上海论文代写网专业提供代写毕业论文、代写本科论文服务
发电厂分散控制系统安全评估主要内容探析
发布时间:2020-01-05 22:50

  摘 要: 针对发电厂DCS(分散控制系统)信息安全评估项目,提出了基于在线资产发现与核心设备自定义测试例漏洞检测相融合的安全评估方法。在线资产发现目的是实现动态DCS网络架构的生成和发现潜在静默设备甚至非法联网设备;核心设备的漏洞扫描旨在发现设备之间通信的安全漏洞,特别是常规测试无法检测到的隐患。检测发现发电厂DCS网络存在不同严重程度的安全漏洞,在自定义测试中还发现了控制器在通信过程中缺乏认证机制的缺陷,检测结果验证了所提安全评估方法是有效的。

  关键词: 分散控制系统; 安全评估; 在线资产发现; 漏洞扫描; 自定义测试例;

  Abstract: Aiming at the information security assessment project of DCS(distributed control system) in power plant, this paper proposes a security assessment method based on the integration of online asset discovery and core equipment customization test case vulnerability detection. The purpose of online asset discovery is to realize the generation of dynamic DCS network architecture and to find potential silent devices or even illegal networking devices; the vulnerability scanning of core devices aims to find security vulnerabilities in communication between devices, especially hidden dangers that cannot be detected by conventional testing. It is found that there are security vulnerabilities of various levels in the DCS network of the power plant. In the customized test, it is also found that the controller lacks authentication mechanism in the communication process. The test results verify the effectiveness of the security evaluation method proposed in this paper.

  Keyword: distributed control system(DCS); security assessment; online asset discovery; vulnerability scan; customized test case;

  0 、引言

  电力行业是我国引入DCS(分散控制系统)比较早的行业之一,由于其高可靠性、开放性、灵活性、易于维护、控制功能完善等特点,在改造传统产业和产业结构调整时成为首选方案。随着DCS技术的不断改进和发展,新一代DCS基于开放的技术标准,广泛使用Windows操作系统、以太网和OPC(过程控制对象链接与嵌入),然而,这些通用技术和标准的使用加剧了DCS控制网络的信息安全风险[1]。

  针对DCS网络安全评估和系统的漏洞挖掘,GB/T 33009.3—2016《工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南》的第6.1节(DCS资产识别)和第6.2节(DCS脆弱性)指出了评估的相关要求[2]。由于发电厂的控制网络具有“永远在线”的性质,以及发电厂控制系统高可用性要求的特点,因此必须对发电厂的DCS网络架构和控制流程有深入的了解方可进行安全评估测试。此外,虽然防火墙、入侵检测系统、虚拟专用网络和其他技术都可以帮助保护控制网络免受恶意攻击,但是在DCS环境中未经测试和验证的不正确配置或措施会严重妨碍其发挥安全效用,在安全评估测试中必须加以考虑。

  根据发电厂现场DCS安全评估项目的具体要求,选取了2种适合运营维护阶段的安全评估技术[3]:网络安全架构评审和基于工具的自动外部应用程序扫描。在网络安全架构评审的具体实践中,利用在线资产发现生成的动态网络拓扑替代了通常由运营方提供的静态网络架构拓扑,这样即得到了网络真实的拓扑结构,同时还可以发现静默设备或潜在的非法接入设备。在基于工具的自动外部应用程序扫描技术的漏洞挖掘过程中,通过对核心设备的安全漏洞扫描发现了多个急需解决的漏洞和安全隐患,并在此基础上,利用漏洞扫描工具的扩展功能,对常规测试例进行扩展,结合不同用途的工具发现DCS控制器的通信缺乏认证机制的严重问题。

  1 、发电厂控制系统概况

  本次安全评估以火电厂DCS为测试对象,火电厂的主控DCS包括DAS(数据采集系统)、MCS(模拟量控制系统)、FSSS(炉膛安全与监控系统)、SCS(顺序控制系统)、ECS(厂用电监控系统)、ETS(汽轮机紧急跳闸保护系统)以及DEH(数字电调系统)等。辅控DCS包括水务、输煤、除灰除渣、脱硫等子系统[4]。辅控DCS和机组DCS类似,为了更直观地展示,图1中将辅控系统和其他系统简化掉。图1中有若干测试点a—f,这些测试点作为测试所属网络或子网络的在线资产发现和核心设备漏洞扫描的网络接入点。

