基于零信任機制的工業互聯網邊界防護方案研究

王奕鈞

(公安部第一研究所,北京 100048)

1 研究背景

互聯網和信息技術經過近年來的快速發展,已開始與傳統產業加速融合,“工業互聯網”開始嶄露頭角。根據工業互聯網聯盟對工業互聯網的定義：工業互聯網是互聯網和新一代信息技術與工業系統全方位深度融合所形成的產業和應用生態,是工業智能化發展的關鍵綜合信息基礎設施。工業物聯網將物品、機器、計算機互聯互通,輔助提供智能工業操作,改變商業產出,現已廣泛應用于能源、電力、交通、軍工、航空航天、醫療等關系到國家安全、國際民生的重點制造行業,是國家關鍵生產制造基地的同時也是關鍵信息基礎設施[1]。在新冠肺炎疫情防控中,工業互聯網平臺有效支撐了防控應急處置,助力物資供需對接,推進企業復工復產,發揮了不可或缺的基礎支撐作用[2]。國家工業互聯網的安全已經關系到了國家安全。但工業互聯網打破了傳統工業相對封閉但可信的制造環境,所面臨的安全風險和對工業生產的威脅與日俱增。

近年來,針對工業互聯網的網絡攻擊不斷攀升,受攻擊的目標范圍不斷擴大。2015年12月,烏克蘭電力系統遭到惡意軟件攻擊,攻擊者利用系統漏洞獲取了SCADA系統控制權限,遠程控制系統跳閘,最終造成大面積停電[3];2017年5月,羅馬尼亞汽車制造商契亞、西班牙Iberdrola電力公司、尼桑桑德蘭工廠等多家知名企業工業設施遭遇WannaCry勒索軟件攻擊,造成停工停產的嚴重后果[4];2018年2月,以色列工業網絡安全企業Radiflow公司發現四臺接入歐洲廢水處理設施運營技術網絡的服務器遭遇惡意挖礦軟件的入侵,并因此導致了廢水處理設備中的HMI服務器癱瘓;特斯拉的云服務器也遭到入侵,入侵黑客通過攻擊Kubernetes框架,在特斯拉公司基礎設施的計算資源中植入挖礦軟件挖掘門羅幣[5];同年5月,有關安全人員披露：全球超過54個國家,近50萬臺設備遭遇了利用新型惡意軟件VPNFilter的入侵攻擊,該惡意軟件利用被感染設備組成僵尸網絡,搜集網絡流量和數據、執行命令和控制設備、攔截數據包、監控Modbus協議等,是利用SCADA系統的新型攻擊軟件[6]。

由此可見,針對工業互聯網的攻擊已經將攻擊目標從SCADA等傳統的工業控制系統,向工業設備、云服務器、IT設備等波及蔓延,針對工業互聯網的攻擊方式也越發多樣,由針對性很強的APT攻擊開始向包括勒索軟件、挖礦病毒、僵尸網絡等泛化攻擊演變。隨著工業互聯網的開放化發展,設備層中的設備從資源還是運算能力上都得到了極大的提高,同時,為了便于增加新的應用功能,越來越多的設備采用了Linux開源操作系統,針對工業互聯網的攻擊門檻也越來越低。并且工業互聯網還在不斷發展深入,云平臺、IPv6、SDN等新技術也會逐步加入工業互聯網,相應地也會有越來越多的攻擊逐漸延伸到工業云平臺、網絡、數據等層面。

2 工業互聯網邊界防護現狀

工業互聯網常見結構可以分為信息技術層(Information Technology,IT)和操作技術層(Operation Technology,OT)。OT層包括工程師站、PLC、執行設備、傳感器等現場設備,用于實現工控網絡中對資源、流程、工藝及事件的管理控制,覆蓋生產運營、能源運營、設備資產運營以及服務運營等層面內容[7]。IT層則包括軟件配置管理(SCM)、企業資源管理(ERP)、客戶關系管理(CRM)、企業生產過程執行管理(MES)等管理系統,通過采集大量OT層數據并加以處理利用,達到優化OT層生產流程,提高工業互聯網生產運行效率的目的。但隨著工業互聯網的發展,OT層與IT層互通互聯成為的新的發展趨勢,過去傳統工控網絡中OT網絡與IT網絡的明顯隔離變得越來越模糊,更多的數據在工廠內部的OT層與IT層之間流轉,同時,在工廠外也衍生出更多的定制業務、協同業務、產品服務等工業云平臺的功能,工廠內部的數據也因為業務需求而流轉到工業云平臺。而為了保證工廠外與工廠內數據的流轉交互,通常需要使用VPN或白名單綁定的方式來建立動態或靜態網絡訪問準入機制,以縮小工廠互聯網暴露面,應對來自互聯網中的網絡攻擊。工業互聯網邊界防護示意如圖1所示。

