您所在的位置: 首页 >
新闻资讯 >
技术前沿 >
基于“零信任“的工控系统安全关键技术探讨
近日,国内科技学术期刊《工业信息安全》杂志刊发了优秀论文《基于“零信任“的工控系统安全关键技术探讨》。论文全面阐述了工控安全领域的“零信任”关键技术,为“零信任”工控安全领域的实施提供参考。
以下为论文内容 :
摘要
工控系统广泛应用于关键基础设施,如电力、能源、交通、智能制造等涉及国计民生的关键领域,一旦工控系统受到恶意入侵或攻击,将造成严重后果,严重威胁国家安全。因此近年来工控系统安全问题越来越受到相关主管部门和企业的重视,关于工控安全的技术研究也越来越广泛深入。本文基于在IT安全领域已经得到验证和应用的“持续验证,永不信任”的零信任安全理念,从工控安全系统集中管理、用户身份认证、工控资产接入控制、终端安全防护技术、工控指令访问控制、工控行为访问控制、USB外设接入控制、工控安全态势分析等维度,全面阐述了工控安全领域的“零信任”关键技术,为“零信任”理念在工控安全领域的实施提供参考。
关键词
零信任;工控系统安全;关键信息基础设施
前言
2010年,著名研究机构Forrester首席分析师约翰·金德瓦格(John Kindervag)首次提出了零信任安全的概念[1],即所有的网络流量和网络访问都是不可信的,对任何的访问请求都需要进行安全验证和授权。“零信任”概念的提出,是对传统的以安全域划分、安全域隔离为基础的网络安全防御理念的颠覆[2]。在传统的网络安全防御方案中,通常会把网络划分为不同的安全域,例如外网和内网,并在不同的安全域之间部署网络安全防护设备(例如,防火墙)实施安全域隔离。采用上述网络安全防御措施后,一般就会认为内网的流量和用户访问都是安全的,外网的流量或用户如果需要访问内网资源,则需要进行安全验证和访问控制。零信任则认为对网络资源的访问始终是“不可信的”,不默认任何访问是安全的,从而不对任何访问进行隐私授权,而是需要持续验证网络访问的安全性。
工控网络根据部署的位置和功能划分,通常划分为办公网和生产网两个不同的安全管理域,办公网和生产网之间通常会安装有工业防火墙设备,进行网络安全隔离。其中生产网相对封闭,其网络访问流量主要是以工控网络流量为主,是属于传统的“可信任”网络。但是随着现代企业数字化转型和两化融合的推进,工业控制网络也正在向网络化、智能化和数字化方向发展,传统工控网络的生产网和办公网之间的边界也逐渐模糊,再加上生产网络中一些人为操作引入的不安全因素,生产网遭受外来攻击的风险日益加大,生产网络中资源访问的“可信任”性逐渐减弱。因此,传统的基于生产网和办公网隔离的安全的理念和策略也应该逐渐被“零信任”的安全理念所取代。本文基于“零信任”的核心理念,从用户认证、集中安全管理、资产接入认证、终端安全防护、工控流量审查、USB存储设备使用管控、工控网络安全态势分析等角度探讨工控网络中实施“零信任”的关键技术点。
01、零信任工控网络安全架构
零信任的网络架构是一种端到端的网络安全框架和机制[3],其核心是对访问主体进行身份识别和认证。对于工控网络而言,用户的身份、工控设备、工控网络流量、外部设备等的安全性,是影响工控网络安全的关键因素。因此构建以身份识别为核心,包含用户身份识别和认证、网络设备接入控制、网络行为安全检测、用户操作安全保障等核心功能的网络安全体系,是基于零信任的工控网络安全架构设计和部署的关键。
图 1 基于零信任的工控网络安全架构
如图 1所示,基于零信任的工控网络安全架构中,通过集中管理平台实现控制平面和数据平面分离,控制平面主要由工控安全集中管理平台实现统一安全策略管理、安全状态监测。数据平面主要实现工控安全控制能力,包括工控流量检测控制、工业终端的安全防护、外部设备设访问控制三大类。工控资产识别认证和用户身份认证构成了“零信任”工控安全网络的基础。安全分析平台主要是对工控网络安全状态、趋势等进行综合分析,分析结果可以作为工控安全集中管理平台进行安全管理的依据。
基于零信任的工控网络安全架构中,关键技术包括工控安全集中管理、用户身份认证、资产接入控制、终端安全防护、工控网络流量检测和控制、USB存储等外设接入控制、工控网络安全态势分析等。
02、集中安全管理
