徐 軍，楊哲明，沈國(guó)良

（浙江浙能天然氣運(yùn)行有限公司，杭州 310052）

0 引言

天然氣因其燃燒熱值高、燃燒后有害物質(zhì)少、供應(yīng)可靠等特點(diǎn)，已逐漸受到市場(chǎng)青睞。為響應(yīng)國(guó)家煤改氣號(hào)召，浙江省目前亦在逐步取消小型燃煤機(jī)組發(fā)電，轉(zhuǎn)而使用天然氣進(jìn)行發(fā)電。天然氣發(fā)電機(jī)組因用氣量大，對(duì)天然氣供氣壓力的穩(wěn)定性有較高要求，而天然氣分輸站一般離發(fā)電廠較遠(yuǎn)，管存氣量的存在使得遠(yuǎn)距離調(diào)壓效果并不明顯。為此，一般在發(fā)電廠附近建設(shè)天然氣調(diào)壓站點(diǎn)，以實(shí)時(shí)調(diào)節(jié)供氣壓力。

據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)，第二季度僅針對(duì)中國(guó)境內(nèi)工業(yè)互聯(lián)網(wǎng)平臺(tái)及來(lái)源于境外的網(wǎng)絡(luò)攻擊事件就有656起；新增工業(yè)控制系統(tǒng)漏洞115個(gè)，涉及羅克韋爾、西門(mén)子、施耐德電氣等品牌的多款控制器[1]。

1 天然氣站控制系統(tǒng)安全威脅分析

在研究分析站控系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅之前，先對(duì)Modbus/TCP協(xié)議做簡(jiǎn)要介紹。

1.1 Modbus/TCP協(xié)議介紹

Modbus/TCP封裝于TCP/IP協(xié)議的應(yīng)用層，在TCP數(shù)據(jù)包中包含Modbus應(yīng)用數(shù)據(jù)，采用傳統(tǒng)的客戶(hù)端/服務(wù)端通訊模式，其中Modbus從站為服務(wù)端，Modbus主站為客戶(hù)端。在初始通訊時(shí)，Modbus主站主動(dòng)發(fā)起通訊請(qǐng)求，Modbus從站根據(jù)Modbus數(shù)據(jù)協(xié)議規(guī)則，做出相應(yīng)的響應(yīng)。完整的Modbus/TCP應(yīng)用數(shù)據(jù)單元由下面3部分組成[2]：

圖1 Modbus/TCP協(xié)議數(shù)據(jù)單元格式Fig.1 MODBUS/TCP Protocol data unit format

其中，Modbus/TCP協(xié)議頭又被簡(jiǎn)稱(chēng)為MBAP，它由以下4個(gè)部分組成[2]：

表1 Modbus/TCP協(xié)議頭組成Table 1 MODBUS/TCP Protocol header composition

Modbus/TCP功能碼根據(jù)其作用可分為讀操作、寫(xiě)操作、其他操作。Modbus主站使用讀功能碼和寫(xiě)功能碼對(duì)Modbus從站進(jìn)行數(shù)據(jù)讀寫(xiě)操作。

1.2 協(xié)議主要風(fēng)險(xiǎn)

Modbus/TCP由Modbus協(xié)議改造而來(lái)，形成時(shí)間較早，缺乏安全考慮，在天然氣現(xiàn)有控制系統(tǒng)網(wǎng)絡(luò)環(huán)境下，主要存在以下幾方面問(wèn)題：

首先，Modbus/TCP協(xié)議使用TCP進(jìn)行數(shù)據(jù)通訊，需要進(jìn)行3次握手操作，而PLC設(shè)備結(jié)構(gòu)簡(jiǎn)單，使得其在傳統(tǒng)的SYN-Flood等DDOS攻擊問(wèn)題上基本沒(méi)有防御能力。

其次，Modbus/TCP協(xié)議缺乏認(rèn)證以及授權(quán)機(jī)制[3]，在控制網(wǎng)絡(luò)中的任一設(shè)備，只要網(wǎng)絡(luò)可達(dá)，即可通過(guò)Modscan等工具連接Modbus從站，進(jìn)行數(shù)據(jù)讀寫(xiě)操作，甚至是PLC設(shè)備啟/停操作，而Modbus從站根本無(wú)法區(qū)分合法用戶(hù)以及非法用戶(hù)。

