工业互联网网络体系安全防护研究
发布日期:2022-12-05 作者: 来源: 分享:
摘要:深入实施工业互联网创新发展战略对加速我国产业数字化转型、抢占国际竞争制高点意义重大。网络体系是工业互联网的基础,网络体系的安全是核心保障,从防护对象、防护措施、防护管理等视角出发,通过对网络体系安全的总体研究,提出了相关安全建议,以期通过对工业互联网网络安全的研究,保障工业实体经济安全快速发展。
随着数字时代全面到来,网络作为工业互联网互联支撑的基础地位逐渐凸显,工业界的物理边界和网络边界被完全打破,工业互联网的网络安全防护变得脆弱、易受攻击。工业互联网通过网络将物理实体和虚拟组件连接在一起,无处不在地为工业制造系统提供资源、数据和知识,同时网络安全的重要性也上升到前所未有的高度,成为工业互联网领域的新兴热点。
2021年2月,黑客试图通过控制工控网络,将美国佛罗里达州水处理系统的氢氧化钠浓度提高100倍。2021年4月,以色列摩萨德针对伊朗纳坦兹核设施的工业配电系统进行网络攻击,导致核设施断电。2021年4月,勒索软件团伙成功加密了某欧洲制造商的工业流程控制服务器,最终导致两处生产工厂被迫关停。随着工业互联网国家战略的推进,国内对工业互联网网络安全的研究百花齐放,中国工业互联研究院、工业互联网产业联盟、信通院等牵头了工业互联网相关课题。同时中国通信标准化协会设立了“工业互联网特设任务组”,致力于国内工业互联网安全标准体系建设,围绕工业互联网网络安全发布了T11/AII 004—2018《工业互联网安全防护总体要求》、GB/T 35673—2017《工业通信网络网络和系统安全系统安全要求和安全等级》、GB/T 33007—2016《工业通信网络网络和系统安全建立工业自动化和控制系统信息安全程序》等多个标准。
国外权威研究机构美国工业互联网联盟 (Industrial Internet Consortium,IIC)发布工业互联网参考架构(Industrial Internet Reference Architecture,IIRA),其中的工业互联网网参考架构在目前世界范围内影响力较大。同时美欧等成立了美国网络安全和基础设施安全局 (Cybersecurity and Infrastucture Security Agency, CISA)、欧盟网络与信息安全局(European Network and Information Security Agency, ENISA),全面负责网络和基础设施的安全,并将工业互联网安全列为优先事项。其中CISA、 ENISA、能源部等政府机构非常重视工业、能源等领域的信息安全保障建设。工业互联网网络一般由组织内外网构成,如图1所示,内网包括办公网、控制网、现场生产网、管理网和专用网;外网包括无线网、移动网、互联网和骨干网。工业互联网网络的具体组成主要包括设备、服务等,如工业通信网关、通信模组、交换机、光纤接入等设备,工业无线、工业专线、深度覆盖、标识解析等服务。网络安全侧主要涉及网关隔离、访问控制、工业防火墙和安全态势感知系统。
工业互联网网络体系将连接对象延伸到工业全系统、全产业链、全价值链,打通“人、机、料、法、环”等全要素,实现设计、研发、生产、管理、服务等深度互联,促进了端到端网络、5G+、边缘计算等关键技术与工业互联网的融合应用。
2.1 工业互联网网络易受攻击性
互联互通性是释放工业互联网全部潜在价值的关键所在,但却系统性地增加了网络攻击面。当工业互联网中的装置、设备、系统等全面连接广域分布的公司网络甚至互联网时,攻击者将可以从多个角度实施网络攻击,攻击来源可以来自外部或内部。安全通信、安全网络监控、安全数据和现场设备级别的安全代码执行等信息安全技术机制是必不可少的,而不是可选择的。工业互联网的信息安全问题将更加复杂多样,大规模网络连接因素(如工业云、工业大数据、供应链等)产生的影响将占有重要地位,工业控制设备、系统等生产要素将与网络泛在化和持久化连接,而跨范围的网络连接将为攻击者提供入侵破坏重要工业生产过程的多种可能性和可行性。
2.2 工业互联网网络架构脆弱性
工业互联网网络脆弱性可能由网络配置、硬件、边界监控、通信验证或无线网络连接引起,包括:设计不合理的网络架构,没有足够的信息安全防护措施;未存储网络详细配置文件或缺少备份,在无线网络边界接入点位置缺少身份认证机制或身份认证不完善,对网络密码的错误管理措施;没有定义明确的网络安全边界,防火墙缺失或配置不当,导致网络控制设置不足以满足系统的安全防护要求;未配置网络流量监控技术措施,特别是未使用加密机制的标准协议,如远程终端协议(Telnet)或文件交换协议(File Exchange Protocol,FTP);未部署完整性检查(网络中存在未经授权的设备)技术机制,缺少用于数据机密性保护的协议加密(例如在无线连接中)机制等。
2.3 工业互联网网络协议脆弱性
