工業(yè)物聯(lián)網(wǎng)終端安全解決方案研究與設(shè)計(jì)

劉 霞，王運(yùn)付，姜元山，張光偉，陳德進(jìn)

（中訊郵電咨詢(xún)?cè)O(shè)計(jì)院有限公司，北京 100048）

0 引 言

2016年，十萬(wàn)個(gè)攝像頭由于越權(quán)漏洞或默認(rèn)用戶(hù)名和口令組成，感染“Mirai病毒”，造成美國(guó)大范圍網(wǎng)絡(luò)癱瘓。由于物聯(lián)網(wǎng)設(shè)備數(shù)量多、分布廣、生命周期長(zhǎng)、人機(jī)交互少、安全防護(hù)弱，成為安全攻擊的重要目標(biāo)，安全事件頻發(fā)。自2018年起，英、日、美等國(guó)開(kāi)始全面加強(qiáng)物聯(lián)網(wǎng)安全管理[1]。

2019年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2019年第二次工作組“會(huì)議周”上，《物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化白皮書(shū)（2019版）》正式發(fā)布[2]，明確了物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化需求、體系、建議等。

2022年1月12日，國(guó)務(wù)院印發(fā)《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》，重點(diǎn)優(yōu)化升級(jí)數(shù)字基礎(chǔ)設(shè)施，加快推動(dòng)數(shù)字產(chǎn)業(yè)化升級(jí)，推進(jìn)5G規(guī)?；瘧?yīng)用，建設(shè)安全可控的智能化綜合性數(shù)字信息基礎(chǔ)設(shè)施。各省份發(fā)布相關(guān)規(guī)劃，一再?gòu)?qiáng)調(diào)網(wǎng)絡(luò)安全的重要性。在5G應(yīng)用重點(diǎn)行業(yè)，如工業(yè)互聯(lián)網(wǎng)、智慧城市、生態(tài)環(huán)保等領(lǐng)域，均離不開(kāi)物聯(lián)網(wǎng)終端設(shè)備。當(dāng)前網(wǎng)絡(luò)安全已作為重點(diǎn)工作被提及，被大量使用的物聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全問(wèn)題必須受到關(guān)注，提出并應(yīng)用合理的解決方案，避免使物聯(lián)網(wǎng)終端成為網(wǎng)絡(luò)安全大環(huán)境下的薄弱環(huán)節(jié)。工業(yè)物聯(lián)網(wǎng)終端作為行業(yè)物聯(lián)網(wǎng)一個(gè)重要的應(yīng)用方向，在終端安全問(wèn)題上，必須在產(chǎn)品誕生之初就把安全分析、設(shè)計(jì)、實(shí)現(xiàn)提升到匹配的高度。

1 工業(yè)物聯(lián)網(wǎng)安全威脅現(xiàn)狀

工業(yè)物聯(lián)網(wǎng)設(shè)備當(dāng)前主要應(yīng)用于天然氣、石油、采礦、電力、醫(yī)療、制造等垂直行業(yè)，設(shè)備類(lèi)型包括視覺(jué)設(shè)備、工業(yè)互聯(lián)網(wǎng)網(wǎng)關(guān)等，一旦出現(xiàn)故障，可能導(dǎo)致生命財(cái)產(chǎn)安全或高風(fēng)險(xiǎn)[3]。

圖1所示是工業(yè)物聯(lián)網(wǎng)設(shè)備的上下游組網(wǎng)架構(gòu)。其特點(diǎn)是，下游互聯(lián)各種工業(yè)設(shè)備，如攝像頭、RTU等。上游通過(guò)4G/5G/衛(wèi)星等無(wú)線(xiàn)空口通信方式，連接到部署于網(wǎng)絡(luò)側(cè)或企業(yè)內(nèi)網(wǎng)的管理平臺(tái)及業(yè)務(wù)平臺(tái)。

圖1 工業(yè)物聯(lián)網(wǎng)設(shè)備組網(wǎng)架構(gòu)

