摘要：本文首先簡(jiǎn)要介紹SCADA系統的組成、協(xié)議、特點(diǎn)及其先天的脆弱性，其次對目前現有對SCADA系統進(jìn)行掃描探測的技術(shù)、方法和工具進(jìn)行詳細分析，表明主動(dòng)掃描與被動(dòng)掃描各有優(yōu)點(diǎn)和缺點(diǎn)，而智能掃描可將二者優(yōu)勢進(jìn)行整合，是未來(lái)SCADA系統探測掃描的發(fā)展方向。最后通過(guò)簡(jiǎn)單的測試和分析對SCADA系統的安全防護進(jìn)行思考并提出建議。

關(guān)鍵詞：SCADA；漏洞掃描；工控系統

1　引言

“工業(yè)4.0”時(shí)代，網(wǎng)絡(luò )化、數字化、智能化成為了新的方向。信息技術(shù)（Information Technology，IT）和操作技術(shù)（Operational Technology，OT）的融合已成為大勢所趨，同時(shí)是工業(yè)智能化的核心。早期的工業(yè)控制系統（Industrial Control System，ICS）中IT與OT相對較獨立，但隨著(zhù)因特網(wǎng)的快速發(fā)展，再加上ICS在對圖像、信號、控制等大數據要求下，IT和OT融合的新型ICS因此誕生。雖然IT和OT的融合給企業(yè)帶來(lái)了更高的生產(chǎn)效率及控制效率，但也因此使得OT系統將要面臨來(lái)自IT的威脅，威脅參與者可以利用IT網(wǎng)絡(luò )訪(fǎng)問(wèn)OT系統，從而進(jìn)行攻擊。ICS一旦遭受攻擊，將會(huì )帶來(lái)巨大的經(jīng)濟損失，因此ICS安全就顯得格外重要。

2　SCADA系統概述

數據采集與監視控制（Supervisory Control and Data Acquisition,SCADA）系統是智能化工業(yè)領(lǐng)域中必不可缺的一部分，它可以對現場(chǎng)的設備進(jìn)行監視和控制，同時(shí)還具有數據采集、測量、信號報警等功能，被廣泛運用于電力、石油、化工、鐵路等領(lǐng)域。曾經(jīng)的SCADA系統是孤立于外界網(wǎng)絡(luò )的獨立網(wǎng)絡(luò )，但在當今IT和OT融合的環(huán)境下，因特網(wǎng)協(xié)議（Internet Protocol，IP）也與SCADA相融合。由于部分設備較為脆弱，威脅參與者可以通過(guò)惡意掃描對SCADA設備進(jìn)行交互，并對工業(yè)設備造成破壞，當遭受到攻擊時(shí)可能會(huì )導致發(fā)電機停止工作或異常報警等。

2.1　SCADA系統的組成結構

SCADA系統由硬件設備和軟件組成的對生產(chǎn)過(guò)程控制與調度的自動(dòng)化系統，其主要組件有負責收集過(guò)程數據并向連接設備發(fā)送控制命令的監控計算機、連接過(guò)程中的傳感器和控制器的遠程終端單元（RTU）、通過(guò)輸入輸出來(lái)控制各種硬件設備的可編程邏輯控制器（PLC）、為操作員提供窗口的人機界面（HMI）和通信基礎設施。

2.2　SCADA的協(xié)議概述

為了充分理解SCADA系統的通信技術(shù)和在SCADA設備上執行網(wǎng)絡(luò )掃描的可行性，首先對SCADA系統常見(jiàn)的DNP3和ModBus兩種協(xié)議進(jìn)行回顧。

DNP3協(xié)議是自動(dòng)化系統組件間的通信協(xié)議，它是完全基于TCP/IP的，在應用層實(shí)現了對傳輸數據的分片、校驗、控制等諸多功能。在工業(yè)中，常被用于水利和電力公司。它為各種SCADA系統之間提供通信，在SCADA系統中起著(zhù)決定性作用，它主要負責主站與RTU、IED、HMI之間的通信，且支持多主機、多從和對等通信，有輪詢(xún)操作和靜態(tài)操作的操作模式。操作員可以通過(guò)抓包的形式來(lái)監視DNP3協(xié)議，以便提高系統的可靠性、減少故障和停機時(shí)間，但它并沒(méi)有被設計于保障通信安全。