  火电厂的监控系统包括生产过程控制级、生产过程操作级和管理信息系统。其中生产过程控制级中的控制器,例如图1所示的Ovation控制器,接收现场传感器或变送器发送的数据,根据一定的控制策略计算出所需的控制量,并且向执行设备发送控制指令;生产过程操作级包括工程师站、操作员站、历史数据服务器和打印机等辅助设备;监控管理系统包括各种应用服务器和管理计算机等。3个层级分别对应了控制网络、监控网络和管理网络。

  图1 火电厂监控系统简化网络

  2、 DCS安全评估主要内容

  针对发电厂DCS的安全评估通常包括物理安全、主机安全、网络安全、OPC安全、控制器安全、上位机工业控制系统及终端、系统能力测试等多个方面[5,6]。本次DCS安全评估的关注点是DCS核心设备,即控制器和上位机的安全评估。

  2.1、 安全评估技术的选择

  常见的安全评估技术按照评估深度由浅到深的排序如表1所示。根据DCS整个生命周期不同阶段的特点需要考虑采用适合的安全评估技术。

  表1 安全评估技术

  鉴于发电厂DCS处于运营使用阶段,因此选取了2项适用于被检测对象处于运营使用阶段并且符合发电厂特殊生产环境要求的评估技术:网络安全架构评审和基于工具的自动外部应用程序扫描。

  网络安全架构的评审是根据运营者提供的网络拓扑图来分析网络部署是否符合网络分区和隔离的原则,是否提供足够的边界保护措施以及防火墙的设置和其他网络隔离手段是否充分合理[7]。然而,运营商提供的静态网络拓扑图未必能够真实反映网络连接状况,容易忽略实际存在但网络拓扑图中被遗忘或潜在非法连接的设备。为此,需要通过在线资产发现手段提供最真实的DCS网络架构拓扑作为网络安全架构评审的依据,更直观地了解发电厂DCS网络基础架构的缺陷以及需要升级和替换的薄弱环节。

  自动外部应用程序扫描是利用自动化开源或商业软件发现业界已知的应用漏洞[8,9]。在本次发电厂DCS网络安全评估中,自动外部应用程序扫描使用的是Nessus和Achilles 2种工具。采用这种评估技术的好处是:能快速识别设备中存在的已知漏洞;能够自动定期运行,提供漏洞的基准和持续管理指标;工具提供商的漏洞数据库可以基于公共漏洞资源,不断更新检测工具的漏洞数据库。但是常规测试例也有一定的局限性,不能发现零日漏洞,需要测试人员根据具体测试场景自定义测试例,因此需要测试人员深入了解测试对象的工作原理和工作流程并具备使用脚本语言开发自定义测试例的能力。

  2.2、 在线资产发现

  2.2.1、 方法选择

  在线资产发现,特别是自动执行持续性的资产发现是对传统网络安全架构评审的改进,在线资产发现包括被动扫描和选择性探查2种方式[10]。

  所谓被动扫描其实并没有网络扫描的行为,而是嗅探所有网络流量并对其进行解析,以获取可用于识别端点和流量模式的数据。被动扫描资产发现所需的元数据深藏在流量之中,查找用于识别设备品牌、型号、固件版本等信息是一项艰巨的任务,并且无法检测到静默设备,更无法准确发现设备的应用程序和安全补丁。此外,若静默设备检测期间没有发送消息,那么它就不会出现在物理层和数据链路的网络拓扑中。

  选择性探测是使用合法协议和访问凭证来探测网络设备,包括网络交换机和路由器。它充分利用了以下几点:工业控制环境中几乎所有相关协议都具有从固件版本的特定位置查询产品标识中元数据的功能,例如Modbus,Ethernet/IP,Profinet和DNP3。这同样适用于DCS网络中使用的IT协议,例如SNMP(简单网络管理协议)和WMI(Windows管理规范)。即使一些厂家的专有协议也具有查询元数据的特定功能,甚至还有专门为发现配置细节而设计的协议,例如链路层发现协议、思科发现协议。在具体测试过程中,选择性探测并非持续地分析所有网络流量,而是发送一次适当的探测调用,然后收集并处理相关的响应。与解析设备元数据的所有网络流量不同,对这些探测的响应仅包含需要的资产信息。

  本次发电厂DCS的网络安全评估最终确定采用选择性探测,原因是:可以检测静默设备;使用特定的协议能够可靠地枚举固件版本、软件应用程序和安全补丁;可以准确地映射网络拓扑,包括第1层和第2层特征。

  2.2.2、 具体实施及结果

  在实施发电厂某机组DCS的在线资产发现时,采用了Zenmap工具,即跨平台NMAP安全扫描工具的图形界面版本。目的是获取该网段中所有的设备网络信息,包括IP地址、开放端口和MAC(介质访问控制)地址,查看是否有未知或未授权的设备隐藏在发电机组的控制网络中。

