» »Unlabelled » Nâng cao hiệu quả hoạt động, sử dụng máy chủ VPN bảo mật trong các hệ thống tự động hóa công nghiệp
Wednesday, June 17, 2015

Ứng dụng trong vấn đề an ninh cho hệ thống trạm bơm nước
(Nguồn: Moxa)

An ninh mạng công nghiệp: Các mối đe dọa mới

Sự kết hợp CNTT và các mạng tự động hóa công nghiệp đã tạo ra nhiều cơ hội, nhưng cũng làm gia tăng các mối đe dọa an ninh mạng từ các tin tặc, sâu (worms) và virus máy tính. Rõ ràng, các nhà quản trị tiện ích mạng từ xa phải suy nghĩ lại về các biện pháp an ninh mạng của họ. Ngày nay, mạng Ethernet đã nở rộ và có mặt trên hầu hết các nơi làm việc, và bao gồm các tiện ích như trạm bơm, trạm biến áp, và giếng bơm dầu. Ban đầu, việc triển khai mạng Ethernet tại các trạm bơm thường bỏ qua các biện pháp an ninh vì hầu hết các mạng này không phân quyền truy cập mạng từ bên ngoài (ví dụ, một kết nối internet công cộng). Tuy nhiên, sự an toàn này trong thực tế không được chắc chắn. Trông có vẻ an toàn nhưng có thể hóa ra là ngược lại. Các nghiên cứu hiện nay đã cho thấy rằng hầu hết các cuộc tấn công (83%-theo An ninh mạng:Quản lý rủi ro và cơ hội, khảo sát của AT&T) xảy ra từ bên trong mạng nội bộ và không phải hình thành từ các kết nối mạng internet với bên ngoài. Hơn nữa, các PLC và RTU được phân tán trong hệ thống không được thiết kế để nhận sự hỗ trợ của tường lửa (firewall) và phần mềm diệt virus như trong mạng IT thường sử dụng.
Nguy hiểm có thể dễ dàng từ nhân viên hay các nhà cung cấp thiết bị sử dụng  máy tính xách tay ở bên ngoài mạng nơi làm việc, có thể phát tán “sâu”, virus và các mối đe dọa từ các phần mềm độc hại nguy hiểm khác. Các máy tính xách tay này, khi được kết nối lại với mạng công ty và làm lây lan những mối đe dọa, mà thậm chí không cần phải tiếp xúc và phá vỡ các tường lửa mạng. Nó tương tự như các cuộc tấn công từ ổ cứng di động, các email độc hại, hoặc thiết bị ngoại vi khác (điện thoại thông minh, máy tính bảng, .v.v.) khi kết nối về mặt vật lý với mạng LAN nội bộ.
Một ví dụ nghiêm trọng gần đây, vào năm 2010 một hệ thống SCADA chuyên biệt được sử dụng trên toàn thế giới đã trở thành mục tiêu của một “sâu” SCADA được phát triển đặc biệt được gọi là Stuxnet. “Sâu” này đã có thể lật đổ hệ thống tự động hóa chạy trên nền hệ điều hành Windows, và đặc biệt là sâu này được thiết kế để tấn công các PLC có kết nối vào hệ thống. Sự cố như thế này làm nổi bật lên tầm quan trọng về an ninh mạng SCADA, và điều này giúp vấn đề an ninh mạng bỗng chốc trở thành một điều cần thiết và quan trọng cho mạng tự động hóa công nghiệp.

An ninh dành cho truy cập từ xa

Mặc dù cho phép truy cập từ xa vào mạng công nghiệp chứa nhiều lỗ hổng, nhưng không thể đơn giản thực hiện tắt hay tách rời các mạng này được. Bởi các ứng dụng từ xa rải rác trên khu vực địa lý rộng, chẳng hạn như trạm bơm thường rất nhiều và để cân nhắc các chi phí thường được quản lý từ các vị trí trung tâm. Do không thể làm đơn giản hơn bằng cách khác, vì vậy các biện pháp an ninh mới được thực hiện. Khi đó, nhà quản trị có thể bảo vệ chống lại một số các lỗ hổng bảo mật bằng cách thực hiện những điều sau đây:
• VPN: Mạng riêng ảo cho phép truy cập từ xa an toàn với một mạng thông qua mạng nội bộ và bên ngoài, bao gồm internet.
• Tường lửa: Để cô lập các mạng tự động hóa khỏi các mạng kinh doanh và mạng cuối cùng bên ngoài.
• Bảo mật mạng LAN: Để ngăn chặn truy cập trái phép vào mạng và các nút mạng ở ngay đầu vào.

