工业互联网安全研究笔记
工业互联网作为我国打造制造强国的核心手段,也是最近大家谈论很多的“新基建”之一。那么,咱们今天要谈的工业互联网安全,它的防护对象有哪些呢?
总的来说,工业互联网安全防护的对象包括工业现场设备、工业控制系统、网络基础设施、工业应用程序及工业数据等,如下图:
确定了保护对象后,我们应该怎么来部署防护措施呢。
【理论基础安全篇】
第一,设备安全。在使用诸如工业机器人、智能仪表、传感器等现场设备时,主要的安全考虑是做好鉴权和控制。安全措施有:
(1)采用鉴别机制对接入工业互联网中的设备身份进行鉴别,确保数据来源于真实的设备;
(2)制定安全策略,如访问控制列表,实现对接入工业互联网中设备的访问控制,并对管理设备的用户授予其所需的最小权限,并实现对管理设备的用户的权限分离;
(3)对登录设备的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;
(4)对设备配置登录失败处理功能,启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
(5)做好设备的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;
(6)对设备采取基本的入侵防范措施,如只安装执行任务所必需的组件和应用程序,关闭设备中不需要的系统服务、默认共享和高危端口;
(7)设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制;
(8)及时修补漏洞;
(9)对设备进行安全审计,审计覆盖到对设备进行运维的每个用户,对重要的用户行为和重要安全事件进行审计,做好审计记录的管理;
第二,控制安全。对于传统制造业来说,为保证整条流水线的协同生产,每个工厂都有着严格的流程控制,这也是为什么控制安全在整个工业互联网中同样占有重要作用的原因。在控制安全方面,主要对控制软件和控制协议采取安全措施:
(1)对登录控制软件进行操作的用户进行身份标识和鉴别,身份鉴别信息满足相应的复杂度要求并定期更换;
(2)对登录控制软件进行操作的过程配置登录失败处理功能,并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
(3)做好控制软件的用户管理工作,如账户和权限的管理、默认账户的管理、过期账户的管理等;
(4)对控制软件启用安全审计功能,审计记录符合法律法规要求;
(5)对控制软件采取基本的入侵防范措施,如只安装必需的组件和程序,关闭设备中不需要的系统服务、默认共享和高危端口;
(6)对控制协议采取完整性保证机制,确保控制协议中的各类指令不被非法篡改和破坏;
(7)安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库;
(8)采取资源控制策略,限制单个用户或进程对系统资源的最大使用限度。
第三,网络安全。主要针对工厂内部和外部的网络及边界采取安全措施,防止来自外部的入侵:
(1)内部网络。根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。以及采用适应工厂内部网络特点的完整性校验机制,实现对网络数据传输完整性保护;
(2)外部网络。保障数据传输过程中的保密性和完整性,可采取信道加密技术或部署加密机等方式;
(3)网络边界安全。厘清内、外网之间的边界范围,针对边界采取安全相适应的措施,如在边界处设置工控防火墙、网闸、网关等安全隔离设备,并在关键网络节点处部署入侵防范设备。
(4)对网络通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等进行监测,发生异常进行报警;
(5)对通过无线网络攻击的潜在威胁和可能产生的后果进行风险分析,并对可能遭受无线攻击的设备的信息发出(信息外泄)和进入(非法操控)进行屏蔽;
(6)对网络进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
(7)实现网络集中管控,包括对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
第四,应用安全。针对工业互联网平台与工业应用程序至少需要采取身份鉴别和访问控制技术。
(1)对使用工业互联网平台与工业应用程序的用户身份进行标识和鉴别,身份鉴别信息满足复杂度要求并定期更换,强制用户首次登录时修改初始口令;
(2)工业互联网平台及工业应用程序的登录过程应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
(3)对使用工业互联网平台及工业应用程序的用户分配账户及明确相应的访问操作权限,根据访问控制策略,对工业互联网平台开发者、工业应用程序及其用户调用工业互联网平台开发接口实施访问控制,并做好用户管理工作;
(4)对于工业互联网平台及工业应用程序需配备数据合规性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合其设定要求;
(5)工业互联网平台与工业应用程序能提供安全审计功能,并在工业互联网平台及工业应用程序上线前对其安全性进行测试,对可能存在的恶意代码进行检测;
(6)确保工业应用程序的供应链安全、可靠。
