工業互聯網平台核心技術之安全技術

作者: 伊人影院科技集團 / 時間: 2019-05-21 01:42:45
瀏覽次數 114

工業互聯網平台需要解決多類工業設備接入、多源工業數據集成、海量數據管理與處理、工業數據建模分析、工業應用創新與集成、工業知識積累迭代實現等一係列問題,涉及七大類關鍵技術,分別為數據集成和邊緣處理技術、IaaS 技術、平台使能技術、數據管理技術、應用開發和微服務技術、工業數據建模與分析技術、安全技術。

工業互聯網平台核心技術之安全技術

這七項技術散見於以前的文章之中,本篇主要談談安全技術。

工業互聯網平台的安全威脅

由於早期的工業控製係統都是在相對獨立的網絡環境下運行,在產品設計和網絡部署時,隻考慮了功能性和穩定性,對安全性考慮不足。隨著工業控製係統網絡之間互聯互通的不斷推進,以及工控控製係統和工業設備接入互聯網的數量越來越多,通過互聯網對工業控製係統實施攻擊的可能性越來越高,而每年新發現的SCADA、DCS、PLC漏洞數量也不斷增加,這些都為工業互聯網帶來巨大的安全隱患。

工業互聯網平台核心技術之安全技術

從2011年以後工業控製係統的各種漏洞每年都在高速的增加,這些漏洞將會成為攻擊工業控製網絡的一種主要途徑,通過這些漏洞攻擊可以完成獲取係統權限、修改工程數據和控製流程、非法關閉現場設備等操作,造成重大的生產事故和經濟損失。

1、來自外部網絡的滲透 

工業互聯網會有較多的開放服務,攻擊者可以通過掃描發現開放服務,並利用開放服務中的漏洞和缺陷登錄到網絡服務器獲取企業關鍵資料,同進還可以利用辦公網絡作為跳板,逐步滲透到控製網絡中。通過對於辦公網絡和控製網絡一係列的滲透和攻擊,最終獲取企業重要的生產資料、關鍵配方,嚴重的是隨意更改控製儀表的開關狀態,惡意修改其控製量,造成重大的生產事故。 

2、帳號口令破解 

由於企業有對外開放的應用係統(如郵件係統),在登錄開放應用係統的時候需要進行身份認證,攻擊都通過弱口令掃描、Sniffer密碼嗅探、暴力破解、信任人打探套取或社工比較合成口令等手段來獲取用戶的口令,這樣直接獲得係統或應用權限。獲取了用戶權限就可以調取相關資料,惡意更改相關控製設施。 

3、利用移動介質攻擊 

當帶有惡意程序的移動介質連接到工程師站或操作員站時,移動介質病毒會利用移動介質自運行功能,自動啟動對控製設備進行惡意攻擊或惡意指令下置。一方麵造成網絡病毒在企業各個網絡層麵自動傳播和感染,靠成業務係統和控製係統性能的下降,從而影響企業監測、統籌、決策能力。另一方麵會針對特定控製係統或設備進行惡意更改其實際控製量,造成生成事故。

4、PLC程序病毒的威脅 

通過對工程師站及編程服務器的控製,感染(替換)其相關程序,當PLC程序的下發時,惡意程序一起被下發到PLC控製設備上。惡意程序一方麵篡改PLC的實際控製流,另一方麵將運算好的虛假數據發給PLC的輸出,防止報警。通過這種方式造成現場設備的壓力、溫度、液位失控,但監測係統不能及時發現,造成重大的安全事故。

5、利用工業通信協議的缺陷 

Modbus、DNP3、OPC等傳統工業協議缺乏身份認證、授權以及加密等安全機製,利用中間人攻擊捕獲和篡改數據,給設備下達惡意指令,影響生產調度,造成生產失控。 

6、利用無線網絡入侵 

控製網絡通過DTU無線設備通過802.11b協議連接到管理區的網絡,通過對網絡無線信息的收集,偵測WEP安全協議漏洞,破解無線存取設備與客戶之間的通訊,分析出接入密碼,從而成功接入控製網絡,控製現場設備,獲取機要信息,更改控製係統及設備的控製狀態,造成重大影響。

工業互聯網平台安全的要求

工業互聯網實現了設備、工廠、人、產品的全方位連接,因此工業互聯網安全建設必須從綜合安全防護體係的視角對其進行統籌規劃。從工業互聯網的整體架構來看,應該在各個層麵實施相應的安全防護措施,並通過入侵檢測、邊界防護、協議分析、行為分析、安全審計、容災備份、態勢感知等各種安全技術與安全管理相結合的方式實現工業互聯網的安全防護,形成對工業互聯網安全的“監測、報警、處置、溯源、恢複、檢查”工作閉環。

工業互聯網平台核心技術之安全技術

工業互聯網的安全防護能力

工業互聯網平台應在雲基礎設施、平台基礎能力、基礎應用能力的安全可信方麵應製定五個基本計劃活動:

工業互聯網平台核心技術之安全技術

1、識別(Identify):識別的管理係統,資產,數據和功能的安全風險。

2、防護(Protect):對平台實施安全保障措施,確保工業互聯網平台能夠提供服務。

3、檢測(Detect):對平台使用、維護、管理過程實施適當的持續性監視和檢測活動,以識別安全事件的發生。

4、響應(Respond):對平台使用、維護、管理過程製定和實施適當的應對計劃,對檢測到的安全事件采取行動。

5、恢複(Recover):對平台使用、維護、管理過程製定和實施適當的活動及維護恢複計劃,以恢複由於安全事件而受損的任何能力或服務。

工業互聯網安全的防護思路

聲明:本網所有文章(包括圖片和音視頻資料)係出於傳遞更多信息之目的,且明確注明來源和作者,不希望被轉載的媒體或個人可與伊人影院聯係,伊人影院將立即進行刪除處理。所有文章僅代表作者觀點,不代表本站立場。