工业互联网协议脆弱性是有线和无线通信中使用的协议所固有的,如缺少消息身份认证、缺少消息加密等,工业控制系统网络脆弱性可能由网络配置、硬件、边界监控、通信验证或无线网络连接引起,包括:设计不合理的网络架构,没有足够的信息安全防护措施;未存储网络详细配置文件或缺少备份;在无线网络边界接入点位置 (例如,在无线客户端和接入点之间)缺少身份认证机制或身份认证不完善;对网络密码的错误管理措施,如使用默认密码、密钥存储未加密、不定期更改密码;使用不安全的网络端口;没有定义明确的网络安全边界;防火墙缺失或配置不当;网络控制设置不足以满足工业控制系统的安全防护要求;未配置网络流量监控技术措施;使用没有增加加密机制的标准协议,如Telnet或FTP;未部署完整性检查(网络中存在未经授权的设备)技术机制;缺少用于数据机密性保护的协议加密(例如在无线连接中)机制等。工业互联网网络安全防护应面向工厂内部网络、外部网络及标识解析系统等方面,通过融合网络结构优化、边界安全防护、接入认证、通信内容防护、通信设备防护、安全监测审计等多种防护措施,构筑立体化的网络安全防护体系。工业互联网的网络安全体系框架分别从通用安全技术、终端安全、安全审计3个视角进行构建。其安全框架如图2所示,可以看到,工业互联网的防护对象视角包括防火墙、终端安全、网络审计等9类安全。其中,网络审计面向外部网络安全审计和内部网络安全审计组成,其核心防控手段主要通过威胁防护、检测感知、处置恢复措施进行安全防护。
工业互联网中各层次网络不能不加区别地相互连接,工业安全国际标准(如ISA/IEC 62443-1-1、NIST SP 800-821)建议将网络分成若干部分,并且每个部分包含具有类似安全策略和通信要求的资产。为每个网段都分配一个信任级别,并保护通过网络边缘的通信连接过程,特别是保护不同信任级网段之间的通信和连接。网络分段细粒度划分的候选对象包括公共网络、商业网络、运营网络、工厂网络、控制网络、设备网络、保护网络和安全网络。分段技术可以提供有效的流量管理,尽管每个可以访问管理和操作网络的双端口设备,都可以作为从一个网络跳转到另一个网络的攻击的中心点,但分段技术限制了攻击面的影响范围,可以最大化地降低安全威胁带来的影响。工业网关过滤技术可以从网络接口的一条或多条消息中提取特定类型的应用程序级信息,并将该信息转发到另一个网络中,同时不保留原始网络消息结构的任何部分。网关还可以对重要的应用程序功能进行编码,例如,可以将工业互联网中的IT与OT接口位置的双端口历史数据服务器看作一个双向信息网关,具有明显的持续性分析功能。历史数据服务器使用工控设备专用通信协议,通过一个网络接口从OT网络收集数据,并使用客户机/服务器协议通过第二个网络接口将数据发布到IT网络。通过为不同种类的网关提供不同程度的安全防护能力,重要的工业互联网过滤技术包括以下几个流程。
第一层过滤:物理隔离是指网段与任何外部网络之间不存在有线或无线方式的在线连接。物理隔离是最强大的过滤形式,但不能提供任何形式的连接。第二层过滤:分离物理网络中的信令系统,但转发开放系统互联(Open System Interconnection,OSI)模型第二层的网络帧,托管交换机和桥接防火墙是基于以太网媒体访问控制(Media Access Control,MAC)地址或其他设备级寻址过滤消息的典型技术。虚拟局域网(Virtual Local Area Network,VLAN)交换机用于流量管理,但其本身并不是安全设备,因此不建议将VLAN作为不同信任级别网段的边界保护技术措施。第三/四层过滤:最常用的工业互联网消息过滤器是指能够根据网络地址、端口号和连接状态过滤消息的防火墙,这种过滤技术被称为包过滤器和状态检测。工业互联网网络防火墙广泛用于分割复杂的工业互联网的网络,大多数防火墙是第二层、第三层或第四层IP路由器/消息转发器,具有复杂的消息过滤器。防火墙的形态可以是物理设备或虚拟网络设备,防火墙的过滤功能检查防火墙接收到的每条消息。如果筛选器确定消息符合防火墙配置的流量策略,则消息将传递到防火墙的路由器组件以进行转发。防火墙也可以重写消息,最常见的方式是通过执行加密或网络地址转换(Network Address Translation,NAT)。设备级防火墙旨在保护终端节点,可以是具有深度包检查功能的传统防火墙,或具有深度包检查过滤器的第二层IP路由器,后者可以在不重新配置现有终端设备中的路由规则的情况下进行部署。
上文提到的过滤器技术(自学习过滤技术)可用于设备防火墙应用程序级过滤,该技术通过监视一段时间内的流量,并自动创建过滤规则,将所有观察到的流量标识为正常和允许的流量。学习模式完成后,可以将防火墙配置为仅转发符合筛选器的流量,并丢弃所有其他流量。同时,可以设置可配置操作,允许某些应用程序级的内容通过,并禁止其他无关的内容。例如,允许写入某些现场控制设备寄存器,而不是其他寄存器的策略;允许读取和写入任何寄存器,但不允许下载现场控制设备固件的策略。工业互联网网络访问控制结合网络控制和网络安全控制,允许或限制对通信网络的逻辑访问。一个众所周知的授权访问机制是IEEE 802.1X,基于每个设备的凭据(如身份证书及用户名和密码),允许或拒绝设备访问网络,IEEE 802.1X允许网络运营商对可以在网络中通信的设备集合保持强大的控制。
在一些情况下,网络设备可以同时具有认证者和请求者的特征。请求者从身份认证器请求访问,该身份认证器将访问请求转发给身份认证服务器以供审查。完成认证之后,交换机或无线接入点启用端口或无线连接进行除IEEE 802.1X认证帧外的业务,身份认证服务器可以集成到工业现场控制设备中。身份认证服务器也可以作为整个网络的集中资源,通过远程身份认证接入服务(Remote Authentication Dial In User Service,RADIUS)实现。之后,可以集中管理用户名和密码等访问凭据,并可供作为身份认证程序的所有网络设备访问。此外,用户特定的配置信息可以通过 RADIUS 输出, 并通过 IEEE 802.1X 分配, 例如特定 VLAN 的成员资格。
