基于零信任機制的工業(yè)互聯(lián)網(wǎng)邊界防護方案研究

王奕鈞

(公安部第一研究所,北京 100048)

1 研究背景

互聯(lián)網(wǎng)和信息技術經(jīng)過近年來的快速發(fā)展,已開始與傳統(tǒng)產(chǎn)業(yè)加速融合,“工業(yè)互聯(lián)網(wǎng)”開始嶄露頭角。根據(jù)工業(yè)互聯(lián)網(wǎng)聯(lián)盟對工業(yè)互聯(lián)網(wǎng)的定義：工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應用生態(tài),是工業(yè)智能化發(fā)展的關鍵綜合信息基礎設施。工業(yè)物聯(lián)網(wǎng)將物品、機器、計算機互聯(lián)互通,輔助提供智能工業(yè)操作,改變商業(yè)產(chǎn)出,現(xiàn)已廣泛應用于能源、電力、交通、軍工、航空航天、醫(yī)療等關系到國家安全、國際民生的重點制造行業(yè),是國家關鍵生產(chǎn)制造基地的同時也是關鍵信息基礎設施[1]。在新冠肺炎疫情防控中,工業(yè)互聯(lián)網(wǎng)平臺有效支撐了防控應急處置,助力物資供需對接,推進企業(yè)復工復產(chǎn),發(fā)揮了不可或缺的基礎支撐作用[2]。國家工業(yè)互聯(lián)網(wǎng)的安全已經(jīng)關系到了國家安全。但工業(yè)互聯(lián)網(wǎng)打破了傳統(tǒng)工業(yè)相對封閉但可信的制造環(huán)境,所面臨的安全風險和對工業(yè)生產(chǎn)的威脅與日俱增。

近年來,針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡攻擊不斷攀升,受攻擊的目標范圍不斷擴大。2015年12月,烏克蘭電力系統(tǒng)遭到惡意軟件攻擊,攻擊者利用系統(tǒng)漏洞獲取了SCADA系統(tǒng)控制權(quán)限,遠程控制系統(tǒng)跳閘,最終造成大面積停電[3];2017年5月,羅馬尼亞汽車制造商契亞、西班牙Iberdrola電力公司、尼桑桑德蘭工廠等多家知名企業(yè)工業(yè)設施遭遇WannaCry勒索軟件攻擊,造成停工停產(chǎn)的嚴重后果[4];2018年2月,以色列工業(yè)網(wǎng)絡安全企業(yè)Radiflow公司發(fā)現(xiàn)四臺接入歐洲廢水處理設施運營技術網(wǎng)絡的服務器遭遇惡意挖礦軟件的入侵,并因此導致了廢水處理設備中的HMI服務器癱瘓;特斯拉的云服務器也遭到入侵,入侵黑客通過攻擊Kubernetes框架,在特斯拉公司基礎設施的計算資源中植入挖礦軟件挖掘門羅幣[5];同年5月,有關安全人員披露：全球超過54個國家,近50萬臺設備遭遇了利用新型惡意軟件VPNFilter的入侵攻擊,該惡意軟件利用被感染設備組成僵尸網(wǎng)絡,搜集網(wǎng)絡流量和數(shù)據(jù)、執(zhí)行命令和控制設備、攔截數(shù)據(jù)包、監(jiān)控Modbus協(xié)議等,是利用SCADA系統(tǒng)的新型攻擊軟件[6]。

由此可見,針對工業(yè)互聯(lián)網(wǎng)的攻擊已經(jīng)將攻擊目標從SCADA等傳統(tǒng)的工業(yè)控制系統(tǒng),向工業(yè)設備、云服務器、IT設備等波及蔓延,針對工業(yè)互聯(lián)網(wǎng)的攻擊方式也越發(fā)多樣,由針對性很強的APT攻擊開始向包括勒索軟件、挖礦病毒、僵尸網(wǎng)絡等泛化攻擊演變。隨著工業(yè)互聯(lián)網(wǎng)的開放化發(fā)展,設備層中的設備從資源還是運算能力上都得到了極大的提高,同時,為了便于增加新的應用功能,越來越多的設備采用了Linux開源操作系統(tǒng),針對工業(yè)互聯(lián)網(wǎng)的攻擊門檻也越來越低。并且工業(yè)互聯(lián)網(wǎng)還在不斷發(fā)展深入,云平臺、IPv6、SDN等新技術也會逐步加入工業(yè)互聯(lián)網(wǎng),相應地也會有越來越多的攻擊逐漸延伸到工業(yè)云平臺、網(wǎng)絡、數(shù)據(jù)等層面。

