第2章
工業物聯網資料流和安全架構
“確定工業運作安全性和可靠性的關鍵在于確定連接配接到網際網路的裝置和系統是安全的。”
—工業網際網路聯盟(IIC)執行理事Dr. Richard Soley
工業物聯網(IIoT)的龐大規模和複雜性要求采用系統的方法來保護其系統架構。當複雜程度較高時,将安全範疇分解為多個子域有助于管理和降低風險,這種分解對于涉及多種技術、多個組織邊界(工業物聯網中的常見場景)的案例特别有用。
工業系統已經發展了數十年,其進步使我們提出保護工業物聯網系統和資産的計劃以避免現在或未來的威脅。本章深入介紹了工業物聯網資料流和工業物聯網參考架構,并介紹了IIC提出的工業網際網路安全架構。随後這些讨論将引導讀者了解簡化的四層工業物聯網安全模型,該模型将基本的工業物聯網安全措施分解為四個主要的層面。
但是,在開始講解這些細節之前,我們将簡單介紹工業物聯網攻擊、對策和威脅模組化。
本章涉及的主要内容如下:
- 工業物聯網攻擊、對策和威脅模型初探
- 工業物聯網系統的可信度
- 工業大資料管道和架構
- 工業物聯網安全架構
2.1 工業物聯網攻擊、對策和威脅模型初探
掌握工業物聯網攻擊的動态對安全風險的分析和緩解來說至關重要。威脅模組化通常是一種安全對策,本章稍後将對此進行讨論。攻擊樹和故障樹是建立安全威脅模型和表述攻擊風險的兩種有效方法。
在現實世界中,大多數攻擊都是針對物聯網産品和連接配接中的特定漏洞。許多攻擊都針對零日漏洞,對于這種漏洞,不僅可以利用漏洞進行攻擊,還可以通過網際網路或企業網輕松擴散攻擊影響,進而産生雪球效應。由于IIoT攻擊需要巨大投入和專業技能,是以大多數攻擊都涉及民族、國家,足以造成重大影響。
IIoT環境中的一些常見攻擊類型如下所示:
- 惡意軟體觸發的勒索軟體
- 有線/無線掃描和映射攻擊
- 網絡協定攻擊
- 感染ICS(工業控制系統)和智能SCADA(資料采集與監控系統)
- 密碼算法和密鑰管理攻擊
- 欺騙和僞裝(認證攻擊)
- 未經授權的端點控制以觸發意外的控制流
- 資料破壞攻擊
- 作業系統和應用程式完整性攻擊
- 拒絕服務和服務擁塞攻擊
- 實體安全攻擊(例如,有意破壞或接口暴露)
- 通路控制攻擊(權限提升)
此外還存在許多其他攻擊類型。如今,勒索病毒攻擊事件的數量正在急劇上升。在IIoT中,如果勒索病毒将控制系統中的資料加密,則可能導緻巨大的災難。例如,醫院的醫療資料被加密(參見1.10.6節)可能會導緻大規模的緻命後果。是以,我們需要仔細研究部署中的可能攻擊,以便更好地管理安全風險。
圖2-1顯示了漏洞、攻擊和對策的相關性。
2.1.1 攻擊面和攻擊向量
在第1章,我們讨論了工業安全風險。為了評估攻擊對系統造成的風險,我們使用了兩個常用的術語攻擊面和攻擊向量,這兩個術語與系統所針對的行業、特定部署用例以及相關的業務目标有着密切聯系。
攻擊面涉及可能導緻攻擊的各類系統元件。例如,在連接配接到SCADA網絡的傳統工控系統中,攻擊面包括内部威脅、實體威脅、SCADA專用協定中的漏洞等。但是,當工控系統連接配接到雲平台時,雲技術中存在的漏洞(例如,基于IP的WAN連接配接、遠端配置以及裝置管理等)也成了攻擊面。總之,IIoT顯著地擴大了工業系統和基礎設施的攻擊面。
攻擊向量包括攻擊所用的工具和技術,這也與行業和所涉及的技術密切相關。攻擊者可以利用各種工具和技術對系統發起攻擊。是以,針對IIoT系統的攻擊向量可能是實體層面的,或者是與網絡、軟體及供應鍊相關的。常見網絡攻擊向量的示例包括網絡釣魚、不安全的無線網絡、可移動媒介、移動裝置、惡意Web元件、病毒以及惡意軟體。
