加密9.3數據安全

加密9.3數據安全工業控制系統中的遠程受控終端系統，需要確保下列幾方面的信息安全：1)控制中心站點和目標受控終端系統之間傳輸的控制指令的機密性。2)控制指令本身是可以鑒別的，即控制中心站點確保產生針對特定的受控終端系統的控制指令，該機制也可以確保控制指令的完整性。3)控制指令的生命周期的合規性，指的是入侵者不能隨意改變控制指令接收的順序。此處討論的網絡安全問題主要來源于惡意攻擊者非法改變控制指令的正確接收順序，進而引起對工業生產運轉的破壞（可用性）。加密9.3數據安全控制中心站點C必須確保其所發的指令能被正確的遠程受控終端系統正確接收。實現這個安全目標相對容易些，因為可以向C發送一條鑒別確認信息。控制中心站點和遠程受控終端系統之間的下行通信信道是可信和機密的但遠程受控終端系統和控制中心站點間的上行通信信道只能確保可鑒別性。網絡化的工業控制系統環境用戶在客戶端發起認證請求。客戶端將認證請求發往服務器。服務器返回客戶端挑戰值。用戶得到此挑戰值。用戶把挑戰值輸入給一次性口令產生設備（令牌）。令牌經過某一算法，得出一個一次性口令，返回給用戶。用戶把這個一次性口令輸入到客戶端。客戶端把一次性口令傳送給服務器。服務器得到一次性口令后，與服務器端的計算結果進行匹配，返回認證結果。客戶端根據認證結果進行后續操作。C

策略：使用挑戰應答方式（需要注意哪個是客戶端，哪個是服務器）公開密鑰所有人都可以獲得，通信發送方獲得接收方的公開密鑰之后，就可以使用公開密鑰進行加密，接收方收到通信內容后使用私有密鑰解密。預先把密鑰保存在本地，到需要建立連接在取出虛擬專用網9.3數據安全虛擬專網，是指將在物理上分布在不同地點的網絡通過公用網絡連接而構成邏輯上的虛擬子網。它采用認證、訪問控制、機密性、數據完整性等安全機制在公用網絡上構建專用網絡，使得數據通過安全的“加密管道”在公用網絡中傳播。虛擬專用網9.3數據安全移動用戶遠程訪問VPN連接，由遠程訪問的客戶機提出連接請求，VPN服務器提供對VPN服務器或整個網絡資源的訪問服務。在此連接中，鏈路上第一個數據包總是由遠程訪問客戶機發出。遠程訪問客戶機先向VPN服務器提供自己的身份，之后作為雙向認證的第二步，VPN服務器也向客戶機提供自己的身份。網關-網關VPN連接，由呼叫網關提出連接請求，另一端的VPN網關作出相應。在這種方式中，鏈路的兩端分別是專用網絡的兩個不同部分，來自呼叫網關的數據包通常并非源自該網關本身，而是來自其內網的子網主機。呼叫網關首先應答網關提供自己的身份，作為雙向認證的第二步，應答網關也應向呼叫網關提供自己的身份。VPN可分為兩種類型：一種是移動用戶遠程訪問VPN連接；另一種是網關-網關VPN連接。虛擬專用網9.3數據安全VPN采用多種技術來保證安全，這些技術包括隧道技術（Tunneling）、加/解密（Encryption&Decryption）、秘鑰管理（KeyManagement）、使用者與設備身份認證（Authentication）、訪問控制（AccessControl）等。（1）隧道技術隧道技術是VPN的基本技術，它在共用網上建立一條數據通道（隧道），讓數據包通過這條隧道進行傳輸。數據包在隧道中的封裝及發送過程如圖所示。隧道是由隧道協議構建的，常用的由第2、3層隧道協議。虛擬專用網9.3數據安全（2）加/解密技術在VPN應用中，加/解密技術是講認證信息、通信數據等由明文轉換為密文的相關技術，其可靠性主要取決于加/解密的算法及強度。（3）密鑰管理技術密鑰管理的主要任務是保證密鑰在公用數據網上安全地傳遞而不被竊取。現行的密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要利用Diffie-Hellman秘鑰分配協議，使通信雙方建立起共享密鑰。