西门子工业控制系统安全防护请看此篇！

一

西门子工业控制系统行业数据分析

据统计，我国在2020年工业控制系统细分的PLC市场中，大中型PLC占比为51.20%，小型PLC占比为48.80%；从区域来看，欧美品牌占比63%，日系品牌占比26%，本土品牌市占率仅11%；从品牌来看，西门子以57.53亿元的销售额位列市场，占据国内44.3%的市场份额。德国西门子股份公司（SIEMENSAG）创立于1847年，是全球电子电气工程领域的企业。是一家专注于工业、基础设施、交通和医疗领域的科技公司，在国内工业领域石油石化、烟草、市政、智能制造、冶金等多个细分行业均有落地应用。

图1 2020年中国PLC行业市场竞争格局示意图
图2 2020年中国大中型PLC行业市场竞争格局示意图
图3 2020年中国小型PLC行业市场竞争格局示意图

二

西门子工业控制系统通信协议介绍

西门子PLC使用私有协议进行通信，其利用TPKT与ISO8073的二进制协议。西门子的PLC通信端口均为TCP102端口。西门子PLC协议有3个版本，分别为S7Comm协议、早期S7CommPlus协议和新的S7CommPlus协议。

S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7comm通信。该协议不具备S7Comm-Plus的加密功能，不涉及任何反重放攻击机制，存在安全漏洞。具体协议结构如下图所示：

图4 西门子S7通信协议报文结构示意图

S7-1200v3.0之间通信采用早期S7Comm-Plus协议；

S7-1200v4.0、S7-1500系列采用了新的S7Comm-Plus协议；

新的S7Comm-Plus协议引入会话ID防止重放攻击。具体协议结构与上图类似，第七层为S7comm-plus。

三

西门子工业控制系统软件介绍

西门子的工业控制软件分为三个不同的种类：

（1）编程和工程工具：编程和工程工具包括所有基于PLC或PC用于编程、组态、模拟和维护等控制所需的工具。其中S7200和S7200-smartstep7较独特，采用的编程软件分别为step7MicroWIN与step7Microwinsmart。而S7300/400/1200/1500普遍使用的是博途（TiaPortal）—TiaPortal是西门子重新定义自动化的概念、平台以及标准的自动化工具平台；新版本为V16，增强了S7系列PLC和WinAC控制器的支持，提升了软件的启动速度和兼容性。

（2）基于PC的控制软件：基于PC的控制系统WinAC允许使用个人计算机作为可编程序控制器（PLC）运行用户的程序，运行在安装了WindowsNT4.0操作系统的SIMATIC工控机或其它任何商用机。WinAC提供两种PLC，一种是软件PLC，在用户计算机上作为视窗任务运行。另一种是插槽PLC（在用户计算机上安装一个PC卡），它具有硬件PLC的全部功能。WinAC与SIMATICS7系列处理器完全兼容，其编程采用统一的SIMATIC编程工具（如STEP7），编制的程序既可运行在WinAC上，也可运行在S7系列处理器上。

（3）人机界面软件：人机界面软件为用户自动化项目提供人机界面（HMI）或SCADA系统，支持大范围的平台。人机界面软件有两种，一种是应用于机器级的ProTool，另一种是应用于监控级的WinCC。

ProTool适用于大部分HMI硬件的组态，从操作员面板到标准PC都可以用集成在STEP7中的ProTool有效地完成组态。ProTool/lite用于文本显示的组态，如：OP3，OP7，OP17，TD17等。ProTool/Pro用于组态标准PC和所有西门子HMI产品，ProTool/Pro不只是组态软件，其运行版也用于Windows平台的监控系统。

WinCC是一个面向监控与数据采集的SCADA（Supervisory Control and DataAc）软件，可在任何标准PC上运行。WinCC操作简单，系统可靠性高，与STEP7功能集成，可直接进入PLC的硬件故障系统。它的设计适合于广泛的应用，可以连接到已存在的自动化环境中，有大量的通信接口和全面的过程信息和数据处理能力。

图5 西门子WinCC组态软件示意图

四

西门子工业控制系统攻击利用概述

目前存在针对西门子工业控制系统的攻击方式主要包括：IP欺骗、服务拒绝（DoS）攻击、TCP SYN Flood攻击、Land攻击、ICMP Smurf攻击、Ping of Death攻击、UDPFlood攻击、Teardrop攻击、中间人攻击、重放攻击等，本章节重点介绍中间人攻击和重放攻击两种攻击方式。

中间人攻击

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种间接的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

中间人攻击中有两个受害者，分别为上位机和PLC。中间人在双方都不知情的情况下实施攻击，攻击对象是经过中间人传送的上位机和PLC的传输内容。传输内容被中间人截获，如果截获信息中有用户名和密码，危害就会更大，而且中间人攻击不会损害两者之间的通讯。中间人攻击流程如下图所示。

