您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
智能制造場景下工業(yè)互聯(lián)網(wǎng)安全風(fēng)險與對策
孫利民 潘志文 呂世超 石志強 朱紅松
(中國科學(xué)院信息工程研究所,北京 100089)
摘要:智能制造在利用新一代信息技術(shù)提升工業(yè)企業(yè)效益和核心競爭力的同時,也將原本在“信息孤島”中運行的工業(yè)設(shè)備和系統(tǒng)互聯(lián)互通,進而形成工業(yè)互聯(lián)網(wǎng)。但由于攻擊面的擴大,工業(yè)互聯(lián)網(wǎng)面臨著來自外部和內(nèi)部多方面的網(wǎng)絡(luò)安全威脅。通過分析智能制造新形勢下的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險,從技術(shù)層面提出應(yīng)對策略。首先從供應(yīng)鏈安全風(fēng)險、工控終端設(shè)備安全風(fēng)險和高隱蔽網(wǎng)絡(luò)攻擊風(fēng)險三方面,剖析了我國工業(yè)互聯(lián)網(wǎng)所面臨的安全風(fēng)險;然后基于工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)的發(fā)展現(xiàn)狀,提出安全防護體系和關(guān)鍵技術(shù)作為應(yīng)對策略;最后針對我國工業(yè)互聯(lián)網(wǎng)安全防護工作的未來方向給出了建議。
關(guān)鍵詞:工業(yè)互聯(lián)網(wǎng)安全;工控安全;安全風(fēng)險分析;主動防御體系
中圖分類號:TP393.08 文獻標(biāo)識碼:A
引用格式:孫利民, 潘志文, 呂世超, 等. 智能制造場景下工業(yè)互聯(lián)網(wǎng)安全風(fēng)險與對策[J]. 信息通信技術(shù)與政策, 2021,47(8):24-29.
doi:10.12267/j.issn.2096-5931.2021.08.004
0 引言
智能制造是基于新一代信息技術(shù)與先進制造技術(shù)深度融合,貫穿于設(shè)計、生產(chǎn)、管理、服務(wù)等制造活動各個環(huán)節(jié),具有自感知、自決策、自執(zhí)行、自適應(yīng)、自學(xué)習(xí)等特征,旨在提高制造業(yè)質(zhì)量、效益和核心競爭力的先進生產(chǎn)方式[1]。隨著全球新一輪科技革命和產(chǎn)業(yè)變革的興起,智能制造在全球范圍內(nèi)快速發(fā)展,已成為制造業(yè)重要發(fā)展趨勢。我國制造業(yè)規(guī)模躍居世界第一位,但長期以來主要依靠資源要素投入、規(guī)模擴張的粗放型發(fā)展模式,大而不強的問題突出。為推進我國制造業(yè)供給側(cè)結(jié)構(gòu)性改革、促進制造業(yè)向中高端邁進,智能制造成為我國制造強國建設(shè)的主攻方向。工業(yè)和信息化部和財政部共同發(fā)布的《智能制造發(fā)展規(guī)劃(2016—2020 年)》《“十四五”智能制造發(fā)展規(guī)劃》為我國智能制造發(fā)展提供了切實的行動綱領(lǐng)[1-2]。
智能制造涉及到國家關(guān)鍵基礎(chǔ)設(shè)施、國防經(jīng)濟、高精尖產(chǎn)品制造等,是國家間網(wǎng)絡(luò)對抗的重要目標(biāo)。我國的工業(yè)系統(tǒng)安全防護不成體系,缺乏有效的安全防護技術(shù),面臨著愈發(fā)嚴(yán)峻的安全態(tài)勢。具體而言,智能制造系統(tǒng)中存在有大量來自國外的高端設(shè)備(“黑盒子”),其內(nèi)部工作和運行機理未知,存在被植入后門和漏洞的隱患,且無法部署安全管控措施;智能制造系統(tǒng)中的工業(yè)軟件和中間件主要來自國外,且部分軟件開源化,存在安全漏洞隱患;智能制造系統(tǒng)中設(shè)備高度互聯(lián)協(xié)同,導(dǎo)致工控內(nèi)網(wǎng)與因特網(wǎng)的邊界更為模糊,受攻擊面進一步擴大,系統(tǒng)面臨來自內(nèi)部和外部的網(wǎng)絡(luò)攻擊威脅。
