EPA工業(yè)控制網(wǎng)絡(luò )安全測試系統設計與實(shí)現

0引言

基于EPA的上業(yè)控制網(wǎng)絡(luò )的一大優(yōu)點(diǎn)就是將EPA控制系統與企業(yè)電子商務(wù)、物資供應鏈和ERP等形成整體構成了高效暢通的“透明網(wǎng)絡(luò )”以提高上作效率。但是，整體的網(wǎng)絡(luò )透明度承擔了一定的風(fēng)險。由于基于EPA的上業(yè)控制網(wǎng)絡(luò )是一利‘高度開(kāi)放的控制網(wǎng)絡(luò )，它使用了T CP/ IP協(xié)議，因此可能會(huì )受到包括軟件黑客、恐怖卞義、病毒以及上業(yè)間諜的非法入侵與非法操作等網(wǎng)絡(luò )安全威脅，沒(méi)有授權的用戶(hù)可能進(jìn)入EPA上業(yè)控制網(wǎng)絡(luò )的過(guò)程監控層或管理層，造成安全漏洞。一旦上業(yè)控制網(wǎng)絡(luò )遭受黑客、恐怖卞義的襲擊將對企業(yè)造成巨大損失，甚至威脅國家公共安全。因此，基于EPA的上業(yè)控制網(wǎng)絡(luò )安全問(wèn)題是一個(gè)急需研究和解決的問(wèn)題。

實(shí)踐表明，網(wǎng)絡(luò )的安全性取決于網(wǎng)絡(luò )中最薄弱的環(huán)y。發(fā)現EPA上業(yè)控制網(wǎng)絡(luò )中的薄弱環(huán)竹，最大程度地保證網(wǎng)絡(luò )系統的安全，其中最為有效的方法就是定期對EPA上業(yè)控制網(wǎng)絡(luò )進(jìn)行安全性測試和分析，及時(shí)發(fā)現網(wǎng)絡(luò )存在的脆弱性，分析出現這些安全威脅的原因，通過(guò)采用相關(guān)技術(shù)和管理手段彌補安全漏洞，阻比安全事件的發(fā)生，從而加固EPA上業(yè)控制網(wǎng)絡(luò )的安全。

1 EPA工業(yè)控制網(wǎng)絡(luò )安全測試原理

1. 1 EPA上業(yè)控制網(wǎng)絡(luò )而臨的安全威脅分析

結合EPA網(wǎng)絡(luò )安全規范、KIST一800系列規范，將EPA上業(yè)控制網(wǎng)絡(luò )而臨的脆弱性分為如下兒類(lèi):

( 1)網(wǎng)絡(luò )漏洞:在復雜的上業(yè)控制應用中，網(wǎng)絡(luò )服務(wù)的安全漏洞是不容忽視的。如EPA設備管理服務(wù)。

基于EPA的上業(yè)控制網(wǎng)絡(luò )采用以太將而臨服務(wù)欺騙的威脅;將w eb服務(wù)器置入PLC或現場(chǎng)設備實(shí)現動(dòng)態(tài)交4_將而臨C(}I濫用威脅;除此之外，還有拒絕服務(wù)、FTP漏洞、T elnet漏洞等應用服務(wù)漏洞;
( 2)系統漏洞:雖然EPA上業(yè)控制網(wǎng)絡(luò )中有些現場(chǎng)設備沒(méi)有使用任何操作系統，但是一些更為重要的上業(yè)交換機、OPC服務(wù)器、組態(tài)設備等使用了通用的操作系統，這些系統往往存在一些安全漏洞，如系統弱口令等;

( 3)協(xié)議漏洞:許多上業(yè)通信協(xié)議設計之初并沒(méi)有考慮安全問(wèn)題，通信是建立在IP信任的基礎上，所以不可避免地會(huì )遭受安全攻擊。如T CP/ IP協(xié)議容易遭受IP欺騙、ARP欺騙等攻擊;EPA協(xié)議中使用的PT P協(xié)議容易遭受卞時(shí)鐘欺騙攻擊等;

( 4)策略漏洞:缺乏或不合理的安全保障技術(shù)或策略，將會(huì )給EPA上業(yè)控制網(wǎng)絡(luò )帶來(lái)極大的安全風(fēng)險。如不正確的EPA安全網(wǎng)關(guān)和防火墻的過(guò)濾策略將使一些非安全報文進(jìn)入控制網(wǎng)絡(luò );明文傳輸重要通信報文將遭受非法竊取等。網(wǎng)將現場(chǎng)控制系統、過(guò)程監控層網(wǎng)絡(luò )、企業(yè)信息管理層網(wǎng)絡(luò )進(jìn)行高度集成和互聯(lián)，這種扁平化的網(wǎng)絡(luò )結構層次也使EPA土業(yè)控制網(wǎng)絡(luò )面臨了越來(lái)越多的安全威脅。

