摘要:深入实施工业互联网创新发展战略对加速我国产业数字化转型、抢占国际竞争制高点意义重大。网络体系是工业互联网的基础,网络体系的安全是核心保障,从防护对象、防护措施、防护管理等视角出发,通过对网络体系安全的总体研究,提出了相关安全建议,以期通过对工业互联网网络安全的研究,保障工业实体经济安全快速发展。
随着数字时代全面到来,网络作为工业互联网互联支撑的基础地位逐渐凸显,工业界的物理边界和网络边界被完全打破,工业互联网的网络安全防护变得脆弱、易受攻击。工业互联网通过网络将物理实体和虚拟组件连接在一起,无处不在地为工业制造系统提供资源、数据和知识,同时网络安全的重要性也上升到前所未有的高度,成为工业互联网领域的新兴热点。
1 国内外工业互联网网络安全现状
1.1 工业互联网安全问题频发
2021年2月,黑客试图通过控制工控网络,将美国佛罗里达州水处理系统的氢氧化钠浓度提高100倍。2021年4月,以色列摩萨德针对伊朗纳坦兹核设施的工业配电系统进行网络攻击,导致核设施断电。2021年4月,勒索软件团伙成功加密了某欧洲制造商的工业流程控制服务器,最终导致两处生产工厂被迫关停。
1.2 国内研究概况
随着工业互联网国家战略的推进,国内对工业互联网网络安全的研究百花齐放,中国工业互联研究院、工业互联网产业联盟、信通院等牵头了工业互联网相关课题。同时中国通信标准化协会设立了“工业互联网特设任务组”,致力于国内工业互联网安全标准体系建设,围绕工业互联网网络安全发布了T11/AII 004—2018《工业互联网安全防护总体要求》、GB/T 35673—2017《工业通信网络网络和系统安全系统安全要求和安全等级》、GB/T 33007—2016《工业通信网络网络和系统安全建立工业自动化和控制系统信息安全程序》等多个标准。
1.3 国外研究概况
国外权威研究机构美国工业互联网联盟 (Industrial Internet Consortium,IIC)发布工业互联网参考架构(Industrial Internet Reference Architecture,IIRA),其中的工业互联网网参考架构在目前世界范围内影响力较大。同时美欧等成立了美国网络安全和基础设施安全局 (Cybersecurity and Infrastucture Security Agency, CISA)、欧盟网络与信息安全局(European Network and Information Security Agency, ENISA),全面负责网络和基础设施的安全,并将工业互联网安全列为优先事项。其中CISA、 ENISA、能源部等政府机构非常重视工业、能源等领域的信息安全保障建设。
2 工业互联网网络安全突出问题
工业互联网网络一般由组织内外网构成,如图1所示,内网包括办公网、控制网、现场生产网、管理网和专用网;外网包括无线网、移动网、互联网和骨干网。工业互联网网络的具体组成主要包括设备、服务等,如工业通信网关、通信模组、交换机、光纤接入等设备,工业无线、工业专线、深度覆盖、标识解析等服务。网络安全侧主要涉及网关隔离、访问控制、工业防火墙和安全态势感知系统。
工业互联网网络体系将连接对象延伸到工业全系统、全产业链、全价值链,打通“人、机、料、法、环”等全要素,实现设计、研发、生产、管理、服务等深度互联,促进了端到端网络、5G+、边缘计算等关键技术与工业互联网的融合应用。
2.1 工业互联网网络易受攻击性
互联互通性是释放工业互联网全部潜在价值的关键所在,但却系统性地增加了网络攻击面。当工业互联网中的装置、设备、系统等全面连接广域分布的公司网络甚至互联网时,攻击者将可以从多个角度实施网络攻击,攻击来源可以来自外部或内部。安全通信、安全网络监控、安全数据和现场设备级别的安全代码执行等信息安全技术机制是必不可少的,而不是可选择的。工业互联网的信息安全问题将更加复杂多样,大规模网络连接因素(如工业云、工业大数据、供应链等)产生的影响将占有重要地位,工业控制设备、系统等生产要素将与网络泛在化和持久化连接,而跨范围的网络连接将为攻击者提供入侵破坏重要工业生产过程的多种可能性和可行性。
