今日頭條
官方微信
官方抖音
資訊頻道★中國民航大學陳佳
1 介紹
工控系統(Industrial Control System,ICS)是重要基礎設施的核心,其一旦遭受網絡攻擊,造成后果影響面廣,危害大。因此,保證網絡安全是工控系統正常運行的保障[1]。近年來,國內外學者對工控系統網絡安全的研究已成為工程領域與學術領域的研究熱點。可信Internet連接和代理外圍防火墻提供了強大的Internet網關,主要抵御了來自網絡的攻擊[2],但是無法有效地防止設備漏洞等內部網絡威脅。傳統的物理隔離方法已經不能滿足工控系統功能安全和網絡安全的雙重需求,如何保障工控系統免遭系統內外威脅和非法入侵,是工控系統網絡安全領域面臨的巨大挑戰。
在現階段,工控系統傳統網絡安全防護方法主要包括以下3個方面:(1)基于特征匹配的網絡異常檢測方法[3];(2)基于設備信號偏離的異常檢測方法[4];(3)基于設備指紋的異常檢測方法[5]。隨著工控系統的數字化轉型速度加快,云計算、邊緣控制和物聯網(Internet of Things,IoT)等最新技術導致現有網絡邊界不斷擴大,零信任架構(Zero Trust Architecture,ZTA)已經成為“邊界防御”網絡安全策略的新架構[6]。早在2020年,NIST發布了SP800-207零信任架構標準,用于指導網絡基礎架構設計和操作,提高了任何網絡的安全性,涉及范圍包括了工控系統[7]。零信任機制下的工控系統意味著在工控系統中,所有內、外部的設備和用戶都被視為潛在威脅,需要持續地對所有設備和用戶進行嚴格的身份認證和授權。因此,設計出一個適合零信任機制下的工控系統安全防護框架顯得尤為必要,并在這一框架的基礎上,構建基于零信任的安全防御體系,以實現對工控系統的全方位、多層次安全防護。
2 工控系統零信任安全框架設計
在現有工控系統的網絡安全基礎上引入零信任安全理念是一個重要的舉措[8]。本文設計的安全框架從三個方面確保安全性:終端可信接入、持續信任評估和動態訪問控制。首先,終端可信接入確保只有經過身份認證的合法用戶才能接入系統,從而防止終端接入異常和誤操作的問題。其次,持續信任評估利用持續信任評估技術,對流量進行監測和分析,及時發現和應對異常流量,從而有效防止橫向攻擊行為。最后,動態訪問控制根據用戶的身份、行為以及其他上下文信息,動態調整訪問權限,確保只有經過授權的用戶才能訪問系統資源。該框架如圖1所示,具備終端可信接入、持續信任評估和動態訪問控制的核心安全能力,能夠為工控系統安全防護提供可靠的解決方案。
圖1 工控系統零信任安全框架圖
2.1 終端可信接入
在終端請求訪問主站應用層業務資源時,首先需要在可信接入區進行可信身份認證。基礎身份認證包括用戶ID和密碼認證、設備硬件認證以及應用哈希認證等方式,以確保終端設備的真實身份,防止假冒或劫持。基礎身份認證是零信任架構的重要基礎。在基礎身份認證完成后,還需要進行多因素身份認證以增強安全性。這里采用單包授權認證的方法,將設備信息、應用信息和用戶信息組合在一個授權包中,利用fwknop等工具實現單包授權認證,確保接入工控系統的設備、應用和用戶的可信性。這樣的認證流程有效確保了訪問請求的合法性和安全性,為工控系統零信任安全框架提供了可靠的基礎。
2.2 持續信任評估
用戶通過可信身份認證后,則獲得對工控系統資源的基礎控制權限。然而,在用戶與工控系統通信期間,需要進行持續的信任評估。這一過程是零信任安全框架的核心環節之一,其功能是為上層動態訪問控制決策引擎提供訪問終端的授權策略依據。持續信任評估的實現方式是對用戶業務訪問流量進行基于基線的異常分析,包括對流量數據包的基礎特征和行為特征進行分析,并與用戶歷史行為對比,以確定用戶行為的可信度。通過采集用戶歷史流量數據并進行訓練,可以建立用戶流量基線,然后解析用戶實時流量數據并分析其行為特征,用作異常檢測的依據。在零信任網絡中,網絡通信被劃分為數據平面和控制平面。用戶通過數據平面與工控系統進行業務交互,而控制平面則用于發起接入申請。經過信任評估、終端行為基線異常檢測以及訪問決策代理的處理,可以進行持續身份認證和動態授權,確保網絡通信的安全性和可信度。
2.3 動態訪問控制
