可信网络架构在工业控制网络中的应用

工业控制网络和企业网络之间的互连显示,仪器和控制系统以及关键基础设施组件对各种网络攻击起了作用。一些建筑标准和安全性最好的实践已经提出了工业控制系统。但是,它们都是基于旧的体系结构,不利用最新的硬件和软件技术。本文描述了一种新技术,这项技术可应用于工业控制系统的下一代安全架构,该技术是沿着他们的安全优势和设计权衡进行讨论的。

1、介绍

工业控制网络和企业网络互连性的增加造成了在工业控制系统中的标准通信协议的扩散。考虑到效率和成本,传统的SCADA协议往往封装在TCP / IP数据包里,在控制流量和企业流量之间模糊了网络层的区别。使用产品协议的工业控制网络和企业网络的互连,使检测设备和控制系统以及由他们管理的关键基础设施组件处在多种网络攻击中。

安全调查显示针对关键基础设施资产的外部攻击显著增加[1]。该外部攻击比例从26%上升 (1982-2001)至60%(2002-2006)。在大多数事件中,被攻击的入口点的是企业广域网,业务网, 调制解调器,无线接入点,以及互联网。

一些政府机构和行业协会针对工业控制系统[2-5]提出了标准和安全最佳实践。但是,这些努力是基于旧的技术和安全架构,依靠的是企业流量和控制流量的分化和分离。毫无疑问,尽管这些努力很重要,但是,基础安全理念把工业控制系统暴露在利用错误配置,带外连接和的盲目信任流量的身份来源的攻击中。

然而,新技术不断涌现,为网络提供了更普遍的安全性[6]。这些新技术认为安全性来自外围设备如防火墙等网络设备本身。本文提出这些新技术可以应用到设计下一代安全工业控制系统中。该技术是沿着他们的安全优势和设计折中讨论的。

本文的其余部分安排如下。传统工业控制架构是在第2节所述。 和这些架构相关的安全性问题将在第3节研究。第4节介绍了信任工业控制网络的概念。第5节比较在不同的架构中规则冲突的数量。第6节研究这个架构的优点和它已知的问题和攻击。最后,第7节得出本文的结论。

2、控制系统的安全性建议

工业控制系统(ICSS)是高度分布的网络,被应用在控制配水业务,污水净化厂,电力系统,石油和天然气精炼厂,生产厂和化工厂。 一般来说,一个工业综合大楼包括两个不同的网络:一个是过程控制网络(PCN),包含 控制器,开关,致动器和低级的控制装置;一个是企业网络(EN),将高层 监控节点和公司电脑进行了合并[7]。 PCN包括 数据采集与监视控制系统(SCADA)和分布式控制系统[2]。一个PCN的主要部件是控制服务器或主控终端单元(MTU), 远程终端单元(RTU),智能电子设备 (IEDs),可编程逻辑控制器(PLC),操作员控制台或人机界面(HMI),以及数据库。

美国国家标准技术研究所(NIST),国际电气与电子工程师协会(IEEE),仪表系统及其自动化学会(ISA),国际电工委员会(IEC)和 工业自动化开放网络协会(IAONA) 有固定的ICS指定的准则(例如,见[2-4])。实际上,大多数安全最佳范例建议将过程控制网络和企业控制网络分开。

防火墙通常用来隔离过程控制网络(PCNs)和企业控制网络(ENs)。防火墙可配置成阻止不必要的服务,协议和端口,从而在PCN与EN之间提供了更高的隔离。路由器可以被放置在防火墙前执行简单的数据包过滤,留下防火墙来执行更复杂的任务,如状态过滤和充当代理。

在PCN和EN之间使用单一防火墙有一个严重的缺点。这是因为防火墙必须允许 历史数据库去广泛的访问PCN。本质上,每个服务需要在防火墙中有个漏洞来保证正确运作。在防火墙中配置太多的漏洞 降低PCN和EN之间的隔离性,使PCN处在一系列的攻击中。这个问题通常是通过创建一个非军事区(DMZ)来解决[2,8,7]。

一个架构部署在DMZ有三个区域:一个是外区,包含EN,一个是内区包含PCN,和一个DMZ,包含数据库。防火墙规则被精心设计,使DMZ数据库成为EN和PCN之间的联系的唯一点。数据库可以通过访问PCN服务为它提供数据;反过来,EN是允许访问数据库。防火墙通过所有设备规则阻止访问PCN的权利。

