火电厂设备层通信网络安全问题

1、火电厂设备层通信网络平安问题 摘要火电厂传统分散控制系统DCS设备层采用硬接线方式，不存在通信平安问题，随着公开、透明的工控协议通信网络代替传统DCS硬接线进入设备层，工控协议所具有的协议破绽及容易受到网络攻击的特性开场显现。本文分析了火电厂控制系统设备层通信网络协议存在的破绽和攻击问题，重点分析了攻击防护，并给出了攻击方式的例如。最后提出，在破绽防护上，应采用管理措施和技术措施相结合；在攻击防护上，建议在实现PROFIBUS、MODBUS等工控协议时，增加时间戳和会话机制，或在建立PROFIBUS、MODBUS等工控协议通信前，实现基于身份的验证机制。关键词DCS；通信平安；设备层；协议破绽

2、；网络攻击；火电厂；防护措施分散控制系统DCS、可编程控制器PLC等工业控制系统与现场总线通信网络的有机结合，产生了兼容型的现场总线控制系统FCS【1】设备层采用现场总线通信网络的DCS。兼容型的FCS是指在DCS设备层中使用现场总线智能仪表和执行机构，将智能设备的变量输入或输出与DCS控制层相连接。兼容型FCS的控制层和网络层与传统DCS一致，这种构造的DCS可以接入智能型总线设备，可以通过DCS对智能设备进展直接的参数访问、诊断和报警访问。当前火电厂DCS网络平安防护重点放在网络层计算机信息平安的管理【2】，并且要求不断加强控制层平安防护功能。但是现场总线智能设备层缺乏相对应的平安检测及防

3、护手段。1火电厂控制系统存在平安问题目前火电厂控制系统中，以公开、透明的工控协议通信网络代替传统硬接线信号作为火电厂设备层通信网络，其优势是打破了传统硬接线的信息数量限制【3】，所采用的数字化通信网络，给火电厂带来众多消费和管理信息；其弱点在于像所有工控协议一样，具有一定的程序设计破绽并且容易受到网络攻击。1.1工控系统协议破绽破绽是在硬件、软件、协议的详细实现或系统平安策略上存在的缺陷【4】，可以使攻击者可以在未受权的情况下访问或破坏系统。攻击者可利用破绽执行任意代码。存在破绽的产品包括SchneiderElectric、GE和Alley-Bradley等。其中，影响Schneider的破绽

4、为CVE-2022-6034/6032【5】，攻击者可以基于MODBUS协议，对工业控制设备进展基于指令的操作，包括翻开或关闭阀门，读写线圈数据，启动或停顿PLC，甚至可以更改控制逻辑，下载梯形图等危险操作。现场总线协议跟其他工控协议一样存在破绽，如2022年底，西门子向全球发布公告称：SPPA-T3000应用效劳器存在19个破绽，SPAA-T3000MS3000迁移效劳器存在35个平安破绽【6】。在这54个破绽中，有些被评为严重破绽，可被利用来进展回绝效劳(DoS)攻击或在效劳器上执行任意代码。攻击者通过访问PROFIBUS现场总线协议中的ApplicationHighway或Automat

5、ionHighway实行远程攻击。另外，现场总线技术集成了工业以太网协议的新趋势【7】，也带来了相应的破绽平安隐患。现场总线标准的应用非常广泛，大局部现场总线标准是基于已有的串行通信协议标准设计的，与以太网技术有着很大的区别。随着系统复杂程度的增加，基于串行通信协议标准设计的现场总线难以满足通用性和高性能的要求，使得设备消费商转向采用基于以太网的通信技术。在上述需求的指引下，很多现场总线标准都已经集成到工业以太网协议中，在实现实时通信和工业互联的同时，较好地兼容了原有现场总线的软件和硬件。但是，由此也同时引入了工业以太网协议所天然具备的破绽问题。1.2工控协议攻击控制层与现场设备层智能设备之间

6、的工控协议标准是公开、透明的，这些数据很容易被解释为有意义的信息，即各个节点之间的通信就没有任何保密性可言。工控协议数据交换中的这种不平安因素因此上述的这种窃听就可以获取设备层通信的所有信息。对于火电厂而言，机、炉、电、水、煤、灰渣等各系统传递的参数是火电厂平安消费的关键，假如这些信息被窃取甚至被篡改，后果将难以估计。例如，假如攻击者充分理解目的使用的工控协议，那么可以在控制系统中执行中间人攻击。攻击者可以修改传输中的数据包，可以实现对操作员人机界面的欺骗，实现对控制系统的全面控制。通过在指令流中插入或修改指令，攻击者可以发出任意或者特定的指令，通过修改返回数据，欺骗操作员看到一个数据被修改正

