今日頭條
官方微信
官方抖音
資訊頻道★中國(guó)民航大學(xué)陳佳
1 介紹
工控系統(tǒng)(Industrial Control System,ICS)是重要基礎(chǔ)設(shè)施的核心,其一旦遭受網(wǎng)絡(luò)攻擊,造成后果影響面廣,危害大。因此,保證網(wǎng)絡(luò)安全是工控系統(tǒng)正常運(yùn)行的保障[1]。近年來(lái),國(guó)內(nèi)外學(xué)者對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全的研究已成為工程領(lǐng)域與學(xué)術(shù)領(lǐng)域的研究熱點(diǎn)。可信Internet連接和代理外圍防火墻提供了強(qiáng)大的Internet網(wǎng)關(guān),主要抵御了來(lái)自網(wǎng)絡(luò)的攻擊[2],但是無(wú)法有效地防止設(shè)備漏洞等內(nèi)部網(wǎng)絡(luò)威脅。傳統(tǒng)的物理隔離方法已經(jīng)不能滿足工控系統(tǒng)功能安全和網(wǎng)絡(luò)安全的雙重需求,如何保障工控系統(tǒng)免遭系統(tǒng)內(nèi)外威脅和非法入侵,是工控系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域面臨的巨大挑戰(zhàn)。
在現(xiàn)階段,工控系統(tǒng)傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)方法主要包括以下3個(gè)方面:(1)基于特征匹配的網(wǎng)絡(luò)異常檢測(cè)方法[3];(2)基于設(shè)備信號(hào)偏離的異常檢測(cè)方法[4];(3)基于設(shè)備指紋的異常檢測(cè)方法[5]。隨著工控系統(tǒng)的數(shù)字化轉(zhuǎn)型速度加快,云計(jì)算、邊緣控制和物聯(lián)網(wǎng)(Internet of Things,IoT)等最新技術(shù)導(dǎo)致現(xiàn)有網(wǎng)絡(luò)邊界不斷擴(kuò)大,零信任架構(gòu)(Zero Trust Architecture,ZTA)已經(jīng)成為“邊界防御”網(wǎng)絡(luò)安全策略的新架構(gòu)[6]。早在2020年,NIST發(fā)布了SP800-207零信任架構(gòu)標(biāo)準(zhǔn),用于指導(dǎo)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)計(jì)和操作,提高了任何網(wǎng)絡(luò)的安全性,涉及范圍包括了工控系統(tǒng)[7]。零信任機(jī)制下的工控系統(tǒng)意味著在工控系統(tǒng)中,所有內(nèi)、外部的設(shè)備和用戶都被視為潛在威脅,需要持續(xù)地對(duì)所有設(shè)備和用戶進(jìn)行嚴(yán)格的身份認(rèn)證和授權(quán)。因此,設(shè)計(jì)出一個(gè)適合零信任機(jī)制下的工控系統(tǒng)安全防護(hù)框架顯得尤為必要,并在這一框架的基礎(chǔ)上,構(gòu)建基于零信任的安全防御體系,以實(shí)現(xiàn)對(duì)工控系統(tǒng)的全方位、多層次安全防護(hù)。
2 工控系統(tǒng)零信任安全框架設(shè)計(jì)
在現(xiàn)有工控系統(tǒng)的網(wǎng)絡(luò)安全基礎(chǔ)上引入零信任安全理念是一個(gè)重要的舉措[8]。本文設(shè)計(jì)的安全框架從三個(gè)方面確保安全性:終端可信接入、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制。首先,終端可信接入確保只有經(jīng)過(guò)身份認(rèn)證的合法用戶才能接入系統(tǒng),從而防止終端接入異常和誤操作的問(wèn)題。其次,持續(xù)信任評(píng)估利用持續(xù)信任評(píng)估技術(shù),對(duì)流量進(jìn)行監(jiān)測(cè)和分析,及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)異常流量,從而有效防止橫向攻擊行為。最后,動(dòng)態(tài)訪問(wèn)控制根據(jù)用戶的身份、行為以及其他上下文信息,動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限,確保只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)系統(tǒng)資源。該框架如圖1所示,具備終端可信接入、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制的核心安全能力,能夠?yàn)楣た叵到y(tǒng)安全防護(hù)提供可靠的解決方案。
