IOT-控制工程在线
国际领先的权威的工业自动化专业媒体

Hot Tag:

当前位置: 物联网在线 > 工业控制 > 工业安全 > 物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘

物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘

由于大多数的工业网络被特意设计为封闭/专用的空间。 因此,工业网络往往缺乏IT界常用的网络防护机制,导致组成网络的大部分系统和设备缺乏资源来安装日常的反病毒软件。
关键词: 工业网络 云端
时间:2014-05-30 23:35 来源:物联网在线 作者:Ioter 点击:

分享到:
我要发布文章 收藏 推荐 打印

在信息时代,网络化已经成为一种势不可挡的趋势,而非奢侈的想法。建筑、汽车甚至配件都已经加入了网络连接的进程。然而在工业领域中,网络连接需求似乎遭遇了其它纵向领域内所未曾遭遇到的难题,这是由于大多数的工业网络被特意设计为封闭/专用的空间。 因此,工业网络往往缺乏IT界常用的网络防护机制,导致组成网络的大部分系统和设备缺乏资源来安装日常的反病毒软件。

 

这类问题及其它安全问题(比如远程设备保护等)对工业设备制造商以及网络管理人员带来了巨大的挑战,英特尔及英特尔®物联网解决方案联盟的250+名成员正致力于通过硬件和软件安全途径来减少风险。联盟Associate级成员McAfee和Wind River Systems 与英特尔携手,利用具有英特尔® vProTM 技术的英特尔芯片,提供软件和中间件解决方案来阻止网络威胁,全面保护工业控制系统(ICS)从边缘到云端之间的安全性。

 

工业边缘设备 – 资源限制和硬件层安全

2007年,一家浓缩铀厂的操作员将感染了Stuxnet恶意软件的U盘插入了运行Windows操作系统的ICS中。之后三年内,Stuxnet蠕虫病毒在大量Windows操作系统中利用零日漏洞在该厂的内部网络内进行传播,最终获取了该厂气体离心机流程控制系统(PCS)的可编程控制器(PLC)的接入权限。Stuxnet将恶意代码植入网络,导致离心机以1410Hz的最高衰变点高速旋转。该厂的9000个离心机中,有1000个因此遭到不可修复的损害。

 

案例表明,工业系统连接引发的风险,如防护缺失等,能够导致恶意软件在"干净的"工业环境中以远快于企业环境的速度进行传播。 在Stuxnet案例中,利用了基于rootkit的攻击延长了恶意软件的隐藏时间,使其能够畅通无阻地在纳坦兹核电厂中传播(图1)。

 

图1. rootkit是一种恶意软件,最终从核心操作系统(OS)下窜至中间件层,操纵代码来隐藏自己,并修改系统代码/代码调用。

为了降低Stuxnet等基于rootkit攻击的影响,McAfee结合 McAfee DeepSAFE 技术与英特尔合作开发了McAfee Deep Defender,这是一种硬件辅助的反病毒解决方案。 在具有英特尔®虚拟化技术(英特尔®VT)的64-和32位处理器上安装Deep Defender,该deepDefender可与DeepSAFE一起为OS和系统内存(图2&3)提供蛤壳型OS保护。Deep Defender利用反病毒组件持续监视CPU并在基于内核的rootkit加载前将其阻截,甚至还能绕过核心OS来监测、阻截并修复高级攻击。此外,利用英特尔® VT-x 还能提供额外保护,因为虚拟化能够有效将入侵的恶意软件隔离在网络的特定区域内。

 

图2. 英特尔®虚拟化技术(英特尔® VT-x)位于系统硬件结构最高层,监视操作系统和应用程序,同时提高CPU基元的控制性能。

图3. McAfee Deep Defender与McAfee DeepSAFE技术协同保护操作系统(0S)与系统内存之间的中间件层,在恶意软件加载到内核前将其阻截。

如早前所述,固定功能的嵌入式设备面临的安全局限之一是反病毒软件的大小,其大小通常在300MB左右,所占内存超过20MB,开机启动时间延长20秒左右。 对于大多数工业系统而言,仅单一应用就带来如此大的消耗是难以承受的。

 