ModBus是一種點(diǎn)對點(diǎn)的串行通信協(xié)議，其作用為提供RTU和PLC通信的標準，協(xié)議可以確定控制器是如何知道設備地址、識別發(fā)送給它的消息、采取的措施等。但ModBus有很多缺點(diǎn)，同時(shí)也有許多擴展去解決和修復這些缺點(diǎn)，其中最有名的就是ModBus X拓展。在網(wǎng)絡(luò )掃描過(guò)程中，由于數據包的接收方設備和發(fā)送方設備不同，他們的指令集也不同，一個(gè)Ethernet數據包從發(fā)送方發(fā)送出去，但接收方不一定會(huì )要求SCADA設備做出正確回應，當出現這樣的情況時(shí)，掃描可能將失去意義。如果接收方在接收過(guò)程中，數據包太大或者傳輸速度太快，SCADA設備的CPU可能也將無(wú)法正常解析數據。此外，掃描工具在傳輸數據時(shí)可能無(wú)法穿過(guò)正在使用的特定介質(zhì)，這可能會(huì )導致在串行網(wǎng)絡(luò )上造成連接中斷、拒絕服務(wù)等負面影響。

2.3　SCADA與商用IT網(wǎng)絡(luò )的差異

SCADA系統中的網(wǎng)絡(luò )與傳統的商用IT網(wǎng)絡(luò )存在著(zhù)一定差異。一是，SCADA系統中的ICS網(wǎng)絡(luò )和商用IT網(wǎng)絡(luò )實(shí)施不同，ICS網(wǎng)絡(luò )對于網(wǎng)絡(luò )的實(shí)時(shí)性要求較高；二是，構建的每個(gè)節點(diǎn)和子網(wǎng)的架構不同；三是，故障的嚴重性不同，ICS網(wǎng)絡(luò )一旦出現故障，將會(huì )帶來(lái)嚴重的后果，巨大的經(jīng)濟損失甚至人員傷亡。工業(yè)網(wǎng)絡(luò )安全事故造成嚴重后果的例子眾多，如美國DavisBesse核電站受到蠕蟲(chóng)攻擊、震網(wǎng)病毒攻擊伊朗核電站事件。

2.4　SCADA系統漏洞掃描的難點(diǎn)

由于SCADA系統最初與IT相對獨立，SCADA系統中的設備在設計之初并不注重信息安全的基本屬性，這將無(wú)法保證SCADA設備的安全性和處理事故的能力，因此它們很容易被攻擊。當SCADA系統或ICS組件可能存在漏洞時(shí)、受到出于經(jīng)濟利益的網(wǎng)絡(luò )攻擊時(shí)或遭遇到網(wǎng)絡(luò )戰時(shí)，攻擊者首先會(huì )通過(guò)掃描技術(shù)進(jìn)行工業(yè)設備及工控設備的資產(chǎn)發(fā)現，以確定一個(gè)IP地址內是否存在設備、該設備是什么樣的設備。除了資產(chǎn)發(fā)現以外，在監視控制、數據采集、漏洞掃描等方面都需要使用掃描技術(shù)，這樣的掃描技術(shù)主要包括主動(dòng)掃描和被動(dòng)掃描，以及最新提出的智能掃描。

SCADA系統的脆弱性意味著(zhù)掃描技術(shù)也可能會(huì )帶來(lái)風(fēng)險，尤其是主動(dòng)掃描甚至可能會(huì )造成工業(yè)設備的損壞。PLC和RTU等OT設備將監視機械設備（例如泵、閥門(mén)、發(fā)電機、報警器等）的運行以及環(huán)境因素（例如溫度、濕度、PH值等）。但這些設備是非常敏感的，無(wú)法承受住主動(dòng)掃描。設備敏感的原因如下：

（１）CPU的功能有限并且性能不高：設備被設計成一次只能做一件事，可能會(huì )導致被大量請求淹沒(méi)；

（２）實(shí)時(shí)通信：他們使用實(shí)時(shí)通信協(xié)議，如果通信延遲，重新建立通信也可能會(huì )遇到困難，比如全面的漏洞掃描將會(huì )造成延遲；