圖1 工控系統(tǒng)零信任安全框架圖
2.1 終端可信接入
在終端請(qǐng)求訪問(wèn)主站應(yīng)用層業(yè)務(wù)資源時(shí),首先需要在可信接入?yún)^(qū)進(jìn)行可信身份認(rèn)證。基礎(chǔ)身份認(rèn)證包括用戶ID和密碼認(rèn)證、設(shè)備硬件認(rèn)證以及應(yīng)用哈希認(rèn)證等方式,以確保終端設(shè)備的真實(shí)身份,防止假冒或劫持。基礎(chǔ)身份認(rèn)證是零信任架構(gòu)的重要基礎(chǔ)。在基礎(chǔ)身份認(rèn)證完成后,還需要進(jìn)行多因素身份認(rèn)證以增強(qiáng)安全性。這里采用單包授權(quán)認(rèn)證的方法,將設(shè)備信息、應(yīng)用信息和用戶信息組合在一個(gè)授權(quán)包中,利用fwknop等工具實(shí)現(xiàn)單包授權(quán)認(rèn)證,確保接入工控系統(tǒng)的設(shè)備、應(yīng)用和用戶的可信性。這樣的認(rèn)證流程有效確保了訪問(wèn)請(qǐng)求的合法性和安全性,為工控系統(tǒng)零信任安全框架提供了可靠的基礎(chǔ)。
2.2 持續(xù)信任評(píng)估
用戶通過(guò)可信身份認(rèn)證后,則獲得對(duì)工控系統(tǒng)資源的基礎(chǔ)控制權(quán)限。然而,在用戶與工控系統(tǒng)通信期間,需要進(jìn)行持續(xù)的信任評(píng)估。這一過(guò)程是零信任安全框架的核心環(huán)節(jié)之一,其功能是為上層動(dòng)態(tài)訪問(wèn)控制決策引擎提供訪問(wèn)終端的授權(quán)策略依據(jù)。持續(xù)信任評(píng)估的實(shí)現(xiàn)方式是對(duì)用戶業(yè)務(wù)訪問(wèn)流量進(jìn)行基于基線的異常分析,包括對(duì)流量數(shù)據(jù)包的基礎(chǔ)特征和行為特征進(jìn)行分析,并與用戶歷史行為對(duì)比,以確定用戶行為的可信度。通過(guò)采集用戶歷史流量數(shù)據(jù)并進(jìn)行訓(xùn)練,可以建立用戶流量基線,然后解析用戶實(shí)時(shí)流量數(shù)據(jù)并分析其行為特征,用作異常檢測(cè)的依據(jù)。在零信任網(wǎng)絡(luò)中,網(wǎng)絡(luò)通信被劃分為數(shù)據(jù)平面和控制平面。用戶通過(guò)數(shù)據(jù)平面與工控系統(tǒng)進(jìn)行業(yè)務(wù)交互,而控制平面則用于發(fā)起接入申請(qǐng)。經(jīng)過(guò)信任評(píng)估、終端行為基線異常檢測(cè)以及訪問(wèn)決策代理的處理,可以進(jìn)行持續(xù)身份認(rèn)證和動(dòng)態(tài)授權(quán),確保網(wǎng)絡(luò)通信的安全性和可信度。
2.3 動(dòng)態(tài)訪問(wèn)控制
動(dòng)態(tài)訪問(wèn)控制通過(guò)接收下層持續(xù)信任評(píng)估的相關(guān)信息,根據(jù)最小權(quán)限授予策略,基于基礎(chǔ)身份信任度、歷史訪問(wèn)行為和動(dòng)態(tài)行為信任度進(jìn)行動(dòng)態(tài)授權(quán)評(píng)價(jià),是用戶訪問(wèn)工控資源控制層的核心。動(dòng)態(tài)訪問(wèn)控制策略庫(kù)為用戶提供授權(quán)決策的依據(jù),動(dòng)態(tài)訪問(wèn)控制策略庫(kù)包括身份信息庫(kù)、權(quán)限數(shù)據(jù)庫(kù)、終端風(fēng)險(xiǎn)信息庫(kù)和決策數(shù)據(jù)庫(kù)。通過(guò)大數(shù)據(jù)分析和人工智能技術(shù),對(duì)用戶行為進(jìn)行持續(xù)評(píng)估。
3 工控系統(tǒng)零信任安全防御體系建設(shè)
