系统在面对攻击的时候一样脆弱。

    由于这些脆弱性易为人理解,有责任感的设备供应商以及其他组织已经开发出相关的技术和操作方法来对系统进行保护。 选择并使用正确的安全措施将给您带来一个安全、可靠而且易于使用的网络——不管是有线还是无线都一样。 当了解了这些风险,采取措施进行防护并不困难。 

    因为自组织现场网络是无线技术在工厂内的一个重要的新应用,所以往往会导致大量关于安全方面的讨论。因此,虽然本文讨论的安全原则可应用于过程自动化领域的所有无线技术,仍然采用厂内自组织网络作为例证。

2  通信安全

    通信安全指的是将可验证的数据从可信任的数据源发送到可信任的接收方而期间无第三方干扰的能力。 

    安全通信系统可以使您:

    鉴别发送器和接收器——也就是说,要确认它们跟自称的是否一致。 

    验证信息有效——验证收到的信息是否同发出的信息相一致。 

    数据加密——未经授权者即使收到数据也无法阅读。 

    这些都不是什么新概念了。 作为保证通信安全的方法,鉴别、验证和加密早就以某些形式而存在了。

    在讨论这些技术如何影响无线网络的安全之前,让我们先回顾一下历史,看一看在战争期间国王是如何利用信使将他的命令传送给战场指挥官的:

    首先,国王将信息加密,或者将信息用密码写成,密码只有他和战地指挥官才能理解。 

    国王将信件以蜡封缄,当接收人看到蜂蜡完好时,可以认为信件未经篡改,并以此对内容进行验证。

    最后,国王、信使和指挥官使用预先安排的口令来鉴别信息的送出和接收者是否正确。

    战场指挥官然后将信息解密,并贯彻国王的指示。 

    现代通信使用相似(但是更为复杂)的安全技术,这些将在本文后面加以分析。

    但我们首先需要考虑的问题是,当国王的(或您的)敌人试图干扰通信时,将会发生什么情况?

3  遭受攻击的类型

    尽管有加密、鉴定和认证,您的通讯仍然有可能遭到攻击,尤其当您没有很好地实施安全措施时,就更容易遭受攻击了。

    我们还是使用和国王、信使以及战场指挥官同样的类推方法,来演示一下每种攻击都是如何进行的。

    拒绝服务  使用无用信息充塞信息通道,以此来阻止系统正常工作。这种攻击包括阻塞,或者在信息通路上制造干扰等等。 例如国王的敌人可能会将道路用树枝和岩石堵塞,以防止信使及时通过来传递信息。 

    欺骗  利用他人身份,试图进入系统。 在本例中,有人假装成国王,派遣自己的信使传递假信息给战地指挥官。 

    中途攻击  攻击者在半路上截取、更改和/或控制信息而不让发送者和接收者知道,他们之间的联系已然遭受变化。 

    例如,国王派遣他信任的信使来传递信息——其实这个人并不值得信任; 信使将信息交给了另外一个人,这个人将信息加以更改;然后信使将新信息传达给战地指挥官。 

    信息重放  这是一种网络攻击的形式。 在这种情况下,信息未经授权而被储存,然后在发送者不知情的情况下被重复发送。

    例如,不值得信赖的信使可能将国王的信息传达给战地指挥官,然后第二天,同样的信息又被发送了一次——然后每天发送一次。 如果命令的内容是告诉指挥官将军队向西移动五英里,那么每接到这么一次命令军队都会移动五英里,以至于最后远远地偏离了指定位置。 

    各种现代形式的攻击(以及其它不正当的阴谋)使用电子方法进行,但是对您的通信以及依赖于通信的过程操作具有同样巨大的破坏力——除非您知道如何有效地保护您的网络。

4  过程自动化应用中的安全问题

    电子邮件或电话通信的中断已经够烦人的了,但是假如攻击发生在过程控制通信中,那么后果可能严重得多了。 可以想象一下一个错误的数据可能带来的一系列后果——产品质量发生问题、打乱计划的停工期、无效劳动、以及健康、安全问题或环境事故等等。 