工业企业的生产系统大多分布式部署,表现为异地分布的生产工厂、生产车间等形式。对这些分布式部署的工业生产设备进行安全防护,需要进行统一的安全管理规划,制定统一的安全防护策略,同时在某一个区域的设备遭受攻击时,能够及时上报到集中安全管理中心,便于对其他未遭受攻击的区域提前实施更高级别的安全防护,避免攻击范围扩大,减少由此造成的损失。
集中安全管理功能主要实现系统安全策略的统一配置管理、安全事件的统一处理。从技术实现上,首先要求基于零信任的工控安全系统采用管理面和业务面分离的网络架构,提供单独的安全配置管理通信通路,保障在业务系统异常时,管理策略能够正常下达,业务安全告警信息能够正常上报。其次,对于能够登录集中安全管理系统,进行系统安全策略配置的管理员权限要进行严格的身份认证,可采用用户名+密码、指纹认证的双因子认证方案,防止用户仿冒。最后,集中安全管理系统要采集并分析各个分布式区域上报的安全事件,对工控系统整体的安全形势进行综合研判,形成安全态势报告,及时发现潜在的安全风险并预警,为制定和完善精细化的安全策略提供依据。
03、用户身份认证
“零信任”理念强调要进行强身份验证,要求对工业控制系统中所有用户进行强身份验证,确保只有经过授权的用户可以获得访问权限。在工控网络中,用户身份认证技术可以应用在多个系统上,尤其是工控管理终端设备上,例如工程师站、SCADA等。
最常见的用户身份认证技术为“用户名+密码+验证码”;安全性更高的身份认证技术为“用户名+密码+Ukey”,这两种认证技术能够解决系统“用户”访问合法性问题,但是解决不了系统“用户”与真“人”不一致的问题。在工业场景下,安全生产需要责任到具体真实的“人”,而不仅仅是真实的“用户”,所以需要采用更加严格的认证技术,做到“用户”和“人”合一。可以采用人的生物信息认证+系统用户认证技术,在用户登录系统时,除了要通过用户名、密码外,还要通过生物信息采集设备(例如指纹采集器),进行生物信息比对。只有用户名、密码认证正确,同时用户名对应的生物信息正确,才能验证通过,生成用户访问授权信息[4]。在系统用户试图访问系统资源时,必须保证有用户访问授权信息,才允许访问,这样不仅解决了现实世界的“人”的仿冒,也解决了网络用户的仿冒。
04、工控资产接入控制
工控资产是工业生产必需的设备,也是各类网络攻击的重点攻击目标。一方面某些工业资产本身存在的漏洞,容易被黑客利用,实施网络攻击;另一方面,一些黑客设备可能会通过远程方式接入工控网络,窃取工控网络数据或实施网络攻击。因此需要对所有接入工控系统的设备进行识别、认证管理,建立工控系统资产信息库,禁止未经过认证的资产设备对工控系统中的资源进行任何操作,防止非法设备对工控资源的异常访问。
工控资产识别,是对所有接入工控网络的工业设备识别出设备类型、设备型号、生产厂家、MAC地址等工控资产身份信息。工控资产识别技术包括被动式识别技术和主动式识别技术两类。被动式资产识别,是指从和待识别资产进行数据交互的网络报文中,提取五元组及其它报文特征信息,根据报文特征分析出和待识别的资产进行交互的网络和工控协议,从而判断设备类型;还可以从网络报文中提取一些关键特征字段,根据关键特征字段,可以进一步确认设备类型和厂商等设备身份信息。主动式资产识别,是指通过向待识别设备主动发送某些特定测试指令或测试报文,从待识别设备的响应信息中获取设备型号、生产厂商等设备身份信息。资产管理系统可以内置工控资产指纹库,在资产识别过程中,通过把获取的设备特征信息和工控资产指纹库中的信息进行对比,可以更精准地识别资产。和对安全性要求较高的传统的IT网络相比,工控网络(也称“OT网络”)更强调“高可用性”,要求网络安全措施的实施不能影响正常的生产活动。因此,在实践中,对于工控资产的识别主要是采用被动式识别技术,以减少对生产活动产生的影响,同时辅以主动识别模式,提升资产识别准确率。
识别出工控网络中的设备资产后,经过注册、认证后形成有网络访问权限的工控资产列表,在工控资产列表中的设备可以访问工控网络资源。不在工控资产列表中的未知设备要接入工控网络时,需要经过注册、认证,在系统确认该设备的合法性后,方可接入系统,并且该认证是一次性认证,设备再次接入系统需要重新验证。没有通过注册验证的设备,不能对工控系统做任何操作。已经注册过的设备,长时间下线后,再次上线,也需要重新进行注册、验证。通过上述工控资产的接入控制,可以防止资产非法接入和访问系统资源。
