胡丽香

（江苏省软件产品检测中心,江苏南京，210012）

1 典型工控系统通信协议安全漏洞分析

1.1 Modbus协议安全漏洞

Modbus协议是Modicon1979年发明的，是全球第一个真正用于总线的协议。由于Modbus是制造业、基础设施环境下真正的开放协议，得到了工业界的广泛支持，国内的使用量多达上百万个点。Modbus是制造业、基础设施环境下真正的开放协议，得到了工业界广泛的支持，国内的使用量多达上百万个点。由于Modbus在设计之初仅考虑了功能实现、提高效率、提高可靠性等方面，存在以下几个安全问题：

（1）缺乏认证。在Modbus协议通信过程中，没有任何认证方面的约束，攻击者只需要通过拦截报文获取到一个合法的地址就可以建立一个通信会话，从而扰乱整个或部分控制过程。

（2）缺乏授权。目前，Modbus协议没有基于角色的访问控制机制，也没有对用户分类，没有对用户的权限进行划分，这会导致任意用户可以执行任意功能。

（3）缺乏加密。Modbus协议通信过程中，地址和命令全部采用明文传输，因此数据可以很容易地被攻击者捕获和解析。

1.2 OPC协议安全漏洞

OPC协议是微软为过程控制设计的对象链接和嵌入协议，它以客户端/服务器模式工作，通过远程过程调用（RPC）方式向服务器提供必要参数。

（1）目前绝大部分OPC服务器都运行在没有任何防火墙的情况下，从而很容易受到恶意软件和其它安全威胁的攻击。

（2）大量OPC主机使用弱安全认证机制（弱口令），以及过时的认证授权服务。

（3）OPC的基本协议极易受到攻击，过去几年，来自大量网络的病毒和蠕虫仍然在针对那些安全性不足的OPC系统发动攻击。

2 工控系统通信协议安全测试技术

目前，可用于发现工控系统通信协议的安全漏洞、提升工业控制产品安全质量的技术主要有：形式化验证、白盒测试和黑盒测试三种。因为形式化测试与白盒测试对被测工控协议实现的设计文档与源代码的依赖度特别大，所以这两种形式的技术应用范围较为狭窄。而黑盒测试就有所不同了，这项技术仅仅需要工控协议的规范，虽然不用什么源代码，但要求切定交互间的实体行为是可见的。黑盒测试还可完全独立于协定实现的整个开发过程，并且他的测试结果还可用于集合成这个工控协议的其他机器和设备。

模糊测试又叫健壮性测试，是一种典型的黑盒测试技术，它将大量的畸形数据输入到目标系统中，通过监测系统的异常来发现被测工控系统通信协议中可能存在的安全漏洞。由于这种测试的成本较低，且可以做到完全的自动化，所以近些年来被广泛的应用。科技的进步，是得各种开源和商业模糊测试工具的不断出现，与此同时，给一些工厂商家带来了机遇，该技术也受到了各种工业化厂商的高度关注和应用推行。值得一提的是，各种模糊测试技术的类别多种多样，侧重点也各不相同，所以可能导致一些商家在选择哪种测试方式时无所适从。根据不同的层次和平面，将模糊测试分为①随机模糊测试②文法模糊测试③综合模糊测试三类，根据不同的情况和需求做出不同的选择。

（1）随机模糊测试。这种方式的测试是 B.P.Miller 在1990 年提出的，并将此类测试用 fuzzing 命名。最初的模糊测试，仅仅是将随机数据作为输入测试不同的操作系统或是应用程序。像我们最初的计算机程序一样，只是将数据作为程序的输入，同时也监测运行过程中是否出现了异常情况，如果出现异常，则变记录下来，定位出软件的缺陷。不然他也只能渗透到协议的输入访问层，所以对于协议的测试还不能够达到很完美的效果。

（2）文法模糊测试。安全测试在工业信息安全领域的应用浅析协议网络报文的处理是一个极其容易出错的过程，尤其是当报文字段采用编码时就显得极为复杂。遇到不恰当的编码实践就可能在协议实现中留下严重的缺陷。模糊测试技术为了应对更为复杂的隐藏数据验证等问题，也在努力提升自身技术，并进化到了文法测试阶段。模糊测试有意识的将不同的文化元素融入到测试报文中试图触发协议中有问题的代码。导致规范中规定的操作遇到破坏。目这种测试的代表性工具有：PROTOS、Sully 和 peach，不同的工具有着不同的特点和优势也都在不断地完善和改进。

（3）综合模糊测试。比起两项，我国对于这项测试技术的研究有啦更加深入的理解和发展。文法规则定义了报文的形式，为规则定义了交互数据的语义和功能，但同时该字段的不同取值会触发协议实现不同的响应。所以，让协议安全性能不断提高完善是我国学术研究者未来的目标。，而学术者正在综合模糊测试并进行深入的研究。研究中，对整个协议规范的建模完成是利用了输入——输出标记出转移系统的技术，然后根据测试需要对异后模型进行检测，从而产生相应的诊断程序。虽说这项比较全面的技术还处于研究阶段，但其完整的测试工具的出现指日可待。最原始的模糊测试是把随机数据输入到不同操作系统中进行测试，基本思想是把一组随机数据作为程序进行输入，同时对程序运行状况进行监测，以及时发现异常状况，通过记录诱发异常运转的输入数据，确定软件缺陷具体位置。

3 西门子工控系统通信协议安全测试实验

一直以来，西门子始终对工控产品系统的安全特别的重视。早在 2005 年，西门子自动化集团便与其他组织合作，研制了用于西门子工控产品的系统测试，并且自 2007 年起开始研制全新的测试框架，Styx。这种框架在测试中自动产生海量的用例。目前，这种框架已经支持十多种协议的安全测试。tyx系统积极吸取了各种开源工具的得力设计思路，在C++的协助下建设了模糊测试的基本逻辑，在采用XML脚本定义协议的报文文法与行为特点分析中体现出良好的适用性，在信息安全性检测过程中智能化形成了大量的测试用例，Styx系统在PROFINET. MMS. Modbus/TCP等十多种工业控制协议的安全测试领域表现出良好的适用性。2001 年之后，对于他的研究更加的深入，力争提前发现产品中的缺陷，提高产品的质量，相信在未来，他会与时俱进，发展的更快，更好，更强。

4 实践分析

tyx系统积极吸取了各种开源工具的得力设计思路，在C++的协助下建设了模糊测试的基本逻辑，在采用XML脚本定义协议的报文文法与行为特点分析中体现出良好的适用性，在信息安全性检测过程中智能化形成了大量的测试用例，Styx系统在PROFINET. MMS. Modbus/TCP等十多种工业控制协议的安全测试领域表现出良好的适用性。自2011年以来，西门子德国的系统测试部就积极将Styx测试设为工业控制系统测试期间的重要构成部分，投入到西门子工控产的安全性能检测领域中，目的是尽早发现与排除产品内的缺陷，全面提升西门子产品安全品质

5 结束语

伴随工业控制系统开发性、互联性的发展进程，系统自动化水平与信息安全性将会成为领域研究的重点、焦点。因为各类工控设备设施、系统广泛应用了多类工控协议，以实现对通信的加强控制，故此工控协议安全性的实现也将成为工业控制系统信息安全领域研究的有一个重点课题。笔者认为应结合工控系统自身的通信协议特征，加强对系统通信协议通信数据流的分析，有针对性的进行安全检测，全面分析协议的风险性与脆弱点，进而全面提升工控系统运行的安稳性。