技術(shù)
導(dǎo)讀:人、數(shù)據(jù)和機(jī)器構(gòu)成了工業(yè)物聯(lián)網(wǎng)的關(guān)鍵要素,三者密切連接開(kāi)啟了設(shè)備與設(shè)備、設(shè)備與人的互聯(lián)互通,進(jìn)一步實(shí)現(xiàn)了現(xiàn)場(chǎng)生產(chǎn)與用戶遠(yuǎn)程運(yùn)維管理的無(wú)縫連接并協(xié)調(diào)數(shù)據(jù)分析與行動(dòng)。
工業(yè)物聯(lián)網(wǎng)關(guān)鍵要素的更深層次融合,助推傳統(tǒng)產(chǎn)業(yè)以更快的發(fā)展速度創(chuàng)造更卓越的價(jià)值,以及更高生產(chǎn)力和生產(chǎn)效率。而工業(yè)物聯(lián)網(wǎng)廣泛的深度應(yīng)用所引發(fā)的影響,也存在兩面性。在提高工業(yè)效能和推動(dòng)社會(huì)進(jìn)程發(fā)展的同時(shí),由網(wǎng)絡(luò)的復(fù)雜性和不確定性引發(fā)的安全隱患就在“價(jià)值”的轉(zhuǎn)角處。
補(bǔ)足短板 夯實(shí)安全檢測(cè)和評(píng)估
工業(yè)物聯(lián)網(wǎng)需要把數(shù)以億計(jì)的終端工業(yè)設(shè)備連入互聯(lián)網(wǎng),使得原本相對(duì)封閉的工業(yè)控制網(wǎng)絡(luò)變得越來(lái)越開(kāi)放,開(kāi)放帶來(lái)便捷和效能的同時(shí),漏洞數(shù)量和利用漏洞形成有效攻擊的數(shù)量也在不斷攀升。當(dāng)一個(gè)工業(yè)物聯(lián)網(wǎng)的系統(tǒng)中某個(gè)工業(yè)設(shè)備安全性較差時(shí),系統(tǒng)中其他工業(yè)設(shè)備再安全也無(wú)濟(jì)于事,這就形成工業(yè)物聯(lián)網(wǎng)安全中的“短板效應(yīng)” ?!岸贪濉痹蕉啵c國(guó)計(jì)民生息息相關(guān)的工業(yè)物聯(lián)網(wǎng)安全就越岌岌可危。
構(gòu)筑工業(yè)物聯(lián)網(wǎng)安全生態(tài)閉環(huán),首先需要做好安全檢測(cè)和評(píng)估,夯實(shí)工業(yè)物聯(lián)網(wǎng)系統(tǒng)及設(shè)備的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。如果未進(jìn)行相關(guān)檢測(cè)就帶“病”運(yùn)行,一方面很容易在工業(yè)物聯(lián)網(wǎng)中被攻擊者利用進(jìn)行入侵和攻擊,輕則影響操作系統(tǒng)某些功能正常使用,重則大量隱私信息如核心工藝參數(shù)存在被竊取的風(fēng)險(xiǎn),進(jìn)而控制和破壞關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)設(shè)備,造成巨大的經(jīng)濟(jì)損失和人員傷亡,甚至威脅到國(guó)家安全。另一方面,在整個(gè)安全建設(shè)方案中如果未進(jìn)行檢測(cè),也無(wú)法有效的“對(duì)癥下藥”進(jìn)行安全防護(hù)方案的設(shè)計(jì)和建設(shè)。安全檢測(cè)和評(píng)估,好比看病過(guò)程中的望聞問(wèn)切和各種檢查,是確保藥到病除的重要基礎(chǔ)。
在2017年6月1日即將實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中,就明確提出國(guó)家將對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)以及對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估。
不破不立 安全檢測(cè)要突破傳統(tǒng)局限
那么,現(xiàn)有的檢測(cè)手段或產(chǎn)品是否能對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行有效的安全檢測(cè)呢?從工業(yè)物聯(lián)網(wǎng)中網(wǎng)絡(luò)、系統(tǒng)、設(shè)備復(fù)雜性特點(diǎn)來(lái)看,工業(yè)控制網(wǎng)絡(luò)中總線協(xié)議和應(yīng)用層協(xié)議有幾十種,同時(shí)這些協(xié)議的規(guī)約實(shí)現(xiàn)也不相同;另外,工業(yè)控制系統(tǒng)和設(shè)備的公開(kāi)的漏洞較為有限,通過(guò)漏洞掃描方式進(jìn)行檢測(cè)有效性有待提升。具體來(lái)說(shuō),目前對(duì)工業(yè)物聯(lián)網(wǎng)中安全漏洞進(jìn)行檢測(cè)的手段是比較局限的,具體體現(xiàn)在:
