XX工控设备安全检测方案1.0

威胁评估平台用户手册V1.0版权所有©2016匡恩网络 版权声明北京匡恩网络科技有限责任公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外其著作权或其他相关权利均属于北京匡恩网络科技有限责任公司。未经北京匡恩网络科技有限责任公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京匡恩网络科技有限责任公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京匡恩网络科技有限责任公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见，请反馈：

地址：北京市海淀区学院路37号致真大厦D楼13层电话：（010）56705608传真：（010）59512799邮箱：info@目录版权声明 1免责条款 1信息反馈 1第1章 工作概述 61.1 工作目的 61.2 工作范围 61.3 工作依据 61.4 工作流程 81.5 工作原则 8第2章 工作思路 92.1 离线检测 92.1.1 分析现场环境 92.1.2 环境备份 92.1.3 部署漏挖平台 92.1.4 人工漏洞挖掘 102.1.5 撰写检测报告 102.2 现场检测 112.2.1 分析现场环境 112.2.2 申请领导授权 112.2.3 部署技术工具 112.2.4 收集分析数据 122.2.5 导出分析结果 12第3章 应急预案 123.1 检测设备接入生产网的原则 133.2 现场局限性 133.3 时间选择 133.4 系统备份 133.5 系统恢复 133.6 保障合理沟通 14第4章 具体检测方案 144.1 控制器 144.1.1 通信协议安全 144.1.2 后门检测 154.1.3 无线通信安全 154.1.4 外部服务漏洞 154.2 上位机 164.2.1 设备非法接入 164.2.2 通信协议安全 164.2.3 组态软件漏洞 174.2.4 操作系统安全 174.2.5 病毒木马检测 184.3 SCADA系统 184.3.1 设备非法接入 184.3.2 SCADA软件漏洞 184.3.3 操作系统安全 194.3.4 病毒木马检测 194.4 网络设备 204.4.1 无线接入 204.4.2 通用漏洞检测 204.5 网络结构 204.5.1 隐蔽通道检测 204.5.2 网络结构合理性检测 21第5章 工作基础 215.1 丰富的现场安全检测经验 215.2 专业的漏洞挖掘团队 215.3 国内领先的工控漏洞库 225.4 国内首款工控漏洞挖掘检测平台 225.5 已挖掘的相关零日漏洞 225.6 已上报送的工控漏洞 235.6.1 GEProficyHMISCADACIMPLICITY权限提升漏洞（CVE-2016-5787） 235.6.2 AdvantechWebAccessActiveXVBWinExec远程代码执行漏洞（CVE-2016-4525） 245.6.3 AdvantechWebAccessActiveXChkTable缓冲区溢出漏洞（CVE-2016-4528） 255.6.4 AdvantechWebAccess信息泄露漏洞（CVE-2016-5810） 265.7 工控安全研究实验室 275.7.1 整体效果图 275.7.2 选煤厂控制系统 275.7.3 矿井排水系统 295.7.4 安全监控系统 295.7.5 火电主控系统 305.7.6 火电辅控 315.7.7 风电控制系统 32第6章 成功案例 336.1 某燃气综合监控系统安全检测 336.2 某烟草制丝集控系统安全检测 356.3 某火电工业控制系统安全检测 37

