摘要工業控制系統是國家基礎設施的重要組成部分,廣泛應用于能源、制造、交通、軍工等行業,是關乎國計民生的重要資源.工控協議是控制系統實現實時數據交換、數據采集、參數配置、狀態監控、異常診斷、命令發布和執行等眾多功能有機聯動的重要紐帶,其安全問題與工控系統的可靠穩定運行密切相關.深度剖析工控協議安全是理解工控系統安全威脅的一個重要角度,能夠對工業控制系統的安全防護和保障提供指導.作者通過整理學術界與工業界對工控協議安全的研究工作,例如研究論、標準指南、攻擊事件等,系統化地分析和總結了工控協議所面臨的安全問題.首先對工控網絡架構、工控協議作用、協議的分類以及和傳統協議的比較等進行詳細闡述,然后從協議設計、實現和應用的角度深入分析了工控協議面臨的攻擊威脅和協議防護方案,最后討論了未來工控協議安全研究趨勢.

　　關鍵詞工控協議安全;工業控制系統;協議設計和實現安全;協議攻擊威脅;協議安全方案

　　根據美國國家標準技術研究院(NIST)給出的定義[1],工業控制系統(industrialcontrolsystem,ICS)是一個涵蓋了多種類型的控制系統通用術語,包括監控和數據采集(supervisorycontrolanddataacquisition,SCADA)系統、集散控制系統(distributedcontrolsystems,DCS),以及其他控制系統,如可編程邏輯控制器(programmablelogiccontrollers,PLC),常用于工業領域和關鍵基礎設施的控制系統中.工業控制系統是國家基礎設施的重要組成部分,廣泛應用于能源、制造、交通、軍工等行業,是關乎國計民生的重要資源.

　　工控協議是控制系統實現實時數據交換、數據采集、參數配置、狀態監控、異常診斷、命令發布和執行等眾多功能有機聯動的重要紐帶.早期工業控制系統運行在物理隔離的環境下,獨立于傳統互聯網.因此相關設計與操作人員很少考慮到網絡攻擊的可能,且普遍存在僥幸心理[2].這導致大量協議在設計方面缺乏認證、加密等安全機制;在實現方面也對異常的協議數據考慮不充分,容易留有安全隱患.在“工業4.0”的時代背景下,工業控制系統越來越多地采用標準化解決方案.然而,這打破了工控系統原有的專用性和封閉性,使其面臨更廣泛的攻擊威脅.

　　事實上,近些年針對工控系統的攻擊事件頻發,文獻回顧了歷史上發生過的重大安全事件,并指出隨著形勢的發展,面向以工業互聯網為基礎的關鍵基礎設施的威脅越來越嚴峻.其中,攻擊者充分理解相關的工控協議諸多細節,并利用協議在設計、實現或應用方面的脆弱點,是順利實施攻擊事件的一個重要因素.如2010年,“Stuxnet”病毒劫持了S7協議實現代碼的關鍵函數,通過精確地篡改和偽造S7協議報文,成功攻擊了伊朗核電站,導致伊朗核計劃推遲數年[4].

　　2017年,根據安全廠商ESET發布的消息,“Industroyer”病毒成功利用4種電力工控協議(IEC60870G5G101,IEC60870G5G104,IEC61850GMMS,OPCDA),通過控制變電站中的斷路器,攻擊烏克蘭電力系統,造成大規模停電事件[5].同年,根據FireEye公司發布的消息[6],針對施耐德安全儀表系統的惡意軟件“TRITON”,利用私有協議TriStation進行的攻擊可造成工業過程無法工作.綜上所述,深度剖析ICS的協議安全是理解工控系統安全威脅的一個重要角度,將對工業控制系統的安全防護提供參考和指導.本文通過調研和整理學術界、工業界對工控協議的安全研究工作,包括學術研究論文、標準指南、攻擊事件等,從協議的角度幫助理解工業控制系統的安全性.