鑒于IIoT涉及的風險具有網絡和實體雙重性質,在評估與任何IIoT部署相關的總體風險時,安全從業者必須考慮威脅、攻擊面和攻擊向量的實體後果。
OWASP物聯網攻擊面
OWASP已經為物聯網系統總結了一份攻擊面清單,并将其作為OWASP物聯網項目的一部分。其如下所示,它提供了物聯網系統攻擊面的基本概念,同時也适用于IIoT,并且可用在基于攻擊面的分析上。你還可以通路參考部分提供的OWASP網站,那裡提供了進一步的詳細說明。
2.1.2 攻擊樹
攻擊樹提供了一種結構化、階層化的方式來收集和記錄對指定組織的攻擊,以便進行威脅分析。從根本上說,通過攻擊樹,我們可推斷資産或目标受攻擊的可能方式。
攻擊樹已被用于各行各業,特别是用于分析針對防篡改電子系統和電網數字控制系統的威脅,這個概念也可以被擴充用于相關行業。
如圖2-2所示,攻擊樹是由一個根節點和多個葉子節點組成的多層圖。從下到上,子節點是使直接父節點成立必須滿足的條件。從下到上的每條路徑,當滿足根節點的條件時,攻擊完成,其中每個節點的條件是否被滿足隻能由其直接子節點決定。
攻擊樹通過推理方法來考慮所有攻擊和威脅,而且這些推理可以與其他威脅模型內建,以建立一種透明且直接的攻擊和攻擊者的分析模式。
在傳統的網絡安全事件中,攻擊目标可能是身份盜取、資料洩露、拒絕服務等。然而,對于涉及網絡實體系統的案例來說,攻擊目标可能涉及實體災難:“從關閉燈泡到關閉人類心髒”(IOT-SEC)。同樣,由于與實體世界的互動,我們還需要考慮針對根節點的新的威脅和攻擊方式。
2.1.3 故障樹分析
對IIoT而言,攻擊從本質上具有網絡和實體屬性,且與安全性和可靠性工程密切相關,是以,故障樹分析可以作為一種有效的工具來使用。
IIoT系統和技術具有一定程度的複雜性,是以任何子系統發生故障都可能導緻系統級故障。然而,我們通常可以通過改進系統設計來降低當機的可能性。在故障樹分析(FTA)中,我們對整個系統建立邏輯圖,映射故障、子系統和備援安全設計元素之間的關系。圖2-3展示了故障樹的示例。
與攻擊樹不同,FTA是自上而下的。在這裡,我們通過組合一系列較低級别的事件(包括子系統故障)來進行分析。通過使用布爾邏輯,組合這些事件來分析非預期的系統狀态。這也是安全性和可靠性工程中常用的演繹故障分析方法,用于了解系統如何發生故障,進而找到降低故障風險的方法。
FTA最初用于航空航天工業,其對安全保障的要求非常高。對于商用飛機,故障機率為10-9(十億分之一)(IOT-SEC)。如今,除航空航天外,FTA還用于其他行業,如核電、化學工程、制藥、能源等。FTA也用于軟體工程,用于調試尋找漏洞,并且與錯誤排除技術密切相關。
以下一些行業和政府标準中描述了FTA方法:
- NUREG-0492用于核電和航空航天工業
- SAE ARP4761用于民用航空航天
- MIL-HDBK-338用于軍事系統
- IEC 61025用于跨行業用途
2.1.4 威脅模組化
完全根除安全威脅幾乎不可能,無論我們采取何種安全措施來降低攻擊風險,威脅都将存在。在實際部署中,安全措施都是在掌握已知威脅的基礎上進行的風險管理。但是,除非我們掌握特定場景中的威脅,否則無法緩解風險(OWA-TRM)。
威脅模組化是一種有效管理和展示風險的系統技術,在威脅模組化中,基于對系統架構和實作的深刻了解,我們根據威脅的發生機率來識别和評估威脅,這使我們能夠按照優先級順序降低風險,既經濟又有效(MST-TRM)。
微軟公司為應用程式開發了一種威脅模組化方法,該方法也可應用于IIoT系統。是以,我們将根據微軟公司的方法來處理本節中的IIoT威脅模組化,其中包括如圖2-4所示的步驟。
步驟解釋如下:
1.資産識别:确定必須受到保護的資産清單。