考慮到工控系統(tǒng)業(yè)務(wù)的復(fù)雜性和安全防御的多樣性需求,可以借鑒零信任安全等防護(hù)理念,建立適合工控系統(tǒng)業(yè)務(wù)發(fā)展和安全防護(hù)需求的縱深一體化防御體系[9]。零信任理念默認(rèn)網(wǎng)絡(luò)始終處于潛在的危險(xiǎn)環(huán)境中,因此用戶身份信息、硬件設(shè)備信息、訪問(wèn)過(guò)程中產(chǎn)生的行為信息以及數(shù)據(jù)流特征等多維數(shù)據(jù)可作為認(rèn)證與鑒權(quán)的來(lái)源,以確定基于身份的權(quán)限授權(quán)范圍。針對(duì)工控系統(tǒng)復(fù)雜的組網(wǎng)結(jié)構(gòu)和業(yè)務(wù)接入特點(diǎn),通過(guò)構(gòu)建基于零信任的縱深一體化防御體系,可以根據(jù)用戶不同業(yè)務(wù)的安全服務(wù)需求提供相應(yīng)的安全保障。這種體系結(jié)構(gòu)能夠綜合利用多種安全策略和技術(shù)手段,包括但不限于身份認(rèn)證、訪問(wèn)控制、行為分析等,以確保工控系統(tǒng)的安全性和穩(wěn)定性。同時(shí),該體系結(jié)構(gòu)能夠適應(yīng)工控系統(tǒng)業(yè)務(wù)發(fā)展的需求,可以靈活應(yīng)對(duì)不斷變化的安全威脅和攻擊手法,提高了系統(tǒng)的整體安全防御能力。
3.1 縱深聯(lián)動(dòng)防御機(jī)制建設(shè)
構(gòu)建零信任的防御體系模型并不僅限于單一維度的防御技術(shù)應(yīng)用,而是一個(gè)由點(diǎn)及面逐步建設(shè)推進(jìn)的過(guò)程。這個(gè)體系的建設(shè)是聯(lián)動(dòng)的、動(dòng)態(tài)的、縱深的,并且涵蓋了多個(gè)維度。整體防御的零信任機(jī)制應(yīng)該盡可能覆蓋更多的防御面,并確保這些面能夠聯(lián)動(dòng)起來(lái)。這意味著,在構(gòu)建零信任的防御體系時(shí),需要考慮到以下幾個(gè)方面:
聯(lián)動(dòng)化:不同的防御措施之間需要聯(lián)動(dòng)協(xié)作,形成一個(gè)整體的防御網(wǎng)絡(luò)。這樣可以確保在檢測(cè)到攻擊或威脅時(shí),能夠及時(shí)響應(yīng)并采取相應(yīng)的防御措施。
動(dòng)態(tài)式:零信任的防御體系需要能夠動(dòng)態(tài)地適應(yīng)不斷變化的威脅和攻擊手法。這包括實(shí)時(shí)監(jiān)測(cè)和分析網(wǎng)絡(luò)流量、用戶行為等信息,以及動(dòng)態(tài)調(diào)整和優(yōu)化防御策略。
縱深式:防御體系應(yīng)該是縱深的,即在不同的層面和環(huán)節(jié)都設(shè)置相應(yīng)的防御措施,形成多層次的保護(hù)。這樣即使一層防御被繞過(guò)或攻破,仍然有其他層次的防御在起作用。
多維度:零信任的防御體系應(yīng)該覆蓋多個(gè)維度,包括但不限于身份認(rèn)證、訪問(wèn)控制、行為分析、數(shù)據(jù)加密等。這樣可以從不同的角度對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行保護(hù),提高了整體的安全性。
3.2 零信任SDP解決接入安全
SDP(Software Defined Perimeter,SDP)是由云安全聯(lián)盟開(kāi)發(fā)的一種安全框架,它以身份為中心,融合多種判斷源,并動(dòng)態(tài)控制對(duì)資源的訪問(wèn)過(guò)程,旨在解決跨邊界企業(yè)數(shù)據(jù)中心資源訪問(wèn)安全的問(wèn)題[10]。該設(shè)計(jì)采用單向敲門(mén)認(rèn)證機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)隱身,從根本上防止網(wǎng)絡(luò)攻擊行為的產(chǎn)生,并進(jìn)一步實(shí)現(xiàn)業(yè)務(wù)級(jí)資源的動(dòng)態(tài)授權(quán)訪問(wèn)。
零信任SDP架構(gòu)通過(guò)構(gòu)建SDP連接發(fā)起主機(jī)IH(即SDP客戶端)、SDP連接接受主機(jī)AH(即SDP網(wǎng)關(guān))以及SDP控制器的三角架構(gòu),打造零信任隱身網(wǎng)絡(luò)。這種架構(gòu)為業(yè)務(wù)打造無(wú)暴露面的隱身入口,在保障合法訪問(wèn)無(wú)中斷的前提下,規(guī)避了來(lái)自網(wǎng)絡(luò)中攻擊者的滲透掃描和攻擊。
3.3 內(nèi)部東西向微隔離防御
