JB/T 11962-2014 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
JB/T 11962-2014 工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术.pdf保护行规protectionprofile
保护行规protectionprofile
公共密钥(非对称)加密算法publickey(asymmetric)cryptographicalgorithm 加密算法使用两个相关密钥,一个公共密钥和一个私有密钥,使得无法通过计算由公共密 有密钥。 3.1.46 公钥基础设施publickeyinfrastructure(PKI) 用于发布、维护和撤销公共密钥证书的框架3。 3.1.47 抵赖repudiation 参与通信的某一实体拒绝承认参与了全部通信或部分通信[3]。 3.1.48 风险risk 以概率的形式表示特定威胁利用特定脆弱性造成特定后果的预期损失[3]。 3.1.49 秘密密钥secretkey 使用秘密密钥加密算法的密钥,此算法与一个或多个实体唯一相关,而且不对外公开1。 3.1.50 秘密密钥(对称性)加密算法secretkey(symmetric)cryptographicalgorithm 对于加密和解密,加密算法均使用同一个秘密密钥[!]。 3.1.51 信息安全域 securitydomain 由单一可信权威组织授权的控制LAN或企业LAN的系统或子系统。 注:可将若干个信息安全域(例如分等级地)组成更大的区域3。 3.1.52 信息安全服务securityservices 用于提供保密性、数据完整性、鉴别或信息防抵赖的机制[3]。 3.1.53 服务器server 给客户端设备和应用提供信息或服务的设备或者应用3]。 3.1.54 侦听sniffing 见3.1.26。
本文件中所使用的商品名和商标参见附录A。 3DES Triple Digital Encryption Standard 三重数字加密标准 AES Advanced Encryption Standard 高级加密标准 AGA AmericanGasAssociation 美国天然气协会 ASM AutomatedSoftwareManagement 自动化软件管理 CERT ComputerEmergencyResponseTeam 计算机应急响应小组 CHAP ChallengeHandshakeAuthenticationProtocol 询问握手鉴别协议 CIP? Common Industrial Protocol (formerly Control and 通用工业协议(前控制和信息协议) InformationProtocol) CMVP Cryptographic ModuleValidationProgram 加密模块验证程序 COTS CommercialOffTheShell 商用现货 CPU CentralProcessingUnit 中央处理单元 CS ControlSystem 控制系统 DAC DiscretionaryAccess Control 自助访问控制 DC Domain Controller 域控制器
很多行业和关键基础设施报告中指出,非授权企图访问电子信息,或怀有恶意强行进入监视和控制 个国家至关重要资产(如能源管道、运输系统、水系统、电力网)的IACS的数量在增加。最近几年, 合资企业、联盟伙伴和外包服务在工业行业中飞速增长。与此同时,IACS已经从基于私有技术和协议 的孤立网络演变成了基于标准的网络,该网络连接了企业其余部分一一包括通常连接到互联网的IT业 务企业,以及连接到其他的企业,诸如业务伙伴和公司的广域网。 因此,现在知道谁被授权访问IACS的信息,他们什么时候访问信息和他们能够访问什么数据,非 常有挑战性。在一个业务中的合作伙伴也许在另一个业务中是竞争对手。然而,因为IACS设备直接连 接到一种过程,在信息流中商业秘密的丢失或者中断不只是信息安全缺口潜在结果且一定不是最大的影 响。更严重的可能是潜在的生产损失、环境破坏、违反法规或危及操作安全。后者有可能超出公司本身; 可能严重损害地区或国家的基础设施。 在全世界,成为计算机学者的人数在不断增加,而恶意黑客攻击GB/T 24305-2009 杜仲产品质量等级,再加上通过知名度高的新闻传播 实现其邪恶爱好,已成为一种金融获利手段。事实上,自动操作的恶意黑客攻击工具现在公开在互联网