智能制造技術(shù)革新所帶來的網(wǎng)絡(luò)安全隱患已導(dǎo)致針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件不斷涌現(xiàn)。一些典型的攻擊案例:2012年,沙特阿美石油煉化公司的高端中控設(shè)備遭到病毒攻擊,導(dǎo)致工業(yè)系統(tǒng)由于運行參數(shù)被篡改而運行不穩(wěn)定[3];2016年,法國防務(wù)承包商海軍造船局集團遭受黑客組織入侵,大量機密文件遭到竊取泄露,其中包含2.24 萬頁“鲉魚級”潛艇技術(shù)資料[4];2018年,Wannacry病毒的變種侵入了全球最大的代工芯片制造商臺積電的3個廠區(qū),導(dǎo)致其停產(chǎn)3天,預(yù)計經(jīng)濟損失高達11.5 億元人民幣[5]。這些網(wǎng)絡(luò)攻擊可造成的潛在后果包括人員傷亡、設(shè)備損壞、業(yè)務(wù)中斷,以及信息泄露、社會恐慌、相關(guān)機構(gòu)社會公信力的下降等。
本文首先分析智能制造場景下的中國工業(yè)互聯(lián)網(wǎng)所面臨的安全風(fēng)險,接著從技術(shù)層面提出這些安全風(fēng)險的應(yīng)對策略,進而提出對我國工業(yè)網(wǎng)絡(luò)安全防護工作的未來展望。
1 安全風(fēng)險分析
智能制造技術(shù)的持續(xù)演進和推廣使得工業(yè)系統(tǒng)的供應(yīng)鏈日趨龐雜、工控設(shè)備類型與工控協(xié)議異構(gòu)多樣、工控攻擊技術(shù)不斷迭代,現(xiàn)有的網(wǎng)絡(luò)安全防護措施已難以應(yīng)對由此帶來的安全風(fēng)險。本文將從供應(yīng)鏈安全風(fēng)險、工控終端設(shè)備安全風(fēng)險和高隱蔽攻擊風(fēng)險三方面,對我國工業(yè)互聯(lián)網(wǎng)所面臨的核心安全風(fēng)險進行剖析。
1.1 供應(yīng)鏈安全風(fēng)險
工業(yè)互聯(lián)網(wǎng)的供應(yīng)鏈?zhǔn)侵概c工業(yè)互聯(lián)網(wǎng)相關(guān)的軟硬件產(chǎn)品,或工業(yè)互聯(lián)網(wǎng)平臺在生產(chǎn)及流通過程中,相關(guān)的設(shè)備開發(fā)商、元器件提供商、生產(chǎn)商、分銷商以及最終用戶等,通過與上游、下游連接組成的鏈路結(jié)構(gòu)[6]。智能制造場景下的供應(yīng)鏈數(shù)據(jù)互聯(lián)互通性強、生產(chǎn)深度協(xié)同、資源柔性配置,其安全性將直接影響工業(yè)企業(yè)以及國家安全。目前,我國工業(yè)互聯(lián)網(wǎng)面臨著嚴(yán)峻的供應(yīng)鏈安全風(fēng)險。
1.1.1 高端設(shè)備依賴國外,存在被后門風(fēng)險
我國的智能制造產(chǎn)業(yè)起步較晚、基礎(chǔ)薄弱,與西方發(fā)達國家相比仍存在明顯差距。高端數(shù)控機床依賴日本(馬扎克、三菱等)、德國(西門子、舒勒等)和美國(MAG、哈斯等)供應(yīng);高端PLC依賴瑞士ABB、美國通用、美國Allen-Bradley、德國西門子、法國施耐德等企業(yè)供應(yīng);操作系統(tǒng)、底層工具、協(xié)議大多數(shù)由國外主導(dǎo)。在日益嚴(yán)重的國際形勢下,我國智能制造企業(yè)依賴的高端設(shè)備、工具等存在被植入后門的可能,這些后門程序可能包含有遠(yuǎn)程鎖死產(chǎn)品使用權(quán)限、私自上傳數(shù)據(jù)、私自存儲數(shù)據(jù)等功能,嚴(yán)重影響智能制造企業(yè)的安全。
1.1.2 供應(yīng)鏈全球化和復(fù)雜化,擴大了潛在的攻擊面
隨著工業(yè)產(chǎn)業(yè)的全球化,工業(yè)產(chǎn)品往往是全球多個行業(yè)、企業(yè)軟硬件技術(shù)的集成。供應(yīng)鏈的國際化為工業(yè)互聯(lián)網(wǎng)引入了許多不受主要供應(yīng)商和用戶控制的第三方角色,擴大了潛在攻擊面。我國在全球產(chǎn)業(yè)鏈對接過程中,在如何管控軟件漏洞、后門風(fēng)險方面尚缺乏體系化的解決方案,缺少供應(yīng)鏈安全監(jiān)管平臺和供應(yīng)鏈安全評測規(guī)范,尤其是對相對封閉的工業(yè)系統(tǒng)如何管控復(fù)雜、動態(tài)的供應(yīng)鏈安全更是空白。
