今日頭條
官方微信
官方抖音
資訊頻道袁曉舒 桑梓 楊平 中國東方電氣集團中央研究院
摘要:隨著傳統(tǒng)電廠向數(shù)字化電廠的演進,電廠控制系統(tǒng)未來面臨更加復雜的運行環(huán)境,來自網(wǎng)絡的攻擊成為電廠控制系統(tǒng)面臨的新威脅。本文通過對以汽輪機電液調速系統(tǒng)(DEH)為代表的電廠控制系統(tǒng)進行網(wǎng)絡攻擊測試,分析了不同類型的網(wǎng)絡攻擊對控制系統(tǒng)的影響。
關鍵詞:電廠控制系統(tǒng);網(wǎng)絡攻擊;漏洞
電廠控制系統(tǒng)的安全穩(wěn)定運行不僅關系到電廠本身的安全穩(wěn)定運行,也會影響到電網(wǎng)的安全穩(wěn)定運行[1]。先進的計算機技術和通信技術讓以集散控制系統(tǒng)(DCS)為代表的電廠控制系統(tǒng)具備了與信息系統(tǒng)互聯(lián)互通的能力,直接或間接實現(xiàn)了外部網(wǎng)絡對物理對象的訪問[2-4]。來自外部的網(wǎng)絡安全攻擊成為影響電廠控制系統(tǒng)的安全穩(wěn)定運行的新威脅。已經(jīng)發(fā)生過的電廠安全事故[5]說明,對電廠控制系統(tǒng)的網(wǎng)絡安全攻擊能夠使電廠從電網(wǎng)解列,直接威脅電網(wǎng)的安全穩(wěn)定運行,并造成嚴重的經(jīng)濟損失。
目前,國內對電廠控制系統(tǒng)網(wǎng)絡攻擊方面的研究尚處于起步階段[6-7]。在這個背景下,現(xiàn)有的電廠控制系統(tǒng)能否抵御來自外部網(wǎng)絡的攻擊以及來自外部的網(wǎng)絡攻擊能夠在多大程度上對業(yè)務造成危害是必須回答的兩個問題。因此,通過對實際DCS及其組件的網(wǎng)絡攻擊測試是評估電廠控制系統(tǒng)網(wǎng)絡安全攻擊危害的重要途徑。本文通過對多個國內外廠商的電廠控制系統(tǒng)進行網(wǎng)絡攻擊測試,以DEH為對象分析了電廠控制系統(tǒng)在遭遇網(wǎng)絡攻擊時可能對業(yè)務的影響。
1 概述
為了進一步了解網(wǎng)絡攻擊對電廠控制系統(tǒng)的威脅,中國東方電氣集團中央研究院選取了在發(fā)電行業(yè)廣泛應用的國內、外知名的控制系統(tǒng)廠商控制系統(tǒng)產品,搭建了DEH(汽輪機電液調速系統(tǒng))網(wǎng)絡安全攻擊環(huán)境,進行了初步的研究。
研究采用了SYSFLOOD、UDPFLOOD模擬一般網(wǎng)絡攻擊,MODBUS TCP特殊指令模擬APT攻擊。
2 攻擊測試
2.1 以太網(wǎng)模擬攻擊
測試通過采用專門軟件對DEH的SYSFLOOD、UPDFLOOD攻擊來模擬控制系統(tǒng)遭遇的一般網(wǎng)絡攻擊。
2.1.1 SYSFLOOD攻擊
SYSFLOOD是一種廣為人知的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
通過對某廠商控制系統(tǒng)產品進行SYSFLOOD攻擊可以模擬該控制系統(tǒng)在遭遇常見的局域網(wǎng)攻擊時的狀態(tài)。
當采用單臺PC機對該控制系統(tǒng)的一個控制器進行SYSFLOOD攻擊時,在工程師站的觀測軟件上,可以看到被控制器的CPU占用率快速上升,并出現(xiàn)紅色警示。
采用兩臺PC機增加對該控制系統(tǒng)的一個控制器的SYSFLOOD攻擊量后,會使得控制器重啟。通過進一步的研究發(fā)現(xiàn),當較小的攻擊流量可以使控制系統(tǒng)的網(wǎng)絡通信中斷,進而使得電廠監(jiān)控畫面上汽輪機的狀態(tài)參數(shù)不再發(fā)生變化,也就是說,這時控制人員無法通過了解汽輪機的實時運行狀態(tài),而較大的攻擊流量會使得DEH無法工作,從而造成不能對汽輪機進行正常控制。
2.1.2 UDPFLOOD攻擊
UDPFLOOD是流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k pps的UDPFlood經(jīng)常將線路上的骨干設備如防火墻打癱,造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務,在UDPFLOOD攻擊中,攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是,由于UDP協(xié)議是無連接性的,所以只要開了一個UDP的端口提供相關服務的話,那么就可針對相關的服務進行攻擊。
UDPFLOOD攻擊開始后,也在工程師站的觀測軟件上,可以看到被攻擊方的CPU占用率快速上升,并出現(xiàn)紅色警示。在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結果工程師站無法ping通DEH。
和SYSFLOOD攻擊不同,UDPFLOOD攻擊只能讓網(wǎng)絡通信中斷,并不能夠對控制器產生實質性的影響,在攻擊過程中,控制器中的控制邏輯始終生效,說明這種攻擊方式不能對汽輪機控制的實際業(yè)務產生影響。
2.1.3 延伸測試
