今日頭條
官方微信
官方抖音
資訊頻道袁曉舒,桑梓 中國東方電氣集團有限公司中央研究院
王東 北京啟明星辰信息安全技術有限公司
1 概述
電力行業(yè)作為國家關鍵基礎設施,控制系統(tǒng)的網(wǎng)絡安全關系到國民經(jīng)濟的正常運行,因而非常重要。國家對電力行業(yè)的網(wǎng)絡安全非常重視,在網(wǎng)絡安全等級保護的基礎上,《電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護總體方案》對電力行業(yè)的網(wǎng)絡安全工作提出了具體的要求[1]。
遵照“縱向加密、橫向隔離”的原則,電力監(jiān)控系統(tǒng)的邊界防護已經(jīng)較為完善,進一步增強控制系統(tǒng)內部的安全防護,找出控制系統(tǒng)內部存在的網(wǎng)絡安全漏洞并進行修補應成為未來的一項重點工作。該項工作對研究平臺、研究人員和研究資金的投入要求較高,因此這方面研究開發(fā)工作的進展和用戶的需求還有很大距離。中國東方電氣集團有限公司中央研究院從自身業(yè)務需求出發(fā),結合電網(wǎng)行業(yè)的實際需要,在過去幾年對電站和電網(wǎng)控制系統(tǒng)的網(wǎng)絡安全漏洞進行了初步的研究,對發(fā)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡安全未知漏洞后的處理進行了初步的探索。
2 電站控制系統(tǒng)網(wǎng)絡安全漏洞研究
2.1 火電控制系統(tǒng)網(wǎng)絡安全漏洞
火力發(fā)電目前是我國的主要電力來源,通過對火電控制系統(tǒng)的網(wǎng)絡安全漏洞研究發(fā)現(xiàn),火電控制系統(tǒng)的網(wǎng)絡安全脆弱性不容忽視。
火電控制系統(tǒng)一般是由協(xié)調控制系統(tǒng)(CCS)、模擬量控制系統(tǒng)( M C S ) 、鍋爐安全監(jiān)控系統(tǒng)(FSSS)、汽輪機數(shù)字電液調節(jié)系統(tǒng)(DEH)、汽輪機保護系統(tǒng)(TSS)、順序控制系統(tǒng)(SCS)、電氣控制系統(tǒng)(ECS)、旁路控制系統(tǒng)(BCS)、數(shù)據(jù)采集系統(tǒng)(DAS)等部分構成[2-3]。隨著電廠控制一體化技術的發(fā)展,新建電廠項目和已有電廠的改造項目逐漸采用集散控制系統(tǒng)(DCS)實現(xiàn)機、爐、電的一體化控制,以覆蓋CCS、SCS、DEH等系統(tǒng)所實現(xiàn)的功能[4-5]。部分項目進一步對控制系統(tǒng)和保護系統(tǒng)進行了一體化改造[6]。
DCS系統(tǒng)主要由過程級、操作級和管理級構成。過程級主要包括分布式控制器、過程儀表、執(zhí)行機構、I/O單元等,操作級主要包括操作員站、工程師站、歷史站、控制服務器等,管理級主要包括生產(chǎn)管理系統(tǒng)等[7]。DCS最小系統(tǒng)如圖1所示。
圖1 DCS最小系統(tǒng)
DCS采用現(xiàn)場總線技術進行通信,對通信速率和實時性要求高。隨著以太網(wǎng)技術的發(fā)展,DCS逐漸采用工業(yè)以太網(wǎng)替代傳統(tǒng)的現(xiàn)場總線實現(xiàn)各個分布式控制器之間、控制器與操作站之間的實時通信,例如IEEE1588、Profinet、Ethernet/IP等。同時,計算機技術的發(fā)展助推了DCS操作站和控制器的更新?lián)Q代。主流DCS系統(tǒng)的操作站多采用基于Windows的操作系統(tǒng),分布式控制器多采用基于Vxworks或定制Linux的實時操作系統(tǒng)。DCS系統(tǒng)的組態(tài)軟件采用基于標準庫的常用編程語言實現(xiàn),例如C、Java等。因此,基于DCS技術的火電控制系統(tǒng)可能存在諸多安全隱患。
