Безопасность для связи подстанций
До недавнего времени термин «безопасность», применяемый к системам связи SCADA, означал только процесс обеспечения целостности сообщений перед электрическим шумом и другими нарушениями связи. Но, по сути, «безопасность» также имеет гораздо более широкий смысл. Безопасность в более широком смысле касается всего, что угрожает помешать целостности бизнеса.
Здесь мы сосредоточим внимание на более узких вопросах, связанных с безопасностью SCADA.
В предыдущем разделе мы обсудили роль эталонной модели OSI (ISO 7498-1) в определении архитектуры связи. Аналогичным образом, ISO 7498-2, «Системы обработки информации», «Объединение открытых систем», «Базовая эталонная модель» - часть 2: «Архитектура безопасности», выпущенная в 1989 году, содержит общее описание служб безопасности и связанных с ними механизмов, которые вписываются в эталонную модель, и определяет позиции в эталонной модели, где они могут быть предоставлены.
Он также предоставляет полезные стандартные определения для условий безопасности.
ISO 7498-2 определяет следующие пять категорий службы безопасности:
- Аутентификация: подтверждение того, что объект является заявленным
- Контроль доступа: предотвращение несанкционированного использования ресурса
- Конфиденциальность данных: свойство, которое информация не предоставляется или не раскрывается неавторизованным физическим лицам, организациям или процессам
- Целостность данных: свойство, которое данные не были изменены или уничтожены несанкционированным образом
- Nonrepudiation: данные, приложенные к или криптографическое преобразование, блок данных, который позволяет получателю блока данных доказывать источник и целостность устройства и защищать от подделки, например, получателем
Обратите внимание, что ISO 7498-2 предоставляет стандартные определения и архитектуру для служб безопасности, но оставляет ее в соответствии с другими стандартами для определения деталей таких служб. В нем также содержатся рекомендации о том, где требуемые службы безопасности должны входить в семислойную эталонную модель, чтобы обеспечить успешную и безопасную взаимодействие между открытыми системами.
Функции безопасности обычно могут предоставляться альтернативно на более чем одном уровне модели OSI. Каналы связи, которые строго соответствуют точка-точка, и для которых не требуется видимых внешних адресов устройства, могут использоваться шифрование и другие методы обеспечения безопасности на физических и канальных каналах. Если пакеты должны быть маршрутизированы, сообщения должны быть зашифрованы на уровне или выше сетевого уровня (рекомендация OSI), или оболочка безопасности должна быть применена и удалена на каждом узле объединенной сети.
Это плохая идея из-за возникающих сложностей управления ключами безопасности и, как следствие, вероятности утечек безопасности.
ИСТОЧНИК: Дэниел Э. Норделл