工业控制系统安全测评技术方案:网络健壮性检测
工业控制系统主要基于传感器、物联网、云计算、移动互联网等现代信息通信技术,实现对工业生产过程的精准控制和资源调度。从安全视角来看,工业控制系统不仅面临着传统的 ICT 安全风险,同时也面临着 PLC、DCS、SCADA 等工控环境的特定协议、规程的安全风险。结合《网络安全法》的要求,需要针对工控系统开展全面的例行安全测评,切实提高工控系统的安全等级。
工业控制系统(ICS)是几种类型控制系统的总称,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其它控制系统(如可编程逻辑控制器(PLC))。工业控制系统广泛应用于核设施、电力、石化、化工、冶金、食品、市政、先进制造等国家关键基础设施的运行控制过程中,是国家关键基础设施的“中枢神经”。随着我国“两化融合”工作的不断深化,工业控制系统面临的内外部安全威胁日益严重,保障工业控制系统信息安全已经上升为国家层面的安全战略。
针对工业控制系统信息安全的问题,工控系统厂商、安全产品厂商、行业机构等信息安全干系方从不同的视角提出了一些安全解决方案,但这些解决方案大都是从“病了吃药”的角度提出的。从根源上,更要增加工控系统自身的免疫力和提升自身的抵抗力。
网络健壮性测试平台
阿基里斯认证是一项被用户、行业组织和供应商广泛认可和推荐的行业网络安全国际标准,西门子、施耐德、ABB等公司的自动化产品均通过了阿基里斯认证的所有要求,使得阿基里斯认证成为事实上的行业标准。
阿基里斯测试平台(Achilles Test Platform,以下简称ATP)是为工业设备提供网络健壮性测试而设计的平台,主要测试对象为可编程逻辑控制器(PLC)、分布式控制系统(DCS)控制器等,ATP 也可以测试任何有 Ethernet 端口和网络堆栈实现的设备,如服务器、HMI、工程师站、网络设备等。阿基里斯测试平台提供主动式先期预防的技术解决方案以提升网络可靠性和安全性,并可验证产品受到网络攻击时的耐受力,通过阿基里斯测试的产品,被证明已经达到通讯可靠性的最高标准要求,可以有效防范上万种“零日漏洞”以及其他未公开的漏洞或隐患。
工控系统健壮性检测方案
(1)连接配置
在进行设备测试时阿基里斯测试平台支持两种组网方式,一种是直接测试工控设备,另一种是桥接到工控设备和上位机中间。
图1 连接配置方式
工业互联网典型安全解决方案案例汇编V1.0阿基里斯测试平台与被测设备(Device Under Test,以下简称DUT)的连接如上图所示,针对不同的测试对象、测试要求,拓扑结构会作出某些调整,应以具体情况为准。
在ATP与DUT实现物理连接后,将对ATP配置界面进行具体配置。该操作主要是用来填写 ATP、DUT的IP地址与MAC地址,以便实现两者的互联互通。并可以开启相应的监视器,以查看在通信过程中 DUT 的端口或者协议是否正常工作。图43 ATP 配置界面
配置完成后,需要对DUT进行端口扫描,为后期测试项的执行做好前期准备工作。端口扫描界面如下图所示:
图2 端口扫描界面
(2)检测执行
ATP与DUT实现连接以及配置和端口扫描等测试前准备工作后,开始具体的测试过程。阿基里斯测试主要分为两个等级:一级和二级,针对不同的检测级别,ATP 中包含不同的测试项。
通过测试设置,选择测试所需的 ATP 中不同测试项,作为测试执行的测试案例,在测试执行界面执行已选择的测试项,进行被测设备网络健壮性检测。
图3 测试执行界面
测试过程中发现的问题会在事件日志中详细说明,用以指导测试产品厂商进行产品改进。在测试结果界面,保存的信息包括:测试结果、测试参数、测试环境信息、监视图表、事件日志、抓包分析或流量分析。最终,阿基里斯测试平台会针对测试过程生成 PDF 报告,通过分析测试数据,可以自动判断被测设备是否通过认证。
小结
基于上述工控安全健壮性测评思路,2016年对国内某LK系列可编程控制器开展了阿基里斯认证工作,分别对基础 TCP/IP 协议栈、工业应用层总线开展了Fuzzing 测试、风暴测试、资源耗尽型测试、错误数据型测试和完整性测试工作。
经过近一个月的迭代测试,被测公司通过不断优化代码,攻克了恶意攻击、不完整报文、广播风暴等多种情景下,控制器底层控制总线仍可保持正常运行的技术难关,最终通过认证,并于2017年3月1日获得Achilles Level I 认证证书,成为国内首家获得该认证的大型 PLC 供应商。