當(dāng)前據(jù)中國(guó)國(guó)家信息安全漏洞共享平臺(tái)統(tǒng)計(jì)數(shù)據(jù)顯示，工業(yè)物聯(lián)網(wǎng)設(shè)備主要涉及的網(wǎng)絡(luò)安全問(wèn)題如下：

（1）安全漏洞數(shù)量劇烈上升；

（2）拒絕服務(wù)攻擊；

（3）信息泄露；

（4）未授權(quán)訪問(wèn)。

2 關(guān)鍵安全問(wèn)題消減措施

工業(yè)物聯(lián)網(wǎng)產(chǎn)品作為工業(yè)互聯(lián)網(wǎng)領(lǐng)域重點(diǎn)使用的產(chǎn)品，需要自研發(fā)之初便重點(diǎn)分析已知各類(lèi)安全問(wèn)題的原因，并提供合適的安全風(fēng)險(xiǎn)消減方案。

2.1 安全漏洞消減措施

當(dāng)前的工業(yè)物聯(lián)網(wǎng)終端產(chǎn)品，從系統(tǒng)運(yùn)行的操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議棧到上層應(yīng)用程序，大量使用三方軟件，且主要是引入使用狀態(tài)?；谠撉疤幔I(yè)物聯(lián)網(wǎng)可能涉及的三方軟件的安全漏洞主要有3種來(lái)源：

（1）選用不活躍的開(kāi)源軟件；

（2）三方（或稱(chēng)為供應(yīng)鏈）安全漏洞；

（3）不及時(shí)的漏洞跟蹤修復(fù)。

針對(duì)（1）類(lèi)漏洞來(lái)源，產(chǎn)品在設(shè)計(jì)之初，首先需要結(jié)合業(yè)務(wù)功能及重要程度，對(duì)開(kāi)源引入進(jìn)行備選評(píng)估。在開(kāi)源引入過(guò)程中，首先考慮開(kāi)源社區(qū)成熟度，強(qiáng)烈建議社區(qū)成熟度至少處于協(xié)作期[4]。典型如行業(yè)知名社區(qū)Linux、Apache、OpenStack等，處于流行期，優(yōu)先使用。若非知名社區(qū)，則對(duì)開(kāi)源軟件社區(qū)成熟度進(jìn)行評(píng)估，典型評(píng)估維度包括：至少近一年內(nèi)用戶(hù)持續(xù)增長(zhǎng)情況、活躍開(kāi)發(fā)者增長(zhǎng)情況、階段性軟件發(fā)布情況、Bugfix情況等。針對(duì)重要功能使用開(kāi)源軟件，強(qiáng)烈建議：如自研代碼，了解代碼架構(gòu)、參與社區(qū)的開(kāi)發(fā)及維護(hù)活動(dòng)，以有利于驅(qū)動(dòng)開(kāi)源軟件技術(shù)走向，保證業(yè)務(wù)功能行業(yè)競(jìng)爭(zhēng)力。

針對(duì)（2）類(lèi)漏洞，典型如2020年“SUNBURST”事件，網(wǎng)絡(luò)管理軟件供應(yīng)商SolarWinds Orion軟件更新包被黑客植入后門(mén)，導(dǎo)致該軟件的使用客戶(hù)遭到網(wǎng)絡(luò)攻擊。在工業(yè)物聯(lián)網(wǎng)產(chǎn)品中，不可避免使用三方軟件。針對(duì)該類(lèi)問(wèn)題，業(yè)界暫無(wú)成熟的工程化手段，建議結(jié)合三方軟件的重要性，對(duì)供應(yīng)商的研發(fā)流程成熟度、網(wǎng)絡(luò)安全成熟度等進(jìn)行評(píng)估[5]。

