安点科技吝宁：工控协议脆弱性分析及防护对策
2018-10-08   

安点科技工业网络安全专家 吝宁

      网络协议是计算机网络中进行数据交换而建立的规则、标准或约定。目前已有许多工业控制专用协议，大多是为了提高效率和可靠性而设计的，以满足大规模分布式控制系统的运行需要。但是，令人堪忧的是这些协议为了提升效率，而放弃了协议的安全特性。

      例如：放弃要求额外运算资源的认证和加密等措施。更有许多工控协议为了能够适应以太网运行做了修改，使得协议存在可以被利用的漏洞。

      起初，工控协议的安全性问题并不严重，这些协议只是通过专用串口在封闭网络和可信软件间执行。但随着“两化融合”“智能制造2025”等国家战略的稳步落地，工控系统逐渐从封闭走向开放互联，这些工控协议也逐步与TCP或无线网络相连，工控协议的安全问题被无限放大。日前，小编专访了安点科技工业网络安全专家、产品总监吝宁先生，请他就工控协议的脆弱性和安全防护对策回答了以下问题。

什么是工控协议？工控协议的脆弱性都有哪些？

吝宁：工控协议通俗来讲是工控设备与应用、设备与设备之间沟通的语言，是工业控制系统实现数据采集传输、控制指令下达等功能的重要桥梁。

      从分类来说，工控协议可以分为标准协议、私有协议，常见的标准协议包括Modbus、ProfiBus、OPC等等，同时DCS系统通信根据厂商及产品型号不同系统普遍采用私有协议，如横河电机的Vnet/IP等。此外，工业无线通信还会用到包括工业WIFI、ZIGBEE、LoRa等无线通信技术标准。

私有协议和无线协议的安全性是否比较高？

吝宁：私有协议的安全性确实有所提升，私有协议协议通常采用UDP广播包的形式发起通讯，而且普遍数据是加密的。但这并不意味着绝对安全，例如开发DCS的人员非常了解这些协议，如果实施有目的的攻击行为更容易造成隐匿性破坏。

      再说无线协议，现在的安全防护产品90%以上都是针对有线协议进行安全防护，通过无线协议传输的数据往往直接暴露在空旷的网络中，很有可能利用标准的无线协议漏洞进行攻击。

为什么多年发展后，工控协议仍遗留众多的安全问题？

吝宁：工业自动化厂商都了解以上种种问题，而且也具备修复脆弱性的技术能力，但却无法付诸行动。

      首先是成本上的考虑，若修改工控协议经影响其整个产品线的正常通信，而且工业控制系统牵扯设备众多，全面的升级与调试厂商将承担巨大的时间成本和经济成本。

      再者，例如对工控协议进行加密，其通信发起端和获取终端将额外增加大量运算负荷，在已接近满负荷运转的工业控制系统中，这显然是不切实际的。所以这就需要工控安全厂商帮助自动化厂商解决这些问题，在我看来两者实际是相辅相成的关系。

安点科技针对这些问题的防护对策是什么？

吝宁：首先是预防，在这个阶段我们技术手段与管理手段双管齐下。

      管理手段主要解决“人”的隐患，安点科技通过培训等服务方式帮助企业建立完善的安全制度，帮助员工树立正确的安全意识。

      技术手段我们采用态势感知技术和区块链技术相结合的方式，安点科技在企业集团中建设态势感知预警平台，并且我们所有的安全防护设备都是具有独立的细粒度数据处理和分析能力的“威胁挖掘机”，

      这些安全设备实时向平台和其他安全防护设备共享安全情报，之后平台再汇总这些网络安全数据进行关联分析，向安全防护产品下发具体应对策略。这一切都是自动化和可视化的。

      这样我可以快速的从海量工业数据中提炼重点网络安全数据，从漏洞态势、网络攻击态势、可用性态势、主机态势等维度全面评估企业网络安全态势等级，实现企业网络安全态势“可见、可管、可控”。

      之后是防御，防御主要还是采用“边界防护、横向隔离，纵向防御”，这是经过时间检验的最有效的防护思路。但需要注意的是，不论是防火墙或是网闸等安全防护手段，工业协议通过之后仍然是明文的，仍然存在安全隐患。

      而我们的核心技术之一是对明文协议的加解密技术，且完全不占用控制系统资源，在一定程度上解决了标准工控协议的先天缺陷。

      最后是追溯，再周密的防御措施针对恶意内部人员往往效果大打折扣，我们通过网络审计、主机审计等手段做到“威胁源头可溯、威胁去向可查”。

      这就是我们的整体防护思路，以提高预防能力为起点，在预防上失效的情况下，做全面的防护。那么在防护失效的情况下，我们可以至少做到亡羊补牢。

安全防护的难点是什么？安全企业应如何应对？

吝宁：如今,国内外生产企业都把工业控制系统安全防护建设提上了日程，但业主单位仍普遍困惑如何进行安全防护，我将其归纳为4W+1H问题。工控企业的核心价值就是帮助企业解决以下问题。

·   Why：为什么要进行安全防护？

·   What：要进行什么样安全防护？

·   Where：在那些地方进行安全防护？

·   When：什么时间点部署安全防护产品？

·   HOW：如何达到安全防护的目标？

      从工控协议安全防护这个比较小的角度来说。目前市场上安全产品已普遍支持庞大的工控协议库，但是一些厂商对工业控制缺乏理解。

      事实上，不同品牌控制系统的通信方式截然不同，且通信往往分为多个阶段。我们需要从生产命令或信息的发送终端开始，一直到命令或信息接收终端为止，中间所有的环节我们都要注意，把对威胁和风险的控制点进量提前，做到漏洞被实际利用前就将攻击行为扼杀。

      我认为工控安全企业必须对工业控制和网络通信安全有比较充分和全面的认识，也必须具备强大的快速研发能力和自主知识产权，这样才能依据不同工控系统的特点提供订制化的、有效果的、有价值的网络安全防护解决方案。