15

工业互联网安全研究笔记

 4 years ago
source link: https://www.freebuf.com/articles/ics-articles/231508.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

工业互联网作为我国打造制造强国的核心手段,也是最近大家谈论很多的“新基建”之一。那么,咱们今天要谈的工业互联网安全,它的防护对象有哪些呢?

nIrIriY.jpg!web

总的来说,工业互联网安全防护的对象包括 工业现场设备、工业控制系统、网络基础设施、工业应用程序工业数据 等,如下图:

eYjUJvz.jpg!web

确定了保护对象后,我们应该怎么来部署防护措施呢。

【理论基础安全篇】

第一,设备安全。在使用诸如工业机器人、智能仪表、传感器等现场设备时,主要的安全考虑是 做好鉴权和控制 。安全措施有:

(1)采用鉴别机制对接入工业互联网中的设备身份进行鉴别,确保数据来源于真实的设备;

(2)制定安全策略,如访问控制列表,实现对接入工业互联网中设备的访问控制,并对管理设备的用户授予其所需的最小权限,并实现对管理设备的用户的权限分离;

(3)对登录设备的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;

(4)对设备配置登录失败处理功能,启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

(5)做好设备的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;

(6)对设备采取基本的入侵防范措施,如只安装执行任务所必需的组件和应用程序,关闭设备中不需要的系统服务、默认共享和高危端口;

(7)设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制;

(8)及时修补漏洞;

(9)对设备进行安全审计,审计覆盖到对设备进行运维的每个用户,对重要的用户行为和重要安全事件进行审计,做好审计记录的管理;

第二,控制安全。对于传统制造业来说,为保证整条流水线的协同生产,每个工厂都有着严格的流程控制,这也是为什么控制安全在整个工业互联网中同样占有重要作用的原因。在控制安全方面,主要对控制软件和控制协议采取安全措施:

(1)对登录控制软件进行操作的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;

(2)对登录控制软件进行操作的过程配置登录失败处理功能,并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

(3)做好控制软件的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;

(4)对控制软件启用安全审计功能,审计记录符合法律法规要求;

(5)对控制软件采取基本的入侵防范措施,如只安装必需的组件和程序,关闭设备中不需要的系统服务、默认共享和高危端口;

(6)对控制协议采取完整性保证机制,确保控制协议中的各类指令不被非法篡改和破坏;

(7)安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库;

(8)采取资源控制策略,限制单个用户或进程对系统资源的最大使用限度。

第三,网络安全。主要针对工厂内部和外部的网络及边界采取安全措施,防止来自外部的入侵:

(1)内部网络。根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。以及采用适应工厂内部网络特点的完整性校验机制,实现对网络数据传输完整性保护;

(2)外部网络。保障数据传输过程中的保密性和完整性,可采取信道加密技术或部署加密机等方式;

(3)网络边界安全。厘清内、外网之间的边界范围,针对边界采取安全相适应的措施,如在边界处设置工控防火墙、网闸、网关等安全隔离设备,并在关键网络节点处部署入侵防范设备。

(4)对网络通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等进行监测,发生异常进行报警;

(5)对通过无线网络攻击的潜在威胁和可能产生的后果进行风险分析,并对可能遭受无线攻击的设备的信息发出(信息外泄)和进入(非法操控)进行屏蔽;

(6)对网络进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

(7)实现网络集中管控,包括对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

第四,应用安全。针对工业互联网平台与工业应用程序至少需要采取身份鉴别和访问控制技术。

(1)对使用工业互联网平台与工业应用程序的用户身份进行标识和鉴别,身份鉴别信息满足复杂度要求并定期更换,强制用户首次登录时修改初始口令;

(2)工业互联网平台及工业应用程序的登录过程应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;

(3)对使用工业互联网平台及工业应用程序的用户分配账户及明确相应的访问操作权限,根据访问控制策略,对工业互联网平台开发者、工业应用程序及其用户调用工业互联网平台开发接口实施访问控制,并做好用户管理工作;

(4)对于工业互联网平台及工业应用程序需配备数据合规性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合其设定要求;

(5)工业互联网平台与工业应用程序能提供安全审计功能,并在工业互联网平台及工业应用程序上线前对其安全性进行测试,对可能存在的恶意代码进行检测;

(6)确保工业应用程序的供应链安全、可靠。

第五,数据安全。工业数据的安全直接关系到工业生产线的稳定,数据的丢失、篡改等都会影响生产线,对工业数据采取的安全措施有:

(1)建立数据安全管理制度,定期备份重要数据;

(2)加密数据,从数据储存和数据传输两个环节入手,使用加密算法对数据加密,利用VPN等技术实现传输加密;

(3)部署数据防泄密系统,对数据的操作行为进行监控审计;

(4)建立数据销毁机制,明确销毁方式和销毁要求;

(5)针对工业互联网平台用户的账户信息、鉴别信息、系统信息等要满足个人信息保护规定。

【案例研究篇】

一、工业互联网典型安全风险

安全风险 描述 系统漏洞 工控设备的操作系统较为老旧,且升级更新周期长,众多工控系统存在漏洞,易被恶意病毒或代码感染。 设备安全风险 随着工业互联网的发展,越来越多的机 械设备进行数字化、信息化、网络化改造,但同时,安全防护建设速度落后于数字化信息化建设速度,导致越来越多的机械设备暴露于互联网中。 控制安全风险 工业企业办公网络边界防护不严,且普遍存在安全漏洞,容易被黑客利用作为跳板渗透工业系统控制层。 数据安全风险 目前数据接口、数据格式标准不一导 致数据采集难度加大。且工业互联网的数据体量大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。