1. 2 EPA安全測試系統的功能

由于EPA土業(yè)控制網(wǎng)絡(luò )環(huán)境復雜，具有多種潛在的安全威脅，安全測試一般在網(wǎng)絡(luò )層、操作系統層、數據庫層、應用系統層等多個(gè)層面上進(jìn)行。安全測試系統不僅能檢測EPA土業(yè)控制網(wǎng)絡(luò )中存在的安全漏洞，還必須能夠在測試報表中給出建議解決方案，在測試過(guò)程中有診斷和監控功能以防止測試對控制系統造成損失。因此，EPA安全測試系統應具備以下幾利‘功能:

信息探測功能

EPA安全測試的前期需要通過(guò)信息探測盡可能多的(l在獲取待測EPA土業(yè)控制網(wǎng)絡(luò )存活的設備信息，信息探測為漏洞檢測和滲透測試做鋪墊。

(2)漏洞檢測功能

漏洞檢測通過(guò)發(fā)送檢測報文，然后偵聽(tīng)檢測目標的響應，查詢(xún)特征庫判斷網(wǎng)絡(luò )系統是否存在漏洞，實(shí)現對EPA服務(wù)、非EPA服務(wù)、操作系統等層面的漏洞檢測。

( 3)滲透測試功能

滲透測試在可控的范圍內通過(guò)模擬黑客入侵的手法，通過(guò)對EPA土業(yè)控制網(wǎng)絡(luò )和系統發(fā)起“真正的”攻擊，以檢測網(wǎng)絡(luò )和系統在真實(shí)應用環(huán)境下的安全性。

(4)診斷監控功能

由于安全測試可能會(huì )給時(shí)間敏感、穩定性要求較高的EPA土業(yè)控制網(wǎng)絡(luò )現場(chǎng)層造成不可恢復的損害，所以為確保安全測試的可控性，診斷監控功能是必不可少的。

2 EPA安全測試系統設計與實(shí)現

2. 1 EPA安全測試系統的總體設計

遵循了軟件開(kāi)發(fā)中的低禍合、高內聚的原則，測試系統的設計采用模塊化設計思路，增加各個(gè)模塊的獨立性，以使系統結構清晰。EPA安全測試系統由全局配置模塊、測試引擎、漏洞庫、信息探測模塊、漏洞檢測模塊、滲透測試模塊、診斷監控模塊、報表管理模塊、權限管理模塊等組件構成，其各模塊間關(guān)系如圖1所示。圖1 EYA安全測試系統結構圖 如圖1所示，EPA安全測試系統各模塊相對獨立，通過(guò)人機界面可以操作每個(gè)獨立模塊進(jìn)行單獨的手動(dòng)測試，也可以通過(guò)全局配置模塊對測試參數進(jìn)行配置，針對不同的測試對象，用戶(hù)可以靈活地制訂測試策略，然后通過(guò)測試引擎調度各測試模塊進(jìn)行自動(dòng)化測試。在測試結束后，根據各模塊測試的漏洞在漏洞庫中進(jìn)行查找相應的解決方案，發(fā)布測試報表。

2.2測試模塊的設計與實(shí)現

( 1)信息探測模塊設計

在網(wǎng)絡(luò )探測模塊中，系統采用了豐富的測試手段盡可能多地探測日標信息，具有設備發(fā)現、開(kāi)放端口掃描、服務(wù)辨識、服務(wù)版本、木馬識別、操作系統探測等功能。

服務(wù)辨識:根據開(kāi)放端口與服務(wù)映射表，進(jìn)行第一次服務(wù)辨識。這個(gè)過(guò)程可以對一些端口上的木馬威脅進(jìn)行識別。第_次辨識是通過(guò)與日標系統建立連接后，收集返回的Banner信息，查詢(xún)服務(wù)特征庫就能大致識別出服務(wù)類(lèi)型，甚至軟件的名稱(chēng)和版本。

操作系統探測:采用TTL旗幟等手段對日標系統進(jìn)行操作系統辨識。對于依賴(lài)通用操作系統的設備就需要在漏洞檢測時(shí)測試系統漏洞，而對于U C/ OS等實(shí)時(shí)操作系統和無(wú)操作系統的EPA網(wǎng)絡(luò )設備和現場(chǎng)設備可繞過(guò)系統漏洞測試。