  通过对某机组DCS网络的扫描,获取了网络内全部主机的IP地址、MAC地址和开放端口号,其中包括了全部控制器、工程师站、历史数据服务器等,并由此生成DCS网络拓扑结构,本项测试并未发现未知的设备。

  2.3、 核心设备的漏洞扫描

  2.3.1、 漏洞扫描工具选择

  核心设备的漏洞扫描主要采用了3种工具:Nessus,Achilles和Wireshark。表2是本次漏洞扫描所使用的3种工具的主要功能及其应用场景。

  表2 漏洞扫描工具简介

  2.3.2、 漏洞扫描测试环境

  图1中测试点c—f是测试工具Nessus在控制网络的接入位置,用于实现对控制器的漏洞扫描;测试点b是测试工具Nessus在监控网络中的接入位置,用于实现对工程师站的漏洞扫描;测试点a是测试工具Nessus在管理网络中的接入位置,用于实现对管理网络上联网设备的漏洞扫描[11]。鉴于本项目主要针对控制系统网络,因此没有对管理网络进行漏洞扫描。

  2.3.3、 DCS控制器模块的漏洞扫描

  对于DCS控制器本身来说,漏洞通常是软件缺陷和错误的配置所引起的,对DCS控制器模块的漏洞扫描就是模仿攻击数据流发送给控制器模块,来检查控制器能否正确应对处理以保证控制过程的可用性、完整性和保密性。

  对运行中的DCS控制器进行漏洞扫描可能会导致整个系统的可用性遭到破坏,因此选择冗余系统的控制器模块进行检测,即使由于漏洞扫描导致DCS控制器不能正常工作也不会影响发电厂的正常运行。同时,还需要对每个测试例可能产生的最坏结果做好应对措施,另外在测试例的选择上要考虑实验对象的耐受程度[12]。

  利用Nessus对控制器进行漏洞扫描后,发现了3个高危漏洞、4个中等危险漏洞和1个低级漏洞,同时还发现了一些信息泄露的情况。

  2.3.4、 工程师站的漏洞扫描

  利用Nessus对工程师工作站进行漏洞扫描后,发现了1个高危漏洞、3个中等危险漏洞。

  测试过程中模仿工程师站向控制器发送指令,利用Wireshark对工程师站与控制器之间的数据流量进行抓取和分析,获得含有关键操作“强制开启阀门”及“强制关闭阀门”指令的数据包,然后使用Achilles的用户自定义测试功能,构建关键操作指令测试例,对控制器进行发包测试[13]。Achilles将测试用例的数据包发送至相关控制器,在工程师站上可以看到相应阀门已经接受并执行了指令[14]。

  2.4、 测试结果分析

  2.4.1、 在线资产发现

  此次在线资产发现的结果没有发现被遗忘或隐藏在DCS网络上的静默设备,在线资产发现测试结果与已知的DCS网络设备连接状态吻合,从而证实了在线资产发现测试的有效性,利用在线资产发现结果可以得到当前真实网络拓扑结构。

  2.4.2、 核心设备存在的漏洞

  表3和表4分别是运行常规测试例发现的控制器和工程师站的漏洞列表。

  从2.3.4节模仿命令测试发现的设备漏洞中可以看到,控制器在执行来自工程师站的指令时没有鉴权机制,它可以接受符合协议格式的命令并且执行命令中要求的动作,这意味着任何能够访问到控制器的设备只要了解控制器接受的命令格式就可以发送非法指令,破坏正常的生产流程,这个模仿命令的测试证实了DCS网络中存在一个严重的安全漏洞,当DCS设备厂家暂时无法提供通信认证机制时,就必须针对DCS网络访问有严格的安全防护机制才能降低这个漏洞带来的安全风险。

  表3 OVATION控制器漏洞

  表4 工程师站漏洞

  2.4.3、 漏洞特征分析

  从文中列举的DCS网络核心设备控制器和工程师站安全漏洞中可以发现以下几个明显的特征:

  (1)在控制器和工程师站发现的漏洞是存在已久的漏洞,例如“SNMP代理默认社区名称(公共)”早在1990年就已出现,“FTP特权端口回退扫描”漏洞于1999年就被发现,但问题依然存在,说明DCS厂商并没有彻底解决已知漏洞。