對另一廠商的控制系統(tǒng)同樣進行上述兩項攻擊測試。
SYSFLOOD攻擊開始后,在工程師站的觀測軟件上,DEH系統(tǒng)上出現(xiàn)故障報警。
在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結果工程師站無法ping通,如圖1所示。
圖1
UDP Flood攻擊開始后,在工程師站的觀測軟件上,DEH系統(tǒng)上出現(xiàn)報警。
在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結果工程師站無法ping通。
2.2 MODBUS TCP攻擊
2.2.1 MODBUS TCP特定功能碼攻擊
采用專門工具可以對某廠商控制系統(tǒng)進行MODBUS TCP攻擊,向DEH發(fā)送29功能碼的數(shù)據(jù)包,如圖2所示。
圖2
攻擊開始后,在工程師站的觀測軟件上,可以看到DEH系統(tǒng)離線,從連接控制器的顯示器上可以看到,DEH系統(tǒng)重啟,如圖3所示。
圖3
2.2.2 MODBUS TCP漏洞攻擊
采用專門工具針對某廠商控制系統(tǒng)的信息安全漏洞發(fā)送特定的MODBUS TCP數(shù)據(jù)包如圖4所示。
圖4
在工程師站的觀測軟件上,可以看到DEH系統(tǒng)的CAN總線通訊中斷。
2.2.3 延伸測試
采用專門工具針對某廠商控制系統(tǒng)的信息安全漏洞對DEH的兩個控制器發(fā)送特定MODBUS TCP數(shù)據(jù)包,會導致兩個控制器都處于離線狀態(tài),將該DEH的數(shù)字量輸出接到數(shù)字示波器上可以發(fā)現(xiàn),輸出信號波形圖為一條直線如圖5所示。
更換另一控制系統(tǒng)廠商產品進行測試,可以得到同樣的結果。此時,DEH已經(jīng)無法對汽輪機進行正常控制。
3 總結
多數(shù)的工業(yè)控制系統(tǒng)缺乏抗網(wǎng)絡安全攻擊的設計,大流量的網(wǎng)絡安全攻擊就可能會導致控制系統(tǒng)無法正常工作,但在小流量情況下控制系統(tǒng)還能夠保持對被控設備的控制。
部分控制系統(tǒng)產品在設計時考慮了信息安全,能夠抵御一般的網(wǎng)絡攻擊,這說明工業(yè)控制系統(tǒng)自身安全性提升能夠起到一定的作用。
工業(yè)控制系統(tǒng)采用的部分協(xié)議自身存在著信息安全風險,特定的功能碼會對控制系統(tǒng)的正常運行產生影響。
圖5
工業(yè)控制系統(tǒng)的信息安全漏洞被利用會導致控制系統(tǒng)不能正常工作進而失去對被控設備的控制,部分漏洞還可能導致攻擊者實現(xiàn)對控制系統(tǒng)的利用。
電廠的控制系統(tǒng)內部也應加強信息安全防御,以避免控制系統(tǒng)遭遇網(wǎng)絡攻擊后失去對發(fā)電設備的控制能力。
作者簡介
袁曉舒(1973-),男,江西余干人,工程師,碩士,現(xiàn)就職于中國東方電氣集團中央研究院。曾在中科網(wǎng)威、億陽信通、浪潮集團等公司從事信息安全工作,先后擔任入侵檢測、防火墻、4A等產品的產品經(jīng)理和技術部經(jīng)理。后加入東方電氣中央研究院研究工業(yè)控制系統(tǒng)信息安全,先后擔任企業(yè)、省和國家多個工業(yè)控制系統(tǒng)信息安全科研項目負責人,目前正專注于電力系統(tǒng)發(fā)電側的控制系統(tǒng)信息安全研究。
參考文獻:
[1] 湯奕, 陳倩, 李夢雅, 等. 電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡攻擊研究綜述[J]. 電力系統(tǒng)自動化, 2016, 40 (17) : 59 - 69.
[2] 許寧. DCS 在電廠控制系統(tǒng)的應用及展望[J]. 電站系統(tǒng)工程, 2016 (1) : 60 - 61.
[3] 周俊霞, 邊立秀, 王麗君. 火電廠熱工控制系統(tǒng)的現(xiàn)狀及展望[J]. 電站系統(tǒng)工程, 2003, 19 (5) : 53 - 55.
[4] 葛志偉, 劉戰(zhàn)禮, 周保中, 等. 火力發(fā)電廠數(shù)字化發(fā)展現(xiàn)狀以及向智能化電廠轉型分析[J]. 發(fā)電與空調, 2015, (5) : 45 - 47.
[5] 倪明, 顏詰, 柏瑞, 等. 電力系統(tǒng)防惡意信息攻擊的思考[J]. 電力系統(tǒng)自動化, 2016, 40 (5).
[6] 張堃, 張培建, 吳建國, 等. 大型控制系統(tǒng)信息安全評估研究[J]. 控制工程, 2014, 21 (4) : 524.
[7] 衛(wèi)志農, 陳和升, 倪明, 等. 電力信息物理系統(tǒng)中惡性數(shù)據(jù)定義、構建與防御挑戰(zhàn)[J]. 電力系統(tǒng)自動化, 2016, 40 (17) : 70 - 78.
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第三輯
北京市公安局海淀分局備案號:11010802023656號