7、的监控页面。2平安问题对策目前，针对工控协议存在的破绽，一般从管理和技术2个方面采取相应措施。1加强管理，制止未受权人员直接对设备层现场总线通信网络进展访问。2针对受权使用者，建议只在局域网进展操作，使用者调试时所使用的便携式工具包括笔记本电脑、编程器等不能直接连接互联网。3当便携工具必须连接到互联网时，应采取必要的防护措施，如与设备消费商确认风险，提早做好数据及系统备份等应急方式准备。2.1.2技术措施1安装设备消费商提供的相应补丁程序，并晋级设备固件版本，以便不受已发现破绽的威胁。2及时修改配置，关闭不需要使用的局部功能，使系统更加平安。3设置破绽扫描，及时发现不合法的命令。在工业通信中，

8、攻击防护的第一步是要完全掌握设备层工控协议的内容。工控协议在任何时刻都不能出现不合法报文帧，一旦发现此类报文即认为是一种篡改式攻击行为。即使合法的报文帧，出如今不适宜的地方，也可能是一种插入命令式攻击行为。PROFIBUS和MODBUS都是典型的工控应答协议，其中MODBUS协议格式图2较为简单，而PROFIBUS协议格式图3那么较为复杂。1篡改式攻击篡改功能码工控协议中，局部FC功能码是协议强迫要求规定的，另外一局部功能码允许不同厂商进展自定义。PROFIBUS协议的MS0通信协议主要由诊断、设置参数、检查组态和数据交换等数据协议组成。其中设置参数协议是主站对从站的操作方式，包括通信参数、功

9、能设定、装置参数和ID号等的设定，该协议在进展组态时自动产生。当出现异常时，MS0提供了一个方便、功能强大的诊断数据协议，用以分享故障。数据交换协议采用Default-SAP不适用SAP方式。数据交换协议中的功能码FC=0 x08，表示这是一个低优先级的报文帧。当主站与从站已经处于Data_Exchange状态下时，从站突发故障，此时必须及时报告给主站，通过将数据交换协议中的FC功能码设置为0 x0A，来到达通知主站的目的。主站会在下一个总线循环周期发出诊断恳求报文帧，用以中断数据交换恳求报文帧的发送，这样从站就可以把诊断响应报文帧传送给主站。攻击者假如在正常数据交换时对FC施行篡改，将其置为

10、0 x0A，那么会造成通信由数据交换至诊断状态的跳转，导致数据刷新中断，严重影响设备层数据通信的稳定。篡改目的或源地址为到达防止设备地址冲突的目的，PROFIBUS和MODBUS协议都是通过设备地址唯一性来识别现场设备的。攻击者假如对地址进展篡改，将可能导致本来下发给A设备的命令，最终被B设备执行；或者篡改设备地址一致即地址冲突，引起2个或多个设备无法被主站所识别，最终导致设备从通信网络中离线。2插入命令式攻击DSAP和SSAP指明了详细的效劳类型，通过它们就可以知道某个协议详细是诊断、设置参数、检查组态和数据交换协议中的哪一个。攻击者假如在数据交换阶段插入带有效劳访问点的协议报文帧，将会导致

11、不合法协议的出现，大量占据通信带宽，造成数据交换的暂停，导致数据刷新中断，严重影响设备层数据通信的稳定。通过分析协议应用场景，可以看出攻击者可访问设备层通信网络，拦截发往DCS、PLC的数据，一旦获取明文传输的协议，攻击者就能发送恳求篡改任意命令。即攻击者可以通过简单发送不同功能码的报文，就可以到达恶意操作设备的目的。针对设备消费商，建议在实现PROFIBUS、MODBUS等工控协议时，增加时间戳和会话机制，防止攻击者通过简单协议重放到达不可预期的目的。或者，在建立PROFIBUS、MODBUS等工控协议通信之前，实现基于身份的验证机制。上述措施可以在篡改、屏蔽、插入新命令等协议攻击发生的情况下，第一时间发现平