通過對多個品牌的國內和國外火電控制系統(tǒng)進行漏洞掃描發(fā)現(xiàn),除了我們已經(jīng)熟知的控制系統(tǒng)操作員站存在大量已知網(wǎng)絡安全漏洞,如圖2所示,控制系統(tǒng)自身也存在不少已知網(wǎng)絡安全漏洞。
圖2 DCS操作站漏洞統(tǒng)計
除了已知網(wǎng)絡安全漏洞,火電控制系統(tǒng)還普遍存在未知網(wǎng)絡安全漏洞,如:弱口令漏洞、拒絕服務漏洞、訪問控制漏洞、溢出漏洞等。這些漏洞大多沒有被公布到CVE、CNVD、CNNVD等漏洞庫成為已知漏洞,因而也就沒有漏洞修補方案和對應的防范措施,很容易被惡意利用。
為驗證火電控制系統(tǒng)漏洞的危害,在實驗室環(huán)境中,我們以某火電廠汽輪機組實際控制系統(tǒng)、控制邏輯、汽輪機數(shù)學模型搭建了火電汽輪機組的控制系統(tǒng)仿真測試平臺,利用該控制系統(tǒng)的一個未知網(wǎng)絡安全漏洞對汽輪機電液調速系統(tǒng)進行了攻擊。攻擊導致汽輪機飛車,但由于控制系統(tǒng)被攻擊,監(jiān)控界面上一切正常,如圖3所示。
圖3 網(wǎng)絡攻擊導致汽輪機飛車事故的仿真測試
2.2 風電控制系統(tǒng)網(wǎng)絡安全漏洞
隨著新能源發(fā)電在電力系統(tǒng)中占比的增加,風電控制系統(tǒng)的網(wǎng)絡安全漏洞正在成為電力系統(tǒng)新的網(wǎng)絡安全風險來源。
風電控制系統(tǒng)的結構較為簡單,主要包括就地控制站和SCADA系統(tǒng),其中,就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同于火電控制系統(tǒng)的分布式控制方法,風電控制系統(tǒng)常常采用集中式控制方法,以可編程邏輯控制器PLC作為控制系統(tǒng)的主體,在集控室以少量操作站搭載SCADA系統(tǒng)作為遠程監(jiān)控手段,實現(xiàn)風力發(fā)電機組的監(jiān)視和控制功能[11]。
借助計算機技術和嵌入式技術的發(fā)展,PLC的硬件架構逐步向Intel x86和ARM架構靠攏,操作系統(tǒng)也逐漸統(tǒng)一成Vxworks、Linux、WinCE等主流操作系統(tǒng)[12]。同時,SCADA系統(tǒng)的軟件平臺亦逐漸統(tǒng)一為基于Windows或Linux商業(yè)發(fā)布版本的操作系統(tǒng)。因此,風電控制系統(tǒng)的網(wǎng)絡安全問題日益嚴重。
通過對主流風電控制系統(tǒng)產(chǎn)品的研究發(fā)現(xiàn),風電控制系統(tǒng)也存在弱口令漏洞、拒絕服務漏洞、訪問控制漏洞、溢出漏洞等網(wǎng)絡安全漏洞,由于某些風電控制系統(tǒng)和風電SCADA還采用了B/S架構,因此還存在一些B/S系統(tǒng)自身的網(wǎng)絡安全風險。從CVE、CNVD、CNNVD查詢結果看,風電控制系統(tǒng)的主流產(chǎn)品公開的網(wǎng)絡安全漏洞不多,而從我們的實際研究中可以發(fā)現(xiàn),風電控制系統(tǒng)中存在的大量未知網(wǎng)絡安全漏洞,這些漏洞能夠造成諸如風機停轉等多種安全事故。
為驗證風電控制系統(tǒng)漏洞的危害,在實驗室環(huán)境中,我們以某風電廠風力發(fā)電機實際控制系統(tǒng)、控制邏輯、風力發(fā)電機數(shù)學模型搭建了風電控制系統(tǒng)仿真測試平臺,利用該控制系統(tǒng)的一個未知網(wǎng)絡安全漏洞對風力發(fā)電機主控進行了攻擊。攻擊可以造成風力發(fā)電機立即不受控制的停止運轉,如圖4所示。
圖4 正常運行的風機不受控停機
2.3 智能變電站控制系統(tǒng)網(wǎng)絡安全漏洞