1.1.3 軟件供應(yīng)鏈開源化,安全漏洞頻發(fā)
為了降低開發(fā)成本、提升開發(fā)效率,工業(yè)互聯(lián)網(wǎng)軟件中使用的開源軟件比例呈逐年上升趨勢。但開源軟件存在大量的漏洞,嚴(yán)重影響工業(yè)互聯(lián)網(wǎng)企業(yè)的安全。據(jù)Gartner報告[7],2010—2018年,軟件引用開源框架、開源組件或第三方開源庫的比例以30%的速度逐年增長。此外,BlackDuck在2017年的調(diào)研發(fā)現(xiàn)[8],在審計的超過1000個商業(yè)代碼庫中,開源組件所占比例達到96%,而60%的商業(yè)代碼庫中使用的開源組件存在安全漏洞。
1.2 工控設(shè)備難以被安全管控的風(fēng)險
工業(yè)控制系統(tǒng)具有設(shè)備資源受限、存在大量私有協(xié)議和大量國外“黑盒子”設(shè)備等特性,導(dǎo)致現(xiàn)有安全防護技術(shù)難以被應(yīng)用于工控系統(tǒng)中,給企業(yè)帶來工控設(shè)備難以被安全管控的風(fēng)險。
1.2.1 “黑盒子”設(shè)備難于監(jiān)管所導(dǎo)致的風(fēng)險
在智能制造系統(tǒng)中,存在一些來自國外廠商的高端機床及PLC核心設(shè)備,這些設(shè)備的運行原理和工作過程無從了解,且NC程序或者編程平臺等上位機軟件也來自國外,因此高端機床作為“黑盒子”設(shè)備難以進行安全審計、難以實施端口管控和防病毒等措施,進而導(dǎo)致設(shè)備面臨惡意操作、感染及傳播病毒、信息泄露等風(fēng)險。
1.2.2 高可用性需求所導(dǎo)致的風(fēng)險
工業(yè)控制系統(tǒng)往往具有較高的低傳輸時延需求和易操作性需求。傳輸數(shù)據(jù)加密和身份認(rèn)證等措施可能會導(dǎo)致工控系統(tǒng)時延增加;入侵檢測和安全審計等檢測措施可能導(dǎo)致誤報警頻發(fā)。因此,企業(yè)可能會因為工控系統(tǒng)可用性受到顯著影響而拒絕應(yīng)用某些安全防護技術(shù),進而造成明文信息泄露、設(shè)備惡意操作等風(fēng)險。
1.2.3 設(shè)備類型多樣所導(dǎo)致的風(fēng)險
工業(yè)控制設(shè)備所使用的操作系統(tǒng)多樣(Linux、Vxworks、Doors等)、傳輸協(xié)議多樣(Modbus、DNP3、私有協(xié)議等)、計算機語言多樣(LD、FBD、SFC等)?,F(xiàn)有工業(yè)安全防護產(chǎn)品無法涵蓋所有工控設(shè)備類型,僅能實現(xiàn)對部分工控設(shè)備的局部防護,造成安全防護與監(jiān)管難度大;我國安全廠商需針對各種操作系統(tǒng)、傳輸協(xié)議和計算機語言定制化研發(fā)工控安全防護產(chǎn)品,研制難度與工作量極大。
1.3 高隱蔽性攻擊風(fēng)險
隨著國際環(huán)境日趨復(fù)雜,大國戰(zhàn)略博弈進一步聚焦制造業(yè),針對工業(yè)網(wǎng)絡(luò)的攻擊行為日益呈現(xiàn)出專業(yè)性和嚴(yán)密的組織性,屬于典型的APT攻擊。業(yè)務(wù)操縱和供應(yīng)鏈滲透是高隱蔽工控網(wǎng)絡(luò)攻擊的兩類核心攻擊手段。
1.3.1 高隱蔽業(yè)務(wù)操縱風(fēng)險
攻擊者可基于對目標(biāo)系統(tǒng)業(yè)務(wù)流程的深入理解,向工控設(shè)備發(fā)送協(xié)議格式完全正確但業(yè)務(wù)內(nèi)容被精心篡改的工控協(xié)議包。這些格式正常的協(xié)議包不會觸發(fā)攻擊檢測與審計報警,但其中的異常業(yè)務(wù)內(nèi)容可以篡改控制器運行邏輯或者虛構(gòu)被控對象運行狀態(tài),可操縱工控設(shè)備在不觸發(fā)故障報警的“安全臨界狀態(tài)”或“部件高損耗狀態(tài)”下持續(xù)運行。已知的高隱蔽設(shè)備操縱手段包括偏差攻擊、正弦攻擊、時序攻擊、逃逸攻擊等[9]。高隱蔽設(shè)備操縱可造成嚴(yán)重的安全事故且事故原因難以被排查,導(dǎo)致設(shè)備損毀、關(guān)鍵設(shè)施服務(wù)中斷、人員傷亡等嚴(yán)重后果。