（３）設計之初未重視網(wǎng)絡(luò )安全：OT設備在設計之初都偏向于對環(huán)境的耐受性，比如耐熱、耐振動(dòng)、抵抗空氣中的微?；蛘呖闺娫粗袛嗟?，但沒(méi)有設計足夠的網(wǎng)絡(luò )通信最大承載量；

（４）使用自定義的操作系統和軟件：許多OT設備不會(huì )使用經(jīng)過(guò)廣泛測試、安全性較高的Windows、Linux系統和其他軟件，而是使用自定義的操作系統，獨立設計的小型軟件，這都意味著(zhù)系統安全性能較低；

（５）后期維護不充分：一個(gè)OT設備可能會(huì )使用數年甚至十數年，維護不充分造成OT設備處于崩潰的邊緣，例如積滿(mǎn)灰塵讓設備運行至接近過(guò)載點(diǎn)。完整的漏洞掃描則可能會(huì )帶來(lái)額外的負載，使其超過(guò)過(guò)載點(diǎn)而崩潰。

3　SCADA系統漏洞掃描方法與工具

3.1　漏洞掃描方法

3.1.1　被動(dòng)掃描

被動(dòng)掃描也叫做被動(dòng)監視、被動(dòng)嗅探。它使用對網(wǎng)絡(luò )流量的監視來(lái)識別服務(wù)、主機和客戶(hù)端。在網(wǎng)絡(luò )上設置了一個(gè)觀(guān)察點(diǎn)，需要網(wǎng)絡(luò )管理員或網(wǎng)絡(luò )工程師的協(xié)助才能配置這些系統以獲得最佳結果。無(wú)源掃描器可以長(cháng)時(shí)間連續運行，而不會(huì )中斷常規的網(wǎng)絡(luò )流量或與設備本身進(jìn)行交互，因為無(wú)源掃描工具的輸入數據是由網(wǎng)絡(luò )流量直接饋送。這意味著(zhù)用戶(hù)可以創(chuàng )建算法以剖析每個(gè)協(xié)議，有可能從每個(gè)數據包中提取重要的信息和標識符。被動(dòng)掃描是一種安全的掃描方式，由于其被動(dòng)性質(zhì)，它無(wú)法獲得設備的詳細信息，且無(wú)法掃描到休眠設備。

3.1.2　主動(dòng)掃描

主動(dòng)掃描是主動(dòng)向被掃描設備發(fā)送數據包的掃描方式，它試圖聯(lián)系每個(gè)主機上的每個(gè)服務(wù)，將數據包發(fā)送到每個(gè)主機并監視響應，但是隨著(zhù)時(shí)間的流逝，或者在以后重復相同的掃描時(shí)，此信息將會(huì )過(guò)時(shí)。主動(dòng)掃描與被動(dòng)掃描的一個(gè)顯著(zhù)差異：與設備的實(shí)時(shí)交互。在獲取有關(guān)ICS或SCADA網(wǎng)絡(luò )上設備的信息時(shí)，主動(dòng)方法需要與網(wǎng)絡(luò )上的設備進(jìn)行某種形式的交互，在網(wǎng)絡(luò )上的“觀(guān)察點(diǎn)”運行更長(cháng)的時(shí)間，從而無(wú)需從任何已連接的設備發(fā)送或接收數據。利用主動(dòng)掃描可以?huà)呙杪┒?、發(fā)現和識別網(wǎng)絡(luò )上的資產(chǎn)、操作系統和網(wǎng)絡(luò )設備等的配置評估、掃描惡意軟件、檢測更新等，但主動(dòng)掃描是一種侵入型掃描，再加上工控設備的脆弱性，可能會(huì )損壞部分敏感的工控設備。

