利奥DTS系统的网络安全

分布式温度传感系统(DTS)已经成为广泛接受和强大的工具在不同的市场像在电力行业,在火灾探测和井下监测。总的趋势后,最初分离独立的DTS系统成为最近越来越多的融入复杂的监控和数据采集(SCADA)系统。

当前工作的项目实例,DTS系统无疑变得纯粹的温度传感。记住这些要求lio一直寻求接近SCADA系统的网络安全。

监控和数据采集(SCADA),过程控制系统(PCS),分布式控制系统(DCS),等一般指的是系统控制的关键基础设施如电力发电机和电网、地铁系统、大坝、电信系统、天然气管道、消防系统,和许多其他人。简单的说,一个控制系统收集信息,然后执行一个函数根据收到的信息。
可以相对简单的控制系统,如监测环境条件的小型办公大楼,或非常复杂,如系统监控所有活动在核电站或活动的一个油田。
控制系统技术已经发展在过去30年的监视和控制大流程的方法。30年甚至15年前,安全不是一般人的优先议程,这些控制系统是独自一人,不通过互联网连接到外部世界。多年来,这些系统已经从专有的,独立的系统,那些使用现成的硬件(如标准PC组件)和软件(例如Microsoft Windows或Linux)。然而,更常用的硬件和软件的关注增加漏洞和攻击。

最近的一些事件在工业上已经证明来自安全漏洞的风险不再是小说,以及由此产生的后果可能是严重的:

  • 2005年“一轮互联网蠕虫感染了13戴姆勒克莱斯勒公司的美国汽车制造厂离线了近一个小时,滞留约50 000汽车工人感染Microsoft Windows系统打补丁”[1]。
  • 2006年美国核电站后必须关闭“数据风暴”在其内部控制系统网络停止了两个冷却水泵的控制。风暴显然是由故障引起的PLC [2]。
  • 在2007年的一份报告指出,“美国关键基础设施[是]严重威胁”,和美国“电子服务、交通、炼油厂和饮用水严重风险从非常简单的黑客攻击”[3]。
  • ”(美国桑迪亚国家实验室)的研究人员发布了一个实验网络攻击导致[电力]发电机自毁…”[4]。
  • 前国土安全部部长迈克尔·切尔托夫表示,“基地组织已经有一些网络攻击能力”。他预计基地开发更多的网络攻击技能,将允许他们攻击基础设施保护不太好,也许在运输和能源领域:“这只是一个时间问题。”[5]

一项调查由纽约委员会矫揉造作的远离(CERN)[6]显示设备往往脆弱甚至从免费的工具非常简单的攻击像Netwox Nessus[8]或[7]。32%的测试系统完全崩溃的响应Netwox测试,和21%被Nessus坠毁。此外,Nessus报道重大安全漏洞系统的18%。

利奥技术的一系列DTS系统职责。OTS控制器提供了一个标准的以太网接口,允许将它们集成到控制网络。有几种标准网络协议接口SCADA系统,包括MODBUS / TCP [9], IEC 60870-5-104 [10], DNP3[11],以及更复杂的协议像Energistics WitsML标准[12]用于石油和天然气工业。

由于众所周知的风险上面总结的,利奥特别重视结构和DTS系统的网络安全设计和它的接口:

  • 系统设计——利奥DTS控制器是基于DSP的数据采集和数据减少。软件不是基于一个操作系统,并进行了广泛的测试和验证的VdS公司(德国资产保险协会)。一个单独的处理器是用于网络连接。这种方法可以确保一个解耦的数据简化网络。
  • 基于Linux的系统——网络处理器运行Linux操作系统[13]。Linux是众所周知的非常稳定的操作系统,几乎不存在恶意软件病毒或木马。所有不必要的部件(如硬件或网络协议驱动程序不需要)已经被剥夺了从操作系统,这不仅减少它的内存和处理要求,而且大大减少了受未知错误的可能性。系统已经广泛使用标准安全测试工具,包括Netwox和Nessus和没有任何漏洞或安全问题。
  • 内置的防火墙- DTS控制器提供了一个内置的防火墙、基于标准的Linux iptables[14]的基础设施,它可以很容易地配置分别为每个协议。防火墙可以阻止入侵者访问特定的协议的一个非常低的水平,从而确保攻击者既不能读任何数据,也不执行一个动作,如重置设备的输出。
  • 协议加密——对所有协议、DTS控制器提供了可选加密使用行业标准传输层安全(RFC 5246 [15], TLS)协议。使用TLS连接系统和DTS控制器可以配置为加密证书来证明自己的身份。如果检查失败,连接简单地拒绝。可以使用加密与签名证书以及证书颁发一个证书颁发机构(CA)。成功通过身份验证的连接后,数据交换是加密的,因此防止攻击者嗅探电线上的任何数据。

上述措施的组合导致系统更安全比同类设备。然而,尽职调查当然是必要的,如果DTS控制器应当包含在基础设施保护其他设备在SCADA网络[16]。

[1]http://www.eweek.com/article2/0, 1759年,1849914,00. asp
[2]http://www.securityfocus.com/news/11465
[3]http://www2.csoonline.com/exclusives/column.html?CID=32893
[4]http://edition.cnn.com/2007/US/09/26/power.at.risk/index.html
[5]http://online.wsj.com/article/SB125850773065753011.html
[6]Luders, S。:控制系统受到攻击。10日ICALEPCS Int。Conf.加速器和大型实验物理控制系统。日内瓦,10 - 2005年10月14日。
[7]http://www.laurentconstantin.com/en/netw/netwox/
[8]http://www.nessus.org/nessus/
[9]http://modbus.org/
[10]http://webstore.iec.ch/preview/info_iec60870 bed2.0%7den_d.pdf——5 - 104% - 7
[11]http://www.dnp.org/
[12]http://www.energistics.org/witsml-standard
[13]http://www.linux.org/
[14]http://www.netfilter.org/
[15]http://tools.ietf.org/html/rfc5246
[16]美国能源部:21措施改善SCADA网络的网络安全。

版权©Luna创新版权所有