在ISAKMP中，雙方都持有兩把密鑰，即公鑰/私鑰對，通過執行相應的密鑰交換協議而建立共享密鑰。（4）身份認證技術VPN需要確認用戶的身份，以便系統進一步實施資源訪問控制或對用戶授權。（5）訪問控制訪問控制決定了誰能夠訪問系統、能訪問系統的何種資源及如何使用這些資源。采取適當的訪問控制措施能夠阻止未經允許的用戶有意或無意地獲取數據，或者非法訪問系統資源等。IPSecVPN9.3數據安全IPSec協議使用認證頭AH和封裝安全凈載ESP兩種安全協議來提供安全通信。兩種安全協議都分為隧道模式和傳輸模式。傳輸模式用在主機到主機的通信，隧道模式用在其它任何方式的通信。傳輸模式只加密每個數據包的數據部分（負載），留下未加密的報頭。更加安全的隧道模式給每一個數據包添加一個新的報頭并且給原始的報頭和負載加密。在接收端，IPsec客戶端設備解密每個數據包。AH、ESP或AH+ESP既可以在隧道模式中使用，又可以在傳輸模式中使用。封裝安全載荷（ESP）定義在RFC2406中，用于為IP提供保密性和抗重播服務，包括數據包內容的保密性和有限的流量保密性。IPSecVPN9.3數據安全IPSec的工作原理類似于包過濾防火墻，可以把它看做是包過濾防火墻的一種擴展。IPSec網關通過查詢安全策略數據庫（SPD）決定對接收到的IP數據包進行轉發、丟棄或IPSec處理。采用傳輸模式時，IPSec只對IP數據包的凈荷進行加密或認證。封裝數據包繼續使用原IP頭部，只對部分域進行修改。IPSec協議頭部插入到原IP頭部和傳送層頭部之間。采用隧道模式時，IPSec對整個IP數據包進行加密或認證。產生一個新的IP頭，IPSec頭被放在新IP頭和原IP數據包之間，組成一新IP頭。SSL/TSLVPN9.3數據安全SSLVPN也稱做傳輸層安全協議（TLS）VPN。TLS提供一種在兩臺機器之間加密每一個數據包內容的安全通道。TLS協議主要用于HTTPS協議中。TLS也可以作為構造VPN的技術。TLSVPN的最大優點是用戶不需要安裝和配置客戶端軟件。只需要在客戶端安裝一個IE瀏覽器即可。數據加密身份驗證防篡改SSL/TSLVPN9.3數據安全由于TLS協議允許使用數字簽名和證書，故它能提供強大的認證功能。在建立TLS連接過程中，客戶端和服務器之間要進行多次的信息交互。TLS協議的連接建立過程如圖所示。與許多C/S方式一樣：客戶端向服務器發送“Clienthello”信息打開連接。這個Hello信息標識就是Client最高支持的TLS版本，支持的密碼套件，Session信息以及壓縮算法。服務器用“Serverhello”回答；會發送與協商確定Client的密碼套件，同時會發送ServerCertificate證書信息和服務器公鑰。要求客戶端提供它的數字證書；Client收到ServerHello后，會驗證Server的證書信息是否合法，如果合法，則產生對稱密鑰，服務器公鑰進行加密。完成證書驗證，執行密鑰交換協議密鑰交換協議的任務：SSL/TSLVPN9.3數據安全TLSVPN的實現主要依靠下面三種協議的支持。1）握手協議具體協議流程如下：TLS客戶機連接至TLS服務器，并要求服務器驗證客戶機的身份。TLS服務器通過發送它的數字證書證明其身份。服務器發出一個請求，對客戶端的證書進行驗證。協商用于消息加密的加密算法和用于完整性檢驗的雜湊函數。客戶機生成一個隨機數，用服務器的公鑰對其加密后發送給TLS服務器。TLS服務器通過發送另一隨機數據做出響應。對以上兩個隨機數進行雜湊函數運算，從而生成會話密鑰。SSL/TSLVPN9.3數據安全TLSVPN的實現主要依靠下面三種協議的支持。