2.建立架構概覽:記錄整個IIoT系統的架構,其中包括子系統、平台、應用程式、信任邊界、控制流以及資料流等。
3.架構分解:将架構分解為系統(應用程式、物聯網端點)和基礎設施(通信協定、資料中心、網絡協定)元件。為該特定場景的IIoT建立安全配置檔案,旨在發現設計、實作或部署配置中的漏洞。
4.威脅識别:基于攻擊面和攻擊向量,并使用攻擊樹和FTA(在本章前面讨論過)來進行威脅識别。常用的威脅識别技術有STRIDE和DREAD(接下來讨論),這兩種技術都是由微軟公司開發的。
5.威脅記錄:使用通用威脅模闆記錄每個威脅,該模闆定義了針對每個威脅的核心屬性集。
6.威脅評級:對每個威脅進行評級,并根據威脅的影響确定威脅的優先級。評級過程會對威脅的可能性進行權衡,以指導我們有效地配置設定資源。
威脅的評級和排名可以根據幾個因素來确定,圖2-5展示了一種以風險為中心的方法,該方法可以應用于IIoT部署用例。
STRIDE威脅模型
由微軟公司開發的STRIDE是對威脅進行識别和分類的一種模型,STRIDE模型還被擴充到了物聯網威脅(MST-STR),并且可以應用于IIoT用例。STRIDE首字母縮略詞代表以下類型的威脅:
- 身份欺騙(Spoofing identity):個人或裝置使用其他人的憑據(例如,登入名和密碼以及證書等)來通路其無法通路的系統,其中裝置可以使用虛假的裝置ID。
- 資料篡改(Tampering with data):更改資料發起攻擊,資料通常與裝置、協定字段、流動中的未加密資料等相關。
- 否認(Repudiation):某人或裝置能夠否認卷入了某一特定交易或事務,并且無法證明。在發生安全漏洞的情況下,無法追蹤到負責人或裝置,這本身就是一種威脅。
- 資訊洩露(Information disclosure):向未被授權通路的個人提供資訊,在IIoT環境中,這可能意味着攻擊者可以通路傳感器或操作資料。
- 拒絕服務(Denial of service):這些威脅會阻止合法使用者或裝置通路伺服器(計算)或網絡資源。将系統性能降低到不可接受水準的漏洞也可被視為拒絕服務攻擊的一種形式。
- 權限提升(Elevation of privilege):未授權的使用者可以滲透安全防護,獲得足夠的信任和通路權限,進而危及目标系統。
DREAD威脅模型
在識别并對威脅分類後,對它們進行排序和設定優先級也很重要,優先級較高的威脅應優先被解決。DREAD方法旨在對威脅進行排名(MS-DREAD)。雖然DREAD最初是為子系統元件(軟體、固件等)開發的,但其概念可用于IIoT系統各種粒度級别的威脅評估。
DREAD是一個首字母縮略詞,代表威脅評估的五個标準:
- 潛在損害(Damage):威脅轉化為安全攻擊時可能造成的損害。就網絡實體系統來說,損害可能是資料洩露、環境破壞、人身傷害等。
- 再現性(Reproducibility):衡量特定威脅成功變為攻擊的頻率,易再現的威脅更可能被利用。
- 可利用性(Exploitability):評估啟動漏洞利用所需的工作量、經濟投入和專業知識,僅需低水準技能和經驗的威脅比那些需要進階技能人員和高昂費用的威脅更容易被利用。就IIoT而言,攻擊通常涉及高度的複雜性和專業知識。如果工業威脅被遠端利用,那麼它比本地的、實體通路和特殊憑據的漏洞利用更具可利用性。
- 受影響的使用者(Affected user):可能受攻擊影響的使用者數量是威脅優先級的衡量因素,其可以擴充為包括受攻擊影響的裝置和資産的數量。
- 可發現性(Discoverability):漏洞可以被利用的可能性。
在DREAD分類方案中,我們将根據威脅的風險值來對其進行量化、對比和優先排序。風險值可使用以下公式計算:
2.2 工業物聯網系統的可信度
正如本書中已經提到的,保護網絡實體系統(CPS)的概念是我們通常了解的網絡安全和資訊安全概念的超集。
為了确定IIoT安全的範圍,我們使用術語可信度(NIST-CPS)(IIC-IISF)。根據NIST-CPS,CPS可信度的定義是:“可信度是指系統在其特征所對應的任何條件下都能夠根據既有設計準則執行的可能性,其特性包括但不限于實體安全性、資訊安全性、私密性、可靠性和彈性。”
從業人員高度重視IIoT系統的可信度,為使IIoT系統可信,我們必須結合IT和OT域的安全特性(IIC-IISF)。如圖2-6所示,可靠的IIoT系統的關鍵特性結合了IT可信度(私密性、資訊安全性、可靠性和彈性)和OT可信度(實體安全性、可靠性、資訊安全性和彈性)等元素。本書中對IIoT安全的所有引用都建立在IIoT可信度的概念之上。
在一個機構中,企業IT和OT團隊對風險的看法完全不同,我們需要平衡考慮OT和IT,以確定IIoT系統的可信度。就IIoT來說,控制流和資料流可能跨越多個中間者,信任還應貫穿整個系統生命周期,涉及各種參與者和功能實體:從硬體和軟體元件建構、系統平台建構、供應鍊,一直到終端使用者。第7章将進一步闡述這一關鍵概念。
在本章後續幾節中,我們将分析工業大資料流,并讨論各種IIoT架構模式,然後提出一個簡化的四層安全模型作為IIoT可信度的實踐基礎。
2.3 工業大資料管道和架構
資料是IIoT價值鍊中的主要資産,傳感器、執行器和控制器等工業裝置會生成狀态并運作相關資料,這些工業大資料中固有的資訊可用于實作各種描述性、規範性和預測性的應用以及進行商業洞察。從資料處理的角度看,針對這種端到端的資料流,首先使用提取、轉換和加載(ETL)方法進行預處理,然後使用人工智能和機器學習,最後應用于資料可視化和業務應用,這一過程統稱為工業大資料管道(如圖2-7所示)。
針對上圖的解釋如下:
- 現場(on-premise)資料源:現場資料包括使用和活動資料—實時流資料(傳輸中的資料)和來自各種資料源的曆史/批處理資料。嵌入在遠端站或工廠工廠中的房間的傳感器和控制器會産生大量資料,這些資料反映監測的參數、控制器動作和回報信号資料。從中我們可以獲得對實際系統較細粒度的可見度。這些原始資料既可以是結構化資料,也可以是非結構化資料,還可以是存儲在資料池中以供将來處理或以流式傳輸進行(最近)實時流分析。靜态資料包括傳感器曆史資料、反映裝置健康(運作狀況)的故障和維護資料以及事件日志,存儲在瞬态或持久資料存儲媒體中;這些資料被上傳到現場或雲中平台進行規範資料存儲,然後被用于批處理。
- 資料接入:事件進行中心旨在快速接入并發送資料以進行實時分析,在存在大量資料的情況下,諸如Hadoop/HDFS、Hive、SQL等規範資料存儲和計算叢集可以執行ETL功能,并且可以将資料導入機器學習引擎。
- 資料準備和分析:可對資料執行特征工程和ETL,以便為分析做好準備。
- 流分析:根據傳感器資料提供實時監測,如蒸汽輪機的裝置運作狀況。這些資料可以存儲在持久存儲媒體中,以進行更複雜的密集型計算的批量分析,這些資料經轉換後可用于機器學習,能夠預測例如蒸汽輪機的剩餘使用壽命。
- 資料可視化:企業級應用程式(如客戶關系管理(CRM)、企業資源規劃(ERP)等)可以處理資料,商業智能(BI)分析軟體(如Tableau、Pentaho等)可用于開發資料可視化應用程式以擷取各種BI洞察(如性能、剩餘使用壽命等)或基于異常的警報和通知。
大資料管道和資料流的具體實作可根據特定的資料管理和所有權模型變化,端到端管道可以完全由工業組織(如智能風車)擁有,或者可以利用私有雲或公有雲基礎設施來提高應用和業務領域的效率。
