随着近些年物联网在制造、安防、交通、电力、物流、医疗、环保、农业、能源等关键领域的广泛应用,物联网网络的感知层涉及到大量的传感器等哑终端设备,并且这些设备的物理分布非常广,也意味着安全问题更加难以监管,同时也暴露给攻击者更多攻击面。从国内“数百个非法气象探测站向境外传输数据”事件已经显现,物联网安全问题已严重威胁到国家重要基础行业及社会关键服务领域。
物联网脆弱性分析
物联网应用特点是通过大量的感知设备对业务进行数据采集后由感知层终端设备或数据归集设备汇总后进行上传,最终由云端平台通过数据汇集、分析实现业务的应用支撑,同时云端平台对外提供管理接口与移动APP等实现操作交互。
物联网网络层的安全问题主要是传统安全问题,目前的网络安全体系虽已成熟,但仍存在许多的攻击漏洞。在终端设备接入网络时,可能面临私接、或伪造非法接入等问题,同时可能会面对内部系统的横向攻击、中间人攻击等。另外,由于网络层承载着数据的传输,数据泄露的可能性较大,一旦数据被窃取,攻击者就可以轻松地了解业务模型并进一步实施更高级的攻击。
物联网的应用层包括运用数据处理技术进行的业务逻辑、组织组成和应用程序实现。物联网应用层除了面临基础的弱口令、系统漏洞等威胁,其应用程序也可存在SQL注入、数据窃取、DDOS攻击等风险。
总的来说,物联网在感知层、网络层和应用层等方面都存在着许多脆弱性,需要针对性地采取相应的安全措施来加强其安全性。
物联网安全痛点分析
攻击者可以通过公网进行网络扫描,使用各种攻击手段来入侵设备,例如DDoS攻击、中间人攻击、畸形报文攻击或设备漏洞利用,在工控应用场景下还存在工业控制指令的恶意下发。
物联网应用场景下,业务数据在公网上明文传输,存在数据泄露的风险。公网传输数据,在公有网络环境中难以确保数据安全,也存在数据篡改等风险。
产品定位对比分析
物联网终端数据的上传,目前主要通过DTU/GPRS或传统物联网网关,DTU/GPRS不做数据采集、不支持工业协议的深度解析,业务数据透明传输,面对远端控制场景缺乏防护能力。传统物联网网关只做数据采集、数据转发上传,很少全面的考虑业务安全,缺乏安全防护能力。
传统防火墙应用与物联网终端设备前端,大多数传统防火墙不支持物联网连接(4G物联网卡或WLAN接口),同时由于不具备工业特性也无法适应工业现场的应用。
核心需求分析
物联网场景应用在网络层和应用层的网络安全相对成熟,感知层因设备类型碎片化、部署泛在化和网络异构化等典型特点,需要注重物联网边缘侧的安全保障,从感知层进行安全防护,通过链路冗余、安全接入、访问控制、攻击防护、虚拟专网、加密传输、指令防护、地址隐藏和统一管理等多种安全防护手段,解决IOT网络安全的“最后一公里”威胁。
建设思路
支持通过4G方式接入运营商网络,解决有线网络覆盖面不足的问题。
物联网场景下的loT设备,往往部署在无人场站,对通信可靠性要求高,需要支持有线和无线互为热备的数据传输能力。
在公有网络上组建私有的局域专网,解决网络环境不可信不可靠的问题。
对分布式网络边缘节点处的接入设备做接入控制和访问控制。
通过加密隧道对数据通道做加密有效防止控制指令被篡改和业务数据泄露。
针对各类网络攻击行为,如泛洪攻击、扫描探测、非法指令传输做检查和阻断。
建设方案
通过物联网安全接入网关对感知层终端设备进行安全防护,利用链路冗余、安全接入、访问控制、攻击防护、虚拟专网、加密传输、指令防护、地址隐藏等多种安全防护手段,保障现场侧的接入安全、设备自身安全和数据传输安全。
通过工业互联防火墙对接分布式各业务单元节点上的安全接入设备,完成数据接收链路、保障数据传输的安全性;并利用工业互联防火墙的安全防护功能保障企业工业互联网边界安全。
通过统一安全管理平台对分布式各业务单元节点上的安全接入设备集中管控,实现安全接入设备的策略统一管理、资产管理、安全监测、报警分区推送,根据分布式各业务单元的区域划分进行分区运营,收集全网的安全事件,统一分析挖掘更深层次的脆弱性和威胁,提升了企业安全运维的效率。
场景功能落地方案
