滲透測試技術在數字化堆場改造過程中的應用研究

閆懷超

(上海工業自動化儀表研究院有限公司，上海 200233)

0 引言

近年來，滲透測試已經成為炙手可熱的話題，被越來越多的人所熟知。滲透測試是為了證明網絡防御按照預期計劃正常運行而提供的一種機制[1]。其目的是發現和挖掘系統中存在的漏洞，然后輸出滲透測試報告，并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題[2]。南通電廠通過對傳統斗輪堆取料機(以下簡稱斗輪機)的通信方式進行改造，解決了斗輪機在運行中經常發生的因控制電纜線損壞引起通信故障和信號傳輸不穩定甚至中斷的問題，大大提高了斗輪機通信系統的穩定性[3]。但是通信方式的改變也給通信網絡帶來了安全風險，暴露出的安全問題大大增加了電廠輸煤控制系統網絡被攻擊的威脅。一旦被黑客攻擊，造成的后果也是非常嚴重的。

從2010年伊朗的“震網病毒”(Stuxnet)攻擊，到2018年中國臺灣臺積電的變種“WannaCry”攻擊，均給國家和企業帶來了巨大的損失。我國工業控制系統安全領域問題突出，工控信息安全防護體系建設滯后于工控系統建設。工控安全威脅的防護能力嚴重不足，給國家關鍵基礎設施帶來嚴重的安全隱患。2017年6月，《國家網絡安全法》正式實施，將網絡安全問題上升到法律層面，明確了關鍵基礎設施必須在滿足信息安全等級保護的基礎上進行防護。2019年5月13日，《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2019)(以下簡稱等保2.0)正式發布，明確了 “一個中心三重防御”的思想。一個中心指安全管理中心，三重防御指安全計算環境、安全區域邊界、安全網絡通信。等級保護由1.0 到2.0，是被動防御向主動防御的提升。依照等級保護制度，可以做到整體防御、分區隔離[4]，積極防護、內外兼防，自身防御、主動免疫，縱深防御、技管并重。這對加強中國網絡安全保障工作、提升網絡安全保護能力具有重要意義。

1 項目簡介

南通某發電有限公司擁有2×1 050 MW超超臨界燃汽輪機發電機組，于2013年全部投產。本項目中選用菲尼克斯無線模塊FL WLAN 5100作為通信改造主要設備。斗輪機混合冗余系統網絡架構如圖1所示。

圖1 斗輪機混合冗余系統網絡架構圖

通信系統采用“一主二從”網絡架構。轉運站頂部的通信裝置作為主站，斗輪機上的WLAN 5100模塊作為從站，通過無線接入點(access point,AP)功能實現主從站間的數據交互。為了使系統更可靠地運行，仍會保留原有的電纜，使之形成一個混合冗余系統。在上位機部分，操作員站和工程師站采用Windows 7操作系統，服務器采用Windows Server 2008操作系統[3]。

2 滲透測試與分析

滲透測試是通過模擬黑客攻擊來評估計算機網絡系統安全的一種評估方法[5]。這個過程會盡可能地發現系統的弱點、技術缺陷或漏洞，并在條件允許的情況下利用安全漏洞。

2.1 滲透測試概述

滲透測試流程如圖2所示。滲透測試主要包含信息收集、漏洞分析、滲透攻擊、后滲透攻擊、報告這5個階段。信息收集是滲透測試中非常重要的一個環節，主要關注域名信息、服務器、組件、指紋等方面。漏洞分析是針對信息收集所發現的問題，作進一步的漏洞挖掘，從而確定可以被利用的漏洞，比如弱口令、遠程命令執行SQL注入等。滲透攻擊和后滲透攻擊是滲透測試的最后一階段。根據不同的測試目的有不同的操作方法，針對工控系統，常用的滲透測試方法是分布式拒絕服務(distributed denial of service,DDoS)攻擊和高級持續性威脅(advanced persistent threat,APT)攻擊。

圖2 滲透測試流程圖

2.2 滲透測試環境搭建

根據電廠無線改造的實際情況，搭建一套仿真測試環境，開展本次滲透測試試驗。

以WLAN5100作為主站接收數據，攻擊者計算機模擬從站對主站進行網絡滲透。上位機使用Windows server 2008，與傳統電廠情況相似。系統改造遵循穩定性、可用性的設計原則，所以并未加入任何安全防護設備。服務器IP地址為192.168.1.54。攻擊者IP為192.168.1.53。

試驗仿真環境網絡架構如圖3所示。

圖3 試驗仿真環境網絡架構圖

2.3 滲透測試實施過程

滲透測試實施過程如圖4所示。首先，使用無線破解工具暴力破解了WLAN5100 的無線密碼，連接無線網后確認網絡可達。使用kali-linux系統中的nmap漏洞掃描工具掃描對應存活主機開放的端口，根據開放的端口找到對應的漏洞和漏洞利用載荷(payload)；啟動漏洞載荷利用平臺msfconsole，設置相應的參數；啟動載荷(payload)，獲取被攻擊系統的控制權。最終通過screenshot指令，獲取上位機的截圖，并回傳攻擊者計算機。

