0 引言

　　由于以太网应用到工业现场．面对恶劣的工况，严重的线间干扰等恶劣的环境，要保证一个网络系统中任何组件发生故障时。不会导致应用程序、操作系统、甚至网络系统的崩溃和瘫痪。网络设备可靠性是网络可靠性的一个重要部分．EPA系统可以通过功能安全设备及系统冗余来提高EPA系统的安全性和可靠性．使EPA系统能够符合安全完整性等级要求。为实现安全通信与标准通信的相互独立性．保证功能安全和相关数据在传输过程中的安全性．并能够满足单通道通信系统的要求，在用户层内增加EPA功能安全通信扩展协议．使安全传输功能的实现被限制在通信终端设备内部．并且不减少允许的设备数量。EPA功能安全通信扩展协议位于功能块应用进程和EPA应用实体之间．它的作用是处理在传输过程中不被修改的安全数据帧．其传输采用标准的传输系统。

　　实践表明，网络的安全性取决于网络中薄弱的环节。发现EPA上业控制网络中的薄弱环节，地保证网络系统的安全，其中为有效的方法就是定期对EPA上业控制网络进行安全性测试和分析，及时发现网络存在的脆弱性，分析出现这些安全威胁的原因，通过采用相关技术和管理手段弥补安全漏洞，阻比安全事件的发生，从而加固EPA上业控制网络的安全。

　　1  EPA工业控制网络安全测试原理

　　1.1  EPA上业控制网络而临的安全威胁分析

　　结合EPA网络安全规范、KIST一800系列规范，将EPA上业控制网络而临的脆弱性分为如下儿类:

　　( 1)网络漏洞:在复杂的上业控制应用中，网络服务的安全漏洞是不容忽视的。如EPA设备管理服务。

　　基于EPA的上业控制网络采用以太将而临服务欺骗的威胁;将web服务器置入PLC或现场设备实现动态交4_将面临CI滥用威胁;除此之外，还有拒绝服务、FTP漏洞、Telnet漏洞等应用服务漏洞;

　　( 2)系统漏洞:虽然EPA上业控制网络中有些现场设备没有使用任何操作系统，但是一些更为重要的上业交换机、OPC服务器、组态设备等使用了通用的操作系统，这些系统往往存在一些安全漏洞，如系统弱口令等;

　　( 3)协议漏洞:许多上业通信协议设计之初并没有考虑安全问题，通信是建立在IP信任的基础上，所以不可避免地会遭受安全攻击。如TCP/ IP协议容易遭受IP欺骗、ARP欺骗等攻击;EPA协议中使用的PT P协议容易遭受卞时钟欺骗攻击等;

　　( 4)策略漏洞:缺乏或不合理的安全保障技术或策略，将会给EPA上业控制网络带来极大的安全风险。如不正确的EPA安全网关和防火墙的过滤策略将使一些非安全报文进入控制网络;明文传输重要通信报文将遭受非法窃取等。网将现场控制系统、过程监控层网络、企业信息管理层网络进行高度集成和互联，这种扁平化的网络结构层次也使EPA土业控制网络面临了越来越多的安全威胁。

　　1.2  EPA安全测试系统的功能

　　由于EPA土业控制网络环境复杂，具有多种潜在的安全威胁，安全测试一般在网络层、操作系统层、数据库层、应用系统层等多个层面上进行。安全测试系统不仅能检测EPA土业控制网络中存在的安全漏洞，还必须能够在测试报表中给出建议解决方案，在测试过程中有诊断和监控功能以防止测试对控制系统造成损失。因此，EPA安全测试系统应具备以下几利‘功能:

　　(l)信息探测功能

　　EPA安全测试的前期需要通过信息探测尽可能多的在获取待测EPA土业控制网络存活的设备信息，信息探测为漏洞检测和渗透测试做铺垫。

　　(2)漏洞检测功能

　　漏洞检测通过发送检测报文，然后侦听检测目标的响应，查询特征库判断网络系统是否存在漏洞，实现对EPA服务、非EPA服务、操作系统等层面的漏洞检测。

　　( 3)渗透测试功能

　　渗透测试在可控的范围内通过模拟黑客入侵的手法，通过对EPA土业控制网络和系统发起“真正的”攻击，以检测网络和系统在真实应用环境下的安全性。

　　(4)诊断监控功能

　　由于安全测试可能会给时间敏感、稳定性要求较高的EPA土业控制网络现场层造成不可恢复的损害，所以为确保安全测试的可控性，诊断监控功能是必不可少的。

　　2  EPA安全测试系统设计与实现

　　2.1  EPA安全测试系统的总体设计

　　遵循了软件开发中的低祸合、高内聚的原则，测试系统的设计采用模块化设计思路，增加各个模块的独立性，以使系统结构清晰。EPA安全测试系统由全局配置模块、测试引擎、漏洞库、信息探测模块、漏洞检测模块、渗透测试模块、诊断监控模块、报表管理模块、权限管理模块等组件构成，其各模块间关系如图1所示。图1 EYA安全测试系统结构图    如图1所示，EPA安全测试系统各模块相对独立，通过人机界面可以操作每个独立模块进行单独的手动测试，也可以通过全局配置模块对测试参数进行配置，针对不同的测试对象，用户可以灵活地制订测试策略，然后通过测试引擎调度各测试模块进行自动化测试。在测试结束后，根据各模块测试的漏洞在漏洞库中进行查找相应的解决方案，发布测试报表。