3.1.3　智能掃描

智能掃描是一種新的掃描技術(shù)。無(wú)論是被動(dòng)掃描還是主動(dòng)掃描都有缺點(diǎn)。被動(dòng)掃描無(wú)法給出較為完善的信息，主動(dòng)掃描可以提供更多的信息但又可能對敏感的工控設備造成損壞，而智能掃描，結合了兩者的優(yōu)點(diǎn)，同時(shí)使缺點(diǎn)最小化。智能掃描通過(guò)對設備的判定來(lái)決定是否中斷掃描。因為智能掃描是為了保護SCADA敏感設備不因掃描而破壞而研究的，工廠(chǎng)使用智能掃描大多為了SCADA系統的檢查與防護，從而可以獲得被掃描設備的參數，例如CPU的當前負載率、設備溫度的變化情況、設備安全的CPU負載和溫度閾值，將這些參數代入計算掃描方式的算法中，然后將會(huì )得出一個(gè)安全的掃描方式。對性能較好的設備采用高速掃描：在不需要得到上一個(gè)數據包結果的情況下，快速連續發(fā)送一系列數據包，最后在對所接收到的全部數據包進(jìn)行統計。而對性能較差的設備采用緩慢低速的掃描，甚至一次只發(fā)送一個(gè)數據包，當接收到上一個(gè)數據包后才發(fā)送下一個(gè)數據包，若在規定的時(shí)間內（可以是30秒，也可以是60秒等等）沒(méi)有收到數據包，則視為被掃描設備進(jìn)行了丟包操作，掃描程序將會(huì )再次發(fā)出數據包，但連續超過(guò)四次以上的丟包將會(huì )中斷掃描。除此之外，當收到的數據包是斷斷續續則可能是因為CPU性能處于極限狀態(tài)。如果是敏感設備將及時(shí)中斷掃描，并記錄該設備的IP、MAC地址等信息，默認下次掃描將會(huì )跳過(guò)該敏感設備。通過(guò)目前技術(shù)分析以及各大廠(chǎng)商設備的出現，未來(lái)全智能掃描分析具有廣闊應用空間，通過(guò)掃描技術(shù)獲得系統一切可利用的參數，并把用戶(hù)想知道的部分提取出來(lái)，整理成數據方式選擇目前最優(yōu)的方案呈現在用戶(hù)的面前?；蛟S未來(lái)還會(huì )在智能掃描功能中內嵌“治療系統”，集掃描分析治療為一體，我們可以拭目以待。

3.2　常用掃描工具

3.2.1　Shodan

Shodan是一個(gè)搜索引擎，但它與Google這種搜索網(wǎng)址的搜索引擎不同，Shodan用來(lái)搜索網(wǎng)絡(luò )空間中的在線(xiàn)設備，用戶(hù)可以通過(guò)Shodan搜索指定的設備，或者搜索特定類(lèi)型的設備，其中Shodan上最受歡迎的搜索內容是：webcam，linksys，cisco，netgear，SCADA等等。那么Shodan是如何工作的呢？Shodan通過(guò)掃描全網(wǎng)設備并抓取解析各個(gè)設備返回的banner信息，通過(guò)了解這些信息Shodan就能得知網(wǎng)絡(luò )中最受歡迎的Web服務(wù)器，或是網(wǎng)絡(luò )中存在可匿名登錄的FTP服務(wù)器數量。Shodan常被用于查看指定主機的相關(guān)信息，如地理位置信息、開(kāi)放端口、是否存在某些漏洞等信息。

圖1 Shodan查看指定IP的SCADA設備情報及漏洞掃描結果

3.2.2　Nmap

Nmap是一個(gè)網(wǎng)絡(luò )連接端掃描軟件，用來(lái)掃描網(wǎng)上電腦開(kāi)放的網(wǎng)絡(luò )連接端。確定哪些服務(wù)運行在連接端，并且推斷哪個(gè)操作系統計算機運行（亦稱(chēng)為 fingerprinting）。它是網(wǎng)絡(luò )管理員必用的軟件之一，用以評估網(wǎng)絡(luò )系統。正如大多數被用于網(wǎng)絡(luò )安全的工具，Nmap也是不少黑客及駭客愛(ài)用的工具。系統管理員可以利用Nmap來(lái)探測工作環(huán)境中未經(jīng)批準使用的服務(wù)器，但是黑客會(huì )利用Nmap來(lái)搜集目標電腦的網(wǎng)絡(luò )設定，從而計劃攻擊的方法。