動態訪問控制通過接收下層持續信任評估的相關信息,根據最小權限授予策略,基于基礎身份信任度、歷史訪問行為和動態行為信任度進行動態授權評價,是用戶訪問工控資源控制層的核心。動態訪問控制策略庫為用戶提供授權決策的依據,動態訪問控制策略庫包括身份信息庫、權限數據庫、終端風險信息庫和決策數據庫。通過大數據分析和人工智能技術,對用戶行為進行持續評估。
3 工控系統零信任安全防御體系建設
考慮到工控系統業務的復雜性和安全防御的多樣性需求,可以借鑒零信任安全等防護理念,建立適合工控系統業務發展和安全防護需求的縱深一體化防御體系[9]。零信任理念默認網絡始終處于潛在的危險環境中,因此用戶身份信息、硬件設備信息、訪問過程中產生的行為信息以及數據流特征等多維數據可作為認證與鑒權的來源,以確定基于身份的權限授權范圍。針對工控系統復雜的組網結構和業務接入特點,通過構建基于零信任的縱深一體化防御體系,可以根據用戶不同業務的安全服務需求提供相應的安全保障。這種體系結構能夠綜合利用多種安全策略和技術手段,包括但不限于身份認證、訪問控制、行為分析等,以確保工控系統的安全性和穩定性。同時,該體系結構能夠適應工控系統業務發展的需求,可以靈活應對不斷變化的安全威脅和攻擊手法,提高了系統的整體安全防御能力。
3.1 縱深聯動防御機制建設
構建零信任的防御體系模型并不僅限于單一維度的防御技術應用,而是一個由點及面逐步建設推進的過程。這個體系的建設是聯動的、動態的、縱深的,并且涵蓋了多個維度。整體防御的零信任機制應該盡可能覆蓋更多的防御面,并確保這些面能夠聯動起來。這意味著,在構建零信任的防御體系時,需要考慮到以下幾個方面:
聯動化:不同的防御措施之間需要聯動協作,形成一個整體的防御網絡。這樣可以確保在檢測到攻擊或威脅時,能夠及時響應并采取相應的防御措施。
動態式:零信任的防御體系需要能夠動態地適應不斷變化的威脅和攻擊手法。這包括實時監測和分析網絡流量、用戶行為等信息,以及動態調整和優化防御策略。
縱深式:防御體系應該是縱深的,即在不同的層面和環節都設置相應的防御措施,形成多層次的保護。這樣即使一層防御被繞過或攻破,仍然有其他層次的防御在起作用。
多維度:零信任的防御體系應該覆蓋多個維度,包括但不限于身份認證、訪問控制、行為分析、數據加密等。這樣可以從不同的角度對網絡和系統進行保護,提高了整體的安全性。
3.2 零信任SDP解決接入安全
SDP(Software Defined Perimeter,SDP)是由云安全聯盟開發的一種安全框架,它以身份為中心,融合多種判斷源,并動態控制對資源的訪問過程,旨在解決跨邊界企業數據中心資源訪問安全的問題[10]。該設計采用單向敲門認證機制實現網絡隱身,從根本上防止網絡攻擊行為的產生,并進一步實現業務級資源的動態授權訪問。
零信任SDP架構通過構建SDP連接發起主機IH(即SDP客戶端)、SDP連接接受主機AH(即SDP網關)以及SDP控制器的三角架構,打造零信任隱身網絡。這種架構為業務打造無暴露面的隱身入口,在保障合法訪問無中斷的前提下,規避了來自網絡中攻擊者的滲透掃描和攻擊。
3.3 內部東西向微隔離防御
微隔離(Micro Segmentation)是一種創建業務內部最小化安全域的方法,旨在實現更細粒度的網絡安全控制[6]。其目標是解決傳統的“串葫蘆式”安全防護手段所無法解決的橫向流量防護和云虛擬環境安全防護的問題。傳統的網絡安全防護通常是基于邊界的,將網絡分成內部和外部兩個部分,并在邊界上部署防火墻、入侵檢測系統等安全設備來監控和過濾流量。然而,隨著網絡的復雜性和云計算的普及,傳統的邊界安全措施已經無法滿足對內部流量的細粒度控制需求。微隔離通過將網絡劃分為多個最小化的安全域,使得不同的業務和應用之間的流量在網絡內部也能得到有效的隔離和控制。這種方法可以根據業務需求和安全策略,對不同的業務進行細粒度的訪問控制,防止橫向攻擊和未經授權的內部訪問。同時,在云虛擬環境中,微隔離也可以幫助實現對虛擬機、容器等資源的安全隔離和控制,確保云環境的安全性。總的來說,微隔離技術通過創建最小化安全域,實現了更細粒度的網絡安全控制,為解決傳統安全防護手段無法應對的橫向流量防護和云虛擬環境安全防護提供了有效的解決方案。
3.4 身份識別與訪問管理