工作概述工作目的本次安全检测的主要目的是针对XX各系统使用的控制系统和通信设备进行检测和分析，帮助了解当前的基础设施的安全现状。工作范围本次工作主要对廊坊油气输出分控中心的所有工业控制系统（如控制器、上位机、scada系统、通信设备）进行安全评估。工作依据本次工控系统信息安全检查主要依据的政策文件和标准包括：GB/T30976-2014工业控制系统信息安全第1部分：评估规范GB/T26333-2010工业控制网络安全风险评估规范《关于加强工业控制系统信息安全管理的通知》(工信部【2011】451号)《信息系统安全保障评估框架第一部分：简介和一般模型》（GB/T20274.1-2006）《信息系统安全保障评估框架第二部分：技术保障》(GB/T20274.2-2008)《信息系统安全保障评估框架第三部分：管理保障》（GB/T20274.3-2008）《信息安全风险评估规范》（GB/T20984-2007）《信息安全管理体系要求》（GB/T22080-2008）《信息技术安全性评估准则》（GB/T18336-2008）《信息系统安全通用技术要求》（GB/T20271-2006）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统安全通用技术要求》（GB/T20271-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术路由器安全技术要求》（GB/T18018-2007）《信息安全技术服务器安全技术要求》（GB/T21028-2007）本次工控系统信息安全检查主要参照的标准包括：《工控系统保护轮廓》（NISTSPP-ICS）《工控系统安全指南》（NISTSP800-82）《工业控制系统安全性威胁部分》（BS7799）《工控系统安全技术》（ISA-TR99.00.01-2004）《工控系统安全整合技术》（ISA-TR99.00.02-2004）

工作流程整个检查包括方案制定、准备、现场核查和总结分析四个阶段，具体如图3所示。工作原则标准性原则工控系统信息安全检查是非常复杂的过程，在进行工控系统安全检查实施规划设计时如果只是单纯依赖经验，是无法对抗未知的威胁和攻击，因此需要参考相应的安全标准，从更全面的角度进行检查分析。规范性原则项目团队在本项目实施过程中，除了依据相关的国内和国际标准之外，还根据本项目的需要，遵循实施团队自身的一些规范和要求，建立规范的实施操作流程、文档管理制度和项目管理制度，减少出错的可能性。最小影响原则从项目管理和技术应用的层面，将安全检查实施工作，对工业控制系统和网络的正常运行所可能产生的影响降到最低程度，不对网络系统的运行和业务应用的正常提供产生影响，同时在安全检查实施前做好备份和应急措施。可控性原则项目团队在本项目的实施过程中，应从多个方面配合有关管理部门对项目进行监管，以保障本项目的人员、工具、过程的可控性；项目团队所做的所有工作都必须事先得到有关管理部门的认可后方可进行，以确保工作质量。保密性原则项目团队对工作过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害被检查单位利益的行为。工作思路针对当前网络环境，不影响企业在线生产的情况下，尽可能发现存在的所有的安全隐患，本次安全检测分两步进行，如下：离线检测针对实验室所有的工控系统进行安全检测，离线检测过程主要包括以下几个阶段：分析现场环境由被检测企业提供并介绍仿真环境的网络拓扑以及工控系统情况，与安全检测小组共同分析检测工具的部署方式方法以及工具的接入点，以及需要检测的设备清单。环境备份由于离线检测使用大量的模糊测试用例，无法避免由于设备漏洞导致实验室环境的破坏，所有需要检测的设备和上位机都需要提前进行备份，以确保实验室环境快速恢复。部署漏挖平台为快速有效的发现工控设备的安全问题，离线检测时，至少需要部署一台漏洞挖掘检测设备，如下图所示：图1匡恩漏洞挖掘检测平台 工控设备漏洞挖掘检测平台部署方式如下图所示：图2部署方式人工漏洞挖掘针对漏洞挖掘检测平台检测结果，并对重点安全问题进行深入的人工分析，挖掘设备和系统潜在的各种安全隐患。具体详情请参见第4章具体检测方案。撰写检测报告纪录所有发现的安全隐患，描述安全隐患产生的原因、产生的危害，并制定有效的防御措施，以提高企业抗风险的能力。