工業互聯網安全研究筆記
工業互聯網作為我國打造制造強國的核心手段,也是最近大家談論很多的“新基建”之一。那么,咱們今天要談的工業互聯網安全,它的防護對象有哪些呢?
總的來說,工業互聯網安全防護的對象包括工業現場設備、工業控制系統、網絡基礎設施、工業應用程序及工業數據等,如下圖:
確定了保護對象后,我們應該怎么來部署防護措施呢。
【理論基礎安全篇】
第一,設備安全。在使用諸如工業機器人、智能儀表、傳感器等現場設備時,主要的安全考慮是做好鑒權和控制。安全措施有:
(1)采用鑒別機制對接入工業互聯網中的設備身份進行鑒別,確保數據來源于真實的設備;
(2)制定安全策略,如訪問控制列表,實現對接入工業互聯網中設備的訪問控制,并對管理設備的用戶授予其所需的最小權限,并實現對管理設備的用戶的權限分離;
(3)對登錄設備的用戶進行身份標識和鑒別,身份鑒別信息滿足相應的復雜度要求并定期更換;
(4)對設備配置登錄失敗處理功能,啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
(5)做好設備的用戶管理工作,如賬戶和權限的管理、默認賬戶的管理、過期賬戶的管理等;
(6)對設備采取基本的入侵防范措施,如只安裝執行任務所必需的組件和應用程序,關閉設備中不需要的系統服務、默認共享和高危端口;
(7)設定終端接入方式或網絡地址范圍對通過網絡進行管理的終端進行限制;
(8)及時修補漏洞;
(9)對設備進行安全審計,審計覆蓋到對設備進行運維的每個用戶,對重要的用戶行為和重要安全事件進行審計,做好審計記錄的管理;
第二,控制安全。對于傳統制造業來說,為保證整條流水線的協同生產,每個工廠都有著嚴格的流程控制,這也是為什么控制安全在整個工業互聯網中同樣占有重要作用的原因。在控制安全方面,主要對控制軟件和控制協議采取安全措施:
(1)對登錄控制軟件進行操作的用戶進行身份標識和鑒別,身份鑒別信息滿足相應的復雜度要求并定期更換;
(2)對登錄控制軟件進行操作的過程配置登錄失敗處理功能,并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
(3)做好控制軟件的用戶管理工作,如賬戶和權限的管理、默認賬戶的管理、過期賬戶的管理等;
(4)對控制軟件啟用安全審計功能,審計記錄符合法律法規要求;
(5)對控制軟件采取基本的入侵防范措施,如只安裝必需的組件和程序,關閉設備中不需要的系統服務、默認共享和高危端口;
(6)對控制協議采取完整性保證機制,確保控制協議中的各類指令不被非法篡改和破壞;
(7)安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫;
(8)采取資源控制策略,限制單個用戶或進程對系統資源的最大使用限度。
第三,網絡安全。主要針對工廠內部和外部的網絡及邊界采取安全措施,防止來自外部的入侵:
(1)內部網絡。根據業務特點劃分為不同的安全域,安全域之間應采用技術隔離手段。以及采用適應工廠內部網絡特點的完整性校驗機制,實現對網絡數據傳輸完整性保護;
(2)外部網絡。保障數據傳輸過程中的保密性和完整性,可采取信道加密技術或部署加密機等方式;
(3)網絡邊界安全。厘清內、外網之間的邊界范圍,針對邊界采取安全相適應的措施,如在邊界處設置工控防火墻、網閘、網關等安全隔離設備,并在關鍵網絡節點處部署入侵防范設備。
(4)對網絡通訊數據、訪問異常、業務操作異常、網絡和設備流量、工作周期、抖動值、運行模式、各站點狀態、冗余機制等進行監測,發生異常進行報警;
(5)對通過無線網絡攻擊的潛在威脅和可能產生的后果進行風險分析,并對可能遭受無線攻擊的設備的信息發出(信息外泄)和進入(非法操控)進行屏蔽;
(6)對網絡進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
