您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系安全防護(hù)研究
摘要:深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略對(duì)加速我國(guó)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、搶占國(guó)際競(jìng)爭(zhēng)制高點(diǎn)意義重大。網(wǎng)絡(luò)體系是工業(yè)互聯(lián)網(wǎng)的基礎(chǔ),網(wǎng)絡(luò)體系的安全是核心保障,從防護(hù)對(duì)象、防護(hù)措施、防護(hù)管理等視角出發(fā),通過對(duì)網(wǎng)絡(luò)體系安全的總體研究,提出了相關(guān)安全建議,以期通過對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的研究,保障工業(yè)實(shí)體經(jīng)濟(jì)安全快速發(fā)展。
內(nèi)容目錄:
1 國(guó)內(nèi)外工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀
2 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突出問題
3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全參考框架
4 工業(yè)互聯(lián)網(wǎng)安全技術(shù)
5 工業(yè)互聯(lián)網(wǎng)安全體系新技術(shù)
6 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)終端安全
7 結(jié) 語
隨著數(shù)字時(shí)代全面到來,網(wǎng)絡(luò)作為工業(yè)互聯(lián)網(wǎng)互聯(lián)支撐的基礎(chǔ)地位逐漸凸顯,工業(yè)界的物理邊界和網(wǎng)絡(luò)邊界被完全打破,工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)變得脆弱、易受攻擊。工業(yè)互聯(lián)網(wǎng)通過網(wǎng)絡(luò)將物理實(shí)體和虛擬組件連接在一起,無處不在地為工業(yè)制造系統(tǒng)提供資源、數(shù)據(jù)和知識(shí),同時(shí)網(wǎng)絡(luò)安全的重要性也上升到前所未有的高度,成為工業(yè)互聯(lián)網(wǎng)領(lǐng)域的新興熱點(diǎn)。
1 國(guó)內(nèi)外工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀
1.1 工業(yè)互聯(lián)網(wǎng)安全問題頻發(fā)
2021年2月,黑客試圖通過控制工控網(wǎng)絡(luò),將美國(guó)佛羅里達(dá)州水處理系統(tǒng)的氫氧化鈉濃度提高100倍。2021年4月,以色列摩薩德針對(duì)伊朗納坦茲核設(shè)施的工業(yè)配電系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊,導(dǎo)致核設(shè)施斷電。2021年4月,勒索軟件團(tuán)伙成功加密了某歐洲制造商的工業(yè)流程控制服務(wù)器,最終導(dǎo)致兩處生產(chǎn)工廠被迫關(guān)停。
1.2 國(guó)內(nèi)研究概況
隨著工業(yè)互聯(lián)網(wǎng)國(guó)家戰(zhàn)略的推進(jìn),國(guó)內(nèi)對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的研究百花齊放,中國(guó)工業(yè)互聯(lián)研究院、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、信通院等牽頭了工業(yè)互聯(lián)網(wǎng)相關(guān)課題。同時(shí)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)設(shè)立了“工業(yè)互聯(lián)網(wǎng)特設(shè)任務(wù)組”,致力于國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系建設(shè),圍繞工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全發(fā)布了T11/AII 004—2018《工業(yè)互聯(lián)網(wǎng)安全防護(hù)總體要求》、GB/T 35673—2017《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)》、GB/T 33007—2016《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)信息安全程序》等多個(gè)標(biāo)準(zhǔn)。