标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GBT 40218-2021 工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术.pdf公共密钥证书publickeycertificate
唯一识别一个实体的数据集,包含该实体的公共密 ,开由信任方对其进行数子金名,从而将公兴 密钥绑定该实体门
公共密钥(非对称)加密算法publickey(asymmetric)cryptographicalgorithm 加密算法使用两个相关密钥,一个公共密钥和一个私有密钥,使得无法通过计算由公共密钥得到私 有密钥,
公钥基础设施publickeyinfrastructure;PKI 用于发布、维护和撤销公共密钥证书的框架3。 3.1.47 抵赖repudiation 参与通信的某一实体拒绝承认参与了全部通信或部分通信[3]。 3.1.48 风险risk 以概率的形式表示特定威胁利用特定脆弱性造成特定后果的预期损失[3]。 3.1.49 秘密密钥 secretkey 使用秘密密钥加密算法的密钥QYZM 0005S-2015 云南珍美生物科技有限公司 速冻蔬菜,此算法与一个或多个实体唯一相关,而且不对外公开。 3.1.50 秘密密钥(对称性)加密算法 secret key (symmetric) cryptographic algorithm 对于加密和解密,加密算法均使用同一个秘密密钥口。
182021/IEC/TR6244
用于连接远距离(例如国内或跨国的计算机、网络和其他设备的通信网络
182021/IEC/TR6244
本标准中所使用的商品名和商标参见附录A。 下列缩略语适用于本文件。 3DES:TripleDigitalEncryptionStandard(三重数字加密标准) AES:AdvancedEncryptionStandard(高级加密标准) AGA:AmericanGasAssocitaion(美国天然气协会) ASMAutomatedSoftwareManagement(自动化软件管理) CERT:ComputerEmergencyResponseTeam(计算机应急应答小组) CHAP:ChallengeHandshakeAuthenticationProtocol(询问握手鉴别协议) CIp:CommonIndustrialProtocol(formerlyControl andInformationProtocol)[通用工业协 以前为控制和信息协议) CMVP:CryptographicModuleValidationProgram(加密模块验证程序) COTS:CommercialOffTheShell(商用现货) CPU:CentralProcessingUnit(中央处理单元) CS:ControlSystem(控制系统) DAC:DiscretionaryAccessControl(自主访问控制) DC:DomainController(域控制器) DCS:DistributedControlSystem(分布式控制系统) DMZ:DemilitarizedZone(非军事化区) DoS:DenialofService(拒绝服务) DPA:DifferentialPowerAnalysis(差分功耗分析) EC:EllipticCurve(椭圆曲线) ECC:EllipticCurveCryptosystem(椭圆曲线密码系统) FAN:FieldAreaNetwork(区域网络) FAQ:FrequentlyAskedQuestions(常见问答) FAT:ForensicsansAnalysisTool(取证和分析工具) FIPS:FederalInformationProcessingStandards(联邦信息处理标准) FTP:FileTransferProtocol(文件传输协议) GPS:GlobalPositioningSystem(全球定位系统) HCM:HostConfigurationManagement(主机配置管理) HIDS:HostIntrusionDetectionSystem(主机人侵检测系统) HMI:HumanMachineInterface(人机接口) HTTP:HyperTextTransferProtocol(超文本传输协议) HTTPS:HyperTextTransferProtocolSecure(超文本传输安全协议) IACS:IndustrialAutomationandControlSystem(工业自动化和控制系统) IAONA:IndustrailAutomationOpenNetworkingAssociation(工业自动化开放网络协会) IATF:InformationAssuranceTechnicalFramework(信息保险技术框架) ID:Identification(身份证明) IDS:IntrusionDetectionSystem(人侵检测系统) IED:IntelligentElectronicDevices(智能电子设备)
本标准中所使用的商品名和商标参见附录A。 下列缩略语适用于本文件。 3DES:TripleDigitalEncryptionStandard(三重数字加密标准) AES:AdvancedEncryptionStandard(高级加密标准) AGA:AmericanGasAssocitaion(美国天然气协会) ASM:AutomatedSoftwareManagement(自动化软件管理) CERT:ComputerEmergencyResponseTeam(计算机应急应答小组) CHAP:ChallengeHandshakeAuthenticationProtocol(询问握手鉴别协议) CIp:CommonIndustrialProtocol(formerlyControlandInformationProtocol)[通用工业协议 前为控制和信息协议) CMVP:CryptographicModuleValidationProgram(加密模块验证程序) COTS:CommercialOffTheShell(商用现货) CPU:CentralProcessingUnit(中央处理单元) CS:ControlSystem(控制系统) DAC:DiscretionaryAccessControl(自主访问控制) DC:DomainController(域控制器) DCS:DistributedControlSystem(分布式控制系统) DMZ:DemilitarizedZone(非军事化区) DoS:DenialofService(拒绝服务) DPA:DifferentialPowerAnalysis(差分功耗分析) EC:EllipticCurve(椭圆曲线) ECC:EllipticCurveCryptosystem(椭圆曲线密码系统) FAN:FieldAreaNetwork(区域网络) FAQ:FrequentlyAskedQuestions(常见问答) FAT:ForensicsansAnalysisTool(取证和分析工具) FIPS:FederalInformationProcessingStandards(联邦信息处理标准) FTP:FileTransferProtocol(文件传输协议) GPS:GlobalPositioningSystem(全球定位系统) HCM:HostConfigurationManagement(主机配置管理) HIDS:HostIntrusionDetectionSystem(主机人侵检测系统) HMI:HumanMachineInterface(人机接口) HTTP:HyperTextTransferProtocol(超文本传输协议) HTTPS:HyperTextTransferProtocolSecure(超文本传输安全协议) IACS:IndustrialAutomationandControlSystem(工业自动化和控制系统) IAONA:IndustrailAutomationOpenNetworkingAssociation(工业自动化开放网络协会) IATF:InformationAssuranceTechnicalFramework(信息保险技术框架) ID:Identification(身份证明) IDS:IntrusionDetectionSystem(人侵检测系统) IED:IntelligentElectronicDevices(智能电子设备)
