Sự phù hợp tính năng bảo mật theo NECRC CIP của Elipse E3 và Elipse Power

Giới thiệu

Xây dựng một hệ thống điều khiển công nghiệp an toàn (ICSIndustrial Control System) là một vấn đề quan trọng được đặt ra đối với bất kỳ cơ sở hạ tầng mạng nào, có thể là trạm điện, đường ống dẫn, hệ thống cung cấp nước hay vận tải, các nhà máy hóa dầu, tinh luyện… hay điều hành sản xuất.

Các hệ thống điều khiển trong công nghiệp đã chuyển mình từ các công nghệ chuyên biệt đặc thù của từng hãng thành các giải pháp mở và được tiêu chuẩn hóa; ở đó có sự gia tăng về số lượng kết nối giữa các hệ thống SCADA và các mạng văn phòng. Và chính kết nối mạng Internet đã làm gia tăng khả năng bị tấn công vào các hệ thống này. Vì thế, việc bảo mật cho các hệ thống SCADA trở thành vấn đề cấp thiết cần phải cân nhắc vì các hệ thống SCADA trở thành mục tiêu tấn công mạng.

Các vụ tấn các công hệ thống có thể xảy ra trong thực tế, như:

  • Các mạng truyền thông SCADA hiện hữu Không có thiết kế liên quan tới bảo mật và chứng thực khi triển khai và vận hành.
  • Do tin tưởng rằng các hệ thống SCADA có các ưu điểm bảo mật vì ít người biết đến chúng do có sử dụng các giao thức và giao diện kết nối riêng.
  • Do tin tưởng rằng các mang kết nối SCADA luôn an toàn bởi chúng là các mạng vật lý an toàn.
  • Do tin tưởng rằng các mạng truyền thông của hệ thống SCADA là an toàn bởi chúng được cách ly với mạng Internet.

Các mối nguy hiểm chính đối với các hệ thống SCADA được tóm tắt như sau:

  • Các kết nối vào các mạng lưới mở rộng hoặc dễ bị tấn công.
  • Sử dụng các nền tảng phần cứng tiêu chuẩn có khả năng dễ bị tấn công.
  • Sử dụng các phần mềm tiêu chuẩn dễ bị tấn công.
  • Có các kết nối từ xa dễ bị tấn công.
  • Các yêu cầu thực thi theo thời gian thực trái ngược với các lệnh điều khiển yêu cầu an toàn thông tin, vì nó có thể gây ra sự chậm trễ không mong muốn khi vận hành.

Các phương thức tấn công vào hệ thống SCADA

Khi các cuộc tấn công trở thành hiện thực, thì mối nguy hiểm này sẽ ảnh hưởng tới việc truy cập vào hệ thống SCADA. Do các hệ thống SCADA hiện nay đều có kết nối tới mạng Internet, các mạng công ty, và các mạng lưới điện thoại công cộng, do đó có nhiều cách thức truy cập vào mạng điều khiển SCADA. Ngoài các cách thức truy cập vào mạng lưới điều khiển thông thường còn có các kết nối thông qua vệ tinh và các hệ thống truyền thông không dây. Một số cách thức tấn công có thể xảy ra đối với hệ thống SCADA có thể kể ra như:

  • Thông qua các kết nối Internet.
  • Thông qua các kết nối mạng kinh doanh hoặc mạng chung trong doanh nghiệp
  • Thông qua các các kết nối của mạng riêng ảo (VPN)
  • Các kết nối back-door thông qua các modem dial-up
  • Các kết nối không dây không an toàn khi sử dụng các laptop (máy tính xách tay)
  • Các gói tin IP giả mạo, trong đó các thông tin đầu của gói tin xung đột với gói tin dữ liệu thực.
  • Các cuộc tấn công không liên tục (rời rạc)
  • Các điểm yếu trong giao thức quản lý mạng đơn giản SNMP, đây là giao thức được sử dụng liên quan các thông tin về mạng truyền thông và các thông báo sự kiện diễn ra trong mạng.
  • Các cổng kết nối mở của máy tính như UDP hay TCP, không được bảo vệ hoặc không được kiểm soát khi thiết lập vận hành.
  • Khả năng chứng thực yếu của các giao thức và các thành phần khác nhau trong SCADA.
  • Quá trình bảo trì bảo dưỡng cũng là cách bị thay đổi về bảo mật khi phat triển, thử nghiệm hệ thống SCADA.
  • Giao dịch email trên mạng truyền thông điều khiển.
  • Các tấn công gây tràn bộ nhớ đêm của các máy chủ điều khiển trong hệ thống SCADA, phục vụ cho việc kết nối thu thập dữ liệu từ PLC và cung cấp thông tin cho HMI.
  • Các đường truyền điện thoại độc lập, thuê bao riêng.

