互聯網工控漏洞掃描系統設計研究

賈寶林，黃思蓓

(上海工業自動化儀表研究院有限公司，上海 200233)

0 引言

工業控制系統是現代工業基礎的核心。在互聯網與工業控制系統深入融合的背景下，越來越多的工控設備暴露在互聯網上[1]。因此，及時、準確地發現這些工控設備存在的安全隱患，已成為當務之急。

互聯網工控漏洞掃描系統，可以有針對性地掃描互聯網工控設備，以及時發現可能存在的漏洞與隱患[2]，并將其上報至相關單位，從而有效地降低設備被攻擊的風險。

1 互聯網工控漏洞掃描系統

互聯網工控漏洞掃描系統是在工業控制系統與物聯網、互聯網呈現出深度融合的背景下設計的。互聯網設備具有數量大、品類多的特點。由于IPv4數量總數的限制，互聯網上的IP多為動態地址，具有一定的時效性。這就要求本系統在設計時需要足夠的掃描性能，以滿足在較短時間范圍內完成一輪掃描的需求。本系統主要對象為工業控制設備。工業控制設備與傳統互聯網設備在安全機制及通信協議方面有著很大的差別。在工控系統中，存在多種標準通信協議，同時也有很多私有協議。利用傳統的漏洞掃描方法，無法正確探測出工控設備的相關信息。本系統支持多種工控通信協議，可以快速進行主機存活判斷、開放端口識別、設備信息提取操作，同時具備常見工業控制系統和軟件識別功能，如可編程邏輯控制器(programmable logic controller,PLC)、數據采集與監控(supervisory control and data acquisition,SCADA)、分布式控制系統(distributed control system,DCS)、交換機等[3]。本系統集成了專業的工業控制系統安全漏洞庫。庫中整合了已公開的工控相關漏洞信息，可覆蓋多種設備指紋，如廠商、型號、固件版本等。系統在對設備進行識別后，將通過設備型號、固件版本等按系統內部構建的索引信息進行自動匹配[4]，從而快速診斷出系統是否包含可能存在的漏洞。

本文提出一種互聯網工控漏洞掃描系統的設計和開發流程，并提供一種可行的架構，以便相關開發和設計人員對互聯網工控漏洞掃描系統進行設計和開發。

2 互聯網工控漏洞掃描系統設計的過程

互聯網工控漏洞掃描系統作為一個面向互聯網的漏洞掃描工具，其掃描對象具有掃描范圍大、對象種類多、掃描結果數據量大等特點。同時，互聯網上對象IP多為動態地址，實時性要求較高，需要在較短的時間內完成掃描，并將數據進行匯聚分析。為了讓用戶獲取實時性較高的信息，在系統設計過程中需要重點設計大規模掃描的方式；同時，針對被掃對象分類復雜的特點，要保證各探測手段靈活方便，以便動態調整。本文提出一種將實時掃描貫穿于系統整個過程的設計方法，主要包括需求調研、數據分析、架構設計、部署測試四個部分。每個部分都著重從用戶使用及系統有效性角度考慮，以滿足用戶預期效果。

2.1 需求調研

工業控制系統是現代工業基礎的核心，廣泛用于石油化工、電力、軌道交通等領域，是國家基礎設施建設的重要組成部分。目前，超過80%的民生工程基礎設施依靠工控系統來實現自動化作業，工控安全問題已經上升到國家戰略高度。很多工業控制系統由于存在設計時未考慮安全、長生命周期、采用商業信息技術(information technology,IT)和同外界連網等問題[5]，隨著計算機網絡技術在工控系統中的應用日益增多，其系統被網絡中存在的惡意程序或者網絡攻擊破壞的風險大大增加[6]。同時，隨著工業4.0、中國制造2025計劃的實施，5G的加速部署，物聯網等技術的逐漸普及，互聯網與工控系統有著深度融合的趨勢。因此，只有及時、準確地探測互聯網中的工業控制設備是否存在漏洞，才能有效減少外部的攻擊威脅，將風險、經濟損失降到最低。

