谷神星網(wǎng)絡(luò)科技有限公司

工業(yè)控制網(wǎng)絡(luò)安全系列之五SCADA 通信協(xié)議的漏洞、攻擊及應(yīng)對(duì)

谷神星網(wǎng)絡(luò)科技有限公司

1 簡(jiǎn)介

工業(yè)控制系統(tǒng)（ICS）中，SCADA（監(jiān)控和數(shù)據(jù)采集系統(tǒng)）的每一步操作都是嚴(yán)格遵照RTU（遠(yuǎn)程終端單元）發(fā)出的指令來(lái)完成的，所以，想對(duì)采用SCADA的工業(yè)控制系統(tǒng)進(jìn)行破壞，黑客只要修改相關(guān)數(shù)據(jù)或者阻礙數(shù)據(jù)傳輸就可以達(dá)到目的。

由于SCADA系統(tǒng)的通信協(xié)議在設(shè)計(jì)之初就欠缺安全考慮，所以SCADA系統(tǒng)對(duì)黑客們有很大的吸引力。這些黑客有兩種，一種是目標(biāo)式攻擊者，一種是愚笨式攻擊者。愚笨式攻擊者一般都是些技術(shù)不熟練的生手，對(duì)付他們只要采用冗余系統(tǒng)或其他安全手段就可以了，不用費(fèi)什么力氣。而目標(biāo)式攻擊者多數(shù)技術(shù)嫻熟、智力超群，SCADA系統(tǒng)現(xiàn)有的安全手段很難防備。如果遇到攻擊方式多樣化的協(xié)同式攻擊（聯(lián)合攻擊），SCADA系統(tǒng)更是束手無(wú)策；而且，協(xié)同式攻擊還可通過(guò)偽裝和分解等手段來(lái)躲避偵測(cè)?？梢赃@么說(shuō)，如果策劃嚴(yán)密、實(shí)施得當(dāng)，協(xié)同式通信信道攻擊幾乎可以摧毀現(xiàn)在所有的SCADA系統(tǒng)。不過(guò)，協(xié)同式通信信道攻擊只有在黑客做足風(fēng)險(xiǎn)分析，找到系統(tǒng)所有漏洞的前提下才能完成。

如果“換位思考”，從攻擊者的角度來(lái)考慮重要系統(tǒng)的安全防護(hù)工作，那么，首先就應(yīng)該對(duì)通信信道進(jìn)行風(fēng)險(xiǎn)分析，找出所有可能的漏洞，然后再采取應(yīng)對(duì)措施，降低協(xié)同式通信信道攻擊風(fēng)險(xiǎn)。

采用風(fēng)險(xiǎn)分析或漏洞分析方法的另一個(gè)好處是，企業(yè)可以自行決定是對(duì)所有的設(shè)備實(shí)施安全防護(hù)，還是只對(duì)特定的某些區(qū)域進(jìn)行安全防護(hù)，以在投入成本與安全效益之間取得平衡。

2 IEC 60870-5-101和IEC 60870-5-104通信協(xié)議中的漏洞

⑴IEC 60870-5-101和IEC 60870-5-104通信協(xié)議中存在以下幾個(gè)漏洞：

①IEC 60870-5-101協(xié)議中CS（校驗(yàn)和）域只有一個(gè)字節(jié)；IEC 60870-5-104協(xié)議中則沒(méi)有CS域；傳輸數(shù)據(jù)的完整性完全取決于下一層；

② 對(duì)于應(yīng)用層和數(shù)據(jù)鏈路層，兩種協(xié)議都缺少內(nèi)在的安全機(jī)制；

③ 數(shù)據(jù)傳輸層的漏洞有：

a. 有限的帶寬限制了可傳輸幀的長(zhǎng)度(如：兩個(gè)協(xié)議下，一次都只能傳輸255個(gè)8位位組)。

b. 通信介質(zhì)的不可靠性（即通信介質(zhì)不一定有安全機(jī)制）。

⑵IEC 62351安全標(biāo)準(zhǔn)也對(duì)這些漏洞進(jìn)行了探討。攻擊者就是利用這兩個(gè)協(xié)議中的這些漏洞潛入系統(tǒng)并進(jìn)行破壞的。其中，應(yīng)用層漏洞可能導(dǎo)致的攻擊有電子欺騙和非否定攻擊；數(shù)據(jù)鏈路層漏洞可能導(dǎo)致的攻擊有嗅探攻擊、數(shù)據(jù)篡改和重放攻擊等。

