工业互联网的安全挑战及应对策略
1 工业互联网概况
工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态,中国工业互联网产业联盟(AII)提出的工业互联网参考体系架构。其中,网络是工业数据传输交换的支撑基础;数据是工业智能化的核心驱动;保障网络与数据的安全是工业互联网稳定运行、创造价值的前提。工业互联网的安全可以分为:设备安全、网络安全、控制安全、数据安全、应用安全和参与全程的人员安全。
工业互联网包含了工业控制系统、工业网络,同时也包含了大数据存储分析、云计算、商业系统、客户网络等商业网络基础设施。其中,工业控制系统(ICS)是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合,包括:数据监控与采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能终端、人机交互接口(HMI)等系统。文章中,我们将分析工业互联网的安全挑战,并提出应对措施、整体防御建议。
APC:先进过程控制Bumer:燃烧器ERP:企业资源计划HMI:人机交互接口ICS:工业控制系统MES:制造执行系统OPC:向过程控制的对象链接与嵌入PLC:可编程逻辑控制器
2 工业互联网的安全挑战
2.1 工业互联网的安全现状
在国家提出《中国制造2025》行动纲要后,工业互联网已经是国家战略组成,工业互联网安全关系国家战略安全。工业互联网中工业网络与采用Internet技术的商业网络的打通,标准Internet的威胁也随之而来病毒和黑客。原本认为不容易被攻击的工业网络,也因存在设备同时连接到企业网络,而使该设备成为攻击跳板,最后工业网络受到攻击。近年来全球工业互联网安全事件频发,如:2006年8月,美国BrownsFerry核电站受到网络攻击事件;2011年5月,Duqu病毒(Stuxnet变种)出现;2012年12月,震网病毒攻击美国ChevronStuxnet等4家石油公司。根据RISI数据库统计,发生在工控领域的安全事件与涉及的工业行业,数量明显增多[4]Mining:矿业PHARMACEUTICAL:医药业Electronic manufacturing:电子制造业Automotive:汽车业Metals:金属业General Manufacturing:一般制造业Pulp and paper: 纸浆与纸张制造Unknown:行业未知Chemical: 化学制造业Food and Beverage:餐饮业Other:其他行业Water/waster water:水/废水处理业Petrolleum:石油开采业Power and Utilities: 电力和公用事业Transporation: 运输业
2.2 工业互联网的各层次安全挑战
工业互联网安全主要受到来自5个层次安全挑战,同时也包括可能参与到各个层面的人员因素,以及覆盖多个层面的高级持续性威胁(APT)。
(1)设备层安全挑战,指工业互联网中工业智能设备和智能产品的安全挑战,包括所用芯片安全、嵌入式操作系统安全、编码规范安全、第三方应用软件安全以及功能安全等,均存在漏洞、缺陷、规范使用、后门等安全挑战。
(2)网络层安全挑战,主要来自3方面:工业网络、无线网络、商业网络。主要挑战包括:网络数据传递过程的常见网络威胁(如拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。
(3)控制层安全挑战,主要来自控制协议、控制平台、控制软件等方面,其在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战
(4)应用层安全挑战,指支撑工业互联网业务运行的应用软件及平台的安全,如:WEB、企业资源计划(ERP)、产品数据管理(PDM)、客户关系管理(CRM)以及正越来越多企业使用的云平台及服务等。应用软件将持续面临病毒、木马、漏洞等传统安全挑战;云平台及服务也面临着虚拟化中常见的违规接入、内部入侵、多租户风险、跳板入侵、内部外联、社工攻击等内外部安全挑战。
(5)数据层安全挑战,是指工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据丢失、泄露、篡改等安全威胁。
(6)人员管理的挑战,随着工业与IT 的融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其有意识或无意识的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在工业互联网中,人员管理的也面临过巨大安全挑战。
(7)APT,工业互联网中的APT 是以上6 个方面各种挑战组合,是最难应对、后果最严重的威胁。攻击者精心策划,为了达成既定目标,所长期持续地进行攻击,其攻击过程包括收集各类信息收集、入侵技术准备、渗透准备、入侵攻击、长期潜伏和等待、深度渗透、痕迹消除等一系列精密攻击环节。
3 工业互联网安全的应对措施
针对第2节提到了工业互联网所面临过的威胁,我们可从以下几方面进行系统应对。
