劉 霞，王運付，姜元山，張光偉，陳德進

（中訊郵電咨詢設(shè)計院有限公司，北京 100048）

0 引 言

2016年，十萬個攝像頭由于越權(quán)漏洞或默認用戶名和口令組成，感染“Mirai病毒”，造成美國大范圍網(wǎng)絡(luò)癱瘓。由于物聯(lián)網(wǎng)設(shè)備數(shù)量多、分布廣、生命周期長、人機交互少、安全防護弱，成為安全攻擊的重要目標，安全事件頻發(fā)。自2018年起，英、日、美等國開始全面加強物聯(lián)網(wǎng)安全管理[1]。

2019年，全國信息安全標準化技術(shù)委員會2019年第二次工作組“會議周”上，《物聯(lián)網(wǎng)安全標準化白皮書（2019版）》正式發(fā)布[2]，明確了物聯(lián)網(wǎng)安全標準化需求、體系、建議等。

2022年1月12日，國務(wù)院印發(fā)《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》，重點優(yōu)化升級數(shù)字基礎(chǔ)設(shè)施，加快推動數(shù)字產(chǎn)業(yè)化升級，推進5G規(guī)?；瘧?yīng)用，建設(shè)安全可控的智能化綜合性數(shù)字信息基礎(chǔ)設(shè)施。各省份發(fā)布相關(guān)規(guī)劃，一再強調(diào)網(wǎng)絡(luò)安全的重要性。在5G應(yīng)用重點行業(yè)，如工業(yè)互聯(lián)網(wǎng)、智慧城市、生態(tài)環(huán)保等領(lǐng)域，均離不開物聯(lián)網(wǎng)終端設(shè)備。當前網(wǎng)絡(luò)安全已作為重點工作被提及，被大量使用的物聯(lián)網(wǎng)終端網(wǎng)絡(luò)安全問題必須受到關(guān)注，提出并應(yīng)用合理的解決方案，避免使物聯(lián)網(wǎng)終端成為網(wǎng)絡(luò)安全大環(huán)境下的薄弱環(huán)節(jié)。工業(yè)物聯(lián)網(wǎng)終端作為行業(yè)物聯(lián)網(wǎng)一個重要的應(yīng)用方向，在終端安全問題上，必須在產(chǎn)品誕生之初就把安全分析、設(shè)計、實現(xiàn)提升到匹配的高度。

1 工業(yè)物聯(lián)網(wǎng)安全威脅現(xiàn)狀

工業(yè)物聯(lián)網(wǎng)設(shè)備當前主要應(yīng)用于天然氣、石油、采礦、電力、醫(yī)療、制造等垂直行業(yè)，設(shè)備類型包括視覺設(shè)備、工業(yè)互聯(lián)網(wǎng)網(wǎng)關(guān)等，一旦出現(xiàn)故障，可能導(dǎo)致生命財產(chǎn)安全或高風(fēng)險[3]。

圖1所示是工業(yè)物聯(lián)網(wǎng)設(shè)備的上下游組網(wǎng)架構(gòu)。其特點是，下游互聯(lián)各種工業(yè)設(shè)備，如攝像頭、RTU等。上游通過4G/5G/衛(wèi)星等無線空口通信方式，連接到部署于網(wǎng)絡(luò)側(cè)或企業(yè)內(nèi)網(wǎng)的管理平臺及業(yè)務(wù)平臺。

圖1 工業(yè)物聯(lián)網(wǎng)設(shè)備組網(wǎng)架構(gòu)

當前據(jù)中國國家信息安全漏洞共享平臺統(tǒng)計數(shù)據(jù)顯示，工業(yè)物聯(lián)網(wǎng)設(shè)備主要涉及的網(wǎng)絡(luò)安全問題如下：

（1）安全漏洞數(shù)量劇烈上升；

（2）拒絕服務(wù)攻擊；

（3）信息泄露；

（4）未授權(quán)訪問。

2 關(guān)鍵安全問題消減措施

工業(yè)物聯(lián)網(wǎng)產(chǎn)品作為工業(yè)互聯(lián)網(wǎng)領(lǐng)域重點使用的產(chǎn)品，需要自研發(fā)之初便重點分析已知各類安全問題的原因，并提供合適的安全風(fēng)險消減方案。

