《工业控制系统现场可编程机制的隐患分析》由会员分享,可在线阅读,更多相关《工业控制系统现场可编程机制的隐患分析(12页珍藏版)》请在金锄头文库上搜索。
1、 工业控制系统现场可编程机制的隐患分析 刘伟+梁光明+鲍金鹏摘 要: 深入研究了当前工业控制系统PLC现场可编程的原理,从数据的保密性、完整性和身份可认证性三个方面分别建立安全性模型,分析出现场可编程的安全机制在以上三个方面缺乏必要的安全防护。搭建实验平台,通过模拟实验验证了存在的安全隐患。关键词: 工业控制系统; 现场可编程; 安全隐患; 工业以太网: TN710?34 : A : 1004?373X(2015)17?0153?05Analysis of hidden trouble existing in field programmable mechanismin industrial
2、control systemLIU Wei, LIANG Guangming, BAO Jinpeng(School of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)Abstract: The principle of current PLC field programmability in industrial control system is studied deeply. The security models are set
3、 up respectively from the aspects of data confidentiality, integrity and identity authentication. The security mechanism of field programmability has been analyzed, and the three aspects are lack of necessary safety protection. The experiment platform was established, and the existed hidden trouble
4、were verified by simulation experiment.Keywords: industrial control system; field programmability; hidden safety threat; industrial Ethernet0 引 言随着工业化和信息化的融合不断深入,信息技术开始更加广泛地运用到工业控制领域。当前,信息化工业控制系统已经广泛应用于能源、电力、化工等工业领域,工业控制系统已然成为国家安全战略的重要组成部分。为了方便工业控制系统中各个部件的协同和信息共享,工业控制系统正逐渐打破原有的封闭性,向开放化的方向发展,采用标准、通用的
5、通信协议和软硬件系统,将导致工控系统面临病毒、黑客入侵等安全威胁。2010年,伊朗布什尔核电站遭到“震网”(Stuxnet)蠕虫病毒攻击1,“震网”病毒以伊朗核电站使用的数据采集与监视控制(SCADA)系统作为攻击目标,利用Windows和工业控制系统PLC的动态链接库(DLL)缺陷进行传播和攻击,致使伊朗核电计划被延缓。在这次事件后,工控系统安全成为工控领域的热点问题。如何有效的保护工业控制系统PLC的安全,防止不法分子和黑客对工业控制系统PLC实施入侵和破坏,具有重大的经济和战略意义。相较以往工业控制系统的安全报告和相关文献的重点突出在数据的实时采集与监控安全2、外网到内网的保护3上,本文
6、从工控系统的现场可编程机制出发,对工控系统潜在的安全隐患和面临的威胁进行分析,提出了安全隐患分析方法和模型,并对存在的安全威胁进行了总结。1 工业控制系统现场可编程原理工业控制系统的现场可编程,就是在工业控制系统的运行现场,编程上位机通过现场总线或以太网对工业控制器进行编程控制(包括用户程序下载、工程信息修改等),可以即时改变现场设备的运行状态。现场可编程技术在工控系统的广泛应用使得工业生产中工控系统对现场设备的实时控制达到了一个全新的阶段。1.1 工业控制系统的基本构成工业控制系统主要由以下几个部分组成:SCADA(Supervisory Control And Data Acquisiti
7、on)系统,即数据采集与监控系统,分布式过程控制系统DCS(Distributed Control System),可编程逻辑控制器PLC(Programmable Logic Controller),人机界面HMI(Human Machine Interface)等。其中的工业控制器即PLC是整个工业控制系统的核心部件,直接控制外部设备和工业生产。PLC直接受到编程上位机和监控站的控制,图1为工业控制系统简化结构图。1.2 现场可编程机制现场可编程技术以其编程简单、控制灵活、用户程序实时可控等优点,在工业控制领域得到了广泛的发展和应用,现阶段的现场总线逐步向以太网等常用通信手段扩展。以广泛使
8、用的工业以太网实现的现场编程为例,现场编程的实现流程如图2所示。PLC的现场编程包括以下几个步骤:首先在编程上位机编写STL/LAD高级程序,由编程软件编译成可执行代码;再将可执行二进制代码组合到网络数据包中,通过以太网接口下载到控制器PLC中,PLC的以太网接口接收到数据包后,解析并执行这些代码,这样就实现了远程上位主机对PLC的现场编程。随着网络技术的发展,PLC的现场编程不仅包括传统的用户程序代码编程,更是延伸到了更底层的固件代码,例如可以通过以太网接口实现固件版本更新等高级操作。 工业控制系统现场编程的数据采用现场总线传输,其中使用最广泛的是工业以太网连接,图3是工业以太网的层次模型4
