工控设备的安全保密风险评估实践

【 摘 要 】 近期披露的信息安全事件表明，工控系统已经成为国外信息安全攻击的主要目标，必须加强工控系统的信息安全防护。工控系统与办公系统不同，系统中使用智能设备、嵌入式操作系统和各种专用协议，尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点，工控系统的安全风险评估方法、标准还在不断探索中。本文介绍工控设备安全保密风险评估模型和评估流程，以数控设备840D为例，进行工控设备的安全保密风险评估，围绕工控设备全生命周期给出了安全保密防护和检测的建议。

【 关键词 】 工控设备；风险评估；安全隐患；安全防护

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

（Institute of Computer Application， China Academy of Engineering Physics SichuanMianyang 621900）

【 Abstract 】 Security information incidents occur recently shows， industrial system has become the main target of foreign information security attacks， safety protection for industrial control system must be strengthen. Industrial control system， is not office system， it has many intelligent devices、embedded operating system with various special protocols， especially intelligent equipments which has more high integration、specialty-industry， private kernel and lack efficient control technology for data interface， security risk assessment method and standard for industrial control system has not informed. In this paper， security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system， security risk assessment method is given to assess the full life of 840D.Last，some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment； risk assessment； security threat； safety protection

1 引言

近年来，越来越多的数控设备和工控系统应用到工业生产中，它们更多地采用了开放性和透明性较强的通用协议、通用硬件和通用软件，并通过各种方式与企业管理网、互联网等公共网络连接。根据CNNVD搜集的漏洞数据和CNCERT的网络安全态势报告，这些工控系统中存在的各种漏洞、病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

近期披露的信息安全事件表明，信息安全问题已经从软件延伸至硬件，从传统的网络信息系统延伸至工业控制系统、大型科研装置、基础设施等诸多领域。对于工控系统以及工控设备的安全性测试和风险评估也变得重要起来。

工控系统与办公系统不同，系统中使用智能设备、嵌入式操作系统和各种专用协议，尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点，工控系统的安全风险不能直接参照办公系统的风险评估标准，其评估方法、标准还在不断研究和探索中。

2 工控设备风险评估模型和流程

2.1 工控设备风险评估模型

工控设备安全保密风险需求主要涉及到三大方面：一是工控设备所处的物理环境安全，如防偷窃、非授权接触、是否有窃听窃视装置等；二是工控设备自身的安全，主要分析包括硬件、软件、网络和电磁等方面的安全；三是工控设备的安全保密管理问题，包括其管理机构、人员、制度、流程等。在对工控设备安全保密需求分析的基础上，本文结合工控设备安全检测的需求，提出了工控设备安全风险评估框架，如图1所示。

2.2 工控设备安全保密风险评估流程

针对上述评估模型，本文按照检测对象、风险分析、检测方案、结果评估的流程开展工控设备安全保密风险评估，如图2所示。

1）检测对象：确定设备用途，分析基本组成；

2）风险分析：根据不同设备类型，按照风险评估模型进行风险分析；

3）检测方案：依据根据风险分析结果制定检测方案，准备检测工具、环境，明确检测项目、要求和方法；

4）结果评估：依据检测方案执行检测，完成所有检测项，依据检测结果进行评估，对发现的可疑风险点进行深入检测，修订检测方案，综合评估。

3 数控设备安全保密风险评估实践

3.1 检测对象

数控机床主要用于各种零部件的生产加工，机床包括机床主体和核心控制系统。840D控制系统是西门子公司推出的一款功能强大、简单开放的数控系统，本次数控设备安全保密风险评估的主要内容也是针对该控制系统。

840D sl将数控系统（NC、PLC、HMI）与驱动控制系统集成在一起，可与全数控键盘（垂直型或水平型）直接连接，通过PROFIBUS总线与PLC I/O连接通讯，基于工业以太网的标准通讯方式，可实现工业组网。其各部分硬件组成结构、拓扑结构、软件系结构统如图3、4、5所示。