1.現(xiàn)有檢測(cè)手段僅針對(duì)網(wǎng)絡(luò)中的外圍服務(wù)器和通用IT設(shè)備,無(wú)法觸及亟待保護(hù)的核心工業(yè)設(shè)備;
2.現(xiàn)有的端口服務(wù)掃描、漏洞特征掃描等技術(shù)對(duì)漏洞庫(kù)的依賴較大,但公開(kāi)的工業(yè)控制網(wǎng)絡(luò)安全漏洞庫(kù)信息很少,導(dǎo)致無(wú)法實(shí)現(xiàn)深入、全面的檢測(cè);
3.基于公開(kāi)漏洞的掃描技術(shù)和機(jī)制無(wú)法有效發(fā)現(xiàn)未知漏洞,同時(shí)在時(shí)間上永遠(yuǎn)滯后于攻擊者利用的未知漏洞;
4.缺乏針對(duì)性檢測(cè)工具,無(wú)法有效證明工業(yè)設(shè)備上的潛在漏洞是否存在。
結(jié)合工業(yè)物聯(lián)網(wǎng)特點(diǎn),我們建議對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行安全檢測(cè)尤其是漏洞檢測(cè)需要考慮到以下幾方面:
1.具備按需定制特性:根據(jù)工業(yè)設(shè)備及系統(tǒng)進(jìn)行有針對(duì)性的定制化的檢測(cè),比如根據(jù)設(shè)備的通訊協(xié)議、通訊接口不同進(jìn)行不同測(cè)試用例的定制;
2.具備全面的脆弱性檢測(cè)功能:由于已知工業(yè)控制安全漏洞較為有限,需要對(duì)潛在的漏洞也能進(jìn)行有效的檢測(cè),如進(jìn)行基于工控協(xié)議的模糊測(cè)試來(lái)挖掘未知漏洞;
3.具備強(qiáng)大的可擴(kuò)展性:由于工業(yè)控制設(shè)備通訊協(xié)議和通訊接口不盡相同,因此安全檢測(cè)產(chǎn)品需要具備強(qiáng)大的可擴(kuò)展性,方便進(jìn)行支持的設(shè)備、協(xié)議、接口的擴(kuò)展;
4.具備較強(qiáng)的易用性:在工業(yè)物聯(lián)網(wǎng)中,能便捷地?zé)o需復(fù)雜的部署即可對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行安全檢測(cè),操作簡(jiǎn)單且能及時(shí)生成和查看檢測(cè)結(jié)果。
云化服務(wù) 工業(yè)物聯(lián)網(wǎng)安全檢測(cè)裂變式創(chuàng)新
欲善其事,先利其器。針對(duì)工業(yè)物聯(lián)網(wǎng)中工控設(shè)備及關(guān)鍵信息基礎(chǔ)設(shè)施中安全風(fēng)險(xiǎn)及潛在漏洞的檢測(cè)評(píng)估,匡恩網(wǎng)絡(luò)創(chuàng)新地設(shè)計(jì)出專為工業(yè)物聯(lián)網(wǎng)安全檢測(cè)而定制的漏洞挖掘檢測(cè)云服務(wù)平臺(tái)??锒骶W(wǎng)絡(luò)漏洞挖掘云服務(wù)平臺(tái)可實(shí)現(xiàn):
按需定制式的漏洞檢測(cè)云服務(wù):可以根據(jù)不同租戶需要進(jìn)行申請(qǐng),根據(jù)工業(yè)物聯(lián)網(wǎng)中工業(yè)控制設(shè)備及系統(tǒng)進(jìn)行相關(guān)用例推薦和申請(qǐng)測(cè)試用例,提供“私人訂制”式的漏洞挖掘檢測(cè)服務(wù)。
全面的工控脆弱性檢測(cè)平臺(tái):能夠?qū)I(yè)物聯(lián)網(wǎng)中工業(yè)控制設(shè)備,工業(yè)控制系統(tǒng)和軟件進(jìn)行檢測(cè),內(nèi)置近千種工控安全漏洞庫(kù),支20多種主流工業(yè)控制協(xié)議檢測(cè),檢測(cè)的內(nèi)容涵蓋兼容性、安全性、功能性等方面。同時(shí)在檢測(cè)的基礎(chǔ)上還可以進(jìn)行已知漏洞的掃描和未知漏洞的挖掘。
強(qiáng)大的可擴(kuò)展式架構(gòu):提供基于不同工業(yè)控制協(xié)議的檢測(cè)和挖掘套件,并且可通過(guò)自定義測(cè)試用例方式進(jìn)行工業(yè)控制設(shè)備私有協(xié)議的漏洞檢測(cè)。