針對(duì)（3）類(lèi)漏洞，強(qiáng)烈建議：在研發(fā)階段，借助安全漏洞掃描工具（如Nessus、OpenVAS等）進(jìn)行漏洞掃描，在研發(fā)出口修復(fù)業(yè)界已知的漏洞。運(yùn)行部署后，相對(duì)于云化產(chǎn)品，工業(yè)物聯(lián)網(wǎng)終端大部分分散部署于客戶(hù)環(huán)境，不利于現(xiàn)網(wǎng)漏洞掃描。在此場(chǎng)景下，需要客戶(hù)或產(chǎn)品供應(yīng)商進(jìn)行三方軟件清單維護(hù)，持續(xù)追蹤軟件漏洞情況，及時(shí)規(guī)劃漏洞修復(fù)及版本上線(xiàn)，盡可能減少漏洞線(xiàn)上暴露時(shí)間。

2.2 拒絕服務(wù)攻擊消減措施

拒絕服務(wù)攻擊主要是如下2種：

（1）常見(jiàn)的DOS攻擊；

（2）DDOS攻擊。

在工業(yè)物聯(lián)網(wǎng)解決方案部署中，終端處于運(yùn)營(yíng)商網(wǎng)絡(luò)（如4G/5G核心網(wǎng)、衛(wèi)星接入網(wǎng)）下游。雖然網(wǎng)絡(luò)側(cè)已經(jīng)部署了防火墻等安全措施，終端側(cè)依然需要具備基本的內(nèi)生防護(hù)能力[6-9]。

針對(duì)（1）類(lèi)拒絕服務(wù)攻擊，典型的有“死亡之ping”“teardrop 攻擊”“UDP 洪水”“SYN 洪水”“Land 攻擊”“Smurf攻擊”“Fraggle攻擊”等。作為工業(yè)物聯(lián)網(wǎng)終端，業(yè)界常使用嵌入式Linux系統(tǒng)，在Linux系統(tǒng)下，需要對(duì)操作系統(tǒng)做合適的開(kāi)關(guān)配置、結(jié)合系統(tǒng)的CPU能力配置合適的iptables規(guī)則，即可實(shí)現(xiàn)基本的終端側(cè)防護(hù)，防止從網(wǎng)絡(luò)側(cè)或LAN發(fā)起該類(lèi)攻擊。工業(yè)物聯(lián)網(wǎng)終端除涉及常見(jiàn)DOS攻擊外，還涉及無(wú)線(xiàn)局域網(wǎng)的DOS攻擊，典型如WLAN接入。由于物聯(lián)網(wǎng)終端作為AP設(shè)備，接入的STA設(shè)備數(shù)量有限。惡意攻擊者可以偽造STA持續(xù)進(jìn)行接入請(qǐng)求，從而導(dǎo)致AP的可用接入數(shù)耗盡，導(dǎo)致合法STA無(wú)法接入。針對(duì)這類(lèi)情況，建議對(duì)工業(yè)物聯(lián)網(wǎng)終端的接入機(jī)制進(jìn)行加固，實(shí)現(xiàn)基于MAC地址的防暴力機(jī)制。

針對(duì)（2）類(lèi)拒絕服務(wù)攻擊，主要是針對(duì)服務(wù)器側(cè)的攻擊。對(duì)終端側(cè)而言，建議在產(chǎn)品研發(fā)階段對(duì)產(chǎn)品的監(jiān)聽(tīng)端口進(jìn)行端口掃描（典型使用工具Nmap），關(guān)閉業(yè)務(wù)不必要的端口監(jiān)聽(tīng)，減少系統(tǒng)的攻擊面。

2.3 信息泄露消減措施

工業(yè)物聯(lián)網(wǎng)終端產(chǎn)品從產(chǎn)品特點(diǎn)看，主要涉及如下信息，對(duì)信息類(lèi)型及其用途、泄露影響的分析見(jiàn)表1所列。

表1 工業(yè)物聯(lián)網(wǎng)終端信息類(lèi)型及用途、泄露影響分析

從表1的分析結(jié)果來(lái)看，密鑰類(lèi)、口令類(lèi)是工業(yè)物聯(lián)網(wǎng)終端的關(guān)鍵信息，一旦泄露，將可能造成重大安全影響。針對(duì)這類(lèi)安全風(fēng)險(xiǎn)，建議的安全消減措施如下。

