滲透測試技術(shù)在數(shù)字化堆場改造過程中的應(yīng)用研究

閆懷超

(上海工業(yè)自動化儀表研究院有限公司，上海 200233)

0 引言

近年來，滲透測試已經(jīng)成為炙手可熱的話題，被越來越多的人所熟知。滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行而提供的一種機制[1]。其目的是發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測試報告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題[2]。南通電廠通過對傳統(tǒng)斗輪堆取料機(以下簡稱斗輪機)的通信方式進行改造，解決了斗輪機在運行中經(jīng)常發(fā)生的因控制電纜線損壞引起通信故障和信號傳輸不穩(wěn)定甚至中斷的問題，大大提高了斗輪機通信系統(tǒng)的穩(wěn)定性[3]。但是通信方式的改變也給通信網(wǎng)絡(luò)帶來了安全風(fēng)險，暴露出的安全問題大大增加了電廠輸煤控制系統(tǒng)網(wǎng)絡(luò)被攻擊的威脅。一旦被黑客攻擊，造成的后果也是非常嚴重的。

從2010年伊朗的“震網(wǎng)病毒”(Stuxnet)攻擊，到2018年中國臺灣臺積電的變種“WannaCry”攻擊，均給國家和企業(yè)帶來了巨大的損失。我國工業(yè)控制系統(tǒng)安全領(lǐng)域問題突出，工控信息安全防護體系建設(shè)滯后于工控系統(tǒng)建設(shè)。工控安全威脅的防護能力嚴重不足，給國家關(guān)鍵基礎(chǔ)設(shè)施帶來嚴重的安全隱患。2017年6月，《國家網(wǎng)絡(luò)安全法》正式實施，將網(wǎng)絡(luò)安全問題上升到法律層面，明確了關(guān)鍵基礎(chǔ)設(shè)施必須在滿足信息安全等級保護的基礎(chǔ)上進行防護。2019年5月13日，《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2019)(以下簡稱等保2.0)正式發(fā)布，明確了 “一個中心三重防御”的思想。一個中心指安全管理中心，三重防御指安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信。等級保護由1.0 到2.0，是被動防御向主動防御的提升。依照等級保護制度，可以做到整體防御、分區(qū)隔離[4]，積極防護、內(nèi)外兼防，自身防御、主動免疫，縱深防御、技管并重。這對加強中國網(wǎng)絡(luò)安全保障工作、提升網(wǎng)絡(luò)安全保護能力具有重要意義。

1 項目簡介

南通某發(fā)電有限公司擁有2×1 050 MW超超臨界燃汽輪機發(fā)電機組，于2013年全部投產(chǎn)。本項目中選用菲尼克斯無線模塊FL WLAN 5100作為通信改造主要設(shè)備。斗輪機混合冗余系統(tǒng)網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 斗輪機混合冗余系統(tǒng)網(wǎng)絡(luò)架構(gòu)圖

通信系統(tǒng)采用“一主二從”網(wǎng)絡(luò)架構(gòu)。轉(zhuǎn)運站頂部的通信裝置作為主站，斗輪機上的WLAN 5100模塊作為從站，通過無線接入點(access point,AP)功能實現(xiàn)主從站間的數(shù)據(jù)交互。為了使系統(tǒng)更可靠地運行，仍會保留原有的電纜，使之形成一個混合冗余系統(tǒng)。在上位機部分，操作員站和工程師站采用Windows 7操作系統(tǒng)，服務(wù)器采用Windows Server 2008操作系統(tǒng)[3]。

2 滲透測試與分析

滲透測試是通過模擬黑客攻擊來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法[5]。這個過程會盡可能地發(fā)現(xiàn)系統(tǒng)的弱點、技術(shù)缺陷或漏洞，并在條件允許的情況下利用安全漏洞。

2.1 滲透測試概述

滲透測試流程如圖2所示。滲透測試主要包含信息收集、漏洞分析、滲透攻擊、后滲透攻擊、報告這5個階段。信息收集是滲透測試中非常重要的一個環(huán)節(jié)，主要關(guān)注域名信息、服務(wù)器、組件、指紋等方面。漏洞分析是針對信息收集所發(fā)現(xiàn)的問題，作進一步的漏洞挖掘，從而確定可以被利用的漏洞，比如弱口令、遠程命令執(zhí)行SQL注入等。滲透攻擊和后滲透攻擊是滲透測試的最后一階段。根據(jù)不同的測試目的有不同的操作方法，針對工控系統(tǒng)，常用的滲透測試方法是分布式拒絕服務(wù)(distributed denial of service,DDoS)攻擊和高級持續(xù)性威脅(advanced persistent threat,APT)攻擊。