  (2)有些陈旧的不安全服务依然存在于DCS核心设备上,没有及时更新或加以限制,比如rlogin和Telnet的服务[15]。

  (3)大部分被发现的漏洞可以通过补丁程序或正确的配置加以解决,有些已经付诸行动,比如工程师站没有开放SNMP在UDP(用户数据报协议)和TCP(传输控制协议)的端口,这说明已经可以规避“SNMP代理默认社区名称(公共)”漏洞带来的问题。

  (4)DCS控制器对于来自网络的控制命令没有认证机制,任何能够访问控制网络的设备模仿工程师站发送给控制器的指令都能得到执行,此时生产过程和生产安全面临巨大的风险,需要采取更严格的DCS网络访问安全控制。

  (5)有些不安全的协议,例如XDCMP不应在网络上使用,但是可以利用SSH(安全外壳)隧道使用XDCMP显示桌面[16]。SSH不仅安全,而且隧道允许通过许多防火墙限制,这些限制通常会阻止XDMCP。

  2.4.4、 漏洞扫描结果的适用范围

  在本次测试中,漏洞扫描被测设备是西屋公司的OVATION3.5控制器,位于发电厂生产过程控制网络,以及基于Solaris操作系统的工程师工作站,该工作站属于生产过程操作级的。

  3、 结语

  利用网络安全架构评审和基于工具的自动外部应用程序扫描2种安全评估技术手段,通过在线资产发现获得了实时准确的网络安全架构和在线资产的可靠信息,如果这一技术手段能够长时间应用在DCS控制网络中则可以随时获得动态的DCS网络资产信息。而DCS网络核心设备漏洞扫描,发现已经存在了很久的漏洞,这些漏洞对于外部的攻击者来说是容易攻击的,而内部人员也可能利用这些漏洞对DCS系统造成生产过程的破坏或信息泄露。通过编写脚本构建自定义测试例发现DCS控制器在接收上位机指令时没有认证机制的漏洞,有效弥补了现有商用漏洞扫描工具的欠缺。

  总之,此次安全评估验证了在线资产发现以及利用漏洞扫描工具特别是自定义测试例的有效性和优越性,其次证实了发电厂的DCS控制系统是存在安全风险的,有些漏洞可以通过补丁和正确的配置来避免被利用,但是由于DCS控制系统可能在短时间内无法支持对上位机的认证功能,那么只能从其他方面加强DCS网络安全措施,阻止对DCS网络的任何非法访问。

  参考文献

  [1] 丁俊宏,丁宁,苏烨,等.2015年浙江省发电厂典型热控故障异常分析与建议[J].浙江电力,2017,36(1):27-30.  [2] 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南:GB/T 33009.3—2016[S].北京:中国标准出版社,2016.  [3] 赵孟,谭玉波.网络安全评估技术综述[J].计算机科学与应用,2015,5(1):18-24.  [4] 袁胜.工业控制系统被谁“反控”[J].中国信息安全,2016,31(4):46-47.  [5] 敖琪,张根宝.基于马尔科夫的多路控制器可靠性及安全评估[J].自动化仪表,2014,35(3):60-63.  [6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012(8):36-37.  [7] 王宸东,郭渊博,甄帅辉,等.网络资产探测技术研究[J].计算机科学,2018,45(12):42-48.  [8] 陈靖,王冬海,彭武.基于动态攻击图的网络安全实时评估[J].计算机科学,2013,40(2):133-138.  [9] 陈小军,方滨兴,谭庆丰,等.基于概率攻击图的内部攻击意图推断算法研究[J].计算机学报,2014,37(1):62-72.  [10] 陆悠,李伟,罗军,等.一种基于选择性协同学习的网络用户异常行为检测方法[J].计算机学报,2014,37(1):28-40.  [11] 张静媛,黄丹丹,杨晓彦,等.NESSUS基本原理及其关键技术分析[J].电子科技,2006,19(11):1-5.  [12] 程甫,於国良.T3000公用系统上层网络安全隐患分析[J].浙江电力,2017,36(7):56-59.  [13] 王斌.工业控制系统信息安全的安全保障-Achilles认证[J].自动化博览,2014,11(3):50-64.  [14] 李洁颖,邵超.基于主成分分析的拒绝服务和网络探测攻击检测[J].计算机应用,2012,32(6):1620-1622.  [15] 周开波,张治兵,倪平,等.网络设备Telnet服务安全威胁及其防范措施[J].现代电信科技,2016,46(3):11-15.  [16] STOUFFER K,FALCO J,SCARFONE K.Guide to indus trial control systems(ICS)security:BNIST SP 800-82[S].[S.l.]:National Institute of Standards and Technology,Tech.Rep.,2008.

Copyright © 2008 - 2020 www.shlunwen.com 上海论文网, All Rights Reserved.