Các mục tiêu tấn công điển hình

Nếu đối tượng tấn công xâm nhập thành công vào hệ thống SCADA, các bước tiếp theo có thể sẽ hướng tới các cấp điều khiển trong hệ thống SCADA. Các cấp độ điều khiển thường có yêu cầu bảo vệ cho chức năng điều trong từng thành phần của hệ thống. nó có thể hiển thị đối với người tấn công hệ thống, lôi cuốn hay khiêu khích kẻ tấn công. Ví dụ, các điểm mà kẻ tấn công hệ thống sử dụng được liệt kê như bên dưới đây:

  • Truy cập vào hệ thống SCADA
  • Truy cập vào trạm điều khiển trung tâm của hệ thống SCADA.
  • Làm nguy hại tới các PLC và RTU.
  • Làm nguy hại tới các trạm điều khiển trung tâm của hệ thống SCADA
  • Truy cập và lấy các mật khẩu hệ thống SCADA từ trạm điều khiển trung tâm.
  • Truy cập vào các RTU và PLC
  • Đóng giả các RTU và gửi các dữ liệu không đúng tới các trạm điều khiển trung tâm
  • Hoặc giả các trạm điều khiển trung tâm và gửi thông tin sai lệch tới RTU
  • Tắt (dừng hoạt động) trạm điều khiển trung tâm
  • Tắt (dừng hoạt động) các RTU
  • Ngắt các kết nối truyền thông giữa trạm điều khiển trung tâm SCADA với các RTU
  • Thay đổi các chương trình điều khiển trong RTU.

Bảo mật an ninh mạng chủ động

Bảo mật an toàn thông tin trong các hệ thống điều khiển có thể là điểm đầu tiên trong các nhiệm vụ, và nó yêu cầu sự tịn cậy từ toàn bộ tổ chức. Mức quản lý yêu cầu sự đánh giá các lợi ích của hệ thống SCADA an toàn. Các lợi ích này bao gồm toàn bộ thời gian hệ thống làm việc, tính tin cậy và sẵn sang. Việc triển khai bảo mật mạng tốt điều quan trọng trong hoạt động kinh doanh, bởi một hệ thống an toàn là hệ thống tin cậy và sẽ giữ đươc khách hàng, và sự trung thành được xây dựng dựa trên sự tin tưởng nhau. Các nhà cung cấp, tích hợp thệ thống, các kỹ sư điều khiển và công nghệ thông tin cùng nhau chia sẻ trách nhiệm về xây dựng bảo mật hệ thống.

Có nhiều nguồn tài nguyen sẵn có hiện nay giúp nâng cao tính an toàn bảo mật các cơ sở hạ tầng của hệ thống SCADA. Ví dụ, tiêu chuẩn ISA99- An ninh trong các hệ thống điều khiển và tự động hóa công nghiệp, xây dựng các báo cáo kỹ thuật, các bài thực hành tốt nhất, và các thông tin liên quan để xác định các thủ tục xây dựng và định lượng tính an ninh trong các hệ thống xử lý điện tử. Sự phù hợp với tiêu chuẩn này có thể cải thiện tính bảo mật xử lý số liệu trong các hệ thống điều khiển và sản xuất, giúp xác định và liệt kê được các mối nguy hại, giúp giảm thiểu các rủi ro của việc xâm nhập các thông tin riêng và làm giảm khả năng hoạt động của hệ thống.

