久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

袁曉舒，桑梓 中國東方電氣集團有限公司中央研究院

王東 北京啟明星辰信息安全技術(shù)有限公司

1　概述

電力行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施，控制系統(tǒng)的網(wǎng)絡(luò)安全關(guān)系到國民經(jīng)濟的正常運行，因而非常重要。國家對電力行業(yè)的網(wǎng)絡(luò)安全非常重視，在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，《電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護總體方案》對電力行業(yè)的網(wǎng)絡(luò)安全工作提出了具體的要求[1]。

遵照“縱向加密、橫向隔離”的原則，電力監(jiān)控系統(tǒng)的邊界防護已經(jīng)較為完善，進一步增強控制系統(tǒng)內(nèi)部的安全防護，找出控制系統(tǒng)內(nèi)部存在的網(wǎng)絡(luò)安全漏洞并進行修補應(yīng)成為未來的一項重點工作。該項工作對研究平臺、研究人員和研究資金的投入要求較高，因此這方面研究開發(fā)工作的進展和用戶的需求還有很大距離。中國東方電氣集團有限公司中央研究院從自身業(yè)務(wù)需求出發(fā)，結(jié)合電網(wǎng)行業(yè)的實際需要，在過去幾年對電站和電網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞進行了初步的研究，對發(fā)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全未知漏洞后的處理進行了初步的探索。

2　電站控制系統(tǒng)網(wǎng)絡(luò)安全漏洞研究

2.1　火電控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

火力發(fā)電目前是我國的主要電力來源，通過對火電控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞研究發(fā)現(xiàn)，火電控制系統(tǒng)的網(wǎng)絡(luò)安全脆弱性不容忽視。

火電控制系統(tǒng)一般是由協(xié)調(diào)控制系統(tǒng)（CCS）、模擬量控制系統(tǒng)（ M C S ） 、鍋爐安全監(jiān)控系統(tǒng)（FSSS）、汽輪機數(shù)字電液調(diào)節(jié)系統(tǒng)（DEH）、汽輪機保護系統(tǒng)（TSS）、順序控制系統(tǒng)（SCS）、電氣控制系統(tǒng)（ECS）、旁路控制系統(tǒng)（BCS）、數(shù)據(jù)采集系統(tǒng)（DAS）等部分構(gòu)成[2-3]。隨著電廠控制一體化技術(shù)的發(fā)展，新建電廠項目和已有電廠的改造項目逐漸采用集散控制系統(tǒng)（DCS）實現(xiàn)機、爐、電的一體化控制，以覆蓋CCS、SCS、DEH等系統(tǒng)所實現(xiàn)的功能[4-5]。部分項目進一步對控制系統(tǒng)和保護系統(tǒng)進行了一體化改造[6]。

DCS系統(tǒng)主要由過程級、操作級和管理級構(gòu)成。過程級主要包括分布式控制器、過程儀表、執(zhí)行機構(gòu)、I/O單元等，操作級主要包括操作員站、工程師站、歷史站、控制服務(wù)器等，管理級主要包括生產(chǎn)管理系統(tǒng)等[7]。DCS最小系統(tǒng)如圖1所示。

圖1 DCS最小系統(tǒng)

DCS采用現(xiàn)場總線技術(shù)進行通信，對通信速率和實時性要求高。隨著以太網(wǎng)技術(shù)的發(fā)展，DCS逐漸采用工業(yè)以太網(wǎng)替代傳統(tǒng)的現(xiàn)場總線實現(xiàn)各個分布式控制器之間、控制器與操作站之間的實時通信，例如IEEE1588、Profinet、Ethernet/IP等。同時，計算機技術(shù)的發(fā)展助推了DCS操作站和控制器的更新?lián)Q代。主流DCS系統(tǒng)的操作站多采用基于Windows的操作系統(tǒng)，分布式控制器多采用基于Vxworks或定制Linux的實時操作系統(tǒng)。DCS系統(tǒng)的組態(tài)軟件采用基于標(biāo)準(zhǔn)庫的常用編程語言實現(xiàn)，例如C、Java等。因此，基于DCS技術(shù)的火電控制系統(tǒng)可能存在諸多安全隱患。

通過對多個品牌的國內(nèi)和國外火電控制系統(tǒng)進行漏洞掃描發(fā)現(xiàn)，除了我們已經(jīng)熟知的控制系統(tǒng)操作員站存在大量已知網(wǎng)絡(luò)安全漏洞，如圖2所示，控制系統(tǒng)自身也存在不少已知網(wǎng)絡(luò)安全漏洞。

