工業(yè)控制系統(tǒng)現(xiàn)場可編程機制隱患分析

工業(yè)控制系統(tǒng)現(xiàn)場可編程機制的隱患分析-電氣論文工業(yè)控制系統(tǒng)現(xiàn)場可編程機制的隱患分析劉偉，梁光明，鮑金鵬（國防科學技術大學電子科學與工程學院，湖南長沙410073）摘要：深入研究了當前工業(yè)控制系統(tǒng)PLC現(xiàn)場可編程的原理，從數(shù)據(jù)的保密性、完整性和身份可認證性三個方面分別建立安全性模型，分析出現(xiàn)場可編程的安全機制在以上三個方面缺乏必要的安全防護。搭建實驗平臺，通過模擬實驗驗證了存在的安全隱患。關鍵詞：工業(yè)控制系統(tǒng)；現(xiàn)場可編程；安全隱患；工業(yè)以太網(wǎng)中圖分類號：TN710?34文獻標識碼：A文章編號：1004?373X（2015）17?0153?050引言隨著工業(yè)化和信息化的融合不斷深入信息技術開始更加廣泛地運用到工業(yè)控制領域。當前，信息化工業(yè)控制系統(tǒng)已經(jīng)廣泛使用于能源、電力、化工等工業(yè)領域，工業(yè)控制系統(tǒng)已然成為國家安全戰(zhàn)略的重要組成部分。為了方便工業(yè)控制系統(tǒng)中各個部件的協(xié)同和信息共享，工業(yè)控制系統(tǒng)正逐漸打破原有的封閉性，向開放化的方向發(fā)展，采用標準、通用的通信協(xié)議和軟硬件系統(tǒng)，將導致工控系統(tǒng)面臨病毒、黑客入侵等安全威脅。2010年，伊朗布什爾核電站遭到“震網(wǎng)”（Stuxnet）蠕蟲病毒攻擊［1］，“震網(wǎng)”病毒以伊朗核電站使用的數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)作為攻擊目標，利用Windows和工業(yè)控制系統(tǒng)PLC的動態(tài)鏈接庫（DLL）缺陷進行傳播和攻擊，致使伊朗核電計劃被延緩。在這次事件后，工控系統(tǒng)安全成為工控領域的熱點問題。如何有效的保護工業(yè)控制系統(tǒng)PLC的安全，防止不法分子和黑客對工業(yè)控制系統(tǒng)PLC實施入侵和破壞，具有重大的經(jīng)濟和戰(zhàn)略意義。相較以往工業(yè)控制系統(tǒng)的安全報告和相關文獻的重點突出在數(shù)據(jù)的實時采集與監(jiān)控安全［2］、外網(wǎng)到內(nèi)網(wǎng)的保護［3］上，本文從工控系統(tǒng)的現(xiàn)場可編程機制出發(fā)，對工控系統(tǒng)潛在的安全隱患和面臨的威脅進行分析，提出了安全隱患分析方法和模型，并對存在的安全威脅進行了總結。1工業(yè)控制系統(tǒng)現(xiàn)場可編程原理工業(yè)控制系統(tǒng)的現(xiàn)場可編程，就是在工業(yè)控制系統(tǒng)的運行現(xiàn)場，編程上位機通過現(xiàn)場總線或以太網(wǎng)對工業(yè)控制器進行編程控制(包括用戶程序下載、工程信息修改等)，可以即時改變現(xiàn)場設備的運行狀態(tài)?，F(xiàn)場可編程技術在工控系統(tǒng)的廣泛使用使得工業(yè)生產(chǎn)中工控系統(tǒng)對現(xiàn)場設備的實時控制達到了一個全新的階段。