2.2 工业互联网网络架构脆弱性
工业互联网网络脆弱性可能由网络配置、硬件、边界监控、通信验证或无线网络连接引起,包括:设计不合理的网络架构,没有足够的信息安全防护措施;未存储网络详细配置文件或缺少备份,在无线网络边界接入点位置缺少身份认证机制或身份认证不完善,对网络密码的错误管理措施;没有定义明确的网络安全边界,防火墙缺失或配置不当,导致网络控制设置不足以满足系统的安全防护要求;未配置网络流量监控技术措施,特别是未使用加密机制的标准协议,如远程终端协议(Telnet)或文件交换协议(File Exchange Protocol,FTP);未部署完整性检查(网络中存在未经授权的设备)技术机制,缺少用于数据机密性保护的协议加密(例如在无线连接中)机制等。
2.3 工业互联网网络协议脆弱性
工业互联网协议脆弱性是有线和无线通信中使用的协议所固有的,如缺少消息身份认证、缺少消息加密等,工业控制系统网络脆弱性可能由网络配置、硬件、边界监控、通信验证或无线网络连接引起,包括:设计不合理的网络架构,没有足够的信息安全防护措施;未存储网络详细配置文件或缺少备份;在无线网络边界接入点位置 (例如,在无线客户端和接入点之间)缺少身份认证机制或身份认证不完善;对网络密码的错误管理措施,如使用默认密码、密钥存储未加密、不定期更改密码;使用不安全的网络端口;没有定义明确的网络安全边界;防火墙缺失或配置不当;网络控制设置不足以满足工业控制系统的安全防护要求;未配置网络流量监控技术措施;使用没有增加加密机制的标准协议,如Telnet或FTP;未部署完整性检查(网络中存在未经授权的设备)技术机制;缺少用于数据机密性保护的协议加密(例如在无线连接中)机制等。
3 工业互联网网络安全参考框架
工业互联网网络安全防护应面向工厂内部网络、外部网络及标识解析系统等方面,通过融合网络结构优化、边界安全防护、接入认证、通信内容防护、通信设备防护、安全监测审计等多种防护措施,构筑立体化的网络安全防护体系。
工业互联网的网络安全体系框架分别从通用安全技术、终端安全、安全审计3个视角进行构建。其安全框架如图2所示,可以看到,工业互联网的防护对象视角包括防火墙、终端安全、网络审计等9类安全。其中,网络审计面向外部网络安全审计和内部网络安全审计组成,其核心防控手段主要通过威胁防护、检测感知、处置恢复措施进行安全防护。
4 工业互联网安全技术
4.1 分段分层技术
工业互联网中各层次网络不能不加区别地相互连接,工业安全国际标准(如ISA/IEC 62443-1-1、NIST SP 800-821)建议将网络分成若干部分,并且每个部分包含具有类似安全策略和通信要求的资产。为每个网段都分配一个信任级别,并保护通过网络边缘的通信连接过程,特别是保护不同信任级网段之间的通信和连接。网络分段细粒度划分的候选对象包括公共网络、商业网络、运营网络、工厂网络、控制网络、设备网络、保护网络和安全网络。分段技术可以提供有效的流量管理,尽管每个可以访问管理和操作网络的双端口设备,都可以作为从一个网络跳转到另一个网络的攻击的中心点,但分段技术限制了攻击面的影响范围,可以最大化地降低安全威胁带来的影响。
4.2 网关过滤技术
工业网关过滤技术可以从网络接口的一条或多条消息中提取特定类型的应用程序级信息,并将该信息转发到另一个网络中,同时不保留原始网络消息结构的任何部分。网关还可以对重要的应用程序功能进行编码,例如,可以将工业互联网中的IT与OT接口位置的双端口历史数据服务器看作一个双向信息网关,具有明显的持续性分析功能。历史数据服务器使用工控设备专用通信协议,通过一个网络接口从OT网络收集数据,并使用客户机/服务器协议通过第二个网络接口将数据发布到IT网络。通过为不同种类的网关提供不同程度的安全防护能力,重要的工业互联网过滤技术包括以下几个流程。
第一层过滤:物理隔离是指网段与任何外部网络之间不存在有线或无线方式的在线连接。物理隔离是最强大的过滤形式,但不能提供任何形式的连接。
