基于可编程控制器锅炉控制系统网络攻击实现.docVIP

基于可编程控制器锅炉控制系统网络攻击实现 　　【摘 要】 为使工业从业人员提高工控系统信息安全防范意识，加强工控设备信息安全防护措施，本文将针对一套锅炉控制系统中的可编程控制器西门子S7-300进行相关网络攻击测试，通过利用了S7-300 PLC与上位机编程软件STEP7间通信过程中身份认证机制不完善的脆弱点，以重放攻击的形式人为控制PLC开关机。通过实例证明，网络攻击可以在工控系统中轻松实现，借此希望引起相关从业人员人员的重视。 　　【关键词】 锅炉 可编程控制器 重放攻击 脆弱性 　　锅炉作为一种重要的工业生产设备，在化工、发电以及人们的日常生活中起着至关重要的作用。近几年，随着对工业生产要求的不断提高，锅炉作为工业过程中重要的上游动力设备，也正向着大容量、多参数、高效率的方向快速进步。因此，保证锅炉的运行安全，意义重大。 　　但随着计算机技术、通信技术和控制技术的发展，传统的控制领域已向网络化方向高速发展。尤其以“震网”病毒为首的几起工控信息安全事件的发生，使得工控系统安全得到了国家有关部门的高度重视。为引起相关从业人员对工控信息安全的重视，本文通过对基于西门子S7-300可编程逻辑控制器（Programmable Logic Controller，PLC）的锅炉控制系统进行针对性的模拟网络攻击，来分析PLC这一常见的控制器的安全隐患，并模拟工控系统信息安全脆弱性可能带来的危害。 　　1 锅炉控制系统（如图1） 　　1.1 锅炉控制系统介绍 　　锅炉系统（包括炉膛、油箱和水箱）作为被控对象，由西门子S7-300PLC等现场工业控制器采集锅炉系统的所有数字量、模拟量信号，完成对锅炉系统的闭环控制。同时，在该控制系统中，工业监控服务器通过工业以太网与现场控制器通讯，监控锅炉的运行状态和修改运行参数。 　　本系统的控制器主要由西门子S7-300 PLC、ABB AC-500 PLC及北京安控Super32-L RTU组成。其中，S7-300 PLC将对锅炉主体完成全部的控制功能，包括对锅炉进水量、进油量、汽包水位和压力等的控制；安控Super32-L RTU完成对水箱的控制功能，通过读取水箱内部实时水位作出补水、告警等功能；ABB AC-500 PLC完成对油箱的控制功能，通过对其油箱内部实时油位作出进油、告警等功能。 　　锅炉控制系统网络结构图如图2所示。 　　1.2 控制系统软件设计（如图3） 　　在本文介绍的控制系统中，西门子S7-300 PLC负责了对锅炉燃烧状态的控制，我们将对其进行基于网络的信息安全攻击测试，因此，S7-300 PLC是我们研究的重点。 　　S7-300是德国西门子公司生产的可编程控制器（PLC）系列产品之一，在国内外各工业领域都有广泛的应用。其中，在我国的水利、炼化等领域的关键控制系统中更是起到了核心控制器的作用。S7-300系列PLC采用了模块化结构设计，各种单独模块之间可进行广泛组合和扩展，包括导轨、电源模块、CPU模块、接口模块、信号模块、功能模块等，在提升其技术开放性的同时也带来了一定的安全隐患。现在，越来越多的控制方案会选择将PLC与从设备或现场仪表的通信通过现场总线、与上位机系统的通信通过工业以太网进行，这便使得通过以太网对PLC等工业控制设备进行攻击成为可能。 　　在本系统中，S7-300 PLC主要负责锅炉本体控制方案的实现。其对锅炉本体的控制可分为：（1）对汽包水位的PID控制；（2）对汽包压力的PID控制；（3）对紧急停车及复位的控制；（4）对锅炉燃烧、停炉的时序控制，所有控制的状态由S7-300 PLC通过工业以太网传送到上位机的WINCC监控界面中。 　　控制方案的软件实现由西门子编程软件STEP7完成，西门子STEP7是用于SIMATIC S7系列PLC创建可编程逻辑控制程序的标准软件。用户程序由用户在STEP7中生成，然后将其下载到PLC中，用户程序可包含处理用户特定的自动化任务所需要的所有功能。 　　2 网络攻击 　　2.1 攻击原理 　　本节将介绍锅炉控制系统中对西门S7-300 PLC的模拟网络攻击，笔者将通过对完全面向市场开放的工控软硬件进行试验分析，获取可被利用的通信数据，从而在锅炉控制系统中进行重放攻击，使之造成一定的恶意破坏效果。 　　重放攻击（Replay Attacks）是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。在本实验中，攻击者利用网络监听或者模拟环境重现获取相应的认证凭据，之后再把它重新发给通信双方，即使两者通信中关键数据进行了加密，但是仍防止不了重放攻击发生。 　　2.2 攻击环