1.3.2 高隱蔽供應(yīng)鏈滲透風(fēng)險
即使一家工業(yè)企業(yè)自身的信息安全防護做得很好,該企業(yè)仍會面臨供應(yīng)鏈滲透的風(fēng)險。攻擊者仍可能通過滲透目標(biāo)企業(yè)的供應(yīng)鏈合作廠商將惡意代碼預(yù)先埋入目標(biāo)企業(yè)所采購的產(chǎn)品之中。具體而言,攻擊者可利用供應(yīng)鏈廠商自身的網(wǎng)絡(luò)安全漏洞和管理漏洞入侵廠商內(nèi)網(wǎng),實現(xiàn)對產(chǎn)品的惡意代碼預(yù)埋;攻擊者還可針對特定產(chǎn)品的固件漏洞定制化開發(fā)新型惡意代碼,實現(xiàn)針對特定產(chǎn)品的大規(guī)模惡意代碼感染。
2 應(yīng)對策略
針對我國工業(yè)互聯(lián)網(wǎng)所面臨的核心安全風(fēng)險,基于工業(yè)互聯(lián)網(wǎng)安全防護新型技術(shù)的發(fā)展現(xiàn)狀,從技術(shù)層面提出以下安全風(fēng)險應(yīng)對策略:首先,建立工控網(wǎng)絡(luò)主動防御體系,實現(xiàn)對工業(yè)互聯(lián)網(wǎng)全生命周期、全業(yè)務(wù)流程的一體化防護;然后,基于主動防御體系引出可逐一應(yīng)對安全風(fēng)險的系列化防護技術(shù),以工業(yè)供應(yīng)鏈防護技術(shù)應(yīng)對供應(yīng)鏈安全風(fēng)險;最后,以終端設(shè)備防護代理技術(shù)應(yīng)對終端設(shè)備作為“黑盒子”難以被管控的風(fēng)險,以工業(yè)威脅誘捕技術(shù)應(yīng)對高隱蔽性攻擊風(fēng)險。
2.1 工業(yè)互聯(lián)網(wǎng)主動防御體系
傳統(tǒng)的工控被動防護體系中包含防火墻、入侵檢測、身份認(rèn)證、防病毒軟件等靜態(tài)安全防護技術(shù),這些技術(shù)以分域的形式部署并基于預(yù)設(shè)的固定策略運行[11],因此存在以下缺點。
(1)防御體系注重對威脅的靜態(tài)防御和檢測,缺乏對威脅的事前預(yù)判和動態(tài)響應(yīng)能力。
(2)防護技術(shù)往往需要基于已知攻擊和漏洞建立靜態(tài)特征庫,難以防御新型攻擊。
(3)防護技術(shù)以固定策略獨立運行,缺乏信息共享與聯(lián)動協(xié)作,難以發(fā)現(xiàn)和處置高隱蔽威脅。
工控設(shè)備和系統(tǒng)是一個信息物理融合系統(tǒng),所有的信息域的高隱蔽攻擊最終都要落實在物理域才算達成攻擊的最終目的,即所有的攻擊最終都要在物理狀態(tài)上表征出來才算實現(xiàn)了破壞目標(biāo)。僅依靠漏洞挖掘、病毒檢測、防火墻等被動安全檢測與防護措施所無法有效發(fā)現(xiàn)信息域的隱蔽未知攻擊,也無法在物理破壞發(fā)生過程中或發(fā)生之前做到及時止損。因此,筆者提出了一種基于物理域主動精細(xì)監(jiān)控和信息域網(wǎng)絡(luò)主動防護一體化的工業(yè)互聯(lián)網(wǎng)主動防御體系。
工業(yè)互聯(lián)網(wǎng)主動防御體系包括監(jiān)測(Monitoring)、阻斷(Prevention)、分析(Analysis)、防御(Defense)四個方面,簡稱MPAD體系。該體系以控制設(shè)備和系統(tǒng)的精細(xì)監(jiān)控為抓手,在物理破壞發(fā)生之前主動發(fā)現(xiàn)隱蔽未知威脅,實現(xiàn)工業(yè)互聯(lián)網(wǎng)的主動安全防御。具體來說,首先,構(gòu)建工業(yè)互聯(lián)網(wǎng)設(shè)備、系統(tǒng)的物理行為狀態(tài)和行為特征白名單,實現(xiàn)多維度細(xì)粒度的物理域異常監(jiān)測[6],及時發(fā)現(xiàn)或預(yù)測將要發(fā)生的物理破壞,做到及時阻斷;然后,封存物理現(xiàn)場并分析信息域入侵誘捕、入侵檢測和沙箱等系統(tǒng)捕獲的攻擊流量或惡意代碼,分析提取未知攻擊流量或未知惡意樣本特征,針對每個安全防護設(shè)備生成特定的防御規(guī)則,實現(xiàn)精細(xì)化主動防御。
