工業互聯網網絡安全滲透測試技術研究

◆陳坤華

（國家計算機網絡與信息安全管理中心福建分中心 福建 350025）

隨著“互聯網+”行動計劃和“中國制造2025”戰略的實施，我國進入工業智能化建設的高峰期，工業互聯網的發展需求不斷增強，我國關鍵信息基礎設施發展很快的同時，網絡安全保障能力相對滯后。隨著針對工控領域的攻擊不斷增加，工控安全事件頻發，工業安全所面臨的威脅和挑戰越趨嚴峻。實現對工業互聯網安全風險評估和滲透測試的技術手段研究是必要的，同時也是難點。如何幫助工業企業發現互聯網系統的安全問題，成為保障工業控制系統安全運行的關鍵一環。因此本文對工業互聯網滲透測試技術平臺的研究具有一定意義。

1 工業互聯網安全現狀分析

工業互聯網是滿足工業智能化發展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信息通信技術與先進制造業深度融合所形成的新興業態和應用模式[1]。工業互聯網的重要性使它成為網絡攻擊的首要目標，針對工業互聯網的攻擊事件頻發。2010-2012 年，針對伊朗核設施的震網病毒攻擊事件；2015 年，波蘭航空公司的地面操作系統遭遇黑客攻擊；2015-2016 年，烏克蘭連續發生黑客攻擊導致的大面積斷電事件等。相比其他國家，我國工業網絡安全領域的薄弱環節較多，事態較為嚴峻。2017 年，全球爆發的“永恒之藍”勒索病毒事件，我國工業企業被攻擊事件占國內總數的17.3%，對工業運行造成嚴重影響。目前工業互聯網主要存在的安全問題有以下幾點：

（1）核心技術受制于人。目前我國工業產業規模較大，但在核心芯片、工控系統及工控軟件等核心技術仍受制于國外公司，工業市場擁有自主核心技術和產品較少，需加強核心技術自主可控，否則工業互聯網的安全與發展將受制于人[2-3]。

（2）網絡安全不夠重視。目前國內工業互聯網企業普遍缺乏安全意識，工業企業往往重視發展而忽略安全，重視設備功能性而忽略整體安全性等，導致工控系統安全隱患越來越突出，這也是目前大部分企業存在的通病。

（3）安全防護能力較弱。目前國內工業企業在網絡安全防護能力上普遍缺乏，傳統工業在沒有與互聯網連接時，其安全隱患相對不那么顯現，一旦工業+互聯網，當工業系統暴露在互聯網，如果缺乏安全防護手段，那系統將處于“裸奔”狀態，這就給工業企業自身安全防護能力提出更高要求。

（4）新興技術帶來的隱患。隨著云計算、人工智能、大數據等新興技術在工業領域的應用和發展，給工業企業特別是工業互聯網帶來更多更復雜的安全問題，工業互聯網安全面臨著嚴峻挑戰[2-3]。

2018 年，CNCERT（國家互聯網應急中心）抽樣監測發現，我國境內聯網工業設備、系統、平臺等遭受惡意嗅探、網絡攻擊的次數顯著增加[4]。2017 年，CNCERT 監測發現超過245 萬起（較2016 年增長了178.4%）境外針對我國聯網工控系統和設備的惡意嗅探事件。2017 年，在CNVD（國家信息安全漏洞共享平臺）中新增收錄工控系統安全漏洞376 個，較2016 增長了118.6%[5]。工業漏洞收錄時間分布如圖1 所示：

圖1 工業漏洞收錄時間分布（數據來源：CNVD）

2 工業互聯網安全滲透測試技術分析

滲透測試是通過模擬惡意黑客的攻擊手段和方法，來評估網絡系統安全性的一種方法。不同于漏洞評估偏重于檢查系統和服務是否存在安全問題，滲透測試主要通過執行漏洞利用來驗證系統確實存在漏洞。基于滲透測試的特點，工業互聯網安全滲透測試技術架構如圖2 所示：

圖2 工業互聯網安全滲透測試技術架構

（1）以工業控制滲透測試的實際需求為基礎，以PTES、NIST SP800-115、OSSTMM、OWASP Test guide 等滲透測試、安全測試流程指南為參考，對工業控制系統滲透測試進行分析，并提取出關鍵的流程、步驟、技術。同時，對重點的安全工具的核心功能、操作流程、使用方式、調用接口、輸出結果及報表進行系統的分析，有重點地提取出關鍵性的功能點和接口。在上述分析、調研的基礎上，開發、設計工業控制系統滲透測試專用系統的架構。