圖2 滲透測試流程圖

2.2 滲透測試環(huán)境搭建

根據(jù)電廠無線改造的實際情況，搭建一套仿真測試環(huán)境，開展本次滲透測試試驗。

以WLAN5100作為主站接收數(shù)據(jù)，攻擊者計算機模擬從站對主站進行網(wǎng)絡(luò)滲透。上位機使用Windows server 2008，與傳統(tǒng)電廠情況相似。系統(tǒng)改造遵循穩(wěn)定性、可用性的設(shè)計原則，所以并未加入任何安全防護設(shè)備。服務(wù)器IP地址為192.168.1.54。攻擊者IP為192.168.1.53。

試驗仿真環(huán)境網(wǎng)絡(luò)架構(gòu)如圖3所示。

圖3 試驗仿真環(huán)境網(wǎng)絡(luò)架構(gòu)圖

2.3 滲透測試實施過程

滲透測試實施過程如圖4所示。首先，使用無線破解工具暴力破解了WLAN5100 的無線密碼，連接無線網(wǎng)后確認網(wǎng)絡(luò)可達。使用kali-linux系統(tǒng)中的nmap漏洞掃描工具掃描對應(yīng)存活主機開放的端口，根據(jù)開放的端口找到對應(yīng)的漏洞和漏洞利用載荷(payload)；啟動漏洞載荷利用平臺msfconsole，設(shè)置相應(yīng)的參數(shù)；啟動載荷(payload)，獲取被攻擊系統(tǒng)的控制權(quán)。最終通過screenshot指令，獲取上位機的截圖，并回傳攻擊者計算機。

圖4 滲透測試過程圖

3 安全問題與防護建議

3.1 滲透測試發(fā)現(xiàn)的安全問題

通過滲透測試分析此網(wǎng)絡(luò)通信系統(tǒng)，發(fā)現(xiàn)存在以下安全問題。

①無線網(wǎng)絡(luò)設(shè)置過程中使用默認用戶和弱口令密碼。通過密碼暴力破解工具破解無線網(wǎng)絡(luò)(SIPAI_DLJ)，破解出無線網(wǎng)絡(luò)密碼為sipai,為弱口令密碼。通過查看WLAN5100模塊手冊，模塊登錄的默認密碼為private，嘗試登錄無線模塊成功。無線模塊使用了默認密碼。

②網(wǎng)絡(luò)核心與車間網(wǎng)絡(luò)的通道缺乏有效的訪問控制，服務(wù)器和終端都直接連接核心交換機上，存在比較大的安全風(fēng)險。

③無線網(wǎng)絡(luò)邊界無任何隔離和防護設(shè)備。滲透測試人員在連接無線網(wǎng)絡(luò)后，可以直接掃描上位機，獲取上值機開放端口并加以利用。該操作全程無任何告警信息和記錄，對日志中異常行為的跟蹤和分析不完善。

④對連接無線網(wǎng)絡(luò)設(shè)備并無任何限制，對登錄無線模塊的賬戶也沒有作權(quán)限分類，缺乏對監(jiān)控人員的行為審計。

⑤在內(nèi)部核心系統(tǒng)，沒有網(wǎng)絡(luò)入侵監(jiān)控措施，對內(nèi)外網(wǎng)非法用戶的入侵行為以及蠕蟲感染活動不能及時檢測和控制

3.2 安全防護建議

最新出臺的等保2.0中增加了工業(yè)控制系統(tǒng)安全擴展要求[6]。其中，第八章第5.3.3節(jié)中，對無線網(wǎng)絡(luò)的使用提出了明確的要求。具體要求如下。

①應(yīng)對所有參與無線通信的用戶(人員、軟件進程或者設(shè)備)提供唯一性標志和鑒別。

②應(yīng)對所有參與無線通信的用戶(人員、軟件進程或者設(shè)備)進行授權(quán)，并對執(zhí)行使用進行限制。

③應(yīng)對無線通信采取傳輸加密的安全措施，以實現(xiàn)傳輸報文的機密性保護。

④對采用無線通信技術(shù)進行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的、未經(jīng)授權(quán)的無線設(shè)備，并報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為。