圖1 工業互聯網邊界防護示意圖

由此可見,當前工業互聯網的安全防護理念相信所有網絡訪問是合法的,通過規則過濾結合行為檢測的技術手段過濾掉網絡攻擊和惡意請求,從而建立防御入侵滲透的南北向攻擊和內網漫游的東西向攻擊的安全防護邊界。南北向防御主要通過在網絡出口處部署防火墻、IPS等設備建立外網防護的邊界,而東西向防御主要依賴在內網劃分出多個功能分區,并在各分區之間進行安全隔離,從而規定出內部網絡的網絡安全邊界[8]。但是,伴隨著網絡攻擊手段變化層出不窮,這種傳統的防護體系在一定程度上可以防御外部攻擊,但無法抵御更高強度、有針對性的APT攻擊。同時,為了保證工業云平臺中各業務的快速增長,工廠內部與外部的數據安全交互,工廠網絡出口處的安全運維工作壓力會持續增高,并且由于工廠內部網絡的訪問規則一旦這層網絡防護被突破,針對工廠內部的橫向滲透將很難被有效防護。

因此,為了推進工業互聯網的健康發展,中國與時俱進發布了《GB/T42021-2022 工業互聯網總體網絡架構》國家標準。其中,第9章“工業互聯網網絡安全要求”提出設備安全防護要求和網絡安全防護要求,主要是要遵循《YD/T3804-2020工業互聯網安全防護總體要求》相關規定,明確了工業互聯網安全防護內容包括設備安全、控制安全、網絡安全等多個方面的要求[9]。

3 “零信任”的邊界防護機制

2004年,一批IT安全管理者在Jericho論壇提出,在復雜的企業IT網絡中,傳統的網絡邊界正在消失,防火墻和其他邊界網關已成為阻礙電子商務發展的絆腳石,在建設企業網絡時應該消除這種邊界(即“去邊界化”)。2010年,著名研究機構Forrester的首席分析師John Kindervag提出了零信任(Zero Trust)的概念,即“我們的網絡無時無刻不處于危險的環境中,網絡位置不足以決定網絡的可信程度,在安全區域邊界外的用戶是不安全的,所有設備、用戶和網絡流量都應當經過認證和授權,遵循最小權限原則,確保所有的訪問主體、資源、通信鏈路出于最安全的狀態”。Google在BeyondCorp項目中率先應用了零信任的防護理念,很好地解決了傳統邊界安全理念難以應對的安全問題。零信任概念的提出為業界勾勒了零信任安全的藍圖,自此,越來越多的網絡安全專家開始將目光轉向“零信任”。2020年2月,美國國家標準與技術研究院發布《SP800-207：Zero Trust Architecture》(第二版草案),標志著“零信任”從理念走向工程實踐甚至標準化[10]?！傲阈湃巍钡陌l展過程如圖2所示。

圖2 “零信任”發展流程

相較于傳統網絡安全防護,“零信任”理念從信任準入出發,默認阻斷一切連接,動態信任校驗成功的連接,以隱身代替對抗,以準入代替檢測。從根本上解決依賴安全策略配置導致的超量信任問題。通過假定所有的用戶、終端、資源都是不可信的,所有用戶、終端、資源對資源的請求都需要通過動態的安全校驗,在建立用戶端到后臺服務器的信任鏈后,方可具有對資源的安全訪問權限,防止傳統網絡安全防護理念中超量信任帶來的安全問題[11]。零信任安全防護模型如圖3所示。