3.1 知己知彼
(1)知己安全的前提
制作工业互联网中企业内网的设备清单,保证任何一件设备都处在安全的状态。理解并且登记在企业网络环境中的工控系统设备及其安全状态,是工控安全管理的基础。工控资产清单包括硬件清单、软件清单、软硬件配置清单、网络拓扑图等。
(2)知彼主动防御
采用蜜罐系统对入侵行为进行捕获,分析相关行为后,并采取更新防火墙、服务器、工作站等安全略策,进行主动防御,使得入侵无功而返。如Conpot在GitHub发布开源工控蜜罐系统Conpot,该系统是工业控制系统服务器端的低交互的蜜罐技术,设计易于布置、修改和扩展,通过提供各种通用的工业控制协议,可以构建需要的系统,能够模拟构建基础设施。目前,其他一些国家将蜜罐技术用于研究工业互联网的威胁源,攻击途径以及探索防御手段,技术应用成熟,取得了很多成功,中国部分企业已开始尝试使用。
3.2 网络分区防护
PLC:可编程逻辑控制器SCADA:数据监控与采集系统RTU:远程终端单元HMI:人机交互接口深度防御架构
参考NIST SP 800-82、IEC62443等国际工控领域指导性文献的深度防御架构,该架构将工业互联网划分为外部区域集合、控制网络区、企业网络区、远程访问区与生产现场。在相应边界设置防火墙,可保护整个的内部系统免受外部的攻击,隔离企业网络与远程访问区,
4 工业互联网安全挑战的整体防御建议
4.1 整体防御建议
(1)从应急响应转变为持续响应。假定工业互联网系统受到破坏并需要不断监控和修复,则需要建立多点防御、联合防御,与产业界合作开展防御响应。
(2)以数据驱动安全。对工业互联网中的所有层面构建进行全面持续的监控,通过全面的数据感知和分析,建立企业安全数据仓库,并结合云端威胁情报,实现对已知威胁、高级威胁、APT攻击的有效预防、发现、防御和过程回溯。
(3)开发安全运维中心,构建组织流程和人员团队,支持持续监控并负责持续的威胁防护流程,规划好外部安全服务合作伙伴,保证人在回路,应对各类安全事件。
4.2 工业互联网的PC4R 自适应防护架构
为帮助工业互联网用户应对工业物联网所面临的各种挑战,结合整体防御的3点建议,我们提出了可以工业互联网信息安全日常运作的自适应防护架构PC4R,其由6个过程闭环组成,该6个过程均需要人在回路,全程参与,
(1)信息感知
工业互联网中,实现对工业网络中工业现场(压力、摩擦、振动、温度、电流等)关键物理量数字化感知、存储,为工业现场异常分析、预防性健康监测分析提供物理信息来源。
(2)数据汇集
对数控系统(CNC)/ PLC、分布式数控(DNC)、SCADA、制造执行系统(MES)、ERP等工业控制系统及应用系统所运行的关键工业数据进行汇聚,该过程不是简单的数据采集,是产品全生命周期的各类要素信息的同步采集、管理、存储、查询,为后续过程提供控制信息来源。在网络方面,进行全网流量的被动监听和存储,为工业互联网企业建立安全数据仓库。
(3)转化分析
数据特征提取、筛选、分类、优先级排序、可读,可以实现从数据到信息的过程,使得数据具有信息安全意义。信息主要包括内容和情景两方面,内容指工业互联网中的设备信号处理结果、监控传输特性、性能曲线、健康状况、报警信息、DNC及SCADA网络流量等;情景指设备的运行工况、维护保养记录、人员操作指令、人员访问状态、生产商务任务目标、生产销售机理等;该过程针对单个设备或单个网络纵向数据分析,计算相对简单。
(4)网络融合
该过程面向工业互联网中的设备集群和企业跨域运维和经营活动的关联,将机理、环境、群体、操作、外部威胁情报有机结合,基于大数据进行横向大数据分析和多维分析,利用群体经验预测单个设备的安全情况;并建立虚拟网络与实体系统相互映射,实现综合模型的应用,如蜜罐、入侵检测等;也可以根据历史状况和当前状态差异化的发现网络及工控系统异常。
(5)认知预测
该过程在网络层的基础上,加入人的职责,人在回路,对企业的工业互联网规律、异常、目标、态势、背景等完成认知,确定安全基线,结合大数据可视化平台,发现看不见的威胁,预测黑客攻击。
(6)响应决策
根据认知预测的结果,一旦完成了对事件的识别并确认优先级排序后,人在回路的决策、部署、优化、响应,可实现安全价值,而启动相关响应策略,如隔离受损系统或账户,使其无法访问其他系统,从而遏制威胁。同理,人在回路也可以在决策之后,形成团队,一旦受损系统或账户得以遏制,并利用持续监控所收集的数据来源确定根本原因和所有违规行为。
5 结束语
工业互联网打通了商业网络与工业网络的边界,传统的网络边界概念正在逐渐模糊,网络环境的复杂性、多变性、信息系统和工业控制系统的脆弱性,给工业互联网带来了设备、网络、控制、应用、数据、人员等多方面安全挑战。工业互联网应用企业、安全服务企业、监管部门,需要采取文章所提出的应对措施,形成联动的机制,从体制改革、管理流程优化、人员意识培养、技术创新着手,构建PC4R的自适应防御架构,并通过内外部大数据、威胁情报驱动安全防御,全程人在回路,利用用户本身、专业安全服务机构的力量,进行预测、防护、检测、响应,并根据不断出现的、新的威胁形式,完善应对策略,共同打造安全的工业互联网。