几种常见的授权和鉴权技术(一)
概述 很多行业和关键基础设施的报告显示:非授权企图访问电子信息的数量在增加,或怀有恶意,强行访问国家级重要基础设施(例如:能源管道,运输系统,水系统,电力网)的工业自动化和控制系统(IACS)。最近几年,合资企业,联盟伙伴和外包服务在工业中飞速增长。与此同时,IACS也从基于私有技术的孤立网络和协议,向基于标准网络连接企业的所有部门而演进-包括IT行业的企业,通常连接因特网和其他企业,诸如伙伴网络和公司的广域网。 因此,现在知道谁被授权访问IACS信息、什么时候访问、能够访问什么数据非常具有挑战性。在一个业务中的合作伙伴也许在另一个业务中是竞争对手。然而,因为IACS设备直接连接一种过程,在信息流中商业秘密的丢失不只是信息安全缺陷的潜在结果,且一定不是最遭的问题。更严重的结果可能是潜在的生产损失,环境破坏,违反法规,或危及操作安全。后果有可能超出公司预计,甚至可能损害地区或国家的基础设施。 在全世界,一部分增加的人口成为了计算机专家,而恶意黑客攻击,加上有邪恶爱好、知名度高的新闻播报,已成为一种金融获利手段。事实上,自动操作的恶意黑客攻击工具已经公然出现在因特网上。计算机病毒攻击的实例正在不断增加。各个国家不仅要关注外部威胁的恐怖主义和专家黑客;还要关注内部具有恶意企图的知识分子,甚至一个无意识的行为会对一个工业或关键基础设施带来严重的信息安全风险。结合所有这些因素,可以容易地看到未获授权或破坏性访问控制系统的可能性在增加。 当技术发生变化时,诸如标准化,垂直联网和远程访问(有线和无线),以及伙伴关系可能对于商业、经济、效率和工业及关键基础设施的生产力是有益的,但他们增加的潜在的风险,会危及IACS网络的信息安全。同样,因为针对工业的威胁增加,所以必须加强网络的信息安全。 1鉴权和授权技术 1.1 概要 授权的概念已经存在了与人类资产财产保护一样长的时间了。授权是保护IACS系统和关键资产不经意破坏的第一步。它是个决定谁和什么能够进入或离开系统的过程。一旦决定了这个信息,能够执行深度防御访问控制测量,检验仅有授权人员和设备才能实际访问一个IACS。第一个测量通常是对试图访问IACS的人员或设备的鉴权。 授权范围决定了访问应用中的特定文件或访问整个企业或IACS网络的内容。授权通常使用操作系统、应用和网络供应商提供的配置工具间接执行。授权机制实际在所有系统上显现,并增强在企业和IACS计算中大架构和管理挑战。 授权和鉴权是IACS访问控制的基础。它们概念明确但经常混淆,因为两者之间的关系密切。适当的授权,实际上,要依靠鉴权。  鉴权描述了正确识别潜在网络用户,主机,应用,服务和资源的过程,使用鉴定要素或多种证书相结合。这个鉴权过程的结果然后成为允许或拒绝进一步行为的基础。基于收到的响应,系统允许或不允许潜在用户访问它的资源。 有几种可能的要素决定个人,设备或系统的真实性。比如,测试可以是众所周知的某事(比如个人识别码(PIN)或密码),拥有的某物(比如钥匙,软件狗或智能卡),身体的部位(比如生物特征,诸如指纹或视网膜签名),位置(比如全球定位系统(GPS)位置访问),请求的一段时间,或这些属性的一个组合。通常,鉴权过程使用的要素越多,信息安全过程就越牢靠。当使用两个或更多要素时,这个过程通常称为多要素鉴权。 鉴权有两个组件: ● 用户鉴权-传统的计算机鉴权诸如"登录计算机"或激活人机界面(HMI)调节一个流程。 ● 网络服务鉴权-对IACS访问数据或对IACS执行操作的远程请求,连网设备辨别授权和非授权的能力。 在IACS环境下的计算机系统通常依靠传统的密码鉴权。控制系统供应商经常提供系统缺省密码。这些密码常常容易猜到或不常改变,结果增加了信息安全风险。在当前,在IACS环境使用的协议通常没有充分的或根本没有网络服务鉴权。 注释:网络服务鉴权不应该与"消息鉴权"混淆,它常在信息安全文字中使用。文字鉴权用于传送和长期电子存储签名数字记录中,防止对消息的更改。这个概念包括在第7条款中。 下面列出了几种鉴权和授权技术类型。在条款9操作系统与IACS中,也包括一个对授权问题的讨论。 2 基于角色的授权工具 2.1 概述 基于角色的访问控制(RBAC)是一种技术和工具,受到了很大的关注,因为可用在具有大量智能设备的网络中,像某些IACS系统,具有降低复杂性和信息安全管理成本的潜质。在RBAC条件下,使用角色,层次,和约束组织用户访问等级,使信息安全管理变得简单。