2 工業(yè)互聯(lián)網(wǎng)邊界防護現(xiàn)狀

工業(yè)互聯(lián)網(wǎng)常見結(jié)構(gòu)可以分為信息技術層(Information Technology,IT)和操作技術層(Operation Technology,OT)。OT層包括工程師站、PLC、執(zhí)行設備、傳感器等現(xiàn)場設備,用于實現(xiàn)工控網(wǎng)絡中對資源、流程、工藝及事件的管理控制,覆蓋生產(chǎn)運營、能源運營、設備資產(chǎn)運營以及服務運營等層面內(nèi)容[7]。IT層則包括軟件配置管理(SCM)、企業(yè)資源管理(ERP)、客戶關系管理(CRM)、企業(yè)生產(chǎn)過程執(zhí)行管理(MES)等管理系統(tǒng),通過采集大量OT層數(shù)據(jù)并加以處理利用,達到優(yōu)化OT層生產(chǎn)流程,提高工業(yè)互聯(lián)網(wǎng)生產(chǎn)運行效率的目的。但隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,OT層與IT層互通互聯(lián)成為的新的發(fā)展趨勢,過去傳統(tǒng)工控網(wǎng)絡中OT網(wǎng)絡與IT網(wǎng)絡的明顯隔離變得越來越模糊,更多的數(shù)據(jù)在工廠內(nèi)部的OT層與IT層之間流轉(zhuǎn),同時,在工廠外也衍生出更多的定制業(yè)務、協(xié)同業(yè)務、產(chǎn)品服務等工業(yè)云平臺的功能,工廠內(nèi)部的數(shù)據(jù)也因為業(yè)務需求而流轉(zhuǎn)到工業(yè)云平臺。而為了保證工廠外與工廠內(nèi)數(shù)據(jù)的流轉(zhuǎn)交互,通常需要使用VPN或白名單綁定的方式來建立動態(tài)或靜態(tài)網(wǎng)絡訪問準入機制,以縮小工廠互聯(lián)網(wǎng)暴露面,應對來自互聯(lián)網(wǎng)中的網(wǎng)絡攻擊。工業(yè)互聯(lián)網(wǎng)邊界防護示意如圖1所示。

圖1 工業(yè)互聯(lián)網(wǎng)邊界防護示意圖

由此可見,當前工業(yè)互聯(lián)網(wǎng)的安全防護理念相信所有網(wǎng)絡訪問是合法的,通過規(guī)則過濾結(jié)合行為檢測的技術手段過濾掉網(wǎng)絡攻擊和惡意請求,從而建立防御入侵滲透的南北向攻擊和內(nèi)網(wǎng)漫游的東西向攻擊的安全防護邊界。南北向防御主要通過在網(wǎng)絡出口處部署防火墻、IPS等設備建立外網(wǎng)防護的邊界,而東西向防御主要依賴在內(nèi)網(wǎng)劃分出多個功能分區(qū),并在各分區(qū)之間進行安全隔離,從而規(guī)定出內(nèi)部網(wǎng)絡的網(wǎng)絡安全邊界[8]。但是,伴隨著網(wǎng)絡攻擊手段變化層出不窮,這種傳統(tǒng)的防護體系在一定程度上可以防御外部攻擊,但無法抵御更高強度、有針對性的APT攻擊。同時,為了保證工業(yè)云平臺中各業(yè)務的快速增長,工廠內(nèi)部與外部的數(shù)據(jù)安全交互,工廠網(wǎng)絡出口處的安全運維工作壓力會持續(xù)增高,并且由于工廠內(nèi)部網(wǎng)絡的訪問規(guī)則一旦這層網(wǎng)絡防護被突破,針對工廠內(nèi)部的橫向滲透將很難被有效防護。

因此,為了推進工業(yè)互聯(lián)網(wǎng)的健康發(fā)展,中國與時俱進發(fā)布了《GB/T42021-2022 工業(yè)互聯(lián)網(wǎng)總體網(wǎng)絡架構(gòu)》國家標準。其中,第9章“工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全要求”提出設備安全防護要求和網(wǎng)絡安全防護要求,主要是要遵循《YD/T3804-2020工業(yè)互聯(lián)網(wǎng)安全防護總體要求》相關規(guī)定,明確了工業(yè)互聯(lián)網(wǎng)安全防護內(nèi)容包括設備安全、控制安全、網(wǎng)絡安全等多個方面的要求[9]。