Các qui định của chính phủ hiện nay và đang tiếp tục được xây dựng với mục tiêu đảm bảo an toàn hạ tầng thông tin quan trọng trong công nghiệp. Tham vọng lớn nhất ảnh hưởng tới chính sách của chính phủ là tiêu chuẩn Bảo vệ cơ sở hạ tầng quan trọng cho Tổng công ty điện Bắc Mỹ (NERC-CIP). Thường gọi là NERC-CIP, và tiêu chuẩn này có nguồn gốc từ hoạt động hiện đại hóa điện lực- là một phần của chính sách năng lượng của nước Mỹ năm 2005. Trong đó, có một phần thể hiện về các yêu cầu của NERC-CIP đối với tất cả các nhà máy điện và lưới phân phối khi phát triển các hệ thống bảo mật mạng và các qui trình phù hợp với kế hoạch triển khai 3 năm. Có 8 tiêu chuẩn khác nhau trong bộ tiêu chuẩn CIP bao trùm mọi vấn đề từ đánh giá mạng quan trọng và điều khiển quản lý bảo mật, tới các kế hoạch khôi phục và các báo cáo liên quan. Các tiêu chuẩn gồm:

  • CIP-002-1: Nhận diện các thiết bị bị tấn công nghiệm trọng
  • CIP-003-1: Quản lý bảo mật trong điều khiển
  • CIP-004-1: Nhân lực và đào tạo
  • CIP-005-1: An toàn điện tử thiết bị ngoại vi
  • CIP-006-1: Bảo mật các thiết bị vật lý quan trọng
  • CIP-007-1: Quản lý bảo mật cho các hệ thống
  • CIP-008-1: Báo cáo các vấn đề liên quan và kế hoạch hành động
  • CIP-009-1: Các kế hoạch khôi phục cho các thiết bị bị tấn công nghiêm trọng.

Sự phù hợp của Elipse E3/Hoạt động và cấu hình với tiêu chuẩn NERC

Một số đặc điểm có thể kích hoạt hoặc cấu hình trong Elipse E3/Elipse Power để có được sự hỗ trợ tốt hơn cho vấn để bảo mật hệ thống. Trình tự thực hiện cơ bản:

  • Kích hoạt Elipse E3/Power Domain với Windows Active Directory;
  • Elipse E3 và Elipse Power phù hợp với CFR 21 part 11. Toàn bộ các đặc điểm được mô tả trong các qui tắc cần thiết và sẽ được kích hoạt/cấu hình. Tham khảo thêm thông tin theo liên kết: http://kb.elipse.com.br/en-us/questions/80
  • Kích hoạt REC (Remote Elipse Call-Native TCP/IP protocol) giảm lưu lượng truyền thông.
  • Kích hoạt mã bảo vệ project (mật khẩu bảo vệ);
  • Kích hoạt các tùy chọn theo dõi dấu vết
  • Tương tác với Elipse Plan Manager (EPM), dữ liệu trong hệ thống có thể được lưu trữ với công nghệ mã hóa và nén dữ liệu bên trong Microsoft SQL, tránh sự thay đổi dữ liệu.
  • Tích hợp các công cụ khác để cung cấp các khả năng sao lưu tự động và khôi phục sau sự cố.
  • Sử dụng các trình điều khiển ứng dụng, Anti-virus được chứng thực/thử nghiệm.
Yêu cầuNERC-CIPGiải pháp của Elipse
Truy cập
người sử dụng
CIP-004
CIP-005
CIP-007
–     Tích hợp với Microsoft Active Directory

–     Nếu AD bị vô hiệu, E3 Domain sẽ gồm:

+       Mật khẩu sử dụng mạnh

+       Giám sát thời hạn mật khẩu

+       Tự động thoát (log-off) khi không sử dụng ứng dụng

+     Chặn/không chặn quyền đăng nhập ứng dụng sau một số lần sai mật khẩu.

Giám sát truy cậpCIP-003
CIP-004
CIP-005
–     Gán và giám sát quyền sử dụng trong ứng dụng (màn hình giao diện, cảnh báo, các hoạt động thao tác)

–     Quyền quản trị người dùng

Bảo mật điện tử các thiết bị ngoại viCIP-003
CIP-005
CIP-007
–     Tích hợp với các hệ thống giám sát/phát hiện truy cập (IDS/ICS), ví dụ: SNPORT
Đăng nhập truy cập và sử dụngCIP-003
CIP-004
CIP-007
CIP-008
–     Chữ ký điện tử;

–     Tích hợp bên trong khả năng giám sát sự kiện và theo dõi

–     Kiểm tra dấu vết cơ sở dữ liệu;

–     Ghi nhận dữ liệu người dùng tự định nghĩa đối với các hoạt động không hoặcchuyên biệt;

Quản lý
người sử dụng
CIP-004
CIP-007
–     Các quyền người dùng có thể bị hủy bỏ bởi người quản trị hoặc thông qua Microsoft Active Directory.
Quản lý phần mềm bảo mậtCIP-007–     Mã hóa dự án