现场检测现场检测过程主要包括以下几个阶段：分析现场环境由被检测企业提供并介绍与现实环境尽量相符的网络拓扑以及工控系统情况，与检测小组共同分析技术检测工具的部署方式方法以及工具的接入点。申请领导授权向被检测企业生产主管领导提交《技术检测授权书》，并向其阐述技术分析的过程和可能面临的风险，并获得相应的授权。部署技术工具现场技术检测工具至少包括一台分析设备（用于连入网络自动识别资产信息以及收集流量），以及一台用于管理分析设备和手工输入数据的Pad，如下图所示：图1技术检测工具示意图（Pad+分析工具）在被检测企业工控系统相应网络工程师的配合下，检测小组的技术人员将技术检测工具接入到相应的工控网络中。将工具接入检测对象区域的交换机业务口来收集和分析数据。图2技术检测工具典型接入示意图收集分析数据在技术检测过程中将采取手工录入信息和旁路接入网络抓包收取数据：无设备接入：主要包括手工资产录入，漏洞分析、安全标准问卷调查；；有设备接入：镜像流量分析和自动识别资产。导出分析结果工具将自动分析收集的数据，检测小组将从工具中导出相应的检测分析结果，选取有价值的数据进行分析和整理，并将其整合到现状检测报告中。应急预案技术检测工具安全安全标准问卷调查、网络异常流量分析和工控系统漏洞及网络结构检测中手工资产录入的检查方式不会对系统造成任何干扰，不会影响系统的正常运行。检测设备接入生产网的原则技术检测工具在接入前需要向现场客户了解准入原则：现场允许设备接入，则使用安全标准问卷调查、网络异常流量分析和工控系统漏洞及网络结构检测中手工资产录入的方法对现场进行安全分析。现场不允许设备接入，则使用安全标准问卷检测和工控系统漏洞及网络结构检测中手工资产录入的方法对现场进行安全分析。现场局限性方法网络异常流量分析工控系统网络流量安全分析技术检测工具需要以旁路的方式接入交换机镜像端口，其接入方式与工控系统中的审计类相关设备相同，在该类别的检测方式中，需要接入的交换机为管理型交换机，并配有镜像端口。如现场交换机为非管理型交换机则无法进行网络异常流量分析方法的检查，其余安全标准问卷调查,工控系统漏洞及网络结构检测不存在现场局限性。时间选择安全安全标准问卷调查、网络异常流量分析和工控系统漏洞及网络结构检测中手工资产录入的检查方式可在任意时间内进行，工控系统漏洞及网络结构检测中自动设备录入的检查方式建议根据工程情况尽量安排在工业现场业务量不大的时段或夜间。系统备份为防止在检测过程中出现的异常的情况，所有被检测系统均应在被检测之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。系统恢复在技术检测工具工控系统漏洞及网络结构检测中自动设备录入的检查方式，在使用过程中，如果出现被检测系统没有响应或中断的情况，应当立即停止安全检测工作，与客户方配合人员一起分析情况，在确定原因后，及时恢复系统，并采取必要的预防措施之后，确保对系统无影响，并经客户方同意之后才可继续进行。保障合理沟通在安全分析实施过程中，确定不同阶段的检测人员以及客户方的配合人员，建立直接沟通的渠道，并在检查出现难题的过程中保持合理沟通。具体检测方案控制器通信协议安全检测目的主要针对上位机和控制器之间的通信协议进行检测，检测通信协议的机密性、可靠性和可用性。检测是否存在指定注入、数据篡改、数据泄露、中间人等方面的攻击。检测方法主要采用实验室离线的检测方式，通过获取上位机与控制器之间的通信协议数据，采用如下手段进行检测：数据包重放。数据包人工分析。协议fuzz测试。4、，使用匡恩“漏洞挖掘检测平台”进行检测。后门检测检测目的主要针对控制器进行检测，检查是否存在预留的后门口令、后门服务。检测方法主要采用实验室离线的检测方式，配合使用匡恩“威胁评估平台”，主要关注如下几个方面：ftp是否存在后门账号和默认账号。通过分析固件分析是否有隐藏的后门程序、默认口令、弱加密算法。WEB服务隐藏的管理服务。调试接口检测。无线通信安全检测目的主要针对RTU控制器进行检测，检查RTU使用的无线通信安全性。检测方法主要采用实验室离线的检测方式，通过获取无线通信流量，分析是否存在如下问题：通信数据内容泄露。通信数据内容篡改。外部服务漏洞检测目的主要针对控制器提供的外部服务进行检测，检测是否存在影响控制器正常运行的漏洞。检测方法主要采用实验室离线的检测方式，利用人工分析、工具漏洞扫描和Fuzzing测试相结合，主要关注如下漏洞：WEB服务漏洞（如命令执行）。SNMP服务漏洞（如写权限）。服务配置漏洞（如IP-Forword）。服务拒绝服务漏洞。上位机设备非法接入检测目的主要针对上位机提供的外设接口（如USB），查看是否存在非法外设接入。检测方法通过对上位机进行在线安全抽检，查看操作系统相关记录信息，检查是否存在非法设备接入。此处为了避免操作风险，需要现场工程师指导下进行操作。通信协议安全检测目的主要针对上位机和控制器之间的通信协议进行检测，检测通信协议的机密性、可靠性和可用性。检测是否存在数据泄露、中间人等方面的攻击。检测方法主要采用实验室离线的检测方式，通过获取上位机与控制器之间的通信协议数据，采用如下手段进行检测：数据包重放。数据包人工分析。协议fuzz测试。使用匡恩“漏洞挖掘检测平台”进行检测。组态软件漏洞检测目的主要针对组态软件进行检测，检测组态软件的安全性。检测方法主要采用实验室离线的检测方式，通过软件逆向分析组态软件，对组态软件进行二制漏洞挖掘，采用如下手段进行检测：Activex组件fuzz测试。WEB服务漏洞扫描。操作系统安全检测目的主要针对上位机操作系统安全进行检测，由于操作员站大多采用WindowsXP和WindowsServer2003操作系统，而且没有打补丁。检测是否存在高危可利用漏洞。检测方法通过实验室离线检测。对实验室上位机进行离线漏洞扫描。病毒木马检测检测目的主要针对上位机病毒木马进行检测，由于操作员站大多采用WindowsXP和WindowsServer2003操作系统，很容易感染病毒和木马。检测方法通过对上位机进行在线安全抽检，对在线系统需要进行如下操作。此处为了避免操作风险，需要现场工程师指导下进行操作。查看操作系统进程信息。查看操作系统网络连接信息。抓取操作系统外面业务流量。SCADA系统设备非法接入检测目的主要针对SCADA系统提供的外设接口（如USB），查看是否存在非法外设接入。检测方法通过对SCADA系统进行在线安全抽检，通过查看操作系统相关记录信息，检查是否存在非法设备接入。此处为了避免操作风险，需要现场工程师指导下进行操作。SCADA软件漏洞检测目的主要针对SCADA软件进行检测，检测软件的安全性。检测方法主要采用实验室离线的检测方式，通过软件逆向分析组态软件，对组态软件进行二制漏洞挖掘，采用如下手段进行检测：Activex组件fuzz测试。WEB服务漏洞扫描。使用匡恩“威胁评估平台”进行检测。操作系统安全检测目的主要针对SCADA系统的操作系统安全进行检测，检测是否存在高危漏洞。检测方法通过实验室离线检测。对实验室SCADA的操作系统进行离线漏洞扫描。病毒木马检测检测目的主要针对SCADA系统的病毒木马进行检测。检测方法通过对SCADA系统进行在线安全抽检，对在线系统需要进行如下操作。此处为了避免操作风险，需要现场工程师指导下进行操作。查看操作系统进程信息。查看操作系统网络连接信息。抓取操作系统外面业务流量。使用匡恩“威胁评估平台”进行检测。网络设备无线接入检测目的主要检测所有的网络设备，是否存在无线接入情况。是否可以通过无线网络，破解无线网络安全设置，导致“设备身份”被冒用。是否可以通过无线网络，对传输信息进行窃听、截取和破坏。检测方法主要通过现场检测，检测是否存在非法的无线设备接入到网络中，影响网络的整体安全。通用漏洞检测检测目的检测网络设备是否存在安全隐患。检测方法主要通过实验室离线检测，使用漏洞扫描器进行扫描和人工分析相结合，检测通信设备的安全性。网络结构隐蔽通道检测检测目的针对实际网络结构，检测网络中是否存在隐蔽通道。检测方法主要通过了解整个网络拓扑结构，结合现场网络结构的实际勘察，检测是否存在隐蔽通道。网络结构合理性检测检测目的针对实际网络结构，检测网络结构的合理性。检测方法主要通过了解整个网络拓扑结构，结合现场网络结构的实际勘察，检测网络结构的合理性，是否存在单点故障的隐患。工作基础丰富的现场安全检测经验匡恩安全实验室曾多次参加了多个行业（石油、石化、电力、烟草等）不同种类的工业控制系统的安全检测，积累了丰富的现场安全检测经验，制定了一套完整的现场安全检测的流程，有效的保证了在安全检测的同时不影响在线的生产业务。在不同行业的现场安全检测过程中，发现了众多工业系统的安全隐患。专业的漏洞挖掘团队匡恩拥有专业的漏洞挖掘团队、熟悉工控的固件分析专家，已经成功的发现了西门子、施耐德等多个不同厂商多款不同型号的PLC的零日漏洞，成功的发现了VxWorks嵌入式系统的零日漏洞，成功的发现了艾默生DeltaVDCS系统的组态软件的零日漏洞。并给多个国家单位（CERT、国测、CVE等）上报了数个工控安全漏洞。国内领先的工控漏洞库漏洞库覆盖工控设备、上位机软件、工控专有通讯协议、工控操作系统等漏洞。漏洞库的内容包括：漏洞的详细分析，利用脚本和检测规则，收录的可利用的工控漏洞数量超过200。国内首款工控漏洞挖掘检测平台该设备能够对工业控制设备（如PLC）、工业控制系统（如DCS、SCADA、数控机床）和工业控制网络中的安全保护设备（如工控防火墙、网关等）进行全面自动化的安全检测和漏洞挖掘。该平台中已拥有超过450个的已知工控漏洞扫描库，400个以上的PLC设备库，超过10种工业专有通讯协议的FUZZ测试套件库。已挖掘的相关零日漏洞序号威胁/漏洞名称是否零日1CompactLogix5000系列PLC硬编码SNMP团体名漏洞是2CompactLogix5000系列PLCSNMP拒绝服务漏洞是3CompactLogix5000系列PLC中继漏洞是4CompactLogix5000系列PLCXSS漏洞是5CompactLogix5000系列PLCCIP协议拒绝服务漏洞是6CompactLogix5000系列PLCARP协议拒绝服务漏洞是已上报送的工控漏洞GEProficyHMISCADACIMPLICITY权限提升漏洞（CVE-2016-5787）AdvantechWebAccessActiveXVBWinExec远程代码执行漏洞（CVE-2016-4525）AdvantechWebAccessActiveXChkTable缓冲区溢出漏洞（CVE-2016-4528）AdvantechWebAccess信息泄露漏洞（CVE-2016-5810）工控安全研究实验室匡恩投入巨资建设大型工控安全研究实验室，并组建国内领先的工控安全实验室（烽火安全实验室），经过专业的安全研究团队，挖掘了大量的工业控制系统的漏洞。整体效果图选煤厂控制系统西门子S7-400 ABcompactlogix1769矿井排水系统西门子S7-300安全监控系统西门子S7-200火电主控系统ABB贝利的s+（ABBSymphonyPlusDCS系统）艾默生OvationDCS火电辅控ABCotrologix1756西门子DCSS7400H风电控制系统倍福1.5MW机组成功案例某燃气综合监控系统安全检测（1）项目背景概述为保障重点企业工业控制系统安全运行，提高工业基础设施应对网络攻击的能力，避免发生因工业控制系统安全事件影响企业安全生产，危害国家安全和社会稳定。某燃气公司对其工业控制系统网络安全漏洞和隐患情况进行调查研究和安全分析，为进一步对工控系统网络安全工作的加强和落实提供决策依据。（2）解决方案本次进行了为期3天的现场检测，该企业包含了完整的SCADA综合监控系统应用架构，检测工作主要对象确定为燃气调度中心、有人值守调压站及终端RTU的工业控制系统。检测人员使用威胁检测进行全局安全分析，对SCADA综合监控系统进行安全检测，其部署方式如下图所示。图3工具部署图使用技术检测工具的威胁分析模块对整个企业基于国标GB/T30976进行安全检测，部署技术检测工具至现场控制网和技术检测工具，获取网络通信流量和资产信息，同时使用资产分析模块对远程RTU进行安全检测，最终得到燃气SCADA综合监控系统的安全分析结果。（3）检测结果对于该燃气SCADA综合监控系统进行威胁分析、资产分析和流量分析，其检测结果分为三个方面，分别为管理问题、技术问题和系统问题。10项管理问题，如发现上位机中存在与工作无关的软件、PLC机柜未上锁、缺少存储介质管理规定等。19项技术问题，如没有对工控网络划分不同安全等级的区域