2.2 工業(yè)供應(yīng)鏈安全防護
鑒于國家關(guān)鍵基礎(chǔ)設(shè)施對供應(yīng)鏈的高度依賴性,我國對于供應(yīng)鏈安全的重視程度不斷提高?!缎畔踩夹g(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南》《網(wǎng)絡(luò)安全審查辦法》等相關(guān)政策的頒布與實施,為推動保障供應(yīng)鏈安全的相關(guān)工作指明了方向。為了保障工業(yè)互聯(lián)網(wǎng)的相關(guān)產(chǎn)品、平臺等在生產(chǎn)、交付、使用等環(huán)節(jié)的安全,提高工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈應(yīng)對安全風(fēng)險的能力,考慮有以下應(yīng)對策略。
2.2.1 建立工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈知識圖譜,檢測潛在安全風(fēng)險
隨著設(shè)備產(chǎn)品開發(fā)難度的不斷增加,組件復(fù)用、組件開源化已經(jīng)成為必然的發(fā)展趨勢。識別工業(yè)互聯(lián)網(wǎng)設(shè)備、產(chǎn)品的組件名稱、版本等信息,構(gòu)建工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈知識圖譜,清晰直觀地顯示組件間的復(fù)用關(guān)系,進而把控工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的整體布局[10];評估供應(yīng)鏈中開源組件的安全性,明確其中可能存在的漏洞與安全缺陷等問題,能夠準(zhǔn)確地評估供應(yīng)鏈可能存在的潛在安全風(fēng)險,有利于相關(guān)人員及時做出決策,并采取相應(yīng)的防護措施。
2.2.2 應(yīng)用關(guān)鍵安全防護技術(shù),提升供應(yīng)鏈安全防御能力
供應(yīng)鏈中的各環(huán)節(jié)均可能成為攻擊者的切入點,分析關(guān)鍵攻擊方式和路徑,從而采取相應(yīng)領(lǐng)域的技術(shù)手段檢測和防御供應(yīng)鏈攻擊,降低供應(yīng)鏈安全事件的影響。根據(jù)攻擊發(fā)生環(huán)節(jié)的不同,主要安全防護技術(shù)可分為:針對開發(fā)過程中產(chǎn)生及從供應(yīng)鏈上游繼承漏洞的挖掘與分析技術(shù)、針對軟件開發(fā)過程被污染的惡意軟件識別與清除技術(shù)、針對交付與升級渠道遭到劫持的網(wǎng)絡(luò)劫持檢測與安全防范技術(shù)等。此外,通過在工業(yè)互聯(lián)網(wǎng)的設(shè)備、平臺端部署合理有效的安全機制對于供應(yīng)鏈安全事件的應(yīng)對也顯得尤為重要[11]。
2.3 終端控制設(shè)備防護網(wǎng)關(guān)
為了應(yīng)對機床、PLC、RTU等國外或資源受限控制設(shè)備難以被安全管控的風(fēng)險,終端控制設(shè)備防護網(wǎng)關(guān)得到關(guān)注。防護網(wǎng)關(guān)作為工控終端設(shè)備的安全代理,代為運行工控設(shè)備中難以被部署的安全防護技術(shù)。防護網(wǎng)關(guān)由終端網(wǎng)關(guān)和邊緣網(wǎng)關(guān)兩類設(shè)備構(gòu)成,采取分布式部署、集中管理的設(shè)計原則。終端網(wǎng)關(guān)通常以一個設(shè)備對應(yīng)一個網(wǎng)關(guān)的形式與工控設(shè)備直連,從而實現(xiàn)對工控設(shè)備的監(jiān)測審計與安全管控;邊緣網(wǎng)關(guān)通常部署于安全管理服務(wù)器與終端網(wǎng)關(guān)之間,從而實現(xiàn)監(jiān)測審計信息的上傳、管控決策的下發(fā)、監(jiān)測審計信息的分析和部分管控決策的生成。工控設(shè)備防護網(wǎng)關(guān)中的核心技術(shù)如下。