Tổng quan mạng trạm bơm

Trên toàn thế giới có vô số các trạm bơm xử lý nước để chuyển nước từ một hồ chứa này sang hồ chứa khác. Các trạm bơm bao gồm các giếng khai thác nước ngọt từ giếng ngầm, trạm xử lý nước thải di chuyển nước thải thu gom được tới nhà máy xử lý để xử lý nước thải và hệ thống thoát nước trên vùng đất rộng lớn để duy trì vùng đất khai hoang ở dưới mực nước biển.
Các trạm bơm thường là một tập hợp phức tạp của các thiết bị phân tán, có thể bao gồm các thiết bị khử trùng, các bể chứa trên cao và mặt đất, và máy bơm tăng áp và các giếng. Hầu hết các hệ thống này đóng vai trò quan trọng đối với con người và do đó các kẻ khủng bố nhắm mục tiêu hoạt động vào các hệ thống này. Việc bảo vệ các hệ thống thu thập dữ liệu và điều khiển do đó không thể bỏ qua, bởi cuộc tấn công từ kẻ khủng bố có thể làm tê liệt một cộng đồng.
Ví dụ, các trạm bơm thường sử dụng nhiều giao thức điều khiển SCADA khác nhau trong cùng mạng riêng. Thông qua việc sử dụng các mạng Ethernet để có thể giám sát từ xa và điều khiển hệ thống, và các trạm có cùng giao thức SCADA này lại rất dễ bị tấn công. Đơn giản, bởi vì hệ thống hoàn toàn thiếu sự xác thực và khả năng mã hóa trong hệ thống mạng SCADA, điều này làm cho chúng mất an toàn. Hình 1 minh họa một mạng của trạm bơm nước truyền thống. Nếu không có biện pháp bảo mật phù hợp, các thiết bị điều khiển tại chỗ (LCUs) trong các hệ thống bơm tại chỗ rất dễ bị tấn công thông qua các lỗ hổng bảo mật.

Hình 1: Hệ thống mạng trong trạm bơm nước truyền thống không có bảo mật.

