工业互联网边缘计算节点解读及安全隐患防护

工业互联网边缘计算节点介绍

边缘节点的安全隐患

隐患1：设备物理安全风险：部署在工业现场的缺乏物理安全控制的边缘设备可能被盗窃或破坏；若边缘设备的物理接口直接暴露在设备外部，没有做安全防护，则易导致非法访问。

隐患2：操作系统安全风险：边缘算力设备可能采用通用的嵌入式 Linux、Windows、Android 等操作系统，而相关边缘设备操作系统可能存在系统漏洞、过期的组件、不恰当的配置以及不安全的更新等安全问题。

隐患3：设备非法接入风险:工业现场的边缘设备可能使用了默认密码、弱密码,或采用了容易被绕过的认证机制，甚至未采用任何访问认证机制；边缘设备的固件中可能保留了调试测试接口等而没有采用合适的安全保护措施。

隐患4：边缘设备数据安全风险：边缘设备上的数据在存储、传输等环节存在涉及用户隐私或系统安全的敏感数据泄露、未授权读取或篡改等风险。

隐患5：边缘设备衍生安全风险：边缘设备衍生安全指边缘设备因自身脆弱性而导致其他领域安全。

边缘节点安全防护措施

针对边缘设备没有做安全防护，易导致非法访问的问题，可以在现场控制层旁路部署安全防护类产品。安全防护类产品主要有工业防火墙、工控安全网关、主机卫士等。其中，工控安全防火墙是针对工业控制系统环境设计开发的边界隔离和安全防护产品，可以对边缘设备起到安全防护的作用。基于多年工控领域的技术积累，木链科技工控防火墙产品支持多种工控协议的识别与检测，对ModbusTCP、IEC104、DNP3等协议均可实现深度解析；支持自定义协议防护，通过协议数据匹配模组和字段分析匹配引擎，实现对私有协议的数据控制；支持灵活地部署模式，支持传统的路由模式、桥接模式、防护和测试模式，区分测试部署和正常工作模式，减少对业务系统的影响。

针对工业现场边缘设备可能使用了默认密码、弱密码，采用容易被绕过认证机制等问题，可以在工控系统中部署检测评估类产品，比如：配置核查、工控漏洞挖掘平台、工控等保工具箱等。基于多年工控网络安全检查项目经验，木链科技专门为工业控制系统信息安全检查工作推出一款安全评估系统。系统能够安全无损地发现工业控制网络中的各类组成单元，并智能化一键式生产网络拓扑图，帮助用户了解当下工控网络的构成。安全威胁评估系统具有准确的工控设备指纹识别能力，支持识别国内外知名厂商设备；支持丰富的工业控制协议和工业级安全检查模型，针对工业控制现场特点，全面适配工业控制系统。

针对边缘设备上的数据在传输等环节存在涉及用户隐私或数据泄露等风险问题，可以在工业过程监控层中部署安全审计类产品。目前市场上安全审计类产品包含但不限于工控安全审计平台、数据库审计平台、日志审计与分析系统等。在工业控制系统中，应用最广泛的是工控安全审计平台，该平台主要通过对控制网数据的采集、解析、鉴别，实时动态监测通信内容，发现并捕获异常指令和数据，实时告警响应。基于多年的审计经验，木链科技工控审计平台具有全面可靠的通讯审计、通讯协议深度解析、全局网络动态掌握、高速数据处理引擎组群等特点。搭载木链科技自研的通讯协议深度解析引擎，支持IP分片重组和TCP分段还原重组；通过分析行业特点，结合自身技术优势，研发高速数据处理引擎群组，极大提升了审计效率。