2.3.1 細(xì)粒度訪問控制技術(shù)
由于工控終端設(shè)備的各類端口默認(rèn)對外開放,因此同時面臨人員和設(shè)備的非授權(quán)訪問風(fēng)險。針對工控設(shè)備業(yè)務(wù)流程固定和所使用端口固定的特點,工控安全網(wǎng)關(guān)可利用基于角色的訪問控制技術(shù)實現(xiàn)人員訪問控制;利用基于黑白名單的訪問控制技術(shù)實現(xiàn)端口訪問控制[12];利用虛擬局域網(wǎng)、MAC地址綁定等技術(shù)實現(xiàn)設(shè)備連接訪問控制。
2.3.2 輕量級身份鑒別技術(shù)
由于工控終端設(shè)備缺乏權(quán)限管理功能,因此面臨數(shù)據(jù)拷貝、數(shù)據(jù)篡改和控制邏輯篡改等風(fēng)險。為滿足工控設(shè)備對操作低時延的要求,工控安全網(wǎng)關(guān)可集成多因子身份鑒別和單點登錄等技術(shù)實現(xiàn)高可靠的、無需重復(fù)登錄的身份驗證模式。
2.3.3 基于工控協(xié)議深度解析的流量審計技術(shù)
由于工業(yè)控制協(xié)議自身缺乏安全防護,因此攻擊者可利用協(xié)議漏洞對工控設(shè)備執(zhí)行惡意操作。工控安全網(wǎng)關(guān)基于工控協(xié)議深度解析技術(shù),發(fā)現(xiàn)每個工控協(xié)議包中所執(zhí)行的具體業(yè)務(wù)操作;并基于白名單和安全基線判斷該操作是否為可疑或異常[13-14]。
2.4 工控威脅主動誘捕
工控威脅主動誘捕系統(tǒng)(又稱“工控蜜罐系統(tǒng)”)是一種主動吸引攻擊者的安全監(jiān)測設(shè)備。通過在工控系統(tǒng)中部署可模擬真實工控設(shè)備行為的工控蜜罐,誘騙攻擊者對工控蜜罐而非真實設(shè)備發(fā)動攻擊,從而達到檢測攻擊、拖延攻擊和隔離攻擊的目標(biāo)。其優(yōu)勢包括:檢測精準(zhǔn)度高,攻擊者一旦攻擊虛擬目標(biāo)即可發(fā)出報警,相較于入侵檢測與審計系統(tǒng)具有更高的準(zhǔn)確性,不存在誤報警問題;部署方式簡單且對業(yè)務(wù)無干擾,無需像傳統(tǒng)防火墻串接入網(wǎng)絡(luò),也無需像檢測與審計系統(tǒng)旁路收集、存儲和解析網(wǎng)絡(luò)流量;對于工控網(wǎng)路高隱蔽攻擊,工控蜜罐是一種高性價比的有效檢測工具。工控系統(tǒng)威脅誘捕系統(tǒng)中的核心技術(shù)如下。
2.4.1 基于脆弱性的虛擬蜜罐構(gòu)造技術(shù)
虛擬蜜罐是在服務(wù)器中模擬出的非實體蜜罐。為使得攻擊者難以分辨虛擬蜜罐與真實工控設(shè)備,虛擬蜜罐不但需要正確回復(fù)攻擊者所發(fā)送的工控協(xié)議包,還需要真實模擬攻擊者的攻擊指令所造成的后果。因此,虛擬蜜罐構(gòu)造技術(shù)包含兩部分內(nèi)容:基于工控協(xié)議逆向分析的設(shè)備仿真、基于設(shè)備脆弱性的高交互蜜罐構(gòu)造[16-17]。首先通過逆向分析真實設(shè)備的工控協(xié)議流量,提取工控設(shè)備的控制邏輯,構(gòu)造高仿真的虛擬工控設(shè)備;接著收集真實設(shè)備的已知漏洞并自動化提取漏洞特征,將漏洞特征嵌入虛擬工控設(shè)備中,形成可響應(yīng)已知攻擊的高交互虛擬蜜罐。
2.4.2 基于虛實結(jié)合的規(guī)?;劬W(wǎng)系統(tǒng)構(gòu)造技術(shù)
在智能制造場景下,工控環(huán)境復(fù)雜、攻擊者專業(yè)性強、新型攻擊不斷涌現(xiàn),單點虛擬蜜罐難以仿真復(fù)雜系統(tǒng)和響應(yīng)復(fù)雜網(wǎng)絡(luò)攻擊。為進一步提升欺騙誘捕能力,需構(gòu)建虛實結(jié)合的規(guī)?;酃蘧W(wǎng)絡(luò)系統(tǒng)?!疤搶嵔Y(jié)合”的內(nèi)涵在于,將少量不同類型的真實工控設(shè)備作為真實蜜罐,通過隧道技術(shù)將這些真實蜜罐與虛擬蜜罐綁定在一起[15]。當(dāng)虛擬蜜罐無法響應(yīng)未知攻擊和復(fù)雜攻擊時,將異常請求轉(zhuǎn)發(fā)至實體蜜罐,由實體蜜罐生成響應(yīng)?!耙?guī)?;酃蘧W(wǎng)絡(luò)系統(tǒng)”的內(nèi)涵在于,在原有蜜罐技術(shù)的基礎(chǔ)上采用多點聯(lián)動、協(xié)同仿真的方法,構(gòu)建PLC、機床、上位機等一系列運行不同業(yè)務(wù)蜜餌的蜜罐,且蜜罐節(jié)點協(xié)同運行工業(yè)業(yè)務(wù)形成蜜網(wǎng)系統(tǒng),實現(xiàn)在安全可控范圍內(nèi)持續(xù)欺騙和拖延攻擊者。