Những thách thức về an ninh trong trạm bơm tự động

Truy cập từ xa:
Với vị trí địa lý rộng của các trạm bơm làm phát sinh các nhu cầu truy cập từ xa. Các phương pháp để truy cập từ xa phải an toàn và khả thi về mặt kinh tế. Khi sử dụng hệ thống Ethernet, đặc biệt khi sử dụng các mạng intranet/internet hiện có, việc truyền tải dữ liệu phải được mã hóa để ngăn những kẻ tấn công chặn các gói dữ liệu được truyền đi. Tin tặc có thể sử dụng những gói tin để thông dịch cấu trúc mạng và cấu trúc lệnh nhằm điều khiển hệ thống theo ý muốn, vì vậy cần thiết tuyệt đối chống xâm nhập can thiệp vào việc truyền dữ liệu.
VPN-mạng riêng ảo có thể được thực hiện từ hai hướng, giữa các trạm bơm ở  khu vực hiện trường và trung tâm điều khiển. Tiện ích VPNs phải hỗ trợ các tiêu chuẩn mã hóa để không thể bị tấn công, không gặp khó khăn trong thực hiện, như DES và AES với kích thước khóa lớn, mà thường chỉ có thể bị phá vỡ bằng phương pháp sử dụng sức mạnh một cách vũ phu. Mặc dù có nhiều phương pháp tấn công đã được công bố và các phương pháp này liên quan tới các cách thức có yêu cầu số lượng lớn số lần thực hiện và nó ngoài khả năng có thể thực hiện thực tế.
Video giám sát:
Thông thường, các mạng tự động hóa công nghiệp sử dụng nền tảng Ethernet rất nhạy cảm đối với việc trì hoàn triển khai, bởi các biện pháp bảo mật thường được thực hiện trong mạng không thể hiệu quả vì làm giảm thiểu độ trễ thực thi trong hệ thống. Các chức năng như các dịch vụ VPN or Firewall phải cung cấp một độ trễ truyền dẫn tối thiểu nhất khi kiểm tra các gói tin hoặc mã hóa và đóng gói gói tin dữ liệu khi truyền đi trên VPN. Do đó, bất kỳ hệ thống tiện ích phải cung cấp đủ công suất để thực hiện các chức năng an ninh mà không làm mật dữ liệu quan trong trong mạng. Mặt khắc, hệ thống được chọn lựa có thể điều khiển kỹ thuật để ngăn chặn các ứng dụng bình thường khi cần thiết.
Hệ thống giám sát video yêu cầu độ trễ truyền dữ liệu mạng ở mức tối thiểu. Các gói dữ liệu video thường truyền đi theo dòng sử dụng giao thức UDP để truyền dữ liệu không yêu cầu các biện pháp an ninh và gói dữ liệu xử lý phát sinh. Dữ liệu hệ thống giám sát video cần được truyền đi an toàn, vì thế VPN cần được thực hiện triển khai. Việc sử dụng thiết bị với mã hóa phần mềm không thể đáp ứng các yêu cầu mã hóa mà các luồng video băng thông lớn yêu cầu. Do đó, cần phải sử dụng tới mã hóa phần cứng để đảm bảo rằng độ trễ truyền tải hình ảnh video mượt mà và an toàn thông qua các “đường hầm” VPN tới các thiết bị ghi hình CCTV lắp tập trung.
Để cung cấp khả năng hỗ trợ an ninh cho các yêu cầu băng thông lớn về hình ảnh video, giải pháp độc lập với tính năng chuyên biệt sẽ được áp dụng với các thiết bị độc lập. Với việc sử dụng cơ sở hạ tầng hiện có có thể không đáp ứng được khả năng xử lý và các chức năng an toàn bổ sung kèm theo. Hơn nữa, để có thể bảo dưỡng hệ thống định trước cùng với chăm sóc hình ảnh video là quan trọng trong bất kỳ thiết bị an ninh được lắp trong mạng. Hơn nữa, các thiết bị được sử dụng phải không ngăn cản các truy cập hay chặn các gói dữ liệu thực thi quan trọng một cách vô tình vì sẽ dẫn tới hư hỏng hệ thống. Trong một vài trường hợp hư hỏng có thể là rất thảm khốc.
Dự phòng mạng WAN:
Các tài nguyên quan trọng như các trạm bơm sẽ được điều khiển và giám sát từ xa sẽ cần các kết nối với tính ổn định và tin cậy cao. Có thể nói, sẽ có rủi ro khi thiết kế một giải pháp mạng mà không có dự phòng về kết nối và sao lưu thông qua các điểm chung đã được biết tới như là mạng diện rộng (WAN) (một mạng kết nối trong khu vực địa lý rộng lớn). Để có thể hỗ trợ tính năng dự phòng, bất kỳ thiết bị nào cũng hoạt động như gateway giám sát và điều khiển đối với các trạm bơm, phải hỗ trợ kết nối đôi (song song). Tức là có hai kết nói WAN để giảm thiểu khả năng bị mất kết nối mạng LAN giữa các trung tâm điều khiển và mạng LAN tại các trạm bơm.
Hoạt động trong các môi trường khắc nghiệt:
Các trạm bơm thường ở nơi không có người điều khiển, và không có các tủ lắp thiết bị mạng và điều khiển với môi trường làm việc phù hợp. Do đó, rất cần thiết có các thiết bị phần cứng an ninh được lắp đặt với khả năng đủ mạnh để chống chịu được với sự dao động về độ ẩm và nhiệt độ lớn mà không làm giàm chất lượng hay hư hỏng. Phần cứng cần phải cứng chắc để tránh các chi phí nhân công hoặc các hủy hoại nghiêm trọng gây ra bởi các hư hỏng nội tại của trạm bơm.