大多数起源于(或通过)EN和针对数据库的攻击将不会影响控制系统;在最坏的情况,他们会破坏数据库的数据(这个数据的冗余复制被存储在其它地方)。

一个PCN架构通过非军事化区(DMZ)分离来部署成对的防火墙(图1)。它简化了防火墙规则,实现责任的明确划分,通过控制组可以管理PCN端防火墙,通过 IT小组[2,8]管理EN端防火墙。这种架构被强烈建议在工业控制系统中使用,最佳范例已经被确定用于配置防火墙(见[3,4,7])。

3、安全挑战

防火墙配置错误可能会导致安全漏洞。一个问题是,防火墙通常有较大的难以验证的规则集。根据wool的一项研究[10], 防火墙规则集可能有多达2600规则,5800 对象,在规则集复杂性和配置的错误数之间存在显著的相关性。第二个问题是,防火墙通常是防御的主线。配置错误让攻击者利用防火墙的漏洞把网络中的其他防御设备作为攻击目标。

Wool[10]指出,80%的规则集允许任何入站流量的服务和不安全的访问防火墙。他强调真正的配置数据分析表明,企业防火墙通常强制执行规则集,这些规则集违反了完善的安全准则。Wool的研究和其他人的证明防火墙配置错误威胁到了ICS(工业控制系统)的安全性。

即使正确配置的防火墙可以忽略[11]。 发生这种情况时,例如,当一个供应商为了维护创建了一个直接 (例如拨号)连接到一个装置,或 当防火墙背后存在一个不安全的无线接入点。也可以使用合法手段(例如,通过企业VPN)通过隧道攻击流量技术使防火墙受挫或通过使用加密(防火墙不检查加密的数据包)是防火墙受挫。 一个被广泛报道的防火墙漏洞发生在2003年1月,在俄亥俄州[12]橡树港当戴维斯-贝斯核电站的系统受到了MS SQL Server 2000蠕虫病毒的感染。 一项调查显示,承包商建立了一个未受保护的连接到企业网络,这绕过了电厂的防火墙,为蠕虫病毒提供一个路径。

通过打补丁服务,更新软件或安装最新版本的设备,易受攻击的设备通常是安全的。然而,手动补丁/更新/版本管理是困难和昂贵的任务,尤其是当粗心的用户介绍易受攻击的(无线)设备成到工业控制网络,这样就为网络攻击者建立新的攻击点。无线设备的移动性使得它很难让管理员通过频繁访问设备或为修补系统奉献一个特定的时间插槽来手动管理补丁。因此,补丁/升级/版本管理应自动连续完成。

企业网络无保险(无担保)的物理访问,暴露了ICS面临着严重的安全威胁。开放的无线接入点和在办公室墙上的以太网端口使攻击者进入ICS网络并把重要资产作为目标。在传统的ICS体系结构中,防止不可信的设备连接到网络;因此,严重的威胁是由设备造成的,这些设备的硬件,操作系统,可执行文件和/或 配置已经被攻击者篡改。

许多ICS漏洞允许如蠕虫, 病毒,木马和rootkit等恶意软件的进入[12,13]。 ICS安全趋势表明,外部恶意攻击正变得越来越普遍的[1]。最后,无赖用户(圈内)对ICSs是一个无时不在的威胁。

4、可信任过程控制网络

在传统的网络访问控制模型中,在没有考虑到用户计算机安全的状态下就赋予了用户访问的权限。或者一台计算机数十年没有打补丁,并且充满了漏洞和恶意软件。同样,防火墙的访问控制对于发送流量的设备的安全状态是不可知的。

一个可信网络体系架构采用设备的硬件和软件有关的信息制定访问控制决策。当设备第一次接入网络,其硬件和软件要被进行检查;基于这些检查,适当的访问控制规则动态地应用到用户,设备和流量。相同的原则可以应用于过程控制体系结构。这一部分讨论支持工业控制系统的概念和应用。

4.1 可信任网络

一个可信任网络的架构用存在的标准,协议和硬件设备扩展了可信网络架构的可信度,一个可信任网络提供了重要的 安全服务,例如用户验证,全面 网络设备准入控制,终端设备的健康检查, 基于策略的访问控制和流量过滤,自动重调解不符合要求的设备和审核。

可信计算组(TCG)已经颁布了TN 行业标准[14]。几个商业TN技术已经被开发,包括Cisco TrustSec[15], 思科 CleanAccess[16](前身为思科网络 准入控制(NAC)[17-19]),和微软网络访问保护(NAP)[20]。思科NAC和微软的NAP是互操作的; 在细节中可以找到关于他们的互操作。