3 結(jié)束語
對智能制造場景下的中國工業(yè)互聯(lián)網(wǎng)的核心安全風(fēng)險進行了總結(jié),同時針對該風(fēng)險從技術(shù)層面提出以下防護對策:針對國外供應(yīng)鏈安全風(fēng)險,構(gòu)建供應(yīng)鏈安全知識圖譜;針對“黑盒子”難以被管控的風(fēng)險,利用防護網(wǎng)進行監(jiān)管與防護;針對隱蔽式攻擊和內(nèi)部攻擊難以被防御的風(fēng)險,利用工控蜜罐進行主動誘捕與攻擊發(fā)現(xiàn),形成高主動性、高智能、高聯(lián)動的主動安全防御體系。針對中國工業(yè)互聯(lián)網(wǎng)安全防護工作的未來方向,筆者從技術(shù)研究、管理制度、標(biāo)準(zhǔn)制定三個方面提出建議。
(1)開展學(xué)術(shù)界與企業(yè)界的深度協(xié)作,完善工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)體系
相較于IT網(wǎng)絡(luò)安全技術(shù)研究,工控網(wǎng)絡(luò)安全技術(shù)的研究起步較晚。本文所介紹的一系列先進安全防護技術(shù)具有顯著前瞻性與先進性,但技術(shù)中仍存在一些科學(xué)與工程難題有待學(xué)術(shù)研發(fā)團隊解決。工業(yè)企業(yè)作為用戶方,需要協(xié)助學(xué)術(shù)團隊進行工業(yè)現(xiàn)場調(diào)研與原型系統(tǒng)驗證,助力防護技術(shù)體系的應(yīng)用落地。
(2)完善工業(yè)互聯(lián)網(wǎng)安全管理制度,提升攻擊防范意識
防護工業(yè)互聯(lián)網(wǎng)不但需要安全技術(shù)體系,更需要完善的安全管理制度。在政府層面,需通過國家與行業(yè)標(biāo)準(zhǔn)明確工業(yè)互聯(lián)網(wǎng)安全管理要求,指導(dǎo)企業(yè)制定安全管理制度。在企業(yè)層面,需制定人員管理、應(yīng)急管理等安全管理制度,建立專門的信息安全運維團隊,并通過培訓(xùn)提升員工的安全意識,切實做到安全技術(shù)與安全管理并重。
(3)健全工業(yè)互聯(lián)網(wǎng)安全測評體系,完善工業(yè)互聯(lián)網(wǎng)安全測評標(biāo)準(zhǔn)
面對日趨復(fù)雜的工業(yè)互聯(lián)網(wǎng)應(yīng)用,供應(yīng)鏈管理措施的缺乏和潛在的攻擊面對整個工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的安全性都造成了巨大的威脅。制定能夠被工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)內(nèi)部相關(guān)企業(yè)和組織所共同遵守的安全要求與標(biāo)準(zhǔn),對工業(yè)互聯(lián)網(wǎng)產(chǎn)品在開發(fā)商、供應(yīng)商、服務(wù)商等不同角色交互行為進行約束,切實保障工業(yè)互聯(lián)網(wǎng)產(chǎn)品從源代碼階段到后期對產(chǎn)品維護階段的安全。完善工業(yè)互聯(lián)網(wǎng)安全測評體系,加強工業(yè)互聯(lián)網(wǎng)檢測標(biāo)準(zhǔn)研究,針對不同的工業(yè)互聯(lián)網(wǎng)應(yīng)用場景,提出簡單高效的安全測評方法,定期開展整體安全評估,以確保工業(yè)互聯(lián)網(wǎng)安全。
參考文獻
[1] 工業(yè)和信息化部, 財政部. 智能制造發(fā)展規(guī)劃(2016—2020 年)[Z], 2016.