除了發(fā)電廠控制系統(tǒng)存在網(wǎng)絡安全漏洞,電網(wǎng)控制系統(tǒng)同樣存在網(wǎng)絡安全漏洞。以智能變電站為例,基于IEC61850協(xié)議的通信系統(tǒng)、控制保護設備、SCADA系統(tǒng)均存在網(wǎng)絡安全隱患。
智能變電站為典型的“三層兩網(wǎng)”結構:站控層、間隔層、過程層,站控層網(wǎng)絡、過程層網(wǎng)絡[13-14]。過程層的設備是直接面向電力系統(tǒng)的一次設備,主要是智能終端和合并單元,部署在一次設備旁。過程層設備主要采用IEC61850 Goose和SV協(xié)議與間隔層設備進行數(shù)據(jù)通信。間隔層設備主要包括測控裝置、保護裝置、故障錄波設備、網(wǎng)絡報文分析設備。站控層包括時間同步系統(tǒng)、監(jiān)控站和遠動測控站。站控層與間隔層設備之間通過基于TCP/IP的IEC61850 MMS協(xié)議進行數(shù)據(jù)通信。
智能變電站控制系統(tǒng)自身存在的信息安全漏洞是控制系統(tǒng)信息安全脆弱性的主要來源,這些漏洞主要針對間隔層和過程層的各類設備和終端,包括嵌入式操作系統(tǒng)漏洞、嵌入式應用軟件漏洞等。研究表明,智能變電站控制系統(tǒng)存在的未知網(wǎng)絡安全漏洞可以被利用進行攻擊,攻擊可以造成刀閘不受控的開閉,對電網(wǎng)的穩(wěn)定運行造成很大危害,如圖5所示。
圖5 智能變電站刀閘分合閘不受控
2.4 電力監(jiān)控系統(tǒng)網(wǎng)絡安全漏洞挖掘方法
電力監(jiān)控系統(tǒng)的網(wǎng)絡安全漏洞挖掘可以分為基于終端軟件分析的漏洞挖掘和基于協(xié)議測試的漏洞挖掘等。終端軟件包括各種業(yè)務軟件,比如SCADA、HMI、組態(tài)軟件等,也包括基礎軟件,比如SSH、Telnet、FTP、HTTP等,還包括實時操作系統(tǒng),比如Vxworks、定制Linux等。針對SCADA、HMI等直接運行在Windows或Linux類通用操作系統(tǒng)的上位機程序,除了滲透測試,通常還采用行為分析和動態(tài)調試方法進行漏洞挖掘。針對電力工控設備中內嵌的實時操作系統(tǒng)和軟件,通常采用靜態(tài)反匯編和程序分析等方法進行漏洞挖掘。
電力監(jiān)控系統(tǒng)的協(xié)議包括工控專用協(xié)議和工業(yè)以太網(wǎng)中的通用協(xié)議,采用模糊測試方法能夠實現(xiàn)對電力工控設備網(wǎng)絡協(xié)議的自動化漏洞挖掘。模糊測試在通用協(xié)議測試中已經(jīng)有成熟的應用,比如SPIKE、PEACH,能直接用于對工業(yè)以太網(wǎng)中的通用協(xié)議進行漏洞挖掘。針對專用協(xié)議,需要根據(jù)圖6所示的模糊測試測準框架對現(xiàn)有應用進行改造,以適應電力工控協(xié)議的規(guī)范和工控設備的特性。
圖6 模糊測試標準框架
針對某電力系統(tǒng)控制設備,我們基于終端軟件分析和協(xié)議模糊測試,發(fā)現(xiàn)了多個未知漏洞。利用這些漏洞,攻擊者可以完全地控制設備,造成嚴重后果。
3 電力監(jiān)控系統(tǒng)網(wǎng)絡安全漏洞處理
未知網(wǎng)絡安全漏洞的發(fā)現(xiàn)只是開始,完成漏洞的修補才是終點。從實踐中我們發(fā)現(xiàn),當前的工業(yè)控制系統(tǒng)網(wǎng)絡安全漏洞發(fā)現(xiàn)、上報、通知、響應、修補的全流程工作還有待進一步完善。
