摘 要:面对工控系统安全的威胁,对Modbus、CIP、IEC104和OPC四种主流通信协议的脆弱性展开分析,进而提出针对性的防护措施。分析表明,以上协议存在缺乏认证和授权机制、缺少完整性和机密性校验等共性问题。为实现有效安全防护,提出:1)根据不同协议的特性采取指标监测、定制化防护手段;2)在协议的开发应用阶段自定义完整性校验和身份认证等机制;3)实行纵深防御机制,采用工业防火墙、入侵检测技术等外围技术来弥补协议的先天性问题。综合研究工控系统主流通信协议的脆弱性,采取共性与个性相结合的防护措施,将有效保障石油等行业工控系统的安全运行,推进信息化与工业化深度融合。
关键词:工控系统;通信协议;脆弱性;校验;认证;信息化与工业化深度融合
中图分类号:X931
文献标识码:A
文章编号:2095-8412 (2018) 03-063-04
引言
随着信息化与工业化深度融合的推进,物联网、智能识别等信息技术在石油、交通、电网等行业得到了广泛应用。传统的工业控制系统(以下简称“工控系统”)较为封闭且专有化,多以内部网或与公网物理隔离的方式运行,网络通信较为独立且很少使用安全机制。在工业互联网发展的趋势下,为实现系统间的协同和信息的共享,提高运行效率,扩大功能应用,现有的工控系统逐渐采用开放式的标准,集成化的网络系统,通用的通信协议及软硬件系统,以提高系统的互操作性能、增强系统的远程控制功能[1]。然而,开放式和集成化的现代工控系统在系统功能得到增强的同时,也面临着严峻的信息安全考验,例如病毒、木马、黑客入侵等网络安全威胁。大规模的工控系统依赖责任单位的安全意识、风险感知能力,以及更为先进的网络安全防护技术与标准[2]。因而,分析工控系统网络通信协议的脆弱性和使用情况,并针对性地研究相应的综合防护措施,对保障石油行业工控系统的安全运行、促进信息化与工业化深度融合具有重要意义。
1 工控系统安全领域威胁态势
据美国工控系统网络应急响应小组(ICS-CERT)统计,可能引起攻击的漏洞中,排名前三的分别是:1)终端拒绝服务类漏洞;2)缓冲区溢出漏洞;3)容易造成信息泄露、远程控制及权限提升类的漏洞。终端拒绝服务类漏洞对于具有连续性生产业务的工控系统有很大影响,在拒绝服务攻击的基础上还衍生出分布式拒绝服务攻击、分布式反射拒绝服务攻击。缓冲区溢出漏洞常源于工控软件厂商在开发阶段缺乏代码编写规范,程序本身没有检查数据长度与所分配的存储空间是否匹配。信息泄露则会导致企业生产工艺、方案图纸、生产计划等敏感信息被窃取[3]。
CVE中文漏洞信息库收录的公开工控系统漏洞以工控系统的控制设备漏洞或工业控制应用软件、网络设备漏洞为主[3]。那么工控通信协议作为工控设备与应用软件、网络设备进行数据交换的规则及标准,在满足大规模分布式控制系统运行需要的同时,也忽视了其安全设计,使得许多工控协议存在可被利用的漏洞。
NTP协议是用于计算机系统之间的一个网络时间同步协议,在工控系统中被广泛使用。2013年圣诞节就曾出现过一系列NTP反射型DDoS攻击案例[4]。其远程缓冲区溢出等漏洞早已广为人知,黑客只需要发送单一的数据包,就可以轻易使NTP服务器停机。RPC协议是一种通过网络从远程计算机发送请求服务的协议,2003年爆发的“冲击波”病毒就是利用IP扫描技术寻找网络上运行Windows 2000/XP的计算机系统,利用DCOM RPC接口堆缓冲区溢出漏洞攻击系统,一旦攻击成功,则会导致系统出现操作异常、重启,甚至崩溃等情况[5]。随着网络技术的发展,工控协议作为工控网络间的通信桥梁,其安全性必然会得到越来越多的关注。关注工控系统间通信规约的安全性问题,并及早建立针对性的防护措施,能够减少工控系统被恶意攻击的基本面。