零部署漏洞檢測(cè)分析:無(wú)需本地部署,可以通過(guò)云平臺(tái)對(duì)工業(yè)物聯(lián)網(wǎng)中設(shè)備進(jìn)行相關(guān)安全風(fēng)險(xiǎn)和漏洞檢測(cè)。即使在沒(méi)有工業(yè)物聯(lián)網(wǎng)設(shè)備情況下,也可以通過(guò)平臺(tái)默認(rèn)接入的工業(yè)控制設(shè)備即可進(jìn)行相同型號(hào)設(shè)備的漏洞挖掘檢測(cè)和分析。
趨勢(shì)預(yù)判 工業(yè)物聯(lián)網(wǎng)安全檢測(cè) 呈現(xiàn)“四化”
在工業(yè)物聯(lián)網(wǎng)安全生態(tài)閉環(huán)中,前期的正確診斷是關(guān)鍵的第一步。安全風(fēng)險(xiǎn)的檢測(cè)和評(píng)估更是安全閉環(huán)中的排頭兵。那么在萬(wàn)物互聯(lián)的大趨勢(shì)下,未來(lái)的安全檢測(cè)產(chǎn)品,尤其是工業(yè)物聯(lián)網(wǎng)安全檢測(cè)有哪些發(fā)展趨勢(shì)?匡恩網(wǎng)絡(luò)認(rèn)為,主要呈現(xiàn)四大趨勢(shì):
1)融合化
各種類型的工業(yè)物聯(lián)網(wǎng)設(shè)備接入,包括各種接入技術(shù)和協(xié)議的融入,對(duì)工業(yè)物聯(lián)網(wǎng)安全檢測(cè)提出了更高的要求,需要檢測(cè)技術(shù)及產(chǎn)品跟上其發(fā)展的步伐,不斷提高檢測(cè)技術(shù)并融合IT設(shè)備檢測(cè)、工業(yè)設(shè)備檢測(cè)、無(wú)線設(shè)備檢測(cè)等多種系統(tǒng)、設(shè)備及通訊協(xié)議方方面面的檢測(cè)手段,只有這樣,才能深入、全面、有效地進(jìn)行安全檢測(cè),邁好邁實(shí)安全檢測(cè)這關(guān)鍵的第一步。
2)云端化
工業(yè)物聯(lián)網(wǎng)必然是萬(wàn)物互聯(lián),那么在互聯(lián)網(wǎng)中進(jìn)行安全檢測(cè),需要檢測(cè)設(shè)備具備云端檢測(cè)能力,能進(jìn)行多租戶同時(shí)檢測(cè)的能力,這樣才能便捷的提供安全檢測(cè)服務(wù)。
3)插件化
工業(yè)物聯(lián)網(wǎng)中設(shè)備及通信協(xié)議的多樣性,決定了檢測(cè)設(shè)備需要很強(qiáng)的可擴(kuò)展性,能以插件形式方便的加入新的設(shè)備、新的測(cè)試手段、新的漏洞庫(kù)、新的協(xié)議測(cè)試用例等,而非每次需要進(jìn)行固件版本升級(jí)。同時(shí),對(duì)于工業(yè)設(shè)備存在眾多私有協(xié)議特點(diǎn),也能快速、方便的進(jìn)行測(cè)試比如采用自定義測(cè)試、開(kāi)放接口等方式。
4)常態(tài)化
工業(yè)物聯(lián)網(wǎng)安全檢測(cè)不是一次性行為,而應(yīng)該是定期檢測(cè),這不同于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò),因?yàn)槲锫?lián)網(wǎng)相對(duì)于之前封閉的工控網(wǎng)絡(luò)引入了更多通用的IT產(chǎn)品和技術(shù),同時(shí),大部分的工業(yè)控制網(wǎng)絡(luò)應(yīng)用層協(xié)議和現(xiàn)場(chǎng)總線協(xié)議,廣泛使用明碼傳輸協(xié)議,存在沒(méi)有嚴(yán)格的身份識(shí)別,報(bào)文很容易被偽造等無(wú)法避免的脆弱性。因此,在工業(yè)物聯(lián)網(wǎng)中,需要對(duì)其網(wǎng)絡(luò)、系統(tǒng)、設(shè)備進(jìn)行定期的常態(tài)化的安全檢測(cè)。
結(jié)語(yǔ):
融合化、云端化、插件化、常態(tài)化是不僅是工業(yè)物聯(lián)網(wǎng)安全的未來(lái)發(fā)展趨勢(shì),更是匡恩網(wǎng)絡(luò)研發(fā)創(chuàng)新技術(shù)和產(chǎn)品的出發(fā)點(diǎn)。以漏洞挖掘云服務(wù)平臺(tái)為例,基于云平臺(tái)的按需定制式工業(yè)物聯(lián)網(wǎng)安全漏洞檢測(cè)服務(wù),融合了多種檢測(cè)技術(shù),以插件式方式支持眾多工控協(xié)議安全檢測(cè)。漏洞挖掘云服務(wù)平臺(tái)是一款滿足當(dāng)下,服務(wù)未來(lái)的專業(yè)安全檢測(cè)產(chǎn)品,極大程度上滿足各類用戶對(duì)于安全服務(wù)方式和形式的靈活性和多樣性的需求,為工業(yè)物聯(lián)網(wǎng)安全檢測(cè)提供了完整解決方案。