    虽然大多数工厂都在维护物理性安全方面有积极的计划,传统上过程控制信息的电子安全却很少得到关注。但是后来过程控制网络以及系统同其它的工厂以及商务系统,直到同外界互联网的联系越来越多,安全方面的情况也就随之发生了变化。

    为了在这些情形下对数据加以保护,如今工厂一般会采用分层的方法来保证通信安全。 

              防火墙可以作为分层安全措施的一部分,

            用来保护过程数据以及系统免遭外部攻击。

    在这个例子当中, 第一层安全防护是高质量、工业级的防火墙,处于因特网和公司的局域网(LAN)之间; 第二层是第二道防火墙,连接公司LAN和过程控制网络。过程控制网络由DCS/PLC,自动和优化分组,历史数据记录仪和数据库组成。每道防火墙都为它连接的两个网络之间提供一道电子安全屏障,阻挡未经授权的或具有潜在危险的信息。 

    然而,商业防火墙根据设计通常是同因特网协议而非控制系统通信一起工作。 这一点常常让人们感到紧张,因为他们担心设备会收到来自于网络方面的攻击,或者网络通过设备收到攻击。 

    但是这就是无线网络比类似的有线网络安全性低的原因吗? 

5  有线VS 无线

    无线系统无需物理性干扰即可被攻击, 这是人们常常觉得无线比有线系统安全性差的一个原因。 但是事实上,无线和有线系统同样易受攻击。

    关于无线系统的一个常见的误解是,假如一个流氓设备处于无线网络的覆盖范围,它很容易被连接到附属的过程控制网络中去。事实上却不是这样的,这一点在后面有更加详细的讨论。另外,这些低功率无线设备一般来说必须处于非常近的距离范围内(大约750英尺或250米)才能进行通信。这个距离范围十分有限,对于外部设备而言要对工厂内部的无线网络产生干扰是很困难的。 

            无线网络有限的覆盖范围使攻击很难成功

    即使外部设备可以进入网络,正在形成的标准也可以通过界定一些方法对通信过程进行保护。 按照这些标准生产的产品将使过程自动化网络非常稳定地运行,并接受保护,免遭这些类型的攻击。 

    事实上,出于安全意识的提高,无线设备以及网络的供应商们在设计产品的时候也在考虑安全问题。因此,这些产品通常不是过程控制操作中的首要安全问题,相反,真正的问题常常来自于老式的DCS系统和私有协议,因为它们在一开始设计的时候并没有考虑到我们今天要考虑的安全问题。 

6  怎样使无线通信更安全

    无线设备供应对于无线设备的潜在安全风险以及对风险的关切做了仔细的研究,并采取步骤将这些安全措施整合到产品中去。 

    根据本文前面的讲述,最有效的无线安全策略包括三种能力:

    识别发送者和接收者

    核实数据的有效性

    为数据进行加密

    另外,在我们举的国王和战场指挥官的例子中,当他们交换了信息之后还有两个更加重要的问题:

    定期改变密码的关键管理措施

    防阻塞,避免干扰和通信空间被堵塞

    让我们更加仔细地研究一下这几个方面:

识别

    如前所述,通过识别,我们可以辨别发送者和接收者是否真的同其自己宣称的一致。 在无线网络方面, 网络内的通信设备应该证明它们是网络内授权的节点,同有关信息所称相一致。  

    经过授权的设备可以通过交换“密钥”来对彼此进行鉴别,这些密钥是一种数字编码,等同于口令,已经被编入设备和主机之中。 通过这种方法,我们可以防止那些没有正确密钥的流氓设备或者黑客通过访问点侵入网络并进行通信,好像它们是网络的有效节点一样。 

