您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
工業(yè)互聯(lián)網(wǎng)企業(yè)身份與訪問控制課題研究與探索
摘要:工業(yè)互聯(lián)網(wǎng)作為國家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分,正在成為全世界最新的地緣政治角逐戰(zhàn)場。工業(yè)控制系統(tǒng)由封閉狀態(tài)直接或者間接的與互聯(lián)網(wǎng)連接,其固有的安全弱點(diǎn)將被暴露在互聯(lián)網(wǎng)上并被無限放大,成為黑客未來攻擊的熱點(diǎn)和重點(diǎn)。如何確保工業(yè)企業(yè)的網(wǎng)絡(luò)安全,保障國家和社會經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)成為國家和企業(yè)的重要研究課題。從用戶身份和訪問控制的角度探討由政府層面統(tǒng)籌規(guī)劃建立的基于云服務(wù)模式的身份和訪問控制體系模型的可行性,并描述了相應(yīng)的建設(shè)內(nèi)容,為工業(yè)互聯(lián)網(wǎng)時代的企業(yè)網(wǎng)絡(luò)安全建設(shè)提供了一個思路。
內(nèi)容目錄:
1 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀
1.1 工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)
1.2 國內(nèi)工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀
1.3 國內(nèi)工業(yè)互聯(lián)網(wǎng)常見問題
1.3.1 行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)
1.3.2 缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)
1.3.3 云服務(wù)下用戶身份治理問題分析
1.3.4 工業(yè)企業(yè)安全事件缺少審計
1.3.5 風(fēng)險診斷和研判能力有待提升
1.3.6 企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善
2 身份與訪問控制體系建設(shè)思路
3 身份與訪問控制體系建設(shè)內(nèi)容
3.1 工業(yè)領(lǐng)域各企業(yè)用戶身份治理需求多樣性
3.2 實(shí)現(xiàn)多層次安全風(fēng)險要素的集中分析和處置
3.3 建設(shè)云端企業(yè)安全檢測評估服務(wù)
3.4 建設(shè)風(fēng)險診斷與研判公共服務(wù)
3.5 建設(shè)用戶動態(tài)權(quán)限保護(hù)
3.6 建設(shè)應(yīng)急處置公共服務(wù)
3.7 開放性設(shè)計抵御主要安全威脅
3.8 可定制性的安全能力建設(shè)
3.9 建立安全規(guī)范和服務(wù)規(guī)范
4 結(jié) 語
隨著信息技術(shù)的不斷發(fā)展,傳統(tǒng)封閉的工業(yè)控制系統(tǒng)利用新興互聯(lián)技術(shù)實(shí)現(xiàn)生產(chǎn)效率的提升,但同時其本身固有的安全漏洞及互聯(lián)網(wǎng)的安全威脅也極大地影響了生產(chǎn)的安全。保障生產(chǎn)安全有多方面措施,本文從用戶身份管理和訪問控制的角度探討了生產(chǎn)安全的保障機(jī)制,希望為工業(yè)互聯(lián)時代的企業(yè)網(wǎng)絡(luò)安全建設(shè)提供一個思路。
1、工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀
近年來,隨著我國工業(yè)互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延,傳統(tǒng)的工業(yè)控制系統(tǒng)的安全機(jī)制的弱點(diǎn)在互聯(lián)網(wǎng)上暴露無遺。
1.1 工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)
工業(yè)互聯(lián)網(wǎng)作為國家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分,正在成為全世界最新的地緣政治角逐戰(zhàn)場。例如,包括能源、電力等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)已成為全球攻擊者的首選目標(biāo),極具價值。當(dāng)前,網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延,工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)已經(jīng)嚴(yán)重影響經(jīng)濟(jì)社會正常運(yùn)行及國家安全,接連發(fā)生的安全事件引發(fā)各國對工業(yè)互聯(lián)網(wǎng)安全高度重視與關(guān)注。