本系統面向互聯網工控設備，與傳統網絡掃描有本質區別，需要在準確探測到設備信息的基礎上提高掃描性能，以確保數據的實時、有效性。

2.2 數據分析

本系統在對掃描對象進行探測時，需要頻繁創建socket連接、開關端口等操作。對于單個服務器，端口開放的數量及并發線程數，會有一定的數量限制，從而造成性能瓶頸。本系統掃描對象為互聯網設備，具有目標數量大的特點。考慮到本系統對數據實時性的要求，單臺服務器架構無法滿足現有的需求。本系統以集群的方式，突破單臺服務器的硬件限制，從而最大程度提高掃描性能[7]。

互聯網設備種類繁多，暴露在互聯網上的工控設備種類具有不確定性。為了覆蓋盡可能多的工控設備種類，對設備的指紋匹配具有較高的要求。本系統集成數十種工控指紋匹配模板，覆蓋西門子、施耐德、羅克韋爾、倍福、巴合曼、臺達、紅獅、歐姆龍、和利時、三菱、霍尼韋爾等國內外知名廠商的PLC、DCS、SCADA等。

現有國內外主流的漏洞共享平臺共三種：公共漏洞庫(CVE)、國家信息安全共享平臺(CNVD)、國家信息安全漏洞庫(CNNVD)。為最大化兼容、覆蓋各種漏洞，本系統將此三種漏洞信息匯總，以CVE為關聯，集成統一的自有漏洞庫，并在格式化后創建索引，以便快速匹配。

2.3 架構設計

在經過需求調研與數據分析之后，基本可以確定漏洞掃描系統所需要具備的功能點、性能要求及數據輸出要求等。接下來需要進行詳細的功能設計。此階段主要考慮掃描系統的高效性、掃描探測手段的靈活性、掃描數據的準確性以及漏洞匹配的精確性。因此，在架構設計時，需要以掃描性能與數據準確性為中心，遵循數據實時性、準確性等原則。

系統架構設計主要分成以下四個部分：①掃描任務管理與掃描集群設計;②掃描單元設計;③漏洞匹配;④數據存儲。系統結構圖如圖1所示。

圖1 系統結構圖

①本系統面向的對象為互聯網設備，具有掃描對象數量大的特點，同時互聯網上的設備多為動態IP。這就需要掃描結果具有一定的時效性，盡可能在短時間內完成一輪掃描，并將數據進行匯總。為滿足這一需求，本系統采用了掃描集群的方式，可同時部署多臺掃描節點同步進行掃描，然后統一入庫處理。該集群使用一個主節點+多個子節點的方式部署：主節點主要用于處理外部輸入的掃描任務；子節點則用于具體的掃描過程。當主節點接收到掃描任務后，根據當前任務所需要掃描的范圍及數量，將當前任務拆分為若干個子任務，并通過中間件方式將子任務分發至各子節點中；各子節點接收到任務信息后開啟掃描過程，并將實時掃描數據發送到數據存儲模塊。

②每一個掃描節點為一個掃描單元。各掃描單元本質上為獨立的掃描系統，具備整個掃描過程的完整功能。掃描單一對象時，一般分為以下步驟：主機探測、端口發現、指紋匹配、設備信息提取、漏洞匹配、漏洞驗證。掃描數據流如圖2所示。對于多掃描對象的任務，采用線程池的方式；同時，掃描多個對象，以達到并發掃描的效果。對于最為關鍵的指紋匹配過程，采用動態配置的方式，只需要按指定的格式生成指紋探測模板，并添加模板描述信息，即可集成至本系統中，方便后續添加維護。

③本系統漏洞庫集成了CVE、CNVD、CNNVD三種官方漏洞庫。CNVD與CNNVD分別可與CVE漏洞進行關聯，根據三者之間的關系將三種漏洞集成為一體，構建自有漏洞庫。同時，將各漏洞所關聯的產品列表格式化后，以廠商、型號、版本三段式結構建漏洞匹配索引；設計漏洞匹配服務程序，部署于主節點服務器進行集中化管理。各子節點通過socket方式與漏洞匹配服務程序相關，獲取匹配中的漏洞數據。