二、安全防护案例

行业 问题 解决方案 实施方 01.轨道交通 对象: 高铁信号系统网管子系统 安全问题:
(1)操作人员违规使用移动存储设备; 
(2)系统组件的供应链污染。  工具: 工业信息安全检查评估工具箱、工业临检 U 盘; 
部署产品: 360主机安全防护软件、360 工业安全管理系统  360企业安全

fuyqa2B.jpg!web

行业 问题 解决方案 实施方 02.电力行业 对象: 某电厂生产控制系统
安全问题:
(1)网络边界防护薄弱;
(2)监控大区病毒防护手段不足;
(3)管理终端(如服务器、工程师站、操作员站等)存在移动介质、串口设备、并口设备等外设滥用和主机安全策略配置级别较低的情况;
(4)安全审计不完善。 部署产品: 工业防火墙、工控安全监测与审计系统、入侵检测设备、主机加固系统、安全运维管理系统、统一安全管理平台 威努特

7nAZfib.jpg!web

行业 问题 解决方案 实施方 03.石化油气 对象: 石化油气工业互联网 
安全问题:
(1)如何确保设备安全,减少产量损失,提高设备生产时率和作业效率; 
(2)如何提高 HSE 安全管理水平,实现地上地下一体化实时安全监控; 
(3)如何实现生产自动化大规模覆盖,形成规模效益,同时应用智能化,实现自动预警,准确预测,减少安全损失。

方案:

1)

石化油气工业互联网安全云平台,基于腾讯云的网络安全能力,将石油化工设备全程接入,包括不同类型设备和海量传感器。组成“消息队列+数据库+大数据安全平台+数据安全”“公有云IaaS+BGP 网络+专有云+网络安全”的系统安全措施,实施完成故障检测、预测性安全运维、远程安全维护等工作; 2 建立移动 HSE管理体系  。 腾讯

N73Y7ji.jpg!web

行业 问题 解决方案 实施方 04.水务行业 对象: 城市污水处理厂控制系统 安全问题:
(1)缺乏边界访问控制,且受到攻击后无法追踪溯源;(2)数据通信无加密认证机制,系统维护、组态操作缺乏认证、完整性、审计方面的控制,容易遭受 DoS、IP-Spoofing 等攻击; 
(3)工控系统中存在各种安全漏洞,且大部分漏洞不能及时修复;(4)控制系统普遍存在着未设置口令、默认口令、弱口令、共享口令等问题; 
(5)缺乏日志审计手段。 部署产品: 边界防护网关、白名单主机安全卫士、安全监控审计系统、工控漏洞管理系统、统一安全管理平台、工业防火墙   电子六所

vQzqIj6.jpg!web

行业 问题 解决方案 实施方 05.发动机制造 对象: 工厂改造,组建工业专网 
安全问题:
(1)无法保证生产运营数据的安全存储和防止关键数据外泄; 
(2)缺乏组建安全的混合云网络的手段;(3)缺乏统一的管理平台对网络节点进行集中管控。 部署: 基于 SDN/NFV 技术的 SD-WAN 网络(包括集中管理平台与安全网关)   中移动政企分公司

3MrIZfu.jpg!web

三、工业互联网安全防护技术应用(总结)

(1)边界安全

边界安全通常是通过在关键网络节点处部署工控防火墙、网闸、网关等安全隔离设备,比如利用防火墙或者在路由器上设置访问控制列表进行子网间的访问控制和数据隔离,并且,还可增加用户身份认证系统和用户权限管理系统,限制非法的用户访问,确保用户真实性,合法记录用户对网络资源的访问日志,便于后续审计追溯。

(2)接入控制

1)通过堡垒机等装置实现网络的接入管理,包括网络边界识别和资产识别、自动识别在线终端、智能识别终端类型等;

2)对入网终端设备进行身份鉴别和合规验证、展示与交换机端口的映射关系;

3)IP实名制登记和入网终端网络信息生命周期管理,准确识别违规接入和修改IP、MAC等行为。

3 )安全审计

通常部署安全监测审计系统,很多做工控安全的厂家都有,目的是实现网络流量监测与告警,采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及异常活动告警,实时掌握工控网络运行状况,发现潜在的网络安全问题。通过设定状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。

4 )安全态势感知

通过采集并存储网络环境的资产、运行状态、漏洞收集、安全配置、日志、流量信息、情报信息等安全相关的数据,利用态势预测模型分析并计算安全态势,达到对全局网络空间的不间断监控,发现和挖掘网络中的异常攻击和威胁事件;部署态势感知的话选择大厂的好处是威胁情报渠道广、自身有依托平台等。选择态势感知的两个技术指标分别是:

 1)具备针对威胁或者攻击的调查分析及可视化功能,可以对威胁或者攻击相关的攻击路径、攻击目标、采用的手段和影响范围进行快速定位,从而可以快速有效地进行自动化的安全决策支持和响应;
 2)具备安全预警机制。

当然,并不完全,从第二章的案例中可以看出针对不同的行业,有不同的解决方案,在产品和服务的选择上是基于自身业务属性和存在的安全风险来考虑,从而选择最优,但是,都存在了一些共性的安全问题。

*本文作者:xxx幸xxx,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK