随着云计算、大数据等新一代信息技术与传统工业运营技术的深度融合,工业互联网已成为工业企业数字化转型升级的新动能;与此同时工业互联网安全问题日趋凸显,提升工业互联网安全技术保障能力成为我国工业互联网高质量发展的前提和保障。为深入了解我国工业互联网安全技术的发展情况,通过近来具体的实地了解了我国工业互联网的发展需求,系统梳理了工业互联网安全防护技术、安全评测技术、安全监测技术的发展现状,剖析了工业互联网安全技术的发展趋势、技术难点和面临的挑战。
传统的工控系统处于封闭可信环境,采用“两层三级”的防御体系、分层分域的隔离思路,对网络攻击防护能力普遍不足。随着工业互联网的发展,工业设备逐渐智能化,相关业务上云、企业协作等不断推进,互联网与工业企业中的生产组件和服务深度融合,使传统的互联网安全威胁如病毒、木马、高级持续性攻击等蔓延至工业企业内部。不同于传统互联网中的信息安全防护,工业互联网安全需要有机融合信息安全和功能安全,还要叠加交织传统工控安全和互联网安全,因而更显复杂。
工业互联网的防护技术
1、安全机制
工业互联网涉及工业生产的重要环节,对系统可用性和实时性要求高。原有的工控网络相对封闭,工控设备缺乏灵活的安全策略,无法保证接入工业互联网中的设备和运行软件安全可信。在传统 IT 网络中,安全机制一般采取黑名单技术(一般工业企业通过防火墙、网闸、隔离、安全网关等硬件类设备实现),可以有效阻止已知威胁,但不能阻止未知攻击行为。在传统工控系统中,工业业务流程相对固定,不需要频繁升级,采取白名单技术允许信任且正确的内容通过;如果信任内容发生变化,则重新调整安全策略。在工业互联网中,可采取以白名单技术为主、以黑名单技术为辅的安全防护机制。这是因为工业控制工艺流程、业务等相对固定,且对可用性和实时性的安全需求高,白名单技术更加适用,同时在开放网络中引入黑名单技术进行辅助防护。
在实现安全机制过程中有很多环节会导致安全机制失效存在的挑战如下:
1、专责人员的专业性和岗位的匹配性。
2、工业控制系统的升级和数字化转型,智能工厂带来的数据采集需求,导致预定义的黑白名单的变化,最小权限的原则在这个过程中逐步失效,出现网络缺口。
3、人员变动离职,导致关键信息丢失,设备存在的安全机制灰色区域,没法精确管控。
4、业务优先级高于安全防护优先级时,安全机制随时会被打破。
综上所述种种挑战对于没有专业团队的工控企业是个头疼的问题,寻其根本就是对访问者和请求者的身份确认,那试想一下安全技术向工控零信任的方向发展,势必可以减轻安全机制上的维护成本和资源投入。
那边界下沉,从传统的边界安全(黑白名单机制)向零信任的转变,试图解决身份鉴别的问题。
2、边界防护
传统工控系统发展到网络互通互联的工业互联网阶段,OT 与 IT 不断融合,OT 网络不再封闭可信,涉及多种网络边界。在传统 IT 网络中,通常采用 IT 防火墙技术进行边界防护,但传统 IT 防火墙技术不支持 OPC 协议(用于过程控制的 OLE)的任何解析;为确保 OPC 客户端可以正常连接 OPC 服务器,防火墙需要配置全部端口可访问,使生产控制网暴露在攻击者面前。在工控网络边界部署的工业防火墙,可以对 OPC 协议进行深度解析,跟踪 OPC 连接建立的动态端口并对传输指令进行实时监测。因此,工业互联网边界防护需要针对不同网络边界的防护情况部署不同的防火墙。为适应工业环境下的部署要求,支持常见工业协议的深度解析,边界防护产品应具有高可靠性和低时延。
传统防火墙VS工业防火墙
传统防火墙是利用五元组的方式,对源地址、目的地址、应用、动作、区域等通过对TCP或UDP包进行过滤来实现黑白名单的机制,后来出现下一代防火墙融入了应用特征的检测及各安全盒子厂家沉淀的大量数据的模型。也可以说融入了大数据和“人工”智能。检测方式更加全面,在模型和样本的辅助下更加准确,比传统五元组更智能。但是传统防火墙对专业的工控协议还是不能够做到应地制宜。
