APP下载

工业互联网安全关键技术研究

2018-02-15

信息通信技术与政策 2018年10期
关键词:工业设备

陈诗洋 中国信息通信研究院安全研究所工程师

姜宇泽 中国信息通信研究院安全研究所工程师

李 艺 中国信息通信研究院安全研究所工程师

1 研究背景

工业互联网安全意义重大,工业互联网的连接打通了工业系统与互联网,构成了从广度到深度前所未有的国家关键信息基础设施,网络安全与工业安全风险交织,挑战空前复杂。应对不当,互联网安全风险将快速渗透到制造、能源、交通等关键领域,影响产业安全、经济安全乃至国家总体安全。

当前工业互联网安全形势严峻,工业安全事件频发。2015年乌克兰电力公司遭到黑客攻击,导致大规模停电;2016年美国域名系统受到DDoS攻击,导致大面积断网;2017年美国水务公司遭受黑客入侵,大量用户信息泄露;2017年的“魔窟”勒索病毒利用美国家安全局被泄露安全漏洞“永恒之蓝”肆虐全球事件,感染全球百余个国家和地区,直接威胁重要领域内网、隔离网络主机和数据安全,给全球网络空间安全带来严重威胁。因此,加强工业互联网安全关键技术研究,推进工业互联网安全技术发展已经刻不容缓。

2 工业互联网安全风险分析

工业互联网打破传统工业相对封闭可信的制造环境,传统互联网安全威胁向工业领域融合渗透,当前工业互联网“内忧外患”,外部安全威胁及内生安全风险并存,安全形势严峻。

2.1 互联互通导致网络攻击路径增多

传统工厂网络环境相对封闭可信,通过与外部网络隔离实现安全防护,基本不具备防范网络攻击的能力。随着工业领域网络化、智能化的推进,工厂内部网络与互联网逐步打通,传统互联网病毒、木马、高级持续性攻击等网络风险向工厂内蔓延,一旦某个环节被突破,全网将处于易受攻击的高风险状态。

2.2 标识解析系统网络安全风险严峻

工业互联网在逐步实现IT、OT融合的同时,传统信息安全风险与工业安全风险交织渗透产生新风险,工业互联网标识解析系统、平台、数据、设备均面临安全威胁。标识解析系统安全风险严峻。需考虑实际运行中与DNS系统的互联互通、整体架构的安全。面临DDOS、缓存感染、系统劫持等网络攻击,需在设计阶段同步部署相关防护措施。

2.3 工业互联网平台网络安全风险加剧

工业互联网平台涉及设计协同、供应链协同、制造协同、服务协同、用户全流程参与以及产品服务延伸等方面。工业互联网平台面临木马病毒感染、拒绝服务攻击、有组织有针对性的网络攻击(APT)等安全威胁,将危害生产运行,甚至导致生产事故,从而威胁人身和国家安全。工业互联网平台承载着大量重要的工业数据,极易被窃取篡改,造成国家重要数据资源的流失;其也是高端制造生态的重要竞争力,生产“决策控制”中枢,承载重要资源,我国平台难以与跨国寡头抗衡,安全可控面临严峻挑战。

2.4 工业互联网面临严峻的数据泄露风险

工厂数据由少量、单一、单向向大量、多维、双向转变,具体表现为工业互联网数据体量大、种类多、结构复杂,并在IT和OT层、工厂内外双向流动共享。这将带来新的安全风险:数据泄露风险增大,生产数据从OT渗透到IT,从厂内流向厂外;数据保护难度增大,体量大、种类多、保护需求不同、流动方向和路径复杂;大数据分析催生价值保护需求,生产数据价值低便于为大数据分析产生价值,如从生产数据推断出工艺、导弹射程等敏感信息;用户隐私数据泄露风险,工厂外个性化定制、服务化转型涉及大量用户隐私数据。

2.5 智能设备安全隐患突出

工业互联网装备由机械化向高度智能化改变,产生了嵌入式操作系统、微处理器和应用软件的新模式,将带来以下安全风险:攻击直达设备,由控制系统向智能设备蔓延;攻击范围扩大;扩散速度增加;漏洞影响扩大,由特定型号设备向海量通用设备转变。

3 工业互联网安全关键技术发展现状

针对工业互联网的安全防护,国外已进行了较多的研究与探索,主要分为设备安全防护、网络安全防护、控制系统安全防护、平台安全防护、数据安全防护5个方面。

3.1 设备安全防护

针对工业互联网中接入的各类现场设备或物联终端的安全防护,主要是通过操作系统加固、签发证书等方式进行,以实现对于工业互联网设备的强身份认证,从芯片层面实现设备身份的真实可信。赛门铁克公司针对设备安全防护,提出了两款解决方案,分别为Critical System Protection及Symantec Device Certificate Service。Critical System Protection作为一款轻量型安全防护客户端,为物联网设备嵌入式系统生产商和资产所有人提供了无特征、基于主机的强大安全防护,可用于托管场景和非托管场景,且不影响设备性能。而Symantec Device Certificate Service则是一款基于椭圆曲线加密技术(ECC)实现的公共密钥基础设施(PKI)的解决方案。目前已经向全球联网设备颁发了10亿多个证书,覆盖领域包括智能仪表、电缆箱、调制解调器及机车等。

3.2 控制系统安全防护

由于工业互联网中的控制系统与传统的信息系统之间存在着较大差异,因而其对系统行为的审计也有着不同的需求。在部署上,对于工业互联网中控制系统的审计需要采取镜像监听的方式,并保证监听网卡不能主动外发数据包,有些大型的系统在横向上会有多个区域,这就需要相关的审计技术与产品能够支持分布式部署。控制系统的安全,要求做到对整个控制系统中操作行为的可知可控,这就要求针对控制系统的行为审计技术能够对所有流量进行全面分析处理,对于无法确定为正常的操作行为的内容均应视为异常行为,即可能存在潜在的风险。实现对异常/攻击行为的溯源分析(事后),及时发现网络中的异常行为并告警(事中)。

控制系统的行为审计技术经历了从网络层行为审计到应用层行为审计的发展过程。由于控制系统中的通信内容相对简单,一个完整的操作流程基本上能够覆盖各类通信行为,而且通信内容上不会变幻不定。另外,控制系统中所采用的通讯协议通常都是明文方式。再加上控制系统安全对稳定可靠、可知可控的需求,使得白名单规则匹配技术成为控制系统行为审计技术的主流。

3.3 网络安全防护

目前在网络安全防护方面,主要是采取纵深防御策略,遵循区域划分、边界隔离、链路防护、通信管控的原则,对工业互联网网络进行有针对性的安全防护。

一是区域划分。按照业务不同划分安全区域,一般会将网络划分为管理信息层、现场控制层、现场设备层3个层面。其中,管理信息层主要用于日常办公以及对从现场控制层汇总提交的业务数据进行分析与管理等。现场控制层主要用于对现场设备运行过程中产生的数据进行收集,并对现场设备的运行状态进行监控。现场设备层主要接入各类生产设备,通过硬接线或串口总线等方式与现场控制层中的智能控制设备进行连接。二是边界隔离。加入防火墙、单向传输等装置实现对网络边界的隔离防护。一般在管理信息层通往互联网的出口处部署防火墙,只允许符合规则的网络流量通过该防火墙进出企业网络。针对管理信息层只对现场控制层汇总提交的业务数据进行分析与管理,而不对现场控制层设备进行操作的特点,在管理信息层与现场控制层之间部署单向数据传输装置,只允许从现场控制层流向管理信息层的数据通过,从而阻断攻击者通过管理信息层向现场控制层进行渗透的可能性。三是链路防护。构建VPN等安全传输通道,实现对链路传输数据的安全防护。在该企业网络中,对于现场控制层通往管理信息层,以及管理信息层设备之间的数据链路,可通过加密的方式对链路上传输的数据进行保护。另外,对于需要通过远程方式接入管理信息层网络的情况,在管理信息层中设置远程接入服务器,运维人员通过VPN通道接入企业网络中。四是通信管控。基于协议深度解析技术,实现对通信内容的全面管控。通过协议深度解析技术,对企业网络内部传输的数据进行实时监控,及时发现网络中出现的异常行为并采取适当措施进行处置。