1.3 國(guó)外研究概況國(guó)外權(quán)威研究機(jī)構(gòu)美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟 (Industrial Internet Consortium,IIC)發(fā)布工業(yè)互聯(lián)網(wǎng)參考架構(gòu)(Industrial Internet Reference Architecture,IIRA),其中的工業(yè)互聯(lián)網(wǎng)網(wǎng)參考架構(gòu)在目前世界范圍內(nèi)影響力較大。同時(shí)美歐等成立了美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (Cybersecurity and Infrastucture Security Agency, CISA)、歐盟網(wǎng)絡(luò)與信息安全局(European Network and Information Security Agency, ENISA),全面負(fù)責(zé)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全,并將工業(yè)互聯(lián)網(wǎng)安全列為優(yōu)先事項(xiàng)。其中CISA、 ENISA、能源部等政府機(jī)構(gòu)非常重視工業(yè)、能源等領(lǐng)域的信息安全保障建設(shè)。
2 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突出問題
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)一般由組織內(nèi)外網(wǎng)構(gòu)成,如圖1所示,內(nèi)網(wǎng)包括辦公網(wǎng)、控制網(wǎng)、現(xiàn)場(chǎng)生產(chǎn)網(wǎng)、管理網(wǎng)和專用網(wǎng);外網(wǎng)包括無線網(wǎng)、移動(dòng)網(wǎng)、互聯(lián)網(wǎng)和骨干網(wǎng)。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)的具體組成主要包括設(shè)備、服務(wù)等,如工業(yè)通信網(wǎng)關(guān)、通信模組、交換機(jī)、光纖接入等設(shè)備,工業(yè)無線、工業(yè)專線、深度覆蓋、標(biāo)識(shí)解析等服務(wù)。網(wǎng)絡(luò)安全側(cè)主要涉及網(wǎng)關(guān)隔離、訪問控制、工業(yè)防火墻和安全態(tài)勢(shì)感知系統(tǒng)。
圖 1 工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全總覽圖
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系將連接對(duì)象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價(jià)值鏈,打通“人、機(jī)、料、法、環(huán)”等全要素,實(shí)現(xiàn)設(shè)計(jì)、研發(fā)、生產(chǎn)、管理、服務(wù)等深度互聯(lián),促進(jìn)了端到端網(wǎng)絡(luò)、5G+、邊緣計(jì)算等關(guān)鍵技術(shù)與工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用。
2.1 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)易受攻擊性
互聯(lián)互通性是釋放工業(yè)互聯(lián)網(wǎng)全部潛在價(jià)值的關(guān)鍵所在,但卻系統(tǒng)性地增加了網(wǎng)絡(luò)攻擊面。當(dāng)工業(yè)互聯(lián)網(wǎng)中的裝置、設(shè)備、系統(tǒng)等全面連接廣域分布的公司網(wǎng)絡(luò)甚至互聯(lián)網(wǎng)時(shí),攻擊者將可以從多個(gè)角度實(shí)施網(wǎng)絡(luò)攻擊,攻擊來源可以來自外部或內(nèi)部。安全通信、安全網(wǎng)絡(luò)監(jiān)控、安全數(shù)據(jù)和現(xiàn)場(chǎng)設(shè)備級(jí)別的安全代碼執(zhí)行等信息安全技術(shù)機(jī)制是必不可少的,而不是可選擇的。工業(yè)互聯(lián)網(wǎng)的信息安全問題將更加復(fù)雜多樣,大規(guī)模網(wǎng)絡(luò)連接因素(如工業(yè)云、工業(yè)大數(shù)據(jù)、供應(yīng)鏈等)產(chǎn)生的影響將占有重要地位,工業(yè)控制設(shè)備、系統(tǒng)等生產(chǎn)要素將與網(wǎng)絡(luò)泛在化和持久化連接,而跨范圍的網(wǎng)絡(luò)連接將為攻擊者提供入侵破壞重要工業(yè)生產(chǎn)過程的多種可能性和可行性。
2.2 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)脆弱性