2015 年 12 月,烏克蘭約 60 座變電站遭到黑客攻擊,導(dǎo)致烏克蘭 140 萬名居民遭遇了一次長達(dá)數(shù)小時的大規(guī)模停電;2017 年 5 月,“永恒之藍(lán)“勒索病毒席卷全球,英國、意大利、俄羅斯等歐洲國家以及中國國內(nèi)多個高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招,被勒索支付高額贖金才能解密恢復(fù)文件;2021 年 5 月,美國最大的燃油管道商 Colonial Pipeline 遭到勒索軟件攻擊,導(dǎo)致其業(yè)務(wù)受到嚴(yán)重影響。
事實(shí)證明,沒有得到良好安全保護(hù)的工業(yè)互聯(lián)網(wǎng),就像一扇虛掩的大門,根本無法防御任何精心策劃的攻擊行動。
1.2 國內(nèi)工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀
當(dāng)前我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展正處在一個關(guān)鍵的歷史時刻。2012 年,通用電氣公司(General Electric Company,GE)在全球范圍內(nèi)首次提出工業(yè)互聯(lián)網(wǎng)概念后。我國于 2015 年 5 月正式印發(fā)《中國制造 2025》國家行動綱領(lǐng),明確了 9項戰(zhàn)略和重點(diǎn)任務(wù),包括推進(jìn)信息化與工業(yè)化深度融合,通過大力發(fā)展新一代信息技術(shù)產(chǎn)業(yè),加快制造業(yè)轉(zhuǎn)型升級,全面提高發(fā)展質(zhì)量和核心競爭力。
黨的十九大報告全面系統(tǒng)地論述了堅持總體國家安全觀的重要思想,并明確提出“加快建設(shè)制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會,推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合”的戰(zhàn)略部署。從圖 1 中可以看到,近幾年我國聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的數(shù)量逐年遞增,2020 年發(fā)展更是成數(shù)倍地增長。而工業(yè)互聯(lián)網(wǎng)領(lǐng)域各類網(wǎng)絡(luò)攻擊行為直接破壞或損毀工業(yè)控制系統(tǒng)、設(shè)備等關(guān)鍵信息基礎(chǔ)設(shè)施,對人民生產(chǎn)生活以及經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、國家安全構(gòu)成嚴(yán)重威脅。工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)已成為國家安全體系建設(shè)的重要組成,其重要性不亞于經(jīng)濟(jì)安全、科技安全等 。
圖 1 近年中國聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量(數(shù)據(jù)來源:國家工業(yè)信息安全發(fā)展研究中心)
伴隨工業(yè)互聯(lián)網(wǎng)化平臺接入,工控網(wǎng)絡(luò)將直接或間接與互聯(lián)網(wǎng)連接。此時,其封閉式底層工業(yè)控制網(wǎng)絡(luò)安全考慮不充分、安全認(rèn)證機(jī)制和訪問控制的防護(hù)能力不足、生產(chǎn)設(shè)備和控制系統(tǒng)的控制指令簡單等缺點(diǎn)暴露無遺。如圖 2所示,伴隨著聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的不斷增多,新發(fā)現(xiàn)的工業(yè)控制系統(tǒng)漏洞也隨之增加。一旦聯(lián)網(wǎng)工業(yè)控制系統(tǒng)遭受攻擊,將導(dǎo)致平臺運(yùn)行環(huán)境被破壞、生產(chǎn)流程中斷,甚至關(guān)鍵工業(yè)設(shè)施損毀,嚴(yán)重威脅工業(yè)生產(chǎn)的穩(wěn)定運(yùn)行及財產(chǎn)、人身安全,進(jìn)而影響國家和社會正常穩(wěn)定運(yùn)行。由此可見,沒有堅實(shí)的安全保障,將難以維持工業(yè)生產(chǎn)平臺的正常運(yùn)行,更談不上工業(yè)互聯(lián)網(wǎng)的穩(wěn)定發(fā)展。
圖 2 近年中國新增工業(yè)控制系統(tǒng)漏洞數(shù)量(數(shù)據(jù)來源:國家工業(yè)信息安全發(fā)展研究中心)