4.1.1.可信网络组件

TN组件供应商使用各种各样的名字来形容他们的产品。我们偏向于使用被思科CleanAccess所采用的通用术语。

一个TN具有以下组件:

1.客户端设备:每个客户端设备在允许接入可信网络之前,必须先要进行评估。

2. 网络接入设备(NAD):所有连接到一个TN的结点是经由网络接入设备(NAD)链接的,这个NAD实施强制执行策略。 NAD的功能可以存在于设备中,如交换机,路由器,VPN集中器和无线接入点。

3. 身份验证,授权和访问控制服务器: 身份验证,授权和访问控制 (AAA)服务器维护策略,并基于认证和姿态验证的结果为NAD提供规则。

4. 状态验证服务器:状态验证服务器 (PVSs)评估客户端才可以合规 加入TN。一个PVS通常是一个专门为一个客户属性(例如,操作系统版本和补丁程序或病毒 签字放行)。

5. 姿势修正服务器:在不符合情况下这些服务器提供修复选项,客户端设备合规性。例如,加入TN之前,一个服务器可以保持最新病毒特征码和要求不符合的客户端设备加载签名。

6.目录服务器:该服务器基于他们的身份或角色来进行身份验证的客户端设备。

7. 其他服务器:包括审计信任的版本,DNS,DHCP和VPN服务器[16,17,19]。

4.1.2.可信网络协议

TN中充分利用现有的标准和协议来实现所需的安全功能;这减少了构建TN中的成本。

在TNS使用的协议包括IPSec进行硬化通信[16,18],EAP和802.1x认证[15,18,19],RADIUS / LDAP / Kerberos进行目录服务和认证[16,18,19],HCAP遵守通信[18,19],和在AAA和审计服务器中[18,22] 游戏之间的通信。

4.2 TPCN架构

受信任的过程控制网络(TPCN)架构 示于图2,一个客户端设备打算参加该网络通信,其要求NAD网络接入设备。在802.1x协议中使用EAP建立客户端设备身份,并使用RADIUS协议将结果发送到AAA服务器。 AAA服务器返回姿态列表验证要求及相应的PVSs地址。

然后,客户端验证各PVSs的姿态。 如果客户端符合,就会使用HCAP协议将结果被发送到AAA服务器。另一方面,如果客户端缺少一个或多个需求,适当 姿势修正服务器建议整治客户端行动.

目录服务器确定客户端组或角色。 鉴于从PVSS和目录服务器的所有结果, AAA服务器确定了一套适用规则,使之适应客户端的访问和流量,为了强制执行,并将这些规则发送到NAD。从这一点上,客户端被允许通过NAD沟通,为了遵从政策,其所有活动都被进行了监视。有兴趣的读者可参阅文献[16, 17,19]的更多细节。

AAA服务器举行的政策是一个认证要求的形式和状态验证要求列表。例如, 基于令牌的认证可能被需要,姿势必须用病毒服务器,补丁管理服务器和驱动程序验证服务器进行验证。当客户端设备加入 网络,与NAD的代表装置的AAA服务器进行通信。 AAA服务器 验证装置,并提供基于设备的安全姿势的规则 NAD。从这点上来说,NAD强制对所有的入口和出口流量/从政策 设备。例如,有效的固件是RTU允许与历史学家的沟通; 所有其他流量被阻挡。下面的两个例子进一步澄清TPCN的运作。

例1:考虑一个场景:一个工作站上的分析师拟以无线方式连接到PCN访问有关工厂运营的历史数据。工作站连接到无线接入点(AP)在企业网络与NAD的功能。美联社应用默认策略,也就是阻止除需要什么来建立信任。然后,工作站使用了EAP over 802.1x协议的AP发送一个存储的证书进行身份验证。 AP使用RADIUS来工作站,AOS身份发送到AAA服务器。 AAA服务器,然后发送用户,AOS身份到目录服务器,它知道用户,AOS角色(,Äúanalyst,AU)。 AAA服务器使用RADIUS来发送工作站姿势要求(防病毒版本号和操作系统补丁史)的列表。该工作站使用受信任的平台监控系统(TPM)芯片的登录和发送的姿态值相关PVSS,它继续验证这些值。补丁管理PVS发现该工作站的操作系统缺少一个补丁,并与补救服务器的坐标有相应的补丁发送到工作站。该PVSS传输结果返回给使用HCAP协议的AAA服务器。如果工作站是兼容的,则AAA发送一个规则集到AP强制执行。由于用户角色,Äúanalyst,AU规则集允许TCP连接的历史学家,但禁止访问所有其他设备。