第二层过滤:分离物理网络中的信令系统,但转发开放系统互联(Open System Interconnection,OSI)模型第二层的网络帧,托管交换机和桥接防火墙是基于以太网媒体访问控制(Media Access Control,MAC)地址或其他设备级寻址过滤消息的典型技术。虚拟局域网(Virtual Local Area Network,VLAN)交换机用于流量管理,但其本身并不是安全设备,因此不建议将VLAN作为不同信任级别网段的边界保护技术措施。
第三/四层过滤:最常用的工业互联网消息过滤器是指能够根据网络地址、端口号和连接状态过滤消息的防火墙,这种过滤技术被称为包过滤器和状态检测。
4.3 网络防火墙技术
工业互联网网络防火墙广泛用于分割复杂的工业互联网的网络,大多数防火墙是第二层、第三层或第四层IP路由器/消息转发器,具有复杂的消息过滤器。防火墙的形态可以是物理设备或虚拟网络设备,防火墙的过滤功能检查防火墙接收到的每条消息。如果筛选器确定消息符合防火墙配置的流量策略,则消息将传递到防火墙的路由器组件以进行转发。防火墙也可以重写消息,最常见的方式是通过执行加密或网络地址转换(Network Address Translation,NAT)。
设备级防火墙旨在保护终端节点,可以是具有深度包检查功能的传统防火墙,或具有深度包检查过滤器的第二层IP路由器,后者可以在不重新配置现有终端设备中的路由规则的情况下进行部署。
上文提到的过滤器技术(自学习过滤技术)可用于设备防火墙应用程序级过滤,该技术通过监视一段时间内的流量,并自动创建过滤规则,将所有观察到的流量标识为正常和允许的流量。学习模式完成后,可以将防火墙配置为仅转发符合筛选器的流量,并丢弃所有其他流量。同时,可以设置可配置操作,允许某些应用程序级的内容通过,并禁止其他无关的内容。例如,允许写入某些现场控制设备寄存器,而不是其他寄存器的策略;允许读取和写入任何寄存器,但不允许下载现场控制设备固件的策略。
4.4 网络访问控制技术
工业互联网网络访问控制结合网络控制和网络安全控制,允许或限制对通信网络的逻辑访问。一个众所周知的授权访问机制是IEEE 802.1X,基于每个设备的凭据(如身份证书及用户名和密码),允许或拒绝设备访问网络,IEEE 802.1X允许网络运营商对可以在网络中通信的设备集合保持强大的控制。
在一些情况下,网络设备可以同时具有认证者和请求者的特征。请求者从身份认证器请求访问,该身份认证器将访问请求转发给身份认证服务器以供审查。完成认证之后,交换机或无线接入点启用端口或无线连接进行除IEEE 802.1X认证帧外的业务,身份认证服务器可以集成到工业现场控制设备中。身份认证服务器也可以作为整个网络的集中资源,通过远程身份认证接入服务(Remote Authentication Dial In User Service,RADIUS)实现。之后,可以集中管理用户名和密码等访问凭据,并可供作为身份认证程序的所有网络设备访问。此外,用户特定的配置信息可以通过 RADIUS 输出, 并通过 IEEE 802.1X 分配, 例如特定 VLAN 的成员资格。
5 工业互联网安全体系新技术
5.1 态势感知技术
态势感知技术是对相关环境的理解,包括态势数据的收集、分析、警报、呈现、使用操作,以及安全信息的生成和维护活动,有助于形成一个整体的操作图景。在理想情况下,工业互联网安全和实时态势感知应该无缝地跨越IT和OT子系统,并且不干扰任何正常的工业控制运营业务流程,设计中必须考虑到安全性,应该尽早评估风险,而不是事后考虑安全性。由工业互联网网络安全态势感知系统提供从各种生产现场传感器和设备收集信息所需的“网络-物理-人”的耦合数据,并提供一个报告和控制接口,便于在管理和保护生产与关键基础设施的物理元素时有效地实现人在回路的参与。