9、。如图3所示,工业以太网协议基本上是直接在TCP/IP层以上附加应用层协议实现的,通过直接把应用层报文嵌入到TCP报文中,组成工业以太网数据帧。所以工业以太网协议的低层次数据链路层、传输层、网络层采用的是标准协议,应用层则一般采用内部非公开协议。工控系统的安全策略大多都在应用层中实现,具有一定的研究意义。工控系统应用层协议主要具有以下几个特点:保密性:传统IT网络的应用层协议都已经对外公开,具有统一的标准,所以按照协议格式,可以轻松分析得到包头和各数据段表示的信息。而工业控制系统的应用层协议则没有统一的标准,工业控制领域的系统开发公司针对自己的产品都指定了具有各自特点的应用层协议,且不对外公开
10、。实时性:工业控制系统设计过程中最重要的指标就是实时性,从而要求工业控制系统的应用层协议也必须满足实时性的要求。然而正是由于必须满足实时性的要求,应用层协议在设计过程中主要的系统资源消耗在实时控制方面,导致无法消耗更多资源在系统安全的保护上。可侦测性:工业控制系统采用的网络结构与传统IT网络类似,具有分层结构。如果能侵入工业控制内网,则可以利用传统IT网络的嗅探、侦测技术对工业以太网的数据进行截获、窃取等操作,甚至对关键数据进行篡改。2 现场可编程安全隐患分析模型设计工业控制系统在设计过程中注重系统的可用性和实时性,而对系统信息的安全没有做出应有的防护。尤其在现场可编程机制中,编程上位机通过工
11、业以太网与PLC连接实现数据传输,上位机将PLC应用程序下载到PLC,实际上是将PLC直接连接到了上位机和监控站所在的内部网里。仅仅通过在工业以太网上设置工业防火墙,防止内部网络的非法访问,不能保证内部数据的安全。因此,现场可编程机制存在严重的安全隐患。下面从保密性、完整性、可认证性三个方面对工控系统现场可编程机制的安全性进行分析建模5?6。2.1 现场编程数据的保密性模型保密性是指网络信息不被泄露给非授权的用户或实体,信息只为授权用户使用的特性。数据信息的保密性主要分为两个方面:信息的防侦收和信息加密。根据信息数据的传输和处理,建立基于信息流的现场编程数据保密性安全模型,如图4所示。在工控系
12、统的现场可编程机制中,数据的保密性主要表现在对PLC用户程序指令的可执行代码的加密和解密、PLC的数据经过工业以太网时的防护(主要通过工业防火墙)等安全措施。如图4所示,上排横向过程表示用户程序数据A经过加密变换E后,组包进入工业以太网传输;接收端经过解包,得到加密通信数据,再经过解密变换D还原出原始数据A。其中工业以太网设有工业防火墙,防止非授权访问。若是黑客突破了工业防火墙,窃取了工业以太网中的通信数据,即使破译了应用层的不公开协议,由于不能获取数据的加密方式和密钥,只能分析得到加密数据,而不能恢复出原始数据A。然而,课题组对工控系统的现场编程过程的研究结果却令人大吃一惊,工业以太网的二进
13、制通信数据竟然毫无加密处理,而是以明文的形式传输。这就给黑客和不法分子侵入工控系统、窃取核心机密可乘之机。由于工控系统缺乏对数据的加密处理,黑客通过网络手段获取通信数据,就能直接得到现场编程的重要指令,造成极大的安全威胁。2.2 现场编程数据的完整性完整性是指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被及时发现。图5为工控系统现场编程数据完整性验证模型图。图5 现场编程数据完整性模型图如图5所示,通信数据A在发送之前,使用杂凑函数f( )计算出信息摘要f(A)附在数据A后,通过工业以太网传输到PLC,PLC使用函数f( )对接收到的数据部分B再次计算,比较f(
14、A), f(B),以此验证数据A的完整性。假设通信数据被黑客截获且关键数据被篡改,如图中虚线表示,信息数据部分被篡改为B,而摘要部分f(A)保持不变,通信数据到达接收端后,对信息数据部分B再次计算f(B),并与原摘要f(A)作比较,以此检验数据完整性是否被破坏。工控系统的现场可编程机制,为了更简单、快捷、实效地传输程序指令,需要尽量减少通信数据的冗余,提高传输效率。因此,目前主流工控系统的现场可编程机制没有设置对数据的完整性验证,忽略了系统的安全性,也就可能导致通信数据程序指令存在被恶意篡改的危险。2.3 上位机身份的可认证性可认证性是指对操作客体对操作主体的认证。在工控系统的现场可编程机制中
15、,编程上位机拥有对下位PLC的直接操作权限。为了保证系统的安全,PLC需要对编程上位机的身份信息进行认证7,上位机身份认证模型如图6所示。工控系统的现场编程过程,首先需要编程上位机与PLC建立以太网通信连接(一般采用TCP 3次握手),然后通过工业以太网发送消息相互验证身份信息。如图6所示,倘若黑客使用工业以太网上另一台非上位主机与PLC建立伪上位机连接,PLC接收端会对上位机的身份进行验证,确认该上位主机是否有对PLC操作的权限,确认身份后,才接收目标主机传来的信息数据,这样就能保证现场可编程数据的安全。通过对现有工控系统上位机与PLC通信机制的研究发现,为了节省系统资源,降低通信数据冗余,
16、现阶段普遍使用的PLC尚未设置对上位机的身份验证环节,故不能对系统安全实施有效保护。因此,在上位机的身份认证方面,PLC依旧保持较弱的安全性,存在安全隐患。 综上所述,可以总结出工控系统现场可编程安全机制主要分为三个方面:现场编程保密性、现场编程完整性和可认证性,每个方面都存在一定的安全隐患,主要有以下几点:(1) 工业以太网中引入了交换机,似乎提高了安全性,但交换机本身就存在大量安全漏洞,例如,更改交换机配置,ARP欺骗攻击,监视端口被利用都可能导致交换机被黑客攻破,从而获得直接侵入PLC的机会8。(2) 以太网的通用标准早已被人们所熟知,工业以太网应用层以下的协议都是通用协议,可以直接解析,所以,不法攻击者只需掌握或破译应用层协议格式,就能轻易构造合法的数据包