[2] 工業(yè)和信息化部裝備工業(yè)一司. “十四五”智能制造發(fā)展規(guī)劃(征求意見稿)[Z], 2021.
[3] 世界最大石油公司沙特阿美受網(wǎng)絡(luò)攻擊[EB/OL]. (2012-08-17)[2021-05-26]. https://www.cnbeta.com/articles/tech/201890.htm.
[4] 佚名. 法國潛艇制造商DCNS大量文件遭泄露[J]. 信息安全與通信保密, 2016(9):12-13.
[5] 佚名. 臺積電:受勒索病毒攻擊停擺,制造業(yè)工控信息安全刻不容緩[J]. 自動化博覽, 2018(S2).
[6] 張曉菲, 盧春景, 于盟. 工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全風(fēng)險研究[J]. 網(wǎng)絡(luò)空間安全, 2020,11(7): 23-27.
[7] Batchu A, Klinect T, Thomas A. Hype cycle for opensource software, 2020[R], 2020.
[8] Morrison P, Smith B H, Williams L. Surveying security practice adherence in software development[C]. Proceedings of the Hot Topics in Science of Security: Symposium and Bootcamp, Hanover, MD, USA, 2017.
[9] Sánchez Helem S, Rotondo Damiano, Escobet Teresa, et al. Bibliographical review on cyber attacks from a control oriented perspective[J]. Annual Reviews in Control, 2019,48:103-128.
[10] Denning D. Framework and principles for active cyber defense[J]. Computers & Security, 2014,40:108-113.
[11] 劉烴, 田決, 王稼舟, 等. 信息物理融合系統(tǒng)綜合安全威脅與防御研究[J]. 自動化學(xué)報, 2019, 45(1): 5-24.
[12] Hashimoto K, Stenetorp P, Miwa M, et al. Taskoriented learning of word embeddings for semantic relation classification[J]. Computer Science, 2015.
[13] Qi L, Ji H. Incremental joint extraction of entity mentions and relations[C]. Proceedings of the 52nd Annual Meeting of the Association for Computational Linguistics, 2014.
[14] Zhou Z, Guo Y, He Y, et al. Access control and resource allocation for M2M communications in industrial automation[J]. IEEE Transactions on Industrial Informatics, 2019,15(5):3093-3103.
[15] 石樂義, 朱紅強, 劉祎豪, 等. 基于相關(guān)信息熵和CNN-BiLSTM的工業(yè)控制系統(tǒng)入侵檢測[J]. 計算機研究與發(fā)展, 2019,56(11): 2330-2338.
[16] 游建舟, 張悅陽, 呂世超, 等. 基于數(shù)據(jù)包分片的工控蜜罐識別方法[J]. 信息安全學(xué)報, 2019,4(3): 83-92.
[17] Guarnizo J D, Tambe A, Bunia S S, et al. Siphon: towards scalable high-interaction physical honeypots[J]. 3rd ACM Workshop on Cyber-Physical System Security,2017.
Risk analysis and countermeasure design for Industrial Internet under the scenario of Intelligent Manufacturing
SUN Limin, PAN Zhiwen, LYU Shichao, SHI Zhiqiang, ZHU Hongsong
(Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100089, China)
Abstract: The Intelligent Manufacturing scenario aims at improving the benefit and competitiveness of industries by leveraging the next-generation information technologies, yet making the isolated industrial assets interconnected as Industrial Internet. Since these interconnections extend the attack surfaces, the industrial networks are facing the severe threats from both inside and outside Internet. This paper aims at analyzing the security risk of Industrial Internet under the scenario of Intelligent Manufacturing, and proposing the corresponding technical countermeasures. Specifically, the risk analysis is conducted from three perspectives: risk of supply chain, risk of terminal asset, and risk of stealthy attack. Through investigating the advancement of industrial security techniques, three technologies and their affiliated framework are proposed as countermeasures. The future working directions for protecting Chinese industrial networks are concluded at the end.
Keywords: industrial network security; industrial security; risk assessment; active defense
本文刊于《信息通信技術(shù)與政策》2021年 第8期
來源:信息通信技術(shù)與政策