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)脆弱性可能由網(wǎng)絡(luò)配置、硬件、邊界監(jiān)控、通信驗(yàn)證或無線網(wǎng)絡(luò)連接引起,包括:設(shè)計(jì)不合理的網(wǎng)絡(luò)架構(gòu),沒有足夠的信息安全防護(hù)措施;未存儲(chǔ)網(wǎng)絡(luò)詳細(xì)配置文件或缺少備份,在無線網(wǎng)絡(luò)邊界接入點(diǎn)位置缺少身份認(rèn)證機(jī)制或身份認(rèn)證不完善,對(duì)網(wǎng)絡(luò)密碼的錯(cuò)誤管理措施;沒有定義明確的網(wǎng)絡(luò)安全邊界,防火墻缺失或配置不當(dāng),導(dǎo)致網(wǎng)絡(luò)控制設(shè)置不足以滿足系統(tǒng)的安全防護(hù)要求;未配置網(wǎng)絡(luò)流量監(jiān)控技術(shù)措施,特別是未使用加密機(jī)制的標(biāo)準(zhǔn)協(xié)議,如遠(yuǎn)程終端協(xié)議(Telnet)或文件交換協(xié)議(File Exchange Protocol,F(xiàn)TP);未部署完整性檢查(網(wǎng)絡(luò)中存在未經(jīng)授權(quán)的設(shè)備)技術(shù)機(jī)制,缺少用于數(shù)據(jù)機(jī)密性保護(hù)的協(xié)議加密(例如在無線連接中)機(jī)制等。
2.3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)協(xié)議脆弱性
工業(yè)互聯(lián)網(wǎng)協(xié)議脆弱性是有線和無線通信中使用的協(xié)議所固有的,如缺少消息身份認(rèn)證、缺少消息加密等,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)脆弱性可能由網(wǎng)絡(luò)配置、硬件、邊界監(jiān)控、通信驗(yàn)證或無線網(wǎng)絡(luò)連接引起,包括:設(shè)計(jì)不合理的網(wǎng)絡(luò)架構(gòu),沒有足夠的信息安全防護(hù)措施;未存儲(chǔ)網(wǎng)絡(luò)詳細(xì)配置文件或缺少備份;在無線網(wǎng)絡(luò)邊界接入點(diǎn)位置 (例如,在無線客戶端和接入點(diǎn)之間)缺少身份認(rèn)證機(jī)制或身份認(rèn)證不完善;對(duì)網(wǎng)絡(luò)密碼的錯(cuò)誤管理措施,如使用默認(rèn)密碼、密鑰存儲(chǔ)未加密、不定期更改密碼;使用不安全的網(wǎng)絡(luò)端口;沒有定義明確的網(wǎng)絡(luò)安全邊界;防火墻缺失或配置不當(dāng);網(wǎng)絡(luò)控制設(shè)置不足以滿足工業(yè)控制系統(tǒng)的安全防護(hù)要求;未配置網(wǎng)絡(luò)流量監(jiān)控技術(shù)措施;使用沒有增加加密機(jī)制的標(biāo)準(zhǔn)協(xié)議,如Telnet或FTP;未部署完整性檢查(網(wǎng)絡(luò)中存在未經(jīng)授權(quán)的設(shè)備)技術(shù)機(jī)制;缺少用于數(shù)據(jù)機(jī)密性保護(hù)的協(xié)議加密(例如在無線連接中)機(jī)制等。
3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全參考框架
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)應(yīng)面向工廠內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)及標(biāo)識(shí)解析系統(tǒng)等方面,通過融合網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、邊界安全防護(hù)、接入認(rèn)證、通信內(nèi)容防護(hù)、通信設(shè)備防護(hù)、安全監(jiān)測(cè)審計(jì)等多種防護(hù)措施,構(gòu)筑立體化的網(wǎng)絡(luò)安全防護(hù)體系。工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全體系框架分別從通用安全技術(shù)、終端安全、安全審計(jì)3個(gè)視角進(jìn)行構(gòu)建。其安全框架如圖2所示,可以看到,工業(yè)互聯(lián)網(wǎng)的防護(hù)對(duì)象視角包括防火墻、終端安全、網(wǎng)絡(luò)審計(jì)等9類安全。其中,網(wǎng)絡(luò)審計(jì)面向外部網(wǎng)絡(luò)安全審計(jì)和內(nèi)部網(wǎng)絡(luò)安全審計(jì)組成,其核心防控手段主要通過威脅防護(hù)、檢測(cè)感知、處置恢復(fù)措施進(jìn)行安全防護(hù)。
圖 2 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全參考框架
4 工業(yè)互聯(lián)網(wǎng)安全技術(shù)
4.1 分段分層技術(shù)
