物聯(lián)網(wǎng)和工業(yè)領(lǐng)域的無線局域網(wǎng)安全
1.背景
在科學(xué)技術(shù)的不斷發(fā)展與推進(jìn)之下,特別是伴隨著 5G 技術(shù)的應(yīng)用普及,物聯(lián)網(wǎng)的發(fā)展日益成熟且具有更為廣闊的發(fā)展前景。隨著移動設(shè)備對物聯(lián)網(wǎng)網(wǎng)絡(luò)訪問的大幅增加,藍(lán)牙、Wi-Fi等無線局域網(wǎng)技術(shù)也被廣泛應(yīng)用于物聯(lián)網(wǎng)。
此外,工業(yè)控制系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,目前已廣泛應(yīng)用于工業(yè)、能源、交通、水利、市政等領(lǐng)域。但隨著工業(yè)控制系統(tǒng)規(guī)模的不斷擴(kuò)大,工業(yè)控制系統(tǒng)在惡劣的工業(yè)現(xiàn)場出現(xiàn)布線困難、布線成本和維護(hù)成本高等問題。為此,無線網(wǎng)絡(luò)技術(shù)也逐漸廣泛應(yīng)用于工業(yè)控制領(lǐng)域。
無線局域網(wǎng)技術(shù)為物聯(lián)網(wǎng)和工業(yè)領(lǐng)域網(wǎng)帶來了便利,但在實際應(yīng)用中,因其無線信道開放性的特點也更容易受到安全威脅。為提高無線技術(shù)在物聯(lián)網(wǎng)和工業(yè)領(lǐng)域應(yīng)用的安全性,分別研究不同應(yīng)用場景下無線局域網(wǎng)面臨的安全威脅和安全防護(hù)對策是十分必要的。
2.物聯(lián)網(wǎng)無線技術(shù)安全
2.1 物聯(lián)網(wǎng)無線技術(shù)的應(yīng)用
物聯(lián)網(wǎng)的數(shù)據(jù)傳輸,可通過無線或有線方式進(jìn)行。盡管有線技術(shù)具有更好的穩(wěn)定性、更快的傳輸速度以及傳輸可靠性的優(yōu)勢,但是其便利性以及實用性相對不足。隨著技術(shù)發(fā)展,無線技術(shù)的穩(wěn)定性以及可靠性不斷在提升,其在物聯(lián)網(wǎng)領(lǐng)域的應(yīng)用也越發(fā)廣泛。無線技術(shù)的類型較為豐富,如無線射頻技術(shù)、NFC、Wi-Fi 以及藍(lán)牙等。
Wi-Fi 技術(shù)作為一種無線局域網(wǎng)技術(shù),能夠連接更多的節(jié)點數(shù)量,加上從802.11ac標(biāo)準(zhǔn)開始支持5GHz頻段,大幅提升了連接的速度,進(jìn)一步優(yōu)化了用戶體驗。與此同時,在物聯(lián)網(wǎng)應(yīng)用場景中,一般要求各設(shè)備在連接網(wǎng)絡(luò)的同時,相互之間也要進(jìn)行通信連接和數(shù)據(jù)交換,而Wi-Fi技術(shù)則很好地滿足了這樣的需求。
NFC(Near Field Communication,即近距離無線通訊技術(shù))作為一種網(wǎng)絡(luò)互聯(lián)與無線射頻辨識(RFID)融合演變而來的近場通信技術(shù),基于點對點的通信,能夠?qū)崿F(xiàn)有效距離內(nèi)各設(shè)備間的識別辨認(rèn)與數(shù)據(jù)交換。身份識別和智能標(biāo)簽等,都是 NFC技術(shù)的具體應(yīng)用場景。
藍(lán)牙技術(shù)作為一種短距離無線通信技術(shù),能以低成本的優(yōu)勢,為設(shè)備之間提供方便快捷、低功耗的數(shù)據(jù)交換。藍(lán)牙技術(shù)常應(yīng)用于智能可穿戴設(shè)備和智能家居,是目前日常生活中最常見的物聯(lián)網(wǎng)技術(shù),隨著移動智能終端的發(fā)展,藍(lán)牙技術(shù)也不斷得到新的擴(kuò)展。
2.2 物聯(lián)網(wǎng)無線技術(shù)的網(wǎng)絡(luò)安全問題
一是無線網(wǎng)絡(luò)入侵問題。相較于有線網(wǎng)絡(luò),無線技術(shù)擴(kuò)大了網(wǎng)絡(luò)系統(tǒng)的開放性,使得攻擊者可以在不借助物理鏈路的情況下入侵無線通信網(wǎng)絡(luò),極大地增加了系統(tǒng)被攻擊的可能。攻擊者可通過藍(lán)牙協(xié)議漏洞向周圍的藍(lán)牙用戶發(fā)送偽造的惡意信息,甚至可以入侵具有藍(lán)牙功能的智能手機(jī),撥打電話、竊取用戶個人數(shù)據(jù)等。