⑶SCADA環(huán)境中可能會(huì)受到通信信道攻擊的環(huán)節(jié)有：

① MTU（主控終端）和RTU之間的通信(數(shù)據(jù)傳輸采用的是IEC 60870-5-101和IEC 60870-5-104協(xié)議)。

②MTU 和HMI（人機(jī)接口）之間的通信。

這些環(huán)節(jié)中，如果數(shù)據(jù)被修改，就可能導(dǎo)致控制出錯(cuò)，并引發(fā)混亂。

3 漏洞分析

⑴CS域漏洞

①CS域的位數(shù)不夠

IEC 60870-5-101協(xié)議中CS域只有一個(gè)字節(jié)，很容易發(fā)生溢出現(xiàn)象。早期SCADA研究中有很多這方面的論據(jù)。其中一個(gè)例子是，校驗(yàn)和最大值為100的情況下，如果所有數(shù)據(jù)的和為130或230或330等時(shí)，那么CS域的值為30。這表明，只使用一個(gè)字節(jié)的CS域是不能準(zhǔn)確反映校驗(yàn)和的數(shù)值的。

② 單憑CS域不能保證數(shù)據(jù)的完整性

單純依靠CS域來(lái)檢查數(shù)據(jù)的完整性是不可取的。精明的黑客只要同時(shí)改變數(shù)據(jù)值和相應(yīng)CS域的值，就可以瞞天過(guò)海。

⑵ 數(shù)據(jù)傳輸層的漏洞

數(shù)據(jù)傳輸?shù)挠邢迬捴萍s了數(shù)據(jù)包的幀長(zhǎng)度。在IEC 60870-5-101和IEC 60870-5-104協(xié)議下，一次只能傳輸255個(gè)8位位組；同時(shí)，也不可能在傳輸幀中增加安全位。

缺乏安全機(jī)制的通信介質(zhì)也是一個(gè)問(wèn)題。通常，通信介質(zhì)有雙絞線、光纖、無(wú)線電波等。如果通信介質(zhì)為無(wú)線電波，那么，一個(gè)不在通信頻段的信號(hào)就能對(duì)數(shù)據(jù)通信造成頻率干擾。

IEC 62351安全標(biāo)準(zhǔn)為IEC 60870-5系列協(xié)議提供了安全機(jī)制。雖然IEC 62351對(duì)應(yīng)用層提供了安全策略，但卻沒(méi)有考慮數(shù)據(jù)鏈路層的安全措施。因此，僅憑IEC 62351標(biāo)準(zhǔn)來(lái)保護(hù)DCADA系統(tǒng)通信協(xié)議的安全是不夠的。

4 非協(xié)同式攻擊和協(xié)同式攻擊

⑴非協(xié)同式攻擊

目的：誤導(dǎo)控制中心操作員

缺陷：在交叉檢驗(yàn)標(biāo)識(shí)的值和范圍時(shí)容易被控制中心操作員發(fā)覺(jué)

非協(xié)同式攻擊也分兩種，愚笨型和智能型。

愚笨型攻擊非常簡(jiǎn)單，攻擊者不需要具備通信協(xié)議相關(guān)知識(shí)，只要簡(jiǎn)單修改幾個(gè)字節(jié)的數(shù)據(jù)，再發(fā)送到目的地即可。但是，MTU仿真器會(huì)根據(jù)CS值檢測(cè)出數(shù)據(jù)變化，并提示“校驗(yàn)和不匹配”信息。所以，這類攻擊對(duì)系統(tǒng)不會(huì)造成大的影響。

智能型攻擊就需要了解系統(tǒng)所用的通信協(xié)議內(nèi)容。圖1為IEC 60870-5-101協(xié)議中傳輸幀的格式。

圖1中，CF 控制域;LA 鏈路地址域；T1 類型標(biāo)志域；VSQ 可變結(jié)構(gòu)限定詞；COT 傳輸原因域；CAASDU應(yīng)用服務(wù)地址單元域；CS 校驗(yàn)和域；L 長(zhǎng)度域；RES 保留位；PRM 信源信息位；FCB 幀計(jì)數(shù)位；DFC 數(shù)據(jù)流控制位；ACD要求訪問(wèn)位。