2.1 安全漏洞消減措施

當前的工業(yè)物聯(lián)網(wǎng)終端產(chǎn)品，從系統(tǒng)運行的操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議棧到上層應(yīng)用程序，大量使用三方軟件，且主要是引入使用狀態(tài)。基于該前提，工業(yè)物聯(lián)網(wǎng)可能涉及的三方軟件的安全漏洞主要有3種來源：

（1）選用不活躍的開源軟件；

（2）三方（或稱為供應(yīng)鏈）安全漏洞；

（3）不及時的漏洞跟蹤修復(fù)。

針對（1）類漏洞來源，產(chǎn)品在設(shè)計之初，首先需要結(jié)合業(yè)務(wù)功能及重要程度，對開源引入進行備選評估。在開源引入過程中，首先考慮開源社區(qū)成熟度，強烈建議社區(qū)成熟度至少處于協(xié)作期[4]。典型如行業(yè)知名社區(qū)Linux、Apache、OpenStack等，處于流行期，優(yōu)先使用。若非知名社區(qū)，則對開源軟件社區(qū)成熟度進行評估，典型評估維度包括：至少近一年內(nèi)用戶持續(xù)增長情況、活躍開發(fā)者增長情況、階段性軟件發(fā)布情況、Bugfix情況等。針對重要功能使用開源軟件，強烈建議：如自研代碼，了解代碼架構(gòu)、參與社區(qū)的開發(fā)及維護活動，以有利于驅(qū)動開源軟件技術(shù)走向，保證業(yè)務(wù)功能行業(yè)競爭力。

針對（2）類漏洞，典型如2020年“SUNBURST”事件，網(wǎng)絡(luò)管理軟件供應(yīng)商SolarWinds Orion軟件更新包被黑客植入后門，導(dǎo)致該軟件的使用客戶遭到網(wǎng)絡(luò)攻擊。在工業(yè)物聯(lián)網(wǎng)產(chǎn)品中，不可避免使用三方軟件。針對該類問題，業(yè)界暫無成熟的工程化手段，建議結(jié)合三方軟件的重要性，對供應(yīng)商的研發(fā)流程成熟度、網(wǎng)絡(luò)安全成熟度等進行評估[5]。

針對（3）類漏洞，強烈建議：在研發(fā)階段，借助安全漏洞掃描工具（如Nessus、OpenVAS等）進行漏洞掃描，在研發(fā)出口修復(fù)業(yè)界已知的漏洞。運行部署后，相對于云化產(chǎn)品，工業(yè)物聯(lián)網(wǎng)終端大部分分散部署于客戶環(huán)境，不利于現(xiàn)網(wǎng)漏洞掃描。在此場景下，需要客戶或產(chǎn)品供應(yīng)商進行三方軟件清單維護，持續(xù)追蹤軟件漏洞情況，及時規(guī)劃漏洞修復(fù)及版本上線，盡可能減少漏洞線上暴露時間。

2.2 拒絕服務(wù)攻擊消減措施

拒絕服務(wù)攻擊主要是如下2種：

（1）常見的DOS攻擊；

（2）DDOS攻擊。

在工業(yè)物聯(lián)網(wǎng)解決方案部署中，終端處于運營商網(wǎng)絡(luò)（如4G/5G核心網(wǎng)、衛(wèi)星接入網(wǎng)）下游。雖然網(wǎng)絡(luò)側(cè)已經(jīng)部署了防火墻等安全措施，終端側(cè)依然需要具備基本的內(nèi)生防護能力[6-9]。

針對（1）類拒絕服務(wù)攻擊，典型的有“死亡之ping”“teardrop 攻擊”“UDP 洪水”“SYN 洪水”“Land 攻擊”“Smurf攻擊”“Fraggle攻擊”等。作為工業(yè)物聯(lián)網(wǎng)終端，業(yè)界常使用嵌入式Linux系統(tǒng)，在Linux系統(tǒng)下，需要對操作系統(tǒng)做合適的開關(guān)配置、結(jié)合系統(tǒng)的CPU能力配置合適的iptables規(guī)則，即可實現(xiàn)基本的終端側(cè)防護，防止從網(wǎng)絡(luò)側(cè)或LAN發(fā)起該類攻擊。工業(yè)物聯(lián)網(wǎng)終端除涉及常見DOS攻擊外，還涉及無線局域網(wǎng)的DOS攻擊，典型如WLAN接入。由于物聯(lián)網(wǎng)終端作為AP設(shè)備，接入的STA設(shè)備數(shù)量有限。惡意攻擊者可以偽造STA持續(xù)進行接入請求，從而導(dǎo)致AP的可用接入數(shù)耗盡，導(dǎo)致合法STA無法接入。針對這類情況，建議對工業(yè)物聯(lián)網(wǎng)終端的接入機制進行加固，實現(xiàn)基于MAC地址的防暴力機制。