3.4 平台安全防护

典型的工业互联网平台包括SaaS层、PaaS层和IaaS层。其中,SaaS层主要用于为用户提供各类工业互联网应用,如实时监控、资产管理、生产运行、能源管理、物流管理等。PaaS层主要用于为平台应用开发者提供各类开发工具套件,并提供数据分析能力。IaaS层主要用于提供整个平台运行所需的各类物理及虚拟资源,包括服务器、存储、网络、虚拟化等。应结合工业互联网平台架构,对于平台中各层次应采取相应的安全防护措施,综合运用硬件加固、网络隔离、代码审计、数据保护、身份验证、访问控制、行为管控、风险追踪等技术,从整体上提升平台安全防护能力。

在SaaS层,当前主要采取身份验证与访问控制技术,对于使用平台中各类应用的用户身份进行甄别,并对其可以访问的资源进行严格控制。在PaaS层,则需要采取代码安全评估技术,在平台应用上线前对其代码的安全性进行评估,及时发现应用在代码层面可能出现的安全隐患。在IaaS层,主要是通过对各类基础设施资源进行安全加固的方式提高其安全性。例如对于硬件设备,可通过在其中加入安全芯片,确保硬件设备在启动时的初始硬件环境真实可信;对于操作系统,可通过关闭不必要的服务的形式,降低攻击者利用系统服务漏洞对系统进行攻击的可能性。

3.5 数据安全防护

在工业互联网数据的安全防护方面,目前主要基于数据加密与数据流向审计技术,实现覆盖业务数据全生命周期的安全防护与追溯。以西门子为例,考虑到数据安全许可与加密,西门子与Identify3D(ID3D)建立了战略伙伴关系。ID3D将确保数字化生产流程安全和可追溯性的解决方案集成于西门子的Sinumerik和PLM(产品生命周期管理)的产品组合。通过与Identify3D开展合作,西门子已经实现利用端到端安全解决方案保护贯穿价值链各环节的所有流程数据的完整性。西门子与Indentify3D已在2017年9月举行的德国汉诺威欧洲机床展(EMO)上展示了该软件集成。通过将这些全新解决方案集成于西门子的产品组合,客户将能够对其知识产权进行保护,根据分别定义的参数生产产品,并全面跟踪生产部件。

4 工业互联网安全关键技术趋势分析

4.1 态势感知将成为保障工业互联网安全的重要技术手段

鉴于工业互联网对于国民生产及社会稳定的重要意义,对于工业互联网的安全防护,必须做到在安全威胁对其正常运行造成实质性影响之前及时发现并妥善处置,这就要求今后的工业互联网需要具备完备的安全态势感知机制。在具体建设过程中,可借助工业互联网的大数据分析能力以及边缘计算能力,基于协议深度解析技术以及事件关联分析技术,分析工业互联网当前运行状态并预判未来安全走势,实现对工业互联网安全的全局掌控,并在出现安全威胁时通过网络中各类设备的协同联动机制及时进行抑制,阻止安全威胁的继续蔓延。

4.2 内生安全防御成为未来工业互联网安全防护大趋势

目前在工业互联网,尤其是控制系统、现场设备及其之间所采用的通信协议,由于最初主要考虑功能实现及实时性保证,对于安全性方面的设计做出了较多牺牲,从而给攻击者以可乘之机。对于工业互联网,应当更加注重提升工业互联网自身在安全设计方面的完备性,提高工业互联网自身的免疫力。随着网络带宽与处理性能的不断提升,为更多安全机制今后引入工业互联网的安全防护提供了可能。在今后的安全设计中,在设备层面,可以通过对设备芯片与操作系统进行安全加固,并对设备配置进行优化的方式实现;在对应用程序的脆弱性分析方面,可通过引入漏洞挖掘技术,对于上述工业互联网应用及控制系统采取静态挖掘、动态挖掘,或是二者相结合的方式进行,实现对自身隐患的常态化排查;而对于安全保障机制欠缺的各类通信协议,则可以在新版本协议中加入数据加密、身份验证、访问控制、完整性验证等机制提升其安全性,并逐步取代现有协议。

猜你喜欢

工业设备
谐响应分析在设备减振中的应用
夹送辊抛光机在热轧设备上的应用
谁将成为工业互联网的“BAT”?
工业互联网,在路上
基于MPU6050简单控制设备
工业人
Thync穿戴设备:可以换心情
掌握4大工业元素,一秒变工业风!
视听设备行情
上半年工业经济平稳运行