工業(yè)互聯(lián)網(wǎng)安全研究筆記
工業(yè)互聯(lián)網(wǎng)作為我國打造制造強(qiáng)國的核心手段,也是最近大家談?wù)摵芏嗟?ldquo;新基建”之一。那么,咱們今天要談的工業(yè)互聯(lián)網(wǎng)安全,它的防護(hù)對象有哪些呢?
總的來說,工業(yè)互聯(lián)網(wǎng)安全防護(hù)的對象包括工業(yè)現(xiàn)場設(shè)備、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、工業(yè)應(yīng)用程序及工業(yè)數(shù)據(jù)等,如下圖:
確定了保護(hù)對象后,我們應(yīng)該怎么來部署防護(hù)措施呢。
【理論基礎(chǔ)安全篇】
第一,設(shè)備安全。在使用諸如工業(yè)機(jī)器人、智能儀表、傳感器等現(xiàn)場設(shè)備時,主要的安全考慮是做好鑒權(quán)和控制。安全措施有:
(1)采用鑒別機(jī)制對接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備身份進(jìn)行鑒別,確保數(shù)據(jù)來源于真實(shí)的設(shè)備;
(2)制定安全策略,如訪問控制列表,實(shí)現(xiàn)對接入工業(yè)互聯(lián)網(wǎng)中設(shè)備的訪問控制,并對管理設(shè)備的用戶授予其所需的最小權(quán)限,并實(shí)現(xiàn)對管理設(shè)備的用戶的權(quán)限分離;
(3)對登錄設(shè)備的用戶進(jìn)行身份標(biāo)識和鑒別,身份鑒別信息滿足相應(yīng)的復(fù)雜度要求并定期更換;
(4)對設(shè)備配置登錄失敗處理功能,啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施;
(5)做好設(shè)備的用戶管理工作,如賬戶和權(quán)限的管理、默認(rèn)賬戶的管理、過期賬戶的管理等;
(6)對設(shè)備采取基本的入侵防范措施,如只安裝執(zhí)行任務(wù)所必需的組件和應(yīng)用程序,關(guān)閉設(shè)備中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;
(7)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的終端進(jìn)行限制;
(8)及時修補(bǔ)漏洞;
(9)對設(shè)備進(jìn)行安全審計,審計覆蓋到對設(shè)備進(jìn)行運(yùn)維的每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計,做好審計記錄的管理;
第二,控制安全。對于傳統(tǒng)制造業(yè)來說,為保證整條流水線的協(xié)同生產(chǎn),每個工廠都有著嚴(yán)格的流程控制,這也是為什么控制安全在整個工業(yè)互聯(lián)網(wǎng)中同樣占有重要作用的原因。在控制安全方面,主要對控制軟件和控制協(xié)議采取安全措施:
(1)對登錄控制軟件進(jìn)行操作的用戶進(jìn)行身份標(biāo)識和鑒別,身份鑒別信息滿足相應(yīng)的復(fù)雜度要求并定期更換;
(2)對登錄控制軟件進(jìn)行操作的過程配置登錄失敗處理功能,并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施;
(3)做好控制軟件的用戶管理工作,如賬戶和權(quán)限的管理、默認(rèn)賬戶的管理、過期賬戶的管理等;
(4)對控制軟件啟用安全審計功能,審計記錄符合法律法規(guī)要求;
(5)對控制軟件采取基本的入侵防范措施,如只安裝必需的組件和程序,關(guān)閉設(shè)備中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;
(6)對控制協(xié)議采取完整性保證機(jī)制,確保控制協(xié)議中的各類指令不被非法篡改和破壞;
(7)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進(jìn)行升級和更新防惡意代碼庫;
(8)采取資源控制策略,限制單個用戶或進(jìn)程對系統(tǒng)資源的最大使用限度。
第三,網(wǎng)絡(luò)安全。主要針對工廠內(nèi)部和外部的網(wǎng)絡(luò)及邊界采取安全措施,防止來自外部的入侵:
(1)內(nèi)部網(wǎng)絡(luò)。根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段。以及采用適應(yīng)工廠內(nèi)部網(wǎng)絡(luò)特點(diǎn)的完整性校驗(yàn)機(jī)制,實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù);
(2)外部網(wǎng)絡(luò)。保障數(shù)據(jù)傳輸過程中的保密性和完整性,可采取信道加密技術(shù)或部署加密機(jī)等方式;
(3)網(wǎng)絡(luò)邊界安全。厘清內(nèi)、外網(wǎng)之間的邊界范圍,針對邊界采取安全相適應(yīng)的措施,如在邊界處設(shè)置工控防火墻、網(wǎng)閘、網(wǎng)關(guān)等安全隔離設(shè)備,并在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署入侵防范設(shè)備。
(4)對網(wǎng)絡(luò)通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測,發(fā)生異常進(jìn)行報警;
(5)對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險分析,并對可能遭受無線攻擊的設(shè)備的信息發(fā)出(信息外泄)和進(jìn)入(非法操控)進(jìn)行屏蔽;
(6)對網(wǎng)絡(luò)進(jìn)行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計;
(7)實(shí)現(xiàn)網(wǎng)絡(luò)集中管控,包括對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測。
第四,應(yīng)用安全。針對工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序至少需要采取身份鑒別和訪問控制技術(shù)。