工業(yè)互聯(lián)網(wǎng)中各層次網(wǎng)絡(luò)不能不加區(qū)別地相互連接,工業(yè)安全國(guó)際標(biāo)準(zhǔn)(如ISA/IEC 62443-1-1、NIST SP 800-821)建議將網(wǎng)絡(luò)分成若干部分,并且每個(gè)部分包含具有類似安全策略和通信要求的資產(chǎn)。為每個(gè)網(wǎng)段都分配一個(gè)信任級(jí)別,并保護(hù)通過網(wǎng)絡(luò)邊緣的通信連接過程,特別是保護(hù)不同信任級(jí)網(wǎng)段之間的通信和連接。網(wǎng)絡(luò)分段細(xì)粒度劃分的候選對(duì)象包括公共網(wǎng)絡(luò)、商業(yè)網(wǎng)絡(luò)、運(yùn)營(yíng)網(wǎng)絡(luò)、工廠網(wǎng)絡(luò)、控制網(wǎng)絡(luò)、設(shè)備網(wǎng)絡(luò)、保護(hù)網(wǎng)絡(luò)和安全網(wǎng)絡(luò)。分段技術(shù)可以提供有效的流量管理,盡管每個(gè)可以訪問管理和操作網(wǎng)絡(luò)的雙端口設(shè)備,都可以作為從一個(gè)網(wǎng)絡(luò)跳轉(zhuǎn)到另一個(gè)網(wǎng)絡(luò)的攻擊的中心點(diǎn),但分段技術(shù)限制了攻擊面的影響范圍,可以最大化地降低安全威脅帶來的影響。
4.2 網(wǎng)關(guān)過濾技術(shù)
工業(yè)網(wǎng)關(guān)過濾技術(shù)可以從網(wǎng)絡(luò)接口的一條或多條消息中提取特定類型的應(yīng)用程序級(jí)信息,并將該信息轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)中,同時(shí)不保留原始網(wǎng)絡(luò)消息結(jié)構(gòu)的任何部分。網(wǎng)關(guān)還可以對(duì)重要的應(yīng)用程序功能進(jìn)行編碼,例如,可以將工業(yè)互聯(lián)網(wǎng)中的IT與OT接口位置的雙端口歷史數(shù)據(jù)服務(wù)器看作一個(gè)雙向信息網(wǎng)關(guān),具有明顯的持續(xù)性分析功能。歷史數(shù)據(jù)服務(wù)器使用工控設(shè)備專用通信協(xié)議,通過一個(gè)網(wǎng)絡(luò)接口從OT網(wǎng)絡(luò)收集數(shù)據(jù),并使用客戶機(jī)/服務(wù)器協(xié)議通過第二個(gè)網(wǎng)絡(luò)接口將數(shù)據(jù)發(fā)布到IT網(wǎng)絡(luò)。通過為不同種類的網(wǎng)關(guān)提供不同程度的安全防護(hù)能力,重要的工業(yè)互聯(lián)網(wǎng)過濾技術(shù)包括以下幾個(gè)流程。
第一層過濾:物理隔離是指網(wǎng)段與任何外部網(wǎng)絡(luò)之間不存在有線或無線方式的在線連接。物理隔離是最強(qiáng)大的過濾形式,但不能提供任何形式的連接。
第二層過濾:分離物理網(wǎng)絡(luò)中的信令系統(tǒng),但轉(zhuǎn)發(fā)開放系統(tǒng)互聯(lián)(Open System Interconnection,OSI)模型第二層的網(wǎng)絡(luò)幀,托管交換機(jī)和橋接防火墻是基于以太網(wǎng)媒體訪問控制(Media Access Control,MAC)地址或其他設(shè)備級(jí)尋址過濾消息的典型技術(shù)。虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)交換機(jī)用于流量管理,但其本身并不是安全設(shè)備,因此不建議將VLAN作為不同信任級(jí)別網(wǎng)段的邊界保護(hù)技術(shù)措施。
第三/四層過濾:最常用的工業(yè)互聯(lián)網(wǎng)消息過濾器是指能夠根據(jù)網(wǎng)絡(luò)地址、端口號(hào)和連接狀態(tài)過濾消息的防火墻,這種過濾技術(shù)被稱為包過濾器和狀態(tài)檢測(cè)。
4.3 網(wǎng)絡(luò)防火墻技術(shù)
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻廣泛用于分割復(fù)雜的工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò),大多數(shù)防火墻是第二層、第三層或第四層IP路由器/消息轉(zhuǎn)發(fā)器,具有復(fù)雜的消息過濾器。防火墻的形態(tài)可以是物理設(shè)備或虛擬網(wǎng)絡(luò)設(shè)備,防火墻的過濾功能檢查防火墻接收到的每條消息。如果篩選器確定消息符合防火墻配置的流量策略,則消息將傳遞到防火墻的路由器組件以進(jìn)行轉(zhuǎn)發(fā)。防火墻也可以重寫消息,最常見的方式是通過執(zhí)行加密或網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT)。