1.3 國內(nèi)工業(yè)互聯(lián)網(wǎng)常見問題
國內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)正處于初級階段,尚未形成良性發(fā)展的工業(yè)互聯(lián)網(wǎng)安全生態(tài)體系。存在以下系統(tǒng)性或共性問題。
1.3.1 行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)
在兩化融合基礎(chǔ)上,電子、家電等行業(yè)推動生產(chǎn)向網(wǎng)絡(luò)化、智能化階段邁進(jìn),各行業(yè)企業(yè)對工業(yè)互聯(lián)網(wǎng)安全需求側(cè)重不同。在流程型制造行業(yè),利用信息技術(shù)助力企業(yè)提升綜合管控能力。例如,鋼鐵、石化、醫(yī)藥、食品等行業(yè)。在離散型制造行業(yè),側(cè)重推動企業(yè)向服務(wù)型制造加速轉(zhuǎn)型。例如,機(jī)械制造、消費(fèi)品生產(chǎn)等行業(yè)。因此,國內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)需要根據(jù)行業(yè)視角進(jìn)行理解、剪裁、取舍和優(yōu)化,逐步形成良性可持續(xù)發(fā)展的工業(yè)互聯(lián)網(wǎng)安全體系,為工業(yè)互聯(lián)網(wǎng)帶來持久穩(wěn)定的安全保障力量。
1.3.2 缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)
《中國制造 2025》戰(zhàn)略帶來工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展,新的工業(yè)互聯(lián)網(wǎng)化平臺不斷涌現(xiàn),數(shù)量眾多,但是基本上處于各自為戰(zhàn)的狀態(tài),安全方案千差萬別,服務(wù)能力參差不齊,未形成統(tǒng)一的安全框架模式和安全標(biāo)準(zhǔn),無法基于標(biāo)準(zhǔn)定義符合各企業(yè)情況的安全接入策略,并獲得可預(yù)期的、全面的安全保障,不利于我國工業(yè)互聯(lián)網(wǎng)安全保障體系的可持續(xù)性發(fā)展 。
1.3.3 云服務(wù)下用戶身份治理問題分析
在企業(yè)生產(chǎn)經(jīng)營過程中,普遍存在重發(fā)展輕安全的情況,對其工業(yè)互聯(lián)網(wǎng)安全缺乏足夠意識,安全防護(hù)投入較低。2021 年 2 月,由國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020 年工業(yè)信息安全態(tài)勢報告》中提到,在研判的工業(yè)信息安全風(fēng)險中,主要存在弱口令漏洞、未授權(quán)訪問漏洞、目錄遍歷漏洞、結(jié)構(gòu)化查詢語言(Structured Query Language,SQL)注入漏洞等。由此可見,工業(yè)企業(yè)各類應(yīng)用普遍在用戶口令、身份認(rèn)證、權(quán)限管理和通信加密等方面均存在大量安全問題 。
2020 年國家工業(yè)信息安全漏洞庫(CICSVD)收錄的漏洞主要類型如圖 3 所示。其中,授權(quán)問題、資源管理問題以及權(quán)限許可和訪問控制問題都與用戶身份、授權(quán)、訪問控制密不可分,三者合計 406 個漏洞,占總體類型 30% 以上。因此,云服務(wù)模式下的用戶身份治理與訪問控制需要考慮如下幾個方面。
圖 3 2020 年 CICSVD 收錄漏洞主要類型(數(shù)據(jù)來源:國家工業(yè)信息安全發(fā)展研究中心)
(1)用戶身份治理安全。在信息化時代,各行業(yè)企業(yè)均不同程度涉及上游原料供應(yīng)商、下游經(jīng)銷商以及企業(yè)自身人員的身份治理問題,包括內(nèi)部員工的入職、離職、轉(zhuǎn)崗、調(diào)動和外部人員注冊和注銷等變化,由于不同用戶在企業(yè)管理的職責(zé)、權(quán)限不盡相同,造成企業(yè)各用戶的身份管理、認(rèn)證以及訪問控制、動態(tài)權(quán)限管理的困難。需要構(gòu)建面向各企業(yè)的統(tǒng)一用戶身份治理與訪問控制公共服務(wù)支撐體系,實(shí)現(xiàn)云服務(wù)模式下用戶全生命周期管理來破解這一難題。
(2)用戶訪問安全。在面臨各企業(yè)內(nèi)部應(yīng)用時,如何有效做好用戶訪問范圍的定義,包括內(nèi)部員工、外部合作伙伴等不同角色以及在不同業(yè)務(wù)場景下的認(rèn)證安全等級、認(rèn)證方式、行為審計和追蹤溯源等。還應(yīng)考慮認(rèn)證方式和安全手段上的可擴(kuò)展性,以適應(yīng)未來發(fā)展需要。