圖4 滲透測試過程圖

3 安全問題與防護建議

3.1 滲透測試發現的安全問題

通過滲透測試分析此網絡通信系統，發現存在以下安全問題。

①無線網絡設置過程中使用默認用戶和弱口令密碼。通過密碼暴力破解工具破解無線網絡(SIPAI_DLJ)，破解出無線網絡密碼為sipai,為弱口令密碼。通過查看WLAN5100模塊手冊，模塊登錄的默認密碼為private，嘗試登錄無線模塊成功。無線模塊使用了默認密碼。

②網絡核心與車間網絡的通道缺乏有效的訪問控制，服務器和終端都直接連接核心交換機上，存在比較大的安全風險。

③無線網絡邊界無任何隔離和防護設備。滲透測試人員在連接無線網絡后，可以直接掃描上位機，獲取上值機開放端口并加以利用。該操作全程無任何告警信息和記錄，對日志中異常行為的跟蹤和分析不完善。

④對連接無線網絡設備并無任何限制，對登錄無線模塊的賬戶也沒有作權限分類，缺乏對監控人員的行為審計。

⑤在內部核心系統，沒有網絡入侵監控措施，對內外網非法用戶的入侵行為以及蠕蟲感染活動不能及時檢測和控制

3.2 安全防護建議

最新出臺的等保2.0中增加了工業控制系統安全擴展要求[6]。其中，第八章第5.3.3節中，對無線網絡的使用提出了明確的要求。具體要求如下。

①應對所有參與無線通信的用戶(人員、軟件進程或者設備)提供唯一性標志和鑒別。

②應對所有參與無線通信的用戶(人員、軟件進程或者設備)進行授權，并對執行使用進行限制。

③應對無線通信采取傳輸加密的安全措施，以實現傳輸報文的機密性保護。

④對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的、未經授權的無線設備，并報告未經授權試圖接入或干擾控制系統的行為。

根據等保2.0，對無線網絡設備的的要求，提出以下安全建議。

(1)技術層面。

①主要業務系統應對同一用戶選擇兩種或兩種以上組合的鑒別技術，以進行身份鑒別；同時，增加密碼復雜度的要求[7]。在系統中部署雙因素認證產品。在使用用戶名、密碼的同時，采用物理認證因素。雙因素認證技術可抵御非法訪問，提高認證的可靠性，降低來自內/外部非法訪問者的身份欺詐和來自內部的更隱蔽的網絡侵犯；同時，其也為安全事件的跟蹤審計提供了依據[7]。

②利用網絡設備所提供的功能，通過劃分虛擬局域網(virtual local area network,VLAN)，配合訪問控制列表(access control lists,ACL)進行訪問控制,劃分出多個安全等級不同的區域。合理的安全域劃分，以及對網絡進行初步的安全防護，可以在一定程度上實現內網訪問控制[8]。

③在網絡邊界部署傳統的安全防護設備，如防火墻、入侵檢測系統(intrusion detection system,IDS)、入侵防御系統(intrusion prevention system,IPS)等，加強網絡邊界防護，將安全風險阻擋在網絡接入的邊緣，能最大限度地保護計算域中核心業務系統的安全[9]。

④在網絡中部署安全監控和審計設備，并能通過適當的方式，及時向信息安全管理員發出安全事件的告警。在保證業務連續性不受影響的前提下，選用帶有自動響應機制的安全技術或設備，如IDS與防火墻聯動、IPS、有過濾功能的內容審計系統，自動終止信息系統中發生的安全事件并保存相關記錄。

(2)安全管理層面。

從技術層面、產品層面和方案層面，考慮內網安全問題。其都涉及到管理的問題。管理內容包括人員安全意識、設備管理、配置管理、審計管理、數據監控與流量管理、安全策略管理等。這樣才能實現網絡設備與安全功能模塊或設備進行密切的配合，達到內網安全設備、方案的有效性，從而及時阻斷未知網絡攻擊/網絡濫用行為。

4 結論

滲透測試技術作為網絡安全防范的一種新技術，對于網絡安全組織具有實際應用價值[10]。其在傳統信息安全領域的安全性分析，是許多企業開展安全防護工作的重要依據之一。但在工控安全行業，滲透測試技術的應用還不是很廣泛。考慮到傳統工業控制系統設備老舊、網絡容量有限等實際情況，直接使用滲透測試的方法來檢測系統的安全性是不切實際的。一般都是在停機系統檢修或者系統維護的空檔期進行滲透測試，從而盡可能降低滲透測試本身對工業控制系統的影響。本次滲透測試發現的弱口令、網絡邊界無防護、使用默認密碼等問題符合現階段大多數工控系統的實際情況，具有相對的普遍性。因此，在信息安全方面的工作仍然任重而道遠。