1.1工業(yè)控制系統(tǒng)的基本構成工業(yè)控制系統(tǒng)主要由以下幾個部分組成：SCADA(SupervisoryControlAndDataAcquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)控系統(tǒng)，分布式過程控制系統(tǒng)DCS(DistributedControlSystem)，可編程邏輯控制器PLC(ProgrammableLogicController)，人機界面HMI(HumanMachineInter?face)等。其中的工業(yè)控制器即PLC是整個工業(yè)控制系統(tǒng)的核心部件，直接控制外部設備和工業(yè)生產(chǎn)。PLC直接受到編程上位機和監(jiān)控站的控制，圖1為工業(yè)控制系統(tǒng)簡化結構圖。PLC的現(xiàn)場編程包括以下幾個步驟：首先在編程上位機編寫STL/LAD高級程序，由編程軟件編譯成可執(zhí)行代碼；再將可執(zhí)行二進制代碼組合到網(wǎng)絡數(shù)據(jù)包中，通過以太網(wǎng)接口下載到控制器PLC中，PLC的以太網(wǎng)接口接收到數(shù)據(jù)包后，分析并執(zhí)行這些代碼，這樣就實現(xiàn)了遠程上位主機對PLC的現(xiàn)場編程。隨著網(wǎng)絡技術的發(fā)展，PLC的現(xiàn)場編程不僅包括傳統(tǒng)的用戶程序代碼編程，更是延伸到了更底層的固件代碼，例如可以通過以太網(wǎng)接口實現(xiàn)固件版本更新等高級操作。工業(yè)控制系統(tǒng)現(xiàn)場編程的數(shù)據(jù)采用現(xiàn)場總線傳輸其中使用最廣泛的是工業(yè)以太網(wǎng)連接，圖3是工業(yè)以太網(wǎng)的層次模型［4］。如圖3所示，工業(yè)以太網(wǎng)協(xié)議基本上是直接在TCP/IP層以上附加使用層協(xié)議實現(xiàn)的，通過直接把使用層報文嵌入到TCP報文中，組成工業(yè)以太網(wǎng)數(shù)據(jù)幀。所以工業(yè)以太網(wǎng)協(xié)議的低層次數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡層采用的是標準協(xié)議，使用層則一般采用內(nèi)部非公開協(xié)議。工控系統(tǒng)的安全策略大多都在使用層中實現(xiàn)，具有一定的研究意義。TOC\o"1-5"\h\z/ 上也機/他W. // 國喊一一郎 // 西介形■網(wǎng)笫包 7*/ —支網(wǎng)一一下我 // 解所——一行代— 7圖2PLC現(xiàn)場絡程工控系統(tǒng)使用層協(xié)議主要具有以下幾個特點：保密性：傳統(tǒng)IT網(wǎng)絡的使用層協(xié)議都已經(jīng)對外公開，具有統(tǒng)一的標準，所以按照協(xié)議格式，可以輕松分析得到包頭和各數(shù)據(jù)段表示的信息。而工業(yè)控制系統(tǒng)的使用層協(xié)議則沒有統(tǒng)一的標準，工業(yè)控制領域的系統(tǒng)開發(fā)公司針對自己的產(chǎn)品都指定了具有各自特點的使用層協(xié)議，且不對外公開。實時性：工業(yè)控制系統(tǒng)設計過程中最重要的指標就是實時性，從而要求工業(yè)控制系統(tǒng)的使用層協(xié)議也必須滿足實時性的要求。然而正是由于必須滿足實時性的要求，使用層協(xié)議在設計過程中主要的系統(tǒng)資源消耗在實時控制方面，導致無法消耗更多資源在系統(tǒng)安全的保護上?？蓚蓽y性：工業(yè)控制系統(tǒng)采用的網(wǎng)絡結構與傳統(tǒng)IT網(wǎng)絡類似，具有分層結構。