(3)用戶權(quán)限管理。在企業(yè)發(fā)展過程中,在面向不同層級海量數(shù)據(jù)匯聚的同時,需確保數(shù)據(jù)的訪問權(quán)限的合理性和安全性。應(yīng)將分散在不同應(yīng)用系統(tǒng)中的用戶權(quán)限進(jìn)行納管,除了能夠支撐傳統(tǒng)的按角色授權(quán),還可根據(jù)用戶屬性、任務(wù)等不同類型授權(quán)以滿足應(yīng)用需要。對各類用戶不同環(huán)境下對應(yīng)用的訪問情況開展審計追溯,滿足應(yīng)用權(quán)限監(jiān)管與統(tǒng)一審計等合規(guī)要求。
(4)企業(yè)應(yīng)用安全管理。伴隨遠(yuǎn)程辦公、移動辦公等場景需要,越來越多的應(yīng)用接入工業(yè)互聯(lián)網(wǎng),使應(yīng)用直接暴露在互聯(lián)網(wǎng)網(wǎng)絡(luò)中,同時也意味著工業(yè)控制系統(tǒng)將會暴露大量應(yīng)用接口,而接口標(biāo)準(zhǔn)化、數(shù)據(jù)安全性、應(yīng)用接入規(guī)范化、應(yīng)用程序接口(Application Programming Interface,API)管理也面臨著安全風(fēng)險。統(tǒng)一的 API 管理規(guī)范建立、API 開發(fā)規(guī)范完善、API分級管理制度建設(shè)勢在必行,同時需要對訪問者的身份持續(xù)認(rèn)證、動態(tài)授權(quán),實(shí)現(xiàn)對應(yīng)用動態(tài)訪問的控制策略。
1.3.4 工業(yè)企業(yè)安全事件缺少審計
工業(yè)企業(yè)需要不斷提升安全態(tài)勢感知和預(yù)警處置能力,以確保對安全事件的檢測、數(shù)據(jù)分析、風(fēng)險預(yù)測和自動調(diào)整等環(huán)節(jié)的實(shí)施。才能及時發(fā)現(xiàn)各類攻擊威脅與異常,對企業(yè)內(nèi)外部人員的日常登錄操作、訪問操作、輸入 / 輸出操作進(jìn)行全面詳實(shí)記錄,通過歸類、報表、圖形化等方式實(shí)現(xiàn)在線的分析審計需要,合規(guī)、可視化的審計行為可幫助企業(yè)及時規(guī)避大范圍的攻擊風(fēng)險,為企業(yè)安全事件調(diào)查與回溯提供直接證明。
1.3.5 風(fēng)險診斷和研判能力有待提升
從工業(yè)互聯(lián)網(wǎng)領(lǐng)域以往發(fā)生的信息安全事件不難看出,企業(yè)遭到的網(wǎng)絡(luò)安全威脅逐漸從無意識攻擊到有組織的蓄謀攻擊,從個體侵害演變?yōu)閲揖W(wǎng)絡(luò)安全的威脅。針對企業(yè)信息安全的攻擊手段也更加多樣化,攻擊手段主要包括口令攻擊、拒絕服務(wù)攻擊、欺騙攻擊、劫持攻擊、高級可持續(xù)威脅攻擊和后門程序攻擊等,攻擊方式呈現(xiàn)跨時間、地點(diǎn)、動機(jī)等因素限制。
因此,建設(shè)國家級安全檢測評估的公共服務(wù)成為當(dāng)前工業(yè)互聯(lián)網(wǎng)企業(yè)保障安全必需的基礎(chǔ)。通過對安全基線和安全風(fēng)險特征庫定義,利用先進(jìn)的安全檢測工具進(jìn)行監(jiān)測,實(shí)時更新風(fēng)險特征庫,并對其開展動態(tài)分析,依據(jù)風(fēng)險等級進(jìn)行通告、警告和處置等處理。促進(jìn)工業(yè)企業(yè)由靜態(tài)防御向動態(tài)防御發(fā)展,提升企業(yè)安全風(fēng)險診斷和研判能力,為工業(yè)企業(yè)安全提供全面的防御保障。
1.3.6 企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善
工業(yè)互聯(lián)網(wǎng)身份與訪問控制體系還應(yīng)建立應(yīng)急預(yù)案管理、定義應(yīng)急安全處理策略,實(shí)現(xiàn)取證和總結(jié)等流程,規(guī)避高風(fēng)險、不可逆、影響范圍廣的信息安全事件的發(fā)生。
基于上述現(xiàn)狀分析可以看到,當(dāng)前我國工業(yè)企業(yè)面臨用戶身份治理、認(rèn)證和訪問控制、安全審計可追溯性、風(fēng)險評估與研判、應(yīng)急機(jī)制建立等方面的管控能力不足,構(gòu)建基于身份與訪問控制為核心的安全云服務(wù)的支撐體系,成為工業(yè)互聯(lián)網(wǎng)安全生態(tài)建設(shè)的關(guān)鍵。
2、身份與訪問控制體系建設(shè)思路