–     Tích hợp với các giải pháp phần mềm quản lý như trình sắp xếp chính sách/điều khiển ứng dụng McAfee

Thông báo
và cảnh báo
CIP-005
CIP-007
CIP-008
–     Truy tìm và ghi nhật ký đối với toàn bộ các hành động và truy cập

–     Gửi thông tin theo các định dạng khác nhau: SMS, email, SNMP, dịch vụ Web, và các giao thức khác…

Kế hoạch khôi phụcCIP-009–     Tự động sao lưu, tích hợp với nhiều phiên bản khác nhau như Subversion hoặc SVN;

–     Sử dụng tính năng dự phòng cho máy chủ (Hot-Standby);

–     Sử dụng tính năng RAID cho các ổ đĩa.

Các bước khi triển khai bảo mật hệ thống

  • Cách lý các mạng SCADA bằng cách sử dụng mã hóa, chứng thực, tạo cấu trúc mạng theo khu vực, sinh trắc học, và ngắt các kết nối mạng không cần thiết.
  • Phân tích các mối nguy hiểm trong mạng kết nối và các nút trên mạng.
  • Thực hiện đánh giá các rủi ro trên mạng và mỗi điểm kết nối trên toàn bộ mạng.
  • Phát triển và thực hiện kế hoạch tái sắp xếp và phản hồi có liên quan tới bảo mật hệ thống.
  • Loại bỏ và vô hiệu các dịch vụ không cần thiết.
  • Sử dụng các tường lửa (firewall) phù hợp với các hệ thống SCADA. Các firewall hiện hữu thường không tương tích với các giao thức SCADA như Foundation Fieldbus, Modbus, vì chúng không lọc được các nội dung giao thức.

Các thiết bị điều khiển tại chỗ thường bị nguy hiểm hơn các thiết bị ở trung tâm điều khiển. Các firewall đặt tại hiện trường có thể sử dụng danh sách điều khiển truy cập để bảo vệ hệ thống, tuy nhiên, các rủi ro vẫn xuất hiện vì có nhiều kiểu tấn công khác nhau vào hệ thống.

  • Nhiều hệ thống SCADA hiện nay sử dụng các mạng diện rộng trong tổ chức doanh nghiệp (WAN) để trao đổi dữ liệu giữa các công trường khai thác và trung tâm điều khiển. Và mạng truyền thông của doanh nghiệp thường được kết nối với Internet. Nếu firewall có chức năng lọc được triển khai không phù hợp giữa hệ thống SCADA và mạng doanh nghiệp, thì các server điều khiển trung tâm lẫn các PLC và RTU tại khai trường dễ bị tấn công theo cách bị đánh lừa (giả mạo), virus, và từ chối dịch vụ.
  • Cài đặt và sử dụng các hệ thống phát hiện xâm nhập
  • Sử dụng tính năng sao lưu phần mềm và dữ liệu quan trọng
  • Sử dụng quản lý cấu hình cho các phần cứng và phần mềm mạng trong hệ thống SCADA
  • Kết hợp các gói quản lý phần mềm và phần cứng trong hệ thống SCADA
  • Kiểm tra các điểm an toàn nhạy cảm
  • Thực thi các chương trình cảnh báo an ninh toàn doanh nghiệp, gồm cả các thông cáo, khẩu hiện (slogan), biểu ngữ, tài liệu hướng dẫn, tổ chức các lớp huấn luyện
  • Phát triển và thử nghiệm liên tục các kế hoạch khôi phục hệ thống sau tấn công

Các hệ thống phát hiện xâm nhập (IDS)

Một hệ thống phát hiện xâm nhập là một thiết bị hoặc một phần mềm ứng dụng giúp theo dõi mạng lưới hoặc các hoạt động trong hệ thống để đưa ra các báo cái điện tử với các chính sách về phát hiện sự xâm nhập và các hoạt động xâm hại đối với các trạm quản lý.

Ghi chú: The NERC CIP: (North American Electric Reliability Corporation critical infrastructureprotection) plan is a set of requirements designed to secure the assets required for operating North America’s bulk electric system.

Ứng dụng liên quan

backtotop
s-ph-hp-tnh-nng-bo-mt-theo-necrc-cip-ca-elipse-e3-v-elipse-power-safenergy-i-din-moxa-ti-vit-nam