3 “零信任”的邊界防護機制

2004年,一批IT安全管理者在Jericho論壇提出,在復雜的企業(yè)IT網(wǎng)絡中,傳統(tǒng)的網(wǎng)絡邊界正在消失,防火墻和其他邊界網(wǎng)關已成為阻礙電子商務發(fā)展的絆腳石,在建設企業(yè)網(wǎng)絡時應該消除這種邊界(即“去邊界化”)。2010年,著名研究機構(gòu)Forrester的首席分析師John Kindervag提出了零信任(Zero Trust)的概念,即“我們的網(wǎng)絡無時無刻不處于危險的環(huán)境中,網(wǎng)絡位置不足以決定網(wǎng)絡的可信程度,在安全區(qū)域邊界外的用戶是不安全的,所有設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權(quán),遵循最小權(quán)限原則,確保所有的訪問主體、資源、通信鏈路出于最安全的狀態(tài)”。Google在BeyondCorp項目中率先應用了零信任的防護理念,很好地解決了傳統(tǒng)邊界安全理念難以應對的安全問題。零信任概念的提出為業(yè)界勾勒了零信任安全的藍圖,自此,越來越多的網(wǎng)絡安全專家開始將目光轉(zhuǎn)向“零信任”。2020年2月,美國國家標準與技術研究院發(fā)布《SP800-207：Zero Trust Architecture》(第二版草案),標志著“零信任”從理念走向工程實踐甚至標準化[10]。“零信任”的發(fā)展過程如圖2所示。

圖2 “零信任”發(fā)展流程

相較于傳統(tǒng)網(wǎng)絡安全防護,“零信任”理念從信任準入出發(fā),默認阻斷一切連接,動態(tài)信任校驗成功的連接,以隱身代替對抗,以準入代替檢測。從根本上解決依賴安全策略配置導致的超量信任問題。通過假定所有的用戶、終端、資源都是不可信的,所有用戶、終端、資源對資源的請求都需要通過動態(tài)的安全校驗,在建立用戶端到后臺服務器的信任鏈后,方可具有對資源的安全訪問權(quán)限,防止傳統(tǒng)網(wǎng)絡安全防護理念中超量信任帶來的安全問題[11]。零信任安全防護模型如圖3所示。

圖3 “零信任”安全模型

相對于傳統(tǒng)邊界網(wǎng)絡,“零信任”的安全模型將所有的外部訪問設備定義為非信任區(qū)域,所有來自非信任區(qū)域內(nèi)設備的訪問請求都需要通過控制設備的鑒權(quán)后才能分配到可以訪問授信區(qū)域內(nèi)服務節(jié)點的訪問鏈路,沒有獲得合法訪問鏈路的所有外部設備的訪問請求都將在控制區(qū)域內(nèi)被阻斷,從而通過在邊界動態(tài)授權(quán)的方式,解決傳統(tǒng)網(wǎng)絡安全邊界防護需要投入大量設備、運維、升級成本的根本問題。

4 基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案

4.1 方案設計

在以往安全解決方案中,網(wǎng)絡和信息安全事件通常以“行為”作為攻防事件的核心焦點,從而形成了以網(wǎng)絡安全行為防范為核心的安全治理模式。但是,工業(yè)互聯(lián)網(wǎng)對外開放多種接口,使得許多工業(yè)控制行為被動連接到外部互聯(lián)網(wǎng)。鑒于傳統(tǒng)的安全防護僅是從信息安全或者功能安全的角度進行設計的,這使得IT環(huán)境與OT環(huán)境的信任邊界變得模糊,導致風險防控問題更為復雜[12]。

基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案的設計思路是在工廠內(nèi)外部IT層之間、工廠內(nèi)部IT層與OT層之間建立零信任的訪問控制體系。工廠內(nèi)的IT層默認阻斷所有來自工廠外部的訪問請求,從工廠外部應用需要訪問工廠內(nèi)部應用時,需要首先根據(jù)被訪問服務的公鑰文件、認證端口、校驗碼等信息初始化自身的鑒定請求,之后鑒定請求發(fā)往“零信任”控制設備完成訪問申請,“零信任”控制設備完成此條請求的身份鑒別后,向阻斷設備發(fā)送允許建立此次鏈接的指令,阻斷設備根據(jù)指令動態(tài)方向相關網(wǎng)絡訪問請求。同樣的,工廠內(nèi)部IT層與OT層之間也依據(jù)此種機制完成OT層對外隱藏自身應用,IT層應用根據(jù)需要動態(tài)建立訪問隧道的邊界安全訪問手段。