（1）對(duì)密鑰進(jìn)行安全管理

對(duì)于高安全級(jí)別的設(shè)備，實(shí)現(xiàn)基于TEE的密鑰管理方案[10]，對(duì)系統(tǒng)使用的業(yè)務(wù)類(lèi)“密鑰”，使用TEE中的安全密鑰進(jìn)行安全保護(hù)。避免在非安全系統(tǒng)中可以獲取密鑰類(lèi)的明文，防止密鑰信息泄露。

對(duì)于一般安全級(jí)別的設(shè)備，使用圖2所示的密鑰分層管理機(jī)制實(shí)現(xiàn)本地化密鑰安全管理。“密鑰保護(hù)密鑰”的材料分散存儲(chǔ)，至少一份編碼于代碼中，剩余部分以文件形式保存在文件系統(tǒng)中，文件名隨機(jī)化，密鑰材料通過(guò)異或等操作恢復(fù)后，使用不可逆加密算法（如PBKDF2）導(dǎo)出。對(duì)不同的業(yè)務(wù)場(chǎng)景使用不同的工作密鑰，工作密鑰使用安全的隨機(jī)數(shù)（在Linux系統(tǒng)下，可以選擇使用/dev/random）生成，密鑰長(zhǎng)度至少32個(gè)字節(jié)。使用“密鑰保護(hù)密鑰”保護(hù)“工作密鑰”，“工作密鑰”用于關(guān)鍵信息數(shù)據(jù)（如私鑰、口令等）的保護(hù)。

圖2 密鑰分層管理機(jī)制

（2）對(duì)口令進(jìn)行安全加密

對(duì)于口令，在可以使用不可逆加密保存的場(chǎng)景（如近端Web管理登錄）使用不可逆加密算法（如PBKDF2）。在必須使用可逆加密保存的場(chǎng)景，使用可逆加密算法（如AESCBC-128等）進(jìn)行加密保存。口令加密使用的密鑰即“工作密鑰”，通過(guò)密鑰安全管理進(jìn)行保管。

2.4 未授權(quán)的訪問(wèn)消減措施

針對(duì)工業(yè)物聯(lián)網(wǎng)終端訪問(wèn)安全風(fēng)險(xiǎn)的全量識(shí)別，推薦使用STRIDE分析方法。結(jié)合產(chǎn)品的部署場(chǎng)景及業(yè)務(wù)特點(diǎn)，可以識(shí)別終端的所有外部交互方及交互數(shù)據(jù)流。當(dāng)前分析識(shí)別的典型數(shù)據(jù)流圖如圖3所示。

圖3 工業(yè)物聯(lián)網(wǎng)終端典型數(shù)據(jù)流圖

從圖3可知，工業(yè)物聯(lián)網(wǎng)終端主要有3類(lèi)數(shù)據(jù)流，針對(duì)每類(lèi)數(shù)據(jù)流的說(shuō)明及消減措施見(jiàn)表2所列。

表2 針對(duì)每類(lèi)數(shù)據(jù)流的說(shuō)明及消減措施

3 結(jié) 語(yǔ)

本文主要結(jié)合工業(yè)物聯(lián)網(wǎng)終端的典型安全問(wèn)題，提出針對(duì)性的消減措施。以便在產(chǎn)品交付過(guò)程中，在傳統(tǒng)安全設(shè)計(jì)及研發(fā)的基礎(chǔ)上，進(jìn)行有針對(duì)性增強(qiáng)，在設(shè)計(jì)前端以及在產(chǎn)品全生命周期中持續(xù)關(guān)注安全風(fēng)險(xiǎn)，不斷制定消減措施，以助力行業(yè)的數(shù)字化產(chǎn)業(yè)升級(jí)[10]。