　　1工控協議背景

　　工控協議實現了ICS各層設備組件之間的連接和通信交互,并與各設備組件共同形成了工業控制網絡.從工業控制系統的業務分層看,一個典型的工控系統涉及3類網絡:企業辦公網絡(簡稱辦公網絡)、過程控制與監控網絡(簡稱監控網絡)以及現場控制網絡[7].由現場設備層、控制層和管理層構成[8].根據傳輸信息的功能不同,各層的工控協議通信的實時性要求也不同,如在現場設備層,要求實時通信;而在管理層,則允許非實時通信.實際上,管理層的企業辦公網使用的協議與傳統互聯網協議一致(如HTTP,HTTPS,POP3等),此類協議已有很多分析和討論,此處不再贅敘.本文討論的工控協議是指應用于控制層和現場設備層的通信協.

　　1.1協議功能

　　基于工控協議的通信,工業控制系統實現了網絡空間物理空間(cyberGphysical)內各組件之間的交互.協議在不同場景中傳輸相似功能的內容,可大致分為3類[9].

　　1)控制信息(controlmessage)控制信息在控制器和現場設備之間傳輸,并且是控制器中控制回路的輸入和輸出.因此,它具有很高的實時性和確定性要求.

　　2)診斷信息(diagnosticsmessage)診斷信息用來描述系統當前狀態,例如通過傳感器獲得的溫度、濕度、電流、電壓值等信息.這些信息用于監測廠站的健康狀態.通常情況下,控制系統傳輸診斷信息的數據量大.相比于實時性和確定性,診斷信息的傳輸更強調速度.

　　3)安全信息(safetymessage)安全信息用于控制一些關鍵功能,如安全關閉設備并控制保護電路的運行.傳統上,制造單元的安全聯鎖裝置使用可靠的安全繼電器進行硬接線,以確保單元內部有操作員的情況下機器無法運行.但這種接線不容易重新配置,且出現問題時進行故障排查非常困難.通過傳輸的安全信息,可以更便捷地在各個組件之間協調,極大地提高了系統的重新配置和故障排除能力.

　　1.2協議分類

　　根據使用的通信技術,工控協議分為4類[8](如圖2所示):傳統控制網絡、現場總線網絡、工業以太網和工業無線網絡.當前廣泛應用的是工業以太網和現場總線網絡,相比于早期的計算機集成控制網絡,存在的優點是:減少了用于通信的物理纜線,從而減少潛在故障點(如線路接頭松動);提高了通信系統的可維護性和擴展性(如向系統擴展添加新的設備).

　　這些優點使得我們能更方便地構建復雜的大型控制系統.相對于有線網絡,工業無線網有更大優勢,例如進一步減少所需的線纜數量,能更靈活地配置傳感器的位置等.所以,James等人[9]認為工業無線網技術是工控網絡的未來,但需要解決安全、可靠、實時傳輸等問題[9G10].

　　1.3與傳統協議比較

　　相比傳統的互聯網協議,工控協議傳輸的數據對物理世界有直接的控制和影響.因此,工業控制系統的通信則被稱為控制網絡,而傳統互聯網一般被稱為數據網絡.結合文獻[1,9G10],我們總結了3個方面的區別:

　　1)通信場景工控協議廣泛應用于關鍵基礎設施領域,如電力、化工、制造、軍工、樓宇、交通等.其運行的環境經常遇到如潮濕、灰塵、高溫等不利的情況.工控協議傳輸的數據能直接影響物理世界,如機械臂運動、控制斷路器開合、電機啟動、反應液的水位等.通信故障對物理世界可能有嚴重的影響,如造成生產損失、環境毀壞,甚至危及生命. 傳統互聯網協議如HTTP,HTTPS,POP3等主要應用于數據分享和傳輸,運行在清潔和溫度受控的環境下.數據的產生和使用一般需要人的參與,如社交、搜索、郵件、新聞資訊、電子商務等.通信故障影響相對較小,可能給生活帶來不便,但大部分都可通過其他方式進行彌補和解決.