5.2基于角色的授权工具
5.2.2此技术针对的信息安全脆弱性
RBAC系统设计目的是通过对IACS网络信息和多个设备资源的用户访问,进行更大的控制,使潜 在的信息安全侵害最小化。控制室操作员访问等级有几种形式,包括察看、使用和改变特定的IACS数 据或设备功能。RBAC提供了管理访问工厂现场设备统一的方法,同时减少了维护单个设备访问等级成 本并最大限度减少了错误。 控制访问IACS信息和网络资源的传统方法是对每个用户建立特定的许可,该许可被配置到各智能 设备支持的信息安全等级机制中。一个工业控制系统可能有上千台设备,诸如DCS、HMI、过程历史 库、PLC、马达控制中心、智能传感器和应用特定数据集中器。这种方法虽然在静态环境中有效,但在 动态环境中管理较困难,其中有(系统)用户的岗位变化,也有承包商、设备制造商、系统集成商及供 应商的加入和离开。频繁的变化需要经常更新访问许可,过程耗时且容易出错。使用这个方法的一个常 见的信息安全问题是不能及时做许可更新,使非授权用户(如离职的雇员)能访问受限的功能。由于这 个原因,工厂常常不使用或简单地禁用各设备信息安全访问等级。 RBAC解决这个问题的方法是基于用户的角色或工作职责的访问,而不是对每人定制访问。例如 机器操作员能够查看某些文件,但不能更改它们。 表面上,基于职位描述的访问控制似乎有点限制,但RBAC能授予群组多种访问许可,并能提高 某些人的访问特权。使用先前的例子,机器操作员可以查看很多设备文件,但机器供应商的支持工程师 可对他们的特定机器访问附加功能。角色也可以根据位置、项目、进度和管理等级而设定。 虽然雇员和承包商的变化使维持个人许可变得困难,而使用角色则不是问题,因为它们通常不经常 变化。在集中数据库中,能对角色组增加或删除,使维护当前访问等级的工作量最小化并减少错误的可 能。
在IACS中,基于用户在组织中的角色访问计算机系统对象。用户与角色相关,角色与许可相关。 当用户具有授权角色并有相关许可时才能访问一个对象。 RBAC工具提供图形用户界面,简化了建立角色、组和许可的过程。这些工具通常基于Web,并且 可以在企业的内部网上操作。多数RBAC工具使用集中化授权库,而且代理功能部门经理分配实际角 色。工厂可以使用RBAC对控制系统的智能设备实施集中的访问控制,但分配各人员的角色是仪器仪 表、维护和运行支持部门的职责。 RBAC工具可以设定、修改或取消应用中授权,但它们不能代替授权机制;当用户要访问应用时, 它们不是每次都检香和鉴别用户
5.2.4已知问题和弱点
为了提供统一的授权管理,RBAC工具应该能与令牌、数字证书、目录或保护智能设备的其他 制一起工作。RBAC工具对IT领域多数流行平台的授权机制提供接口。然而,早期的IACS系 用的IACS装置需要开发专用接口软件,对多系统的软件开发可能带来大量工作,这是妨碍多
在企业网络中实施单个登录能力的最大原因。对于使用很多专有操作系统或定制操作系统的工业控制系 统,实施和接口是个大问题。 基于公司广域网和一些中心RBAC服务器的健康和可用性,集中式RBAC策略具有实施访问控制 系统的潜力。然而,集中式RBAC增加了故障点,可能会影响IACS的可用性。使用RBAC的另一个 问题是,它是个相对新的方法,它的收益和应用至今没有很好理解。同样,一些IACS架构现在不支持 这种方法。
5.2.5在工业自动化和控制系统环境中使用的评
5.3.2此技术针对的信息安全脆弱性