如果能侵入工業(yè)控制內(nèi)網(wǎng)，則可以利用傳統(tǒng)IT網(wǎng)絡的嗅探、偵測技術對工業(yè)以太網(wǎng)的數(shù)據(jù)進行截獲、竊取等操作，甚至對關鍵數(shù)據(jù)進行篡改。2現(xiàn)場可編程安全隱患分析模型設計工業(yè)控制系統(tǒng)在設計過程中注重系統(tǒng)的可用性和實時性，而對系統(tǒng)信息的安全沒有做出應有的防護。尤其在現(xiàn)場可編程機制中，編程上位機通過工業(yè)以太網(wǎng)與PLC連接實現(xiàn)數(shù)據(jù)傳輸，上位機將PLC使用程序下載到PLC，實際上是將PLC直接連接到了上位機和監(jiān)控站所在的內(nèi)部網(wǎng)里。僅僅通過在工業(yè)以太網(wǎng)上設置工業(yè)防火墻，防止內(nèi)部網(wǎng)絡的非法訪問，不能保證內(nèi)部數(shù)據(jù)的安全。因此，現(xiàn)場可編程機制存在嚴重的安全隱患。下面從保密性、完整性、可認證性三個方面對工控系統(tǒng)現(xiàn)場可編程機制的安全性進行分析建模［5?6］?，F(xiàn)場編程數(shù)據(jù)的保密性模型保密性是指網(wǎng)絡信息不被泄露給非授權的用戶或實體，信息只為授權用戶使用的特性。數(shù)據(jù)信息的保密性主要分為兩個方面：信息的防偵收和信息加密。根據(jù)信息數(shù)據(jù)的傳輸和處理，建立基于信息流的現(xiàn)場編程數(shù)據(jù)保密性安全模型，如圖4所示。應用咫 酸川一TCP上 .把F骨樹應用廢為超|止戰(zhàn) 打哨部-rc：F背部圖氏必取邦!效據(jù)性癌鼠 MRC首部 并酉廊TCP件郵厘用區(qū)蚊據(jù)圖3工業(yè)以太網(wǎng)分層模型在工控系統(tǒng)的現(xiàn)場可編程機制中，數(shù)據(jù)的保密性主要表現(xiàn)在對PLC用戶程序指令的可執(zhí)行代碼的加密和解密、PLC的數(shù)據(jù)經(jīng)過工業(yè)以太網(wǎng)時的防護（主要通過工業(yè)防火墻）等安全措施。如圖4所示，上排橫向過程表示用戶程序數(shù)據(jù)A經(jīng)過加密變換E后，組包進入工業(yè)以太網(wǎng)傳輸；接收端經(jīng)過解包，得到加密通信數(shù)據(jù)，再經(jīng)過解密變換D還原出原始數(shù)據(jù)上其中工業(yè)以太網(wǎng)設有工業(yè)防火墻，防止非授權訪問。若是黑客突破了工業(yè)防火墻，竊取了工業(yè)以太網(wǎng)中的通信數(shù)據(jù)，即使破譯了使用層的不公開協(xié)議由于不能獲取數(shù)據(jù)的加密方式和密鑰，只能分析得到加密數(shù)據(jù)，而不能恢復出原始數(shù)據(jù)A。然而，課題組對工控系統(tǒng)的現(xiàn)場編程過程的研究結果卻令人大吃一驚，工業(yè)以太網(wǎng)的二進制通信數(shù)據(jù)竟然毫無加密處理，而是以明文的形式傳輸。這就給黑客和不法分子侵入工控系統(tǒng)、竊取核心機密可乘之機。由于工控系統(tǒng)缺乏對數(shù)據(jù)的加密處理，黑客通過網(wǎng)絡手段獲取通信數(shù)據(jù)，就能直接得到現(xiàn)場編程的重要指令，造成極大的安全威脅。現(xiàn)場編程數(shù)據(jù)的完整性完整性是指在傳輸、存儲信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權的篡改或在篡改后能夠被及時發(fā)現(xiàn)。圖5為工控系統(tǒng)現(xiàn)場編程數(shù)據(jù)完整性驗證模型圖。