圖1也對(duì)CF控制域的8個(gè)位元進(jìn)行了描述。其中，ACD位是由從（受控）系統(tǒng)發(fā)送給主（控制）系統(tǒng)的，目的是告知主系統(tǒng)有數(shù)據(jù)需要傳送；主系統(tǒng)如果想讀取這些數(shù)據(jù)就會(huì)發(fā)出數(shù)據(jù)請(qǐng)求。通常這些數(shù)據(jù)與斷路器、開關(guān)等有關(guān)，所以大部分情況下，被視為關(guān)鍵數(shù)據(jù)。聰明的黑客非常清楚，只要修改ACD位和相應(yīng)CS位的值，就可以蒙蔽主系統(tǒng)，主系統(tǒng)就接收不到這些關(guān)鍵數(shù)據(jù)。

還有一個(gè)DFC位，也是由從系統(tǒng)傳送到主系統(tǒng)的。目的是告知主系統(tǒng)，如果主系統(tǒng)繼續(xù)發(fā)送數(shù)據(jù)請(qǐng)求，就會(huì)導(dǎo)致數(shù)據(jù)溢出。那么，黑客如果修改DFC位和相應(yīng)CS位的值，就可以讓主系統(tǒng)處于不斷等待狀態(tài)中。

ASDU（CAASDU）域和LA域分別儲(chǔ)存應(yīng)用服務(wù)地址和鏈路地址。黑客如果篡改了這些域和相應(yīng)CS位的值，那么RTU就不可能按照原定指令進(jìn)行控制操作。

傳輸幀格式里的其他域（如TI、VSQ、CQT等）的值也可能被修改，不過(guò)這種修改很容易被操作員發(fā)覺(jué)，影響非常小。

⑵協(xié)同式攻擊

如果攻擊者想給某個(gè)組織或某個(gè)國(guó)家嚴(yán)重打擊，就會(huì)采取協(xié)同式攻擊，也稱作目標(biāo)協(xié)同式攻擊。這種攻擊不是由個(gè)人進(jìn)行的，而是由一組不同領(lǐng)域的專家共同完成。就像其他常見的利用通信信道攻擊獲取網(wǎng)絡(luò)接入和接入憑證信息一樣，他們收集的是通信協(xié)議及其域值的詳細(xì)信息。攻擊者會(huì)仔細(xì)研究通信協(xié)議，找出哪些漏洞可以用來(lái)進(jìn)行最大限度的破壞。實(shí)驗(yàn)證明，這種攻擊可以造成非常嚴(yán)重的后果。

攻擊者一旦獲取了代表執(zhí)行器和斷路器等設(shè)備域的標(biāo)識(shí)、值和范圍等信息，就可以發(fā)送控制命令，操縱這些設(shè)備，并給系統(tǒng)造成嚴(yán)重影響。協(xié)同式攻擊非常殘酷，也非常不容易被發(fā)現(xiàn)和控制。

5 基于IEC 62351的IEC 60870-5系列協(xié)議的應(yīng)用層安全防護(hù)

在應(yīng)用層，認(rèn)證機(jī)制是很關(guān)鍵的安全防護(hù)手段。認(rèn)證機(jī)制有兩種：操作員認(rèn)證和MTU/ RTU認(rèn)證。

操作員認(rèn)證可以阻擋非否定攻擊。其認(rèn)證機(jī)制是每個(gè)操作員都擁有一個(gè)獨(dú)立的認(rèn)證憑據(jù)，并可設(shè)置操作員權(quán)限。所以，采用操作員認(rèn)證可以讓操作員負(fù)起責(zé)任。

MTU/RTU認(rèn)證可以阻擋電子欺騙/偽裝攻擊。IEC 62351安全標(biāo)準(zhǔn)提出的安全機(jī)制是只認(rèn)證關(guān)鍵數(shù)據(jù)，不認(rèn)證非關(guān)鍵數(shù)據(jù)，以減少對(duì)帶寬和處理能力的要求。IEC 62351還定義了一個(gè)積極模式機(jī)制，用于取代質(zhì)詢響應(yīng)機(jī)制。不過(guò)，積極模式的安全性沒(méi)有質(zhì)詢響應(yīng)機(jī)制高。另外，IEC 62351對(duì)認(rèn)證憑據(jù)的修改/管理也提出了密鑰交換機(jī)制。