CS环境中,口令可用来限制授权用户对服务和工
口令通常用在两种方式中: a)口令随授权请求一起发送。网络服务请求通常包括口令。一个常见的例子是包括团体名字的简 单网络管理协议(SNMP)请求。
5.3.4已知问题和弱点
5.3.5在工业自动化和控制系统环境中使用的评估
权人员复位这个账号。 在IACS环境中,当使用基于登录口令鉴别的IT策略时,要给予特别考虑。假如没有一个基于机 器识别(ID)的排除列表,非操作员登录可能产生诸如超时自动退出和管理员口令替换的策略执行结 果,这对系统的运行是有害的。有些控制器的操作系统设置安全密码比较困难,因为密码长度非常小, 所以系统通常在每个访问级别仅允许组口令,而不是个人口令。 有些工业(和互联网)协议以明文传送密码,容易被侦听。万一不能避免这种情况,重要的是加密 和非加密系统使用不同的(且不相关的)口令
工业自动化和控制系统装置应足够复杂以实现高等级的口令安全。IACS装置需要具有用安全方式 (即非明文)传送口令的协议。将来的口令使用方法可能是一种称为RBA(基于角色鉴别)的通用方 法。在某些情况下,几个操作员具有相同的密码,因此有相同授权,因为他们有同等授权,一旦他们进 入控制系统通过授权,他们能够做和不能做的都一样。这种基于角色的方法与他或她的工作角色相关, 而不是与他或她的个人相关,这对在一个比通常的IT企业工作角色变化更频繁的环境中的管理是有用 的。 未来IACS密码装置和协议应在不同紧急情况下给操作员提供灵活性。例如在紧急情况下,惊煌失 措的操作员可能多次登录不成功。而在紧急情况下不允许操作员访问系统可能产生灾难性后果的严重问 题。因此,应该有口令算法,根据每次不成功尝试的相似性,识别该不成功尝试的人是否是知道口令的 人。算法应允许操作员使用简单紧急口令用于登录目的,
5.3.8信息源和参考材料
质询/响应鉴别需要服务请求者、IACS操作员和服务提供者事先知道“秘密”码。当请求服务时, 服务提供者对服务请求者发送一个随机数字或字符串作为质询。服务请求者使用这个秘密码为服务提供 者生成唯一响应。如果这个响应为期望的,它证明服务请求者已经获得“秘密”且没有在网络上泄露秘密
5.4.2此技术针对的信息安全脆弱性
质询/响应鉴别针对传统口令鉴别的信息安全脆弱性。当在网上发送口令(散列化或明文)时,也 发送了一部分真实的“秘密”。将秘密发送给远程设备执行鉴别。因此,传统的口令交互总要遭到发现 或重发的风险。因为这个秘密事先已知,且永远不在质询/响应系统中发送,发现的风险则被排除。如 果服务提供者永不发送两次相同的质询,并且接收器能够探测到所有重复的消息,那么网络捕获和重发 攻击的风险则被消除。
5.4.4已知问题和弱点
论哪种方式都存在暴露和危及系统的风险。分发方法在设计和执行时需特别小心,避免成 息安全系统中的薄弱环节。
.4.5在工业自动化和控制系统环境中使用的评
在控制系统中,对用户直接使用质询/响应鉴别是不可行的,因为对控制系统或工业网络访问有快 速动态的要求,而这种鉴别方法可能引入延迟。 对网络服务的鉴别,使用质询/响应鉴别比多数传统口令或源识别鉴别机制更可取,
工业自动化和控制系统装置和它们的协议应足够复杂,以使用质询/响应鉴别来提供适当的信 在购买系统时,应选用功能好和实时性强的质询/响应鉴别协议,诸如质询握手鉴别协议(CHA 中鉴别使用质询/响应方法。CHAP与密码鉴别协议以同样的方式被使用,但CHAP提供了一种 级的信息安全。远程用户、路由器和网络接入服务器在连接之前使用CHAP提供鉴别。
对网络用户鉴别,质询/响应鉴别比加密口令更安全。 由于更多部门加入到信息安全过程中,主加密算法和主口令的管理变得更为复杂。这对信息安全机 制的健壮性是一个重要考虑项。
5.4.8信息源和参考材料
方括弧中列出的参考材料见参考文献。 [Sim]; [zc]。