Xây dựng mạng Tự động hóa an toàn cho các trạm bơm nước


Hình 2: Hệ thống mạng trong trạm bơm nước, với các thành phần an ninh trong màu xanh lá cây
IPSec VPN Server và Client cho truy cập từ xa:
 Khi một hệ thống được lắp đặt nhiều nơi, chẳng hạn như trạm bơm từ xa được phân tán, người vận hành cần có khả năng truy cập từ xa tới trạm bơm để vừa giám sát và điều khiển hệ thống. Việc truy cập từ xa ở thế kỷ 21 thường được thực hiện bằng mạng internet công cộng để truy cập tới trạm từ phòng điều khiển. Các gateway sẽ hoạt đọng như tường lửa (firewall) và bộ xác thực để các mạng hỗ trợ mạng riêng ảo hoặc “đường hầm” VPN, giống như các đường ống ảo được mã hóa để chuyển các gói tin IP giám sát và điều khiển an toàn qua lại giữa các trung tâm điều khiển và trạm bơm. Việc truy cập không chỉ giúp tiết kiệm thời gian và chi phí di chuyển mà còn giảm thời gian dừng hệ thống.
Mặc dù có nhiều công nghệ VPN, IPSec là một giao thức VNP an toàn được triển khai chủ yếu và sẽ cần hỗ trợ bởi các gateway của trạm bơm nhằm hỗ trợ nhiều máy VPN Client, và được người vận hành lựa chọn. IPSec thiết lập kênh an toàn quan trọng kết nối nhiều mạng với nhau, có thể là: mạng riêng, công cộng hay mạng hỗn hợp. IPSec cung cấp khả năng xác thực với độ bảo mật của các phần tử sử dụng “đường hầm” VPN và sự toàn vẹn khi truyền các gói tin để dữ liệu giám sát và điều khiển được bảo vệ với các phương pháp mã hóa dữ liệu mạnh mẽ.

Hình 3: Giải pháp duy trì an ninh và cung cấp truy cập từ xa

Bảo mật mạng LAN, Port Access, 802.1x:

Lớp phòng vệ đầu tiên của bất kỳ mạng hoặc thiết bị thông minh sẽ chống lại các truy cập trái phép vào hệ thống. Bởi vì theo bản chất của hệ thống truy câp từ xa, các mạng của trạm bơm đặc biệt dễ bị truy cập. Việc giám sát truy cập thiết bị trực tiếp không phải luôn luôn thực hiện được và ngăn cản các tấn công qua mạng internet công cộng đối với các truy cập VPN. Các giao thức như RADIUS và TACACS+ cung cấp các cơ chế xác thực theo chứng chỉ, có thể giúp hệ thống và thiết bị khó bị tấn công trực thông qua mạng internet công cộng, cũng như cố gắng tham dò hệ thống. Với RADIUS, việc truyền mật khẩu người dùng được mã hóa, còn TACACS+ thì toàn bộ các tham số khóa chứng thực được mã hóa.
Đối với trạm không người trực, người tấn công bắt buộc phải truy cập thông qua kết nối vật lý tới trạm và mạng ở đây cũng phải chống lại điều này. Các thiết bị mạng đã lắp đặt phải hỗ trợ các biện pháp chứng thực nhằm chống lại người sử dụng thông qua các kết nối thông thường, ví dụ card mạng (NIC) của máy tính xách tay (laptop) kết nối trực tiếp tới cổng Ethernet mở của thiết bị mạng. 802.1x sử dụng phương pháp chứng thực trên cơ sở cổng mạng để xác thực các thiết bị cố gắng truy cập tới mạng được bảo vệ. Các thiết bị phải cung cấp chứng chỉ xác thực như tên (user) và mật khẩu (password) hoặc các chứng chỉ an toàn để truy cập và 802.1x sẽ chuyển chứng chỉ này tới server RADIUS để xác thực. Nếu không thành công, có nghĩa kẻ tấn công không thể cung cấp chứng chỉ đúng thì các cố gắng truy cập để mở cổng bị chặn lại băng cách chặn các gói dữ liệu vào và ra ở cổng này.