自从人类有了值得保护的资产开始,就存在了授权的概念。授权是保护1ACS系统和关键资产免 受破坏的第一步,是决定谁和什么宜被允许或拒绝进出系统的过程。一且授权信息被确定,就能够实现 从深防御中的访问控制措施,以验证仅被授权人员和设备才能实际访问IACS。第一步措施通常是对 式图访问IACS的人员或设备的鉴别
授权可以决定小到对应用中的特定文件的访问,大到对整个企业或IACS网络的访问。授权通常 使用操作系统、应用和网络供应商提供的配置工具间接实现。实际上所有系统都有授权机制,它极大地 增加了企业各层和IACS计算中在架构和管理上的挑战。 授权和鉴别是IACS访问控制的基础。它们是不同的概念却经常被混淆,因为两者之间的关系密 切。实际上,正确的授权要依靠鉴别。 鉴别通过使用识别因素或与凭证相结合的方式来描述一个正确识别潜在网络用户、主机、应用、服 务和资源的过程。这个鉴别过程的结果就成为允许或拒绝进一步行为的基础。根据收到的应答,系统 可以允许或拒绝对其资源可能的用户访问。 有几种可能的因素决定个人、设备或系统的真实性。例如,测试可以是已知的某事(如PIN或密 码)、拥有的某物(如密钥、软件狗或智能卡)、身体的部位(如生物特征,诸如指纹或视网膜签名)、位置 如全球定位系统(GPS)位置访问]、发出请求的时刻,或这些属性的组合。通常,鉴别过程使用的因素 越多,网络信息安全过程就越健壮。当使用两个或更多因素时,这个过程通常称为多因素鉴别。 有两类对象需要鉴别: a)用户鉴别:诸如“登录计算机”或激活人机界面(HMI)等传统的计算机鉴别以调整一个过程; b)网络服务鉴别:联网设备能够辨别对IACS数据或者执行动作的请求是否经过授权。 在IACS环境下的计算机系统通常依靠传统的密码鉴别。控制系统供应商通常提供的系统带有缺 省密码。这些密码常常容易猜到或不常改变,结果增加了信息安全风险。当前,在IACS环境下使用的 协议的网络服务鉴别能力不够充分或根本没有。 注:网络服务鉴别不宜与“报文鉴别”混淆,后者常用在信息安全文档中。报文鉴别用于防止传送过程中对报文的 复改,及对长期存储的数字记录进行签名。第7章介绍这个概念。 下面列出了儿类鉴别和授权技术。第9章IACS相关的操作系统中,也包括对授权间题的讨论
授权可以决定小到对应用中的特定文件的访间,大到对整个企业或IACS网络的访。授权通常 使用操作系统、应用和网络供应商提供的配置工具间接实现。实际上所有系统都有授权机制,它极大地 增加了企业各层和IACS计算中在架构和管理上的挑战。 授权和鉴别是IACS访问控制的基础。它们是不同的概念却经常被混淆,因为两者之间的关系密 切。实际上,正确的授权要依靠鉴别。 鉴别通过使用识别因素或与凭证相结合的方式来描述一个正确识别潜在网络用户、主机、应用、服 务和资源的过程。这个鉴别过程的结果就成为允许或拒绝进一步行为的基础。根据收到的应答,系统 可以允许或拒绝对其资源可能的用户访间
5.2基于角色的授权工具
网络(像某些IACS系统)中时,具有降低信息安全管理的复杂性和成本的潜质。在RBAC条件下, 角色、层级和约束来组织用户访问等级,可以使信息安全管理变得简单。RBAC减少了组织内部 因为操作人员的变动比岗位变动更频繁
5.2.2此技术处理安全的脆弱性
RBAC系统设计目的是通过对IACS网络信息和多个设备资源的用户访问,进行更大的控制,使潜 在的信息安全侵害最小化。控制室操作员访问等级有儿种形式,包括监视、使用和改变特定的IACS数 居或设备功能。RBAC提供了管理访同工厂现场设备统一的方法,同时减少了维护单个设备访同等级 成本并最大限度减少错误。 控制访问IACS信息和网络资源的传统方法是对每个用户建立特定的许可,该许可被配置到各智 能设备支持的信息安全等级机制中。一个工业控制系统可能有上千台设备,诸如DCS、HMI、过程历史 车、PLC、马达控制中心、智能传感器和特定应用的数据集中器。这种方法虽然在静态环境中有效,但在 动态环境中管理较困难,其中有(系统)用户的岗位变化,也有承包商、设备制造商、系统集成商及供应商 的加入和离开。频繁的变化需要经常更新访问许可,过程耗时且容易出错。使用这个方法的一个常见 的信息安全问题是不能及时做许可更新,使非授权用户(诸如离职的雇员)能访问受限的功能。由于这