二是數(shù)據(jù)傳輸安全問題。許多物聯(lián)網(wǎng)設(shè)備都具有數(shù)據(jù)采集、上傳的功能,但由于無線傳輸信道的不穩(wěn)定性,在無線網(wǎng)絡(luò)連接中,一些不加密或者采用弱加密算法的數(shù)據(jù)傳輸方式均會給數(shù)據(jù)傳輸安全帶來隱患。例如針對使用 WEP、WPA 等弱加密方式的 Wi-Fi,攻擊者可以借助免費公開的黑客工具,在不需要很高技術(shù)難度和很長時間的情況下,輕松破解出明文信息,竊取敏感的信息數(shù)據(jù)。
三是隱私安全問題。例如目前智能手機(jī)普遍具備的 NFC 功能,可以讀取銀行卡的信息,如果被攻擊者惡意利用,則可由此獲知用戶的銀行卡號、電子錢包余額、近期消費賬單等隱私數(shù)據(jù)。此外,對于日常生活中的很多非加密門禁卡,惡意人員可通過簡單的復(fù)制NFC 標(biāo)簽制作一個克隆卡,克隆卡一般擁有與原卡相同的權(quán)限,惡意人員可以借此偽造身份,進(jìn)出管控區(qū)域。
2.3 物聯(lián)網(wǎng)無線技術(shù)的安全防護(hù)對策
無線技術(shù)的應(yīng)用是物聯(lián)網(wǎng)發(fā)展的趨勢和創(chuàng)新動力,針對物聯(lián)網(wǎng)無線技術(shù)的網(wǎng)絡(luò)安全問題,給出以下安全防護(hù)對策
一是加強(qiáng)無線網(wǎng)絡(luò)的訪問控制。無線網(wǎng)絡(luò)的開放性是固有屬性,并非是其容易遭受攻擊的根本原因。為了減少和規(guī)避無線物聯(lián)網(wǎng)絡(luò)中的安全風(fēng)險,可對密鑰等共享信息的產(chǎn)生、分配、更改、銷毀等進(jìn)行科學(xué)管理;使用強(qiáng)加密的安全傳輸模式,對數(shù)據(jù)傳輸提供保護(hù);制定更為完善的網(wǎng)絡(luò)訪問控制策略,進(jìn)行專網(wǎng)專用。
二是加強(qiáng)安全認(rèn)證。完善的身份認(rèn)證模式可以提前阻止非法用戶設(shè)備接入物聯(lián)網(wǎng)絡(luò),也是最基本的安全防御方法。在物聯(lián)網(wǎng)絡(luò)中,各種訪問或操作的權(quán)限一般由用戶身份或設(shè)備類型決定,辨別接入者的真實身份,采用安全的加密認(rèn)證,能夠有效地保護(hù)物聯(lián)網(wǎng)絡(luò)的安全。在實際應(yīng)用中,可將無線接入點配置在防火墻等網(wǎng)絡(luò)安全設(shè)備的外面,在使用 Wi-Fi進(jìn)行無線傳輸時,采用 WPA-PSK/WPA2-PSK、WPA/WPA2 等更為安全的加密方式。
三是定期對接入點進(jìn)行審查。隨著無線物聯(lián)網(wǎng)絡(luò)應(yīng)用復(fù)雜度的增加,接入其中的設(shè)備數(shù)量更多,設(shè)備類型更為復(fù)雜,變化也更為動態(tài)。在安全管理和審計上也必須具有相應(yīng)的要求,須定期對物聯(lián)網(wǎng)絡(luò)中的各類接入點進(jìn)行審查??煽紤]增加針對違規(guī)內(nèi)聯(lián)的檢測系統(tǒng),幫助網(wǎng)絡(luò)安全管理員或用戶及時排查出非法接入點,以便及時采取有效的阻斷措施。
3.工業(yè)領(lǐng)域的無線網(wǎng)絡(luò)安全
3.1 工業(yè)控制系統(tǒng)的無線網(wǎng)絡(luò)技術(shù)
無線網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)領(lǐng)域同樣具有很多優(yōu)勢。
一是成本低。與傳統(tǒng)的有線網(wǎng)絡(luò)相比,無線網(wǎng)絡(luò)可以不受空間限制地被放在任意位置,無需布線成本。無線網(wǎng)絡(luò)技術(shù)可使工業(yè)控制網(wǎng)絡(luò)的安裝與維護(hù)成本降低90% ,是工業(yè)控制系統(tǒng)成本控制的關(guān)鍵。
二是組網(wǎng)靈活性高。在組網(wǎng)過程中,使用無線技術(shù)相互連接的設(shè)備,其可移動性明顯增強(qiáng),因此,當(dāng)工業(yè)應(yīng)用需求有所變化時,用戶可以更加迅速、方便、靈活的重構(gòu)系統(tǒng)。
三是可靠性高。在有線網(wǎng)絡(luò)中,電纜等連接器件的損害容易造成網(wǎng)絡(luò)故障,且維護(hù)費用更高。在工業(yè)控制現(xiàn)場采用無線網(wǎng)絡(luò)技術(shù)則可解決此類問題的發(fā)生,一定程度上提高了設(shè)備組網(wǎng)的可靠性。