Nmap以隱秘的手法，避開(kāi)闖入檢測系統的監視，并盡可能不影響目標系統的日常操作。Nmap工具在電影黑客帝國（The Matrix）中也被用到（引自電影人物：崔妮蒂利用Nmap工具配合SSH1的32位元循環(huán)冗余校驗漏洞入侵發(fā)電站的能源管理系統）。Nmap具有眾多的腳本，其中就包含了針對各個(gè)公司SCADA設備的漏洞掃描腳本，這些腳本集成了該公司大多數SCADA設備的漏洞掃描，但不同公司SCADA設備的腳本通常是不能通用的。

圖2 Nmap掃描羅克韋爾自動(dòng)化Allen-Bradley PLC

3.2.3　Nessus

Nessus是目前全世界使用人數頗多的系統漏洞掃描與分析軟件，總共有超過(guò)75,000個(gè)機構使用Nessus作為掃描該機構電腦系統的軟件。作為漏洞掃描方面強大的工具之一，Nessus提供完整的電腦漏洞掃描服務(wù), 并隨時(shí)更新其漏洞數據庫。不同于傳統的漏洞掃描軟件，Nessus可同時(shí)在本機或遠端上遙控, 進(jìn)行系統的漏洞分析掃描。其運作效能能隨著(zhù)系統的資源而自行調整。如果將主機加入更多的資源（例如加快CPU速度或增加內存大?。?，其效率表現可因為豐富資源而提高。Nessus擁有眾多的插件，因此也可以用于掃描SCADA，但需要事先安裝好插件，它可以幫助使用者掃描常見(jiàn)的SCADA設備。這些插件的安裝方法簡(jiǎn)單，且該軟件具有可視化圖形界面，對于技術(shù)水平一般的工作人員極為友好。

圖3 Nessus掃描SCADA結果

3.2.4　Passive Vulnerability Scanner

Passive Vulnerability Scanner（PVS）是一項網(wǎng)絡(luò )發(fā)現和漏洞分析的專(zhuān)利技術(shù)，它以一種非入侵性的方式，提供持續的實(shí)時(shí)網(wǎng)絡(luò )分析和監控。在數據包層PVS漏洞監控工具監控IPv4和IPv6網(wǎng)絡(luò )流量，來(lái)確定拓撲結構、服務(wù)和漏洞?？梢酝暾榭从脩?hù)的安全狀態(tài)，同時(shí)集中日志分析和漏洞管理。

顧名思義，這款軟件是一款被動(dòng)掃描軟件，在ICS中，可以用其來(lái)進(jìn)行網(wǎng)絡(luò )分析和監控，以檢測是否有異常流量通過(guò)。

圖4 PVS被動(dòng)掃描的數據監控頁(yè)面

3.2.5　MSF

MSF是一個(gè)滲透測試框架，它的功能十分強大，無(wú)論是漏洞掃描還是漏洞利用、遠程控制等它都可以實(shí)現。MSF通過(guò)加載眾多的模塊進(jìn)行掃描及利用，利用一個(gè)模塊對SCADA系統的攻擊流程為：（1）加載模塊；（2）設置目標IP；（3）對目標進(jìn)行漏洞掃描，判斷其存在模塊內的哪些漏洞；（4）如果該設備存在漏洞，就可以對其進(jìn)行攻擊。

圖5 MSF使用模塊對SCADA系統進(jìn)行掃描及利用

4　測試與分析

4.1　SCADA漏洞掃描及利用測試

如果SCADA系統被威脅參與者進(jìn)行惡意的漏洞掃描，威脅參與者可能會(huì )對掃描出的漏洞加以利用，從而對SCADA系統造成破壞。為了觀(guān)察和評估對SCADA系統進(jìn)行惡意的漏洞掃描所造成的后果，筆者利用現有的ICS模擬設備進(jìn)行本次SCADA系統漏洞掃描及利用實(shí)驗，本次實(shí)驗基于搭載了西門(mén)子S7 PLC的智能制造工控模擬系統。

