知风安全小组发布《国内在线水利水文系统安全威胁分析报告》

一、我国水利水文系统现状

中国国内的水文监测经过了60余年发展,已经形成了研究、分析、调研、预测、教育等多个维度,在历年的防汛抗旱、工程规划、资源保护等水文监测发挥了巨大的作用。

截至2019年,我国共建设有各类水文测站12.1万处,实现了对基本水文情势的有效控制。2018年水文部门报送各类水雨情信息9.64亿份,发布洪水预警835次。成功防御长江、黄河、淮河、松花江等流域编号洪水,科学防范“山竹”“温比亚”等台风袭击,及时有效应对金沙江、雅鲁藏布江4次堰塞湖事件,为科学防御水旱灾害提供了坚实的技术支撑。

国内的水文工作主要集中在测、报、算。其中测是指对水文的测验,如:水位、流量等;报是指水文的预报;算是指水文的分析计算。考虑到由于水库、湖泊、河道等地形复杂、监测区域广等原因,对于现场监测难度比较大,如何将监测现场采集到的雨量信息、图片信息、水位信息等按照统一规范标准、实时传输到上级的监测中心成为了首要问题,另外我国的水文、气象等基础数据资料作为关键地质数据,目前还属于涉密资料,水文自动测报系统设备、水文遥测终端机如何可靠安全传输数据也是一个亟待解决的问题。

为了更好的解决水文监测数据的实时统一报送和异地数据安全可靠传输,水利部批准《水文监测数据通信规约》(SL651-2014)作为水利行业标准,规范了水文自动测报系统设备、水文遥测终端机的数据报送和传输标准,实现了无人执守及野外条件下监测终端设备水位、雨量支持定时报和召测、水情的远端监控,图片抓拍等数据的规范传输。

二、网络传输方式

我国区域或地市级的水利水文监测预警系统是一个基于移动通信运营商的分布式监测网络,水利水文监测预警系统的组成是由多个部署在不同水利监测点的水文自动测报系统设备、水文遥测终端机和监测预计平台系统组成。水文自动测报系统设备、水文遥测终端机通过GPRS/3G/4G等无线方式将监测数据实时周期上报到监测平台系统的指定端口中。水文数据的网络传输架构和方式与传统DTU与DTU中心站的通信方式类似,仅在数据传输的应用层存在差异,水文监测预警网络使用了SL651-2014规约作为监测数据的统一报送格式。一个常见的水文监测预警网络网络架构如下图所示:

三、数据通信方式

2014年水利部批准《水文监测数据通信规约》(SL651-2014)为水利行业标准,自2014年4月17日实施,《水文监测数据通信规约》中规定了水文数据的采集和传输规范,标准适用于江河、湖泊、水库、近海、水电站、罐区、及输水工程等各类水文监测系统和水资源的测(控)系统。

规约在报文数据帧结构的框架内规定了ASCII和HEX/BCD两种报文编码结构,该规约一种基于协议基于面向字符的异步通讯方式。鉴于《水文监测数据通信规约》作为开放式行业标准,根据现行标准我们整理了:报文帧控制字符定义、上行报文帧结构框架、下行报文帧结构框架。

报文帧控制字符定义

上行报文帧结构框架

下行报文帧结构框架

四、在线情况分析

当前水文监测系统数据通信方式与通信端口情况

目前,使用SL651-2014通过GPRS/3G/4G利用以太网TCP/IP方式直接发送到互联网特定IP端口中,是水文监测系统数据传输最便捷与高效的一种实现方法,SL651-2014规约中目前没有具体约定TCP/UDP传输的方式和标准的通信端口,一般用户会自行选择使用TCP或者UDP指定特定端口进行数据通信。

国内联网水利水文监测主站系统情况

根据知风Zhifeng.io核查的各类数据综合分析显示,目前我国各地均有水文监测系统的数据采集接收端口直接可在互联网中被访问,最终用户一般来自于各地市的水文局,其接口主要用于接收监测终端上报的水文监测数据,部分可确认的水文站点如下:

长沙市水文局

钦州市水文水资源局

宿迁市水文局

阜康市水利管理总局

芷江侗族自治县水利局

长治市水文局

目前国内联网水利水文监测系统(主站)分布如下:

五、潜在安全威胁分析

通信协议可能存在一定的脆弱性

SL651-2014是一个面向业务的标准规约,从规约规范来讲:中心站地址(1字节)、遥测站测试(5字节)、密码(2字节)均可作为数据上传认证和各业务请求认证的字段。但依然避免不了不同监测系统开发厂家在参考规约实现主站监听代码时,可能存在对规约不同理解和实现方法,最终埋下安全隐患。以至于可能存在与DTU数据中心类似的“终端伪造”与“数据伪造风险”。      

监测平台Web可能存在安全漏洞

一般情况下除水文监测系统的数据通信端口发布在互联网中,同一IP下用户可能也存在将监测平台Web直接发布在互联网中以供远程访问,以方便远程查看水文监测数据、水文监测照片等,所以同样也易受到各类Web安全风险影响,如弱口令、未授权访问、中间件RCE等安全风险影响。

六、解决方案与对应策略

虽然根据知风在线分析情况显示,目前基于3G/4G网络到互联网IP直连上传水文监测数据是一种普遍情况,且现阶段互联网,但,基于对水文监测系统协议于应用层面的潜在安全威胁分析情况,我们依然推荐在网的水文监测系统需要完善身份认证和远程访问安全,确保水文监测系统及其数据的保密性和安全性。依据工信部《工业控制系统信息安全防护指南》提供的最佳实践,我们推荐如下应对策略:

身份认证

在互联网中使用SL651-2014规约的终端密码应尽量复杂,应对厂商默认配置进行修改,对同IP上开放的Telnet、SSH、Web服务等服务进行安全配置,避免使用默认口令或弱口令,合理分类设置账户权限,以最小特权原则分配账户权限,对于系统和平台的访问采用多因素认证。

远程访问安全

我们推荐有条件的用户在监测中心端与监测终端之间使用运营商提供的APN专网进行组网,或使用运营商提供的专用物联网卡M2M的组网方式,使用APN专线后所有终端及数据中心分配的IP地址均为电信运营商的内网IP地址,通过APN专网终端与数据中心的数据通信无需通过公网直接进行传输,专网实现了端到端加密,避免了水文监测中心端系统在互联网开放网络端口。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 知风安全小组发布《国内在线水利水文系统安全威胁分析报告》

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x