????????Modbus協(xié)議廣泛應(yīng)用于工業(yè)通訊，隨著互聯(lián)網(wǎng)時代的來臨，工控安全也得到高度重視。很多工業(yè)通訊協(xié)議從設(shè)計初僅考慮功能及效率，沒有考慮到安全問題。Modbus協(xié)議也是如此，其主要存在的安全性問題有：缺乏身份認(rèn)證、缺乏權(quán)限管理、缺乏加密、缺乏完整性檢測。更多通訊資源請登錄網(wǎng)信智匯(wangxinzhihui.com)。

????????1）缺乏身份認(rèn)證：設(shè)備雙方建立通訊，無需進(jìn)行身份認(rèn)證，造成只要知道端口就可以創(chuàng)建通訊連接。如Modbus TCP，只要知道從站的IP和端口，網(wǎng)段內(nèi)任何一臺終端都可以發(fā)起Modbus TCP通訊連接。這無疑給惡意攻擊者提供一個入侵的通道。

????????2）缺乏權(quán)限管理：Modbus沒有提供基于角色的訪問控制機(jī)制，導(dǎo)致通訊連接后，任何人都可以執(zhí)行任何功能，從而控制設(shè)備。

????????3）缺乏加密：modbus協(xié)議報文采用明文機(jī)制，報文被截取后，可被閱讀，或直接篡改后發(fā)送給設(shè)備，達(dá)到控制設(shè)備的目的。

????????4）缺乏完整性檢測：攻擊者可以通過偽造一個超長的報文、請求不存在的功能、請求不存在的數(shù)據(jù)導(dǎo)致響應(yīng)異常，這樣頻繁的攻擊將導(dǎo)致Modbus從站拒絕服務(wù)，導(dǎo)致設(shè)備失控。

????????鑒于以上的安全性問題，本文提出以下解決方案。

????????1）工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間采用網(wǎng)閘、防火墻等安全設(shè)備進(jìn)行物理隔離，切斷惡意攻擊者從外部網(wǎng)路入侵工控網(wǎng)的通道。

????????2）安全審計：在工控網(wǎng)絡(luò)上部署安全審計系統(tǒng)，對Modbus協(xié)議數(shù)據(jù)進(jìn)行分析，記錄操作的時間和操作行為等關(guān)鍵信息，形成審計日志記錄，從而提供安全事件的可追溯性。

????????3）網(wǎng)絡(luò)安全設(shè)備：在Modbus主從設(shè)備間部署具備協(xié)議深度分析功能的網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)以下功能：

• 授權(quán)特定的MAC地址、IP地址的報文通過

• 通過報文規(guī)則設(shè)置，限制報文長度、限制請求功能、限制請求數(shù)據(jù)的地址及長度、設(shè)置數(shù)據(jù)值的范圍。

? ? ????更多通訊資源請登錄網(wǎng)信智匯(wangxinzhihui.com)。