安全系统未经授权访问攻击示例分析

安全系统中存在的脆弱性和漏洞使得攻击者可以绕过功能安全的防护机制去影响系统的可靠性和安全性，系统即使已经满足了所有功能安全标准的要求，甚至取得了认证证书，仍然无法防护未经授权的主动攻击。

传统的安全系统作为一个封闭系统，把物理安全的防护做好，对能够接近系统的操作人员访问权限进行管理，设备放置于专门的设备室或机箱内，通过增加物理防护设备进行防护等措施，系统的安全性是可以得到保证的。随着网络化、数字化程度的提升，安全系统存在被远程接入攻击的可能性，这种情况没有直接的物理访问，不容易被发现。

安全系统脆弱性分析

考虑下面这个例子，轨道交通领域用于控制轨旁道岔和信号机的联锁系统，安全计算机VCS主系和VCS备系构成主备冗余，作为联锁逻辑运算的主控部分，主控通过传输系统向OCS系统发送控制指令和接收状态信息，目标控制器OCS实现对轨旁道岔和信号机的直接控制，传输系统实现信令的传输，将以太网协议转换为HDLC协议。HDLC协议属于工业总线的一种，本身没有网络安全保护的机制。如果攻击者接入该网络，可能绕过联锁主控单元的正常逻辑，直接向OCS发送与安全相关的操作命令，当VCS与OCS之间的通信协议没有鉴权控制和数据完整性校验机制，非法授权访问的攻击者可以：

• 伪造发送给OCS的操作命令，如扳动道岔、开放信号；
  

• 向调度工作站发送错误的列车占用信息、信号开放状态；
  

• 向调度工作站发送虚假的轨旁设备报警。

因为联锁系统对于列车占用、道岔和信号开放的联锁关系在VCS上进行检查，因此在VCS和OCS之间注入伪装命令并反馈误导的设备状态并不会违背联锁的功能安全规则。

联锁系统

这里攻击的前提是能够接入传输系统的总线上，传统系统中，VCS、传输系统、OCS安装于同一物理空间中，如一个机房内，那么，攻击者必须进入机房才能接触到设备，将嗅探设备接入到传输系统上。而随着网络化技术的发展，VCS和OCS可能不在同一个地点，中间通过光纤和以太网进行连接，任何一个通信节点都可以进行接入，如交换机、路由器、工作站、维护机，这样攻击面增大，被攻击的可能也变大了。

纵深防御

如何对未经授权的攻击进行防护，常用的防护原则是纵深防御，确保没有任何单一的漏洞会危及系统，采用多种防御措施结合以防止、减缓和响应。通过分层次的安全机制提高系统整体的安全性，访问攻击需要击穿好几层防护机制才能危及到系统的安全功能。

纵深防御

纵深防御的规则逐层解释为：

第一层：安全管理规则；

第二层：物理防护，设备室防护、机柜锁、摄像头监控、看守人员等；

第三层：边界防护，对访问到系统的用户进行鉴别，这里的用户可能是人、设备或软件进程，涉及到所有可能接入的接口。常见的边界防护手段有防火墙、非军事区、入侵检测系统、单向网闸、蜜罐。

第四层：通信网络防护，安全协议、网络访问控制、资产管理，防止未经授权的设备进入网络后与网络内的设备欺骗后进行数据交互；

第五层：主机保护，通过访问控制和加固来保护设备接口，采用防火墙、服务白名单、主机入侵检测系统、完整性保护和检测系统、加固和安全日志；

第六层：应用防护，应用对数据的操作是合法的，进行输入验证、访问控制、代码加固和事件记录；

第七层：数据防护，通过可信平台实现数据的硬件保护，如对存储在硬件中的数据进行加密。

纵深防御的基本原则是访问控制，保证访问到核心的数据进行逐层的控制和检查，确保它是合法的，如果产生偏离于正常的控制行为，应能被检测出来并跟踪。

防护措施示例

以上防护机制中，管理规则、物理防护、边界防护可以采用通用的安全方案进行设计，与所保护的系统本身关系不大，越接近系统内部，就越要考虑系统本身的完整性和可用性，确保安全措施不会影响系统的基本功能。以下是一些与应用相关的访问控制方法：

应考虑设计安全系统内部网络不同通信节点之间的安全协议，以保证消息来源的真实性。在等保2.0中，三级要求应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。具体在设计安全系统内部的通信协议时，应在通用的传输协议之上增加安全层协议，实现通信源节点和目的节点的身份认证。

第一层次的认证是对通信双方身份的认证，确认通信的双方确实是真实的，而不是伪装的第三方。第二层次的认证是对通信双方实际发送的命令进行认证，不仅确保双方的身份是正确的，而且接收方通过对发送方命令的认证，确认命令与预期要求的的一致性。

以ETCS车地通信使用的Subset037通信服务接口协议为例，为保证通信双方身份的真实性，在开始应用数据传输前，通过ETCS ID和MAC校验码实现消息源认证和消息完整性的校验，用来保护传输的消息没有被修改，并且没有第三方伪装消息源。

安全协议分层

安全连接建立的过程简单来说，是通过客户端和服务器之间的三次交互进行握手，来确认双方的身份。客户端B先发送第一份验证消息AU1给服务器A，内有一个长度为64位的随机数R_B，A接收到AU1后，生成随机数R_A和MAC校验码，发送第二份验证消息AU2给A，带有密钥K_S，B接收到AU2后，校验AU2的正确性，再把计算新的MAC校验码在第三份验证消息AU3中发给A，A使用密钥K_S校验AU3.

安全链接建立过程

在通信接收方的允许接收方配置列表中，默认配置拒绝所有非配置列表中节点的消息，并对接收数据的通信缓存进行限制，当接收到超出缓存的数据时，采用拒绝接收并使输出导向安全的设计。这样可有效避免泛洪攻击造成的影响。

对作为中继的交换机、路由器等网络设备，它们都有用于维护和配置用途的端口和模式，这些接入端口应该被严格控制，修改其默认配置ID和口令，增加物理安全的防护措施，以避免侵入方从这些设备上获取到管理权限。

用于检测的远程诊断系统可能是通信网络的一个薄弱环节，为了系统维护的便利性，内部控制网络上常配置一个远程维护系统，用于发送设备的各种状态信息给远程控制中心。如远程维护系统与中心的连接采用公网，那这种节点就是封闭内网和外网的一个中间节点，可以通过该维护系统进入到内网非法访问。因此，维护系统的身份认证、访问控制要求同样重要。

可见，安全系统本身有未经授权的访问攻击脆弱点，在攻击面扩大的情况下，存在被非法侵入造成安全功能中断甚至引起安全风险的可能。虽然防护措施不完全属于功能安全的范围，但在安全系统设计时，当评估存在攻击风险时，是有必要考虑的。

参考资料：

1.CITYFLO 350 Signaling SystemInterface between ATP Telegrams and Brake curve Istanbul new Metro Line Study case；

2.Subset-098 RBC-RBC Safe Communication Interface;

3.Subset-037 EuroRadio FIS.

原文始发于微信公众号（薄说安全）：安全系统未经授权访问攻击示例分析