工业控制网络安全威胁：控制协议安全漏洞与防护技术浅谈

1

综述

在工业领域，随着信息技术与制造业的融合以及智能制造的发展，越来越多的企业开始采用计算机自动采集工业现场数据的方式。这种方式的应用范围和普及程度已经非常广泛。通过智能化集成单元，工业现场的实时数据可以被采集、存储和传输，供操作人员进行监控和调配。同时，这些实时数据也可以被传送给业务管理者，提供数据变化情况，以方便对业务进行优化和决策。这种方式帮助企业实现了更高效的生产管理和资源调配，同时对工业控制网络也带来了一些安全威胁。

工业控制系统通过采用标准化的通信协议，不同供应商的设备和系统可以进行互联和通信，实现数据的交换和共享。同时，一些工业控制系统也具备了与互联网或公共网络的连接能力，这将会给工业控制系统带来极大的风险。本文将从工业控制协议方面介绍其自身存在的安全漏洞与对应的安全防护技术。

2

工业控制网络常见协议

在工业控制网络中，存在许多特定的通信协议，但在特定的行业中，通常只会使用其中的一种或几种特定的协议。此外，许多企业还会开发和使用专用的协议来满足其特定的需求。不同的行业有不同的工业控制需求，因此会选择适合自身行业的特定协议。例如，在自动化制造业中，常用的协议包括Modbus、Profibus、EtherNet/IP等；在能源行业中，常用的协议包括DNP3、IEC 61850等；而在交通运输领域，常用的协议包括CAN、LAN/WAN等。 此外，一些企业为了满足自身特定的需求，可能会开发和使用专用的协议。如表1-1、表1-2所示：

表1-1 行业专用协议

表1-2 部分厂商PLC通信模块及其专用协议

3

工业控制协议安全漏洞

工业协议的设计初衷是为了满足工业控制系统通信的实时性需求，因此在设计阶段往往忽略了协议通信的机密性、可认证性等看似不必要的附加功能。例如，Modbus协议、Profinet协议、DNP3协议、OPC协议、IEC系列协议等常见工业控制协议，为了保障通信的实时性和可靠性而放弃认证、授权和加密等附加开销的安全特征和功能。然而，随着工业控制系统与互联网的紧密联系，工业协议的漏洞容易被具有攻击意图的黑客所利用。工业协议的漏洞给工业控制系统带来了严重的安全风险。攻击者可以利用这些漏洞来入侵工控系统，并对其进行恶意操作。例如，攻击者可以通过利用协议的弱点，篡改或中断控制信号，导致设备故障或生产中断。我们通过对典型的Modbus工业协议举例，了解其如何影响到我们的业务系统：

Modbus是一种应用层消息传输协议，位于OSI模型的第七层，它允许工业控制系统中的不同设备之间进行数据传输、指令发送和接收等交互操作。通过该协议，工业控制系统中的控制器可以与传感器、执行器、监控设备等进行实时通信，实现对生产过程的监控与控制。可以实现工业控制系统中各个设备之间的协同工作，实现自动化生产、数据采集、监控和报警等功能。例如，在生产线上，通过工业控制协议，传感器可以将实时采集到的数据发送给控制器，控制器根据接收到的数据进行决策和控制指令的下发，以实现生产过程的自动化和优化。

Modbus协议工作机制

3.1

设计安全问题

对于Modbus系统的开发者来说，他们通常更关注功能的实现，而对系统的安全性设计往往被忽视。然而，在设计Modbus系统时，考虑到安全性是至关重要的。设计安全性意味着在系统设计的早期阶段就要充分考虑到各种可能出现的异常情况和非法操作，并提供相应的保护措施来防止和处理这些问题。 Modbus协议没有内置的身份验证机制，因此可能容易受到未经授权的访问。这意味着攻击者可以轻松地以伪造的身份访问和控制Modbus设备。Modbus通信通常是明文传输的，没有加密保护。这使得攻击者有可能窃听和篡改数据，包括敏感信息。

3.2

缓冲区溢出漏洞

缓冲区溢出是一种常见的安全漏洞，指的是当向缓冲区写入数据时，超过了缓冲区的容量，导致溢出的数据覆盖在其他内存空间上，可能导致系统崩溃或被攻击者利用来执行恶意代码。在Modbus系统的开发中，由于开发者缺乏安全开发知识，导致存在许多缓冲区溢出漏洞的Modbus驱动程序。一旦这些漏洞被攻击者利用，可能会导致程序运行失败、系统崩溃、重新启动等不良后果。更严重的是，攻击者可以利用这些漏洞执行未经授权的指令，甚至获取系统特权，进而进行各种非法操作。

3.3

功能码滥用

功能码滥用是指在Modbus协议中，攻击者利用功能码的不当使用而导致网络异常的情况。由于功能码几乎涵盖了所有通信操作，因此功能码滥用成为导致Modbus网络异常的主要因素之一。攻击者利用Modbus协议中的功能码来执行未经授权的操作或滥用系统资源。Modbus协议定义了一系列功能码，用于控制和管理Modbus设备之间的通信和数据交换，这些功能码包括读取数据、写入数据、控制设备等操作。攻击者可以通过滥用功能码来执行恶意操作。