Tường lửa giữa bộ điều khiển PLC/RTU và kết nối bên ngoài:

Các PLC và RTU được lắp đặt ở các trạm bơm điều khiển dễ bị tấn công bằng nhiều cách khác nhau khi các thiết bị này không có khả năng hỗ trợ các phần mềm chống virus và tường lửa. Do đó, khi người sử dụng truy cập vào, việc tấn công các thiết bị này và cả hệ thống trong trạm bơm dễ dàng và đơn giản. Bản chất của PCL và RTU được thiết kế để chống lại việc tấn công bằng các phần mềm phức tạp để chúng luôn ổ định với nhiệm vụ của chúng. Tuy nhiên, việc để chúng với các lỗ hổng bảo mật dễ dàng bị tấn công từ bên ngoài, các tin tặc có thể sử dụng các công nghệ đơn giản như gửi các gói tin giả mạo, tạo các dịch vụ không an toàn HTTP và SMNP, hoặc gửi các lệnh có hiệu lực như lệnh nâng cấp phần mềm (firmware) mà đáng ra chúng không được phép thực hiện.
Với nhược điểm này, người lập kế hoạch mạng cần kiểm tra toàn bộ tình trạng tường lửa giữa các thiết bị điều khiển trong mạng và các kết nối với bên ngoài. Tường lửa kiểm tra tình trạng hoặc giám sát toàn bộ các gói dữ liệu vào và ra, và dựa trên các qui tắc được thiết lập trước để cho phép hoặc chặn nội dung gói dữ liệu, hoặc là cho qua hoặc chặn lại. Tường lửa cũng cần để bảo vệ chống lại các cuộc tấn công độc hại mà không làm giảm khả năng thực thi của mạng. Để đạt được mức vận hành tốt, người lâp kế hoạch mạng cần các thiết bị truy cập mạng, lắp tại điểm giáp ranh của mạng, kết hợp phần mềm và phần cứng tạo ra gateway cần thiết nhằm bảo vệ mạng bên trong với độ trễ nhỏ nhất.
Các mạng tự động hóa thường sử dụng nhiều loại giao thức trong bus trường (fieldbus), do đó tường lửa được chọn cần có thể hạn chế việc giao tiếp với các mạng tự động với các cổng kết nối. Kết hợp tường lửa với các thiết lập tham số cho bus trường trong mạng công nghiệp, kỹ sư tự động có thể dễ dàng thực hiện các hạn chế truy cập mà không cần các thủ tục quá phức tạp.

Hình 4: Các chính sách Firewall kiểm tra lưu lượng dữ liệu để đảm bảo an ninh

Sử dụng DMZs cho máy chủ công cộng hoặc máy chủ chia sẻ:

DMZ, hay khu vực phi quân sự, thường được sử dụng trong các giải pháp CNTT và cũng dùng để chống lại các cuộc tấn công mạnh mẽ trong các mạng tự động hóa công nghiệp. Để bảo trì và giám sát từ xa, một vài máy chủ dữ liệu hoặc máy chủ HTTP sẽ cần được truy cập thường xuyên từ các mạng công cộng hoặc internet bởi các người vận hành. Để bảo đảm an toàn, chúng ta  nên cách ly các máy chủ chia sẻ và các máy chủ điều khiển/SCADA thành các mạng khác nhau, không cho phép chúng truy cập tới các mạng điều khiển.

Thiết bị loại công nghiệp:

Như đề cập từ đầu, thiết bị an nịnh với mục đích dùng cho trạm bơm cần cứng cáp và các trạm bơm không người trực cũng không có vỏ bảo vệ và bộ điều khiển môi trường (như điều hòa nhiệt độ). Do đó các phần cứng cần được thiết kế phù hợp với môi trường vận hành với giải nhiệt độ rộng. Nếu thiết bị thông tin rẻ dành cho văn phòng được sử dụng, nó có thể dễ bị hư hại, vì các thiết bị này thường chỉ được thiết kế để hoạt động trong phòng nhỏ có giải nhiệt độ được kiểm soát. Các lỗi hư hỏng về phần cứng với các chi phí nhân công cao hơn để thay thế chúng. Có nghĩa rằng các hư hỏng trong trạm bơm thì chi phí còn cao hơn nhiều.
Hơn nữa, bất kỳ thiết bị an ninh nào được lắp đặt sẽ yêu cầu vỏ bọc cứng cáp với mục đích đảm bảo hoạt động trong các điều kiện khắc nghiệt của trạm bơm. Các thành phần cần phải nằm trong một vỏ kim loại, mà không thể bị phá hủy bởi nhiệt độ hoặc các tác động cơ khí không mong muốn. Cùng với vỏ bọc chắc chắn, thiết bị cũng phải hỗ trợ nguồn kép để cung cấp giải pháp nguồn dự phòng: người sử dụng có thể kết nối với nguồn dự phòng thứ hai bên cạnh nguồn thứ nhất, trong trường hợp hư hỏng nguồn thứ nhất.