物理或令牌鉴别很像“口令鉴别”,不同的是采用通过测试设备或令牌来确定真实性的技术,请求 访问的人员应有他或她的所有物,诸如信息安全令牌或智能卡。此外,PKI钥匙正逐步嵌入到物理设备 中,如通用串行总线(USB)。 有些令牌仅支持单要素鉴别,所以只拥有令牌就足以进行鉴别。有些支持两要素鉴别,它除了拥有 令牌还需要知道PIN或口令来完成鉴别
令牌鉴别针对的主要脆弱性是防止秘密容易地被复制或被他人共享。它消除了对于个入计算机 (PC)或操作员站“安全”系统仅剩下一道口令墙的情形。如果没有对装置的特定访问和支持,信息 安全令牌是不能复制的。 第二个优点是在一个物理令牌内的密文可以非常大、物理上安全且可随机生成。因为嵌入在金属或 硅材料里,没有像人工键入口令相同的风险。 如果一个信息安全令牌丢失或被盗,授权用户就不能访问,不像传统的口令,丢失或被盗时毫无察 觉。
物理/令牌鉴别的通常形式包括
a)传统物理锁和钥匙; b)信息安全卡(磁卡、智能芯片卡、光学编码卡); c)卡、钥匙链、已装标签形式的射频设备; d)有安全加密密钥的软件狗,附在计算机的USB口、串口或并口上; e)一次鉴别码生成器。
5.5.4已知问题和弱点
对于单要素鉴别,最大的弱点是握有物理令牌就意味着准许访问(如任何人发现一串丢失的钥匙后, 就可以访问它们能打开的任何地方)。当结合第二种形式鉴别时,物理/令牌鉴别更加安全,如与令牌 同使用的记忆PIN。 两要素鉴别是一种被接受的良好实践,用于高等级信息安全应用。 令牌需要后勤和财政的支持进行发布、分发和管理。它们通常也需要另外的服务器以支持鉴别。
5.5.5在工业自动化和控制系统环境中使用的评估
物理/令牌鉴别是一种有效的信息安全技术,并应在IACS环境中扮演重要的角色。
可靠且安全性高的令牌方案今天已经实现。令牌正成为一种方便好用的形式,诸如钥匙环链和把功 能嵌入到照片ID卡中
5.5.8信息源和参考材料
方括弧中列出的参考材料见参考文献。 [Har2]; [Zur ]。
方括弧中列出的参考材料见参考文献。 [Har2]; 「[Zur ]。
5.6.2此技术针对的信息安全脆弱性
智能卡加强了纯软件的解决方案,如密码鉴别,通过提供附加的鉴别因素,消除了记忆时复杂秘密
的人为因素。它们也: 将包括鉴别、数字签名、密钥交换等信息安全关键计算与系统中不需要知道这些的其他部分隔 离; 可在多计算机系统之间携带凭证和其他私有信息; 有阻止篡改存储器功能,保护私有钥匙和其他形式的个人信息。
5.6.5在工业自动化和控制系统环境中使用的识
虽然智能卡相对便宜HG/T 21528-2014 常压手孔,且在工业控制系统中提供了有用的功能,但它的实施应在整个工厂的信息安 全环境中进行。必要的个人身份识别、卡的发放、卡的撤销应被怀疑是危及安全的;对通过鉴别的人的 授权分配,一直表现为日益严重的质询。在某些场合,公司的IT或其他资源有助于基于智能卡和公钥 的基础设施的实现,
智能卡的存储、处理能力及灵活性在不断增加。随着金融服务组织采用智能卡技术的信用卡,
卡和读卡器的成本或许会降低。 IT产品中,采用智能卡技术的信用卡提 供支付功能会成为标准。另一种将来可能的
应从物理远景和对计算机系统的访间两个方面检查智能卡在IACS环境下控制访问的潜在使用。 如果在工业控制设置中实施智能卡,要规定卡的丢失或损坏方面的管理,以及要考虑公司提供访问 控制系统、分发和收回管理的成本
5.6.8信息源和参考材料
方括弧中列出的参考材料见参考文献。 [anon39]; [Jun]; [Zur ]。
YS/T 63.9-2012 铝用炭素材料检测方法 真密度的测定 氦比重计法生物鉴别技术使用请求访问人唯一的生物特征决定其真实性。常用的生物特性包括指纹、面部几何 视网膜和虹膜签名、声音模式、打字模式、手型几何。
就像物理令牌和智能卡,生物鉴别加强了纯软件解决方案,诸如口令鉴别,提供了附加鉴别因素, 并消除了要记忆复杂口令的人为因素。另外,因为生物特征对每个人而言是唯一的,生物鉴别解决了物 理令牌和智能卡丢失或被盗问题。
生物鉴别的常用形式包括: a)指纹扫描仪; b)手型扫描仪; c)眼(虹膜或视网膜)扫描仪; d)面容识别; e)声音识别。