为消除网络威胁并兼顾工业设备的资源限制,所有英特尔®架构(IA)平台均通过McAfee嵌入式控制(图4)支持"白名单"应用。大部分传统反病毒安全是通过"黑名单"发挥功能,被识别的恶意软件由运行的反病毒软件进行阻截,而白名单采取了相反的做法,仅允许预先设置的"已知良好"的软件运行。通过在内核层保护软件和二进制程序,McAfee嵌入式控制的白名单功能能够防止恶意软件和零日攻击,并将寿命接近终止(EOL)的系统所需的OS安全补丁需求降至最少。这使原始设备制造商(OEM)可锁定需要控制和监视的固件图像,而由于白名单所占内存资源较少,也无需文件扫描,低消耗的特点也使其对系统性能的负面影响较少。对于旧系统而言,白名单可作为McAfee嵌入式控制的升级包进行加载,并且能够包含在新的IA设备部署中。

 

图4. McAfee嵌入式控制提供"白名单"应用,可阻止任何未在特定系统上定义的程序运行。小体积是固定功能工业设备的理想选择,尤其是其不要求IT环境下的软件灵活性。当被隔离的程序尝试接入系统时将会被阻止,而事件将被记录在McAfee ePolicy Orchestrator (ePO)中。

 

通过工业网关规范安全

McAfee嵌入式控制是近期发布的基于英特尔的智能网关解决方案之一,还包括Wind River智能设备平台(Wind River IDP)。其是一种用于构建工业物联网(IoT)网关的可扩展软件开发环境。 Wind River IDP集成了嵌入式控制的白名单功能,同时采用具有英特尔® Trusted Execution Technology (英特尔®TXT)的IA处理器,使用可信硬件根提供了一个安全启动流程,增强了设备端安全。英特尔TXT是另一种利用英特尔 vPro技术的基于硬件的解决方案,能够按照以下顺序预防软件网络攻击:

验证启动 -> 启动控制策略(LCP) -> 秘密保护 –> 验证(图5)

 

 

图5. 英特尔®Trusted Execution Technology (英特尔® TXT) 通过验证、启动控制策略(LCP)、秘密保护和验证流程提供了一个可信平台模块(TPM),可用于安全启动工业设备。

 

该顺序建立了一个可信平台模块(TPM),是Wind River IDP用于在设备开机和固件启动时验证应用程序未被篡改或替代的安全启动过程,直至操作系统加载为止。 IDP为内核提供全面监视功能,确保在设备上运行的程序都是"真实"的,这一过程运用的可信启动技术包括:

 

• 在使用前对固件、引导装载程序、内核及所有配置数据进行TPM测算

 

• 使用可信硬件根储存TPM测算值(如有)

 

• 检查TPM测算是否一致并符合预期

 

安全启动还通过本地加密文件系统提供安全存储,并使用TPM进行安全密钥管理,以提供加密/解密保护。 图6描述了一个IA平台的可信启动实现。

 

图6. Wind River智能设备平台(IDP)安全启动在一个可信平台模块中(TPM)中建立了一个可信硬件根,确保从开机到固件启动再到操作系统(0S)加载的可信启动过程。

若有提供,Wind River IDP 还运用由OpenSSL TPM引擎支持的TPM硬件进行安全后端网络通信。 在典型的SSL或TLS网络通信中,在握手期间传输的数据会在数据交换前针对用户公钥进行加密,而IDP将私钥储存在TPM芯片中,确保其无法被提取或在其它平台上被用来解密。 该功能保证了交换的数据仅能被正确的用户接收到,因为它确保了只有正确的用户有解密私钥。 此外,IDP的图像签名工具在验证设备端软件更新时,仅支持有效图像;远程验证;安全远程管理(可为设备数据提供安全、基于角色的访问控制)。 图7描述了可用于保护IDP软件栈不同区域的安全机制,也即保护了在其上面运行的工业设备。

 

图7. 利用基于英特尔® Trusted Execution Technology (英特尔® TXT) 的可信平台模块(TPMs)上,Wind River的智能设备平台(IDP)提供了可信硬件根安全性,还使用了TPM OpenSSL加密及其他软件安全功能保护网络通信。