圖2 DCS操作站漏洞統(tǒng)計

除了已知網(wǎng)絡(luò)安全漏洞，火電控制系統(tǒng)還普遍存在未知網(wǎng)絡(luò)安全漏洞，如：弱口令漏洞、拒絕服務(wù)漏洞、訪問控制漏洞、溢出漏洞等。這些漏洞大多沒有被公布到CVE、CNVD、CNNVD等漏洞庫成為已知漏洞，因而也就沒有漏洞修補方案和對應(yīng)的防范措施，很容易被惡意利用。

為驗證火電控制系統(tǒng)漏洞的危害，在實驗室環(huán)境中，我們以某火電廠汽輪機組實際控制系統(tǒng)、控制邏輯、汽輪機數(shù)學(xué)模型搭建了火電汽輪機組的控制系統(tǒng)仿真測試平臺，利用該控制系統(tǒng)的一個未知網(wǎng)絡(luò)安全漏洞對汽輪機電液調(diào)速系統(tǒng)進行了攻擊。攻擊導(dǎo)致汽輪機飛車，但由于控制系統(tǒng)被攻擊，監(jiān)控界面上一切正常，如圖3所示。

圖3 網(wǎng)絡(luò)攻擊導(dǎo)致汽輪機飛車事故的仿真測試

2.2　風(fēng)電控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

隨著新能源發(fā)電在電力系統(tǒng)中占比的增加，風(fēng)電控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞正在成為電力系統(tǒng)新的網(wǎng)絡(luò)安全風(fēng)險來源。

風(fēng)電控制系統(tǒng)的結(jié)構(gòu)較為簡單，主要包括就地控制站和SCADA系統(tǒng)，其中，就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同于火電控制系統(tǒng)的分布式控制方法，風(fēng)電控制系統(tǒng)常常采用集中式控制方法，以可編程邏輯控制器PLC作為控制系統(tǒng)的主體，在集控室以少量操作站搭載SCADA系統(tǒng)作為遠程監(jiān)控手段，實現(xiàn)風(fēng)力發(fā)電機組的監(jiān)視和控制功能[11]。

借助計算機技術(shù)和嵌入式技術(shù)的發(fā)展，PLC的硬件架構(gòu)逐步向Intel x86和ARM架構(gòu)靠攏，操作系統(tǒng)也逐漸統(tǒng)一成Vxworks、Linux、WinCE等主流操作系統(tǒng)[12]。同時，SCADA系統(tǒng)的軟件平臺亦逐漸統(tǒng)一為基于Windows或Linux商業(yè)發(fā)布版本的操作系統(tǒng)。因此，風(fēng)電控制系統(tǒng)的網(wǎng)絡(luò)安全問題日益嚴(yán)重。

通過對主流風(fēng)電控制系統(tǒng)產(chǎn)品的研究發(fā)現(xiàn)，風(fēng)電控制系統(tǒng)也存在弱口令漏洞、拒絕服務(wù)漏洞、訪問控制漏洞、溢出漏洞等網(wǎng)絡(luò)安全漏洞，由于某些風(fēng)電控制系統(tǒng)和風(fēng)電SCADA還采用了B/S架構(gòu)，因此還存在一些B/S系統(tǒng)自身的網(wǎng)絡(luò)安全風(fēng)險。從CVE、CNVD、CNNVD查詢結(jié)果看，風(fēng)電控制系統(tǒng)的主流產(chǎn)品公開的網(wǎng)絡(luò)安全漏洞不多，而從我們的實際研究中可以發(fā)現(xiàn)，風(fēng)電控制系統(tǒng)中存在的大量未知網(wǎng)絡(luò)安全漏洞，這些漏洞能夠造成諸如風(fēng)機停轉(zhuǎn)等多種安全事故。

為驗證風(fēng)電控制系統(tǒng)漏洞的危害，在實驗室環(huán)境中，我們以某風(fēng)電廠風(fēng)力發(fā)電機實際控制系統(tǒng)、控制邏輯、風(fēng)力發(fā)電機數(shù)學(xué)模型搭建了風(fēng)電控制系統(tǒng)仿真測試平臺，利用該控制系統(tǒng)的一個未知網(wǎng)絡(luò)安全漏洞對風(fēng)力發(fā)電機主控進行了攻擊。攻擊可以造成風(fēng)力發(fā)電機立即不受控制的停止運轉(zhuǎn)，如圖4所示。

圖4 正常運行的風(fēng)機不受控停機

2.3　智能變電站控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

除了發(fā)電廠控制系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，電網(wǎng)控制系統(tǒng)同樣存在網(wǎng)絡(luò)安全漏洞。以智能變電站為例，基于IEC61850協(xié)議的通信系統(tǒng)、控制保護設(shè)備、SCADA系統(tǒng)均存在網(wǎng)絡(luò)安全隱患。