圖2 掃描數據流示意圖

漏洞匹配服務通信過程如圖3所示。

圖3 漏洞匹配服務通信過程示意圖

④本系統數據存儲采用Redis+Mysql兩種數據庫組合方式。Redis用于緩存臨時數據，Mysql則用于存儲分類后的掃描結果。本系統采用掃描集群方式部署，在主節點部署Redis數據庫緩存臨時數據。各子節點掃描完指定對象后，無需與主節點進行交互，直接將掃描數據存入Redis數據庫中。由獨立的程序從Redis中讀取緩存數據，對數據進行分類、聚合后，存入Mysql中。當入庫性能不夠時，還可以開啟多個入庫程序，以同時讀取緩存數據入庫。

本系統掃描集群設計、Redis緩存入庫設計、指紋探測等設計均為動態部署，可根據現場設備條件及性能、掃描深度需求作出靈活調整。

2.4 部署測試

系統的設計與開發編碼完成后，需要進行部署測試，驗證設計的合理性，并進行調試修改。其目標是取得最佳的用戶體驗。部署測試主要包括功能測試、性能測試、數據準確性測試三部分。部署測試在隔離的虛擬環境下運行，通過大量的虛擬目標IP及虛擬設備[8]，模擬出現實的互聯網環境，從而在有效驗證系統各功能點的同時，不會影響線上設備的正常運行。

功能測試主要是為了保證整個系統各功能點符合預期的效果，包括掃描任務的狀態、掃描集群間通信、掃描數據流轉、數據完整性等。性能測試主要是為了保證整個系統運行的高效性。通過部署多個掃描結點，對虛擬環境下的目標對象進行大規模掃描探測；通過交換機監測數據包速率，對實時掃描結果進行匯總，計算單位時間內完成掃描的數量，并作出相應的調整優化，以符合預期的效果。數據準確性測試主要包括在掃描過程中，獲取的各對象數據與實際信息是否一致，以及匹配到的漏洞與公開的漏洞信息是否一致。通過部署測試，以及后續的調試優化，使整個系統達到預期的效果，基本符合設計要求。

3 設計實例

研究者為某地區部門設計互聯網工控漏洞掃描系統，經上級主管部門批準，對指定范圍內的互聯網設備進行漏洞掃描。其掃描對象數量級達到千萬級。通過部署掃描集群的方式，高效的掃描可能存在漏洞，在數天內即可完成一個周期的掃描任務。后續可通過增加掃描節點，進一步縮短掃描周期，為用戶提供實時、精準的數據信息。

通過調整掃描集群部署配置，調整掃描結點、Redis緩存數據庫、漏洞匹配服務器等資源配置，使掃描性能達到最優。通過調整指紋匹配模板，對工控設備進行針對性掃描，以獲取詳細的設備信息，保證漏洞掃描的準確性。

4 結論

隨著現階段工控系統、物聯網、互聯網的深度融合[9]，暴露在互聯網上的工控設備與物聯網設備數量與日俱增。快速、及時地發現這些設備可能存在的漏洞，對于減少可能存在的危害、避免造成直接的經濟損失，起著關鍵作用。

本文圍繞我國工控網絡與互聯網融合后安全領域相關的現實需求，提出了互聯網工控漏洞掃描系統的設計方法。通過需求調研、數據分析、架構設計、部署測試等一套完整的流程，設計了高性能、高有效性的漏洞掃描系統。該系統能對暴露在互聯網上的工控設備進行針對性掃描， 以及時、有效地發現可能存的威脅與漏洞。此設計過程可以在一定程度上為漏洞掃描系統設計提供設計流程上的參考，也可以在架構設計上為設計人員漏洞掃描系統設計提供可行的方案。