微隔離(Micro Segmentation)是一種創(chuàng)建業(yè)務(wù)內(nèi)部最小化安全域的方法,旨在實(shí)現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)安全控制[6]。其目標(biāo)是解決傳統(tǒng)的“串葫蘆式”安全防護(hù)手段所無(wú)法解決的橫向流量防護(hù)和云虛擬環(huán)境安全防護(hù)的問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)通常是基于邊界的,將網(wǎng)絡(luò)分成內(nèi)部和外部?jī)蓚€(gè)部分,并在邊界上部署防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備來(lái)監(jiān)控和過(guò)濾流量。然而,隨著網(wǎng)絡(luò)的復(fù)雜性和云計(jì)算的普及,傳統(tǒng)的邊界安全措施已經(jīng)無(wú)法滿足對(duì)內(nèi)部流量的細(xì)粒度控制需求。微隔離通過(guò)將網(wǎng)絡(luò)劃分為多個(gè)最小化的安全域,使得不同的業(yè)務(wù)和應(yīng)用之間的流量在網(wǎng)絡(luò)內(nèi)部也能得到有效的隔離和控制。這種方法可以根據(jù)業(yè)務(wù)需求和安全策略,對(duì)不同的業(yè)務(wù)進(jìn)行細(xì)粒度的訪問(wèn)控制,防止橫向攻擊和未經(jīng)授權(quán)的內(nèi)部訪問(wèn)。同時(shí),在云虛擬環(huán)境中,微隔離也可以幫助實(shí)現(xiàn)對(duì)虛擬機(jī)、容器等資源的安全隔離和控制,確保云環(huán)境的安全性。總的來(lái)說(shuō),微隔離技術(shù)通過(guò)創(chuàng)建最小化安全域,實(shí)現(xiàn)了更細(xì)粒度的網(wǎng)絡(luò)安全控制,為解決傳統(tǒng)安全防護(hù)手段無(wú)法應(yīng)對(duì)的橫向流量防護(hù)和云虛擬環(huán)境安全防護(hù)提供了有效的解決方案。
3.4 身份識(shí)別與訪問(wèn)管理
身份訪問(wèn)管理技術(shù)(Identity and Access Management,IAM)是一種能夠?qū)⒕W(wǎng)絡(luò)環(huán)境中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等資源的賬號(hào)認(rèn)證、訪問(wèn)控制和審計(jì)工作進(jìn)行集中化整合的技術(shù)[11]。在零信任體系中,構(gòu)建高級(jí)IAM能力可以實(shí)現(xiàn)對(duì)所有基于賬號(hào)的管理、認(rèn)證、授權(quán)和審計(jì)進(jìn)行集中的統(tǒng)一權(quán)限管理,從而提升身份識(shí)別與訪問(wèn)管理的精細(xì)化控制。IAM技術(shù)的核心功能包括:
身份管理(Identity Management):管理用戶、組織和設(shè)備的身份信息,包括賬號(hào)創(chuàng)建、管理、修改和刪除等操作。
訪問(wèn)控制(Access Control):控制用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限,包括基于角色的訪問(wèn)控制、基于策略的訪問(wèn)控制等。
認(rèn)證(Authentication):確保用戶的身份是合法的,常見(jiàn)的認(rèn)證方式包括密碼認(rèn)證、多因素認(rèn)證、單點(diǎn)登錄等。
授權(quán)(Authorization):根據(jù)用戶的身份和權(quán)限策略,授予用戶對(duì)系統(tǒng)資源的特定訪問(wèn)權(quán)限。
審計(jì)(Audit):記錄和監(jiān)控用戶對(duì)系統(tǒng)資源的訪問(wèn)行為,以便進(jìn)行安全審計(jì)和追蹤。
通過(guò)集中化整合身份訪問(wèn)管理技術(shù),可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境中各種資源的訪問(wèn)管控,提高了系統(tǒng)的安全性和可管理性。在零信任體系中,IAM技術(shù)扮演著重要的角色,可幫助企業(yè)或組織建立起更加細(xì)粒度、動(dòng)態(tài)化的訪問(wèn)控制機(jī)制,可有效防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。