6 實(shí)驗(yàn)研究模型

對(duì)當(dāng)前的SCADA系統(tǒng)實(shí)行這些安全機(jī)制面臨的一個(gè)主要問(wèn)題是，RTU和MTU軟件是不對(duì)外開放的第三方軟件。安全模型的設(shè)計(jì)只能在技術(shù)上和經(jīng)濟(jì)上都不影響現(xiàn)有SCADA系統(tǒng)的情況下進(jìn)行。因此，在不影響SCADA系統(tǒng)運(yùn)行的前提下，應(yīng)用層的安全機(jī)制只能由系統(tǒng)外部提供。這個(gè)可以利用單板機(jī)（SBC）實(shí)現(xiàn)。將單板機(jī)視為附加層，在這個(gè)附加的安全層里，傳輸數(shù)據(jù)會(huì)被包裝起來(lái)。

圖2是為IEC 60870-5-101協(xié)議開發(fā)的安全設(shè)計(jì)模型。其中的強(qiáng)化安全區(qū)（Security Hardener）就是一個(gè)SBC。

這個(gè)安全模型是完全遵照IEC 62351安全標(biāo)準(zhǔn)要求設(shè)計(jì)的。模型中，為了優(yōu)化帶寬使用和處理能力，采用的是僅對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行認(rèn)證的模式。

圖1 IEC 60870-5-101和104通信協(xié)議的幀格式

圖2 IEC 60870-5-101協(xié)議的認(rèn)證安全模型

關(guān)于優(yōu)化帶寬和處理能力的計(jì)算：IEC 60870-5-101 協(xié)議中ASDU（應(yīng)用服務(wù)數(shù)據(jù)單元）的長(zhǎng)度是25 B。通常，處理25 B需要100 ms。再考慮由SBC給應(yīng)用層提高安全防護(hù)的質(zhì)詢響應(yīng)機(jī)制，其中質(zhì)詢信息112 bit（23 B），響應(yīng)信息72 bit（9 B）；專門的ASDU請(qǐng)求和響應(yīng)會(huì)占50 B。那么采用安全機(jī)制傳輸?shù)淖止?jié)總數(shù)為82 B（23+9+50）。

字節(jié)數(shù)的增加會(huì)增大帶寬的使用；用“X”來(lái)表示增加的處理能力。那么，新的處理能力應(yīng)為“100 ms+X”。注意：“X”值會(huì)小于100 ms。

如果使用積極模式來(lái)代替質(zhì)詢響應(yīng)機(jī)制，那么額外增加的字節(jié)數(shù)應(yīng)為57 B（積極模式請(qǐng)求7 B+數(shù)據(jù)傳輸50 B）。

注意：質(zhì)詢響應(yīng)機(jī)制的數(shù)據(jù)長(zhǎng)度是根據(jù)所需的最小值（IEC 62351提到）來(lái)計(jì)算的，因?yàn)閿?shù)據(jù)長(zhǎng)度總有增加的可能。

圖3是IEC 60870-5-104協(xié)議的安全認(rèn)證模型。IEC 60870-5-104協(xié)議是一個(gè)基于IP的協(xié)議，所以，某種程度上，它與IEC 60870-5-101協(xié)議的設(shè)計(jì)模型并不相同，但是，它們的數(shù)據(jù)傳輸機(jī)制都是差不多的。

這種模型也是完全遵照IEC 62351安全標(biāo)準(zhǔn)來(lái)設(shè)計(jì)的。由于認(rèn)證機(jī)制中積極模式的安全性不夠，所以這種模式只采用了質(zhì)詢響應(yīng)機(jī)制。雖然在時(shí)間苛刻的情況下，積極模式非常重要，但通常的工作場(chǎng)景是可以承受質(zhì)詢響應(yīng)機(jī)制帶來(lái)的時(shí)間延遲的。