3.4

缺乏数据完整性验证

在Modbus通信中，没有内置的数据完整性验证机制，这使得攻击者可以通过篡改通信数据来修改设备的配置或控制其操作。攻击者可以在网络传输过程中修改或替换Modbus数据包，从而改变设备之间的通信和操作。通过篡改数据的完整性，攻击者可以劫持Modbus通信，取代合法设备的通信过程，进而对设备进行未经授权的操作或操纵目标设备。

4

工业协议安全防护技术

当前，工业控制协议在安全防护措施方面存在普遍不足的情况，这给工业控制系统带来了一系列的安全威胁。威努特将结合工业控制系统存在的安全问题，给出相关安全建议，能够有效地降低工业控制系统面临的安全风险。

4.1

设计安全缺陷补足

由于Modbus设计时并没有考虑到安全性，因此存在一些安全问题，如Modbus协议中的数据是明文传输的，这意味着任何拦截网络流量的人都可以轻松地读取和修改数据、Modbus协议没有内置的认证机制，这意味着任何人都可以发送和接收Modbus消息；针对Modbus自身设计的缺陷，可通过威努特工业防火墙来监测和阻止异常的Modbus请求，对Modbus通信进行管理和监控。Modbus协议本身设计安全可通过工业防火墙访问控制、VPN、网络隔离、远程访问控制、日志记录和监控等措施来弥补这一设计缺陷，加强对Modbus通信的认证和安全保护。

威努特工业防火墙能够检测出上百种工业协议，能够对包括OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、Siemens S7、Ethernet/IP（CIP）、Profinet、Fins的30多种工控协议做深度报文解析，识别报文中的有效内容特征、负载和可用匹配信息，如恶意软件、具体指令和应用程序类型，对工控协议特征做到实时解析和精准的识别，帮助企业完善通信协议的原生安全。

工业协议深度解析

4.2

缓冲区溢出漏洞防护

在Modbus协议实现中，由于缓冲区不够大或者没有正确的输入验证，导致攻击者可以向缓冲区中输入超过其容量的数据，从而覆盖其他内存区域，引发崩溃或者执行恶意代码的安全漏洞。

针对缓冲区溢出漏洞的防护，可确保所有使用Modbus协议的设备都使用最新的固件和软件版本，以获得最新的安全补丁和修复程序。定期检查和更新设备来降低缓冲区溢出漏洞的风险。除此之外可在Modbus通信路径上部署工业防火墙，可以对输入数据进行深度检查，过滤掉可能引发缓冲区溢出的恶意数据包。这样可以防止攻击者利用缓冲区溢出漏洞来执行恶意代码。

工业防火墙数据包处理

4.3

功能码滥用防护

功能码滥用可以导致设备的安全性和可用性受到威胁，对工业自动化系统造成严重的影响。因此，采取适当的安全措施来防护Modbus功能码滥用至关重要，如限制权限、应用层防火墙、入侵检测和防御系统等。

在Modbus通信路径上实施访问控制列表，限制对Modbus功能码的访问。只允许经过授权的设备或用户执行特定的功能码操作，其他未经授权的请求将被拒绝；其次部署威努特工业防火墙来监控Modbus通信流量。威努特工业防火墙可以检查和过滤所有传入和传出的Modbus功能码，并根据预定义的规则集拦截滥用功能码的请求。这可以有效防止攻击者通过滥用功能码来执行未授权的操作。

工业防火墙通信流量监控

4.4

流量感知监测

异常行为代表着可能对资产带来风险。针对工业控制协议，首先要分析其存在的各种异常行为，包括异常流量、网络攻击、异常通信行为、工程师站组态变更等关键事件检测，进行分析其行为是否异常。

威努特工控安全监测与审计系统能够可关键事件进行告警，支持对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件监测。防止拦截和篡改Modbus通信中的数据包，以修改或破坏传输数据的完整性和准确性。并实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为。

工控安全监测与审计系统异常流量感知

威努特工控安全监测与审计系统可建立全视角流量地图，从不同维度分析工业互联网流量并深度解析工业流量的内容，通过感知流量异常快速发现，在线回溯全报文，实现全量凭据提取。

工控安全监测与审计系统核心价值

5

结语

成熟的工业安全产品应适应工业现场环境、工业传输协议与工业生产业务的实际需要，威努特工业防火墙及工控安全监测与审计系统已在各行业大量应用，威努特工业防火墙采用访问控制、入侵防御、病毒过滤等融合和安全技术，重点监控工业网络中的数据流量，配合威努特工控安全监测与审计系统，实现工业网络流量和异常事件追溯，对工业控制协议全方位监测，提供可视化全链路监控能力与故障分析定位能力，满足工业控制场景下的网络安全需求，全方位保障工业控制协议安全。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：工业控制网络安全威胁：控制协议安全漏洞与防护技术浅谈