例2:考虑这样一种情况:一个RTU有意加盟对PCN。 RTU的连接到交换机上的工厂车间通过一根网线;该开关具有NAD功能。所使用的协议是相同的实施例1中的,所以我们避免重复。交换机将验证使用的RTU存储令牌的RTU。 AAA服务器需要RTU来验证它的配置与配置管理服务器。该RTU发送其配置到配置管理服务器,它返回成功结果到AAA服务器。 AAA服务器,反过来,发送的兼容RTU来强制执行开关相应的规则集。该RTU现在可以与其他的RTU,在MTU与沟通 历史学家;交换机会将所有其他流量。在下一节中,我们将展示如何不失可用性的重要设备进行身份验证和状态验证。从本质上讲,AAA服务器拥有两套角色和两套政策。该设备仍然可以连接到通过备份策略的网络之前,我们必须确保配置验证不中断的服务。

5.TPCN要求和可用性

为了改造现有的PCN成TPCN,有 必要的范围具体变化从一个简单的补丁 现有的软件到新的硬件和设备。 本节讨论TPCN的要求,并 成本/安全性的权衡。更重要的是,该问题 可用在任何过程控制系统的核心 架构。我们讨论了如何定制的TN实现 所需的TPCN高可用性。

5.1 TPCN要求

为了增加安全性和责任分离,一个TPCN需要在 至少两个NADS(交换机与防火墙)和AAA服务器 (图2)。企业可以根据需要添加任意多个PVSS, 例如,防病毒服务器的验证,确保设备 有当下的病毒防护,补丁管理 服务器检查设备有正确的补丁和 软件验证服务器来验证真伪 嵌入式设备固件。各种PVSS可脱 的,现成的和常常只需要对它们进行配置 与控制系统的相应要求。 结合多个PVSS增加一个TPCN的成本,但 增强安全性。

所有NADS(交换机,路由器,无线接入点, 等)必须支持可信网络功能。许多 供应商提供的产品与可信赖的网络功能。 因此,如果一个企业已经在使用新设备, 实施TPCN可能是非常符合成本效益。旧的系统可能会涉及显著升级,这可能是昂贵的。请注意,在一个TPCN架构防火墙功能被集成在NADS。

客户端设备可能需要的软件和固件升级 支持可信网络功能。可信网络 客户端需要与AAA服务器的身份验证 和用于发送的姿势的值。对于安全应用, TPM芯片可以用于验证配置,将获得 姿势的签名。设备,如电大和PLC不 通常有TPM芯片;然而,由于一些电大已经来了 与内建Web服务器,添加TPM这些设备是 可行的,尤其是如果政府法规授权的 实施可信的ICS架构。

客户端设备必须是智能和可配置到 通过PVSS进行评估。至少,该设备必须 能够运行一个小的软件,将其 配置到一个植物人。如果终端设备是不是智能 (例如,一个简单的机械继电器),这是没有必要检查 它的配置;相反,PVSS检查的更多的姿势 控制它的智能设备(例如,用于控制所述RTU 继电器。)可信网络客户端软件可用于 关闭的,现成的来自不同厂商的不同平台,但对于 特殊或小型设备,可能需要开发 一段代码发送配置到PVSS。

原则上,TN可以在任何物理和链路层(例如,无线LAN,或序列)的顶部来实现。然而,据我们所知,目前的TN技术只支持局域网和无线媒体。有两个选项,建立与使用现有的TN技术的串行控制设备的信任。第一个选项是把信任的网络的客户端软件中,其连接到LAN和控制串行设备的主设备。在这种情况下,客户端软件在主设备负责获取串行设备的姿态和与AAA服务器进行认证。在控制装置阻止客户端软件的串行连接的任何通信设备认证之前是成功的,并且姿势进行了验证。这个选项具有使用现有的硬件的好处。另一种选择用于连接串行设备到TPCN是使用串口转以太网转换器[23,24]和直接连接设备到NAD 。这些转换器转换串口( RS-232/422/485 )为TCP或UDP数据包,并发送它们通过以太网。该转换器可以被配置为使用特定的IP地址。串口转以太网转换器,可以用在紧凑的形式[23] ,以连接一台串口设备或机架[24]对多个串口设备连接到以太网。使用串口到以太网转换器具有使串行控制设备单机的利益;在另一方面,它具有的额外的硬件成本和额外的延迟,由于网络延迟的缺点。选择其中选择连接串口设备到TPCN时使用取决于可接受的成本,并为特定的控制系统的延迟要求。