　　2.2测试模块的设计与实现

　　( 1)信息探测模块设计

　　在网络探测模块中，系统采用了丰富的测试手段尽可能多地探测日标信息，具有设备发现、开放端口扫描、服务辨识、服务版本、木马识别、操作系统探测等功能。

　　服务辨识:根据开放端口与服务映射表，进行次服务辨识。这个过程可以对一些端口上的木马威胁进行识别。第_次辨识是通过与日标系统建立连接后，收集返回的Banner信息，查询服务特征库就能大致识别出服务类型，甚至软件的名称和版本。

　　操作系统探测:采用TTL旗帜等手段对日标系统进行操作系统辨识。对于依赖通用操作系统的设备就需要在漏洞检测时测试系统漏洞，而对于UC/ OS等实时操作系统和无操作系统的EPA网络设备和现场设备可绕过系统漏洞测试。

　　(2)漏洞检测模块的设计

　　漏洞检测模块卞要是通过从漏洞库中抽取特征报文进行扫描和检测，卞要检测EPA网络设备的14种EPA应用服务漏洞和非EPA应用服务漏洞、弱口令、协议等漏洞。具体是测试模块从漏洞特征库中提取测试特征指纹形成测试报文，向测试对象发送测试报文，然后侦听检测日标的响应，并收集信息，而后结合漏洞特征库判断EPA网络是否存在安全漏洞。此处的漏洞特征库为抽象的概念，实际表现为封装在一条测试插件中的特征匹配对，测试插件完成特征的提取，形成测试报文，接收返回信息并判断是否存在漏洞。

　　图4中，漏洞编号为在漏洞库中该漏洞的编号。CVE编号是指该漏洞对应的CVE编号，若是该漏洞为EPA协议本身特有的漏洞则无此编号。为了安全测试系统的标准化和国际化，采用“通用漏洞列表”中的CVE编号作为漏洞名称。漏洞描述是对安全漏洞的详细介绍。解决方案是漏洞的修补方法，一般安全漏洞可以通过下而儿种方法解决:关闭不需要的网络服务、安装相关的漏洞补丁、对漏洞所涉及的相关网络服务进行正确的配置。附加信息是指除上而信息外的其它信息，如补丁信息等。

　　(5)诊断监控模块的设计

　　EPA安全测试系统的诊断监控模块，包括Ping命令T racert命令、网卡流量监测、EPA网络报文捕获与分析EPA网络流量统计与分析等。

　　(6)其它模块的设计

　　报表生成模块，根据不同需要，可以生成各种报表格式测试报表指出测试相关信息、漏洞信息和漏洞修复方法、临时安全应急措施等安全建议，以指导控制系统管理员采用安全措施弥补漏洞。

　　权限管理模块，为安全测试系统的合法用户分配、修改册}J除用户名及密码。同时，根据测试需要为用户分配不同的测试权限，确保安全测试系统本身的安全。

　　EPA安全测试系统总体界而如图5所示。

　　3  EPA安全测试系统的验证

　　为了考查和验证EPA安全测试系统的应用过程，搭建一个小型的EPA上业控制网络安全测试平台，该平台由一台EPA组态设备，2个EPA现场设备，一个EPA集线器，一个总线供电设备和EPA安全测试设备组成。在EPA安全测试设备上运行EPA安全测试系统对EPA控制网络和系统进行安全测试。

　　测试结果如图6所示，EPA安全测试系统对该系统内的2台EPA设备和1台组态设备进行了安全测试。以对组态设备的测试为列，通过网络服务的安全测试发现了2个安全警告，这2个安全威胁均为组态设备开启了无用的服务，通过关闭相关端口就可以弥补此漏洞。

　　4结束语

　　本文在研究EPA协议栈的基础上．分析了工业控制网络的通信故障与功能安全机制的对应关系。描述了功能安全典型系统体系，建立了功能安全通信协议模型，设计了EPA功能安全通信过程．开发了EPA功能安全扩展协议层软件。测试结果表明．通过在EPA应用层中增加EPA功能安全应用访问实体以及将EPA通信报丈中的用户数据单元进行扩展来实现关键安全措施．从而满足了安全相关领域通信的要求，保障了EPA系统的安全性和可靠性。

参考文献:

[1]. PLC datasheet https://www.dzsc.com/datasheet/PLC_1248813.html.
[2]. TTL datasheet https://www.dzsc.com/datasheet/TTL_1174409.html.