    有些供应商将识别能力在制造的时候就整合到无线网关当中。(网关用来从无线网络中收集数据,然后将信息传递到过程控制网络)。正如在有限网络中一样,这些网关仅仅容许经过授权的设备加入网络——这样您就可以在安装和运行的时候定义这些设备的身份。 

    例如,您可对网关进行编程,这样只有来自于已知的发送器才可以连接到网络中去。 任何不在名单上的发送器,将无一例外地被认定为“流氓设备”,它们的访问将遭到拒绝。 随后发送器将接受那些仅仅来自于以前认定的网关或其它经过网关认定为授权设备的信息。 

    流氓设备还可以通过另外一种方法来破坏网络, 即伪装成获得授权的设备,然后截取并修改信息(称作“欺骗”)。在这种情况下,利用信息完整性检测码,网关仍然可以防止流氓设备在您的网络上进行通信。 

核实

    有一种可以对信息进行核实,看看它是否在通信的过程中遭到更改的方法是使用信息完整检测码。信息完整检测码是一种特殊形式的求校验和,或者数学上的值,在从设备到网关和从网关到设备的通信过程中被加到通信包上去。

    例如,假如有流氓设备试图伪装成网络内合法的压力变送器,在通信时它附带的数学值将被发现同正确的信息完整检测码不符,这时信息将被认定为无效,并为接收器所摈弃。 

    有些网络使用时间标记来提供另外一种水平的信息核实方法。 这时信息完整检测码将变为一种时间性功能。通过这种方法可以防止信息“重放”类型的攻击,因为重复通信的时间标志不会符合信息完整检测码,简单来说,时间标记可以保证信息的“新鲜度”。 

加密

    密码技术用于无线网络时,可以通过数字“密钥”利用数学方法来改变信息中的数据,或者将数据重新拼凑组合,使任何接收设备或系统以外的人无法阅读(接收器可以使用匹配的密钥来对数据进行解密)。

    为了尽可能地减少未加密数据的暴露,在产生信息的实际设备那儿进行加密是一种很好的方法。 

    数据加密的方法有多种类型,这里介绍两种最常见的方法: 

    AES (高级加密标准)是美国政府的一种标准,为许多对安全要求较高的组织应用,例如,联邦储备银行用它在银行之间传递货币。虽然这种加密技术非常可靠,但是它在计算方面要求很高,对于一些嵌入式的、用于工厂设备例如阀门和变送器的计算装置来说,由于它们都过于娇小,功率甚低,所以很难使用。然而,由于ASICs 的到来(专用集成电路),这种加密功能便可以在无线设备/网关层次上进行应用了。

    XTEA (延伸小型加密算法)在计算强度方面较低——但是仍然足够强大,使非法的信息解密几乎没有可能。

关键管理

    所谓的关键管理指的是数据编码解码过程中的创造、分配、识别以及密钥(密码)的保存。 

    关键管理的薄弱会使得安全系统同时被削弱。这就好像您丢失了银行卡——恰恰又发现您的密码写在了卡的背面一样可怕。 或者打个比方,您以前的一个心怀不满的员工仍旧拥有一套您的编码密钥,想象一下,会发生什么情况?

    一种保证数据安全的方法是频繁地更改编码密钥。 通常密钥更改得越频繁,您的系统也就越不易遭受攻击。 但是这样系统会变得更加复杂,除非您的网关或者其它系统可以进行编程,使密钥自动地“旋转”变化。

    关键管理有三种基本层次:

    层次1:同一制造商生产的所有设备都使用同样的密钥。这种层次聊胜于无,不建议使用。

    层次2:同一个网络内的所有设备都是用同一个密钥。 假如密钥可以定期更改的话,对大多数网络而言,这种层次的安全措施是可以接受的。 

    层次3: 每一对端到端通信配合之间都使用一个不同的密钥。例如您可以为您的压力变送器和阀门之间使用一套密钥,而从压力变送器到网关之间使用另外一套。 

    随着安全措施层次的提高,关键管理复杂性也大大提高了。 您可以同您的安全专家和IT 团队来共同决定哪一种对您的工厂最合适,或者使用无线设备供应商所建议的合适的安全层次。 

防阻塞

    防阻塞能力减少了射频或者其它的电磁信号的干扰,这些信号可能是有意的,也可能是无意的,但是都可能会中断网络通信。 

    有种称作扩频的防阻塞技术,是通过将信息在更大的带宽上进行分配后进行传输,以最大可能地保证通信的成功。 常见的有两种方法:即跳频扩频(FHSS)和直接序列扩频(DSSS). 

