基于工控協(xié)議防火墻的脆弱性分析

摘要：本文以工控系統(tǒng)與IT系統(tǒng)比較為基礎(chǔ)，從協(xié)議的角度分析了工控防火墻脆弱性產(chǎn)生的原因，并結(jié)合其在網(wǎng)絡(luò)背景下的具體表現(xiàn)形式，探討了脆弱性規(guī)避的方向，旨在加速工控專用防火墻進(jìn)步，提升網(wǎng)絡(luò)環(huán)境中工控系統(tǒng)的安全性。

關(guān)鍵詞：工控系統(tǒng);網(wǎng)絡(luò)協(xié)議：防火墻脆弱性

引言：現(xiàn)代工作背景下，工控系統(tǒng)已經(jīng)不能像傳統(tǒng)背景中以獨(dú)立的局域網(wǎng)絡(luò)運(yùn)行，而是需要參與公共網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。但由于工業(yè)生產(chǎn)的個性需求與工控系統(tǒng)的設(shè)計原理，工控系統(tǒng)信息安全性與運(yùn)行穩(wěn)定性是得不到保障的，專用防火墻功能存在較大的提升空間。

一、工控系統(tǒng)與IT系統(tǒng)的區(qū)別

現(xiàn)代背景下，IT系統(tǒng)防火墻設(shè)計已經(jīng)較為完善，網(wǎng)絡(luò)上存在的大多黑客、木馬等行為均無法繞過防火墻對IT系統(tǒng)進(jìn)行攻擊[1]。但工控系統(tǒng)暴露在網(wǎng)絡(luò)上之后，由于其自身功能與設(shè)計的特殊性，防火墻無法很好的保障自身信息安全，從而產(chǎn)生一定的風(fēng)險。因此，分析工控系統(tǒng)與IT系統(tǒng)的區(qū)別對于工控防火墻脆弱所在的明確與防火墻設(shè)計優(yōu)化有重大價值。

（一）高性能需求

相較于IT系統(tǒng)需求，工控系統(tǒng)對于性能要求更加突出，以生產(chǎn)管理功能為例，工控系統(tǒng)常無法忍受延時的存在，但I(xiàn)T系統(tǒng)允許延時存在。因此，工控系統(tǒng)網(wǎng)絡(luò)通信協(xié)議常會選擇直接應(yīng)用，不會進(jìn)行完善設(shè)計。也就是說工控系統(tǒng)中大多不存在加密或者身份認(rèn)證流程，以確保網(wǎng)絡(luò)通信實(shí)時響應(yīng)。而該種系統(tǒng)設(shè)計模式對于防火墻來說是災(zāi)難性的，IT系統(tǒng)中許多被判定為危害或者低危害的數(shù)據(jù)類型，在工控系統(tǒng)中具備成為生產(chǎn)影響因素的可能。

（二）低流量設(shè)計模式

隨智能化技術(shù)在工業(yè)生產(chǎn)中應(yīng)用不斷加深，工控系統(tǒng)中流量承載能力設(shè)計顯著提升，但與IT系統(tǒng)中的海量信息設(shè)計依舊無法相比。這也就導(dǎo)致了工控系統(tǒng)防火墻對于網(wǎng)絡(luò)中存在海量數(shù)據(jù)協(xié)議攻擊無抵抗能力，最終產(chǎn)生系統(tǒng)運(yùn)行癱瘓的現(xiàn)象。

（三）系統(tǒng)生命周期

工控系統(tǒng)相較于IT系統(tǒng)具備更新周期較長的特征，一般為十五到二十年。當(dāng)工控系統(tǒng)暴露到網(wǎng)絡(luò)環(huán)境中時，由于自身部分性能的落后，對于許多新型網(wǎng)絡(luò)病毒缺乏必要的防范能力，存在較大的信息安全風(fēng)險。

（四）設(shè)計方向不同

IT系統(tǒng)安全設(shè)計以數(shù)據(jù)安全為核心，可以很好的與防火墻配合作業(yè)，保障信息安全。但工控系統(tǒng)安全設(shè)計為容錯率提升與生產(chǎn)安全保障，即信息安全層面存在明顯缺失，最先進(jìn)的防火墻也無法實(shí)現(xiàn)全面防范，更何況先進(jìn)防火墻往往不具備工控系統(tǒng)的應(yīng)用可能性。

二、工控防火墻脆弱性分析

（一）脆弱性來源

工控防火墻脆弱性產(chǎn)生的核心原因?yàn)楣た赝ㄐ艆f(xié)議中存在多種防護(hù)功能缺失，防火墻無法進(jìn)行全面的防護(hù)設(shè)計。具體內(nèi)容包含：第一，認(rèn)證機(jī)制的缺乏，只要數(shù)據(jù)格式與長度匹配，就能夠?qū)た叵到y(tǒng)發(fā)出指令。系統(tǒng)總體入侵難度較低，生產(chǎn)流程安全系數(shù)較低;第二，缺乏授權(quán)機(jī)制，工控系統(tǒng)內(nèi)各個渠道擁有近乎于完相同的權(quán)限，網(wǎng)絡(luò)攻擊行為極易從系統(tǒng)中讀取關(guān)鍵信息，甚至進(jìn)行修改;第三，缺乏加密機(jī)制，違法者可以通過向系統(tǒng)多次發(fā)送相似信息截取反饋的模式，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)讀取，信息安全風(fēng)險較大;第四，協(xié)議數(shù)據(jù)行為，多次重復(fù)信息便會導(dǎo)致協(xié)議拒絕通信，從而對生產(chǎn)流程造成影響;第五，流量控制，上文已經(jīng)論述過，對典型泛洪攻擊抵抗能力過差，系統(tǒng)運(yùn)行極易受到干擾。