5.2 TPCN可用性

应用更新到系统中,管理员提出的新要求在AAA或 状态验证服务器。该点之后,AAA服务器通知的终端设备 新政策。如果他们有更新,他们建立它的存在与状态验证 服务器并继续在网络中工作。然而,如果没有他们的新 的要求,服务器为他们提供相应的补丁程序(或安装补丁 自动对它们)。现在我们讨论使用备份的角色和策略,以防止新的 要求从中断服务。

TPCNs具有相同的可用性问题的传统PCN类 - 应用补丁可能会导致组件崩溃。因此,每一个补丁或更新必须将被放置在AAA服务器上之前彻底测试。 TPCN组件的复制品应该用于测试。如果测试后存在疑虑,备份设备可以被放置在该TPCN 。在这种情况下,AAA服务器拥有两个不同的策略,该设备。一个策略是与备份角色的实际作用和其他政策有关。备份策略并没有强制执行的备份设备,直到在新规定实际的设备验证与修补程序正确运行。这是只有在那时,管理员应用的要求备份设备为好。请注意,如果实际 装置受补丁,备份设备可以正常工作,因为它不是通过它的政策需要有补丁才能连接到网络。 TPCNs不正面或负面影响系统的可用性;他们只是执行规定。它在测试阶段,一个要求的规格之前,即判定是否没有系统的可用性受到影响。

要增强TPCN的可用性,冗余服务器 必须在体系结构中使用。如果TPCN重要的服务器发生故障,设备不能加入 其危害控制系统的可用性的网络。商业TN服务器支持 一个名为"高可用性"(HA-mode.)模式在此模式下,重要的TN服务器(如AAA 或PVSS)有一个备用副本可用。 A"心跳"信号之间频繁交换 主要和备用服务器通过专用串行连接或使用UDP数据包过 该以太网。如果发生故障转移和心跳停止的信号 (例如,作为一个崩溃或重启的结果),备用服务器立即接管的作用 发生故障的服务器防止在服务中断。由于可用性具有较高的 在过程控制方面的优先级,则建议医管局模式是用于TPCNs。

它备份设备和备份服务器之间的区分是很重要的。备份设备和 角色防止控制设备(如MTU值或远程终端)的失败,因为应用新的结果 补丁或更新。使用备份策略可确保备份设备可以提供 如果主设备在更新后出现故障的服务。备用服务器,另一方面, 加大基础设施TPCN确保可用性的控制装置可以 访问网络时,即使主服务器已经崩溃(使用自动的任何时间 故障转移机制)。这两个自定义解决TPCN的高可用性需求, 减少服务中断的风险。

6.NAD规则冲突

冲突中的防火墙规则(更一般地称为过滤器冲突)总是 危及仪表和控制系统的安全性或可用性。这种冲突可能 导致不必要的流量被允许过程控制网络,其暴露于攻击 或合法流量被拒绝,危及系统的可用性。

在本节中,我们研究矛盾的防火墙的性质 规则和表明有效的冲突在分布式过滤的总数 环境并不比传统网络的更大。

6.1 过滤器冲突

过滤器冲突发生时,有是在使用一组数据包进行分类的模糊性 过滤规则。虽然我们研究过滤器冲突的防火墙规则的背景下,他们可以 存在于任何网络接入设备,如路由器,VPN,或者说报文进行分类的QoS设备 根据一个规则集。

每个滤波器中R是一个n元组(R [1]中,R[2],...,R[n])中,其中R由[i]定义的值的一个子集 接受该字段。每个字段通常被定义为一个前缀。例如,前缀 10。*为源IP是指具有10在其第一所有IP四重奏的子集 条目。规则是一个过滤器R后跟一个动作ACT(R)(通常为允许或拒绝)。虽然有 可在根据设备的每个滤镜许多不同的领域,我们专注于五个 在防火墙规则最常用的字段:源IP,源端口,目的IP,目的端口, 和协议。然而,请注意,这里给出的分析是一般性的,可以应用到任何 n元组。

我们使用由哈里的定义,et al。[25]规则冲突。

定义1 规则A被认为是规则B的前缀,如果每 现场I,A[i]为B [I]的前缀和A [i]为B的严格前缀由[i] 至少一个我。 与对方两个规则冲突,当且仅当它们的过滤器 相交(即存在交通这两个规则适用于哪些), 一个不是另一个的前缀,并且它们的行为不 平等的。更正式地说,我们有以下几点。