工业互联网态势感知对于攻防对抗环境中的人类决策极为重要,安全分析人员必须了解正在发生的事情,以便提高决策的速度和有效性,并确定如何在未来更有效地缓解威胁。态势感知取决于任务的具体背景和任务中个人的角色,传感器和操作数据提供了有关正在发生的事情的原始资料。大数据分析和人工智能将态势信息转化为对正在发生的事情及对任务的影响,同时可以实现对感知预期结果的理解。
5.2 蜜罐和蜜网技术
在工业互联网的上下文中,蜜罐可以以不同的方式实现,其主要取决于应用场景。例如,在OT网络中,低交互蜜罐可以模拟网络服务器(例如生产过程中的控制站)的操作,而在现场网络中,蜜罐使用能够模拟远程终端控制系统(Remote Terminal Unit,RTU)操作的实现,如协议仿真器(Supervisory Control and Data Acquisition,SCADA)。在企业的流程控制网络或信息与通信网络中,高交互蜜罐是有足够运行技术条件的(甚至以虚拟机的形式在同一主机上共存),同时还可以模拟最小服务的低交互蜜罐。此外,在某些情况下,一些针对系统的攻击可以重定向到蜜罐,从而提供有关攻击者及其意图的更多信息。
现场总线蜜罐运行于工业现场控制网络中,与网络中已有的可编程控制器(Programmable Controller,PLC)、RTU、传感器和执行器互联互通和信息共享,并绑定网络中未使用的IP地址段。其基本工作原理是:通过最大限度地模拟生产控制环境中的PLC、RTU及执行器的行为和服务。现场总线蜜罐主要工作于现场总线层,因此具有较高的迷惑性,可以引诱攻击者更加深信当前面对的是一个值得攻击的目标。同时,通过充当工业互联网的诱饵,向上一级分布式生产控制系统(例如SCADA系统、分布式控制系统(Distributed Control System,DCS)的主站系统、PLC系统的上位机等)发送异常工业互联网设备事件及设备相应ID,并引导攻击事件的应急响应过程。现场总线蜜罐的存在形态一般是模拟PLC,模仿真实PLC的行为和操作,也可以模拟RTU、传感器或执行器等。在正常情况下,现场总线蜜罐将等待来自某个探测网络或假冒主站的入侵者试图访问网络的连接尝试。实际上,任何连接该蜜罐设备的尝试都可能产生安全事件,因为根据蜜罐的设计初衷,现场总线蜜罐中的任何活动都是非法和未经授权的(除蜜罐本身的管理操作外)。图3为用于监控现场总线网络的现场总线蜜罐的基本结构。
密网技术是在蜜罐技术的基础上发展而来的,工业互联网入侵行为的网络特性需要更大范围的诱捕技术,通过在工业互联网网络上设置一些特殊的诱捕机群,并在其上运行专用的模拟软件,模拟工业互联网网络上运行操作系统的主机群,将其并入到网络上的安全域,对其进行低级别的安全保护,可以让入侵者更容易地进入系统。入侵者进入系统后,其所有行为将受到系统软件的监视和记录。通过收集关于入侵者行为的数据,系统软件可以分析入侵者的行为,达到通过蜜网构建网络攻击行为分析模型,吸引攻击者攻击的目的。
5.3 人工智能技术下的工业攻防网络
对生产制造企业实施的网络攻击通常分为工业间谍、工业破坏和数据盗窃3类,每类攻击行为追求的目标各不相同,有些目的是获取公司的机密信息,如机器或产品的最新技术发展,而有些目的则是金钱利益。在人工智能协助下实施的网络攻击将更精确、更有效地绕过工业生产控制系统,结合人工和计算机辅助方法的攻击利用办公IT信息系统和生产控制网络中的各种数据源和通信系统识别漏洞,形成对办公IT信息系统、生产控制网络和人工智能系统自身的立体网络攻击。
从宏观层面分析,人工智能辅助的网络攻击有两种基本类型:技术性攻击和对组织结构的攻击。两者之间有时会有一些重叠或差异,不易区分。更简单的攻击类型包括钓鱼攻击——发送大量包含各种恶意软件链接的电子邮件,最广为人知的攻击事件之一是WannaCry蠕虫勒索病毒;更智能的攻击类型包括鱼叉式网络钓鱼攻击——在攻击过程中,恶意攻击者将发送个性化的电子邮件,其中包含具有后门功能的特洛伊木马等内容的链接。鱼叉式网络钓鱼攻击也可用于0-day攻击,0-day漏洞是未公开的软件安全缺陷,暂时没有可用的补救补丁程序,攻击者可能会滥用这些漏洞。