2）TLS記錄協議協議建立在TCP/IP協議之上，用在實際數據傳輸開始前通信雙方進行身份認證、協商加密算法和交換加密密鑰等。3）警告協議警告協議用于提示何時TLS協議發生了錯誤，或者兩個主機之間的會話何時終止。只有在TLS協議失效時告警協議才會被激活。優點缺點無須安裝客戶端軟件；適用于大多數設備；適用于大多數操作系統；支持網絡驅動器訪問；不需要對網絡做改變；較強的資源控制能力；費用低且有良好安全性；可繞過防火墻進行訪問；已內嵌在瀏覽器中。認證方式單一；應用的局限性很大；只對應用通道加密；不能對消息進行簽名；LAN連接缺少解決方案；加密級別通常不高；不能保護UDP通道安全；是應用層加密，性能差；不能訪問控制；需CA支持。SSH9.3數據安全SSH是用于安全地訪問遠程計算機的命令接口和協議。網絡管理員廣泛使用它來遠程控制Web服務器和其他類型的服務器。通常，SSH被部署為telnet應用程序的安全替代。SSH包含在大多數UNIX發行版中，通常通過第三方軟件包添加到其他平臺。SSH提供了對shell或操作系統命令解釋器的經過身份驗證和加密的路徑。兩個SSH版本都替換了Unix實用程序，如Telnet，rlogin和rsh，用于遠程訪問。SSH可防止欺騙攻擊和通信中的數據修改。SSH協議涉及本地和遠程站點之間的協商，用于加密算法（例如，DES，IDEA，AES）和身份驗證。云安全9.3數據安全將業務數據移動到云意味著與云提供商共同承擔對數據安全的責任。遠程使用IT資源需要云用戶擴展信任邊界以包括外部云。信任邊界重疊的另一個后果與云提供商對云消費者數據的特權訪問有關。數據安全的程度現在僅限于云消費者和云提供商應用的安全控制和策略。此外，由于基于云的IT資源是共享的，因此可能存在來自不同云消費者的重疊信任邊界。信任邊界的重疊和數據暴露的增加可以為惡意云消費者（人力和自動化）提供更多機會來攻擊IT資源并竊取或破壞業務數據該圖說明了一種情況，即需要訪問同一個云服務的兩個組織將其各自的信任邊界擴展到云，從而導致信任邊界重疊。云提供商很難提供滿足云服務消費者安全要求的安全機制。云安全9.3數據安全常見的云安全機制包括加密、哈希、數字簽名、公鑰基礎設施（PKI），身份和訪問管理（IAM）和單點登錄（SSO）等。1）數字簽名數字簽名機制是通過身份驗證和不可否認性提供數據真實性和完整性的手段。散列和非對稱加密都涉及數字簽名的創建，數字簽名基本上作為消息摘要存在，該消息摘要由私鑰加密并附加到原始消息。可信攻擊者（云服務使用者A）更改的消息。虛擬服務器B配置為在處理傳入消息之前驗證數字簽名，即使它們在其信任邊界內。由于其無效的數字簽名，該消息被顯示為非法，因此被虛擬服務器B拒絕。9.3數據安全2）身份和訪問管理（IAM）身份和訪問管理（IAM）機制包含控制和跟蹤IT資源、環境和系統的用戶身份和訪問權限所必需的組件和策略。?身份驗證——用戶名和密碼組合仍然是IAM系統管理的最常見的用戶身份驗證憑證形式，它還可以支持數字簽名，數字證書，生物識別硬件（指紋識別器），專業軟件（如語音分析程序），以及將用戶帳戶鎖定到已注冊的IP或MAC地址。?授權——授權組件定義訪問控制的正確粒度，并監督身份，訪問控制權限和IT資源可用性之間的關系。?用戶管理——與系統的管理功能相關，用戶管理程序負責創建新的用戶身份和訪問組，重置密碼，定義密碼策略和管理權限。?憑據管理——憑據管理系統為已定義的用戶帳戶建立身份和訪問控制規則，從而減輕授權不足的威脅。盡管其目標與PKI機制的目標類似，但IAM機制的實現范圍是不同的，因為除了分配特定級別的用戶權限外，其結構還包括訪問控制和策略。IAM機制主要用于抵制授權不足，拒絕服務和重疊信任邊界威脅。9.3數據安全3）單點登錄（SSO）跨多個云服務傳播云服務使用者的身份驗證和授權信息可能是一項