基于經(jīng)過驗證的主流安全技術(shù)與規(guī)范,構(gòu)建可良性發(fā)展的工業(yè)企業(yè)身份與訪問控制安全生態(tài)體系。該體系下支撐平臺將采用高度可擴(kuò)展的架構(gòu),構(gòu)建一個可擴(kuò)展的安全服務(wù)云平臺,覆蓋基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service,IaaS)、平臺即服務(wù)(Platform as a Service,PaaS)、軟件即服務(wù)(Software as a Service,SaaS)、邊緣等各層次的安全分析和處置。將采用開放式可插拔架構(gòu),構(gòu)建云端安全檢測服務(wù),通過插入新的檢測模塊擴(kuò)展安全檢測能力,保證平臺應(yīng)對新出現(xiàn)的安全威脅。形成一個可擴(kuò)展的風(fēng)險診斷和研判公共服務(wù),通過定義動態(tài)風(fēng)險策略引入新的風(fēng)險診斷和研判能力,定義工業(yè)互聯(lián)網(wǎng)安全體系的標(biāo)準(zhǔn)化基準(zhǔn)。結(jié)合該體系下安全規(guī)范和服務(wù)規(guī)范建設(shè),構(gòu)建良性可持續(xù)發(fā)展的安全生態(tài)體系,以達(dá)到覆蓋不同行業(yè)下企業(yè)安全建設(shè)的個性化訴求。
3、身份與訪問控制體系建設(shè)內(nèi)容
通過對用戶身份和訪問控制體系的建設(shè),在企業(yè)內(nèi)部實(shí)現(xiàn)集中統(tǒng)一的用戶身份治理機(jī)制,結(jié)合安全檢測、風(fēng)險診斷、動態(tài)權(quán)限等服務(wù),為企業(yè)的工業(yè)生產(chǎn)活動提供安全保障。
3.1 工業(yè)領(lǐng)域各企業(yè)用戶身份治理需求多樣性
隨著近年來對工控安全的深入研究,研究人員發(fā)現(xiàn)工業(yè)信息安全漏洞、事件層出不窮,安全形勢日趨嚴(yán)峻。2020 年,國家工業(yè)信息安全發(fā)展研究中心抽樣研判工業(yè)信息安全風(fēng)險近800 個,涉及制造、交通、市政等多個重點(diǎn)行業(yè),如圖 4 所示。研究發(fā)現(xiàn),工業(yè)控制系統(tǒng)和工業(yè)信息系統(tǒng)中存在受攻擊面大、漏洞利用難度低等問題。
圖 4 2020 年中國工業(yè)信息安全風(fēng)險行業(yè)分布(數(shù)據(jù)來源:國家工業(yè)信息安全發(fā)展研究中心)
面向行業(yè)復(fù)雜性帶來的企業(yè)多樣化需求,工業(yè)互聯(lián)網(wǎng)企業(yè)身份與訪問控制支撐體系建設(shè)需要覆蓋工業(yè)互聯(lián)網(wǎng)整體安全要求。
(1)貫徹國家關(guān)于“自主可控和安全可靠”的要求。深入貫徹國家有關(guān)國產(chǎn)化和安可工程的相關(guān)規(guī)定,確保密碼算法、硬件設(shè)備和軟件應(yīng)用等關(guān)鍵基礎(chǔ)設(shè)施在研發(fā)、生產(chǎn)、升級和維護(hù)等各環(huán)節(jié)全過程的自主可控。
(2)提供滿足共性和個性化需求的服務(wù)化安全保障能力。根據(jù)工業(yè)企業(yè)類型和用戶訪問控制需求不同、訪問者對身份管理和訪問控制的接受程度不同的需求,支持面向企業(yè)提供定制化安全服務(wù)。以動態(tài)風(fēng)險識別為基礎(chǔ),對應(yīng)用訪問的行為進(jìn)行精細(xì)化訪問控制,將人、設(shè)備、服務(wù)和應(yīng)用的身份統(tǒng)一抽象成實(shí)體身份,通過實(shí)體身份的屬性進(jìn)行認(rèn)證和授權(quán) 。
(3)建設(shè)覆蓋應(yīng)用訪問全過程的縱深安全防御體系,包括安全數(shù)據(jù)的多源化采集、流程化處理、異構(gòu)化存儲、智能化應(yīng)用等全生命周期的安全防護(hù)措施。
(4)建設(shè)以大數(shù)據(jù)驅(qū)動為核心的安全運(yùn)行管理體系。利用大數(shù)據(jù)技術(shù),匯聚網(wǎng)絡(luò)安全數(shù)據(jù),建立安全數(shù)據(jù)分析中心和安全智慧控制中心,提升內(nèi)外部風(fēng)險感知能力、協(xié)同安全防護(hù)能力、攻擊檢測分析能力、違規(guī)行為發(fā)現(xiàn)能力、應(yīng)急事件響應(yīng)能力和態(tài)勢感知預(yù)警能力。
3.2 實(shí)現(xiàn)多層次安全風(fēng)險要素的集中分析和處置
實(shí)現(xiàn) IaaS 層、PaaS 層、SaaS 層和邊緣層 4層防護(hù)建設(shè)。在公共服務(wù)中心的風(fēng)險檢測、動態(tài)分析、主客體管理、訪問控制和權(quán)限管理等能力的基礎(chǔ)上,增強(qiáng)多層次的安全管理。
(1)定義 IaaS 層包括云主機(jī)、云網(wǎng)絡(luò)、虛擬化操作系統(tǒng)、物理主機(jī)、物理網(wǎng)絡(luò)、物理設(shè)備和云存儲等安全規(guī)則,通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級,下發(fā)處置指令,如通知、警告、斷開網(wǎng)絡(luò)、收回訪問權(quán)限和使用權(quán)限等。
