独家丨烽台科技总经理龚亮华:工业物联网安全攻防技术探索

宝马娱乐在线城

2018-02-21 11:47:15

2017中国物联网大会上,烽台科技(北京)有限公司总经理龚亮华从现在工业物联网实际已经应用部署的案例中分析我们的现在身边的这些物联网存在的安全问题,并提出了一些防护的建议。

工业物联网相关组件介绍

我们现在工业互联网典型架构主要是云平台 管道,三大运营商网络,连接我们线上控制设备,还有传感设备、智能设备。我们的工业互联网目前五大重大问题,网络安全、设备安全、控制安全、应用安全和数据安全。问题比较严重的是一个数据安全和网络安全,因为传感设备要连接到云平台需要跨越三大运营商网络,三大运营商网络对于大家来说属于公有网络,存在很多不确定因素。

在三大运营商网络怎么把我们的这些传感器、控制设备连接到云平台呢,业内主要有一种方法就是用我们通过DTU DSC就是数据终端和业务中心站或者叫数据中心站把我们终端,把传感器连接到云平台,实际上DTU实际上就是加了一个sim卡,可以把我们的相当于家里猫的感觉,它用的是无线网络,可以注册到数据服务中心,数据服务中心跟云平台在一块,通过这样DTU DSC的方式就可以穿越我们的三大运营商网络,将我们的传感设备与云平台连接起来。在连接过程中,我们需要用到一种协议,就是DDP协议,需要将终端云平台通讯互联的一个协议。

我们的这些设备,我们看到比如说电表或者仪器仪表它是挂在我们DTU下面,云平台在DSC数据中心这侧,所以能够形成一个管道。现在应用比较广的主要是石油勘探,通过无线远程监控,将我们的蝌蚪机的数据传到监控中心,它也需要用到我们的DTU,它可以远程控制我们的油井的蝌蚪机,也可以下达一些指令,包括故障诊断的需求。第二个就是家里的电表,以前都有人上门抄表,交电费。现在在淘宝上基本上直接在上面买电就可以,根本不用去国家电网交电费,现在远程抄表应该已经在国内大部分地区实现了,它也是利用这种DTU DSC的方式做到远程的将我们的购买的电量通过远程方式下达电表里面监控使用情况。

我们的路灯,有的时候路灯会间歇性地亮,有的时候会较暗,实际上都可以通过远程的云中心控制的,应用的也是DTU DSC的方式。

工业物联网安全技术分析

我们对现有的这些DTU做了安全性的分析包括测试,包括像厂家它的电路终端的集中器,一般这种集中器是用嵌入式的芯片,裁剪的一些操作系统,跟我们通用的TC有很多相似的地方。这种集中器本身存在硬编码的问题,在集中器里头,有预置了一些帐户,但是不是高级权限的,但是集中器用了698的协议进行通讯,这种协议可以远程执行命令,可以通过这种方式,把预置的普通帐户变成系统帐户,之后就可以远程控制终端集中器。

你能控制之后,会出现什么问题呢,我们现在的用的集中器在我们每个楼宇里面可能有一个集中器,跟我们的主站,就是采集的主站通讯,把它的数据各家电表数据报到我们说的电网主站上。这个过程中,如果集中器可以控制,就可以伪造,或者模拟集中器行为对主站进行攻击。在这种情况下,如果懂安全,在家里就可以得到电网自己的系统,我们原来说电网的系统都比较封闭,大家都见不到,但是每家都有电表,大家都能够见到的,所以从家里的电表上面连的集中器,对网络进行攻击,大家都能够够得着的,风险比较大的。

还有一个就是数据传输终端,是用RM芯片做的,将串口数据转换成网络数据,通过无线方式发送到远端云平台。现在的DTU主要通过拨号的方式到中心站注册,用的是私有IP,在网上想扫描是扫不到的,号码随时会变。但是DTU要连的中心站必须是一个固定IP,这个IP不能换,只要一换,下面DTU都找不到数据中心了,所以数据中心它的IP是公开的,所以通过一些网络扫描器就可以扫描数据中心。

现在我们国内的DTU厂商比较多,用的传输的端口不统一,各家用都有自己的的通信端口,没有规范的要求统一,每家端口不太一样。这种数据中心跟我们DTU的通讯方式,存在了几个比较大的风险。第一个如果你DSC本身不会对你注册的手机号码进行可信上的验证的话,只要用任意手机号就可以注册到它的中心端,就可以去跟云平台进行通讯,这个是风险比较大的,但做得好的话,你这个手机号是需要备案才可以连的。

第二个,如果有一个终端是在实际中应用的,知道这个终端的号码,比如说11位的号码,那我也用同样的号码去中心站注册的话,实际上它是一个正常的请求,所以会注册到我们中心端,这样的话可以混到正常的DTU里头,可以跟我们数据中心进行通讯,它也可以通过这个电路直接跳到我们云平台上,云平台上的所有应用进行操作,风险就比较大。

我们研究了一些终端,研究了一些云平台,比如说我们通过,之前每家设备的端口号我们基本上都知道,在网上扫描这些端口号能扫到这些数据中心,或者叫云平台,因为云平台跟中心站挂在一块,只要找到中心站,就找到它的云平台。所以说这些工业云平台都是通过联想的方式可以找到。

其实有很多热电厂的外部发布到公网的云平台,实际上主要是用WEP基本上可以断定没有安全性可言,对于懂安全的人员来说,只要放到网上不需要帐号可以登录的,不需要验证的,所有系统都有这个问题,我们帐号是为了防护不懂安全的人做的措施,懂安全,对于懂攻防的人来说帐号是没用的。