設(shè)備級(jí)防火墻旨在保護(hù)終端節(jié)點(diǎn),可以是具有深度包檢查功能的傳統(tǒng)防火墻,或具有深度包檢查過濾器的第二層IP路由器,后者可以在不重新配置現(xiàn)有終端設(shè)備中的路由規(guī)則的情況下進(jìn)行部署。
上文提到的過濾器技術(shù)(自學(xué)習(xí)過濾技術(shù))可用于設(shè)備防火墻應(yīng)用程序級(jí)過濾,該技術(shù)通過監(jiān)視一段時(shí)間內(nèi)的流量,并自動(dòng)創(chuàng)建過濾規(guī)則,將所有觀察到的流量標(biāo)識(shí)為正常和允許的流量。學(xué)習(xí)模式完成后,可以將防火墻配置為僅轉(zhuǎn)發(fā)符合篩選器的流量,并丟棄所有其他流量。同時(shí),可以設(shè)置可配置操作,允許某些應(yīng)用程序級(jí)的內(nèi)容通過,并禁止其他無關(guān)的內(nèi)容。例如,允許寫入某些現(xiàn)場(chǎng)控制設(shè)備寄存器,而不是其他寄存器的策略;允許讀取和寫入任何寄存器,但不允許下載現(xiàn)場(chǎng)控制設(shè)備固件的策略。
4.4 網(wǎng)絡(luò)訪問控制技術(shù)
工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)訪問控制結(jié)合網(wǎng)絡(luò)控制和網(wǎng)絡(luò)安全控制,允許或限制對(duì)通信網(wǎng)絡(luò)的邏輯訪問。一個(gè)眾所周知的授權(quán)訪問機(jī)制是IEEE 802.1X,基于每個(gè)設(shè)備的憑據(jù)(如身份證書及用戶名和密碼),允許或拒絕設(shè)備訪問網(wǎng)絡(luò),IEEE 802.1X允許網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)可以在網(wǎng)絡(luò)中通信的設(shè)備集合保持強(qiáng)大的控制。
在一些情況下,網(wǎng)絡(luò)設(shè)備可以同時(shí)具有認(rèn)證者和請(qǐng)求者的特征。請(qǐng)求者從身份認(rèn)證器請(qǐng)求訪問,該身份認(rèn)證器將訪問請(qǐng)求轉(zhuǎn)發(fā)給身份認(rèn)證服務(wù)器以供審查。完成認(rèn)證之后,交換機(jī)或無線接入點(diǎn)啟用端口或無線連接進(jìn)行除IEEE 802.1X認(rèn)證幀外的業(yè)務(wù),身份認(rèn)證服務(wù)器可以集成到工業(yè)現(xiàn)場(chǎng)控制設(shè)備中。身份認(rèn)證服務(wù)器也可以作為整個(gè)網(wǎng)絡(luò)的集中資源,通過遠(yuǎn)程身份認(rèn)證接入服務(wù)(Remote Authentication Dial In User Service,RADIUS)實(shí)現(xiàn)。之后,可以集中管理用戶名和密碼等訪問憑據(jù),并可供作為身份認(rèn)證程序的所有網(wǎng)絡(luò)設(shè)備訪問。此外,用戶特定的配置信息可以通過 RADIUS 輸出, 并通過 IEEE 802.1X 分配, 例如特定 VLAN 的成員資格。
5 工業(yè)互聯(lián)網(wǎng)安全體系新技術(shù)
5.1 態(tài)勢(shì)感知技術(shù)
態(tài)勢(shì)感知技術(shù)是對(duì)相關(guān)環(huán)境的理解,包括態(tài)勢(shì)數(shù)據(jù)的收集、分析、警報(bào)、呈現(xiàn)、使用操作,以及安全信息的生成和維護(hù)活動(dòng),有助于形成一個(gè)整體的操作圖景。在理想情況下,工業(yè)互聯(lián)網(wǎng)安全和實(shí)時(shí)態(tài)勢(shì)感知應(yīng)該無縫地跨越IT和OT子系統(tǒng),并且不干擾任何正常的工業(yè)控制運(yùn)營(yíng)業(yè)務(wù)流程,設(shè)計(jì)中必須考慮到安全性,應(yīng)該盡早評(píng)估風(fēng)險(xiǎn),而不是事后考慮安全性。由工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)提供從各種生產(chǎn)現(xiàn)場(chǎng)傳感器和設(shè)備收集信息所需的“網(wǎng)絡(luò)-物理-人”的耦合數(shù)據(jù),并提供一個(gè)報(bào)告和控制接口,便于在管理和保護(hù)生產(chǎn)與關(guān)鍵基礎(chǔ)設(shè)施的物理元素時(shí)有效地實(shí)現(xiàn)人在回路的參與。
工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知對(duì)于攻防對(duì)抗環(huán)境中的人類決策極為重要,安全分析人員必須了解正在發(fā)生的事情,以便提高決策的速度和有效性,并確定如何在未來更有效地緩解威脅。態(tài)勢(shì)感知取決于任務(wù)的具體背景和任務(wù)中個(gè)人的角色,傳感器和操作數(shù)據(jù)提供了有關(guān)正在發(fā)生的事情的原始資料。大數(shù)據(jù)分析和人工智能將態(tài)勢(shì)信息轉(zhuǎn)化為對(duì)正在發(fā)生的事情及對(duì)任務(wù)的影響,同時(shí)可以實(shí)現(xiàn)對(duì)感知預(yù)期結(jié)果的理解。