(2)定義 PaaS 層包括云數(shù)據(jù)庫存儲服務(wù)、文件存儲服務(wù)、容器服務(wù)、API 服務(wù)等安全規(guī)則,通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級,下發(fā)處置指令,如通知、警告、收回 API 與數(shù)據(jù)訪問權(quán)限和使用權(quán)限等。
(3)定義 SaaS 層包括 SaaS 應(yīng)用、App 等安全規(guī)則,通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級,下發(fā)處置指令,如通知、警告、收回 API與數(shù)據(jù)訪問權(quán)限和使用權(quán)限等。
(4)定義邊緣層包括智能傳感器與邊緣網(wǎng)關(guān)等安全規(guī)則,通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級,下發(fā)計算策略、下發(fā)計算能力、下發(fā)控制指令,如通知、警告、收回設(shè)備權(quán)限或停用設(shè)備等。
3.3 建設(shè)云端企業(yè)安全檢測評估服務(wù)
建設(shè)云端企業(yè)安全檢測評估服務(wù)包括安全風(fēng)險特征庫和情報庫的建設(shè),利用安全檢測工具,實(shí)時動態(tài)更新安全風(fēng)險特征庫,為云端企業(yè)提供風(fēng)險診斷與研判公共服務(wù)。
(1)建立安全風(fēng)險特征庫。定義安全基線、安全風(fēng)險特征庫。
(2)建立風(fēng)險情報庫。根據(jù)安全威脅情報信息,更新風(fēng)險威脅情報庫,并輸入安全風(fēng)險特征庫中。
(3)利用安全檢測工具。將檢測結(jié)果輸入安全風(fēng)險特征庫中,如跨站點(diǎn)腳本攻擊、注入式攻擊、失效的訪問控制、緩存溢出問題等工具化服務(wù)。
(4)提供風(fēng)險診斷與研判公共服務(wù)。將安全風(fēng)險收集到安全風(fēng)險特征庫中,對使用情況進(jìn)行動態(tài)分析,基于深度機(jī)器學(xué)習(xí)等方式對安全狀態(tài)和安全事件等信息進(jìn)行實(shí)時分析和研判,并依據(jù)風(fēng)險等級處理規(guī)則,下發(fā)處置指令,如通知、警告、處置等。在出現(xiàn)較大安全風(fēng)險時,平臺能實(shí)現(xiàn)大范圍的自動化處置能力,避免造成損失。
3.4 建設(shè)風(fēng)險診斷與研判公共服務(wù)
風(fēng)險診斷與研判建設(shè)在數(shù)據(jù)安全基礎(chǔ)之上,設(shè)置用戶及應(yīng)用對數(shù)據(jù)的使用范圍、使用規(guī)則、控制規(guī)則,并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。以最小化原則設(shè)置應(yīng)用數(shù)據(jù)和“是否可見”“是否可用”“哪些能用”以及“什么情況下能用”等屬性。根據(jù)不同應(yīng)用、不同企業(yè)需求,支持從用戶類型、終端類型、網(wǎng)絡(luò)類型及訪問資源重要等級等多維度考慮,搭建風(fēng)險模型。搭建企業(yè)基于身份的持續(xù)信任評估能力,識別異常訪問行為和風(fēng)險訪問環(huán)境,基于風(fēng)險評估引擎,通過對用戶認(rèn)證、用戶操作、終端環(huán)境變化、位置、設(shè)備指紋和時間等數(shù)據(jù)序列的采集分析和風(fēng)險評估,按照風(fēng)險評估結(jié)果,可以進(jìn)行阻斷、二次增強(qiáng)認(rèn)證等自動干預(yù),并自動為用戶提示認(rèn)證警告等抵制風(fēng)險的措施 。
3.5 建設(shè)用戶動態(tài)權(quán)限保護(hù)
公共服務(wù)從用戶的身份管理、訪問控制、權(quán)限管理和應(yīng)用管理等維度進(jìn)行監(jiān)督與管控,實(shí)現(xiàn)用戶使用風(fēng)險研判結(jié)果動態(tài)處置能力。為參與到工業(yè)互聯(lián)網(wǎng)中的人、物、應(yīng)用、服務(wù)等各類訪問主體提供身份管理、訪問控制、權(quán)限管理等能力。
(1)用戶身份管理。用戶身份主體定義與特征定義,如用戶管理員、分級管理員、企業(yè)員工等身份定義。
(2)用戶訪問控制。用戶訪問范圍定義,如企業(yè)內(nèi)財務(wù)部員工能訪問財務(wù)系統(tǒng)、人事系統(tǒng)等訪問規(guī)則,按照不同的員工標(biāo)簽設(shè)置規(guī)則。
(3)用戶權(quán)限管理。用戶權(quán)限定義,如企業(yè)內(nèi)財務(wù)主管能訪問財務(wù)系統(tǒng)所有功能模塊和數(shù)據(jù),財務(wù)專員只能訪問部分功能模塊和部分?jǐn)?shù)據(jù)。