05、终端安全防护
在工控网络中,存在大量的应用客户端、工程师站、SCADA设备等终端设备。一方面,这些设备会直接向工业生产设备下发生产指令,如果这些设备被攻击或者感染病毒,将会带来灾难性的后果;另一方面,这是设备是工业生产操作人员执行各类生产指令的入口,未经授权的人工操作,可能会对工业生产过程造成破坏。因此需要加强对这些设备的安全防护。
为了保障工控终端安全,需要在工控终端上安装安全防护程序,为了减少对工业生产活动的影响,工控终端安全防护需要采用“白名单”技术,把工控终端上需要重点保护的应用程序、脚本、数据文件等加入白名单中进行重点保护,只有特定的主体才能访问和操作这些重点保护的对象,防止应用程序、脚本、文件或数据等被异常执行或篡改。“白名单”技术原理是提取一个工控终端设备正常运行时所需要的所有应用程序、脚本、数据文件等原始文件,基于这些原始文件内容,采用MD5信息摘要算法,产生出一个128位(16字节)的散列值,即MD5值,以MD5值作为文件特征,形成“白名单”文件库。通过对“白名单”文件库中的文件读写进行控制,可以防御最常见的勒索病毒攻击,避免工业企业遭受经济损失。
终端安全防护程序自身需要具备强大的用户访问认证能力,可采用双因子认证登录认证,即同时采用用户名+密码和生物信息认证的门禁式登录认证方案,防止用户信息盗用或用户仿冒,保证安全责任到人,减少人为因素导致的安全隐患。
06、基于工控指令的访问控制
基于工控指令的访问控制是指通过对工控流量报文进行深度分析和识别,建立工业指令级别的访问控制策略,从而识别和过滤异常攻击指令对工业生产过程的破坏。基于工控指令的访问控制技术包括工控协议访问控制、工业指令访问控制和工控指令操作数访问控制三个由粗到细的访问控制技术。
在传统的IT网络中,采用深度报文检测技术(DPI)识别IT网络中的各类互联网应用。在工控网络中,也可以采用深度报文检测技术识别工控网络中的工控协议,通过制定各类基于工控协议的访问控制策略对异常攻击流量进行过滤。但是,在工控网络中,对工业生产造成严重危害的除异常工控协议流量外,更多的是正常工控协议流量中携带的异常控制指令和控制参数。因此,在识别工控网络流量的工控协议后,还需要进一步识别出工控网络流量报文中携带的工控指令和控制参数。例如,识别出工控流量是Modbus工控协议流量后,还需要识别出每条Modbus报文中的功能码(例如,读取线圈状态、读取保持寄存器、预置单寄存器、预置多寄存器等)以及该功能码对应的操作数值。基于以上工控协议识别技术和识别能力,制定基于工控指令级别的访问控制策略对异常指令进行过滤,可以防止对工控设备的非法操作;在此基础上还可以针对每个正常工控指令对应的操作数值定义控制策略,对超过正常操作值范围的数据报文进行过滤,可以防止对工控设备的异常控制。
07、基于工控行为特征的访问控制
基于工控行为特征的访问控制是通过学习工业生产过程的周期性规律,固化一套正常的工控行为规则,以正常行为规则为模板,过滤超出正常行为规则以外的异常行为,防止对工控设备的异常访问。
在传统的IT网络中,网络流量反映的是人对网络资源访问的行为特征,而人的行为具有一定的随机性,所以难以通过网络流量特征判断人的行为是否异常。和IT网络流量不同,在工控网络中,控制工业生产的工控指令一般是由PLC控制器自动发送的,由于工业生产过程具有一定的周期性且任何两个周期内的所有的操作应该严格一致,所以这些工控指令也具有一定的周期性规律。工控行为学习技术通过连续采集多个某个特定的工业生产周期中的所有工控报文,采用DPI深度报文识别技术识别出工控协议,基于工控协议进一步识别出工控网络流量报文中携带的工控指令和控制参数,对多次采集的数据进行比对分析,找出工控指令下发的时间顺序、时间间隔、工控协议、控制指令和控制参数等的出现规律,从而掌握一个正常的生产周期中所包含的所有报文及其特征,形成一条基于工控报文特征工控行为规则[5],对不同生产过程重复上述分析过程,最终形成一个完整的工控行为特征规则库。学习过程结束后,对后续生产过程中所有的工控报文特征都和工控行为规则中的规则进行比对,如果有不一致报文,立即进行告警或阻断报文访问工控设备,防止对工控设备的异常网络访问。
