基于工控協議防火墻的脆弱性分析

摘要：本文以工控系統與IT系統比較為基礎，從協議的角度分析了工控防火墻脆弱性產生的原因，并結合其在網絡背景下的具體表現形式，探討了脆弱性規避的方向，旨在加速工控專用防火墻進步，提升網絡環境中工控系統的安全性。

關鍵詞：工控系統;網絡協議：防火墻脆弱性

引言：現代工作背景下，工控系統已經不能像傳統背景中以獨立的局域網絡運行，而是需要參與公共網絡運轉。但由于工業生產的個性需求與工控系統的設計原理，工控系統信息安全性與運行穩定性是得不到保障的，專用防火墻功能存在較大的提升空間。

一、工控系統與IT系統的區別

現代背景下，IT系統防火墻設計已經較為完善，網絡上存在的大多黑客、木馬等行為均無法繞過防火墻對IT系統進行攻擊[1]。但工控系統暴露在網絡上之后，由于其自身功能與設計的特殊性，防火墻無法很好的保障自身信息安全，從而產生一定的風險。因此，分析工控系統與IT系統的區別對于工控防火墻脆弱所在的明確與防火墻設計優化有重大價值。

（一）高性能需求

相較于IT系統需求，工控系統對于性能要求更加突出，以生產管理功能為例，工控系統常無法忍受延時的存在，但IT系統允許延時存在。因此，工控系統網絡通信協議常會選擇直接應用，不會進行完善設計。也就是說工控系統中大多不存在加密或者身份認證流程，以確保網絡通信實時響應。而該種系統設計模式對于防火墻來說是災難性的，IT系統中許多被判定為危害或者低危害的數據類型，在工控系統中具備成為生產影響因素的可能。

（二）低流量設計模式

隨智能化技術在工業生產中應用不斷加深，工控系統中流量承載能力設計顯著提升，但與IT系統中的海量信息設計依舊無法相比。這也就導致了工控系統防火墻對于網絡中存在海量數據協議攻擊無抵抗能力，最終產生系統運行癱瘓的現象。

（三）系統生命周期

工控系統相較于IT系統具備更新周期較長的特征，一般為十五到二十年。當工控系統暴露到網絡環境中時，由于自身部分性能的落后，對于許多新型網絡病毒缺乏必要的防范能力，存在較大的信息安全風險。

（四）設計方向不同

IT系統安全設計以數據安全為核心，可以很好的與防火墻配合作業，保障信息安全。但工控系統安全設計為容錯率提升與生產安全保障，即信息安全層面存在明顯缺失，最先進的防火墻也無法實現全面防范，更何況先進防火墻往往不具備工控系統的應用可能性。

二、工控防火墻脆弱性分析

（一）脆弱性來源

工控防火墻脆弱性產生的核心原因為工控通信協議中存在多種防護功能缺失，防火墻無法進行全面的防護設計。具體內容包含：第一，認證機制的缺乏，只要數據格式與長度匹配，就能夠對工控系統發出指令。系統總體入侵難度較低，生產流程安全系數較低;第二，缺乏授權機制，工控系統內各個渠道擁有近乎于完相同的權限，網絡攻擊行為極易從系統中讀取關鍵信息，甚至進行修改;第三，缺乏加密機制，違法者可以通過向系統多次發送相似信息截取反饋的模式，實現系統數據讀取，信息安全風險較大;第四，協議數據行為，多次重復信息便會導致協議拒絕通信，從而對生產流程造成影響;第五，流量控制，上文已經論述過，對典型泛洪攻擊抵抗能力過差，系統運行極易受到干擾。

（二）脆弱性表現

第一，非法人員通過安全旁路對系統進行訪問，并通過特定格式的信息進行生產干擾或者數據竊取，造成企業經濟利益損失。

第二，非法人員通過系統數據分析獲取系統表示與鑒別信息，通過安全路徑對系統進行訪問，讀取工控系統信息。

第三，利用工控協議漏洞，仿真度極高的偽裝合法用戶，從而實現系統信息操控。

第四，上述非法手段進入內網向外發送安全信息，使內網資源內公開化利用，對企業造成極大的財產損失。

第五，通過信息流監控手段，多角度獲取殘留信息，進行內部數據竊取。

第六，通過內部信息通道阻隔，刪除管理人員向防火墻發送的指令信息，實現部分防火墻功能的影響。

第七，利用工控協議權限開放的特征，模擬管理員身份對系統安全設計進行修改，進而實現防火墻功能的削弱。

第八，截取內部網絡與外部設備之間的信息傳輸渠道進行數據竊取。

（三）脆弱性優化思路

工控系統脆弱性主要來源于其設計基礎協議，安全防范功能的缺失[2]。但由于生產應用的限制，強行對識別功能、權限功能等進行復雜化設計會影響工業生產的開展與智能化技術深入應用，因此，工控防火墻功能優化的主要方向有：

第一，IT網絡流量的隔離，即通過訪問控制程序的優化設計，在不影響工業生產的前提之下，盡可能多的控制IT網絡流量，從根源上杜絕不規范行為或者數據對工控系統與防火墻的損害。

第二，協議流量訪問控制。主要指對IT訪問流量進行限制，在防火墻上建立完善的數據判別算法，識別數據的重要性與規范性，拒絕部分非關鍵信息的訪問，并控制單位時間的網絡流量，避免多種網絡攻擊行為對系統造成影響。

第三，智能算法的應用。主要指在工控背景之下，特征數據復雜程度無法大幅提升時，通過智能算法的應用建立異常行為檢測模型，即在不依賴特征數據的基礎之上，深度分析數據內容，判別其對于系統是否會造成影響，確定數據攔截或者通過，實現工控背景之下的高效、精準行為檢測。

結論：工控系統由于其搭建協議使用的特殊性，防火墻中存在多種漏洞。技術人員應當明確工控防火墻系統的主要缺失，結合工業生產需求與現代技術背景，進行科學防火墻功能優化工作，確保網絡背景下工控系統的安全性。

參考文獻

[1]吳震生.基于工控協議防火墻的脆弱性研究[J].自動化與儀表，2019，34（08）：105-108.

[2]王世偉. 工業防火墻軟件框架設計及規則自學習方法研究[D].太原科技大學，2018.

作者簡介：張鐵忠（1968.10——）男，漢族，籍貫：山東德州，職稱：工程師，學歷：大專，研究方向：工業自動化。