　　2)通信要求工控協議可直接影響物理世界,它的實時性要求相對較高.如運動控制的響應時間要求的范圍在250μs~1ms,過程控制的響應時間要求的范圍在1~10ms[10].除此之外,對于控制現場設備的工控協議一般還要求傳輸延遲是穩定的,即要求通信延遲的抖動小.因為抖動可能造成系統震蕩,產生負面影響.同時,工控系統一般還要求周期性的采樣系統的狀態信息,在這種情況下,設備是長時間“在線”的,數據的交互也是持續的.傳統互聯網協議如HTTP,HTTPS,POP3等則對時延要求較低,大部分情況下,幾百毫秒甚至幾秒時間都是可接受的.同時,這些協議一般不要求長時間在線.

　　3)通信過程工控系統融合了IT領域和OT領域的技術,在通信網絡上,這種融合是分層的.現實中的工控網絡一般會分多層,比如普渡模型[11]將工控網絡分為6層.同時,作用于OT領域的工控協議,其傳輸的數據包通常較小,尤其在低層次的控制回路中,僅傳輸單個測量值或數字值,通常只有幾個字節.報文傳輸的可靠性主要依賴于報文中的完整性字段如CRC字段、冗余報文機制如GOOSE,SV協議等.傳統互聯網協議層次較為簡單,一般分為局域網和廣域網.單次傳輸的數據量有幾千個字節或更多的數據,數據包大小至少為64B.同時,傳統的互聯網協議,其傳輸可靠性一般由TCP協議提供.雖然TCP協議存在校驗字段,但由于遠距離傳輸,容易出現丟包的情況,所以它還依賴確認應答機制、超時重傳機制等保障數據的可靠交互.

　　2工控協議安全威脅

　　根據文獻[12G13],安全威脅是指可能造成信息丟失或功能失效等情況發生的事件.一般而言,安全威脅主要有2類[14]:1)蓄意攻擊.如工業間諜、恐怖組織活動等,可能帶來經濟、政治和軍事等方面的益處;也可能是炫耀技術能力或實施報復等.2)無意事件.它可能源于安全事故、設備故障、疏忽大意和自然災害等因素.隨著通信技術的發展和進步,如高性能硬件的推出和新的保障機制的提出,系統運行的可靠性得到顯著改善,這使得無意事件帶來安全威脅的影響逐漸減小.相對地,隨著工業控制系統的信息化水平提高,越來越多的設備和系統直接或間接地接入互聯網,這打破了工控系統原有的封閉性和隔離性,加劇了其面臨的蓄意攻擊安全威脅.因此,我們更關注工控協議蓄意攻擊相關的安全威脅,具體地,本節將從工控協議的脆弱性、攻擊模式和攻擊影響3個角度來討論工控協議的安全威脅.

　　2.1工控協議脆弱性

　　根據IETFRFC4949[15]標準,任何一個系統都可能存在3種類型的脆弱點:設計上的、實現上的和操作管理方面的脆弱點.如協議設計上可能存在認證繞過∕缺失、完整性缺失、信息明文傳輸等缺陷;協議實現上的脆弱點主要包括協議處理模塊中的堆棧溢出、命令注入、空指針引用等漏洞.操作管理方面的脆弱性與協議自身的關系較弱,可通過分級隔離、人員管理等方式解決.因此,工控協議的脆弱性研究更關注協議設計和協議實現2方面.

　　1)協議設計中存在的脆弱性

　　工控協議設計之初更關注功能的完備和運行時的性能保障,對安全機制考慮較少.表1總結了15種典型工控協議的設計缺陷,涵蓋了4種典型工控場景,包括過程自動化、智能樓宇、電力系統、智能儀表,涉及當前主流廠商如施耐德、西門子、羅克韋爾等.顯然,工控協議設計在認證、授權、加密和完整性等方面普遍存在缺陷和不足.這些設計缺陷和不足可進一步分為3類.