(7)實現網絡集中管控,包括對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。
第四,應用安全。針對工業互聯網平臺與工業應用程序至少需要采取身份鑒別和訪問控制技術。
(1)對使用工業互聯網平臺與工業應用程序的用戶身份進行標識和鑒別,身份鑒別信息滿足復雜度要求并定期更換,強制用戶首次登錄時修改初始口令;
(2)工業互聯網平臺及工業應用程序的登錄過程應提供并啟用登錄失敗處理功能,多次登錄失敗后應采取必要的保護措施;
(3)對使用工業互聯網平臺及工業應用程序的用戶分配賬戶及明確相應的訪問操作權限,根據訪問控制策略,對工業互聯網平臺開發者、工業應用程序及其用戶調用工業互聯網平臺開發接口實施訪問控制,并做好用戶管理工作;
(4)對于工業互聯網平臺及工業應用程序需配備數據合規性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合其設定要求;
(5)工業互聯網平臺與工業應用程序能提供安全審計功能,并在工業互聯網平臺及工業應用程序上線前對其安全性進行測試,對可能存在的惡意代碼進行檢測;
(6)確保工業應用程序的供應鏈安全、可靠。
第五,數據安全。工業數據的安全直接關系到工業生產線的穩定,數據的丟失、篡改等都會影響生產線,對工業數據采取的安全措施有:
(1)建立數據安全管理制度,定期備份重要數據;
(2)加密數據,從數據儲存和數據傳輸兩個環節入手,使用加密算法對數據加密,利用VPN等技術實現傳輸加密;
(3)部署數據防泄密系統,對數據的操作行為進行監控審計;
(4)建立數據銷毀機制,明確銷毀方式和銷毀要求;
(5)針對工業互聯網平臺用戶的賬戶信息、鑒別信息、系統信息等要滿足個人信息保護規定。
【案例研究篇】
一、工業互聯網典型安全風險
二、安全防護案例
三、工業互聯網安全防護技術應用(總結)
(1)邊界安全
邊界安全通常是通過在關鍵網絡節點處部署工控防火墻、網閘、網關等安全隔離設備,比如利用防火墻或者在路由器上設置訪問控制列表進行子網間的訪問控制和數據隔離,并且,還可增加用戶身份認證系統和用戶權限管理系統,限制非法的用戶訪問,確保用戶真實性,合法記錄用戶對網絡資源的訪問日志,便于后續審計追溯。
(2)接入控制
1)通過堡壘機等裝置實現網絡的接入管理,包括網絡邊界識別和資產識別、自動識別在線終端、智能識別終端類型等;
2)對入網終端設備進行身份鑒別和合規驗證、展示與交換機端口的映射關系;
3)IP實名制登記和入網終端網絡信息生命周期管理,準確識別違規接入和修改IP、MAC等行為。
(3)安全審計
通常部署安全監測審計系統,很多做工控安全的廠家都有,目的是實現網絡流量監測與告警,采用被動方式從網絡采集數據包,通過解析工控網絡流量、深度分析工控協議、與系統內置的協議特征庫和設備對象進行智能匹配,實現實時流量監測及異常活動告警,實時掌握工控網絡運行狀況,發現潛在的網絡安全問題。通過設定狀態白名單基線,當有未知設備接入網絡或網絡故障時,可觸發實時告警信息。
(4)安全態勢感知
通過采集并存儲網絡環境的資產、運行狀態、漏洞收集、安全配置、日志、流量信息、情報信息等安全相關的數據,利用態勢預測模型分析并計算安全態勢,達到對全局網絡空間的不間斷監控,發現和挖掘網絡中的異常攻擊和威脅事件;部署態勢感知的話選擇大廠的好處是威脅情報渠道廣、自身有依托平臺等。選擇態勢感知的兩個技術指標分別是:
1)具備針對威脅或者攻擊的調查分析及可視化功能,可以對威脅或者攻擊相關的攻擊路徑、攻擊目標、采用的手段和影響范圍進行快速定位,從而可以快速有效地進行自動化的安全決策支持和響應;
2)具備安全預警機制。
當然,并不完全,從第二章的案例中可以看出針對不同的行業,有不同的解決方案,在產品和服務的選擇上是基于自身業務屬性和存在的安全風險來考慮,從而選擇最優,但是,都存在了一些共性的安全問題。