第五,数据安全。工业数据的安全直接关系到工业生产线的稳定,数据的丢失、篡改等都会影响生产线,对工业数据采取的安全措施有:
(1)建立数据安全管理制度,定期备份重要数据;
(2)加密数据,从数据储存和数据传输两个环节入手,使用加密算法对数据加密,利用VPN等技术实现传输加密;
(3)部署数据防泄密系统,对数据的操作行为进行监控审计;
(4)建立数据销毁机制,明确销毁方式和销毁要求;
(5)针对工业互联网平台用户的账户信息、鉴别信息、系统信息等要满足个人信息保护规定。
【案例研究篇】
一、工业互联网典型安全风险
二、安全防护案例
三、工业互联网安全防护技术应用(总结)
(1)边界安全
边界安全通常是通过在关键网络节点处部署工控防火墙、网闸、网关等安全隔离设备,比如利用防火墙或者在路由器上设置访问控制列表进行子网间的访问控制和数据隔离,并且,还可增加用户身份认证系统和用户权限管理系统,限制非法的用户访问,确保用户真实性,合法记录用户对网络资源的访问日志,便于后续审计追溯。
(2)接入控制
1)通过堡垒机等装置实现网络的接入管理,包括网络边界识别和资产识别、自动识别在线终端、智能识别终端类型等;
2)对入网终端设备进行身份鉴别和合规验证、展示与交换机端口的映射关系;
3)IP实名制登记和入网终端网络信息生命周期管理,准确识别违规接入和修改IP、MAC等行为。
(3)安全审计
通常部署安全监测审计系统,很多做工控安全的厂家都有,目的是实现网络流量监测与告警,采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及异常活动告警,实时掌握工控网络运行状况,发现潜在的网络安全问题。通过设定状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。
(4)安全态势感知
通过采集并存储网络环境的资产、运行状态、漏洞收集、安全配置、日志、流量信息、情报信息等安全相关的数据,利用态势预测模型分析并计算安全态势,达到对全局网络空间的不间断监控,发现和挖掘网络中的异常攻击和威胁事件;部署态势感知的话选择大厂的好处是威胁情报渠道广、自身有依托平台等。选择态势感知的两个技术指标分别是:
1)具备针对威胁或者攻击的调查分析及可视化功能,可以对威胁或者攻击相关的攻击路径、攻击目标、采用的手段和影响范围进行快速定位,从而可以快速有效地进行自动化的安全决策支持和响应;
2)具备安全预警机制。
当然,并不完全,从第二章的案例中可以看出针对不同的行业,有不同的解决方案,在产品和服务的选择上是基于自身业务属性和存在的安全风险来考虑,从而选择最优,但是,都存在了一些共性的安全问题。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
拒绝付款后,SpaceX、特斯拉、波音的机密文件遭黑客泄露
本文转自雷锋网,如需转载请至雷锋网官网申请授权。 黑客面前,不给钱,便不留情面。 外媒 The Register 报道,由于没有收到勒索款项,DoppelPaymer 在网上公开了关于 SpaceX,特斯拉,波音等公司的机密信息。 据悉,被泄露的信息包括 Lockheed-Martin 设计的军事装备的细节(比如反迫击炮防御系统中的天线规格)、账单和付款表格、供应商信息、数据分析报告以及法律文书等。此外,Visser 与特斯拉和 SpaceX 之间的保密协议也在其中。 值得一提的是,这些机密信息均来自一家零部件制造商 Visser Precision。2020 年 3 月,DoppelPayme 入侵了 Visser Precision 的电脑并对其文件进行了加密,要求 Visser Precision 在 3 月份结束前支付赎金,否则将把机密文件内容公开至网上。 尽管 Visser Precision 仅是一家为汽车和航空业定制零件的制造商,但其客户涵盖了 SpaceX、特斯拉、波音、霍尼韦尔、Blue Origin,、Sikorsky、Lockheed Martin 等大型公司,其...
- 下一篇
游小明出任安天CEO
据业界消息,网络安全和信息化领域知名企业家游小明已正式加盟安天,出任首席执行官(CEO),并由安天创始人、董事长肖新光提名进入董事会,拟任执行董事长,将全面负责企业发展和运营工作。 游小明之前长期在央企中国电科体系下工作,曾先后担任中国电科第三十所副所长、卫士通公司(002268)总经理、中国电科第三十二所所长、华东电脑(600850)董事长、中电科软件信息服务有限公司党委书记兼董事长、中昌数据(600242)董事长等职务。在三十所工作期间,拥有近十年网络技术开发和管理经历,并作为卫士通公司首任总经理,带领公司成功登陆中小板,成为国内信息安全业界第一家上市公司。在三十二所及中电科软件信息服务公司工作期间,在自主可控计算、云计算与大数据以及华东电脑重组(华讯网络)、军民融合兼并收购等方面均取得良好的经营成绩。游小明拥有通信网络,工商管理,大数据等多专业硕士、博士学位,在战略规划、企业管理、市场营销、资本运作等方面,有较丰富的实践,曾获得“成都市十大杰出青年”、“中国信息安全十大领军人物”、“中国软件和信息服务十大领军人物”等荣誉称号,是上海市十四届人大代表。 安天有网络安全民企国家队之称...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7