智能變電站為典型的“三層兩網(wǎng)”結(jié)構(gòu)：站控層、間隔層、過程層，站控層網(wǎng)絡(luò)、過程層網(wǎng)絡(luò)[13-14]。過程層的設(shè)備是直接面向電力系統(tǒng)的一次設(shè)備，主要是智能終端和合并單元，部署在一次設(shè)備旁。過程層設(shè)備主要采用IEC61850 Goose和SV協(xié)議與間隔層設(shè)備進行數(shù)據(jù)通信。間隔層設(shè)備主要包括測控裝置、保護裝置、故障錄波設(shè)備、網(wǎng)絡(luò)報文分析設(shè)備。站控層包括時間同步系統(tǒng)、監(jiān)控站和遠動測控站。站控層與間隔層設(shè)備之間通過基于TCP/IP的IEC61850 MMS協(xié)議進行數(shù)據(jù)通信。

智能變電站控制系統(tǒng)自身存在的信息安全漏洞是控制系統(tǒng)信息安全脆弱性的主要來源，這些漏洞主要針對間隔層和過程層的各類設(shè)備和終端，包括嵌入式操作系統(tǒng)漏洞、嵌入式應(yīng)用軟件漏洞等。研究表明，智能變電站控制系統(tǒng)存在的未知網(wǎng)絡(luò)安全漏洞可以被利用進行攻擊，攻擊可以造成刀閘不受控的開閉，對電網(wǎng)的穩(wěn)定運行造成很大危害，如圖5所示。

圖5 智能變電站刀閘分合閘不受控

2.4　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全漏洞挖掘方法

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全漏洞挖掘可以分為基于終端軟件分析的漏洞挖掘和基于協(xié)議測試的漏洞挖掘等。終端軟件包括各種業(yè)務(wù)軟件，比如SCADA、HMI、組態(tài)軟件等，也包括基礎(chǔ)軟件，比如SSH、Telnet、FTP、HTTP等，還包括實時操作系統(tǒng)，比如Vxworks、定制Linux等。針對SCADA、HMI等直接運行在Windows或Linux類通用操作系統(tǒng)的上位機程序，除了滲透測試，通常還采用行為分析和動態(tài)調(diào)試方法進行漏洞挖掘。針對電力工控設(shè)備中內(nèi)嵌的實時操作系統(tǒng)和軟件，通常采用靜態(tài)反匯編和程序分析等方法進行漏洞挖掘。

電力監(jiān)控系統(tǒng)的協(xié)議包括工控專用協(xié)議和工業(yè)以太網(wǎng)中的通用協(xié)議，采用模糊測試方法能夠?qū)崿F(xiàn)對電力工控設(shè)備網(wǎng)絡(luò)協(xié)議的自動化漏洞挖掘。模糊測試在通用協(xié)議測試中已經(jīng)有成熟的應(yīng)用，比如SPIKE、PEACH，能直接用于對工業(yè)以太網(wǎng)中的通用協(xié)議進行漏洞挖掘。針對專用協(xié)議，需要根據(jù)圖6所示的模糊測試測準(zhǔn)框架對現(xiàn)有應(yīng)用進行改造，以適應(yīng)電力工控協(xié)議的規(guī)范和工控設(shè)備的特性。

圖6 模糊測試標(biāo)準(zhǔn)框架

針對某電力系統(tǒng)控制設(shè)備，我們基于終端軟件分析和協(xié)議模糊測試，發(fā)現(xiàn)了多個未知漏洞。利用這些漏洞，攻擊者可以完全地控制設(shè)備，造成嚴(yán)重后果。

3　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全漏洞處理

未知網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)只是開始，完成漏洞的修補才是終點。從實踐中我們發(fā)現(xiàn)，當(dāng)前的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)、上報、通知、響應(yīng)、修補的全流程工作還有待進一步完善。

目前，在發(fā)現(xiàn)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題后，一般的處理流程是上報漏洞平臺，有的漏洞平臺在收到通報后會通知廠商進行處理，在廠商推出補丁后進行公布，有的漏洞平臺只收集整理上報的漏洞信息，并不跟蹤廠商對漏洞的修補。同時我集團以通報的形式下發(fā)到使用該控制系統(tǒng)的相關(guān)集團內(nèi)企業(yè)，這些企業(yè)會聯(lián)系控制系統(tǒng)的生產(chǎn)廠商，在得到控制系統(tǒng)廠商的修補補丁后，由企業(yè)完成測試和最終用戶如發(fā)電企業(yè)的設(shè)備補丁升級，從實踐的情況看，由企業(yè)聯(lián)系控制系統(tǒng)廠商得到反饋和修補補丁的速度會快于漏洞平臺。