3.2 风险分析及评估

3.2.1 物理安全

通过对840D数控机床设备所处的房间进行物理安全检查，区域控制符合要求；窃听窃照检测，未发现有窃听窃照装置；通过对房间的进行声光泄漏检测，符合相关安全要求。

3.3.2 系统自身安全

1） 操作系统

脆弱点分析：

* 基本情况

> SINUMERIK 840D PCU采用Windows XP平台

> 一般不会对Windows平台安装任何补丁

> 微软停止对Windows XP的技术服务

> NCU系统为黑盒系统

* PCU

> RPC远程执行漏洞（MS08-067）

> 快捷方式文件解析漏洞（MS10-046）

> 打印机后台程序服务漏洞（MS10-061）

> 系统未安装任何防火墙软件和杀毒软件

* NCU（CF卡）

> SINUMERIK 840D系统的NCU采用的西门子自有的内嵌式Linux系统，该系统在编译时经过特殊设计，只能在SINUMERIK系统环境下运行；

> 可以对CF卡进行映像和重建，而且新建的CF卡可以在SINUMERIK 840D系统上成功启动；

> NCU系统中设定了不同的用户及权限，但内置的用户及口令均以默认状态存在系统存在默认用户及口令；

> SNMP服务存在可读口令，远程攻击者可以通过SNMP获取系统的很多细节信息。密码可暴力猜解，snmp服务密码为弱口令“public”。

风险：

* 攻击者可以利用漏洞入侵和控制SINUMERIK 840D系统的PCU，获取到相应操作权限，对下位机下达相应指令；

* 由于在CF卡上有用户数据的存放、HMI应用程序显示的数据以及系统日志文件，因此通过对CF卡的复制和研究可还原用户存放数据、PLC加工代码等信息；

* 只要通过PCU或者直接使用PC安装相应的管理软件，通过网络连接到NCU，即可使用以上用户和口令进行各类操作；

* 攻击者一旦得到了可写口令，可以修改系统文件或者执行系统命令。

2） 应用系统

* 基本情况

> 应用软件多种多样，很难形成统一的防范规范；

> 开放应用端口，常规IT防火墙很难保障其安全性；

> 利用一些应用软件的安全漏洞获取设备的控制权。

* 重要应用――Winscp

脆弱点分析：是一款远程管理软件，其可通过ssh、SCP、SFTP等加密协议对下位机进行一定权限的系统命令操作； 通过winscp软件可以对NCU进行远程管理，需要相应的用户账户和密码。账户和密码可通过协议漏洞获取，如表1所示。

风险评估：攻击者机器上直接登录winscp远程控制NCU。进一步，可对下位机NCU进行信息的窃取（G代码等相关数据均存于此）、系统破坏、上传病毒、木马、后门等作进一步攻击。

* 重要应用――VNC Viewer

脆弱点分析：VNC是一款功能强大的远程管理软件。可接受管理人员键盘、鼠标等几乎全部本地的控制操作；840d工控系统上位机所采用的VNC远程管理软件为通用软件，不需要登录认证。

风险评估：在内网的攻击者只需一款普通VNC就可以实现对下位机的远程的、完全的控制。

* 重要应用――HMI

脆弱点分析：HMI（直接发出指令操控机器的计算机软件），可装在任何符合条件的PC上，通过工程调试模式（直连管理口）连接NCU，进行配置信息的查看修改。

风险评估：物理接触、调试，不仅存在信息泄露、甚至可能存在致使系统崩溃，或者植入软件后门的风险。也可通过网络配置实现对下位机的控制操作 。

3） 通信协议

> SINUMERIK 840D采用TCP/IP 协议和OPC 协议等通信，通信协议存在潜在威胁；

> 网络传输的信息是否安全；

> 容易读取到网络上传输的消息，也可以冒充其它的结点。

* 协议――MPI

脆弱点分析：MPI MPI是一种适用于少数站点间通信的多点网络通信协议，用于连接上位机和少量PLC之间近距离通信。MPI协议为西门子公司内部协议，不对外公开。

风险评估：尚未发现MPI多点通讯协议的安全问题。

* 协议――G代码传输协议

脆弱点分析：G代码是数控程序中的指令，它是数控系统中人与制造机床的最本质桥梁，是上位机对下位机及加工部件最直接最根本控制；G代码传输采用的是基于TCP/IP协议之上的自定义协议，其传输过程中的G代码装载、卸载，PC_Panel上按键操作等都是进行明文传输。