个原因,工厂常常不使用或简单地禁用各设备信息安全访问等级, RBAC解决这个问题的方法是基于用户的角色或岗位职责的访问,而不是对个人定制的访问。比 如,机器操作员能够查看某些文件,但不能更改他们。 表面上,基于岗位描述的访问控制似乎存在局限,但RBAC能授予群组多种访问许可,并能提高某 些人的访问特权。使用先前的例子,机器操作员可以查看很多设备文件,但机器供应商的支持工程师只 能对他们的机器访问附加功能。角色也可以根据地理位置、项目、进度和管理等级而设定。 虽然雇员和承包商的变化使维护个人许可变得困难,而使用角色许可则不是间题,因为他们通常不 经常变化。在中心数据库中,能对角色组增加或删除,使维护当前访问等级的工作量最小化并减少错误 的可能。
访问IACS中计算机系统对象的权限是基于用户在组织中的角色。用户与角色相关,角色与许可 相关。当用户具有授权角色并有相关许可时才能访问一个对象。 RBAC工具提供图形用户界面,简化了建立角色、组和许可的过程。这些工具通常基于Web,并且 可以在企业的内部网上操作。多数RBAC工具使用集中化授权库,同时把实际角色分配的任务委托给 积能部门经理。工厂可以使用RBAC对控制系统的智能设备实施集中的访问控制,但分配各人员的角 色是仪表、维护和操作支持部门的职责。 RBAC工具可以在应用中设定、修改、或移除授权,但它们不能代替授权机制;当用户要访问应用 时,它们不是每次都检查和鉴别用户
5.2.4已知问题和弱点
为了提供统一的授权管理,RBAC工具应能与令牌、数字证书、目录或保护智能设备的其他授权机 同一起工作。RBAC工具对IT领域多数现有平台的授权机制提供接口。然而,早期的IACS系统或专 月的IACS装置需要开发专用接口软件,多个系统的软件开发会带来大量工作,这是妨碍许多公司在企 网络中实现单点登录功能的最大原因。这对于使用很多专有操作系统或定制操作系统实现和接口的 工业控制系统是个大问题。 基于公司广域网和一些中心RBAC服务器的健康和可用性,集中式RBAC策略具有实施访问控制 系统的潜力。然而,集中式RBAC增加了故障点,可能会影响IACS的可用性。使用RBAC的另一个 同题是:这是个相对新的方法,其收益和应用至今没有被很好地理解。同样,一些IACS架构现在不支 寺这种方法。
.2.5在工业自动化和控制系统环境中使用的评
当这项标准发布时,还没有任何为工业控制系统专门开发的使用产泛的RBAC工具。特别是,对 于多厂家产品构成的控制系统,没有一种可统一授权的工具。然而,一些装置供应商提供的工具可对其 部分产品集中授权,诸如对控制器的程序开发应用的访间
在工业环境使用的协议需要适应与RBAC兼容的访问控制机制。虽然很多老协议很难达到,但在 些新协议中已经实现。其中的一个例子是用于过程控制的OLE③(OPC)标准,已经开发了对 OPC服务器访问控制的信息安全规范。 执行工业控制设备统一授权管理的产品早在2005年就出现了,但没有广泛使用。这些产品的功能
可以集成到具有多种信息安全功能的信息安全网
在缺少统一授权工其的值 ,以最小化外部进出控制系统 的流量。虽然多种结构化措施都试图 的数据流,但不能全部实现。虽然 RBAC能够增加对控制系统自发数据 对数据流的粗心设计而引起的问题
5.2.8信息源和参考材
方括号中列出的参考材料见参考文献。 [NIST02] [FKC] [KG] ·[bhold]
方括号中列出的参考材料见参考文献。 [NIST02] [FKC] [KG] ·[bhold]
5.3.2此技术处理信息安全脆弱性
在IACS环境中,密码可用来使对服务和功能的请求仅限于授权用户
密码部署通常采用以下两种方式之 a)密码随请求一起提交以获取授权。网络服务请求通常包括密码。 一个常见的例子是包括团