基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案的核心思路是圍繞工業(yè)生產(chǎn)應用創(chuàng)建基于身份和上下文的邏輯訪問邊界,邊界內(nèi)部對外提供服務的應用是隱藏的,無法被直接發(fā)現(xiàn)和訪問,使攻擊者在網(wǎng)絡空間探測或內(nèi)網(wǎng)漫游時無法發(fā)現(xiàn)攻擊目標,進而無法完成對其的攻擊滲透。“零信任”控制設備會驗證訪問應用的身份、上下文和策略合規(guī)性,在不影響業(yè)務正常運行的同時,顯著縮小攻擊暴露面。

該方案可通過在網(wǎng)絡出口核心交換處部署“零信任”控制設備和阻斷設備,通過讀取核心交換機的鏡像流量,識別流量中特定的SPA認證包,進而完成后續(xù)的身份鑒定業(yè)務邏輯,阻斷設備通過發(fā)送雙向阻斷的數(shù)據(jù)包實現(xiàn)默認阻斷所有外部訪問的阻斷業(yè)務邏輯。部署結(jié)構(gòu)及認證過程示意如圖4所示。

圖4 基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案部署結(jié)構(gòu)示意圖

基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案涉及三個業(yè)務流程：應用隱身、身份鑒別、訪問控制。

(1)應用隱身。

基于TCP/IP協(xié)議中三次握手成功后建立訪問連接的機制,通過向未經(jīng)授權(quán)的通信兩端發(fā)送SYN RST和SYN ACK RST包的方式[13],可以阻斷所有未授權(quán)訪問的來自邊界外部的掃描探測行為,從而達到將應用隱身的效果。

(2)身份鑒別。

身份鑒別基于國產(chǎn)加密算法SM9實現(xiàn)[14],SM9現(xiàn)已成為中國商用密碼國家標準,同時,SM9數(shù)字簽名算法和加密算法也已成為ISO/IEC國際標準[15]。身份鑒別過程中邊界外的應用將需要訪問的應用IP、端口、校驗碼、時間戳通過邊界內(nèi)應用的公鑰使用SM9加密算法加密后形成申請授權(quán)的Token,并以UDP協(xié)議發(fā)往“零信任”控制設備的指定端口,“零信任”控制設備在鏡像流量中捕獲有效Token后,根據(jù)對應邊界內(nèi)應用的私鑰將Token解密,然后驗證校驗碼的正確性和時間戳的有效性,如均驗證成功,則向阻斷設備發(fā)送指令,針對邊界外應用IP、邊界內(nèi)應用IP和端口進行放行。同時,“零信任”控制設備還將在鏡像流量中監(jiān)測該鏈路的訪問情況,當超過空閑閾值時,將向阻斷設備發(fā)送指令,恢復對該邊界內(nèi)應用的應用隱身操作。

(3)訪問控制。

阻斷設備在收到放行指令后,將針對指令中的源IP、目的IP、目的端口建立臨時白名單,停止對白名單中的訪問雙方發(fā)送SYN RST包,從而允許建立該訪問鏈路的效果。

以工廠外IT層訪問工廠級IT層為例,詳細訪問流程如圖5所示。

圖5 基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案訪問流程

4.2 應用案例

該方案已經(jīng)在某重要行業(yè)單位試點應用,可以通過配置應用名稱、應用IP、應用端口、校驗碼、準入時長來保證工業(yè)互聯(lián)網(wǎng)中的應用基于“零信任”機制對外提供服務,確保工業(yè)互聯(lián)網(wǎng)中的應用在互聯(lián)網(wǎng)上不可被掃描探測發(fā)現(xiàn)。配置規(guī)則如圖6所示。

圖6 零信任授權(quán)設備規(guī)則配置詳情

當互聯(lián)網(wǎng)上有主機設備試圖探測訪問工業(yè)互聯(lián)網(wǎng)中的應用時,零信任授權(quán)設備將直接阻斷該請求連接,并形成告警日志,告警日志如圖7所示。