③增效擴(kuò)容項(xiàng)目在促進(jìn)節(jié)能減排、保護(hù)河流生態(tài)環(huán)境、消除公共安全隱患、解決農(nóng)村無(wú)電缺電問(wèn)題、推動(dòng)農(nóng)村經(jīng)濟(jì)社會(huì)發(fā)展方面具有十分重要的意義。

還有，Modbus/TCP協(xié)議是公開(kāi)協(xié)議，所有數(shù)據(jù)格式開(kāi)放且未加密，數(shù)據(jù)容易被竊聽(tīng)、篡改以及偽造，攻擊人員甚至可以構(gòu)造畸形數(shù)據(jù)包，導(dǎo)致PLC設(shè)備以及上位機(jī)設(shè)備的崩潰。

1.3 業(yè)務(wù)風(fēng)險(xiǎn)

天然氣站場(chǎng)的安全防范由人防、物防和技防組成：人防通過(guò)配置人員進(jìn)行巡邏、站崗等方式進(jìn)行安全防范；物防通過(guò)圍墻、刺網(wǎng)等方式防止未授權(quán)人員通過(guò)攀爬等方式進(jìn)入站場(chǎng)；技防由紅外對(duì)射系統(tǒng)、激光對(duì)射、視頻監(jiān)控系統(tǒng)等組成，對(duì)站場(chǎng)周界進(jìn)行技術(shù)性防護(hù)。

天然氣無(wú)人調(diào)壓站因其設(shè)計(jì)原因僅使用物防和技防，并且距離有人值守的站場(chǎng)距離較長(zhǎng)，一旦人員入侵，攻擊人員有充分時(shí)間發(fā)起對(duì)通信網(wǎng)絡(luò)中其他站點(diǎn)的攻擊。同時(shí)，天然氣無(wú)人調(diào)壓站因其技術(shù)需要在自動(dòng)化調(diào)節(jié)的情況下，不定期進(jìn)行人為干預(yù)調(diào)整，而該調(diào)整由值班人員遠(yuǎn)程控制操作完成。

2 天然氣無(wú)人值守站安全防護(hù)措施

根據(jù)浙江省天然氣無(wú)人值守站實(shí)際運(yùn)行情況以及面臨的風(fēng)險(xiǎn)，對(duì)站控系統(tǒng)提出如下安全防護(hù)措施。

2.1 基本的防護(hù)策略

在天然氣無(wú)人值守站（也稱(chēng)調(diào)壓站）通訊中，面臨的風(fēng)險(xiǎn)不僅來(lái)自于Modbus主站非法鏈接，更有來(lái)自于Modbus從站的非法接入風(fēng)險(xiǎn)。

實(shí)施嚴(yán)格的訪問(wèn)策略可以很大程度上杜絕未經(jīng)授權(quán)的訪問(wèn)[4]，以確保Modbus從站不受到其他Modbus主站的惡意控制。萬(wàn)一當(dāng)Modbus從站被非法控制或者替換時(shí)，不能攻擊其他Modbus從站。

主要通過(guò)安全網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)Modbus/TCP數(shù)據(jù)包進(jìn)行深度檢測(cè)[5]、分析、拆解、重組。利用拆解、重組操作可以有效減少畸形數(shù)據(jù)包對(duì)Modbus主站與Modbus從站的攻擊。利用數(shù)據(jù)包的分析功能，可以有效分類(lèi)功能碼以及讀寫(xiě)地址。在確認(rèn)數(shù)據(jù)來(lái)源可信的情況下，限制Modbus從站和Modbus主站的操作權(quán)限。同時(shí)分析后的Modbus/TCP數(shù)據(jù)包提供了細(xì)粒度的檢測(cè)，增強(qiáng)了訪問(wèn)策略的功能。

由于天然氣控制系統(tǒng)遠(yuǎn)距離傳輸采用光傳輸系統(tǒng)，沿天然氣管道敷設(shè)自有光纜，故不在此做數(shù)據(jù)加密討論。

2.2 主要的防護(hù)規(guī)則

天然氣無(wú)人調(diào)壓站可由所屬有人值守站場(chǎng)以及調(diào)度中心雙方控制，可建立如下主要的防護(hù)規(guī)則：

1）啟用SYN、Pingof Death的傳統(tǒng)TCP攻擊防御。

2）允許來(lái)自所屬有人值守站場(chǎng)以及調(diào)度中心的Modbus主站訪問(wèn)無(wú)人調(diào)壓站的Modbus從站。

3）拒絕無(wú)人調(diào)壓站側(cè)的Modbus主站訪問(wèn)網(wǎng)絡(luò)中其余Modbus從站。

4）使用Modbus/TCP協(xié)議深度檢測(cè)，對(duì)來(lái)自所屬有人值守站場(chǎng)以及調(diào)度中心的Modbus/TCP協(xié)議中功能碼進(jìn)行篩選，僅允許讀寫(xiě)操作，同時(shí)限制有效數(shù)據(jù)段。