    FHSS 将通信集中成随时间快速变化的一种独特的频率,如果一个频率遭到干扰或障碍而堵塞,信息可以在很短的时间内跳到另外一个频率来恢复进行。 

    DSSS用于Wi-Fi (IEEE802.11)通信技术,其中每个“0”或者“1”都用一个特定频率的数字信息来表示,频率之间具有微小的变化。这样即使干扰使得通信部分中断,接收器仍然可以识别足够的其它频率。 

    有些无线网络同时使用FHSS 和DSSS 以便确保通信安全。 

使无线通信更加安全——将所有安全措施放在一起

    由于您不可能确切地知道您会面对哪些类型的攻击,所以一个好的保护措施应该能够防备所有类型的攻击。 下面的图表表示了我们刚刚评论的技术当中哪一种能够减低常见的安全威胁带来的风险。 (这个图表并非指所有可能的安全威胁)。
 
拒绝服务
欺骗
中途截取
信息重放
防阻塞
ü
 
 
 
识别
 
ü
ü
 
核实
 
 
ü
ü
加密
 
ü
ü
 
关键管理
ü
 
 
ü

7    最佳安全措施

    只要通信安全措施得当,无线通信技术可以为您带来可观的成本和性能效益。

    让我们来看一下在一些行业中的最佳实际操作方法,这些方法可以帮您加强网络的安全(不管是有线的还是无线的),并保护数据的安全。

    坚持开放标准。 私有软件和协议常常很有诱惑力,使人相信因为知道它们的人更少,所以也就更安全。但是即使供应商特定的协议,那些真正想找到它们的人也一样会轻易得手,反过来利用它们来对付您。 

    但是如果使用开放标准,您会受益于其他人所作的工作,并继续受益,还可以持续对稳定性和安全性进行改善,并增加新的功能。

    选择致力于安全方面的设备供应商。保护网络安全最重要的步骤之一,是寻找一个能够理解本课程所列举的安全问题的供应商来进行合作。 安全措施应该设计到网络框架中去,而不是事后添加。 

    领先的过程自动化无线技术的供应商,通常会考虑到一个安全可靠的网络结构的方方面面, 并且知道如何执行一个有效的安全策略的所有组成部分,包括加密、识别、核实、关键管理以及防阻塞技术等等。这样强力有效的安全措施就会易于实行,而难以忽视。 

    同您的IT部门密切合作。您的IT 团队具有记录完整的安全实践措施,可以为您的无线安全网络提供帮助。 您可能需要先帮助它们理解您的应用和他们已经习以为常的办公以及商业系统的应用之间的区别,但是原则总是一样的。 

8  总结

    只要措施得当,无线网络可以同有线网络一样安全。因为无线设备在设计时就已经考虑到安全问题,所以甚至有可能比有线网络更加安全。 

    对通信安全进行的潜在攻击方法包括: 拒绝服务、欺骗、中途截取以及信息重放等。 

    只有综合了所有加密、识别、核实、关键管理以及防阻塞的方法,安全措施才最有效。只有综合使用所有这些方法,您才会拥有真正的安全。 

    安全措施必须设计到系统架构中去,而不是事后添加。

    经验丰富的设备供应商使您的安全策略的实施更加容易。但是要保证通信安全仍然是您的责任。而应用最佳安全措施将会有助于您的网络安全。
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: