EPA工业控制网络安全测试系统的设计

1、【Word版本下载可任意编辑】 EPA工业控制网络安全测试系统的设计 0 引言 由于以太网应用到工业现场.面对恶劣的工况，严重的线间干扰等恶劣的环境，要保证一个网络系统中任何组件发生故障时。不会导致应用程序、操作系统、甚至网络系统的崩溃和瘫痪。网络设备可靠性是网络可靠性的一个重要部分.EPA系统可以通过功能安全设备及系统冗余来提高EPA系统的安全性和可靠性.使EPA系统能够符合安全完整性等级要求。为实现安全通信与标准通信的相互独立性.保证功能安全和相关数据在传输过程中的安全性.并能够满足单通道通信系统的要求，在用户层内增加EPA功能安全通信扩展协议.使安全传输功能的实现被限制在通信终端设备内部

2、.并且不减少允许的设备数量。EPA功能安全通信扩展协议位于功能块应用进程和EPA应用实体之间.它的作用是处理在传输过程中不被修改的安全数据帧.其传输采用标准的传输系统。 实践说明，网络的安全性取决于网络中薄弱的环节。发现EPA上业控制网络中的薄弱环节，地保证网络系统的安全，其中为有效的方法就是定期对EPA上业控制网络开展安全性测试和分析，及时发现网络存在的脆弱性，分析出现这些安全威胁的原因，通过采用相关技术和管理手段弥补安全漏洞，阻比安全事件的发生，从而加固EPA上业控制网络的安全。 1 EPA工业控制网络安全测试原理 1.1 EPA上业控制网络而临的安全威胁分析 结合EPA网络安全规范、KI

3、ST一800系列规范，将EPA上业控制网络而临的脆弱性分为如下儿类: ( 1)网络漏洞:在复杂的上业控制应用中，网络服务的安全漏洞是不容忽略的。如EPA设备管理服务。 基于EPA的上业控制网络采用以太将而临服务欺骗的威胁;将web服务器置入PLC或现场设备实现动态交4_将面临CI滥用威胁;除此之外，还有拒绝服务、FTP漏洞、Telnet漏洞等应用服务漏洞; ( 2)系统漏洞:虽然EPA上业控制网络中有些现场设备没有使用任何操作系统，但是一些更为重要的上业交换机、OPC服务器、组态设备等使用了通用的操作系统，这些系统往往存在一些安全漏洞，如系统弱口令等; ( 3)协议漏洞:许多上业通信协议设计之

4、初并没有考虑安全问题，通信是建立在IP信任的根底上，所以不可防止地会遭受安全攻击。如TCP/ IP协议容易遭受IP欺骗、ARP欺骗等攻击;EPA协议中使用的PT P协议容易遭受卞时钟欺骗攻击等; ( 4)策略漏洞:缺乏或不合理的安全保障技术或策略，将会给EPA上业控制网络带来极大的安全风险。如不正确的EPA安全网关和防火墙的过滤策略将使一些非安全报文进入控制网络;明文传输重要通信报文将遭受非法窃取等。网将现场控制系统、过程监控层网络、企业信息管理层网络开展高度集成和互联，这种扁平化的网络构造层次也使EPA土业控制网络面临了越来越多的安全威胁。 1.2 EPA安全测试系统的功能 由于EPA土业控

5、制网络环境复杂，具有多种潜在的安全威胁，安全测试一般在网络层、操作系统层、数据库层、应用系统层等多个层面上开展。安全测试系统不仅能检测EPA土业控制网络中存在的安全漏洞，还必须能够在测试报表中给出建议解决方案，在测试过程中有诊断和监控功能以防止测试对控制系统造成损失。因此，EPA安全测试系统应具备以下几利功能: (l)信息探测功能 EPA安全测试的前期需要通过信息探测尽可能多的在获取待测EPA土业控制网络存活的设备信息，信息探测为漏洞检测和渗透测试做铺垫。 (2)漏洞检测功能 漏洞检测通过发送检测报文，然后侦听检测目标的响应，查询特征库判断网络系统是否存在漏洞，实现对EPA服务、非EPA服务、

6、操作系统等层面的漏洞检测。 ( 3)渗透测试功能 渗透测试在可控的范围内通过模拟黑客入侵的手法，通过对EPA土业控制网络和系统发起“真正的”攻击，以检测网络和系统在真实应用环境下的安全性。 (4)诊断监控功能 由于安全测试可能会给时间敏感、稳定性要求较高的EPA土业控制网络现场层造成不可恢复的损害，所以为确保安全测试的可控性，诊断监控功能是必不可少的。 2 EPA安全测试系统设计与实现 2.1 EPA安全测试系统的总体设计 遵循了软件开发中的低祸合、高内聚的原则，测试系统的设计采用模块化设计思路，增加各个模块的独立性，以使系统构造清晰。EPA安全测试系统由全局配置模块、测试引擎、漏洞库、信息探

7、测模块、漏洞检测模块、渗透测试模块、诊断监控模块、报表管理模块、权限管理模块等组件构成，其各模块间关系如图1所示。图1 EYA安全测试系统构造图 如图1所示，EPA安全测试系统各模块相对独立，通过人机界面可以操作每个独立模块开展单独的手动测试，也可以通过全局配置模块对测试参数开展配置，针对不同的测试对象，用户可以灵活地制订测试策略，然后通过测试引擎调度各测试模块开展自动化测试。在测试结束后，根据各模块测试的漏洞在漏洞库中开展查找相应的解决方案，发布测试报表。 2.2测试模块的设计与实现 ( 1)信息探测模块设计 在网络探测模块中，系统采用了丰富的测试手段尽可能多地探测日标信息，具有设备发现、开

8、放端口扫描、服务辨识、服务版本、木马识别、操作系统探测等功能。 600)makesmallpic(this,600,1800); border=0 服务辨识:根据开放端口与服务映射表，开展次服务辨识。这个过程可以对一些端口上的木马威胁开展识别。第_次辨识是通过与日标系统建立连接后，收集返回的Banner信息，查询服务特征库就能大致识别出服务类型，甚至软件的名称和版本。 操作系统探测:采用TTL旗帜等手段对日标系统开展操作系统辨识。对于依赖通用操作系统的设备就需要在漏洞检测时测试系统漏洞，而对于UC/ OS等实时操作系统和无操作系统的EPA网络设备和现场设备可绕过系统漏洞测试。 (2)漏洞检测模

9、块的设计 漏洞检测模块卞要是通过从漏洞库中抽取特征报文开展扫描和检测，卞要检测EPA网络设备的14种EPA应用服务漏洞和非EPA应用服务漏洞、弱口令、协议等漏洞。具体是测试模块从漏洞特征库中提取测试特征指纹形成测试报文，向测试对象发送测试报文，然后侦听检测日标的响应，并收集信息，而后结合漏洞特征库判断EPA网络是否存在安全漏洞。此处的漏洞特征库为抽象的概念，实际表现为封装在一条测试插件中的特征匹配对，测试插件完成特征的提取，形成测试报文，接收返回信息并判断是否存在漏洞。 600)makesmallpic(this,600,1800); border=0 600)makesmallpic(thi

10、s,600,1800); border=0 图4中，漏洞编号为在漏洞库中该漏洞的编号。CVE编号是指该漏洞对应的CVE编号，若是该漏洞为EPA协议本身特有的漏洞则无此编号。为了安全测试系统的标准化和国际化，采用“通用漏洞列表”中的CVE编号作为漏洞名称。漏洞描述是对安全漏洞的详细介绍。解决方案是漏洞的修补方法，一般安全漏洞可以通过下而儿种方法解决:关闭不需要的网络服务、安装相关的漏洞补丁、对漏洞所涉及的相关网络服务开展正确的配置。附加信息是指除上而信息外的其它信息，如补丁信息等。 (5)诊断监控模块的设计 EPA安全测试系统的诊断监控模块，包括Ping命令T racert命令、网卡流量监测、E

11、PA网络报文捕获与分析EPA网络流量统计与分析等。 (6)其它模块的设计 报表生成模块，根据不同需要，可以生成各种报表格式测试报表指出测试相关信息、漏洞信息和漏洞修复方法、临时安全应急措施等安全建议，以指导控制系统管理员采用安全措施弥补漏洞。 权限管理模块，为安全测试系统的合法用户分配、修改册J除用户名及密码。同时，根据测试需要为用户分配不同的测试权限，确保安全测试系统本身的安全。 EPA安全测试系统总体界而如图5所示。 600)makesmallpic(this,600,1800); border=0 3 EPA安全测试系统的验证 为了考察和验证EPA安全测试系统的应用过程，搭建一个小型的EPA上业控制网络安全测试平台，该平台由一台EPA组态设备，2个EPA现场设备，一个EPA集线器，一个总线供电设备和EPA安全测试设备组成。在EPA安全测试设备上运行EPA安全测试系统对EPA控制网络和系统开展安全测试。 测试结果如图6所示，EPA安全测试系统对该系统内的2台EPA设备和1台组态设备开展了安全测试。以对组态设备的测试为列，通过网络服务的安全测试发现了2个安全警告，这2个安全威胁均为组态设备开启了无用的服务，通过关闭相关端口就可以弥补此漏洞。 600)makesmallpic(this,600,1800); border=0 4结束语 本文在研究EPA协议栈的根底