7 附加安全機(jī)制

IEC 62351 安全標(biāo)準(zhǔn)只對(duì)應(yīng)用層提供了安全防護(hù)措施。但是在SCADA系統(tǒng)中，僅實(shí)現(xiàn)應(yīng)用層安全并不能保證關(guān)鍵數(shù)據(jù)的完整性。所以，為了保證數(shù)據(jù)完整性，需要引入安全加密機(jī)制。由于MTU和RTU都是第三方軟件，在實(shí)施數(shù)據(jù)鏈路層安全機(jī)制時(shí)，也會(huì)碰到線路機(jī)制。

經(jīng)過(guò)對(duì)IEC 60870-5-101協(xié)議數(shù)據(jù)包格式的深入分析發(fā)現(xiàn)，在MTU和RTU之間傳輸?shù)臄?shù)據(jù)包有2種規(guī)格。一種長(zhǎng)度＜16 B，另一種長(zhǎng)度＞16 B。小于16 B的ASDU數(shù)據(jù)包在傳送時(shí)是完全加密的，大于16 B的ASDU數(shù)據(jù)包中，只有16 B（包括CS位）被加密，并與其余數(shù)據(jù)一起傳送。為提供更強(qiáng)大的安全防護(hù)，使用了AES-128位加密算法。我們已經(jīng)對(duì)模擬實(shí)驗(yàn)室里的SCADA測(cè)試臺(tái)使用了這種技術(shù)。加密技術(shù)可以有效防御數(shù)據(jù)篡改攻擊、重放攻擊以及嗅探攻擊等。在數(shù)據(jù)傳輸協(xié)議中采用時(shí)間戳技術(shù)也可以防御重放攻擊。

8 觀察結(jié)果

采用不同機(jī)制造成的時(shí)延如表1所示。

9 結(jié)論

由于SCADA系統(tǒng)的通信協(xié)議缺乏應(yīng)用層和數(shù)據(jù)鏈路層的安全機(jī)制，使得SCADA系統(tǒng)深受網(wǎng)絡(luò)攻擊之苦。這些網(wǎng)絡(luò)攻擊被犯罪分子用來(lái)作為破壞某個(gè)組織或國(guó)家的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)武器。如果采用上述實(shí)驗(yàn)研究模型，可以有效防御網(wǎng)絡(luò)攻擊，并可為SCADA系統(tǒng)提供應(yīng)用層和數(shù)據(jù)鏈路層的安全防護(hù)。這個(gè)研究模型也是完全符合IEC 62351安全標(biāo)準(zhǔn)的。

（未完待續(xù)，“系列之六：新一代基于服務(wù)的SCADA/DCS系統(tǒng)化體系架構(gòu)”見2015年第9期）

表1 不同機(jī)制造成的時(shí)延

圖3 IEC 60870-5-104協(xié)議的安全認(rèn)證模型

ADI推出四通道、2.4 GS/s、16位數(shù)DAC AD9154

最近，Analog Devices, Inc. (NASDAQ∶ADI)——全球領(lǐng)先的高性能信號(hào)處理解決方案供應(yīng)商推出四通道、2.4 GS/s、16位數(shù)模轉(zhuǎn)換器(DAC) AD9154，該器件在100 MHz ～ 300 MHz 頻段內(nèi)具有業(yè)界領(lǐng)先的動(dòng)態(tài)范圍性能，可用于復(fù)中頻發(fā)射機(jī)。高度集成的四通道、16位 DAC AD9154 是同類產(chǎn)品中唯一片內(nèi)集成 PLL（鎖相環(huán)）和八通道 JESD204B 接口的器件。這些特性組合可讓設(shè)計(jì)人員采用單個(gè)器件滿足多載波 GSM 和 LTE 發(fā)射器針對(duì)無(wú)線宏基站、點(diǎn)對(duì)點(diǎn)微波無(wú)線電、軍用無(wú)線電和無(wú)線電測(cè)試設(shè)備的全部設(shè)計(jì)要求。這款最新的轉(zhuǎn)換器集成一系列針對(duì)復(fù)中頻發(fā)射應(yīng)用優(yōu)化的特性，包括復(fù)數(shù)數(shù)字調(diào)制、輸入信號(hào)功率檢捊以及增益、相位與失調(diào)補(bǔ)償。觀看最新款高速 DAC 的視頻請(qǐng)?jiān)L問(wèn)： http∶//www . analog.com/AD9154video 。

（ADI公司供稿）