定义2 规则A和B相互冲突的,当且只有当所有下列条件成立:

1,对于所有的i,A [i]和B [I]是不相交

2,A不是B的前缀

3,B不是A的前缀

4,法案(A)不等于法(B)

定义3 规则集是规则的有序集合。 例如,考虑在内部下列规则 防火墙PCN里面:
R1: <PCN.MTU.* any PCN.RTU_farm1.* any TCP> allow
R2: <PCN.MTU.* any PCN.RTU_farm2.* any TCP> allow
R3: <PCN.* any PCN.RTU_farm1.* any TCP> deny
R4: <PCN.* any PCN.RTU_farm2.* any TCP> deny
R5: <PCN.RTU_farm1.* any PCN.* any TCP> allow
R6: <PCN.RTU_farm2.* any PCN.* any TCP> allow

前两个规则可确保从MTU的任何连接 IP地址RTU的农场是允许的。这两个规则做 不与任何其他规则相冲突,因为任何一个字段是 不交或者他们是另一种规则的前缀。例如,R 1 是由R4,R5和R6不相交的,而它是R 3中的一个前缀。

但是,也有R 3和R 6,和R 4之间的冲突 和R5。 R3和R6同时适用于信息流从任何地址 RTU_farm2在RTU_farm1任何地址,但R3否认 流量,同时R6允许它。之间有一个类似的冲突 R4和R5。

在很多防火墙实现中,第一次遇到 规则的优先级更高。然而,在这样的情况下, 就没有顺序,提供所需的行为。 如发生这种情况,当规则排序结果在一个周期 由Hari等。 [25]。在这种情况下,解决办法是添加 涵盖的冲突规则的交集规则 规则集。这些规则称为解决冲突规则。为 例如,R7是对R4和R5冲突解决规则。

R7: <PCN.RTU_farm1.* any PCN.RTU_farm2.* any TCP>deny

6.2 分布式防火墙冲突

在本节中,我们证明了冲突的总数 分布式防火墙环境(如TPCNs)是不大于 比之于传统建筑的冲突数量。该 冲突在TPCN总数是冲突的数量 在所有的网络接入设备的? (NAD)的规则集。注 这些规则被分布NADS和各NAD之间 可能有一个更小的规则集,这使得它更小 复杂和更易于管理。现在我们表明,总 冲突数量仍然受到冲突的数量为界 在单一规则集模型。

为了证明这个属性,首先考虑简单有序子集在规则集,我们操作说规则集RA是一种 RB的有序子集当且仅当:

1,在RA的每一条规则是在RB。

2,对于每一对规则Ri和Rj在RA如果之前在的Rj RB,那么之前的Rj的RA了。

有序子集操作简单采取多项 同时保留的顺序从一个规则集的规则。我们不能 说明有关在RA的冲突数量什么。它可以 甚至超过在RB冲突数量。观察 此,可考虑三个规则:R1,R2,和R3,其中R1和 R2具有冲突和R3是两个规则的交点 该解决冲突。如果包中包含R1,R3和RA的唯一 包含R 1和R 2,则RB是无冲突的,但RA具有一个 冲突。在冲突数量的增加来自 一个事实,即有序子集操作可以消除 冲突解决规则。

现在考虑下面的方法分发 单一的防火墙规则集不同NADS之一。

1,在防火墙规则集的每一条规则,它的源或 目的是在由NAD控制的子网中加入 到NAD 规则集。

2,对于在NAD规则集中的每一对规则Ri和Rj,在防火墙中,如果Ri领先于Rj,它在NAD规则集中也会领先。

这种方法把每一个涉及到在一个子网规则 子网 NAD的规则集,同时保持秩序。注 有可以在防火墙坏了规矩(作为一个结果 配置错误),这并不适用于任何子网 通过防火墙控制。这些规则中不包括 任何NAD规则集。因此,在这里我们考虑的有效的冲突, 其中涉及流动,实际上到达防火墙。

定理1 :在分布式防火墙系统,其中每个NAD 规则集是利用上述方法,总人数构成有效的冲突并不比单个的防火墙的更大。

证明:假设没有。让R1和R2是规则发生冲突 下分区而不是在防火墙。需要注意的是,R1和R2 在相同的还有NAD没有冲突的解决规则,但必须是规则R3中覆盖该冲突的防火墙 但不存在于NAD的规则集。 R3是交叉路口 R1和R2,从而比其中任何更多的限制。这是一个矛盾。