 

物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘 

工业系统在发挥基本功能时,对网络连接的需求越来越多,而全面的网络安全措施-不论硬件还是软件-不仅对于保护数据安全,对于整合设备而言也同样重要。 为此,McAfee和Wind River Systems等英特尔物联网成员利用处理器的硬件辅助安全功能,如英特尔®Core™ vPro™处理器系列和英特尔®

Xeon®处理器E5-2600、E5-1600,以及E3-1200 产品系列等,提供软件和中间件安全解决方案,可应用于集中图像管理、安全网络存储以及带外保护,覆盖了防火墙的内外。

(责任编辑:ioter)


本文链接物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘
http://c.iot-online.com/safety/2014/0530/25416.html
 
 
声明:物联网在线转载作品均尽可能注明出处,该作品所有人的一切权利均不因本站转载而转移。作者如不同意转载,即请通知本站予以删除或改正。转载的作品可能在标题或内容上或许有所改动。



电子刊物.技术特刊

立即下载

《 物联网在线》推出的免费电子刊物《无线通讯术特刊》收集了当今最新MEMS技术,产品资讯,它们可使你能在更短的时间内了解业内最先进的无线通讯技术信息。

今天就让您的系统设计更上层楼!敬请马上立即下载该免费的《无线通讯特刊》。
   
无线通讯特刊     M2M技术特刊 下载  

MEMS技术特刊 下载



Sierra Wireless白皮书

LTE和M2M 融合之路  
促使 LTE 应用在 M2M 设备上的市场推动力 ; 打破阻碍 LTE 进入 M2M 市场的技术壁垒

立即下载.






 现在播报
2013年的首要话题:工业控制系统安全
工业安全问题突出 装备是“硬伤”
工业控制网络的安全威胁与日俱增
安全集成自动化将是机器安全发展的主流趋势
“工业互联网”未来美好 安全不可小觑
国际安全标准升级,我们准备好了吗?
电子式互感器的工业标准仍缺少与电站实际操作等效的试验标准
逻辑隔离网关将成为相当一段时间内网络安全产品的新热点和发
工业控制系统核心模块过度依赖进口 多数存有漏洞
物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘
工业控制系统基本安全防范原则
工业自动化控制系统(IACS)网络安保框架
工业控制系统的防危策略
新汉推出1U网络安全平台NSA 2120 专为网络处理应用而设计
工控系统安全可靠问题严峻

 最新Tag
周鸿祎 数据采集 LinkIt One 压力传感器 mate8 BCM20737S 红外线传感器 SM351LT 小米5 VR LiteOS TinyOS MSP430 DA14580 CC2650 STM32 CC2564 MSP432 PLC STM32L0538 STM32F103 智能家居 人工智能 机器人 iphone7 能量采集 MCU 能源计量 ZIGBEE 传感器 工业物联网 智能手表 TZ1000 无人机 ATmega2560 无线传感器 Android 智能电视 i.MX NFC 信号采集 MEMS WIFI IOT LTE 伺服电机 无刷直流电机 智能照明 智能插座 无线充电 CC430 智能电网 Nest Edison ADT7320 ADIS16229 英特尔 家庭医疗 数字隔离器 智能集成 工业4.0 iPhone 7 虚拟现实 可穿戴设备 CC2538 CC2540 CC2541 CC3000 杨旭 麒麟950 华为mate8 阅读器 蓝牙 Linux AllJoyn 树莓派 Windows10 Windows 10 Zephyr RTOS 智能硬件 Qualcomm CC3200 温湿度传感器 5G 可穿戴技术 工业以太网 Arduino CSR8670 VMware 大数据 ITS 蓝牙智能 PIC32MZ 运动传感器 SmartBond 车联网 ADAS V2X 语音控制

返回页首


TopeWay Business Media


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

网站导航|帮助| 关于我们|隐私政策|联系我们|安全承诺

Copyright © 2011 Iot-online.com. 本网站所有内容均受版权保护。
未经版权所有人明确的书面许可,不得以任何方式或媒体翻印或转载本网站的部分或全部内容。


粤ICP备10057207号