首先使用Nmap對整個(gè)SCADA系統進(jìn)行掃描，以發(fā)現存活主機，該SCADA系統由一個(gè)PLC、一個(gè)HMI和一個(gè)RTU組成。本次測試以該SCADA系統中的PLC為攻擊目標，利用ISF對目標PLC進(jìn)行攻擊，本次使用攻擊模塊為s7_300_400_PLC_control，此腳本可以使PLC停止工作。在命令框內輸入命令以運行ISF。

圖6 ISF運行界面

使用模塊后，設置目標的IP地址，然后運行模塊后，將會(huì )在確認目標存活后發(fā)送一個(gè)數據包以停止PLC運行。

圖7 利用模塊進(jìn)行攻擊

4.2　趨勢分析與思考

基于SCADA的漏洞掃描可以是出于工廠(chǎng)為提前發(fā)現風(fēng)險、降低風(fēng)險而做的自我保護；也可以是出于破壞或牟利的威脅參與者對SCADA系統的漏洞掃描，威脅參與者通過(guò)漏洞來(lái)攻擊SCADA系統。由于主動(dòng)掃描具有一定危害性，筆者從工廠(chǎng)如何進(jìn)行更為安全的漏洞掃描和防御威脅參與者的惡意掃描兩個(gè)方面進(jìn)行分析與思考。

當工廠(chǎng)對SCADA系統進(jìn)行安全檢查時(shí)，如何進(jìn)行安全的漏洞掃描？筆者認為可以使用主動(dòng)掃描與被動(dòng)掃描相結合的方式。主動(dòng)掃描應當在確保SCADA系統安全的情況下使用，對非敏感的設備使用主動(dòng)掃描可以獲得更為詳細的設備信息并且可以檢測出存在的漏洞，而對于敏感設備應當使用被動(dòng)掃描以監控和分析流經(jīng)敏感設備的網(wǎng)絡(luò )流量。而未來(lái)的研究方向將會(huì )是智能掃描如何在保證SCADA系統安全的情況下盡可能的實(shí)現更為細致的掃描。

那么工廠(chǎng)又該如何去防御威脅參與者的惡意掃描？筆者認為工廠(chǎng)必須具備一個(gè)完整的安全策略，這個(gè)安全策略不僅僅作用于硬件設備，還作用于所有員工。從硬件設備層面來(lái)說(shuō)是在系統中配置防火墻以限制外來(lái)網(wǎng)絡(luò )流量，以及做好充分的態(tài)勢感知和威脅檢測。從員工層面來(lái)說(shuō)就是限制員工權限，每個(gè)員工能接觸的設備及接觸設備方式都需要進(jìn)行限制，使權限最小化、精細化，最大化保證安全。

5　結語(yǔ)

在IT/OT融合環(huán)境下，SCADA系統將無(wú)法避免來(lái)自IT的威脅，由于工控系統中部分設備極為敏感，無(wú)論是基于漏洞發(fā)掘的掃描，還是基于資產(chǎn)發(fā)現的掃描，都將可能造成敏感設備損壞，從而對整個(gè)工業(yè)生產(chǎn)造成損失。無(wú)論是主動(dòng)掃描還是被動(dòng)掃描，都有明顯的缺點(diǎn)與不足，而智能掃描可以通過(guò)計算設備過(guò)載點(diǎn)并給出適合的掃描方案，以此來(lái)保證SCADA系統敏感設備不因為受到掃描而產(chǎn)生設備損壞、拒絕服務(wù)等不良影響。通過(guò)對掃描算法的不斷更新與完善，未來(lái)智能掃描將成為SCADA系統漏洞掃描的新方向。

作者簡(jiǎn)介：

陳　博（1992-），男，安徽安慶人，大專(zhuān)學(xué)歷，北京天地和興科技有限公司滲透測試工程師、安全研究員，研究方向為工業(yè)控制系統的漏洞挖掘技術(shù)。

馬　達（1999-），云南昆明人，學(xué)士學(xué)位在讀，北京天地和興科技有限公司滲透測試工程師、安全研究員，研究方向為工業(yè)控制系統的漏洞挖掘技術(shù)。

摘自《自動(dòng)化博覽》2020年12月刊