田4熱場蛇程球宓姓模型如圖5所示，通信數(shù)據(jù)A在發(fā)送之前，使用雜湊函數(shù)f()計算出信息摘要f(A)附在數(shù)據(jù)A后，通過工業(yè)以太網(wǎng)傳輸?shù)絇LC，PLC使用函數(shù)f()對接收到的數(shù)據(jù)部分B再次計算，比較f(A),f(B)，以此驗證數(shù)據(jù)A的完整性。假設通信數(shù)據(jù)被黑客截獲且關鍵數(shù)據(jù)被篡改，如圖中虛線表示，信息數(shù)據(jù)部分被篡改為B，而摘要部分f(A)保持不變，通信數(shù)據(jù)到達接收端后，對信息數(shù)據(jù)部分B再次計算f(B)，并與原摘要f(A)作比較，以此檢驗數(shù)據(jù)完整性是否被破壞。工控系統(tǒng)的現(xiàn)場可編程機制，為了更簡單、快捷、實效地傳輸程序指令，需要盡量減少通信數(shù)據(jù)的冗余，提高傳輸效率。因此，目前主流工控系統(tǒng)的現(xiàn)場可編程機制沒有設置對數(shù)據(jù)的完整性驗證，忽略了系統(tǒng)的安全性，也就可能導致通信數(shù)據(jù)程序指令存在被惡意篡改的危險。上位機身份的可認證性可認證性是指對操作客體對操作主體的認證。在工控系統(tǒng)的現(xiàn)場可編程機制中，編程上位機擁有對下位PLC的直接操作權限。為了保證系統(tǒng)的安全，PLC需要對編程上位機的身份信息進行認證［7］，上位機身份認證模型如圖6所示。圖5現(xiàn)場掉程盤據(jù)完整姓段型圖工控系統(tǒng)的現(xiàn)場編程過程，首先需要編程上位機與PLC建立以太網(wǎng)通信連接（一般采用TCP3次握手），然后通過工業(yè)以太網(wǎng)發(fā)送消息相互驗證身份信息。如圖6所示，倘若黑客使用工業(yè)以太網(wǎng)上另一臺非上位主機與PLC建立偽上位機連接，PLC接收端會對上位機的身份進行驗證，確認該上位主機是否有對PLC操作的權限，確認身份后，才接收目標主機傳來的信息數(shù)據(jù)，這樣就能保證現(xiàn)場可編程數(shù)據(jù)的安全。通過對現(xiàn)有工控系統(tǒng)上位機與PLC通信機制的研究發(fā)現(xiàn)，為了節(jié)省系統(tǒng)資源，降低通信數(shù)據(jù)冗余，現(xiàn)階段普遍使用的PLC尚未設置對上位機的身份驗證環(huán)節(jié)，故不能對系統(tǒng)安全實施有效保護。因此，在上位機的身份認證方面，PLC依舊保持較弱的安全性，存在安全隱患。綜上所述，可以總結出工控系統(tǒng)現(xiàn)場可編程安全機制主要分為三個方面：現(xiàn)場編程保密性、現(xiàn)場編程完整性和可認證性，每個方面都存在一定的安全隱患，主要有以下幾點：（1）工業(yè)以太網(wǎng)中引入了交換機，似乎提高了安全性，但交換機本身就存在大量安全漏洞，例如，更改交換機配置，ARP欺騙攻擊，監(jiān)視端口被利用都可能導致交換機被黑客攻破，從而獲得直接侵入PLC的機會［8］。（2）以太網(wǎng)的通用標準早已被人們所熟知，工業(yè)以太網(wǎng)使用層以下的協(xié)議都是通用協(xié)議，可以直接分析，所以，不法攻擊者只需掌握或破譯使用層協(xié)議格式，就能輕易構造合法的數(shù)據(jù)包，模仿編程上位機對PLC進行實時操作。（3）工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸大多采用明文，未使用任何加密手段，這又給黑客實施攻擊提供了方便，黑客一旦破譯了使用層協(xié)議格式，就可能得到PLC中運行的使用程序，這是相當危險的。