网络空间工控设备安全：从海康威视DVR监控的视角

"本文主要探讨了海康威视DVR监控设备在工控环境中的网络安全问题，特别是如何发现和可能的入侵策略。作者是知道创宇的技术VP和ZoomEye项目负责人，强调了工控设备的架构缺陷以及通信协议的安全隐患。文章通过分析 Ethernet/IP 和 Modbus 协议来说明网络空间中工控设备的脆弱性，并提供了利用Nmap和Wireshark进行网络扫描和数据包分析的方法。" 海康威视DVR监控系统是工业控制系统（工控）的一部分，工控系统通常包括 Supervisory Control and Data Acquisition (SCADA) 系统、Human Machine Interface (HMI)、Programmable Logic Controller (PLC)、Remote Terminal Unit (RTU)等大组件，以及各种操作系统和服务，如Win/VxWorks/QNX/Linux、Web/Telnet/OPC通信协议等。 工控系统的架构中存在一些潜在的缺陷，其中很多组件和协议并未经过充分的安全测试。例如，如果工控设备提供Web服务，那么它们可能受到传统Web服务漏洞的影响。由于工控系统强调稳定性和低维护成本，导致设备升级困难，这也加大了系统被攻击的风险。互联网的广泛使用使得工控组件暴露在网络空间中，增加了被发现和攻击的可能性。 在深入研究工控架构时，Ethernet/IP 和 Modbus 协议被作为案例进行了分析。Ethernet/IP 使用44818端口，其应用层的Control Information Protocol (CIP)可以通过Nmap的enip-enumerate.nse脚本和Python的pyenip库来获取设备信息。此外，Wireshark的dissector也能帮助解析数据包。ZoomEye搜索引擎可以用来探测开放44818端口的设备，2014年11月11日的搜索结果显示全球有3168台。 Modbus协议运行在502端口，用于PLC设备的通信。尽管它广泛应用于工业自动化，但缺乏认证和加密机制，使其容易受到攻击。Nmap的modicon-info.nse脚本可收集设备信息，Wireshark同样有对应的dissector。通过ZoomEye搜索502端口，2014年11月12日的数据显示全球有1054台设备暴露在外。 总结来说，海康威视DVR监控设备以及工控系统中的其他设备，由于通信协议的安全性不足和网络暴露，面临严重的安全挑战。为了保护这些系统，需要加强协议的安全设计，实施严格的访问控制，定期更新和修补，并利用网络安全工具如Nmap和ZoomEye进行风险评估和漏洞检测。