4 結(jié)論
綜上所述,本文從零信任安全框架設(shè)計(jì)、零信任安全防御體系建設(shè)兩個(gè)方面,對(duì)基于零信任機(jī)制的工控網(wǎng)絡(luò)安全防護(hù)進(jìn)行了深入研究:從零信任的理念出發(fā),以終端可信接入、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制三個(gè)方面出發(fā),對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)進(jìn)行了設(shè)計(jì);通過(guò)分析工控系統(tǒng)實(shí)際業(yè)務(wù)需求,結(jié)合系統(tǒng)業(yè)務(wù)、網(wǎng)絡(luò)、數(shù)據(jù)的網(wǎng)絡(luò)安全防護(hù)要求,并借鑒不同維度的零信任方案,建立了基于縱深聯(lián)動(dòng)防御機(jī)制建設(shè)、零信任SDP解決接入安全、內(nèi)部東西向微隔離防御和身份識(shí)別與訪問(wèn)管理的縱深防御方案。零信任安全框架為整個(gè)工控系統(tǒng)的安全防護(hù)提供了基礎(chǔ)架構(gòu),零信任安全防御體系則是基于這一框架的進(jìn)一步防護(hù)機(jī)制,兩者互為支撐、相互依存,能夠?yàn)楝F(xiàn)代工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)提供一定的理論支持。
作者簡(jiǎn)介:
陳 佳(1993-),女,山西太原人,助理實(shí)驗(yàn)師,碩士,現(xiàn)就職于中國(guó)民航大學(xué),研究方向?yàn)樾畔踩?/p>
參考文獻(xiàn):
[1] 王智民, 武中力. 基于零信任的工控系統(tǒng)勒索防御體系[J]. 工業(yè)信息安全, 2023, (4) : 50 - 71.
[2] 石進(jìn). 基于零信任機(jī)制的工控網(wǎng)絡(luò)安全防御技術(shù)研究[D]. 北京: 華北電力大學(xué), 2022.
[3] 薛瑩. 基于零信任架構(gòu)的工業(yè)控制系統(tǒng)安全框架及仿真評(píng)價(jià)機(jī)制研究[D]. 蘭州: 蘭州理工大學(xué), 2022.
[4] 向人鵬. 基于 "零信任" 的工業(yè)信息安全防護(hù)研究[C]/中國(guó)電機(jī)工程學(xué)會(huì)電力信息化專(zhuān)業(yè)委員會(huì). 生態(tài)互聯(lián) 數(shù)字電力—2019電力行業(yè)信息 化年會(huì)論文集. 北京天地和興科技有限公司, 2019 : 4.
[5] 郭寶霞, 王佳慧, 馬利民, 等.基于零信任的敏感數(shù)據(jù)動(dòng)態(tài)訪問(wèn)控制模型研究[J]. 信息網(wǎng)絡(luò)安全, 2022, 22 (6) : 86 - 93.
[6] 王群, 袁泉, 李馥娟, 等. 零信任網(wǎng)絡(luò)及其關(guān)鍵技術(shù)綜述[J]. 計(jì)算機(jī)應(yīng)用, 2023, 43 (4) : 1142 - 1150.
[7] 王今, 鄒純龍, 馬海群, 等. 基于零信任的公共數(shù)據(jù)平臺(tái)安全指數(shù)構(gòu)建研究[J]. 情報(bào)科學(xué), 2023, 41 (8) : 18 - 24 + 36.
[8] 蔣寧, 范純龍, 張睿航, 等. 基于模型的零信任網(wǎng)絡(luò)安全架構(gòu)[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2023, 44 (8) : 1819 - 1826.
[9] 史永飛. 云內(nèi)云外融合網(wǎng)絡(luò)安全縱深防御體系研究[J]. 都市快軌交通, 2022, 35 (6) : 59 - 63.
[10] 吳克河, 程瑞, 姜嘯晨, 等. 基于SDP的電力物聯(lián)網(wǎng)安全防護(hù)方案[J]. 信息網(wǎng)絡(luò)安全, 2022, 22 (2) : 32 - 38.
[11] 陳長(zhǎng)松. 零信任架構(gòu)下的數(shù)據(jù)安全縱深防御體系研究[J]. 信息網(wǎng)絡(luò)安全, 2021, (S1) : 105 - 108.
摘自《自動(dòng)化博覽》2024年8月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)