名字的简单网络管理协议(SNMP)请求。
5.3.4已知问题和弱点
5.3.5在工业自动化和控制系统环境中使用的评估
工业自动化和控制系统装置应足够复杂以实现高等级的密码安全。IACS装置需要具有用安全 即非明文)传送密码的协议。将来的密码使用方法可能是一种称为RBA(基于角色鉴别)的通用 在某些情况下,几个操作员具有相同的密码,因此有相同授权,一旦他们通过授权进入控制系统
为他们有同等授权,他们能够做和不能做的都一样。这种基于角色的方法与他或她的工作角色相关,而 不是与他或她的个人相关,这对在一个比一般的IT企业工作角色变化更频繁的环境中的管理是有 用的。 未来IACS密码装置和协议应在不同紧急情况下给操作员提供灵活性。例如,在紧急情况下,惊慌 失措的操作员可能多次登录不成功。而在紧急情况下不允许操作员访问系统可能产生灾难性后果。因 比,应有密码算法,根据每次不成功尝试的相似性,识别该不成功尝试的人是否是知道密码的人。算法 应允许操作员使用简单紧急密码用于登录目的
5.3.8信息源和参考材料
挑战/应答鉴别需要服务请求者、IACS操作员和服务提供者事先知道“秘密”码。当请求服务 务提供者对服务请求者发送一个随机数字或字符串作为挑战。服务请求者使用这个秘密码为服务
供者生成唯一应答。如果这个应答为期望的,它证明服务请求者已经获得“秘密”且没有在网络上泄露 秘密。
挑战/应答鉴别针对传统密码鉴别的信息安全脆弱性。当在网上发送密码(哈希化或明文)时,也发 送了一部分真实的“秘密”。将秘密发送给远程设备执行鉴别。因此,传统的密码交互总要遭到发现或 重发的风险。因为这个秘密事先已知,且永远不在挑战/应答系统中发送,发现的风险则被排除。如果 服务提供者永不发送两次相同的挑战,并且接收器能够探测到所有重复的消息,那么网络捕获和重发攻 击的风险则被消除,
5.4.4已知问题和弱点
3.4.5在工业自动化和控制系统环境中使用的评
在控制系统中,对用户直接使用挑战/应答鉴别是不可行的,因为对控制系统或工业网络访问有 动态的要求,而这种鉴别方法可能引人延时。 对网络服务的鉴别,使用挑战/应答鉴别比多数传统密码或源识别鉴别方案更可取
182021/IEC/TR6244
工业自动化和控制系统装置和它们的协议宜足够复杂,以使用挑战/应答鉴别来提供适当的信息安 全。在购买系统时,应选用功能好和实时性强的挑战/应答鉴别协议,诸如询问握手鉴别协议(CHAP) 这种鉴别使用挑战/应答方法。CHAP与密码鉴别协议以同样的方式被使用,但CHAP提供了一种更 高等级的信息安全。远程用户、路由器和网络接
通过网络对用户鉴别,挑战/应答鉴别比加密密码更安全。 由于更多部门加人信息安全过程中,主加密算法和主密码的管理变得更为复杂。这对信息安全方 案的健壮性是一个重要考虑项
5.4.8信息源和参考材料
方括号中列出的参考材料见参考文献。 [Sim] .[ZC]
物理或令牌鉴别与“密码鉴别 有的设备 或令牌(如信息安全令牌或智能卡)来确定其真实性。PKI密钥正越来越多地嵌人到物理设备中,如通 用串行总线(USB)。 有些令牌仅支持单因素鉴别,所以只拥有令牌就足以进行鉴别。有些支持双因素鉴别,除了拥有令 牌外还需要知道PIN或密码来完成鉴别
5.5.2此技术处理的信息安全脆弱性
令牌鉴别在处理脆弱性方面主要是能够防止秘密被轻易复制或共享给他人。这消除了最常见的把 安全”系统的密码放置在个人计算机(PC)或操作员站旁边的墙上的情形。如果没有对装置的特定访 间和支持,信息安全令牌是不能复制的。 第二个优点是物理令牌包含秘密可以非常大、物理上安全,且可随机生成。因为其嵌人在金属或硅 材料里,所以没有类似手动键人密码的风险。 如果一个信息安全令牌丢失或被盗,授权用户就不能访问,不像传统的密码,丢失或被盗时毫无 察觉。
物理/令牌鉴别的通常形式包括: a)传统物理锁和钥匙; b)信息安全卡(磁卡、智能芯片卡、光学编码卡); c) 采用卡、钥匙链、安装标签形式的射频设备; d 具有安全加密密钥的连接在计算机USB、串行或并行端口上的软件狗; e)一次性鉴别码生成器
5.5.4已知问题和弱点
