從工控協議入手，保障工控系統安全 —— 某典型工控協議脆弱性分析

　　工控系統協議對于公用設施運行很關鍵，伴隨因特網發展，但是大多數與其隔離，只是通過專用串口在封閉網絡和可信軟件間執行。然而，為了滿足更智能能源系統的要求，租用線路被TCP或者無線鏈接取代，同時，工控系統流量與其他種類的數據包混合，遺留的工控系統協議設計成為問題。

工控系統協議設計從未考慮公開接入互聯網，缺少重要的安全特性，比如，基本的認證和加密。盡管如此，經常發現不安全地掛在互聯網上。Mirian等人擴展ZMap和Censys，全面IPv4掃描幾種工控協議，包括DNP3、Modbus、BACnet、Tridium Fox和Siemens S7，總計發現約46K個工控系統主機可被公開訪問和易受攻擊。

以IEC101協議為例，首先分析其脆弱性。SCADA環境中可能受通信信道攻擊的區域有：MTU（主終端單元）和RTU間通信，使用101和104協議數據傳輸；MTU和HMI間通信。IEC101一個比特校驗和，104缺失校驗和，完全依賴底層保證數據完整性。缺少保障應用層和數據鏈路層安全的內置安全機制。數據傳輸層通信脆弱性有：有限帶寬導致有限幀長度的數據可被傳輸，不可靠的通信媒介；可能的攻擊：欺騙，不可抵賴。校驗和脆弱性會導致校驗和大小不夠以及單獨校驗和數據完整性不可靠。存在校驗和溢出的可能性，聰明的攻擊者可以通過改變數據值和響應校驗和值來愚弄操作人員。

其次，分析其安全機制及問題。IEC62351提供應用層的安全機制。應答挑戰機制是，因為RTU和MTU采用第三方軟件，不對外公開，所以使用單板機作為額外的一層，將信息包裹后再傳輸。新增處理時間要小于100ms，身份認證的積極模式不如應答挑戰模式安全，但在時間先決的場景下很重要。加密技術可以消除數據修改攻擊、重放攻擊和嗅探攻擊，時間戳技術可以消除重放攻擊。任何協議有一個內在的結構復雜性和攻擊面的設計折衷，所以不偏向加密。

基于越來越多的系統互連和相互依賴，例如，通信、配電和運輸基礎設施，讓政府機構和工業行業認識到保護關鍵基礎設施的潛在風險和緩解措施越來越重要。從工控協議入手，發現和分析脆弱性及安全漏洞，盡早采取防護措施，以保障工控系統的安全可靠運行。