工控DNP3協議有哪些安全問題

工控DNP3協議有以下安全問題：

• 缺少認證：認證的目的是保證收到的信息來自合法的用戶，未認證用戶設備發送的命令不會被執行。在DNP3的通信過程中，沒有任何認證方面的相關定義，攻擊者只要找到一個合法地址即可使用功能碼建立DNP3通信會話，從而擾亂控制過程。

• 缺少授權：授權保證不同的特權操作由擁有不同權限的認證用戶來完成，這樣可以降低誤操作與內部攻擊的概率。目前DNP3沒有基于角色的訪問控制機制，也沒有對用戶進行分類，沒有對用戶的權限進行劃分，這樣任意用戶可以執行任意功能。

• 缺乏加密：加密可以保證通信過程中雙方的信息不被第三方非法獲取。在DNP3協議的通信過程中，地址和命令全部采用明文傳輸，因此數據可以很容易地被攻擊者捕獲和解析，為攻擊者提供便利。

• 協議復雜性：除缺乏認證、授權和加密等安全防護機制之外，協議的相對復雜性也是DNP3中存在的安全問題的主要根源。

• 設計安全問題：應用開發者在使用DNP3設計應用功能的同時應該考慮其功能實現之后導致的安全問題。保證DNP3使用的設計安全性能夠處理應用中會出現的各種異常響應以及非法操作等問題，充分保障應用程序的健壯性。

• 功能碼濫用：功能碼是DNP3中一項重要的內容，幾乎所有通信都涉及功能碼。功能碼濫用也是導致網絡異常的一個主要因素。例如需要引起IDS/IPS開發人員高度關注的一些DNP3消息：關閉主動上送；在DNP3端口上運行非DNP3通信；長時間多重主動上送（響應風暴）；授權客戶冷重啟；未授權客戶冷重啟；停止應用；熱重啟；重新初始化數據對象；重新初始化應用；冰凍并清除可能重要的狀態信息。

• TCP/IP安全問題：目前DNP3可以在通用計算機和通用操作系統上實現，運行于TCP/IP協議之上，這樣TCP/IP協議自身的安全問題就會不可避免地影響系統網絡安全。非法網絡數據獲取中間人、拒絕服務、IP欺騙等互聯網中常用的攻擊方法都會威脅DNP3系統的安全。

加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。