圖3 “零信任”安全模型

相對于傳統邊界網絡,“零信任”的安全模型將所有的外部訪問設備定義為非信任區域,所有來自非信任區域內設備的訪問請求都需要通過控制設備的鑒權后才能分配到可以訪問授信區域內服務節點的訪問鏈路,沒有獲得合法訪問鏈路的所有外部設備的訪問請求都將在控制區域內被阻斷,從而通過在邊界動態授權的方式,解決傳統網絡安全邊界防護需要投入大量設備、運維、升級成本的根本問題。

4 基于“零信任”的工業互聯網邊界防護方案

4.1 方案設計

在以往安全解決方案中,網絡和信息安全事件通常以“行為”作為攻防事件的核心焦點,從而形成了以網絡安全行為防范為核心的安全治理模式。但是,工業互聯網對外開放多種接口,使得許多工業控制行為被動連接到外部互聯網。鑒于傳統的安全防護僅是從信息安全或者功能安全的角度進行設計的,這使得IT環境與OT環境的信任邊界變得模糊,導致風險防控問題更為復雜[12]。

基于“零信任”的工業互聯網邊界防護方案的設計思路是在工廠內外部IT層之間、工廠內部IT層與OT層之間建立零信任的訪問控制體系。工廠內的IT層默認阻斷所有來自工廠外部的訪問請求,從工廠外部應用需要訪問工廠內部應用時,需要首先根據被訪問服務的公鑰文件、認證端口、校驗碼等信息初始化自身的鑒定請求,之后鑒定請求發往“零信任”控制設備完成訪問申請,“零信任”控制設備完成此條請求的身份鑒別后,向阻斷設備發送允許建立此次鏈接的指令,阻斷設備根據指令動態方向相關網絡訪問請求。同樣的,工廠內部IT層與OT層之間也依據此種機制完成OT層對外隱藏自身應用,IT層應用根據需要動態建立訪問隧道的邊界安全訪問手段。

基于“零信任”的工業互聯網邊界防護方案的核心思路是圍繞工業生產應用創建基于身份和上下文的邏輯訪問邊界,邊界內部對外提供服務的應用是隱藏的,無法被直接發現和訪問,使攻擊者在網絡空間探測或內網漫游時無法發現攻擊目標,進而無法完成對其的攻擊滲透?！傲阈湃巍笨刂圃O備會驗證訪問應用的身份、上下文和策略合規性,在不影響業務正常運行的同時,顯著縮小攻擊暴露面。

該方案可通過在網絡出口核心交換處部署“零信任”控制設備和阻斷設備,通過讀取核心交換機的鏡像流量,識別流量中特定的SPA認證包,進而完成后續的身份鑒定業務邏輯,阻斷設備通過發送雙向阻斷的數據包實現默認阻斷所有外部訪問的阻斷業務邏輯。部署結構及認證過程示意如圖4所示。

圖4 基于“零信任”的工業互聯網邊界防護方案部署結構示意圖

基于“零信任”的工業互聯網邊界防護方案涉及三個業務流程：應用隱身、身份鑒別、訪問控制。

(1)應用隱身。

基于TCP/IP協議中三次握手成功后建立訪問連接的機制,通過向未經授權的通信兩端發送SYN RST和SYN ACK RST包的方式[13],可以阻斷所有未授權訪問的來自邊界外部的掃描探測行為,從而達到將應用隱身的效果。

(2)身份鑒別。

身份鑒別基于國產加密算法SM9實現[14],SM9現已成為中國商用密碼國家標準,同時,SM9數字簽名算法和加密算法也已成為ISO/IEC國際標準[15]。身份鑒別過程中邊界外的應用將需要訪問的應用IP、端口、校驗碼、時間戳通過邊界內應用的公鑰使用SM9加密算法加密后形成申請授權的Token,并以UDP協議發往“零信任”控制設備的指定端口,“零信任”控制設備在鏡像流量中捕獲有效Token后,根據對應邊界內應用的私鑰將Token解密,然后驗證校驗碼的正確性和時間戳的有效性,如均驗證成功,則向阻斷設備發送指令,針對邊界外應用IP、邊界內應用IP和端口進行放行。同時,“零信任”控制設備還將在鏡像流量中監測該鏈路的訪問情況,當超過空閑閾值時,將向阻斷設備發送指令,恢復對該邊界內應用的應用隱身操作。