08、USB存储设备接入控制
使用USB移动存储设备进行文件的拷贝、转移是工业生产中最常见的场景之一,而由于安全意识薄弱等原因,使用USB存储设备带来的安全风险往往容易被忽视,2010年,著名的“震网”病毒就是通过U盘传播的。因此在工控网络中对USB存储设备的使用需要进行认证、授权,防止USB存储设备滥用引入的网络安全风险。
USB存储设备接入管理需要通过专用的USB设备管理系统来实现,其目的是对未知的USB设备进行隔离,避免未知设备直接接入工控网络中。USB设备管理系统的功能包括USB存储设备识别、病毒查杀、设备授权、设备安全使用四个基本功能。首先,USB设备管理系统对接入工控系统的每一个USB设备识别,内容包括USB设备类型、厂商、序列号、USB存储设备容量、设备是否认证授权等基本信息。设备识别为USB存储设备后,需要对设备进行病毒查杀,隔离或删除病毒文件。已经经过病毒查杀的USB存储设备,依然不能被工控系统直接使用,只有经过系统管理员授权确认后,才能接入工控系统使用。已经获得授权的USB存储设备,对其中的文件访问采用最小权限原则进行访问权限控制,可以对指定文件类型定义读写操作权限,防止异常的文件越权访问。基于“永不信任”原则,已经授权的USB存储设备下线后,再次插入系统,仍然需要进行病毒查杀,保证USB存储设备安全可用。
09、工控网络安全态势分析
工控安全态势分析通过实时采集工控安全网络中各个安全设备产生的日志、告警数据以及各类网络威胁情报信息,识别出系统中的安全威胁情况,同时,通过对海量安全数据的深度挖掘和机器学习的智能分析,综合研判工控网络安全趋势及潜在安全风险。
图2 工控网络安全态势分析技术
工控安全态势分析的数据主要来源于各个工业安全设备的日志信息、安全风险事件信息等,可以通过专用的数据采集探针采集,也可以通过具备一定分析功能的流量审计和日志审计设备采集上报。对于采集到的海量数据,叠加内置的各类安全威胁知识库、安全规则库等,采用大数据存储及分析技术,建立大数据分析引擎,采用各类数据分析算法、机器学习算法以及基于特征、行为和时序的异常检测算法,按照时间、空间、业务行为等多个维度对数据进行关联分析,并根据安全事件特征规则,识别安全风险事件、安全威胁以及异常网络行为。
通过工控安全态势分析结果,可以帮助系统管理人员及时识别潜在的网络风险,及时优化网络安全策略和各种安全配置,提升网络安全防范能力。
总结
综上所述,对于由工控设备、应用程序、网络流量、外部设备、人为操作等核心要素构成工控网络系统,应用“零信任”原则,构筑包括集中安全管理、用户的认证和授权管理、工控资产识别和接入控制、终端安全防护、工控网络流量分析和控制、USB存储设备接入控制、工控安全态势分析等能力的安全防护体系,确保只有经过认证和授权的主体,才能对工控网络资源进行访问,是保障工控网络安全的重要基石,也是“零信任”原则在工控网络安全领域的应用。
参考文献
[1] 算网融合产业及标准推进委员会.零信任技术和产业发展(2022 年)[R/OL]. (2022-12-15)[2023-1-15]: http://www.ccnis.org.cn/Assets/filewhtiepaper/lingxinrjscyfz.pdf.
[2] 余海,郭庆,房利国.零信任体系技术研究[J].通信技术,2020,20(8):2027-2028.
[3] 李欢欢,徐小云,王红蕾.基于零信任的网络安全模型架构与应用研究.科技资讯,2021,19(17) : 8.
[4] 向人鹏.基于”零信任”的工业信息安全防护研究.2019 电力行业信息化年会论文集[C].无锡2019: 171-174.
[5] 石进.基于零信任机制的工控网络安全防御技术研究[D/OL].北京: 华北电力大学,2022 [2022-05-01].https;//cdmd.cnki.com.cn/Article/CDMD11412-1023003858.htm.
来源:珞安科技