針對（2）類拒絕服務(wù)攻擊，主要是針對服務(wù)器側(cè)的攻擊。對終端側(cè)而言，建議在產(chǎn)品研發(fā)階段對產(chǎn)品的監(jiān)聽端口進行端口掃描（典型使用工具Nmap），關(guān)閉業(yè)務(wù)不必要的端口監(jiān)聽，減少系統(tǒng)的攻擊面。

2.3 信息泄露消減措施

工業(yè)物聯(lián)網(wǎng)終端產(chǎn)品從產(chǎn)品特點看，主要涉及如下信息，對信息類型及其用途、泄露影響的分析見表1所列。

表1 工業(yè)物聯(lián)網(wǎng)終端信息類型及用途、泄露影響分析

從表1的分析結(jié)果來看，密鑰類、口令類是工業(yè)物聯(lián)網(wǎng)終端的關(guān)鍵信息，一旦泄露，將可能造成重大安全影響。針對這類安全風(fēng)險，建議的安全消減措施如下。

（1）對密鑰進行安全管理

對于高安全級別的設(shè)備，實現(xiàn)基于TEE的密鑰管理方案[10]，對系統(tǒng)使用的業(yè)務(wù)類“密鑰”，使用TEE中的安全密鑰進行安全保護。避免在非安全系統(tǒng)中可以獲取密鑰類的明文，防止密鑰信息泄露。

對于一般安全級別的設(shè)備，使用圖2所示的密鑰分層管理機制實現(xiàn)本地化密鑰安全管理?！懊荑€保護密鑰”的材料分散存儲，至少一份編碼于代碼中，剩余部分以文件形式保存在文件系統(tǒng)中，文件名隨機化，密鑰材料通過異或等操作恢復(fù)后，使用不可逆加密算法（如PBKDF2）導(dǎo)出。對不同的業(yè)務(wù)場景使用不同的工作密鑰，工作密鑰使用安全的隨機數(shù)（在Linux系統(tǒng)下，可以選擇使用/dev/random）生成，密鑰長度至少32個字節(jié)。使用“密鑰保護密鑰”保護“工作密鑰”，“工作密鑰”用于關(guān)鍵信息數(shù)據(jù)（如私鑰、口令等）的保護。

圖2 密鑰分層管理機制

（2）對口令進行安全加密

對于口令，在可以使用不可逆加密保存的場景（如近端Web管理登錄）使用不可逆加密算法（如PBKDF2）。在必須使用可逆加密保存的場景，使用可逆加密算法（如AESCBC-128等）進行加密保存。口令加密使用的密鑰即“工作密鑰”，通過密鑰安全管理進行保管。

2.4 未授權(quán)的訪問消減措施

針對工業(yè)物聯(lián)網(wǎng)終端訪問安全風(fēng)險的全量識別，推薦使用STRIDE分析方法。結(jié)合產(chǎn)品的部署場景及業(yè)務(wù)特點，可以識別終端的所有外部交互方及交互數(shù)據(jù)流。當前分析識別的典型數(shù)據(jù)流圖如圖3所示。

圖3 工業(yè)物聯(lián)網(wǎng)終端典型數(shù)據(jù)流圖

從圖3可知，工業(yè)物聯(lián)網(wǎng)終端主要有3類數(shù)據(jù)流，針對每類數(shù)據(jù)流的說明及消減措施見表2所列。

表2 針對每類數(shù)據(jù)流的說明及消減措施

3 結(jié) 語

本文主要結(jié)合工業(yè)物聯(lián)網(wǎng)終端的典型安全問題，提出針對性的消減措施。以便在產(chǎn)品交付過程中，在傳統(tǒng)安全設(shè)計及研發(fā)的基礎(chǔ)上，進行有針對性增強，在設(shè)計前端以及在產(chǎn)品全生命周期中持續(xù)關(guān)注安全風(fēng)險，不斷制定消減措施，以助力行業(yè)的數(shù)字化產(chǎn)業(yè)升級[10]。