作为一个例子,考虑体系结构图3和 下面的规则集。

R1: <PCN.* any PCN.RTU_farm1.* any TCP> deny
R2: <PCN.RTU_farm2.* any PCN.* any TCP> allow
R3: <PCN.* any PCN.MTU.* any TCP> deny
R4: <PCN.RTU_farm2.* any PCN.RTU_farm1.* any TCP>deny

NAD2规则集包含的规则R1,R2和R4同时NAD1 包含R3。需要注意的是NAD2规则集包含其中R4 解析R1和R2之间的冲突。

定理1示出的是,虽然在分布式防火墙 架构在每个NAD可能包含一个较小的规则集 这使得它更易于管理和不易出错,该 有效的冲突总数不大于更大 传统的建筑。

防火墙规则冲突可能危及的安全性 通过允许攻击流量进入网络网络。更多 重要的是,他们可以危及网络的可用性 通过阻止合法流量。考虑的重要性 可用的PCNs中,关键是要在解决这个问题 TPCNs的上下文中。在本节中,我们提供了一个配方 关于如何分配TPCN NADS之间PCN防火墙规则 为了避免引入新的规则冲突。此外,我们证明 如果规则是使用这种方法划分数字 总的冲突在NADS的并不比集总更大 规则集模型。

7.评估TPCN

一个TPCN的好处,是最清楚地看出的光如何 它解决了影响传统的安全问题 网络。一个TPCN解决了以下安全问题 部分或全部。

防火墙配置错误(部分):一个TPCN打破 设定防火墙规则与相关的小规则集 每个访问控制组或角色。这些规则集 AAA服务器的NADS执法发送 在认证阶段完成。据 以Wool[10],配置错误的数量减少对数作为规则集的复杂性降低。 因为TPCN有更小的规则集,潜在的 防火墙配置错误也相应较低。 此外,在一个TPCN访问规则是基于定义 在组或角色,而不仅仅是IP地址;这有助于 减少混乱,因此,配置错误。 需要注意的是配置错误将永远不会完全 淘汰;因此,TPCN只提供部分 解决问题的方法。

绕过防火墙(完成):TPCNs明确处理 这个问题通过确保所有NADS,并要求他们 之前,建立与客户端设备的信任关系 转发流量(包括无线流量和VPN 流量)。此外,访问控制和交通规则 被施加在每一个接入点。它不可能 通过挂接在防火墙后面的线绕过规则;这是 因为线交换机(接入点)强制执行的规则。

易受攻击的设备(部分):在传统的网络架构,补丁/升级/版本/配置管理 手动由网络管理员执行。这 是一个极其困难的任务为远程和移动德 恶习。其结果是,它可能会比拍摄完成的较少 勾选的,或者它可以简单地忽略。在TPCN中, 一个设备的状态会自动检查才可以加入 网络。此外,它的行为是在不断地进入和状态检查监控可以进行 所需的频率。因此,一个TPCN更不容易受到已知的攻击。但是请注意,一个是TPCN 仍然容易受到零时差攻击。

再次TPCNs:无抵押物理访问(完成) 通过对NAD实施安全策略解决这个问题 端口。这有时被称为临港访问 控制。因此,恶意或不小心的用户可以不勾 一个设备到一个开放的以太网端口和增益进入 网络。还要注意的是在TPCN交换机端口和 无线接入点不转发流量,直到信任 关系的建立与通信 实体。

恶意软件(部分) :在符合规则的实施前和加入后TPCN减少设备可能感染了恶意软件。一个SCADA系统的安全性研究[1]指出, 大多数蠕虫事件发生几个月或几年的蠕虫病毒后,广为人知IT世界和修补程序是可用 。这意味着大多数故障都可以通过执行能够防止遵守规则节点加入网络之前。自近78 %的(外部) SCADA安全事故是由恶意软件引起的[ 1] , TPCN事故减少大幅提升。尽管如此, TPCN仍然很容易受到零日攻击。

不信任的装置(完成) : TPCNs解决这个问LEM明确地验证关键的签名使用TPM芯片,并且也是设备的组件检查设备的状态。请注意,如果TPM芯片是信任的,该装置可以证明其身份。