对于单因素鉴别,最大的弱点是持有物理令牌就意味着准许访问(如任何人发现一串丢失的钥匙 后,就可以访问他们能打开的任何地方)。当结合第二种鉴别形式时(如PIN与令牌一同使用),物理 令牌鉴别更加安全。 对于高等级信息安全应用而言,双因素鉴别是一种已被认可的良好实践。 令牌发布、分发和管理需要后勤和财政的支持。它们通常也需要额外的服务器以支持鉴别,
5.5.5在工业自动化和控制系统环境中使用的评估
物理/令牌鉴别是一种有效的信息安全技术,并宜在工业自动化和控制系统环境中扮演重要
可靠且安全性高的令牌方案今天已经实现。令牌正以方便使用的形式变得可用,诸如钥匙环链 片ID卡中的嵌人式功能
5.5.8信息源和参考材料
方括号中列出的参考材料见参考文献。 ·[Har2] .「Zur]
5.6.2此技术处理的信息安全脆弱性
智能卡通过提供附加的鉴别因素,消除记忆复杂秘密的人为因素,加强了纯软件(如密码鉴别)的 方案,并且:
·将包括鉴别、数字签名、密钥交换等信息安全关键计算,与系统中不需要知道这些的其他部分 隔离。 ·可在多计算机系统之间携带凭证和其他私有信息。 ·提供防篡改存储器功能以保护私钥和其他形式的个人信息。
5.6.4已知问题和弱点
5.6.5在工业直动化和控制系统环境中使用的评信
虽然智能卡相对便宜,且在工业控制系统中提供了有用的功能,但其实施应在整个工厂的信息安全 环境中进行。必要的个人身份识别、卡的发放、卡的撤销应被怀疑是危及安全的;对通过鉴别的人的授 权分配,有一个重要的初始和持续的挑战。在某些场合,公司的IT或其他资源有助于基于智能卡和公 钥的基础设施的实现
智能卡的存储、处理能力及灵活性在不断增加。随着金融服务组织采用智能卡技术的信用卡,智
卡和读卡器的成本或许会降低。随后会把智能卡集成到标准的IT产品中,采用智能卡技术的信用卡 提供支付功能会成为标准。另一种将来可能的方向是集成进Web浏览器中,允许安全在线零售交易。
宜从物理远景和对计算机系统的访问两个方面检查智能卡在IACS环境下控制访问的潜在使用。 如果在工业控制设置中使用智能卡,要规定卡的丢失或损坏方面的管理,以及要考虑公司提供访问 控制系统、分发和收回管理的成本,
5.6.8信息源和参考材料
方括号中列出的参考材料见参考文献。 [anon39] [Jun] .[Zur]
JJF 1565-2016 重金属水质在线分析仪校准规范生物鉴别技术使用请求访问人唯一的生物特征决定其真实性。常用的生物特性包括指纹、面部儿 何、视网膜和虹膜签名、声音模式、打字模式、手型几何
出技术处理的信息安全脆
就像物理令牌和智能卡,生物鉴别加强了纯软件解决方案,诸如密码鉴别,提供了附加鉴别因素,并 消除了要记忆复杂密码的人为因素。另外,因为生物特征对每个人而言是唯一的,生物鉴别解决了物理 令牌和智能卡丢失或被盗问题
生物鉴别的常用形式包括: a) 指纹扫描仪; b) 手形扫描仪; c) 眼(虹膜或视网膜)扫描仪; d) 面部识别; 声音识别。
生物鉴别的常用形式包括: a) 指纹扫描仪; b) 手形扫描仪; c) 眼(虹膜或视网膜)扫描仪; 2 面部识别; e) 声音识别。
5.7.4已知问题和弱点
使用生物鉴别要注意的问题包括: 所有生物设备需要辨别对象的真假(比如,如何区分真手和硅胶假手,或真声和录音)。 · 所有生物设备都有类型1和类型Ⅱ错误(分别为拒绝有效生物图像的概率和接受无效生物图 像的概率)的限制。在所有情况下,用户试图使用的生物鉴别设备,应具有这两种概率的最小 交义,也称为交叉出错率, 某些生物设备对环境敏感。因此,温度、湿度和其他环境因素会影响这些设备。 据报道,生物扫描仪会随时间“偏移”,需要不定期地重新校对。人类生物特征也会随时间变 化,需要定期地扫描仪校对。
相对其他形式可能丢失或被借用的鉴别,生物设备是有用的二级检查。使用生物鉴别结合令牌密 钥或胸牌操作的员工打卡器,增加了信息安全等级
生物识别提供了一种重要的鉴别机制DB510183T 005-2016 邛崃浓香型白酒原酒生产技术规范,在工业中应用需要谨慎评估,因为物理和环境的问题,在 安装环境中可能需要更改结构才能进行可靠授权鉴别。安装的确切的物理和环境属性需要与系 应商或制造商协调