(3)訪問控制。

阻斷設備在收到放行指令后,將針對指令中的源IP、目的IP、目的端口建立臨時白名單,停止對白名單中的訪問雙方發送SYN RST包,從而允許建立該訪問鏈路的效果。

以工廠外IT層訪問工廠級IT層為例,詳細訪問流程如圖5所示。

圖5 基于“零信任”的工業互聯網邊界防護方案訪問流程

4.2 應用案例

該方案已經在某重要行業單位試點應用,可以通過配置應用名稱、應用IP、應用端口、校驗碼、準入時長來保證工業互聯網中的應用基于“零信任”機制對外提供服務,確保工業互聯網中的應用在互聯網上不可被掃描探測發現。配置規則如圖6所示。

圖6 零信任授權設備規則配置詳情

當互聯網上有主機設備試圖探測訪問工業互聯網中的應用時,零信任授權設備將直接阻斷該請求連接,并形成告警日志,告警日志如圖7所示。

圖7 告警日志頁面

基于“零信任”的工業互聯網邊界防護方案相較于傳統的網絡傳統邊界安全具有安全性高、部署靈活、兼容性好的特點,具體優勢如下：

(1)無需改變工業互聯網中生產網絡與外部網絡的網絡結構,不用改造被保護的工業生產應用,即可實現工業生產應用在外部網絡中隱身的邊界防護效果;

(2)通過在鏡像流量中過濾授權請求的方式無需在外部暴露零信任授權服務,避免遭受有針對性的攻擊,進而授權任意用戶訪問;

(3)“零信任”控制設備和阻斷設備采用旁路部署的方式,接入交換機鏡像流量,降低串行部署的帶來的性能、安全、可靠性瓶頸;

(4)可以通過鏡像內網流量的方式,實現對內部用戶訪問內部應用時的零信任授權功能,有效抵御內部攻擊。

5 結束語

當傳統的工業制造與新興信息技術、互聯網技術相融合后,一個全新的工業時代正在人們面前徐徐拉開序幕,工業互聯網的發展也呈現出頂層布局形成共識、“平臺+”集群式轉型、“鏈式”融合創新、智能技術規?；瘧玫劝l展趨勢[16]。由于工業互聯網廣泛運用于能源、電力、交通、軍工、航空航天、醫療以及市政等領域,涉及到眾多國家關鍵基礎設施,因此對工業互聯網的安全防護工作就顯得尤為重要。但根據Common Vulnerabilities &Exposures (CVE)、National Vulnerability Database (NVD)、中國國家信息安全漏洞共享平臺(CNVD)及國家信息安全漏洞庫(CNNVD)四大安全漏洞共享平臺發布的工控系統安全漏洞分布可見,制造業、水務、能源、商業設施、醫療、軌道交通、航空等關鍵基礎行業都存在大量漏洞隱患[17]。由此可見,國內工業互聯網急需一套自主可控、兼容性好、安全性高的防護方案來應對當前形勢下面臨的網絡安全風險。

該文從工業互聯網的邊界防護為切入點,引入“零信任”的安全防護機制,為整個生產內網提供整體安全防護能力,同時兼容了數量龐大、種類繁多的工業設備、操作系統以及生產應用。通過將對可信信道的建立與工業生產控制訪問相剝離,在不調整已有應用服務的前提下,利用單包授權校驗、二次信道授權等技術手段保證工業互聯網上對外開放的服務不受影響的同時,黑客無法探測出對外開放的服務,從而實現保護服務不能被黑客攻擊的目標?！傲阈湃巍钡陌踩雷o機制在數據中心內部訪問、物聯網、混合云、工業物聯網機房對外訪問入口等應有場景下有良好的防護效果[18]?；ヂ摼W的防護是一項長期性、高難度、高復雜性的系統工程,仍然需要通過完善指引工業互聯網安全發展的網絡安全制度、標準,提升工業互聯網安全防護技術創新能力,打造工業互聯網安全監測預警手段等方式,全面提升國內工業互聯網的安全防護水平,保證國內工業互聯網的健康發展。