5.2 蜜罐和蜜網(wǎng)技術(shù)
在工業(yè)互聯(lián)網(wǎng)的上下文中,蜜罐可以以不同的方式實(shí)現(xiàn),其主要取決于應(yīng)用場(chǎng)景。例如,在OT網(wǎng)絡(luò)中,低交互蜜罐可以模擬網(wǎng)絡(luò)服務(wù)器(例如生產(chǎn)過程中的控制站)的操作,而在現(xiàn)場(chǎng)網(wǎng)絡(luò)中,蜜罐使用能夠模擬遠(yuǎn)程終端控制系統(tǒng)(Remote Terminal Unit,RTU)操作的實(shí)現(xiàn),如協(xié)議仿真器(Supervisory Control and Data Acquisition,SCADA)。在企業(yè)的流程控制網(wǎng)絡(luò)或信息與通信網(wǎng)絡(luò)中,高交互蜜罐是有足夠運(yùn)行技術(shù)條件的(甚至以虛擬機(jī)的形式在同一主機(jī)上共存),同時(shí)還可以模擬最小服務(wù)的低交互蜜罐。此外,在某些情況下,一些針對(duì)系統(tǒng)的攻擊可以重定向到蜜罐,從而提供有關(guān)攻擊者及其意圖的更多信息。
現(xiàn)場(chǎng)總線蜜罐運(yùn)行于工業(yè)現(xiàn)場(chǎng)控制網(wǎng)絡(luò)中,與網(wǎng)絡(luò)中已有的可編程控制器(Programmable Controller,PLC)、RTU、傳感器和執(zhí)行器互聯(lián)互通和信息共享,并綁定網(wǎng)絡(luò)中未使用的IP地址段。其基本工作原理是:通過最大限度地模擬生產(chǎn)控制環(huán)境中的PLC、RTU及執(zhí)行器的行為和服務(wù)?,F(xiàn)場(chǎng)總線蜜罐主要工作于現(xiàn)場(chǎng)總線層,因此具有較高的迷惑性,可以引誘攻擊者更加深信當(dāng)前面對(duì)的是一個(gè)值得攻擊的目標(biāo)。同時(shí),通過充當(dāng)工業(yè)互聯(lián)網(wǎng)的誘餌,向上一級(jí)分布式生產(chǎn)控制系統(tǒng)(例如SCADA系統(tǒng)、分布式控制系統(tǒng)(Distributed Control System,DCS)的主站系統(tǒng)、PLC系統(tǒng)的上位機(jī)等)發(fā)送異常工業(yè)互聯(lián)網(wǎng)設(shè)備事件及設(shè)備相應(yīng)ID,并引導(dǎo)攻擊事件的應(yīng)急響應(yīng)過程?,F(xiàn)場(chǎng)總線蜜罐的存在形態(tài)一般是模擬PLC,模仿真實(shí)PLC的行為和操作,也可以模擬RTU、傳感器或執(zhí)行器等。在正常情況下,現(xiàn)場(chǎng)總線蜜罐將等待來自某個(gè)探測(cè)網(wǎng)絡(luò)或假冒主站的入侵者試圖訪問網(wǎng)絡(luò)的連接嘗試。實(shí)際上,任何連接該蜜罐設(shè)備的嘗試都可能產(chǎn)生安全事件,因?yàn)楦鶕?jù)蜜罐的設(shè)計(jì)初衷,現(xiàn)場(chǎng)總線蜜罐中的任何活動(dòng)都是非法和未經(jīng)授權(quán)的(除蜜罐本身的管理操作外)。圖3為用于監(jiān)控現(xiàn)場(chǎng)總線網(wǎng)絡(luò)的現(xiàn)場(chǎng)總線蜜罐的基本結(jié)構(gòu)。
圖 3 現(xiàn)場(chǎng)總線蜜罐的基本結(jié)構(gòu)
密網(wǎng)技術(shù)是在蜜罐技術(shù)的基礎(chǔ)上發(fā)展而來的,工業(yè)互聯(lián)網(wǎng)入侵行為的網(wǎng)絡(luò)特性需要更大范圍的誘捕技術(shù),通過在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)上設(shè)置一些特殊的誘捕機(jī)群,并在其上運(yùn)行專用的模擬軟件,模擬工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)上運(yùn)行操作系統(tǒng)的主機(jī)群,將其并入到網(wǎng)絡(luò)上的安全域,對(duì)其進(jìn)行低級(jí)別的安全保護(hù),可以讓入侵者更容易地進(jìn)入系統(tǒng)。入侵者進(jìn)入系統(tǒng)后,其所有行為將受到系統(tǒng)軟件的監(jiān)視和記錄。通過收集關(guān)于入侵者行為的數(shù)據(jù),系統(tǒng)軟件可以分析入侵者的行為,達(dá)到通過蜜網(wǎng)構(gòu)建網(wǎng)絡(luò)攻擊行為分析模型,吸引攻擊者攻擊的目的。
5.3 人工智能技術(shù)下的工業(yè)攻防網(wǎng)絡(luò)
