工業以太網安全性問題研究

◆廖 游

（中國電子科技集團第三十研究所 四川 610041）

隨著中國制造 2025計劃的提出[1]，工業互聯網的發展已經上升到了國家戰略的層面上，工業互聯網的安全性問題，也越來越受到業界的重視。

根據國家信息漏洞共享平臺的統計，2017年就發現了超過1000條重大的信息安全漏洞。這其中涉及了絕大多數的工業互聯網控制設備供應商，并且其中的高危漏洞占比更是達到了48.59%。根據權威機構工業安全事件信息庫（RISI）的統計，僅在2017年，就發生了超過200起專門針對基礎工業網絡所發起的攻擊，并且每一次的攻擊均造成了難以估量的經濟損失[2]。

一般來說，絕大多數的攻擊都是利用了現有的工業以太網的漏洞，來進行惡意的攻擊和控制的。由于工業以太網的設計之初是應用在封閉的網絡環境中的，所以其各種控制協議和策略均沒有考慮安全性的問題。但是隨著工業以太網的發展，封閉的網絡環境已經無法支持現在工業以太網的發展，并且互聯網化也是發展的趨勢。所以按照現有的工業以太網協議，攻擊者只需要獲得相應的權限，便可以輕松進行惡意的篡改和監聽[3]。以著名的Stuxnet蠕蟲病毒為例，該病毒便是利用西門子工控機的協議缺乏認證和加密的缺陷，使得攻擊者可以輕松進行監聽和攻擊，這次的惡意攻擊給伊朗的核電站造成了難以估量的損失。

1 工業以太網的安全性問題分析

目前工業互聯網的主要安全問題解決方式，到目前為止仍然是IEC62443標準的安全解決方案[4]。但是這種安全解決方案，是偏向于系統級的。工業以太網所使用的協議是現場總線型協議，與IT系統有著較大的差異，所以在安全性的需求上也不同[5]。工業以太網控制系統的安全性問題主要出現在數據明文傳輸，容易被監聽或篡改等方面。工業以太網控制協議主要有Modbus/Tcp、Ethernet/IP、OPC、DNP3這五種，下面將對其安全性問題進行分析。

（1）Modbus/Tcp協議安全性問題

一個典型的Modbus/Tcp控制系統的結構如圖1所示，多個PLC控制器與設備之間采用串行Modbus協議進行通信。

文獻[6]就指出了Modbus/Tcp控制系統在信息傳輸時，缺乏安全保護措施，容易受到洪泛攻擊、重放攻擊等安全性威脅。文獻[7]總結了Modbus/Tcp協議的主要安全性威脅，主要包括加密、認證、效驗、可編程、溢出、廣播風暴等。

（2）Ethernet/IP協議安全性問題

Ethernet/IP是實時的通信協議，因為該協議缺乏時間戳和加密操作，所以容易受到拒絕服務的攻擊，以及數據篡改和中間人攻擊等[8]。同時由于UDP之上的Ethernet/IP協議是無連接的，其并沒有進行數據的可靠性和完整性校驗，這就會造成重放攻擊和拒絕服務攻擊的開展。總的來說Ethernet/IP協議存在著加密、認證、重放、拒絕服務等安全性漏洞。

圖1 Modbus協議示意圖

（3）OPC協議安全性問題

OPC協議是一種中間協議，實現現場信號和軟件的數據通信。最新的OPC協議規范已經進行了安全性防護的補充，其可以在底層的數據通信中提供加密的需求，并且提供可靠性和完整性校驗。雖然這些措施對整個協議的安全性有一定的提高，但是其仍然存在著認證、DOS、主機等方面的安全性威脅[9]。

（4）DNP3協議安全性問題

DNP3是美國國家通信標準，其存在著DNP3-Sec和DNP3-SAv5兩個加強安全性的變種版本。DNP3-Sec主要是在數據鏈路層進行安全性加強，DNP3-SAv5主要是在應用層進行安全性加強。雖然其在數據的認證、加密、完整性校驗、可靠性等方面有一定程度的提升，但是其仍然存在著拒絕服務、惡意篡改、惡意監聽等安全性威脅[10]。

上述四種協議，在一定程度上都滿足了可用性和可靠性的要求，其對安全性的提升主要側重在完整性上。只有DNP3協議對信息安全的五項基本要求（保密性、完整性、可用性、可控性、不可否認性）都做出了安全性的提升。但是某些研究也表明，DNP3協議仍然存在著安全性的問題[11]。

2 工業以太網的安全性問題解決方案

本文將從外部主動防護技術、內部被動防護技術和協議本身的安全性改進三個方面來進行闡述。

（1）外部主動防護技術

外部主動防護系統部署在系統外部，主要有縱深防御技術、入侵檢測、入侵防御等等。

防火墻、網間隔離、白名單、黑名單、端口過濾等技術都屬于縱深防御技術。其也是目前來說可以有效確保工業控制系統安全的有效方法，其可以將工業控制設備分成多個“區”，如分軍事區、安全隔離區等等，再進行安全策略的設計。目前國內市場上的工業防火墻和網絡隔離設備供應商主要有三零衛士、海天煒業、力控華康等[12]。其產品均可以在工控網絡中建立黑名單、白名單協議關鍵字段過濾等安全防護措施，這可以有效較低工控網絡的安全性威脅。

入侵檢測系統和入侵防御系統也是縱深防御技術重要的實現方式。其主要采用模式匹配的方法，對數據進行辨析。入侵檢測系統是并聯旁路在系統中，它可以對系統中的所有數據流量進行監測，并發現惡意數據。入侵防御系統是串聯在系統中，系統中的所有數據需要通過入侵防御系統才可以進行接收，其可以有效過濾惡意報文等[13]。

（2）內部被動防護技術

內部被動防護技術主要包括深度分組檢測和安全評估兩種方式。

深度分組檢測主要是流量統計和協議報文分析，其可以發現異常流量和異常數據，以便在問題出現之前將安全漏洞扼殺在搖籃中。

安全評估系統也是工業控制網絡安全性解決方案中重要的組成部分，其通過對系統協議的分析，來對系統的整個安全性和可疑的攻擊進行評估。安全性評估包含多種方法，主要有基于協議模型的方法、基于異常行為處理的方法、基于聚類分析的方法、基于中間件檢測的方法[14]。

（3）協議的安全性改進

就目前技術來說，協議安全性改進主要是通過加密和其他的安全協議承載傳輸數據這兩種方式來實現的。再細分又可以分為從端到端加密、鏈路加密、節點加密三種方式來實現[15]，如圖2所示。

圖2 協議安全改進

3 總結

隨著工業大數據、中國制造2025的推進，工業控制系統的安全性問題顯得越來越重要，尤其是關乎國家安全的領域，如電網、核能等等。本文以協議為基礎，總結并闡述了現今的工業控制網絡中存在的安全性問題；并且從外部主動防護、內部被動防護、協議改進這三種方式來論述工業控制網絡安全性提升的方法。