威努特物联网安全接入网关不仅具备有线数据传输能力,还具备4G无线数据传输能力。通过接入运营商4G网络,产品能够在复杂的大型分布式网络中正常进行数据传输,解决有线网络覆盖面有限的问题。
自学习建立物联网终端设备白名单,同时支持手动编辑,以白名单为基线进行终端设备接入的检测,一旦有未知设备接入网络即产生相应的告警以提醒管理员及时处理。
物联网安全接入网关采用状态检测的机制实现相应的安全控制。接入网关采用状态检测包过滤的技术,是传统包过滤上的功能扩展。在网络层部署状态检测检查引擎,截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。
自动学习网络中出现的合法工业控制指令,形成工业协议白名单,支持工业协议深度解析,有效防止网络中传输非法的工业控制指令。
建立虚拟专用数据通信网络,为用户远程访问、外网和内网之间的通信提供了安全而稳定的虚拟专用隧道,将分散在公网上的各节点连接起来,通过加密数据流实现安全数据传输,构建点到点或点到多点的安全网络。
畸形报文防护支持检测Land攻击、Teardrop攻击、PingofDeath攻击,异常流量防护支持检测SYNFlood攻击、PingFlood攻击、UDPFlood攻击等典型DDoS攻击,扫描防护支持TCP、UDP、ICMP异常扫描检测。
通过配置IP/MAC绑定策略,对经过网关的流量进行IP地址和MAC地址匹配校验,当外来设备接入网络时,物联网安全接入网关将拒绝外来设备向上通信,保障场站内接入设备的通信合法性。
通过NAT(网络地址转换)功能可以将工业物联网网络的某个工段或者工作域以特定IP地址对外发布,既可防止设备的真实IP对外暴露,另外也可以节约地址资源,减少对原有网络的影响。
通过统一安全管理平台进行统一配置管理和告警日志收集,所有配置都可以针对具体的某个接入网关。为了方便管理多个具有相同业务的接入网关,系统还引入了分组的概念,可以对同组的设备一次性配置。
2.工业互联防火墙:站好监控中心数据接收岗,保障互联网边界安全
威努特工业互联防火墙支持建立虚拟专用数据通信网络,将分散在各节点的物联网安全接入网关连接起来,通过加密数据流实现安全数据传输,构建点到多点的安全网络。可对连接断开等关键设备内容进行告警,快速定位故障点,及时向网络管理提供设备状态,助力运维。
威努特工业互联防火墙采用一体化安全策略,可针对入侵防御、病毒查杀、攻击防护等内容进行统一管控,使用方便,维护简单。
威努特工业互联防火墙支持主流工控网络协议解析,能全面细致配置指令级访问控制策略。支持智能化机器学习能力,生成策略白名单,实现快速一键式部署。
威努特工业互联防火墙集安全策略、入侵防御、病毒过滤、应用识别、业务可视、安全认证等功能于一体,为物联网场景下企业侧监控中心物联设备的接入提供了一个灵活、高效、全面的网络解决方案。
物联网统一安全管理平台,可以将分散在各物联网节点的物联网安全接入网关进行集中统一管理,能够对物联网安全接入网关的安全策略统一管理、资产管理、安全监测、报警分区推送,统一管理极大地提升了企业安全运维的效率。
物联网统一安全管理平台可对物联网安全接入网关进行安全策略模板配置、安全策略统一下发、安全策略变更可视等安全策略管理,同时提供完善的资产分区管理功能,能够建立资产及分区信息,可结合物联网应用场景进行分区信息建立,方便分区运维。并且可进行资产拓扑展示,并监测物联网安全接入网关在线状态。能够有效检测物联网安全接入网关的通信协议异常、流量异常、连接异常、非法设备接入等安全事件,结合资产的重要程度产生告警,提醒管理员进行安全检查和加固,并可以按区域分组将报警信息通过邮件或短信推送给相应的运维人员。
结语
物联网安全是物联网发展的一个重要组成部分,物联网终端设备数量庞大、安全性参差不齐,面临的安全威胁越来越复杂和严重,应该采取更加有力的措施开展物联网安全建设,在现有主流的网络安全技术上持续性的提升,并切入实际物联网应用场景,构建全面的物联网安全防护体系,提供更加全面的物联网安全保障,更好地促进物联网的健康发展。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!