Phủ bề mặt bo mạch điện tử.

Cùng với giải nhiệt độ làm việc rộng, thiết bị được chọn lựa cũng cần được bảo vệ trong môi trường có độ ẩm cao. Trong điều kiện độ ẩm bên ngoài thay đổi có thể sẽ dễ gây ngưng đọng sương và có thể phá hủy vỏ thiết bị và làm hỏng thiết bị. Các thiết bị điện tử được bảo vệ bắt buộc phải sử dụng phương pháp hiện đại để phủ bề mặt bo mạch. Một lớp nhựa mỏng được phủ lên để bảo vệ phần cứng khỏi các chất ô nhiễm và sự ăn mòn trong môi trường khắc nghiệt.

Sử dụng các công cụ hợp lý, việc truy cập từ xa và bảo đảm an ninh có thể kết hợp.

Việc sử dụng thiết bị truy cập với chế độ máy chủ IPSec VPN sẽ giúp truy cập tới các thiết bị trong trạm bơm được an toàn từ các vị trí từ xa, kể cả ở nhà. Nếu không lắp đặt gateway an ninh việc truy cập các vị trí từ xa thông qua mạng internet công cộng có thể thực hiện bằng nhiều cách dễ dàng, do đó bắt buộc phải sử dụng các gateway. Các camera trong hệ thống giám sát tại mỗi trạm bơm phải sử dụng một gateway an ninh với phần cứng mã hóa để thực hiện đường hầm IPSec giúp cho các luồng video được an toàn và thông suốt mà không ảnh hưởng tới các gói dữ liệu giám sát và điều khiển quan trọng.
Bất kỳ tường lửa của gateway đều cần hỗ trợ để kiểm tra tình trạng các gói dữ liệu đi vào có thể cấu hình được khi chuyển tới mạng của trạm bơm nhằm cung cấp khả năng phòng thủ chống lại không chỉ các cuộc tấn công bên ngoài mạng mà còn bởi sự ảnh hưởng của các thiết bị của nội bộ công ty có kết nối với mạng đã bị nhiễm mã độc từ bên ngoài. Trên hết, việc truy cập tới các gateway và các thiết bị khác thông qua mạng cần được hỗ trợ khả năng an ninh hiện đại (RADIUS hoặc TACACS+) chứng thực người sử dụng an toàn chống lại các hoạt động tấn công từ xa. Và, các truy cập vật lý tại chỗ, nơi mà cá nhân không có quyền cố gắng kết nối trực tiếp vào mạng, an ninh cổng kết nối theo 802.1x sẽ cần được triển khai và sử dụng.
Cuối cùng, do các vị trí từ xa, một gateway của trạm bơm cần chắc chắn trong môi trường khắc nghiền, nó có thể đối mặt và có khả năng dự phòng trong các trường hợp mất điện cũng như hư hỏng mạng. Sự chắc chắn không chỉ trong thiết kế sản phẩm với giải nhiệt độ làm việc rộng mà các thiết bị còn được thiết kế với vỏ bọc kim loại có cấp độ bảo vệ IP và phủ bền mặt bo mạch đặc biệt để chống lại bụi bẩn, hóa chất và độ ẩm. Khả năng dự phòng có nghĩa thiết bị cần có cả nguồn nuôi thứ hai và khả năng mạng WAN để duy trì khi hệ thống chính gặp sự cố.
IT          : Information Technology – Công nghệ thông tin
VPN     : Virtual Private Network – Mạng riêng ảo
LCU      : Local Control Unit – Thiết bị điều khiển tại chỗ
UDP     : User Datagram Protocol
WAN     : Wide Area Network- Mạng diện rộng
DMZ     : Demilitarized Zone- Khu vực phi quân sự
Posted by at 12:22 AM

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Popular Posts