對(duì)生產(chǎn)制造企業(yè)實(shí)施的網(wǎng)絡(luò)攻擊通常分為工業(yè)間諜、工業(yè)破壞和數(shù)據(jù)盜竊3類,每類攻擊行為追求的目標(biāo)各不相同,有些目的是獲取公司的機(jī)密信息,如機(jī)器或產(chǎn)品的最新技術(shù)發(fā)展,而有些目的則是金錢利益。在人工智能協(xié)助下實(shí)施的網(wǎng)絡(luò)攻擊將更精確、更有效地繞過工業(yè)生產(chǎn)控制系統(tǒng),結(jié)合人工和計(jì)算機(jī)輔助方法的攻擊利用辦公I(xiàn)T信息系統(tǒng)和生產(chǎn)控制網(wǎng)絡(luò)中的各種數(shù)據(jù)源和通信系統(tǒng)識(shí)別漏洞,形成對(duì)辦公I(xiàn)T信息系統(tǒng)、生產(chǎn)控制網(wǎng)絡(luò)和人工智能系統(tǒng)自身的立體網(wǎng)絡(luò)攻擊。
從宏觀層面分析,人工智能輔助的網(wǎng)絡(luò)攻擊有兩種基本類型:技術(shù)性攻擊和對(duì)組織結(jié)構(gòu)的攻擊。兩者之間有時(shí)會(huì)有一些重疊或差異,不易區(qū)分。更簡(jiǎn)單的攻擊類型包括釣魚攻擊——發(fā)送大量包含各種惡意軟件鏈接的電子郵件,最廣為人知的攻擊事件之一是WannaCry蠕蟲勒索病毒;更智能的攻擊類型包括魚叉式網(wǎng)絡(luò)釣魚攻擊——在攻擊過程中,惡意攻擊者將發(fā)送個(gè)性化的電子郵件,其中包含具有后門功能的特洛伊木馬等內(nèi)容的鏈接。魚叉式網(wǎng)絡(luò)釣魚攻擊也可用于0-day攻擊,0-day漏洞是未公開的軟件安全缺陷,暫時(shí)沒有可用的補(bǔ)救補(bǔ)丁程序,攻擊者可能會(huì)濫用這些漏洞。
6 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)終端安全
工業(yè)互聯(lián)網(wǎng)系統(tǒng),特別是現(xiàn)場(chǎng)控制設(shè)備的組件常使用出廠默認(rèn)密碼,且在默認(rèn)情況下禁用安全選項(xiàng)。因此,在工業(yè)互聯(lián)網(wǎng)域中安裝組件很容易,但非常不安全。一般30%的工業(yè)應(yīng)用出廠后程序無法更改,并且很難說服工業(yè)控制系統(tǒng)制造商研發(fā)具有安全功能的產(chǎn)品組件。直到最近幾年,在幾次工業(yè)控制信息安全事件的推動(dòng)下,一些工業(yè)制造商才開始改變其產(chǎn)品的默認(rèn)安全狀態(tài),而與此問題密切相關(guān)的威脅是在工業(yè)控制設(shè)備中包括密碼在內(nèi)的身份認(rèn)證信息通常不加密,網(wǎng)絡(luò)攻擊者可以在內(nèi)存中以明文形式,或在通信過程中通過竊聽的方式獲取這些重要信息。此類威脅的典型案例是一家知名制造商的PLC設(shè)備外包裝清楚地顯示鉆孔模板,并說明電源插頭和非屏蔽雙絞線(Unshielded Twisted Pair,UTP)電纜的連接位置,并且隨設(shè)備附帶的光盤和一份兩頁的安裝手冊(cè)明確說明可以在連接PLC的網(wǎng)絡(luò)計(jì)算機(jī)設(shè)備中啟動(dòng)光盤。這導(dǎo)致PLC安裝時(shí)沒有任何密碼保護(hù)就可以直接連接到互聯(lián)網(wǎng)。使用Shodan類互聯(lián)網(wǎng)搜索引擎的惡意攻擊者可以很容易發(fā)現(xiàn)這些沒有任何身份認(rèn)證保護(hù)措施或只有簡(jiǎn)單防護(hù)機(jī)制的PLC設(shè)備,并進(jìn)一步控制該P(yáng)LC設(shè)備以實(shí)施下一步網(wǎng)絡(luò)攻擊行動(dòng)。
6.1 端側(cè)設(shè)備安全技術(shù)
終端側(cè)安全防護(hù)技術(shù)主要有:高效靈活配置的網(wǎng)關(guān)過濾技術(shù),易于識(shí)別和使用的端點(diǎn)通信策略,基于加密的通信端點(diǎn)之間的強(qiáng)相互認(rèn)證,通過強(qiáng)制執(zhí)行從策略派生的訪問控制規(guī)則的授權(quán)機(jī)制和加密機(jī)制,確保交換信息的機(jī)密性、完整性和實(shí)時(shí)性。其中需要特別注意的是高效靈活配置的網(wǎng)關(guān)過濾技術(shù),傳統(tǒng)的工業(yè)自動(dòng)控制領(lǐng)域強(qiáng)調(diào)信息流保護(hù)技術(shù),而工業(yè)互聯(lián)網(wǎng)則傾向于使用加密控制技術(shù)同時(shí)結(jié)合保護(hù)技術(shù),例如應(yīng)用于傳輸層[如傳輸層安全性協(xié)議(Transport Layer Security,TLS)]或中間件層[如數(shù)據(jù)分發(fā)服務(wù)(Data Distribution Service,DDS)]的加密控制等,通過終端側(cè)配合采用各層通信鏈路相應(yīng)的安全控制和技術(shù)機(jī)制來抵御不同的網(wǎng)絡(luò)攻擊。
6.2 端側(cè)設(shè)備安全流程要點(diǎn)