當資産位于遠端時(例如,風電場中的渦輪發動機和油田中的石油鑽井平台),我們可能需要在資産附近進行資料處理和計算,以進行本地分析和控制。本章後續幾節将進一步闡述這一過程。
從IIoT系統可信度的角度來看,大資料管道的每個元素都需要通過內建資料私密性、可靠性和機密性控制來進行設計,同時也要考慮安全性、可用性和彈性。
随後的幾章,我們将讨論在這個工業資料管道和資料流中內建安全控制(如安全傳輸、存儲和更新、安全監控等)的實用機制。
2.4 工業物聯網安全架構
2015年,IIC釋出了IIoT系統的工業網際網路參考架構(IIRA)(IIC-IIRA),它采用“ISO/IEC/IEEE 42010:2011系統和軟體工程—架構描述”作為通用架構和實踐的标準。IIRA結合架構架構與多元抽象來分析焦點、視圖、模型等,使用該參考架構有助于通過設計整合安全,架構師可以在這些參考架構之上建構特定場景的IIoT架構。
本節簡要讨論IIC參考架構的四個視角,這些視角簡化了對IIoT架構的了解和分解。你可以在IIC-IIRA中找到對這些視角的深入讨論。
2.4.1 業務視角
IioT架構的業務視角有助于分析和評估面向業務的焦點,如采用IIoT解決方案的業務目标及其價值、投資回報、生命周期維護成本等,它進一步确定了IIoT系統如何通過映射到基本系統功能來實作既定目标。根據IIC:PUB:G1:V1.80:20170131:“?為了驗證最終的系統确實能夠滿足目标需求,它們應該具有詳細的可量化屬性,如安全程度、安全性和彈性、衡量系統成功的基準,以及通過證據證明所聲明的系統特性存在的标準。”
2.4.2 使用視角
該視角分析了使用IIoT系統實作關鍵系統和業務目标所涉及的活動和工作流程。示例工作流程如下所示:
1.将新裝置注冊到邊界網關。
2.通過自動發現和查詢所有網關,在基于雲的管理平台中注冊新裝置。
3.運作适合此裝置類型的遠端測試過程,并驗證生成值是否在預期範圍内以及是否與附近的類似裝置保持一緻。
此分析将使用元素映射到整體架構中對應的功能和實作上,安全性是IIoT系統使用的除了資料完整性、資料機密性和彈性之外重要的可信賴因素,我們需要在整個使用周期中予以考慮。
2.4.3 功能視角
功能視角提供了一個基本抽象表示,以便設計IIoT端到端架構的重要功能元件。IIoT涉及多個關鍵任務功能元件,具有複雜的結構、互動、接口和連接配接,這些需要适當設計以確定其安全性和彈性。
IIRA将這個功能視角分解為五個功能域,以更好地解決分析、設計和安全內建問題,這些功能域适用于所有行業的垂直領域。雖然可能有其他方法來分解特定功能的用例,但以下五個域提供了概念功能架構的出發點:
- 控制域:側重于傳感和執行器功能,與外部實體對象和環境的互動是該領域的主要焦點,其還涉及環境安全性、彈性和資料保護。常見案例是風力渦輪機或自動車輛中的控制單元,或者能源網中的工控系統。
- 操作域:在工業網際網路架構中,傳統的工業控制一般聚焦于本地的實體裝置,現在已經發展到更高的水準。操作域包括(多個工廠、資産類型、車隊或客戶的)配置、管理、監控和優化功能。例如,IIoT對不同鐵路的多輛列車進行組合分析,而不是僅對一列火車進行優化,可以提高整個國家的鐵路網絡使用率。
- 資訊域:表示從各個域收集資料的功能集合,尤其是來自控制域的資料;然後對這些資料進行轉換、持久化存儲和模組化,以獲得有關整個系統的進階資訊。這反過來又幫助我們獲得資料驅動的洞察并實作動态優化。例如,通過使用成本、需求和物流,我們可以動态地優化自動化生産裝置的輸出。由于這些功能大多屬于IT領域,是以我們必須在規劃和設計中內建适當的網絡安全(cybersecurity)控制。