通俗的讲“下雪天,公路上行驶的汽车,你普通轮胎也可以开,但是具备雪地胎的汽车稳定性更好,再好的四驱不如四条雪地胎的道理。”
工控企业中常见且经常遇到的工控协议如下:
厂商 | 产品 | 端口 | 协议/资料 |
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
| ||
|
| TCP/44818 | EtherNet/IP | |
TCP/2001 | OPTO 22 Ethernet | ||
OMRON 欧姆龙 | CJ2 | TCP/44818 | EtherNet/IP |
UDP/9600 | OMRON FINS | ||
PHOENIX CONTACT 菲尼克斯 | Inline Series | TCP/1962 | Unknown |
TCP/20547 | Unknown | ||
| Schneider Electric 施耐德 | Quantum | TCP/502 | Modbus/TCP |
Siemens 西门子 | S7 Series | TCP/102 | ISO-TSAP |
3、工业主机安全防护
工业主机是工业互联网安全事件的突破口、众多工业病毒的传播载体。由于工业组态软件等的稳定性要求高,工业主机若未及时更新系统补丁,将无法获得全面的安全防护。在互联网中,传统 IT 主机通常采用防病毒技术,通过接入互联网进行病毒库升级;“云”查杀技术逐步推广,新病毒发现和查杀的效率不断提高,但需要实时更新升级病毒库。在工业互联网中,工业主机可以采取基于关闭无关端口、进行最小权限的账号认证、设置强制访问控制等措施的主机加固技术,提高主机操作系统的安全性。因此,以主机加固技术为基础,以防病毒技术为重要补充手段,综合利用防护技术来提高工业主机的安全防护水平。
工业互联网的评测技术
1、漏洞挖掘
工控系统漏洞不同于传统 IT 系统漏洞,具体原因为:
①大部分工控系统来自国外进口,相关系统的运营维护无法实现自主可控;
②工控系统漏洞来源范围广,涵盖网络安全中的安全计算环境漏洞、控制协议自身漏洞、应用系统漏洞、PLC 等控制器的自身漏洞与后门等;
③工控系统相对封闭,系统通信协议相对私有,难以深度研究其通信协议和安全特性。
因此,工业互联网中的漏洞挖掘技术,需对工控系统网络特性、生产过程控制及其控制协议进行分析,采取有针对性的模糊测试技术 在工业互联网中,需采用 IT 和 OT 融合环境下的漏洞挖掘思维,运用多种组合且深度融合的漏洞挖掘技术。
2、渗透测试
渗透测试通过模拟来自网络外部的恶意攻击者常用的攻击手段和方法,检测并评估工业互联网的网络系统安全性。工业互联网中的渗透测试技术,要以工控系统中渗透测试的实际需求为出发点,辅以渗透测试执行标准(PTES)、《信息安全测试评估技术指南》(NIST SP800-115)、开源安全测试方法(OSSTMM)、《开放式网页应用程序安全项目测试指南》(OWASP Test Guide)等渗透测试和安全测试流程指南,完成对工控系统渗透测试的检测与分析,提取关键流程、步骤、技术。工业互联网安全渗透测试并不是将多种渗透测试安全工具进行拼装应用,而是将多种渗透工具高度融合后进行使用。
工业互联网的合规驱动
青海省经济和信息化委员会 《关于开展2016年工业控制系统信息安全检查工作的通知》
陕西省工业和信息化厅 《关于开展2016年工业控制系统网络与信息安全检查工作的通知》
国家能源局综合司 国能综安全〔2013〕387号 《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