(4)用戶應(yīng)用管理。用戶使用系統(tǒng)范圍定義,如企業(yè)以公司名義購買云服務(wù)或設(shè)施,設(shè)置應(yīng)用可見范圍,并維護(hù)用戶對應(yīng)用的訪問范圍。①接入網(wǎng)關(guān)。設(shè)置用戶對云平臺和設(shè)施的訪問范圍,并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。實(shí)現(xiàn)用戶在不同網(wǎng)絡(luò)環(huán)境、設(shè)備環(huán)境下使用應(yīng)用防護(hù)、身份認(rèn)證防護(hù)、傳輸加密防護(hù)等功能。② API 服務(wù)網(wǎng)關(guān)。設(shè)置用戶及應(yīng)用對 API的使用范圍、使用規(guī)則、控制規(guī)則,并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。以最小化原則設(shè)置 API“是否可見”“是否可用”“哪些能用”和“什么情況下能用”等屬性。
(5)使用風(fēng)險研判結(jié)果動態(tài)處置用戶權(quán)限與訪問。當(dāng)用戶訪問和被訪問資源出現(xiàn)安全風(fēng)險時,根據(jù)風(fēng)險研判結(jié)果,下發(fā)處置指令,如通知、警告、回收權(quán)限(包括部分權(quán)限)、阻斷訪問等。
3.6 建設(shè)應(yīng)急處置公共服務(wù)
為用戶身份管理和認(rèn)證服務(wù)提供應(yīng)急處理機(jī)制、操作取證和總結(jié)服務(wù)。集中的用戶身份和訪問控制系統(tǒng)提供了統(tǒng)一的管理和認(rèn)證門戶,也成為所有集成應(yīng)用的唯一入口,需要做好相應(yīng)的應(yīng)急預(yù)案和處理措施,以及用戶行為日志記錄,為應(yīng)用取證和總結(jié)提供相應(yīng)的支持。
(1)構(gòu)建應(yīng)急預(yù)案。對安全事件定級定策略,根據(jù)不同的安全事件等級設(shè)置不同的響應(yīng)策略,針對緊急安全事件,啟用應(yīng)急預(yù)案。如病毒木馬高發(fā)、重大安全情報發(fā)布、重大安全事故等。
(2)定義應(yīng)急安全處理策略。支持手動、自動等靈活的處理方式,根據(jù)動態(tài)風(fēng)險策略下發(fā)的風(fēng)險評估或通知,啟用應(yīng)急預(yù)案。依據(jù)動態(tài)風(fēng)險策略配置規(guī)則,完成某些自動化風(fēng)險的處理。
(3)取證和總結(jié)。應(yīng)急處置后,根據(jù)需要進(jìn)行安全事件取證、復(fù)盤、總結(jié)與完善。
3.7 開放性設(shè)計抵御主要安全威脅
定義開放性服務(wù)方式。通過第三方服務(wù)和風(fēng)險數(shù)據(jù)接入的擴(kuò)展能力,不斷完善具有針對性的風(fēng)險識別和檢測服務(wù),完善風(fēng)險特征庫和抵御能力。包括引入其他殺毒工具、漏洞掃描工具、專殺工具等方式,并將其封裝為新的服務(wù)能力,獲取更多風(fēng)險情報。提供“端”(包括 PC 端和移動端)風(fēng)險情報收集能力,根據(jù)“端”風(fēng)險情況執(zhí)行對應(yīng)的風(fēng)險處置策略。各類平臺或企業(yè)可按需選用。
3.8 可定制性的安全能力建設(shè)
提供可定制化擴(kuò)展的安全組件建設(shè)能力。通過 API 服務(wù)網(wǎng)關(guān)使企業(yè)內(nèi)外部系統(tǒng)間相互安全調(diào)用得到有效治理,為工業(yè)互聯(lián)網(wǎng)身份與訪問控制系統(tǒng)提供“原子級”(API 接口)安全公共服務(wù)能力整合、聚合、分裂、重組等業(yè)務(wù)編排的能力。利用負(fù)載均衡、限流、降級、熔斷、容錯、審計等統(tǒng)一治理能力,使各企業(yè)信息系統(tǒng)群的健壯性得到有效提升。
(1)API 服務(wù)網(wǎng)關(guān)。讓服務(wù)的消費(fèi)者(系統(tǒng))將 API 能力便捷地整合到自己的應(yīng)用中,促進(jìn)企業(yè)新的服務(wù)生態(tài)建設(shè)。為服務(wù)的消費(fèi)者提供授權(quán)鑒權(quán)、API 通用訪問控制、API 敏感數(shù)據(jù)訪問控制、流量控制、熔斷控制、IP 黑白名單控制、時間訪問控制、日志審計等急需的重點(diǎn)功能,合理開放與應(yīng)用 API 且整體需滿足信創(chuàng)合規(guī)的要求,支撐國產(chǎn)化網(wǎng)關(guān)底層和算法的需要。兼容不同應(yīng)用系統(tǒng)的多種形式的開發(fā)接口,支持應(yīng)對大規(guī)模并發(fā)流量,對 API 調(diào)用過程進(jìn)行統(tǒng)計分析,清晰展示各應(yīng)用系統(tǒng)調(diào)用關(guān)系。為不同的消費(fèi)者配置不同的訪問范圍策略,使 API敏感數(shù)據(jù)訪問得到有效控制。