- 應用域:包括實作業務的功能,如應用程式邏輯和規則、API、儀表闆等。
- 業務域:該域将IIoT系統與傳統或新的業務應用的功能內建在一起,如ERP、CRM、産品生命周期管理(PLM)、制造企業生産過程執行系統(MES)、人力資源管理(HRM)、資産管理、服務生命周期管理、計費和支付、工作計劃和排程系統等。
如圖2-8所示,這些功能域跨過了多種系統可信度的特性。根據具體用例的要求,這些功能域可以在邏輯上和實體上集中或分散。例如,我們可以在處于邊緣的工業廠房(用于更快的處理和決策),或是在遠端資料中心,或是與雲服務提供商一起配置資訊域。
2.4.4 實作視角
實作視角合成了其他三類視角,其需要考慮業務目标,例如,成本和上市時間限制,與産品使用、協定、網絡拓撲相關的活動,等等。這些都是滿足功能特性所必需的。
這也是需要實施安全政策(如設計安全性、深度防禦性和基于威脅的風險分析)的視角。
在下一節中,我們将回顧一些常見的IIoT架構,以便在詳解安全分析之前建立基礎的了解。
2.4.5 工業物聯網架構模式
IIoT的部署包括前文讨論的各種功能域(控制、操作、資訊、應用和業務),這些域的實作可以産生許多種架構模式(IIC-IIRA)。通過抽象各種IIoT部署的細節,我們可以推導出一些通用模式。我們将讨論兩種常見模式以推出一種安全架構模型。
模式1:三層架構模型
三層架構非常常見,它涉及以下層的連接配接、資料和控制流:
- 邊界層
- 平台層
- 企業層
圖2-9顯示了一個三層IIoT架構。
三層模式結合了IIoT的主要元件,如傳感和控制、資料處理和轉換、智能、通信和連接配接,以及管理服務和業務應用。它還可映射到功能視角中;例如在圖2-8中,控制域功能被映射到邊界層、平台層中的資訊和操作上,以及企業層中的應用和業務上。
該映射可以根據實作而變化,例如在一些情況中,為了實作智能邊界計算,我們可以在邊界層中實作與資訊處理及某些應用邏輯和規則相關的一些功能。
邊界層中連接配接當地裝置、傳感器、執行器和控制系統(也稱為邊緣節點)的鄰近網絡,可以是有線或無線的形式。鄰近網絡可以利用網狀或LAN網絡拓撲,建立一個或多個叢集,然後将這些叢集與橋接到WAN或企業網絡的邊界網關相連。從邊界層的節點收集的資料可以在本地處理或通過網關發送到雲平台。
接入網絡連接配接邊界層和平台層,平台層整合和分析從邊緣層來的資料流,還将管理和控制管理指令從企業層轉發到邊緣層。接入網絡可以是企業網絡,也可以是公共網際網路上的WAN虛拟專用網絡(VPN),或3G/4G/5G蜂窩網絡。
企業層是管理功能的抽象層,它接收來自邊緣層并在平台層中處理的資料流,這些資料可用于可視化或業務決策的分析。企業層中的操作使用者還可以生成控制、配置和裝置管理指令,這些指令被下傳到邊界節點。平台層和企業層通過服務網絡連接配接;服務網絡可以通過公共網際網路或配備有企業級安全的專用網絡來使用VPN。
模式2:分層資料總線架構
資料總線是連接配接的邏輯抽象表示,實作了一組通用模式和通用資料模型。在分層資料總線模型中,指定層中的每個端點都使用該通用模式集進行通信。
分層資料總線架構在IIoT部署的邏輯層内和邏輯層之間提供低延遲(實時)、安全、對等的資料通信,這種模式在控制和監控分布于不同層的工業案例中很有用。例如在石油鑽井平台的SCADA系統中,部署于遠端位置的智能機器和控制器需要直接傳送控制和監控資料,這可以實作更快的本地分析。
監督層包含監督控制、監控和分析。
單獨的資料總線可以連接配接各個系統,以便在下一個更高層進行協調控制、監控和分析。