3 試驗(yàn)過(guò)程及其結(jié)果分析

為測(cè)試Modbus/TCP協(xié)議深度檢測(cè)在實(shí)際生產(chǎn)中的使用效果，本次實(shí)驗(yàn)使用兩臺(tái)安裝Windows的PC電腦和一臺(tái)工控專(zhuān)用防火墻進(jìn)行測(cè)試。工控防火墻在兩臺(tái)PC間采用串聯(lián)模式，PC配置、安裝軟件以及模擬角色信息見(jiàn)表2。

在無(wú)策略情況下，所有TCP通訊均被攔截，ICMP數(shù)據(jù)包也無(wú)法通過(guò)。添加Modbus規(guī)則放行后，見(jiàn)圖3、圖4。

將Modbus規(guī)則設(shè)置為攔截模式，即白名單模式，因?yàn)闆](méi)有設(shè)置允許通過(guò)的規(guī)則，默認(rèn)所有的Modbus/TCP讀取都被認(rèn)為是非法訪問(wèn)，從而進(jìn)行攔截，見(jiàn)圖5、圖6。

圖2 防火墻側(cè)地址配置情況Fig.2 Firewall side address configuration

表2 地址配置以及軟件使用情況Table 2 Address configuration and software usage

圖3 Modbus放行規(guī)則Fig.3 Modbus release rules

圖4 Modbus放行規(guī)則記錄日志Fig.4 Modbus release rules logging

圖5 啟用Modbus攔截規(guī)則Fig.5 Enabling Modbus intercept rules

在攔截模式中添加允許讀線圈功能，允許地址設(shè)置為1～50，設(shè)備地址設(shè)置為1。當(dāng)通過(guò)ModScan讀取1～5地址時(shí)，通訊被放行；當(dāng)讀取地址超過(guò)1～50范圍后，ModScan通訊被中斷，在日志中可以查閱到訪問(wèn)了不合法的地址。

在深度檢測(cè)規(guī)則中修改規(guī)則見(jiàn)表3。

圖6 Modbus讀取被攔截Fig.6 Modbus Read is intercepted

圖7 Modbus讀取放行規(guī)則Fig.7 Modbus Read release rules

圖8 Modbus讀取攔截情況Fig.8 Modbus Read interception situation

圖9 Modbus寫(xiě)入放行規(guī)則Fig.9 Modbus Write release rules

圖10 Modbus寫(xiě)放行及攔截情況Fig.10 Modbus write release and interception situation

表3 白名單規(guī)則清單Table 3 List of white list rules

使用Modscan操作后，可以在日志中看到過(guò)濾效果：對(duì)于地址2的數(shù)據(jù)為開(kāi)或者關(guān)均被放行；修改地址3的數(shù)據(jù)為關(guān)被放行，修改地址3的數(shù)據(jù)為開(kāi)被攔截。

根據(jù)實(shí)驗(yàn)可以看到基于Modbus協(xié)議深度檢測(cè)的安全設(shè)備能有效管控Modbus/TCP數(shù)據(jù)的通信，并確保系統(tǒng)安全。

4 結(jié)束語(yǔ)

由于Modbus/TCP通訊協(xié)議存在的先天缺陷，以及當(dāng)前天然氣無(wú)人調(diào)壓站所面臨的工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。應(yīng)用基于Modbus深度協(xié)議解析的工控安全網(wǎng)關(guān)，并配置適當(dāng)?shù)陌踩呗?，通過(guò)實(shí)驗(yàn)驗(yàn)證，可以有效防范多種安全威脅，提高系統(tǒng)安全性。該安全策略簡(jiǎn)單實(shí)用、穩(wěn)定可靠，對(duì)類(lèi)似無(wú)人值守站控系統(tǒng)也有較好的參考意義。