6 工业互联网网络终端安全
工业互联网系统,特别是现场控制设备的组件常使用出厂默认密码,且在默认情况下禁用安全选项。因此,在工业互联网域中安装组件很容易,但非常不安全。一般30%的工业应用出厂后程序无法更改,并且很难说服工业控制系统制造商研发具有安全功能的产品组件。直到最近几年,在几次工业控制信息安全事件的推动下,一些工业制造商才开始改变其产品的默认安全状态,而与此问题密切相关的威胁是在工业控制设备中包括密码在内的身份认证信息通常不加密,网络攻击者可以在内存中以明文形式,或在通信过程中通过窃听的方式获取这些重要信息。此类威胁的典型案例是一家知名制造商的PLC设备外包装清楚地显示钻孔模板,并说明电源插头和非屏蔽双绞线(Unshielded Twisted Pair,UTP)电缆的连接位置,并且随设备附带的光盘和一份两页的安装手册明确说明可以在连接PLC的网络计算机设备中启动光盘。这导致PLC安装时没有任何密码保护就可以直接连接到互联网。使用Shodan类互联网搜索引擎的恶意攻击者可以很容易发现这些没有任何身份认证保护措施或只有简单防护机制的PLC设备,并进一步控制该PLC设备以实施下一步网络攻击行动。
6.1 端侧设备安全技术
终端侧安全防护技术主要有:高效灵活配置的网关过滤技术,易于识别和使用的端点通信策略,基于加密的通信端点之间的强相互认证,通过强制执行从策略派生的访问控制规则的授权机制和加密机制,确保交换信息的机密性、完整性和实时性。其中需要特别注意的是高效灵活配置的网关过滤技术,传统的工业自动控制领域强调信息流保护技术,而工业互联网则倾向于使用加密控制技术同时结合保护技术,例如应用于传输层[如传输层安全性协议(Transport Layer Security,TLS)]或中间件层[如数据分发服务(Data Distribution Service,DDS)]的加密控制等,通过终端侧配合采用各层通信链路相应的安全控制和技术机制来抵御不同的网络攻击。
6.2 端侧设备安全流程要点
建立端侧设备安全的第一步是使用支持加密的身份认证协议进行身份认证(如果建立了公钥基础设施,则通过交换身份证书进行身份认证),然后,通信双方必须根据策略中定义的访问控制规则交换数据。例如,在医疗设备工业系统中,具备采集病人真实的医学指标的终端设备,一般不允许共享患者的数据。为确保被交换时信息的机密性和完整性,应使用标准加密技术[如高级加密标准(Advanced Encryption Standard,AES)等对称算法和RSA等非对称算法]、消息认证技术和消息认证码,以实现端侧加密。特别需要注意的是,针对不提供交换信息的完整性和机密性的工业互联网通信协议,可以通过加密和认证的隧道式路由,或者通过信息流控制技术进行保护,进而提高这类协议的安全性。这些技术通常使用在进行身份认证过程中协商建立的加密密钥,但应注意避免没有身份认证过程的单纯加密。
此外,由于传统网络安全缺乏考虑工业场景,特别是工业制造厂商对所有机器和设备在各种环境条件下的正常和安全运行有特殊要求。因此,符合气候条件(例如灰尘、湿度、温度等)、机械条件(例如冲击、振动等)和安全条件(例如限制功耗以避免爆炸)要求,需要基于安全性额外考虑加固措施。
7 结 语
随着工业互联网带来的价值密度变高,对工业系统进行恶意攻击的方式也越来越多,其中一个不可否认的原因是,工业互联网通信网络在生产制造业中越来越普及。以前孤立的控制设施现在通过跨越国界的通信网络连接起来,供应链沿线的合作活动也越来越自动化,产生了额外的攻击目标,这意味着可以在更大的范围内发现漏洞,价值链和与之相关的业务可能受到入侵和破坏。本文从通用安全技术、终端安全、安全审计3个方面出发,提出了工业互联网网络体系安全框架,旨在应对工业互联网网络安全的复杂性,期待抛砖引玉激发同行思路,虽然工业互联网网络安全面临重重挑战,但后续仍将关注互联网分层的纵深防御技术,通过不同层级的各类安全措施的部署,研究“与攻击周旋”的工业互联网网络安全实践课题。
—-数据来源:信息安全与通信保密杂志社