在分層架構中,各層的資料總線可能具有不同的模式或資料模型集。為使用不同的資料模型,跨越不同層進行通信,較低級别的資料總線僅導出一組可控的内部資料。
為了比對不同層的資料模型,我們還可以使用資料總線網關或擴充卡,擴充卡還可以隔離和橋接安全域,或充當用于相容舊系統或不同協定(IIC-IISF)的接口點。
層與層之間的資料轉發可以過濾和減少資料,由于控制和分析的範圍從下到上逐層增加,是以減少跨層傳輸的資料量以适應範圍、延遲和抽象級别内的增量則非常重要。
以資料為中心的“釋出-訂閱”通信模型對資料總線來說較常見,在給定層中的應用程式,通過簡單地“訂閱”所需的資料作為輸入,并“釋出”它們産生的資訊。該“釋出-訂閱”通信模型對于快速分發大量時間關鍵資訊來說是有效的,尤其是當傳送機制不是非常可靠時。
對象管理組(OMG)的資料分發服務(DDS)标準使用此分層資料總線模型,消息隊列遙測傳輸(MQTT)則使用基于代理的“釋出-訂閱”模型。DDS和MQTT及其安全功能将在第5章中讨論。
在圖2-10中,我們用分層資料總線架構的示例實作來表示用于石油監測和操作控制的大型SCADA系統。
2.4.6 工業物聯網安全架構建構塊
對于上一節中讨論的三層架構,IIoT安全架構必須從端到端跨越三層—從邊界裝置終端到平台層,最終到企業層。在分層部署資料總線的情況下,安全體系架構需要包含資料總線通信和模式、每層的端點,以及通過資料總線網關的層間通信,這表明了IIoT安全的普遍性。此外,我們應該在部署生命周期的早期評估安全風險,而且必須在設計中加入應對方案。然而,由于IIoT的一些顯著特征,這些安全要求在現實世界的工業物聯網部署中并不容易實作,如下面摘錄自IIC的工業網際網路安全架構(IIC-IISF)文檔的内容:
- 由于IIoT包括IT和OT,理想情況下,安全性和實時态勢感覺應該無縫地跨越IT和OT子系統,而不會幹擾任何營運業務流程。
- 目前,工業系統的平均壽命為19年。使用最新和最安全技術進行綠地部署并不一定可行,安全技術通常得應用在一組難以改變的現有舊系統上。在綠地和棕地部署中,所有受影響的制造商、系統內建商和裝置所有者/營運商,均必須參與建立更安全可靠的IIoT系統。
- 由于沒有單一的“最佳方式”來實作安全性和足夠安全的行為,是以技術構模組化塊應該支援将邏輯防禦級别映射到安全工具和技術的深度防禦政策。由于工業系統的高度隔離性,需要在多種情況下應用安全部署。多個子網和不同的功能區可能具有不同的運維技術和安全要求,且為IT環境建構的安全工具和技術可能并不總是适合OT環境。
- IIoT系統可能隻有受限的系統資源來滿足諸如系統安全和實時執行的安全需求,這些因素可能無法在最大程度上實作所有安全措施和控制(根據深度防禦政策的要求)。安全規劃實作應考慮系統行為所有必需的功能和非功能方面,包括相對優先級。
基于前面的差別特征,圖2-11顯示了由IIC-IISF提出的從邊界到雲的多層IIoT安全架構的功能建構塊;它映射到IIC參考架構的功能視角。
安全架構的功能視角由六個互動建構塊組成,這些建構塊分為三層,頂層包括四個核心安全功能:端點保護、通信和連接配接保護、安全監控和分析以及安全配置管理。
這四個功能由資料保護層以及系統級的安全模型和政策層支援。
摘自IIC-IISF對每個層的簡要描述:
- 端點保護:可在邊界和雲端的裝置上實作防禦,主要關注點包括實體安全功能、網絡安全技術和權限識别。端點保護并不足夠,因為端點必須互相通信,且通信中可能存在漏洞。
-
通信和連接配接保護:使用端點保護的權限識别功能來實作流量的身份驗證和授權驗證。它使用完整性和加密技術以及資訊流控制技術來保護通信和連接配接。
