以下文章来源于《中国信息安全》
作者:杭州木链物联网科技有限公司孙载浓
前言
作为“新基建”的核心要素,工业互联网已经应用于我国核工业、钢铁冶炼、电力能源、石油石化、先进制造、轨道交通等国计民生领域。根据国务院印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》的规划以及各地区各行业发展的实际情况,截至年,我国工业互联网发展已经跨过起步阶段,正式进入发展快车道。大量工业设备和控制系统接入互联网环境,随之带来的网络安全威胁日益突出,成为制约工业互联网发展的关键因素。
近年来,由APT组织和境外敌对势力针对我国工业互联网发起的有预谋、有组织、有规模的攻击不断升级,我国关键信息基础设施领域网络安全事件时有发生,大多集中在工业控制系统,其中工业通信协议及规约的安全性更是十分堪忧。
01、通信协议安全是制约工业互联网安全发展的关键因素
工业控制系统是工业互联网的基础组成部分之一,由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成,这些组件之间的信息传递使用的是几十种专用的工业控制通信协议,例如Modbus、DNP3、OPC等,这些通信协议与TCP/IP协议不同,面对的安全威胁区别很大。
一是技术漏洞威胁。以Modbus协议为例,Modbus协议是全球第一个应用于工业现场的总线协议,随着技术的发展,Modbus协议也出现了多种变种,如基于串行链路的ModbusRTU、ModbusPLUS和基于以太网的ModbusTCP。通过这些协议,控制器相互之间或控制器经由以太网和其他设备进行通信。由于Modbus是基础设施环境下真正的开放协议,得到了工业界的广泛支持,国内的使用量多大上百万个点。但由于Modbus协议在设计之初仅考虑了可靠的功能实现,没有任何认证方面的约束,攻击者仅需要通过拦截报文获得一个合法地址,就可以与系统中的终端建立合法通信,进而扰乱控制过程。不同的授权操作需要由不同的授权认证用户完成,这样可以降低误操作的概率。目前,大多数工业协议没有基于角色的访问控制机制,没有对用户的权限进行划分,这会导致任意用户可以执行任意功能。此外,加密可以保证通信过程中双方的信息不被第三方非法获取。大多数工业协议通信过程中采用明文传输或简单加密,攻击者可以很容易捕获数据。
二是攻击威胁。以DNP3.0协议为例,DNP3.0是开放标准,其报文结构和数据格式均是公开的,所以在通信过程中,很容易对数据包进行拦截、监听和修改。攻击威胁主要体现在以下两个方面:
中间人攻击:当主站和外站进行通信时,攻击者可以在主、外站毫不知情的情况下拦截总线上正在传输的数据,获得当前总线上的设备地址,而后充当系统的主站和外站,向系统内某个合法的设备发送错误报文,使系统工作异常。
拒绝服务攻击:相对于Modbus的请求响应模式,DNP3增加了主动上报模式,但同时,这种模式也增加了出现漏洞的可能,即站外在没有主站允许的情况下就可以向其发送数据,这样就会增加发生拒绝服务攻击的几率。在拒绝服务攻击中,入侵者进入网络,通过拦截并监听正常报文获取主站的地址,然后充当外站发送大量非请求报文,使主站忙于应对毫无意义的报文,进而使系统瘫痪。
三是战略威胁。目前,工业通信场景中通用的数十个工业协议,均由国外大型自动化厂商或科研机构完成设计,掌握工业协议的底层逻辑,能够有条件的获取在通信过程中协议所携带的所有信息。随着工业互联网产业规模的增长,不计其数的工业控制器都可能成为境外机构秘密监听的对象。在不发动大规模网络攻击的情况下,大量工业生产数据依然面临外泄的风险,境外敌对势力可以根据窃取的工业数据,对我国工业发展规模、技术水平、产业方向和薄弱环节情况进行推测画像,进而为国际*治决策提供参考依据。
02、安全性模型是私有协议设计中的核心技术环节
推动私有协议设计工作的目的是解决安全问题,安全性是私有协议设计工作中的关键。目前,国内一些科研院所和安全厂商已经迈出了坚实一步。杭州木链物联网科技有限公司的工程师设计了一种基于时序控制的通信协议,并建立了一套安全通信方法,即以提供服务的上位机为核心的工业控制网络组网方式,其通信功能和安全性已经通过实验室验证。
其中,时序控制通信协议是指遵循可编程逻辑控制器(PLC)根据约定好的时间间隔,定时向上位机上传当前状态,上位机回复下一阶段的操作指令的流程的通信协议;以提供服务的上位机为核心的工业控制网络组网方式是指上位机监听通信端口,可编程逻辑控制器(PLC)通过以太网或者其他通信总线协议与上位机建立连接并接收控制指令。自主设计私有协议能够从根本上解决协议本身存在的技术漏洞,同时改变组网方式和通信逻辑,将下位机承受的安全风险转移到上位机,大大降低网络安全风险控制难度,在确保功能实现基础上提高安全性。这种自主设计私有协议加改变组网方式的安全性模型不仅仅可以应用在工控领域,还可以向航空航天、作战指挥控制系统等更为关键的领域推广应用。
03、加快推进自主可控工业协议设计是应对协议安全威胁的关键
一是扶持基础技术研究。设计自主可控工业协议的前提是利用逆向分析方法对工业协议深度解析,深刻理解报文序列和指令执行序列的构建逻辑,同时需要通过大量的实验和现场测试,确保工业协议对稳定的功能实现的要求,是需要长期坚持的工作,加之我国工业通信技术研究起步晚、底子薄,阻碍了相关工作快速推进。自主可控工业协议设计虽然具有极高的行业应用价值,但是短期内不具备商业价值,这就需要国家、企业、行业分别从*策资金、环境和工具等多个方面提供帮扶和资助,确保科研人员能够安下心、沉住气从事相关研究工作。
二是推广工业协议认证和加密。自主可控工业协议设计和应用是一项长期工作,但是我国面临的工业协议安全威胁迫在眉睫,为应对工业协议存在的安全威胁,短期内推广工业协议认证和加密是有效措施。尝试设计认证模型,通过对消息使用加密函数增强认证功能,从而使攻击者无法伪装成主机;为防止窃听,对报文中的链路层报文头和应用层报文头中的功能码进行加密;增强公钥认证机制,给每个用户分配一对密钥,用于传输数据的加密和解密以及身份认证,有效解决中间人攻击问题。
三是大力推进工业私有协议设计工作标准化。通过标准化措施,将工业私有协议设计工作模块化、通用化和组合化,将设计工做拆分为通用部分和自主设计部分,既体现一致规范,又突出行业和企业特点,降低工业私有协议的设计成本、简化流程、降低门槛,加速工业协议设计推广,让更多的没有自主设计能力的企业参与进来,彻底解决工业协议中存在的安全问题。
综上所述,本着解决“卡脖子”问题的建设思路,认清目前工业控制协议普遍存在的“无加密”、“不兼容”、“难防护”问题,积极推动我国在私有协议设计上的创新探索和技术攻坚,就能够有效地在工业控制底层技术上掌握自主权。同时可通过典型场景的适配与应用,打通工业企业、安全厂家、自动化系统厂家上下游产业链,推动工业私有协议设计标准化发展,共同创建安全价值生态圈。