不受信任的用户(部分) :通过使用更强的认证方法和明确定义用户角色, TPCNs防止攻击,如密码破解/偷窃,获得中提琴tions和模拟。此外,通过阻止所有不必要 - 萨利访问, TPCNs部分防止因意外事故即占所有安全事故[ 1超过30%粗心业内人士。

我们所采用的常见的攻击模式枚举 与分类(CAPEC)数据库[26],以进一步比较 该TPCN建筑与传统PCN设计。 CAPEC 包含12攻击类别及其说明,先决条件,方法,结果和缓解 战略。我们认为,9攻击类别(带31攻击 模式),我们认为是有意义的上下文ICS 并展示TPCNs和传统之间的差异 PCN类。例如,当缓冲区溢出攻击是有效防止软件应用程序,它们是不相关时, 评估网络设计。

表1和表2给出了比较结果。该 描述符H(高),是指与执行攻击 很少的努力和成本; M(中)意味着一个攻击 还是可能的,但需要专业知识和成本高昂; L (低)表示攻击是极不可能的,或涉及 巨大的精力,时间和/或成本。在表1的最后一列 和图2示出对提供的一个TPCN的安全控制 解决攻击(如果有的话)。

考虑到31的总攻击模式,一个是PCN 易受19(61.3%)高,九(29%)中和 三(9.7%)低可行性攻击。另一方面,一个TPCN 易受只有两个(6.5%)高可行性的攻击沿 九(29%)中,20(64.5%)低可行性 的攻击。注意,这是一个定性的比较 两种架构;网络的定量评估 基于安全性的指标体系是一个开放的研究 的问题,超出了本文的范围。

请注意,所有的智能和可配置的设备 一个值得信赖的网络必须进行身份验证和姿势 验证。如果传统设备被允许加入网络 没有这样的身份验证和验证,它可能 消除TPCN.我们所有前面讨论过怎样的好处 把客户端功能在传统和小型设备。

我们计划在网络之上的原型TPCN 我们已经开发了安全测试平台[27]。该试验台是 开发进行评估和研究攻击/防御 场景在一个大型电力基础设施。它由 的多个实际和仿真设备和两种不同的 模拟器。真正的RTU,控制站系统,和历史学家 已被用于在测试平台。我们还模拟一 简易爆炸装置的数量。发电的模拟和 使用力世,电网模拟器进行分配 这是连接到实际设备的[28]。它提供 电网参数的设备和发出命令 在某些情况下。所有网络通信都通过RINSE[29],一个网络模拟器,模拟通过 通信基础设施。

对于TPCN原型,我们计划使用受信任网络 连接(TNC)[14]开源的健康检查协议 (IFMAP.)传统控制装置可与增强 简单的开源客户端进行身份验证和发送的姿势信息。跨国公司开源项目,也可以用于 简单的PVS和AAA服务器。许多现有的接入 在点(以太网交换机和无线接入点)我们 测试平台已经支持NAD功能。

结论:

在这项工作中,我们已经讨论了在现代ICS中的安全方面的挑战,并为过程控制网络提出了一个基于可信网络概念的新的网络架构。讨论了其基本组件、协议、可信过程控制网络的操作,研究了这种体系结构的要求,特别是在传统的PCN上建立TPCN的要求。此外,在确保TPCN可用的情况下对用户化和架构选择的研究对工业控制系统来说是至关重要的,我们有提出了两个自定义它提高可用性 终端设备以及TPCN基础设施本身。 冲突中的流量限制规则(防火墙规则)可以 严重危及安全,更重要的是, 可用性TPCN的。为了解决这个问题,一个规则 分配方法已经被提出,它是 事实证明,使用这种方法,不需要额外的规则冲突 介绍了防火墙的规则集。最后,安全影响 的TPCN是通过研究它是如何解决现代评估 在ICS中的安全挑战,以及评估其对常见的攻击模式。为了解决这个问题,一个规则 分配方法已经被提出,它是 事实证明,使用这种方法,不需要额外的规则冲突 介绍了防火墙的规则集。最后,安全影响 的TPCN是通过研究它是如何解决现代评估 在ICS中的安全挑战,以及评估其对 常见的攻击模式。

可信网络技术可以帮助解决参与保护工业控制系统的挑战这是经营的关键基础设施资产是至关重要的。 添加信任工业控制网络消除 通过控制不足带来的安全问题,非 兼容的设备和恶意用户。它极大地 减少漏洞,构成恶意软件攻击 大多数外部攻击。内部的可能性 攻击也通过符合性验证,口减少基于访问控制,设备和用户身份验证,并基于角色的访问控制。