( 2)漏洞檢測模塊的設計

漏洞檢測模塊卞要是通過(guò)從漏洞庫中抽取特征報文進(jìn)行掃描和檢測，卞要檢測EPA網(wǎng)絡(luò )設備的14種EPA應用服務(wù)漏洞和非EPA應用服務(wù)漏洞、弱口令、協(xié)議等漏洞。具體是測試模塊從漏洞特征庫中提取測試特征指紋形成測試報文，向測試對象發(fā)送測試報文，然后偵聽(tīng)檢測日標的響應，并收集信息，而后結合漏洞特征庫判斷EPA網(wǎng)絡(luò )是否存在安全漏洞。此處的漏洞特征庫為抽象的概念，實(shí)際表現為封裝在一條測試插件中的特征匹配對，測試插件完成特征的提取，形成測試報文，接收返回信息并判斷是否存在漏洞。

圖4中，漏洞編號為在漏洞庫中該漏洞的編號。CVE編號是指該漏洞對應的CVE編號，若是該漏洞為EPA協(xié)議本身特有的漏洞則無(wú)此編號。為了安全測試系統的標準化和國際化，采用“通用漏洞列表”中的CVE編號作為漏洞名稱(chēng)。漏洞描述是對安全漏洞的詳細介紹。解決方案是漏洞的修補方法，一般安全漏洞可以通過(guò)下而兒種方法解決:關(guān)閉不需要的網(wǎng)絡(luò )服務(wù)、下載安裝相關(guān)的漏洞補丁、對漏洞所涉及的相關(guān)網(wǎng)絡(luò )服務(wù)進(jìn)行正確的配置。附加信息是指除上而信息外的其它信息，如補丁信息等。

( 5)診斷監控模塊的設計

EPA安全測試系統的診斷監控模塊，包括Ping命令T racert命令、網(wǎng)卡流量監測、EPA網(wǎng)絡(luò )報文捕獲與分析EPA網(wǎng)絡(luò )流量統計與分析等。

( 6)其它模塊的設計

報表生成模塊，根據不同需要，可以生成各種報表格式測試報表指出測試相關(guān)信息、漏洞信息和漏洞修復方法、臨時(shí)安全應急措施等安全建議，以指導控制系統管理員采用安全措施彌補漏洞。

權限管理模塊，為安全測試系統的合法用戶(hù)分配、修改冊}J除用戶(hù)名及密碼。同時(shí)，根據測試需要為用戶(hù)分配不同的測試權限，確保安全測試系統本身的安全。

EPA安全測試系統總體界而如圖5所示。

3 EPA安全測試系統的驗證

為了考查和驗證EPA安全測試系統的應用過(guò)程，搭建一個(gè)小型的EPA上業(yè)控制網(wǎng)絡(luò )安全測試平臺，該平臺由一臺EPA組態(tài)設備，2個(gè)EPA現場(chǎng)設備，一個(gè)EPA集線(xiàn)器，一個(gè)總線(xiàn)供電設備和EPA安全測試設備組成。在EPA安全測試設備上運行EPA安全測試系統對EPA控制網(wǎng)絡(luò )和系統進(jìn)行安全}N}測試。

測試結果如圖6所示，EPA安全測試系統對該系統內的2臺EPA設備和1臺組態(tài)設備進(jìn)行了安全測試。以對組態(tài)設備的測試為列，通過(guò)網(wǎng)絡(luò )服務(wù)的安全測試發(fā)現了2個(gè)安全警告，這2個(gè)安全威脅均為組態(tài)設備開(kāi)啟了無(wú)用的服務(wù)，通過(guò)關(guān)閉相關(guān)端口就可以彌補此漏洞。

4結束語(yǔ)

根據EPA上業(yè)控制網(wǎng)絡(luò )的特征和EPA協(xié)議的通信特點(diǎn)，設計并實(shí)現了一種基于EPA的上業(yè)控制網(wǎng)絡(luò )安全測試系統該系統從卞動(dòng)防御的角度出發(fā)集成了多種測試技術(shù)，能夠自動(dòng)檢測遠程或本地的EPA網(wǎng)絡(luò )設備的安全狀況，發(fā)現潛在的安全漏洞并在測試報告中給出解決建議。根據實(shí)際上業(yè)現場(chǎng)的需要，搭建了一個(gè)EPA上業(yè)控制網(wǎng)絡(luò )測試平臺，測試網(wǎng)絡(luò )的安全性并對測試系統的功能進(jìn)行驗證，達到了預期的要求。