图6 中间人攻击示意图

攻击前提：

攻击者与PLC设备处于同一网段。

攻击步骤：

1.步也是重要的一步，利用ARP地址欺骗劫持流量，正常情况下，PLC设备之间是互相不通信的，劫持的流量大概率是PLC和上位机之间的或者是触摸屏与PLC之间的。

2.然后通过截取的流量进行一系列的分析，例如寻找PLC，因为西门子的PLC通信端口均为102端口；再比如寻找到之后通过获取cpu信息的数据包对PLC的类型进行判断；判断完版本之后，可以继续模拟加载payload，比如停止PLC工作，读取内存等。

近期CNVD上也披露了关于S7系列的中间人攻击，如下图所示:

图7 中间人攻击存在漏洞示意图（注：目前西门子已修改该漏洞，并发布补丁包。）

重放攻击

重放攻击（ReplayAttacks）又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。在工控系统中的重放攻击将上位机软件编译好的程序重新下装到PLC机器中；而我们需要抓包截取的就是从开始连接到结束连接这一段的数据包，进行重新发送。

攻击基本原理：

重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。很多时候，网络上传输的数据是加密过的，此时窃听者无法得到数据的准确意义。但如果他知道这些数据的作用，就可以在不知道数据内容的情况下通过再次发送这些数据达到欺骗接收端的目的。

攻击步骤：

当上位机要给PLC发送报文时，中间重放攻击的主人可以是上位机或攻击者。

1.当是上位机时，则上位机会重复发送相同的报文给PLC。

2.当是攻击者时，则攻击者截获了上位机发给PLC的报文，伪装成上位机给PLC发送截获的报文。

图8 重放攻击示意图

上位机给PLC发送的报文被攻击者截获，然后攻击者伪装成上位机给PLC发送其截获来的报文，而PLC会误以为攻击者就是上位机，就把回应报文发送给了攻击者。

五

西门子工业控制系统防护小化方案

在愈发严峻的工业控制系统网络安全形势下，针对西门子工业控制系统网络安全防护，威努特提出了基于“白名单”机制的网络安全解决方案。通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，全面构筑工控安全技术体系，进而保障西门子工业控制系统的稳定运行。

1.区域边界访问控制

在生产网上位机与PLC设备之间部署工业防火墙，实现S7等工业控制协议的识别与深度解析，实时拦截非法指令和恶意指令下发等违规行为；在工业现场生产业务固化后，通过工业防火墙智能学习功能固化安全防护策略，和生产业务共频，结合工业防火墙硬件级安全策略写保护特性功能，实现安全策略只读权限的物理级控制。强化对西门子工业控制系统的边界隔离与防护，确保控制系统的持续稳定运行。

图9 S7工业控制深度解析示意图

图10 S7硬件级安全策略写保护示意图

2.工控主机安全防护与加固

在生产网工控主机上部署工控主机卫士，通过“白名单”技术、漏洞防御、安全基线及外设管控等技术措施实现对工控主机的安全防护与加固，杜绝重放攻击、中间人攻击等攻击手段危害生产业务安全。

图11 工控主机卫士白名单防护机制示意图

图12 工控主机卫士漏洞防护示意图
图13工控主机卫士安全基线加固示意图
图14工控主机卫士外设管控示意图
图15 U盘管控示意图

3.生产网络流量监测及预警

在生产网内部关键网络节点处旁路部署工控安全监测与审计系统，实时检测针对S7协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括值域级的S7协议的通信记录，以便运维人员快速发现安全问题并进行相应处置。同时能做到“只听不说”对控制网络“真零影响”的工控安全监测与审计系统，该设备从硬件设计上着手，通过更改逻辑链路层设计，做到单向接收流量，从硬件上杜绝报文回注的可能性。

图16 工控安全监测与审计系统智能监测示意图

4.统一安全管控

构建安全管理中心并部署统一安全管理平台，对生产网络中部署的工业防火墙、工控主机卫士、工控安全监测与审计系统等工控安全设备进行集中管控；同时统一安全管理平台兼备基于资产的集中管理功能，有效帮助运维人员提升网络安全运维工作效率，降低安全运维成本。

图17 统一安全管理平台资产态势示意图

六

结语

威努特作为国内工控网络安全企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRTTool认证企业之一和首批专精特新“小巨人”企业，已在石油石化、烟草、市政、智能制造、冶金等多个行业为西门子的工业控制系统提供了以创新的“白环境”为核心的整体网络安全解决方案。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业者，是中国国有资本风险投资基金旗下企业。凭借zhuoyue的技术创新能力成为全球六家荣获国际自动化协会ISASecure认证企业之一和首批专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、jungong等国家重要行业用户提供全生命周期纵深防御解决方案和化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!