（4）PLC對編程上位機發(fā)送的網(wǎng)絡數(shù)據(jù)包不驗證來源的可靠性，這些數(shù)據(jù)包中包含重要的程序指令，偽造的數(shù)據(jù)包能輕易對PLC運行狀態(tài)進行更改。黑客甚至可能利用內(nèi)網(wǎng)肉機與PLC建立偽上位機可編程連接，對PLC實施惡意操縱［9］。3隱患驗證實驗根據(jù)工控系統(tǒng)現(xiàn)場可編程機制安全性的三個方面進行以下3個小實驗來驗證現(xiàn)場可編程機制存在的安全隱患。搭建一個簡單的實驗平臺，包括實驗編程上位機、監(jiān)視監(jiān)控主機、可編程控制器（PLC）、模擬攻擊主機等，通過交換機相連構成工業(yè)控制局域網(wǎng)系統(tǒng)。假設通過某種手段，黑客侵入了內(nèi)部局域網(wǎng)的一臺主機，利用該主機對系統(tǒng)實施攻擊?，F(xiàn)場可編程信息破譯實驗正常運行實驗平臺，使用編程上位機對PLC進行現(xiàn)場編程（例如發(fā)送刪除DB1數(shù)據(jù)塊的指令），同時抓取工控系統(tǒng)現(xiàn)場編程過程的網(wǎng)絡通信數(shù)據(jù)，圖7為利用抓包軟件wireshark獲取的實時通信二進制數(shù)據(jù)包。圖6上性機喙份認證樽型如圖7所示，數(shù)據(jù)包的末尾可以清楚地看到0A00001B._DELE的ASCII碼顯然，實驗平臺使用工控系統(tǒng)的網(wǎng)絡傳輸過程采用的是未加密的明文傳輸，一旦被網(wǎng)絡黑客獲取網(wǎng)絡數(shù)據(jù)，就能輕易破譯現(xiàn)場編程的重要指令，存在嚴重的安全隱患。通信數(shù)據(jù)篡改實驗工控系統(tǒng)正常運行現(xiàn)場編程傳送給PLC一個包含2s時間周期的DB塊。利用網(wǎng)卡混雜模式獲取網(wǎng)絡數(shù)據(jù)包，找到表示2s時間數(shù)據(jù)的二進制代碼，修改為1s，然后按照原DB模塊下載的通信時序重新下載，觀測實際通信周期。從二進制通信數(shù)據(jù)中提取核心信息、，對其進行篡改并按照相同的時序重新發(fā)送至PLC，觀測工控系統(tǒng)的相關指標。將表示時間的二進制數(shù)據(jù)0x02改為0x01，并按照相同的時序重新發(fā)送至PLC，觀測工控系統(tǒng)的實時壓力數(shù)值，如圖8所示，顯然對通信數(shù)據(jù)的篡改已經(jīng)生效，數(shù)據(jù)周期由2s變?yōu)?s。Q302C467M6E396BafTOc0hdeTi:95D通—.泰死9-p.一.巴3劾fi150uM如哈口。db0210BO3202do . .2..CW皎CflL7W00la00CO3E00WQO000000fl00『一”…，工 琬5。30183033303D駝虱始C55fM45ic...OAdtridlS.?C￡LMSJ43 E圖7刪除DBI數(shù)據(jù)塊指令的數(shù)星包偽上位機惡意控制實驗截獲上位機和PLC通信的網(wǎng)絡數(shù)據(jù)包之后，使用另一臺內(nèi)網(wǎng)實驗主機，利用socket向PLC發(fā)送相同的數(shù)據(jù)內(nèi)容，如圖9所示。附附5?n01?附附5?n01?M歸支MII制01%DC-ra3DCi07jC? MMCDEDilW00口甘的M[U黑川(M間K爐帆舊UI底1舊EIEMH(H51加口：典度網(wǎng)＞國CO0：MW