2 工控系统主流通信协议脆弱性分析及针对性防护措施
2.1 Modbus协议
2.1.1 脆弱性分析
Modbus协议是工控系统使用最广泛、最早的一个协议。随着信息技术的发展,为了生产控制的方便管理,越来越多的控制系统采用TCP/IP协议族,如由Modbus衍生出的Modbus TCP协议等。TCP/IP协议存在许多广为人知的漏洞,如网络流量易被窃听,系统通信数据和网络拓扑易被获取;通过数据分析易引起重放、中间人、泛洪等恶意攻击[6]。
Modbus协议的安全问题主要有:缺乏身份认证机制、缺乏完整性校验机制、缺乏信息加密机制及存在功能码滥用或篡改问题[6]。首先,缺乏身份认证机制难以保证信息的发起者及接收者是真实可信的。目前许多厂商可以在协议设计阶段采取身份认证措施,以确保客户端及服务器双方身份真实可信。其次,缺乏完整性校验机制难以保证信息在传输的过程中不被篡改,一旦被篡改,也没有及时有效的恢复措施。再次,缺乏信息加密机制难以保证重要敏感信息不被轻易窃取。信息泄露会使攻击者对企业网络情况、工艺情况有整体了解,专业技能熟练的黑客可以进行更为严重的攻击。最后,功能码滥用或篡改會导致网络、现场设备、系统功能出现异常。此外,Modbus协议还存在缺乏流量控制、缺乏广播抑制等安全问题,攻击者一旦获得网络访问控制权限,就会向服务器发送虚假信息或任何可能破坏控制系统的命令,来得到有价值的反馈信息,最终侵害整个工业控制系统[7]。
因而,Modbus协议的安全威胁主要来源于设计方和开发方。其中,协议设计者在设计过程缺乏安全性考虑,而使得Modbus存在固有的安全问题;开发者在使用Modbus协议时,仍然缺乏网络安全意识,而使得工控网络中存在衍生的安全威胁,例如缓冲区溢出漏洞、底层通信协议的连带安全漏洞等。
2.1.2针对性防护措施
为了针对性地解决上述Modbus通信协议中的安全威胁,Modbus安全防护需从协议设计阶段、开发阶段、测试与部署阶段分段实施。例如,在协议设计阶段,可融入异常行为预警功能。该功能可对工控系统的每次操作行为子属性进行扫描分析,并综合各子属性的安全等级,最终通过子决策融合实现单次操作行为的综合判定。对于异常行为,可触发报警或实例记录等手段,实现安全威胁预警。
在线下阶段,可利用每次预警的实例记录组建综合的异常操作数据库,对数据库中单次操作进行深度解码分析,输出预警系统的虚警率、漏警率、预警率(正确率)。这些综合指标可反映预警安全防护系统的性能,同时可反向地指导预警安全防护系统检测标准的改进。该协议操作数据库可使得工控系统中发生的安全事件具有可追查性。
2.2 CIP协议
2.2.1 脆弱性分析
CIP协议是由ODVA国际组织及其会员所推出的面向工业自动化应用的通用工业协议[8]。对照国际标准ISO/OSI七层网络协议模型,CIP协议属于应用层协议,它可以与不同的下层协议结合,构成不同的工业网络。EtherNet/IP 、DeviceNet、CompoNet和CotrolNet网络技术均采用CIP作为应用层协议。CIP协议是基于应用对象的控制协议,采用对象模型来进行设备描述。明确的对象模型存在安全隐患,而CIP协议未定义显式或隐式的安全机制。使用通用的工业协议,前提是要对对象进行设备标识,而具有标识的设备为攻击者提供了设备识别与枚举的条件,可能扩大攻击范围面,使攻击者有更大机会操纵更多的工业设备[9]。
2.2.2 针对性防护措施
