工業物聯網終端安全解決方案研究與設計

劉 霞，王運付，姜元山，張光偉，陳德進

（中訊郵電咨詢設計院有限公司，北京 100048）

0 引 言

2016年，十萬個攝像頭由于越權漏洞或默認用戶名和口令組成，感染“Mirai病毒”，造成美國大范圍網絡癱瘓。由于物聯網設備數量多、分布廣、生命周期長、人機交互少、安全防護弱，成為安全攻擊的重要目標，安全事件頻發。自2018年起，英、日、美等國開始全面加強物聯網安全管理[1]。

2019年，全國信息安全標準化技術委員會2019年第二次工作組“會議周”上，《物聯網安全標準化白皮書（2019版）》正式發布[2]，明確了物聯網安全標準化需求、體系、建議等。

2022年1月12日，國務院印發《“十四五”數字經濟發展規劃》，重點優化升級數字基礎設施，加快推動數字產業化升級，推進5G規模化應用，建設安全可控的智能化綜合性數字信息基礎設施。各省份發布相關規劃，一再強調網絡安全的重要性。在5G應用重點行業，如工業互聯網、智慧城市、生態環保等領域，均離不開物聯網終端設備。當前網絡安全已作為重點工作被提及，被大量使用的物聯網終端網絡安全問題必須受到關注，提出并應用合理的解決方案，避免使物聯網終端成為網絡安全大環境下的薄弱環節。工業物聯網終端作為行業物聯網一個重要的應用方向，在終端安全問題上，必須在產品誕生之初就把安全分析、設計、實現提升到匹配的高度。

1 工業物聯網安全威脅現狀

工業物聯網設備當前主要應用于天然氣、石油、采礦、電力、醫療、制造等垂直行業，設備類型包括視覺設備、工業互聯網網關等，一旦出現故障，可能導致生命財產安全或高風險[3]。

圖1所示是工業物聯網設備的上下游組網架構。其特點是，下游互聯各種工業設備，如攝像頭、RTU等。上游通過4G/5G/衛星等無線空口通信方式，連接到部署于網絡側或企業內網的管理平臺及業務平臺。

圖1 工業物聯網設備組網架構

當前據中國國家信息安全漏洞共享平臺統計數據顯示，工業物聯網設備主要涉及的網絡安全問題如下：

（1）安全漏洞數量劇烈上升；

（2）拒絕服務攻擊；

（3）信息泄露；

（4）未授權訪問。

2 關鍵安全問題消減措施

工業物聯網產品作為工業互聯網領域重點使用的產品，需要自研發之初便重點分析已知各類安全問題的原因，并提供合適的安全風險消減方案。

2.1 安全漏洞消減措施

當前的工業物聯網終端產品，從系統運行的操作系統、網絡協議棧到上層應用程序，大量使用三方軟件，且主要是引入使用狀態。基于該前提，工業物聯網可能涉及的三方軟件的安全漏洞主要有3種來源：

（1）選用不活躍的開源軟件；

（2）三方（或稱為供應鏈）安全漏洞；

（3）不及時的漏洞跟蹤修復。

針對（1）類漏洞來源，產品在設計之初，首先需要結合業務功能及重要程度，對開源引入進行備選評估。在開源引入過程中，首先考慮開源社區成熟度，強烈建議社區成熟度至少處于協作期[4]。典型如行業知名社區Linux、Apache、OpenStack等，處于流行期，優先使用。若非知名社區，則對開源軟件社區成熟度進行評估，典型評估維度包括：至少近一年內用戶持續增長情況、活躍開發者增長情況、階段性軟件發布情況、Bugfix情況等。針對重要功能使用開源軟件，強烈建議：如自研代碼，了解代碼架構、參與社區的開發及維護活動，以有利于驅動開源軟件技術走向，保證業務功能行業競爭力。

針對（2）類漏洞，典型如2020年“SUNBURST”事件，網絡管理軟件供應商SolarWinds Orion軟件更新包被黑客植入后門，導致該軟件的使用客戶遭到網絡攻擊。在工業物聯網產品中，不可避免使用三方軟件。針對該類問題，業界暫無成熟的工程化手段，建議結合三方軟件的重要性，對供應商的研發流程成熟度、網絡安全成熟度等進行評估[5]。