　　①協議設計缺乏安全機制.進行協議設計時未考慮安全機制,如Modbus,DNP3協議等.廣泛應用于電力自動化行業的MMS[33]協議標準在“SecurityConsiders”章節明確指出,MMS協議高級別的安全設計不在標準的考慮范圍內.②協議對安全機制描述不具體,導致編程人員無法實現定義“模糊”的安全機制.如GOOSE協議報文結構設計中定義了一個security字段,該字段用來作為報文的數字簽名,對通信過程傳輸的報文提供認證和完整性保障.同時該字段被“ANYOPTIONAL”修飾,表明該字段是一個可選字段,可以不出現在報文中.鑒于工控場景的高實時性要求以及協議標準缺乏對該安全字段的詳細定義,大部分廠商都沒有實現該安全字段.③協議安全機制設計存在缺陷.如BACNet協議、OPCGUA協議、ANSIC12.

　　22協議等,它們提供安全機制,但未經充分檢查和驗證,存在潛在的攻擊方式.發現“安全協議”的設計缺陷主要有2種方法,即基于攻擊測試[19]來檢測和通過形式化方法[22]進行檢查.

　　2)協議實現中存在的脆弱性在實現方面,編程人員容易默認“隔離”的工控通信環境是可信的,處理協議通信數據時未充分考慮畸形報文,導致程序可能產生漏洞,如內存溢出漏洞、非法內存訪問漏洞等.CVE,CNVD,ICSGCERT等平臺的漏洞信息顯示,工控協議在實現上存在多種類型的漏洞,表2列舉了CNVD中部分常見的工控協議實現漏洞.同時,有些工控協議雖然設計了加密、認證等安全機制.但這些安全機制在實現時,由于錯誤的配置或簡化的實現,使得這些安全機制存在被繞過的可能.

　　例如西門子公司最新版本的S7CommPlus私有協議在會話階段提供加密、認證等安全機制,但Biham等人[16]通過對該協議進行分析發現該協議存在安全缺陷:協議認證過程中所有同型號工控設備采用相同的密鑰.一旦成功逆向破解一款工控設備使用的密鑰,相同版本固件所有工控設備的通信都將變得不安全.施耐德電氣公司設計的UMAS協議,在管理控制ModiconM221控制器時提供密碼認證安全機制.但SushmaKalle等人[34]發現該安全機制的實現存在重大缺陷,編程人員將安全保障至關重要的Hash密鑰存儲在一個固定的地址,一旦攻擊者發送數據重寫該固定地址即可將該Hash密鑰覆蓋,從而繞過認證機制,最終能夠繞過授權執行任意操作.

　　2.2攻擊模式

　　根據美國國家標準與技術研究院的報告[1],工控系統和任意信息系統一樣,都有3個安全目標:可用性、完整性和機密性.相對傳統的IT信息系統,工控系統的故障將直接影響物理世界,可能造成極其嚴重的后果,例如造成生產中斷、環境毀壞,甚至危及人身安全.因此,工控協議對可用性和完整性要求更高.分析通信協議攻擊模式,主要考慮3方面。

　　3工控協議安全方案研究

　　工業控制系統在關鍵基礎設施中具有定制化和專用性的特征.因此,IEC62443標準給出了針對工業控制系統的信息安全的定義:“①保護系統所采取的措施;②由建立和維護保護系統的措施所得到的系統狀態;③能夠免于對系統資源的非授權訪問或意外的變更、破壞或者損失;④基于計算機系統的能力,能夠保證非授權人員和系統既無法修改軟件及其數據,也無法訪問系統功能,保證授權人員和系統不被阻止;⑤防止對工業控制系統的非法或有害入侵,或者干擾其正確和計劃的操作”.從協議的角度看,維護工控系統的安全狀態需采取必要的措施,主要包括:協議安全設計改進、協議安全實現測試、協議安全應用指南.