风险评估：攻击者不仅可以嗅探到完全的G代码及上位机操作信息。而且可以对传输过程中的G代码进行篡改、重放，致使下位机接收错误的命令和数据，从而使得工业控制系统不可控，生产制造不合格甚至带有蓄意破坏性的工件。

4） 其他部分

* 数据存储

脆弱点分析：生产加工数据明文存放于PCU上，缺少必要的安全增加及保护措施。

风险评估：数据存在被非法获取的隐患。

* 特定部件

脆弱点分析：G代码在CF卡上有临时备份，通过数据处理，有可能获取到加工参数。

风险评估：可通过非法拷贝等方式对加工数据进行获取。

* 硬件安全

脆弱点分析：是否存在危险的硬件陷阱，如逻辑锁等安全问题。

风险评估：目前尚未发现。

3.3.3 管理安全

1）人员安全意识 工业控制系统在设计时多考虑系统的可用性，普遍对安全性问题的考虑不足，缺乏相应的安全政策、管理制度以及对人员的安全意识培养。

2）安全审计 缺少对系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性等方面的安全审计。

3）安全运维与管理 缺少对账号与口令安全、恶意代码管理、安全更新（补丁管理）、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。

4）核心部件使用管理 缺乏对类似NCU的CF卡这些核心部件的使用、复制和保管进行安全管理，防止非信任人员的接触的管理规定。

4 工控设备安全防护建议

1）建立纵深防御安全体系，提高工控系统安全性； 2）针对核心部件加强安全管理，进行严格的访问控制；3）加强网络脆弱性的防护、采用安全的相关应用软件 、严格控制NCU服务； 4）加强对工业控制系统的安全运维管理； 5）建立有效的安全应急体系；6）从设备采购、使用、维修、报废全生命周期关注其信息安全，定期开展风险评估，工控系统全生命周期如图6所示。

5 结束语

随着信息技术的广泛应用，工控系统已经从封闭、孤立的系统走向互联体系的IT系统，安全风险在不断增加。做好工控系统安全保密风险评估非常重要，研究工控设备的风险评估模型、流程，开展数控设备的安全保密风险评估实践，可以为工控系统的安全保密风险评估奠定重要的基础。

参考文献

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. （2011205221）， http： //.cn/.

[2] CNCERT. 2010年中国互联网安全态势报告[Z/OL].（2011205221）， CERT. 2010 report on the Internet Security Situation of China [Z/OL]. （2011205221）， .cn.（in Chinese）.

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner， Alice Goguen， and Alexis Feringa. National Institute of Standards and Technology（NIST），2002.

[4] GB/T 20984―2007.信息安全技术信息安全风险评估规范[S].北京：中华人民共和国国家质量监督检验检疫总局，2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing： General Administration of Quality Supervision，Inspection and Quarantine of the Peopleps Republic of China，2007. （in Chinese）

[6] 赵冬梅，张玉清，马建峰.网络安全的综合风险评估[J].计算机科学， 2004，31（7）： 66-69.

作者简介：

谢彬（1966-），女，四川安岳人，中国纺织大学，大学本科，副主任，高级工程师；长期从事信息系统软件测评、信息系统安全保密相关的技术研究，负责了多个项目的技术安全保密检测、安全保密防护方案设计以及相关技术研究工作；主要研究方向和关注领域：信息安全相关技术、信息系统安全、工控系统安全。

贺志强（1983-），男，四川绵阳人，四川大学，硕士，测评工程师，工程师；主要研究方向和关注领域：信息安全技术、信息安全及相关技术。

汤放鸣（1958-），男，湖南桃江人，国防科技大学，大学本科，测评总师，研究员；主要研究方向和关注领域：信息安全技术、信息安全及相关技术。

张历（1988-），男，江苏淮安人，西安电子科技大学，硕士，测评工程师，助理工程师；主要研究方向和关注领域：信息安全技术、信息安全及相关技术。