工业互联网作为我国打造制造强国的核心手段,也是最近大家谈论很多的“新基建”之一。那么,咱们今天要谈的工业互联网安全,它的防护对象有哪些呢?
总的来说,工业互联网安全防护的对象包括工业现场设备、工业控制系统、网络基础设施、工业应用程序及工业数据等,如下图:
确定了保护对象后,我们应该怎么来部署防护措施呢。
【理论基础安全篇】
第一,设备安全。在使用诸如工业机器人、智能仪表、传感器等现场设备时,主要的安全考虑是做好鉴权和控制。安全措施有:
(1)采用鉴别机制对接入工业互联网中的设备身份进行鉴别,确保数据来源于真实的设备;
(2)制定安全策略,如访问控制列表,实现对接入工业互联网中设备的访问控制,并对管理设备的用户授予其所需的最小权限,并实现对管理设备的用户的权限分离;
(3)对登录设备的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;
(4)对设备配置登录失败处理功能,启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
(5)做好设备的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;
(6)对设备采取基本的入侵防范措施,如只安装执行任务所必需的组件和应用程序,关闭设备中不需要的系统服务、默认共享和高危端口;
(7)设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制;
(8)及时修补漏洞;
(9)对设备进行安全审计,审计覆盖到对设备进行运维的每个用户,对重要的用户行为和重要安全事件进行审计,做好审计记录的管理;
第二,控制安全。对于传统制造业来说,为保证整条流水线的协同生产,每个工厂都有着严格的流程控制,这也是为什么控制安全在整个工业互联网中同样占有重要作用的原因。在控制安全方面,主要对控制软件和控制协议采取安全措施:
(1)对登录控制软件进行操作的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;
(2)对登录控制软件进行操作的过程配置登录失败处理功能,并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
(3)做好控制软件的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;
(4)对控制软件启用安全审计功能,审计记录符合法律法规要求;
(5)对控制软件采取基本的入侵防范措施,如只安装必需的组件和程序,关闭设备中不需要的系统服务、默认共享和高危端口;
(6)对控制协议采取完整性保证机制,确保控制协议中的各类指令不被非法篡改和破坏;
(7)安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库;
(8)采取资源控制策略,限制单个用户或进程对系统资源的最大使用限度。
第三,网络安全。主要针对工厂内部和外部的网络及边界采取安全措施,防止来自外部的入侵:
(1)内部网络。根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。以及采用适应工厂内部网络特点的完整性校验机制,实现对网络数据传输完整性保护;
(2)外部网络。保障数据传输过程中的保密性和完整性,可采取信道加密技术或部署加密机等方式;
(3)网络边界安全。厘清内、外网之间的边界范围,针对边界采取安全相适应的措施,如在边界处设置工控防火墙、网闸、网关等安全隔离设备,并在关键网络节点处部署入侵防范设备。
(4)对网络通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等进行监测,发生异常进行报警;
(5)对通过无线网络攻击的潜在威胁和可能产生的后果进行风险分析,并对可能遭受无线攻击的设备的信息发出(信息外泄)和进入(非法操控)进行屏蔽;
(6)对网络进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
(7)实现网络集中管控,包括对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
第四,应用安全。针对工业互联网平台与工业应用程序至少需要采取身份鉴别和访问控制技术。
(1)对使用工业互联网平台与工业应用程序的用户身份进行标识和鉴别,身份鉴别信息满足复杂度要求并定期更换,强制用户首次登录时修改初始口令;
(2)工业互联网平台及工业应用程序的登录过程应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
(3)对使用工业互联网平台及工业应用程序的用户分配账户及明确相应的访问操作权限,根据访问控制策略,对工业互联网平台开发者、工业应用程序及其用户调用工业互联网平台开发接口实施访问控制,并做好用户管理工作;
(4)对于工业互联网平台及工业应用程序需配备数据合规性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合其设定要求;
(5)工业互联网平台与工业应用程序能提供安全审计功能,并在工业互联网平台及工业应用程序上线前对其安全性进行测试,对可能存在的恶意代码进行检测;
(6)确保工业应用程序的供应链安全、可靠。
第五,数据安全。工业数据的安全直接关系到工业生产线的稳定,数据的丢失、篡改等都会影响生产线,对工业数据采取的安全措施有:
(1)建立数据安全管理制度,定期备份重要数据;
(2)加密数据,从数据储存和数据传输两个环节入手,使用加密算法对数据加密,利用VPN等技术实现传输加密;
(3)部署数据防泄密系统,对数据的操作行为进行监控审计;
(4)建立数据销毁机制,明确销毁方式和销毁要求;
(5)针对工业互联网平台用户的账户信息、鉴别信息、系统信息等要满足个人信息保护规定。
【案例研究篇】
一、工业互联网典型安全风险
二、安全防护案例
三、工业互联网安全防护技术应用(总结)
(1)边界安全
边界安全通常是通过在关键网络节点处部署工控防火墙、网闸、网关等安全隔离设备,比如利用防火墙或者在路由器上设置访问控制列表进行子网间的访问控制和数据隔离,并且,还可增加用户身份认证系统和用户权限管理系统,限制非法的用户访问,确保用户真实性,合法记录用户对网络资源的访问日志,便于后续审计追溯。
(2)接入控制
1)通过堡垒机等装置实现网络的接入管理,包括网络边界识别和资产识别、自动识别在线终端、智能识别终端类型等;
2)对入网终端设备进行身份鉴别和合规验证、展示与交换机端口的映射关系;
3)IP实名制登记和入网终端网络信息生命周期管理,准确识别违规接入和修改IP、MAC等行为。
(3)安全审计
通常部署安全监测审计系统,很多做工控安全的厂家都有,目的是实现网络流量监测与告警,采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及异常活动告警,实时掌握工控网络运行状况,发现潜在的网络安全问题。通过设定状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。
(4)安全态势感知
通过采集并存储网络环境的资产、运行状态、漏洞收集、安全配置、日志、流量信息、情报信息等安全相关的数据,利用态势预测模型分析并计算安全态势,达到对全局网络空间的不间断监控,发现和挖掘网络中的异常攻击和威胁事件;部署态势感知的话选择大厂的好处是威胁情报渠道广、自身有依托平台等。选择态势感知的两个技术指标分别是:
1)具备针对威胁或者攻击的调查分析及可视化功能,可以对威胁或者攻击相关的攻击路径、攻击目标、采用的手段和影响范围进行快速定位,从而可以快速有效地进行自动化的安全决策支持和响应;
2)具备安全预警机制。
当然,并不完全,从第二章的案例中可以看出针对不同的行业,有不同的解决方案,在产品和服务的选择上是基于自身业务属性和存在的安全风险来考虑,从而选择最优,但是,都存在了一些共性的安全问题。