APP下载

工业物联网终端安全解决方案研究与设计

2023-03-06王运付姜元山张光伟陈德进

物联网技术 2023年2期
关键词:数据流开源漏洞

刘 霞,王运付,姜元山,张光伟,陈德进

(中讯邮电咨询设计院有限公司,北京 100048)

0 引 言

2016年,十万个摄像头由于越权漏洞或默认用户名和口令组成,感染“Mirai病毒”,造成美国大范围网络瘫痪。由于物联网设备数量多、分布广、生命周期长、人机交互少、安全防护弱,成为安全攻击的重要目标,安全事件频发。自2018年起,英、日、美等国开始全面加强物联网安全管理[1]。

2019年,全国信息安全标准化技术委员会2019年第二次工作组“会议周”上,《物联网安全标准化白皮书(2019版)》正式发布[2],明确了物联网安全标准化需求、体系、建议等。

2022年1月12日,国务院印发《“十四五”数字经济发展规划》,重点优化升级数字基础设施,加快推动数字产业化升级,推进5G规模化应用,建设安全可控的智能化综合性数字信息基础设施。各省份发布相关规划,一再强调网络安全的重要性。在5G应用重点行业,如工业互联网、智慧城市、生态环保等领域,均离不开物联网终端设备。当前网络安全已作为重点工作被提及,被大量使用的物联网终端网络安全问题必须受到关注,提出并应用合理的解决方案,避免使物联网终端成为网络安全大环境下的薄弱环节。工业物联网终端作为行业物联网一个重要的应用方向,在终端安全问题上,必须在产品诞生之初就把安全分析、设计、实现提升到匹配的高度。

1 工业物联网安全威胁现状

工业物联网设备当前主要应用于天然气、石油、采矿、电力、医疗、制造等垂直行业,设备类型包括视觉设备、工业互联网网关等,一旦出现故障,可能导致生命财产安全或高风险[3]。

图1所示是工业物联网设备的上下游组网架构。其特点是,下游互联各种工业设备,如摄像头、RTU等。上游通过4G/5G/卫星等无线空口通信方式,连接到部署于网络侧或企业内网的管理平台及业务平台。

图1 工业物联网设备组网架构

当前据中国国家信息安全漏洞共享平台统计数据显示,工业物联网设备主要涉及的网络安全问题如下:

(1)安全漏洞数量剧烈上升;

(2)拒绝服务攻击;

(3)信息泄露;

(4)未授权访问。

2 关键安全问题消减措施

工业物联网产品作为工业互联网领域重点使用的产品,需要自研发之初便重点分析已知各类安全问题的原因,并提供合适的安全风险消减方案。

2.1 安全漏洞消减措施

当前的工业物联网终端产品,从系统运行的操作系统、网络协议栈到上层应用程序,大量使用三方软件,且主要是引入使用状态。基于该前提,工业物联网可能涉及的三方软件的安全漏洞主要有3种来源:

(1)选用不活跃的开源软件;

(2)三方(或称为供应链)安全漏洞;

(3)不及时的漏洞跟踪修复。

针对(1)类漏洞来源,产品在设计之初,首先需要结合业务功能及重要程度,对开源引入进行备选评估。在开源引入过程中,首先考虑开源社区成熟度,强烈建议社区成熟度至少处于协作期[4]。典型如行业知名社区Linux、Apache、OpenStack等,处于流行期,优先使用。若非知名社区,则对开源软件社区成熟度进行评估,典型评估维度包括:至少近一年内用户持续增长情况、活跃开发者增长情况、阶段性软件发布情况、Bugfix情况等。针对重要功能使用开源软件,强烈建议:如自研代码,了解代码架构、参与社区的开发及维护活动,以有利于驱动开源软件技术走向,保证业务功能行业竞争力。

针对(2)类漏洞,典型如2020年“SUNBURST”事件,网络管理软件供应商SolarWinds Orion软件更新包被黑客植入后门,导致该软件的使用客户遭到网络攻击。在工业物联网产品中,不可避免使用三方软件。针对该类问题,业界暂无成熟的工程化手段,建议结合三方软件的重要性,对供应商的研发流程成熟度、网络安全成熟度等进行评估[5]。

针对(3)类漏洞,强烈建议:在研发阶段,借助安全漏洞扫描工具(如Nessus、OpenVAS等)进行漏洞扫描,在研发出口修复业界已知的漏洞。运行部署后,相对于云化产品,工业物联网终端大部分分散部署于客户环境,不利于现网漏洞扫描。在此场景下,需要客户或产品供应商进行三方软件清单维护,持续追踪软件漏洞情况,及时规划漏洞修复及版本上线,尽可能减少漏洞线上暴露时间。