RBAC减少了组织内的成本,因为它认同控制操作人员比工位值班人员变动更频繁。  2.2这项技术针对的信息安全漏洞 RBAC系统设计成:对IACS网络信息和多个设备资源的用户访问,给予更大的控制,使潜在的信息安全侵害最小化。控制室操作员访问等级有几种形式,包括观察,使用,和改变特定的IACS数据或设备功能。RBAC允诺一种管理访问工厂现场设备一致的方法,同时减少维护个别设备访问等级成本和最小化错误。 控制访问IACS信息和网络资源的传统方法是对每个用户建立特定的许可。许可然后配置到各智能设备支持的信息安全等级机制中。一个工业控制系统可能有上千台设备,诸如 DCS,HMI,过程历史库,PLC,马达控制中心,智能传感器和应用特定数据集中器。这种方法虽然在静态环境有效,但在动态环境中管理较困难,有用户的加入和离开职位和承包商,原始制造商,系统集成商,以及供应商用户的来和走。变化的持续流量需要经常更新访问许可,过程耗时且容易出错。使用这个方法的一个共通信息安全问题是不能及时做许可更新,使非授权用户(诸如离职的雇员)能访问受限的功能。相当经常,由于这个原因工厂既不使用也不简单禁用各设备信息安全访问等级。 RBAC解决这个问题的方法是基于用户的角色或工作职责访问,而不是对每人定制访问。比如,机器操作员能够查看某些文件,但不能更改它们。 在表面上,基于职位描述的访问控制似乎有点限制,但RBAC能对多组同意多种访问许可,并能对某些人提高访问特权。使用以前例子,机器操作员可以查看很多设备文件,但这个机器的供应商支持工程师对他们的特定机器访问附加功能。角色也可以根据位置,项目,进度和管理等级而设定。 虽然雇员和承包商的变化使维持各人许可变得困难,使用角色不是问题,因为他们通常不经常变化。在集中数据库中,能对角色组增加或删除,使维护当前访问等级的工作量最小化并减少错误的可能。 2.3 典型部署 在IACS中,基于用户在组织中的角色访问计算机系统对象。 用户与角色相关,角色与许可相关。当用户具有授权角色并有相关许可才能访问一个对象。 RBAC工具提供图形用户界面,简化了建立角色,组和许可的过程。这些工具通常基于Web,并且可以在企业的内部网上操作。多数RBAC工具使用集中化授权库,而且代理功能部门经理分配实际角色。工厂可以使用RBAC对控制系统的智能设备实施集中的访问控制,但分配人员的角色是仪器仪表,维护,和运行支持部门各自的责任。 RBAC工具可以在应用中设定,更改,或删除授权,但他们不能替换授权机制;用户要访问应用时,他们不是每次检查和鉴权操作用户。  2.4 已知的问题和弱点 为了提供统一的授权管理,RBAC工具应该能与令牌、数字证书、目录或保护智能设备的其他授权机制一起工作。RBAC工具对IT领域多数流行平台的授权机制提供接口。然而,老IACS系统或专用的IACS装置需要专用接口软件的开发。对多系统的软件开发可能带来大量工作,这是妨碍多个公司用企业网络实施单一签名功能的最大原因。对于使用很多专有操作系统或定制操作系统的工业控制系统,实施和接口这是个大问题。 依靠公司广域网和一些中心RBAC 服务器的健康和可用性,集中式RBAC策略具有实施访问控制系统的潜力。然而,集中式RBAC增加了故障点,可能会影响IACS的可用性。使用RBAC的另一个问题是:它是个相对新的方法论,它的收益和应用至今没有很好理解。同样,一些IACS架构现在不支持这种方法论。 2.5用于工业自动化和控制系统环境的评估 当这项技术报告发布的时候,编写工作组不知道有广泛的RBAC工具,专门开发用于工业控制系统。特别是,没有一种统一授权控制系统中多家产品的工具。然而,一些装置供应商提供部分产品集中授权工具,诸如访问控制器的应用程序。 2.6 未来方向 在工业环境使用的协议需要适应访问控制机制,与RBAC兼容。虽然很多老协议很难达到,但在一些新协议中已经实现。其中的一个例子是用于过程控制的OLE?(OPC?)标准,已经开发了对OPC? 服务器访问控制的信息安全规范。 执行工业控制设备统一授权管理的产品早在2005年出现了,但没有广泛使用。这些产品的功能可以集成到具有多种信息安全功能的信息安全网关之中。 2.7 推荐与指南 在缺少统一授权工具的情况下,多数IACS的设计人员在控制系统与外部之间采取最小流量的入和出。虽然不同架构都试图阻止从企业系统进入控制系统的数据流,但不能达到全部。虽然RBAC能够增加对控制系统自发数据请求的安全,但对数据流的粗心设计不是灵丹妙药。
|
|
|