圖7 告警日志頁面

基于“零信任”的工業(yè)互聯(lián)網(wǎng)邊界防護方案相較于傳統(tǒng)的網(wǎng)絡傳統(tǒng)邊界安全具有安全性高、部署靈活、兼容性好的特點,具體優(yōu)勢如下：

(1)無需改變工業(yè)互聯(lián)網(wǎng)中生產(chǎn)網(wǎng)絡與外部網(wǎng)絡的網(wǎng)絡結(jié)構(gòu),不用改造被保護的工業(yè)生產(chǎn)應用,即可實現(xiàn)工業(yè)生產(chǎn)應用在外部網(wǎng)絡中隱身的邊界防護效果;

(2)通過在鏡像流量中過濾授權(quán)請求的方式無需在外部暴露零信任授權(quán)服務,避免遭受有針對性的攻擊,進而授權(quán)任意用戶訪問;

(3)“零信任”控制設備和阻斷設備采用旁路部署的方式,接入交換機鏡像流量,降低串行部署的帶來的性能、安全、可靠性瓶頸;

(4)可以通過鏡像內(nèi)網(wǎng)流量的方式,實現(xiàn)對內(nèi)部用戶訪問內(nèi)部應用時的零信任授權(quán)功能,有效抵御內(nèi)部攻擊。

5 結(jié)束語

當傳統(tǒng)的工業(yè)制造與新興信息技術、互聯(lián)網(wǎng)技術相融合后,一個全新的工業(yè)時代正在人們面前徐徐拉開序幕,工業(yè)互聯(lián)網(wǎng)的發(fā)展也呈現(xiàn)出頂層布局形成共識、“平臺+”集群式轉(zhuǎn)型、“鏈式”融合創(chuàng)新、智能技術規(guī)模化應用等發(fā)展趨勢[16]。由于工業(yè)互聯(lián)網(wǎng)廣泛運用于能源、電力、交通、軍工、航空航天、醫(yī)療以及市政等領域,涉及到眾多國家關鍵基礎設施,因此對工業(yè)互聯(lián)網(wǎng)的安全防護工作就顯得尤為重要。但根據(jù)Common Vulnerabilities &Exposures (CVE)、National Vulnerability Database (NVD)、中國國家信息安全漏洞共享平臺(CNVD)及國家信息安全漏洞庫(CNNVD)四大安全漏洞共享平臺發(fā)布的工控系統(tǒng)安全漏洞分布可見,制造業(yè)、水務、能源、商業(yè)設施、醫(yī)療、軌道交通、航空等關鍵基礎行業(yè)都存在大量漏洞隱患[17]。由此可見,國內(nèi)工業(yè)互聯(lián)網(wǎng)急需一套自主可控、兼容性好、安全性高的防護方案來應對當前形勢下面臨的網(wǎng)絡安全風險。

該文從工業(yè)互聯(lián)網(wǎng)的邊界防護為切入點,引入“零信任”的安全防護機制,為整個生產(chǎn)內(nèi)網(wǎng)提供整體安全防護能力,同時兼容了數(shù)量龐大、種類繁多的工業(yè)設備、操作系統(tǒng)以及生產(chǎn)應用。通過將對可信信道的建立與工業(yè)生產(chǎn)控制訪問相剝離,在不調(diào)整已有應用服務的前提下,利用單包授權(quán)校驗、二次信道授權(quán)等技術手段保證工業(yè)互聯(lián)網(wǎng)上對外開放的服務不受影響的同時,黑客無法探測出對外開放的服務,從而實現(xiàn)保護服務不能被黑客攻擊的目標?！傲阈湃巍钡陌踩雷o機制在數(shù)據(jù)中心內(nèi)部訪問、物聯(lián)網(wǎng)、混合云、工業(yè)物聯(lián)網(wǎng)機房對外訪問入口等應有場景下有良好的防護效果[18]?；ヂ?lián)網(wǎng)的防護是一項長期性、高難度、高復雜性的系統(tǒng)工程,仍然需要通過完善指引工業(yè)互聯(lián)網(wǎng)安全發(fā)展的網(wǎng)絡安全制度、標準,提升工業(yè)互聯(lián)網(wǎng)安全防護技術創(chuàng)新能力,打造工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預警手段等方式,全面提升國內(nèi)工業(yè)互聯(lián)網(wǎng)的安全防護水平,保證國內(nèi)工業(yè)互聯(lián)網(wǎng)的健康發(fā)展。