现在在网上这种例子特别多,怎么找着呢,实际上在之前ICS-CERT发布了一个连网漏洞,漏洞一发布,按照人员可以布线,在网上扫描可以扫描特别多相关的服务器的设备,它可以利用这个漏洞,包括设备相关的云平台进行一些攻击。

我们对整个的工业云平台做一个系统性的网络识别,现在发现在应用这种DTU协议平台在互联网平台上有8800个,这些平台都可以直接通过一些攻击手段,直接攻击进去。他们主要分布在沿海地区,跟他们的工业化水平有关的,所以沿海地区云平台特别多。像广东的,香港的,浙江、上海这些地方他们的物联网数据中心是比较多的,目前这些数据中心主要应用在气象、水利、燃气、供水等领域里头。

工业物联网安全解决方案参考建议

这些是我们做的一个在地图上的绘制,每个点代表都是一个云平台,就是在互联网上暴露出来的云平台,按照之前的方式,只要是黑客都可以入侵进去的,目前来说,物联网实际上很大一块我觉得发展不是很快的一个原因是因为它的安全问题还没有解决,这些云平台在网上可以远程连接进去,所以问题也比较严重。

但是这些物联网它的云平台或者上面的终端连接可以有比较简单的方法规避扫描行为,比如说VPN加密,很多之前CTU做的穿透三大运营商网络,在公网是可以被看到的,如果用VPN技术,在CTU里面集成VPN功能,在公网里面发现不了我的云平台,但是对我们的CTU和中心站进行改造,必须有VPN的功能。

第二个用协议加密的方式,这种方式会增加网络的负载,现在用的CTU是跟三大运营商,比如说可以用十年,这十年缴费比较低,对SIM卡流量就会受到限制,比如说我十年可能只用100M,实际上SIM卡是轻载的流量,如果用加密协议,本身有效载荷会比较低,对它的流量消耗比较大。这样的话,SIM卡可能用不了多久就得缴费了,所以会影响我们物联网的一些应用。我们的物联网要用得好,是因为它的传输通道费用比较低廉,所以才会用得比较快,如果费用高,当然可能会影响我们的使用。

还有一些传统的解决方案,在我们的中心站前段加一些边界防护设备,也可以起到作用,但是并没有任何一种方式百分之百安全,攻防攻防任何东西没有绝对的安全,任何的安全都是相对的,就看你应用的价值和你投入的安全需要做一个平衡的。

再有一个就是我们现有的一些云平台,包括上面的终端,怎么减少安全风险,第一个需要把我们的物联网的SIM卡和传输终端绑定,如果别人想伪造SIM卡传输,它没有终端的ID信息,伪造信息会被认可。第二个对云平台数据中心进行备案制,需要定期检查加固我们的系统,比如说WEP系统确实有漏洞,但是有方法,可以提高别人对我们系统攻防的代价。

第三个需要跟国内一些安全的一些应急部门建立比较好的通道,他们可能会经常发布安全漏洞,有一些解决方案,推送到具体的云平台运营商,可以按照他们的建议做一些修复。

第四个任何系统都没有绝对的安全,我们需要做到出问题之后,可以做到及时的响应,把我们的一些重要数据进行定期备份。现在国家对于安全的定位也变了,原来大家一直觉得安全问题可以用一些设备,一劳永逸解决,现在实际上不行,现在国家的政策其实也意识到,虽然我们做不到,通过前期的一些安全手段做到100%的防护各种攻击行为,但是可以做到我们出现了问题之后可以快速地做应急,可以减少我们的损失,所以现在国家提倡的是要做这种应急演练,出现问题大家可以快速解决,必须加深我们的技术队伍的建设。所以在这块是目前政府转变了思路,后期这种应急演练方面的动作会越来越多。

最后介绍一个我们公司的灯塔实验室,主要是一个是公益性的研究和一些实践的实验室,我们实验室是专门针对信息安全,做公益性研究,还有实验室不止是我们公司人,社会上很多物联网安全感兴趣的人也加入到我们队伍里对一些比较难解决的问题进行一些研究。目的是推广一些合作性比较强的安全技术。我们也做过很多企业现场的评估测试,有一些案例也是企业请我们给他们做的安全评估。

目前我们的能识别互联网上的各种各样设备,我们对这些设备有比较多的研究积累,对核心的设备,我们在互联网上能识别135个品牌,可以累积在互联网发现这种控制设备达4500个,一些云平台累积到9500个,对于国家存在的比较严重的风险事件330个,所有事件覆盖到35个行业。

所以我们实验室本身的核心价值是因为我们对工业领域的各种资产的研究,包括一些资源部的积累,包括我们所做的任何应急响应检查,都是基于资源库的积累。

我们也会基于这个实验室做很多公益性的技术交流,包括我们说的网络空间安全公共的技术,包括运维的技术,还有威胁分析,包括网络空间靶场的技术,实际上通过交流,可以带动这个行业去对一些行业上需要用的主流技术可以有更多人才参与进来,现在在物联网安全,或者说工业信息安全领域,人才是非常缺乏的,我们需要有更多人来参与,一起进行研究。所以说很多技术还没有到应用阶段,只有更多地研究,才能把这些技术通过一些渠道放大。

作者:司马渡

相关阅读

2017中国物联网大会将在福州召开

独家丨中国工程院院士邬贺铨重新定义产业物联网!

独家丨物联网芯片的“新”技术――创新维度CSO专访