從工控協(xié)議入手，保障工控系統(tǒng)安全 —— 某典型工控協(xié)議脆弱性分析

　　工控系統(tǒng)協(xié)議對于公用設(shè)施運行很關(guān)鍵，伴隨因特網(wǎng)發(fā)展，但是大多數(shù)與其隔離，只是通過專用串口在封閉網(wǎng)絡(luò)和可信軟件間執(zhí)行。然而，為了滿足更智能能源系統(tǒng)的要求，租用線路被TCP或者無線鏈接取代，同時，工控系統(tǒng)流量與其他種類的數(shù)據(jù)包混合，遺留的工控系統(tǒng)協(xié)議設(shè)計成為問題。

工控系統(tǒng)協(xié)議設(shè)計從未考慮公開接入互聯(lián)網(wǎng)，缺少重要的安全特性，比如，基本的認(rèn)證和加密。盡管如此，經(jīng)常發(fā)現(xiàn)不安全地掛在互聯(lián)網(wǎng)上。Mirian等人擴展ZMap和Censys，全面IPv4掃描幾種工控協(xié)議，包括DNP3、Modbus、BACnet、Tridium Fox和Siemens S7，總計發(fā)現(xiàn)約46K個工控系統(tǒng)主機可被公開訪問和易受攻擊。

以IEC101協(xié)議為例，首先分析其脆弱性。SCADA環(huán)境中可能受通信信道攻擊的區(qū)域有：MTU（主終端單元）和RTU間通信，使用101和104協(xié)議數(shù)據(jù)傳輸；MTU和HMI間通信。IEC101一個比特校驗和，104缺失校驗和，完全依賴底層保證數(shù)據(jù)完整性。缺少保障應(yīng)用層和數(shù)據(jù)鏈路層安全的內(nèi)置安全機制。數(shù)據(jù)傳輸層通信脆弱性有：有限帶寬導(dǎo)致有限幀長度的數(shù)據(jù)可被傳輸，不可靠的通信媒介；可能的攻擊：欺騙，不可抵賴。校驗和脆弱性會導(dǎo)致校驗和大小不夠以及單獨校驗和數(shù)據(jù)完整性不可靠。存在校驗和溢出的可能性，聰明的攻擊者可以通過改變數(shù)據(jù)值和響應(yīng)校驗和值來愚弄操作人員。

其次，分析其安全機制及問題。IEC62351提供應(yīng)用層的安全機制。應(yīng)答挑戰(zhàn)機制是，因為RTU和MTU采用第三方軟件，不對外公開，所以使用單板機作為額外的一層，將信息包裹后再傳輸。新增處理時間要小于100ms，身份認(rèn)證的積極模式不如應(yīng)答挑戰(zhàn)模式安全，但在時間先決的場景下很重要。加密技術(shù)可以消除數(shù)據(jù)修改攻擊、重放攻擊和嗅探攻擊，時間戳技術(shù)可以消除重放攻擊。任何協(xié)議有一個內(nèi)在的結(jié)構(gòu)復(fù)雜性和攻擊面的設(shè)計折衷，所以不偏向加密。

基于越來越多的系統(tǒng)互連和相互依賴，例如，通信、配電和運輸基礎(chǔ)設(shè)施，讓政府機構(gòu)和工業(yè)行業(yè)認(rèn)識到保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的潛在風(fēng)險和緩解措施越來越重要。從工控協(xié)議入手，發(fā)現(xiàn)和分析脆弱性及安全漏洞，盡早采取防護(hù)措施，以保障工控系統(tǒng)的安全可靠運行。