针对应用层的网络通信协议需要与应用对象进行对接,其对安全防护的需求是多方面的。除CIP设计阶段采用通用的安全防御机制,例如防火墙和入侵防御措施(即及时阻断活跃的DoS攻击侵害)外,还可考虑关闭工控系统上不使用的设备或应用对象上不使用的服务,及时安装应用安全补丁等。在CIP协议中,可采用入口过滤措施对路由器参数进行设置,阻隔一切带有非法源地址的威胁流入工控网络系统;同时,网络出口亦可设置过滤约束。另外,对于明确的设备标识带来的网络威胁,可采用蜜罐策略降低真实对象被攻击的风险。蜜罐策略可混淆和欺骗攻击者将攻击目标投向蜜罐,从而将真实的网络系统保护起来。
2.3 IEC60870-5-104协议
2.3.1 脆弱性分析
IEC60870-5-104协议(以下简称“IEC104”)是在IEC60870-5-101基本远动任务配套标准的基础上制定的,目的是利用网络进行远动信息传输,在电力、石油等行业中被广泛应用[10]。作为国际标准协议,IEC104协议具有实时性强、可靠性高、数据流量大、便于信息量扩充、支持“逢变则报”、支持网络传输、数据带时间标签等优点[11]。
IEC104协议是一个明文传输协议,它以TCP/IP协议作为传输层协议,TCP/IP协议的安全问题自然也就成为IEC104协议的安全问题。TCP/IP协议采用明文进行数据传输,意味着应用程序的数据在网络中是公开的,容易被窃听、伪造及篡改,导致源地址欺骗及源路由欺骗。攻击者可伪造源IP地址,造成面向该IP地址的所有会话服务崩溃,或使得目标主机的返回信息通过一个到达伪源IP地址主机的路由传输,从而获得源主机的合法服务等[12]。
2.3.2 针对性防护措施
基于IEC104协议的数据传输安全性主要取决于数据发送端的加密与数据使用端的身份认证。加密与身份认证技术属于同一套数据传输防护手段,是信息安全领域的防护基础。同时,考虑到远动数据传输的实时性,基于IEC104协议的数据加密与认证算法应兼具鲁棒性、完整性与快速性,并配套相应的密钥管理措施。例如,现有的DES加密算法和HAMC-MD5认证算法被成功应用于IEC104协议的安全防护中。另外,加密与身份认证技术还可针对IEC104协议的报文帧结构进行调整或扩展,采用更为复杂的数据编码算法或增加消息认证字段等。
2.4 0PC协议
2.4.1 脆弱性分析
OPC是工业中常见的通信协议,具有一套标准的接口规范,能够实现与SCADA、HMI等软件高效连接,又将硬件与软件有效分离开,大大提高了控制系统的互操作性和适用性[13]。OPC通信协议采用OLE客户与应用程序传输标准和RPC远程过程调用服务[14]。由于企业工控系统使用年限一般在10-20年,大部分厂商不支持系统补丁修补与升级,所以大量OLE和RPC已公开的漏洞仍未得以修复,底层RPC漏洞攻击可以导致非法执行代码或DDos攻击。此外,OPC基于Windows操作系统架构,主机操作系统的安全问题,诸如薄弱的安全审计、弱口令、弱身份认证机制、操作系统漏洞等,也是OPC协议的脆弱性问题。目前很多石化行业、自来水行业等工控系统主机仍采用Windows 2000/XP操作系统,无法对使用DCOM接口的操作行为进行审计记录,使得DCOM成为无人监管的接口,存在极大的安全隐患14。同时,OPC协议也存在缺乏身份认证机制、缺乏完整性和机密性检测机制等问题。
2.4.2 针对性防护措施