　　4總結和展望

　　本文從通信協議的角度分析了工業控制系統面臨的安全威脅和對應的策略.首先從工控網絡架構、工控協議作用、分類以及和傳統協議的比較等進行詳細闡述,然后從協議設計、實現和應用的角度深入分析了協議攻擊威脅和協議防護方案.結合工控協議的特點,我們有3方面展望:

　　1)設計上,工控協議普遍存在安全問題,除了早期安全不受重視.客觀上,還因工控設備的計算資源有限,難以部署重量級的安全機制如安全算法、防火墻、監控程序等.同時,工業控制過程對系統的可用性要求更高,例如需滿足實時響應、保持長期在線等,而一般的安全改進方案除了帶來性能上的損耗,還可能帶來新的安全問題.所以難以直接應用傳統的安全方案.而已有研究大多聚焦于降低資源開銷,鮮有驗證其方案的可靠性.因此,研究人員需要提出一種可靠的輕量級安全通信機制,這種安全機制需要滿足2個要求:①受限的資源.該安全機制需要嚴格控制計算資源的使用,如盡可能降低對設備電量和內存的消耗,同時,還要盡可能減小對性能的影響.②可驗證的安全.該安全機制不會帶來新的安全問題,在某些重要屬性上是安全可驗證的.

　　2)實現上,工控協議程序涉及專用、異構多樣的嵌入式設備.不同于通用的測試程序對象,很多工控協議程序難以被提取、分析和監控運行.因此,基于路徑覆蓋反饋的高效模糊測試方案難以直接應用.針對工控設備中的協議程序,已有研究聚焦于分析獲得協議知識,然后進行黑盒測試,其有效性受限于無法獲得運行時的反饋.因此,研究人員需針對工控設備提出一種有效的程序運行監控的反饋機制.可從2個角度進行考慮:①該監控機制不對程序直接進行分析和插裝,而從其他角度間接推斷程序運行狀態,例如從返回報文、運行能耗開銷、設備I∕O監控等角度;②解決嵌入式工控協議程序提取困難的挑戰,然后遷移該程序到其他易控環境進行模擬仿真執行,從而方便測試時監控和運行時反饋.

　　3)應用上,保障工控協議的通信安全需結合已發布的標準和指南,然后部署配套的安全方案,例如部署入侵檢測系統、防火墻等.部署具體安全方案時,研究人員需結合具體的控制場景提出一種更加有效的風險評估模型,以準確定位安全威脅和安全需求,從而選擇并配置合適的安全方案.同時,考慮到工控系統的高可用性需求(例如有的方案需采集實時數據,而該過程可能會影響系統的可用性),研究人員還需要提出一種更加有效的評估方法來驗證具體方案的可靠性,以防引入新的隱患.

　　參考文獻

　　[1]StoufferK,FalcoJ,ScarfoneK.Guidetoindustrialcontrolsystems(ICS)security[J].NISTSpecialPublication,2015,800(82):10115

　　[2]ZhangYuqing,ZhouWei,PengAnni.SurveyofInternetofthingssecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143(inChinese)(張玉清,周威,彭安妮.物聯網安全綜述[J].計算機研究與發展,2017,54(10):21302143)

　　[3]HemsleyKE,FisherE.Historyofindustrialcontrolsystemcyberincidents[R∕OL].IdahoFallsofUnitedStates:IdahoNationalLab,2018[2021G12G25].https:∕∕www.osti.gov∕servlets∕purl∕1505628∕

　　[4]FalliereN,MurchuLO,ChienE.W32.stuxnetdossier[J].SymantecSecurityResponse,2011,5(6):129

　　[5]CherepanovA.WIN32∕INDUSTROYER:Anewthreatforindustrialcontrolsystems[R∕OL].SanDiego,CA:ESET,2017.[2021G12G25].https:∕∕www.welivesecurity.com∕wpGcontent∕uploads∕2017∕06∕Win32_Industroyer.pdf

　　[6]DiPintoA,DragoniY,CarcanoA.TRITON:ThefirstICScyberattackonsafetyinstrumentsystems[C]∕∕ProcofBlackHat.SanFrancisco,CA:BlackHat,2018:126

　　[7]LaiYingxu,LiuZenghui,CaiXiaotian,etal.Researchonintrusiondetectionofindustrialcontrolsystem[J].JournalonCommunication,2017,38(2):143156(inChinese)(賴英旭,劉增輝,蔡曉田,等.工業控制系統入侵檢測研究綜述[J].通信學報,2017,38(2):143156)

　　作者：方棟梁劉圃卓秦川宋站威孫玉硯石志強孫利民