身份訪問管理技術(Identity and Access Management,IAM)是一種能夠將網絡環境中的應用系統、數據庫、主機、網絡設備和安全設備等資源的賬號認證、訪問控制和審計工作進行集中化整合的技術[11]。在零信任體系中,構建高級IAM能力可以實現對所有基于賬號的管理、認證、授權和審計進行集中的統一權限管理,從而提升身份識別與訪問管理的精細化控制。IAM技術的核心功能包括:
身份管理(Identity Management):管理用戶、組織和設備的身份信息,包括賬號創建、管理、修改和刪除等操作。
訪問控制(Access Control):控制用戶對系統資源的訪問權限,包括基于角色的訪問控制、基于策略的訪問控制等。
認證(Authentication):確保用戶的身份是合法的,常見的認證方式包括密碼認證、多因素認證、單點登錄等。
授權(Authorization):根據用戶的身份和權限策略,授予用戶對系統資源的特定訪問權限。
審計(Audit):記錄和監控用戶對系統資源的訪問行為,以便進行安全審計和追蹤。
通過集中化整合身份訪問管理技術,可以實現對網絡環境中各種資源的訪問管控,提高了系統的安全性和可管理性。在零信任體系中,IAM技術扮演著重要的角色,可幫助企業或組織建立起更加細粒度、動態化的訪問控制機制,可有效防止未經授權的訪問和數據泄露等安全風險。
4 結論
綜上所述,本文從零信任安全框架設計、零信任安全防御體系建設兩個方面,對基于零信任機制的工控網絡安全防護進行了深入研究:從零信任的理念出發,以終端可信接入、持續信任評估和動態訪問控制三個方面出發,對工控系統網絡安全防護體系架構進行了設計;通過分析工控系統實際業務需求,結合系統業務、網絡、數據的網絡安全防護要求,并借鑒不同維度的零信任方案,建立了基于縱深聯動防御機制建設、零信任SDP解決接入安全、內部東西向微隔離防御和身份識別與訪問管理的縱深防御方案。零信任安全框架為整個工控系統的安全防護提供了基礎架構,零信任安全防御體系則是基于這一框架的進一步防護機制,兩者互為支撐、相互依存,能夠為現代工控系統網絡安全防護提供一定的理論支持。
作者簡介:
陳 佳(1993-),女,山西太原人,助理實驗師,碩士,現就職于中國民航大學,研究方向為信息安全。
參考文獻:
[1] 王智民, 武中力. 基于零信任的工控系統勒索防御體系[J]. 工業信息安全, 2023, (4) : 50 - 71.
[2] 石進. 基于零信任機制的工控網絡安全防御技術研究[D]. 北京: 華北電力大學, 2022.
[3] 薛瑩. 基于零信任架構的工業控制系統安全框架及仿真評價機制研究[D]. 蘭州: 蘭州理工大學, 2022.
[4] 向人鵬. 基于 "零信任" 的工業信息安全防護研究[C]/中國電機工程學會電力信息化專業委員會. 生態互聯 數字電力—2019電力行業信息 化年會論文集. 北京天地和興科技有限公司, 2019 : 4.
[5] 郭寶霞, 王佳慧, 馬利民, 等.基于零信任的敏感數據動態訪問控制模型研究[J]. 信息網絡安全, 2022, 22 (6) : 86 - 93.
[6] 王群, 袁泉, 李馥娟, 等. 零信任網絡及其關鍵技術綜述[J]. 計算機應用, 2023, 43 (4) : 1142 - 1150.
[7] 王今, 鄒純龍, 馬海群, 等. 基于零信任的公共數據平臺安全指數構建研究[J]. 情報科學, 2023, 41 (8) : 18 - 24 + 36.
[8] 蔣寧, 范純龍, 張睿航, 等. 基于模型的零信任網絡安全架構[J]. 小型微型計算機系統, 2023, 44 (8) : 1819 - 1826.
[9] 史永飛. 云內云外融合網絡安全縱深防御體系研究[J]. 都市快軌交通, 2022, 35 (6) : 59 - 63.
[10] 吳克河, 程瑞, 姜嘯晨, 等. 基于SDP的電力物聯網安全防護方案[J]. 信息網絡安全, 2022, 22 (2) : 32 - 38.
[11] 陳長松. 零信任架構下的數據安全縱深防御體系研究[J]. 信息網絡安全, 2021, (S1) : 105 - 108.
摘自《自動化博覽》2024年8月刊
北京市公安局海淀分局備案號:11010802023656號