在OPC协议的防护方面主要依赖于通用的防火墙技术。然而,传统的防火墙无法对OPC协议进行解析,这使得OPC服务器需开放大规模的可用端口,从而又反向增加了工控网络的安全威胁。因而,支持OPC协议深度解析的端口防护工业防火墙和指令防护工业防火墙应运而生。端口防护防火墙可跟踪并解析OPC服务器与客户端之间的动态端口,并将深度解析结果不断加入开放端口序列中,从而最大限度地减少了工控网络系统的开放端口数量。指令防护防火墙则将深度解析的功能从动态端口延伸至指令级别,因而进一步提升了工控系统的安全防护等级,并逐渐成为现有OPC协议工控网络系统的主流防护手段。
融合端口防护级和指令防护级的工业防火墙在抵抗工控网络攻击者的同时,减少了防火墙本身带入的潜在二次威胁,同時加入了OPC客户端和服务器之间传输指令的实时检测和规划化监控,使得基于OPC协议的工控网络具有稳健的安全保障。
3 结论与讨论
工控系统通信协议安全是工控系统安全关注重点之一,只有了解各协议存在的安全漏洞,才能及时有效地避免工控系统陷入脆弱境地。本文分析了石油行业常用的工控系统通信协议——Modbus、 CIP、IEC104和OPC的脆弱性,并提出了针对性的防护措施。对比分析得知,主流的通信协议普遍存在缺乏认证机制、缺乏授权机制、缺少完整性和机密性校验等问题。针对这些问题,一是可以在协议的开发应用阶段自定义完整性校验和身份认证等机制。二是针对特性的协议,如OPC协议,可以联合厂商定制化系统的补丁修补与升级,做好Windows系统最基本的安全防护;再如IEC104协议,可以在数据发送端部署加密设备,在数据使用端增加身份认证机制等。三是当系统广泛运用各种协议时,可以利用纵深防御机制,采用如工业防火墙、入侵检测技术等外围技术弥补协议设计之初存留的问题,起到相互补充的安全防护目的。综合研究工控系统主流通信协议的脆弱性,采取共性与个性相结合的防护措施,将有效保障石油等行业工控系统的安全运行,推进信息化与工业化深度融合。
参考文献
[1]范文斌,工业控制协议安全防护分析[J].电子科学技术,2015,2(3): 334-337
[2]王小山,杨安,石志强,等.工业控制系统信息安全新趋势[J].信息网络安全,2015(1): 6-11
[3]北京匡恩网络科技有限责任公司.2016年工业控制网络安全态势报告[R/OL]
[4]漏洞預警:Google安全研究人员发现NTP(网络时间协议)最新漏洞[OL]. http:///2003/12/04/70/article21645 7070.shtml
[6]张仁斌,李思娴,刘飞,等基于Modbus功能码细粒度过滤算法的研究[J]计算机应用研究,2018(1).
[7]张盛山,尚文利,万明,等.基于区域边界规则的Modbus TCP通讯安全防御模型[J]计算机工程与设计,2014,35(11): 3701-3707
[8]李武杰,郑晟,陈文辉Ethemet/IP,工业以太网的研究及应用[J]电子设计工程,2011,19(9): 26-29
[9]刘健,赵芳.CIP Networks 前景可靠的工业网络架构[J]电器与能效管理技术,2007(11): 32-34
[10]黄河,张伟,祁国成,等油气管道SCADA系统数据传输的安全风险及其解决方案[J]天然气工业,2013,33 (11): 115-120
[11]陈国华远动IEC60870-5-104网络通信协议及其安全防护技术[J]电工技术,2004(6): 7-8
[12]刘园园,贾荣兴,金勇,等基于网络安全机制的IEC104的协议包设计与实践[J]电工技术,2015(1): 112-114
[13]冯涛,鲁晔,方君丽工业以太网协议脆弱性与安全防护技术综述[J].通信学报,2017(S2): 185-196
[14]网络信息安全发展动态分析[OL]. http:///p-32278619.html