一旦端點和通信受到保護,我們便必須在整個操作的生命周期中監管系統狀态,可以采用安全監控和分析以及系統元件的安全配置管理來實作。
前四個建構塊由通用資料保護功能支援,該功能涉及的資料從端點中的靜态資料擴充到通信中的動态資料,還包括監控和分析功能中産生的資料,以及所有系統配置和管理資料。
- 安全模型和政策:功能層管理安全性的實作方式以及確定系統在整個生命周期内的機密性、完整性和可用性的政策,協調所有功能元素協同工作,以提供整體端到端的安全性。
2.4.7 四層工業物聯網安全模型
工業物聯網系統較複雜,涉及多個動态部件。為了簡化安全性分析和實作,我們可以通過多種方式将IIoT架構分解為元件。由于大多數常見的部署模型由邊界層、平台層和企業層組成,并且安全研究和發展與技術堆棧更加一緻,是以在本書中,為了便于安全性分析、規劃和實作,我們剖析了一個四層安全模型的整體架構:
- 端點和嵌入式軟體
- 通信和連接配接
- 雲平台和應用
- 處理和管理
這種分層遵循之前讨論的IIoT的安全性原則,即:
- 安全內建需要考慮IT和OT領域的特有動态
- 安全需要解決工業生命周期(可能持續數十年)和棕地部署(與舊技術共存)
- 工業端點的資源限制及其高可用性要求
這種四層安全模型考慮了IISF中的資料保護層功能(見圖2-11),其中包含靜态、使用和動态資料。安全架構頂層的功能映射到此四層安全模型的第1~3層;安全架構的安全性和政策層映射到此模型的處理和管理層(如圖2-12所示)。
四層模型解釋如下:
- 端點和嵌入式軟體:在IIoT部署中,安全部署從晶片擴充到裝置端點的軟體層。IIoT端點包括從現場裝置到具有海量存儲和計算功能的企業級伺服器和路由器。許多工業部署中使用不安全協定棧的舊裝置,是以,安全不能僅限于網絡邊界,還要擴充到端點。在第3章和第4章中,我們将讨論IIoT端點安全所涉及的挑戰,并介紹各種端點安全方法和解決方案,如通路和身份管理、建立信任根和信任鍊、安全啟動和固件/軟體更新、分區等。
- 通信和連接配接:該層專注于通過安全傳輸、深度資料包檢查、入侵檢測和防禦、安全通信協定等方法來保護使用和傳輸中的資料。在第5章中,我們将深入探讨保護IIoT連接配接和通信的挑戰及解決方案。
- 雲平台和應用:這是需要保護的第三層,基于雲的IIoT部署顯著擴大了攻擊面。IIoT用例中存在低延遲的關鍵任務指令和控制,由此提出了一系列獨特的安全挑戰。雲平台服務通常延伸到工業邊界,是以我們需要考慮特殊的攻擊向量和緩解政策。在第6章中,我們将深入讨論保護工業邊緣、雲和應用的安全架構和方法。
- 處理和管理:實用安全管理需采用基于風險的方法來使安全投入更合理,安全管理跨越從設計到運作的整個生命周期。IIoT相關角色還必須發揮各自的作用,以確定IIoT部署的安全。
采用工業物聯網的組織都可以通過威脅預防和風險管理的相關政策和指南受益,這是工業物聯網安全目标和業務目标的重要組成部分。由NIST、IEEE等行業組織制定的安全标準以及開放的行業标準,都需要在任何物聯網部署的設計規劃階段進行評估和應用。此外,需要圍繞配置和管理、資料保護、連接配接、端點保護、威脅分析等制訂專用的安全模型和政策。
第7章會提供有關工業物聯網風險管理的更多見解,并回顧現有标準和管理原則,以便為企業開發成功的安全管理模型。
2.5 總結
本章介紹了攻擊、對策和威脅模組化的入門知識,為風險分析和緩解奠定了基礎,還為讀者介紹了有關IIoT系統可信度和工業大資料管道功能元件特征的觀點。
IIoT系統非常複雜,本章介紹了由IIC開發的IIoT架構觀點和模式,為你提供對端到端IIoT系統元件的清晰了解。基于使用、操作和功能域,IIoT安全架構被分解為四層安全模型,後續章節會對此進行詳細闡述。