(2)安全接入網(wǎng)關(guān)。從用戶角度出發(fā),無論用戶身在何地、何時訪問、訪問企業(yè)什么資源,都能夠非常靈活的受到保護(hù)。通過安全網(wǎng)關(guān)提供具有應(yīng)用防護(hù)、身份認(rèn)證機(jī)制、安全防護(hù)機(jī)制的安全架構(gòu)支撐,支持隱藏企業(yè)應(yīng)用系統(tǒng)的真實(shí)訪問地址,實(shí)現(xiàn)零接觸訪問,杜絕應(yīng)用暴露帶來的安全風(fēng)險。安全接入網(wǎng)關(guān)對用戶訪問采取“先鑒權(quán)(認(rèn)證和授權(quán))、后連接、再訪問”的方式,實(shí)現(xiàn)端到端可信訪問企業(yè)資源,建立設(shè)備信任、用戶信任、流量信任、應(yīng)用信任的“端到端”信任鏈解決方案,通過相互傳輸層安全協(xié)議(Mutual Transport Layer Security,MTLS) 雙向加密應(yīng)用請求,實(shí)現(xiàn)應(yīng)用級傳輸安全,解決了虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN) 建立鏈路帶來的網(wǎng)絡(luò)資源浪費(fèi)的問題。為應(yīng)用級安全接入、遠(yuǎn)程辦公提供安全保障。
3.9 建立安全規(guī)范和服務(wù)規(guī)范
為保障整個身份與訪問控制體系建設(shè)、支撐平臺的平穩(wěn)運(yùn)行,需建立完整的安全制度,明確平臺安全部門、業(yè)務(wù)部門、企業(yè)用戶的職責(zé)等。
(1)安全規(guī)范。安全規(guī)范包含政策性依據(jù),明確安全部門、業(yè)務(wù)部門、最終用戶的職責(zé)權(quán)限,包括可見范圍、適應(yīng)范圍、權(quán)利和責(zé)任等。出臺支撐平臺的管理標(biāo)準(zhǔn),如行業(yè)用戶屬性標(biāo)準(zhǔn)、使用規(guī)則、使用內(nèi)容和管理方式等,包括制定云端安全檢測評估服務(wù)、基于公共服務(wù)的運(yùn)維管理和考核方法等指導(dǎo)性文件。
(2)服務(wù)規(guī)范。應(yīng)形成與企業(yè)用戶管理系統(tǒng)對應(yīng)的“應(yīng)用接入和集成規(guī)范”“賬號管理流程和辦法”“安全標(biāo)準(zhǔn)和接口規(guī)范”和“系統(tǒng)運(yùn)維管理制度”“組織機(jī)構(gòu)管理規(guī)范”等,保障整個支撐平臺的易用性和安全性。
4、結(jié)語
工業(yè)互聯(lián)網(wǎng)用戶身份與訪問控制體系的建設(shè),是建立在政府統(tǒng)籌規(guī)劃、企業(yè)自愿接入的基礎(chǔ)上,配套出臺具體的安全規(guī)范與服務(wù)規(guī)范,覆蓋 IaaS 層、PaaS 層、SaaS 層、邊緣層 4 層安全防護(hù)體系的支撐平臺。融合新一代應(yīng)用風(fēng)險評估技術(shù)、用戶動態(tài)權(quán)限控制機(jī)制、數(shù)據(jù)保護(hù)公共服務(wù)、各實(shí)體全生命周期的身份安全管理、智能風(fēng)險診斷與研判等功能,為工業(yè)企業(yè)提供全方位、多層次安全防護(hù)。同時利用安全接入網(wǎng)關(guān)、API 網(wǎng)關(guān)等安全組件,在系統(tǒng)入口或功能入口處開展保護(hù)措施,針對企業(yè)系統(tǒng)侵入行為,簡單的配置就可以將平臺的安全防護(hù)能力賦予到企業(yè)應(yīng)用系統(tǒng)中。
整個體系建設(shè)支持云平臺架構(gòu),有效滿足云服務(wù)模式,支撐平臺搭建成功,可同時為云上所有企業(yè)提供安全服務(wù),為參與工業(yè)互聯(lián)網(wǎng)的企業(yè)用戶、設(shè)備、應(yīng)用、服務(wù)等各訪問主體提供身份與訪問的綜合管控,為企業(yè)生產(chǎn)安全提供保障。在搭建體系過程中,基于威脅信息源的端安全檢測評估技術(shù)、多因素的風(fēng)險診斷與研判等難點(diǎn)值得進(jìn)一步探索與研究。比如,如何完善除用戶 IP 規(guī)則、密碼規(guī)則、設(shè)備規(guī)則、地址規(guī)則等因素外的風(fēng)險模型;如何開展基于對用戶認(rèn)證趨勢、訪問趨勢等多維度歷史信息合理輸出評估風(fēng)險的判定結(jié)果;在安全規(guī)范與服務(wù)規(guī)范的建設(shè)過程中,如何結(jié)合工業(yè)領(lǐng)域、行業(yè)特色、企業(yè)實(shí)施范圍等因素制定合理的政企職責(zé)分工、安全管理制度、運(yùn)維管理辦法等,基于上述問題可開展進(jìn)一步課題研究。
原文來源:《信息安全與通信保密》雜志