這樣的處理流程還存在著一些不足：

（1）電力監(jiān)控系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡(luò)安全漏洞是否應(yīng)報送給國外漏洞平臺存在爭論；

（2）電力監(jiān)控系統(tǒng)系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡(luò)安全漏洞報送國內(nèi)漏洞平臺后的處理速度較慢，處理流程尚未形成完全的閉環(huán)；

（3）一般網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)電力監(jiān)控系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)未知網(wǎng)絡(luò)安全漏洞在處理流程中，難以讓電力監(jiān)控系統(tǒng)供應(yīng)鏈中的企業(yè)及時得到信息；

（4）現(xiàn)有的處理流程中，電力監(jiān)控系統(tǒng)供應(yīng)鏈中的各個角色還沒有完全進入到處理流程中，這使得處理流程沒有完全形成閉環(huán)。

4　結(jié)語

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全是電力行業(yè)安全穩(wěn)定運行的關(guān)鍵，是國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要組成部分。通過幾年發(fā)現(xiàn)、驗證、通報、修補電力監(jiān)控系統(tǒng)未知信息安全漏洞的研究和實踐工作，我們認識到電力監(jiān)控系統(tǒng)還存在未知信息安全漏洞等待我們?nèi)ミM一步發(fā)現(xiàn)和修補，這項工作還需要電力行業(yè)主管部門、生產(chǎn)企業(yè)、工程公司、用戶單位等都參與進來，進一步完善電力監(jiān)控系統(tǒng)信息安全。

作者簡介

袁曉舒，研究員，碩士，中國自動化學(xué)會工控信息安全專委會委員，現(xiàn)就職于中國東方電氣集團有限公司中央研究院，負責(zé)工控信息安全實驗室，先后參與多個工控信息安全國家標(biāo)準(zhǔn)制定，擔(dān)任企業(yè)、省和國家多個工業(yè)控制系統(tǒng)信息安全科研項目負責(zé)人，目前專注于電力系統(tǒng)發(fā)電側(cè)的控制系統(tǒng)信息安全研究。

參考文獻：

[1] 國家發(fā)展改革委員會. 發(fā)改委14號令 電力監(jiān)控系統(tǒng)安全防護規(guī)定[Z]. 2014.

[2] 吳季蘭. 汽輪機設(shè)備及系統(tǒng)[J]. 北京: 中國電力, 1998.

[3] 欒英, 發(fā)電廠, 萬云, 等. 火電廠過程控制[M]. 中國電力出版社, 2000.

[4] 范學(xué)福, 桑超. 石橫電廠# 3 機組 DCS 控制系統(tǒng)一體化改造換型淺析[C]. 全國火電 300MW 級機組能效對標(biāo)及競賽第四十二屆年會論文集, 2013.

[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠主, 輔機 DCS 一體化控制的設(shè)計分析[J]. 內(nèi)蒙古電力技術(shù), 2011, 29(3): 11 - 14.

[6] 徐華艷. 大型機組控制系統(tǒng)改造方案及實施[J]. 電子技術(shù)與軟件工程, 2014 (19): 117 - 117.

[7] 王常力, 羅安. 分布式控制系統(tǒng) (DCS) 設(shè)計與應(yīng)用實例[M]. 2004.

[8] 葉杭冶. 風(fēng)力發(fā)電機組的控制技術(shù)[M]. 機械工業(yè)出版社, 2002.

[9] 紹禹. 風(fēng)力發(fā)電機設(shè)計與運行維護[M]. 中國電力出版社, 2003.

[10] 彭滋忠, 鄧秋娥. 永磁直驅(qū)風(fēng)電機組控制系統(tǒng)綜述[J]. 水電站機電技術(shù), 2015, 38(8): 31 - 35.

[11] 黃建鵬. 論述 PLC 的風(fēng)電機組控制系統(tǒng)設(shè)計[J]. 電子技術(shù)與軟件工程, 2015 (11): 171.

[12] 李愛英, 張鵬. 基于西門子 S7-300 PLC 的風(fēng)電機組專用變槳距控制系統(tǒng)設(shè)計[J]. 自動化技術(shù)與應(yīng)用, 2011 (7): 45 - 48.

[13] 吳在軍, 胡敏強. 基于 IEC61850 標(biāo)準(zhǔn)的變電站自動化系統(tǒng)研究[J]. 電網(wǎng)技術(shù), 2003, 27(10): 61 - 65.

[14] 李孟超, 王允平, 李獻偉, 等. 智能變電站及技術(shù)特點分析[J]. 電力系統(tǒng)保護與控制, 2010 (18): 59 - 62.

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