建立端側(cè)設(shè)備安全的第一步是使用支持加密的身份認(rèn)證協(xié)議進(jìn)行身份認(rèn)證(如果建立了公鑰基礎(chǔ)設(shè)施,則通過交換身份證書進(jìn)行身份認(rèn)證),然后,通信雙方必須根據(jù)策略中定義的訪問控制規(guī)則交換數(shù)據(jù)。例如,在醫(yī)療設(shè)備工業(yè)系統(tǒng)中,具備采集病人真實(shí)的醫(yī)學(xué)指標(biāo)的終端設(shè)備,一般不允許共享患者的數(shù)據(jù)。為確保被交換時(shí)信息的機(jī)密性和完整性,應(yīng)使用標(biāo)準(zhǔn)加密技術(shù)[如高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard,AES)等對(duì)稱算法和RSA等非對(duì)稱算法]、消息認(rèn)證技術(shù)和消息認(rèn)證碼,以實(shí)現(xiàn)端側(cè)加密。特別需要注意的是,針對(duì)不提供交換信息的完整性和機(jī)密性的工業(yè)互聯(lián)網(wǎng)通信協(xié)議,可以通過加密和認(rèn)證的隧道式路由,或者通過信息流控制技術(shù)進(jìn)行保護(hù),進(jìn)而提高這類協(xié)議的安全性。這些技術(shù)通常使用在進(jìn)行身份認(rèn)證過程中協(xié)商建立的加密密鑰,但應(yīng)注意避免沒有身份認(rèn)證過程的單純加密。
此外,由于傳統(tǒng)網(wǎng)絡(luò)安全缺乏考慮工業(yè)場(chǎng)景,特別是工業(yè)制造廠商對(duì)所有機(jī)器和設(shè)備在各種環(huán)境條件下的正常和安全運(yùn)行有特殊要求。因此,符合氣候條件(例如灰塵、濕度、溫度等)、機(jī)械條件(例如沖擊、振動(dòng)等)和安全條件(例如限制功耗以避免爆炸)要求,需要基于安全性額外考慮加固措施。
7 結(jié) 語
隨著工業(yè)互聯(lián)網(wǎng)帶來的價(jià)值密度變高,對(duì)工業(yè)系統(tǒng)進(jìn)行惡意攻擊的方式也越來越多,其中一個(gè)不可否認(rèn)的原因是,工業(yè)互聯(lián)網(wǎng)通信網(wǎng)絡(luò)在生產(chǎn)制造業(yè)中越來越普及。以前孤立的控制設(shè)施現(xiàn)在通過跨越國(guó)界的通信網(wǎng)絡(luò)連接起來,供應(yīng)鏈沿線的合作活動(dòng)也越來越自動(dòng)化,產(chǎn)生了額外的攻擊目標(biāo),這意味著可以在更大的范圍內(nèi)發(fā)現(xiàn)漏洞,價(jià)值鏈和與之相關(guān)的業(yè)務(wù)可能受到入侵和破壞。本文從通用安全技術(shù)、終端安全、安全審計(jì)3個(gè)方面出發(fā),提出了工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系安全框架,旨在應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的復(fù)雜性,期待拋磚引玉激發(fā)同行思路,雖然工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重重挑戰(zhàn),但后續(xù)仍將關(guān)注互聯(lián)網(wǎng)分層的縱深防御技術(shù),通過不同層級(jí)的各類安全措施的部署,研究“與攻擊周旋”的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全實(shí)踐課題。
引用本文:郭剛,林紫微,楊超,等.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系安全防護(hù)研究[J].信息安全與通信保密,2022(9):9-17.
作者簡(jiǎn)介 >>>
郭 剛,男,碩士,高級(jí)工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)、安全、工業(yè)大數(shù)據(jù)等;
林紫微,男,碩士,中級(jí)工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)終端設(shè)備、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、安全等;
楊 超,男,碩士,中級(jí)工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)、安全、工業(yè)大數(shù)據(jù)等;
鄭康偉,男,碩士,中級(jí)工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)終端設(shè)備、網(wǎng)絡(luò)、安全等;
葉林佶,男,碩士,高級(jí)工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)、安全、工業(yè)大數(shù)據(jù)等;
王浩人,女,碩士,助理工程師,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)、安全、工業(yè)大數(shù)據(jù)等。
選自《信息安全與通信保密》2022年第9期(為便于排版,已省去原文參考文獻(xiàn))
文章來源:信息安全與通信保密雜志社