2.2 拒绝服务攻击消减措施

拒绝服务攻击主要是如下2种:

(1)常见的DOS攻击;

(2)DDOS攻击。

在工业物联网解决方案部署中,终端处于运营商网络(如4G/5G核心网、卫星接入网)下游。虽然网络侧已经部署了防火墙等安全措施,终端侧依然需要具备基本的内生防护能力[6-9]。

针对(1)类拒绝服务攻击,典型的有“死亡之ping”“teardrop 攻击”“UDP 洪水”“SYN 洪水”“Land 攻击”“Smurf攻击”“Fraggle攻击”等。作为工业物联网终端,业界常使用嵌入式Linux系统,在Linux系统下,需要对操作系统做合适的开关配置、结合系统的CPU能力配置合适的iptables规则,即可实现基本的终端侧防护,防止从网络侧或LAN发起该类攻击。工业物联网终端除涉及常见DOS攻击外,还涉及无线局域网的DOS攻击,典型如WLAN接入。由于物联网终端作为AP设备,接入的STA设备数量有限。恶意攻击者可以伪造STA持续进行接入请求,从而导致AP的可用接入数耗尽,导致合法STA无法接入。针对这类情况,建议对工业物联网终端的接入机制进行加固,实现基于MAC地址的防暴力机制。

针对(2)类拒绝服务攻击,主要是针对服务器侧的攻击。对终端侧而言,建议在产品研发阶段对产品的监听端口进行端口扫描(典型使用工具Nmap),关闭业务不必要的端口监听,减少系统的攻击面。

2.3 信息泄露消减措施

工业物联网终端产品从产品特点看,主要涉及如下信息,对信息类型及其用途、泄露影响的分析见表1所列。

表1 工业物联网终端信息类型及用途、泄露影响分析

从表1的分析结果来看,密钥类、口令类是工业物联网终端的关键信息,一旦泄露,将可能造成重大安全影响。针对这类安全风险,建议的安全消减措施如下。

(1)对密钥进行安全管理

对于高安全级别的设备,实现基于TEE的密钥管理方案[10],对系统使用的业务类“密钥”,使用TEE中的安全密钥进行安全保护。避免在非安全系统中可以获取密钥类的明文,防止密钥信息泄露。

对于一般安全级别的设备,使用图2所示的密钥分层管理机制实现本地化密钥安全管理。“密钥保护密钥”的材料分散存储,至少一份编码于代码中,剩余部分以文件形式保存在文件系统中,文件名随机化,密钥材料通过异或等操作恢复后,使用不可逆加密算法(如PBKDF2)导出。对不同的业务场景使用不同的工作密钥,工作密钥使用安全的随机数(在Linux系统下,可以选择使用/dev/random)生成,密钥长度至少32个字节。使用“密钥保护密钥”保护“工作密钥”,“工作密钥”用于关键信息数据(如私钥、口令等)的保护。

图2 密钥分层管理机制

(2)对口令进行安全加密

对于口令,在可以使用不可逆加密保存的场景(如近端Web管理登录)使用不可逆加密算法(如PBKDF2)。在必须使用可逆加密保存的场景,使用可逆加密算法(如AESCBC-128等)进行加密保存。口令加密使用的密钥即“工作密钥”,通过密钥安全管理进行保管。

2.4 未授权的访问消减措施

针对工业物联网终端访问安全风险的全量识别,推荐使用STRIDE分析方法。结合产品的部署场景及业务特点,可以识别终端的所有外部交互方及交互数据流。当前分析识别的典型数据流图如图3所示。

图3 工业物联网终端典型数据流图

从图3可知,工业物联网终端主要有3类数据流,针对每类数据流的说明及消减措施见表2所列。

表2 针对每类数据流的说明及消减措施

3 结 语

本文主要结合工业物联网终端的典型安全问题,提出针对性的消减措施。以便在产品交付过程中,在传统安全设计及研发的基础上,进行有针对性增强,在设计前端以及在产品全生命周期中持续关注安全风险,不断制定消减措施,以助力行业的数字化产业升级[10]。

猜你喜欢

数据流开源漏洞
漏洞
五毛钱能买多少头牛
一种提高TCP与UDP数据流公平性的拥塞控制机制
三明:“两票制”堵住加价漏洞
大家说:开源、人工智能及创新
开源中国开源世界高峰论坛圆桌会议纵论开源与互联网+创新2.0
基于数据流聚类的多目标跟踪算法
开源计算机辅助翻译工具研究
高铁急救应补齐三漏洞
北医三院 数据流疏通就诊量