3.2 工控系統(tǒng)無線網(wǎng)絡(luò)的安全問題
建立完善且實用的安全防護(hù)體系,對于工控系統(tǒng)的無線網(wǎng)絡(luò)應(yīng)用至關(guān)重要,目前國內(nèi)外主要的工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)為ISA100.11a、Wireless HART 和 WIA-PA 三種。相比較而言,Wireless HART 標(biāo)準(zhǔn)的安全性較高,協(xié)議采取身份認(rèn)證,密鑰管理等安全防護(hù)措施,是全球應(yīng)用最廣的工業(yè)無線網(wǎng)絡(luò)標(biāo)準(zhǔn),但 Wireless HART 協(xié)議仍存在一定的脆弱性容易被攻擊者利用。目前工控系統(tǒng)業(yè)無線網(wǎng)絡(luò)的安全問題可概括為以下兩點。
一是無線網(wǎng)絡(luò)自身的安全隱患
網(wǎng)絡(luò)體系結(jié)構(gòu) :隨著無線網(wǎng)絡(luò)的接入,封閉式的網(wǎng)絡(luò)系統(tǒng)轉(zhuǎn)化為開放式的系統(tǒng),而防控措施缺乏有效的維護(hù)與更新,由此降低了整個網(wǎng)絡(luò)的安全性。
數(shù)據(jù)流 :缺乏對數(shù)據(jù)流的有效控制,無法對接入的可移動訪問設(shè)備進(jìn)行限制。
網(wǎng)絡(luò)設(shè)備 :防火墻以及 ACL 的配置規(guī)則缺乏科學(xué)性,增加了安全風(fēng)險。
二是工業(yè)控制網(wǎng)絡(luò)面臨的外部威脅
信息嗅探竊聽 :攻擊者可通過特定手段對所監(jiān)測的應(yīng)用發(fā)起特定的網(wǎng)絡(luò)攻擊。
泛洪攻擊堵塞通道 :攻擊者通過大量的無效信息攻擊網(wǎng)絡(luò),造成無線網(wǎng)絡(luò)擁塞。
身份欺詐侵入 :攻擊者利用身份欺詐借助合法的身份侵入網(wǎng)絡(luò),例如攻擊者通過偽裝可替代網(wǎng)關(guān),進(jìn)而對設(shè)備進(jìn)行控制。
人為安全隱患 :攻擊者通過人為因素獲取無線網(wǎng)絡(luò)的用戶名與密碼,侵入無線網(wǎng)絡(luò)進(jìn)行攻擊。
3.3 工控系統(tǒng)無線網(wǎng)絡(luò)的安全防護(hù)對策
一是建立工控區(qū)域的縱深防護(hù)結(jié)構(gòu)。工控區(qū)域的縱深防護(hù)結(jié)構(gòu)根據(jù)不同的結(jié)構(gòu)功能將整個網(wǎng)絡(luò)系統(tǒng)分為不同的安全域。外部網(wǎng)絡(luò)作為一個獨立區(qū)域,劃分為外部域 ;針對企業(yè)層級,將企業(yè)級局域網(wǎng)、企業(yè)級防火墻等系統(tǒng)劃分為企業(yè)域;將數(shù)據(jù)庫服務(wù)器、工業(yè)防火墻、IPS 等劃分為數(shù)據(jù)域;將現(xiàn)場設(shè)備級防火墻劃分為控制域。并在數(shù)據(jù)域與控制域間部署防火墻,以防治不同層級間的攻擊。
二是部署工控區(qū)域的信息安全防護(hù)策略。限制設(shè)備的接入權(quán)限,引入身份認(rèn)證的要求;分級進(jìn)行加密,降低被攻破的風(fēng)險;部署網(wǎng)絡(luò)入侵檢測裝置,實現(xiàn)良好的監(jiān)控預(yù)警;設(shè)計工業(yè)控制網(wǎng)絡(luò)審核與計量系統(tǒng),對網(wǎng)絡(luò)流量進(jìn)行良好控制;制定安全監(jiān)測和應(yīng)急預(yù)案,落實安全責(zé)任制。
4.總結(jié)
無線網(wǎng)絡(luò)技術(shù)在物聯(lián)網(wǎng)和工業(yè)控制領(lǐng)域中得到了越來越廣泛地應(yīng)用,因此解決無線網(wǎng)絡(luò)的數(shù)據(jù)通信安全問題,是保障物聯(lián)網(wǎng)時代穩(wěn)步推進(jìn)、保障我國工業(yè)控制系統(tǒng)安全發(fā)展的重要途徑。本文分別介紹了物聯(lián)網(wǎng)和工業(yè)控制領(lǐng)域的無線網(wǎng)絡(luò)技術(shù),并對其應(yīng)用場景中面臨的安全威脅進(jìn)行了探究,最后給出了相應(yīng)的安全防護(hù)對策。希望可以對未來無線網(wǎng)絡(luò)技術(shù)在物聯(lián)網(wǎng)和工控領(lǐng)域的建設(shè)提供一些安全性建議。
(作者:李爽)