針對（3）類漏洞，強烈建議：在研發階段，借助安全漏洞掃描工具（如Nessus、OpenVAS等）進行漏洞掃描，在研發出口修復業界已知的漏洞。運行部署后，相對于云化產品，工業物聯網終端大部分分散部署于客戶環境，不利于現網漏洞掃描。在此場景下，需要客戶或產品供應商進行三方軟件清單維護，持續追蹤軟件漏洞情況，及時規劃漏洞修復及版本上線，盡可能減少漏洞線上暴露時間。

2.2 拒絕服務攻擊消減措施

拒絕服務攻擊主要是如下2種：

（1）常見的DOS攻擊；

（2）DDOS攻擊。

在工業物聯網解決方案部署中，終端處于運營商網絡（如4G/5G核心網、衛星接入網）下游。雖然網絡側已經部署了防火墻等安全措施，終端側依然需要具備基本的內生防護能力[6-9]。

針對（1）類拒絕服務攻擊，典型的有“死亡之ping”“teardrop 攻擊”“UDP 洪水”“SYN 洪水”“Land 攻擊”“Smurf攻擊”“Fraggle攻擊”等。作為工業物聯網終端，業界常使用嵌入式Linux系統，在Linux系統下，需要對操作系統做合適的開關配置、結合系統的CPU能力配置合適的iptables規則，即可實現基本的終端側防護，防止從網絡側或LAN發起該類攻擊。工業物聯網終端除涉及常見DOS攻擊外，還涉及無線局域網的DOS攻擊，典型如WLAN接入。由于物聯網終端作為AP設備，接入的STA設備數量有限。惡意攻擊者可以偽造STA持續進行接入請求，從而導致AP的可用接入數耗盡，導致合法STA無法接入。針對這類情況，建議對工業物聯網終端的接入機制進行加固，實現基于MAC地址的防暴力機制。

針對（2）類拒絕服務攻擊，主要是針對服務器側的攻擊。對終端側而言，建議在產品研發階段對產品的監聽端口進行端口掃描（典型使用工具Nmap），關閉業務不必要的端口監聽，減少系統的攻擊面。

2.3 信息泄露消減措施

工業物聯網終端產品從產品特點看，主要涉及如下信息，對信息類型及其用途、泄露影響的分析見表1所列。

表1 工業物聯網終端信息類型及用途、泄露影響分析

從表1的分析結果來看，密鑰類、口令類是工業物聯網終端的關鍵信息，一旦泄露，將可能造成重大安全影響。針對這類安全風險，建議的安全消減措施如下。

（1）對密鑰進行安全管理

對于高安全級別的設備，實現基于TEE的密鑰管理方案[10]，對系統使用的業務類“密鑰”，使用TEE中的安全密鑰進行安全保護。避免在非安全系統中可以獲取密鑰類的明文，防止密鑰信息泄露。

對于一般安全級別的設備，使用圖2所示的密鑰分層管理機制實現本地化密鑰安全管理?！懊荑€保護密鑰”的材料分散存儲，至少一份編碼于代碼中，剩余部分以文件形式保存在文件系統中，文件名隨機化，密鑰材料通過異或等操作恢復后，使用不可逆加密算法（如PBKDF2）導出。對不同的業務場景使用不同的工作密鑰，工作密鑰使用安全的隨機數（在Linux系統下，可以選擇使用/dev/random）生成，密鑰長度至少32個字節。使用“密鑰保護密鑰”保護“工作密鑰”，“工作密鑰”用于關鍵信息數據（如私鑰、口令等）的保護。

圖2 密鑰分層管理機制

（2）對口令進行安全加密

對于口令，在可以使用不可逆加密保存的場景（如近端Web管理登錄）使用不可逆加密算法（如PBKDF2）。在必須使用可逆加密保存的場景，使用可逆加密算法（如AESCBC-128等）進行加密保存?？诹罴用苁褂玫拿荑€即“工作密鑰”，通過密鑰安全管理進行保管。

2.4 未授權的訪問消減措施

針對工業物聯網終端訪問安全風險的全量識別，推薦使用STRIDE分析方法。結合產品的部署場景及業務特點，可以識別終端的所有外部交互方及交互數據流。當前分析識別的典型數據流圖如圖3所示。

圖3 工業物聯網終端典型數據流圖

從圖3可知，工業物聯網終端主要有3類數據流，針對每類數據流的說明及消減措施見表2所列。

表2 針對每類數據流的說明及消減措施

3 結 語

本文主要結合工業物聯網終端的典型安全問題，提出針對性的消減措施。以便在產品交付過程中，在傳統安全設計及研發的基礎上，進行有針對性增強，在設計前端以及在產品全生命周期中持續關注安全風險，不斷制定消減措施，以助力行業的數字化產業升級[10]。