根據(jù)等保2.0，對無線網(wǎng)絡(luò)設(shè)備的的要求，提出以下安全建議。

(1)技術(shù)層面。

①主要業(yè)務(wù)系統(tǒng)應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)，以進行身份鑒別；同時，增加密碼復(fù)雜度的要求[7]。在系統(tǒng)中部署雙因素認證產(chǎn)品。在使用用戶名、密碼的同時，采用物理認證因素。雙因素認證技術(shù)可抵御非法訪問，提高認證的可靠性，降低來自內(nèi)/外部非法訪問者的身份欺詐和來自內(nèi)部的更隱蔽的網(wǎng)絡(luò)侵犯；同時，其也為安全事件的跟蹤審計提供了依據(jù)[7]。

②利用網(wǎng)絡(luò)設(shè)備所提供的功能，通過劃分虛擬局域網(wǎng)(virtual local area network,VLAN)，配合訪問控制列表(access control lists,ACL)進行訪問控制,劃分出多個安全等級不同的區(qū)域。合理的安全域劃分，以及對網(wǎng)絡(luò)進行初步的安全防護，可以在一定程度上實現(xiàn)內(nèi)網(wǎng)訪問控制[8]。

③在網(wǎng)絡(luò)邊界部署傳統(tǒng)的安全防護設(shè)備，如防火墻、入侵檢測系統(tǒng)(intrusion detection system,IDS)、入侵防御系統(tǒng)(intrusion prevention system,IPS)等，加強網(wǎng)絡(luò)邊界防護，將安全風(fēng)險阻擋在網(wǎng)絡(luò)接入的邊緣，能最大限度地保護計算域中核心業(yè)務(wù)系統(tǒng)的安全[9]。

④在網(wǎng)絡(luò)中部署安全監(jiān)控和審計設(shè)備，并能通過適當?shù)姆绞?，及時向信息安全管理員發(fā)出安全事件的告警。在保證業(yè)務(wù)連續(xù)性不受影響的前提下，選用帶有自動響應(yīng)機制的安全技術(shù)或設(shè)備，如IDS與防火墻聯(lián)動、IPS、有過濾功能的內(nèi)容審計系統(tǒng)，自動終止信息系統(tǒng)中發(fā)生的安全事件并保存相關(guān)記錄。

(2)安全管理層面。

從技術(shù)層面、產(chǎn)品層面和方案層面，考慮內(nèi)網(wǎng)安全問題。其都涉及到管理的問題。管理內(nèi)容包括人員安全意識、設(shè)備管理、配置管理、審計管理、數(shù)據(jù)監(jiān)控與流量管理、安全策略管理等。這樣才能實現(xiàn)網(wǎng)絡(luò)設(shè)備與安全功能模塊或設(shè)備進行密切的配合，達到內(nèi)網(wǎng)安全設(shè)備、方案的有效性，從而及時阻斷未知網(wǎng)絡(luò)攻擊/網(wǎng)絡(luò)濫用行為。

4 結(jié)論

滲透測試技術(shù)作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對于網(wǎng)絡(luò)安全組織具有實際應(yīng)用價值[10]。其在傳統(tǒng)信息安全領(lǐng)域的安全性分析，是許多企業(yè)開展安全防護工作的重要依據(jù)之一。但在工控安全行業(yè)，滲透測試技術(shù)的應(yīng)用還不是很廣泛?？紤]到傳統(tǒng)工業(yè)控制系統(tǒng)設(shè)備老舊、網(wǎng)絡(luò)容量有限等實際情況，直接使用滲透測試的方法來檢測系統(tǒng)的安全性是不切實際的。一般都是在停機系統(tǒng)檢修或者系統(tǒng)維護的空檔期進行滲透測試，從而盡可能降低滲透測試本身對工業(yè)控制系統(tǒng)的影響。本次滲透測試發(fā)現(xiàn)的弱口令、網(wǎng)絡(luò)邊界無防護、使用默認密碼等問題符合現(xiàn)階段大多數(shù)工控系統(tǒng)的實際情況，具有相對的普遍性。因此，在信息安全方面的工作仍然任重而道遠。