（2）集成漏洞挖掘模塊，在工業控制系統安全測試及漏洞挖掘系統基礎上，集成其模糊測試框架，提供傳統IT 及工業協議的模糊測試功能，提供工控協議模糊測試功能，提供針對主流廠商軟硬件產品、工業以太網設備及應用的漏洞挖掘功能。最終積累形成工控系統0-day 漏洞POC 知識庫，進而支撐工控設備入網安全檢測、滲透測試等業務。

（3）開發漏洞掃描模塊，集成當前主流的商業或開源漏洞掃描器，實現掃描任務的插件化、腳本化，使本系統具有對工控產品指紋特征和漏洞特征的標準化插件描述的功能。在此基礎上，開發支持利用攻擊特征針對目標進行漏洞掃描的功能，實現針對特定工控目標的全面而準確的漏洞掃描和安全風險評估。

（4）開發漏洞驗證及利用模塊，以Metasploit 為核心工具，兼顧其他主流漏洞利用工具，實現漏洞驗證及利用的插件化、腳本化。研究并重點積累針對關鍵工業控制系統的監控層系統、應用、軟件（如WinCC、FactoryTalk、Citect 等）的安全漏洞驗證和利用能力，并具備針對現場控制層的PLC 等專用工業控制設備的安全漏洞的驗證和利用能力，支持以插件、腳本的形式將高危漏洞集成到本模塊中。

（5）系統利用工具提供的API 接口或者命令行接口，逐個工具封裝工具驅動。驅動接收系統下發的測試任務內容，調用工具相應的API 接口或者命令行接口，實現測試任務，并且獲取工具測試結果返回上層處理。開發統一的任務管理模塊，支持同時開展多個測試任務，根據工具的使用情況、設備的性能狀態統一調度測評工具，滿足業務并發的需求。同時，監控測試任務的開展進度和測試工具的使用狀態，支持對測試任務進行暫停、恢復和中止操作。

（6）支持對各個測試工具生成的分析結果進行自動化解析，按照測試任務組織合并分析報告結果，輸出統一格式的分析報告。支持安全專家對分析報告內容進行審核和修訂，篩選刪除誤報等內容。

工業互聯網安全滲透測試并非簡單、孤立地將各種滲透測試安全工具安裝到一起，而是要實現滲透工具間的深度集成。

3 工業互聯網滲透測試技術平臺研究

工業互聯網安全掃描和滲透測試平臺以對主流工業控制系統進行滲透測試為需求，以對典型滲透工具進行共性分析為基礎，具備目標（資產）識別與剖析、漏洞掃描與挖掘、威脅建模、漏洞利用與滲透攻擊等功能。由于該系統采用高度可擴展和插件化的架構，支持滲透測試工具和插件的可擴展，支持數據的聯動與協同，因此利于工業控制系統滲透測試能力和技術的積累，以及測試效率的提高。工業互聯網滲透測試平臺框架如圖3 所示：

圖3 工業互聯網滲透測試平臺框架

工業互聯網安全漏洞掃描和滲透測評平臺框架以主動探測引擎為基礎，聯動互聯網基礎資源平臺和工控行業知識庫，可建成主被動結合的工業互聯網安全監測平臺，具有安全風險評估、安全風險預警和定位溯源等功能，該框架主要包括采集層、功能層、展示層。

（1）采集層：通過對工業互聯網系統流量采集，利用工業設備識別引擎提取和分析工業互聯網設備的通訊協議和行為，獲取設備指紋和通訊流量特征。

（2）功能層：通過漏洞掃描引擎對工業設備和系統進行安全漏洞掃描，并結合知識庫中的漏洞庫和惡意代碼庫進行設備的漏洞掃描和攻擊檢測，及時發現設備隱藏的各種漏洞。分析生成的設備庫信息通過統一存儲引擎寫入到數據存儲模塊中，形成工控設備資產庫。

（3）展示層：全局安全預警和態勢感知層，基于數據可視化技術，對平臺分析結果數據進行綜合展示，可展示資產分布、漏洞分布、行業分布及設備類型分布等情況，提供數據支撐，服務政府和行業。

4 結語

總而言之，當前工業互聯網的網絡安全面臨著越來越多的挑戰，因此必須高度重視工業互聯網安全威脅和問題，做好安全風險評估和監測預警工作。本文從當前工業互聯網安全現狀及面臨的問題出發，淺析工業互聯網網絡安全滲透測試技術，提出安全漏洞掃描和滲透測試平臺框架，實現對工業互聯網安全風險的快速檢測分析和預警，該平臺框架具有高可擴展性和很強的實用性。