(1)對使用工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序的用戶身份進(jìn)行標(biāo)識和鑒別,身份鑒別信息滿足復(fù)雜度要求并定期更換,強(qiáng)制用戶首次登錄時修改初始口令;
(2)工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的登錄過程應(yīng)提供并啟用登錄失敗處理功能,多次登錄失敗后應(yīng)采取必要的保護(hù)措施;
(3)對使用工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的用戶分配賬戶及明確相應(yīng)的訪問操作權(quán)限,根據(jù)訪問控制策略,對工業(yè)互聯(lián)網(wǎng)平臺開發(fā)者、工業(yè)應(yīng)用程序及其用戶調(diào)用工業(yè)互聯(lián)網(wǎng)平臺開發(fā)接口實(shí)施訪問控制,并做好用戶管理工作;
(4)對于工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序需配備數(shù)據(jù)合規(guī)性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合其設(shè)定要求;
(5)工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序能提供安全審計功能,并在工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序上線前對其安全性進(jìn)行測試,對可能存在的惡意代碼進(jìn)行檢測;
(6)確保工業(yè)應(yīng)用程序的供應(yīng)鏈安全、可靠。
第五,數(shù)據(jù)安全。工業(yè)數(shù)據(jù)的安全直接關(guān)系到工業(yè)生產(chǎn)線的穩(wěn)定,數(shù)據(jù)的丟失、篡改等都會影響生產(chǎn)線,對工業(yè)數(shù)據(jù)采取的安全措施有:
(1)建立數(shù)據(jù)安全管理制度,定期備份重要數(shù)據(jù);
(2)加密數(shù)據(jù),從數(shù)據(jù)儲存和數(shù)據(jù)傳輸兩個環(huán)節(jié)入手,使用加密算法對數(shù)據(jù)加密,利用VPN等技術(shù)實(shí)現(xiàn)傳輸加密;
(3)部署數(shù)據(jù)防泄密系統(tǒng),對數(shù)據(jù)的操作行為進(jìn)行監(jiān)控審計;
(4)建立數(shù)據(jù)銷毀機(jī)制,明確銷毀方式和銷毀要求;
(5)針對工業(yè)互聯(lián)網(wǎng)平臺用戶的賬戶信息、鑒別信息、系統(tǒng)信息等要滿足個人信息保護(hù)規(guī)定。
【案例研究篇】
一、工業(yè)互聯(lián)網(wǎng)典型安全風(fēng)險
二、安全防護(hù)案例
三、工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)應(yīng)用(總結(jié))
(1)邊界安全
邊界安全通常是通過在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署工控防火墻、網(wǎng)閘、網(wǎng)關(guān)等安全隔離設(shè)備,比如利用防火墻或者在路由器上設(shè)置訪問控制列表進(jìn)行子網(wǎng)間的訪問控制和數(shù)據(jù)隔離,并且,還可增加用戶身份認(rèn)證系統(tǒng)和用戶權(quán)限管理系統(tǒng),限制非法的用戶訪問,確保用戶真實(shí)性,合法記錄用戶對網(wǎng)絡(luò)資源的訪問日志,便于后續(xù)審計追溯。
(2)接入控制
1)通過堡壘機(jī)等裝置實(shí)現(xiàn)網(wǎng)絡(luò)的接入管理,包括網(wǎng)絡(luò)邊界識別和資產(chǎn)識別、自動識別在線終端、智能識別終端類型等;
2)對入網(wǎng)終端設(shè)備進(jìn)行身份鑒別和合規(guī)驗(yàn)證、展示與交換機(jī)端口的映射關(guān)系;
3)IP實(shí)名制登記和入網(wǎng)終端網(wǎng)絡(luò)信息生命周期管理,準(zhǔn)確識別違規(guī)接入和修改IP、MAC等行為。
(3)安全審計
通常部署安全監(jiān)測審計系統(tǒng),很多做工控安全的廠家都有,目的是實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)測與告警,采用被動方式從網(wǎng)絡(luò)采集數(shù)據(jù)包,通過解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫和設(shè)備對象進(jìn)行智能匹配,實(shí)現(xiàn)實(shí)時流量監(jiān)測及異常活動告警,實(shí)時掌握工控網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。通過設(shè)定狀態(tài)白名單基線,當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時,可觸發(fā)實(shí)時告警信息。
(4)安全態(tài)勢感知
通過采集并存儲網(wǎng)絡(luò)環(huán)境的資產(chǎn)、運(yùn)行狀態(tài)、漏洞收集、安全配置、日志、流量信息、情報信息等安全相關(guān)的數(shù)據(jù),利用態(tài)勢預(yù)測模型分析并計算安全態(tài)勢,達(dá)到對全局網(wǎng)絡(luò)空間的不間斷監(jiān)控,發(fā)現(xiàn)和挖掘網(wǎng)絡(luò)中的異常攻擊和威脅事件;部署態(tài)勢感知的話選擇大廠的好處是威脅情報渠道廣、自身有依托平臺等。選擇態(tài)勢感知的兩個技術(shù)指標(biāo)分別是:
1)具備針對威脅或者攻擊的調(diào)查分析及可視化功能,可以對威脅或者攻擊相關(guān)的攻擊路徑、攻擊目標(biāo)、采用的手段和影響范圍進(jìn)行快速定位,從而可以快速有效地進(jìn)行自動化的安全決策支持和響應(yīng);
2)具備安全預(yù)警機(jī)制。
當(dāng)然,并不完全,從第二章的案例中可以看出針對不同的行業(yè),有不同的解決方案,在產(chǎn)品和服務(wù)的選擇上是基于自身業(yè)務(wù)屬性和存在的安全風(fēng)險來考慮,從而選擇最優(yōu),但是,都存在了一些共性的安全問題。