（二）脆弱性表現(xiàn)

第一，非法人員通過安全旁路對系統(tǒng)進(jìn)行訪問，并通過特定格式的信息進(jìn)行生產(chǎn)干擾或者數(shù)據(jù)竊取，造成企業(yè)經(jīng)濟(jì)利益損失。

第二，非法人員通過系統(tǒng)數(shù)據(jù)分析獲取系統(tǒng)表示與鑒別信息，通過安全路徑對系統(tǒng)進(jìn)行訪問，讀取工控系統(tǒng)信息。

第三，利用工控協(xié)議漏洞，仿真度極高的偽裝合法用戶，從而實(shí)現(xiàn)系統(tǒng)信息操控。

第四，上述非法手段進(jìn)入內(nèi)網(wǎng)向外發(fā)送安全信息，使內(nèi)網(wǎng)資源內(nèi)公開化利用，對企業(yè)造成極大的財產(chǎn)損失。

第五，通過信息流監(jiān)控手段，多角度獲取殘留信息，進(jìn)行內(nèi)部數(shù)據(jù)竊取。

第六，通過內(nèi)部信息通道阻隔，刪除管理人員向防火墻發(fā)送的指令信息，實(shí)現(xiàn)部分防火墻功能的影響。

第七，利用工控協(xié)議權(quán)限開放的特征，模擬管理員身份對系統(tǒng)安全設(shè)計進(jìn)行修改，進(jìn)而實(shí)現(xiàn)防火墻功能的削弱。

第八，截取內(nèi)部網(wǎng)絡(luò)與外部設(shè)備之間的信息傳輸渠道進(jìn)行數(shù)據(jù)竊取。

（三）脆弱性優(yōu)化思路

工控系統(tǒng)脆弱性主要來源于其設(shè)計基礎(chǔ)協(xié)議，安全防范功能的缺失[2]。但由于生產(chǎn)應(yīng)用的限制，強(qiáng)行對識別功能、權(quán)限功能等進(jìn)行復(fù)雜化設(shè)計會影響工業(yè)生產(chǎn)的開展與智能化技術(shù)深入應(yīng)用，因此，工控防火墻功能優(yōu)化的主要方向有：

第一，IT網(wǎng)絡(luò)流量的隔離，即通過訪問控制程序的優(yōu)化設(shè)計，在不影響工業(yè)生產(chǎn)的前提之下，盡可能多的控制IT網(wǎng)絡(luò)流量，從根源上杜絕不規(guī)范行為或者數(shù)據(jù)對工控系統(tǒng)與防火墻的損害。

第二，協(xié)議流量訪問控制。主要指對IT訪問流量進(jìn)行限制，在防火墻上建立完善的數(shù)據(jù)判別算法，識別數(shù)據(jù)的重要性與規(guī)范性，拒絕部分非關(guān)鍵信息的訪問，并控制單位時間的網(wǎng)絡(luò)流量，避免多種網(wǎng)絡(luò)攻擊行為對系統(tǒng)造成影響。

第三，智能算法的應(yīng)用。主要指在工控背景之下，特征數(shù)據(jù)復(fù)雜程度無法大幅提升時，通過智能算法的應(yīng)用建立異常行為檢測模型，即在不依賴特征數(shù)據(jù)的基礎(chǔ)之上，深度分析數(shù)據(jù)內(nèi)容，判別其對于系統(tǒng)是否會造成影響，確定數(shù)據(jù)攔截或者通過，實(shí)現(xiàn)工控背景之下的高效、精準(zhǔn)行為檢測。

結(jié)論：工控系統(tǒng)由于其搭建協(xié)議使用的特殊性，防火墻中存在多種漏洞。技術(shù)人員應(yīng)當(dāng)明確工控防火墻系統(tǒng)的主要缺失，結(jié)合工業(yè)生產(chǎn)需求與現(xiàn)代技術(shù)背景，進(jìn)行科學(xué)防火墻功能優(yōu)化工作，確保網(wǎng)絡(luò)背景下工控系統(tǒng)的安全性。

參考文獻(xiàn)

[1]吳震生.基于工控協(xié)議防火墻的脆弱性研究[J].自動化與儀表，2019，34（08）：105-108.

[2]王世偉. 工業(yè)防火墻軟件框架設(shè)計及規(guī)則自學(xué)習(xí)方法研究[D].太原科技大學(xué)，2018.

作者簡介：張鐵忠（1968.10——）男，漢族，籍貫：山東德州，職稱：工程師，學(xué)歷：大專，研究方向：工業(yè)自動化。