目前,在發(fā)現(xiàn)電力監(jiān)控系統(tǒng)的網(wǎng)絡安全問題后,一般的處理流程是上報漏洞平臺,有的漏洞平臺在收到通報后會通知廠商進行處理,在廠商推出補丁后進行公布,有的漏洞平臺只收集整理上報的漏洞信息,并不跟蹤廠商對漏洞的修補。同時我集團以通報的形式下發(fā)到使用該控制系統(tǒng)的相關集團內企業(yè),這些企業(yè)會聯(lián)系控制系統(tǒng)的生產(chǎn)廠商,在得到控制系統(tǒng)廠商的修補補丁后,由企業(yè)完成測試和最終用戶如發(fā)電企業(yè)的設備補丁升級,從實踐的情況看,由企業(yè)聯(lián)系控制系統(tǒng)廠商得到反饋和修補補丁的速度會快于漏洞平臺。
這樣的處理流程還存在著一些不足:
(1)電力監(jiān)控系統(tǒng)關鍵設備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡安全漏洞是否應報送給國外漏洞平臺存在爭論;
(2)電力監(jiān)控系統(tǒng)系統(tǒng)關鍵設備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡安全漏洞報送國內漏洞平臺后的處理速度較慢,處理流程尚未形成完全的閉環(huán);
(3)一般網(wǎng)絡安全研究人員發(fā)現(xiàn)電力監(jiān)控系統(tǒng)關鍵設備使用的控制系統(tǒng)未知網(wǎng)絡安全漏洞在處理流程中,難以讓電力監(jiān)控系統(tǒng)供應鏈中的企業(yè)及時得到信息;
(4)現(xiàn)有的處理流程中,電力監(jiān)控系統(tǒng)供應鏈中的各個角色還沒有完全進入到處理流程中,這使得處理流程沒有完全形成閉環(huán)。
4 結語
電力監(jiān)控系統(tǒng)的網(wǎng)絡安全是電力行業(yè)安全穩(wěn)定運行的關鍵,是國家關鍵信息基礎設施網(wǎng)絡安全的重要組成部分。通過幾年發(fā)現(xiàn)、驗證、通報、修補電力監(jiān)控系統(tǒng)未知信息安全漏洞的研究和實踐工作,我們認識到電力監(jiān)控系統(tǒng)還存在未知信息安全漏洞等待我們去進一步發(fā)現(xiàn)和修補,這項工作還需要電力行業(yè)主管部門、生產(chǎn)企業(yè)、工程公司、用戶單位等都參與進來,進一步完善電力監(jiān)控系統(tǒng)信息安全。
作者簡介
袁曉舒,研究員,碩士,中國自動化學會工控信息安全專委會委員,現(xiàn)就職于中國東方電氣集團有限公司中央研究院,負責工控信息安全實驗室,先后參與多個工控信息安全國家標準制定,擔任企業(yè)、省和國家多個工業(yè)控制系統(tǒng)信息安全科研項目負責人,目前專注于電力系統(tǒng)發(fā)電側的控制系統(tǒng)信息安全研究。
參考文獻:
[1] 國家發(fā)展改革委員會. 發(fā)改委14號令 電力監(jiān)控系統(tǒng)安全防護規(guī)定[Z]. 2014.
[2] 吳季蘭. 汽輪機設備及系統(tǒng)[J]. 北京: 中國電力, 1998.
[3] 欒英, 發(fā)電廠, 萬云, 等. 火電廠過程控制[M]. 中國電力出版社, 2000.
[4] 范學福, 桑超. 石橫電廠# 3 機組 DCS 控制系統(tǒng)一體化改造換型淺析[C]. 全國火電 300MW 級機組能效對標及競賽第四十二屆年會論文集, 2013.
[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠主, 輔機 DCS 一體化控制的設計分析[J]. 內蒙古電力技術, 2011, 29(3): 11 - 14.
[6] 徐華艷. 大型機組控制系統(tǒng)改造方案及實施[J]. 電子技術與軟件工程, 2014 (19): 117 - 117.
[7] 王常力, 羅安. 分布式控制系統(tǒng) (DCS) 設計與應用實例[M]. 2004.
[8] 葉杭冶. 風力發(fā)電機組的控制技術[M]. 機械工業(yè)出版社, 2002.
[9] 紹禹. 風力發(fā)電機設計與運行維護[M]. 中國電力出版社, 2003.
[10] 彭滋忠, 鄧秋娥. 永磁直驅風電機組控制系統(tǒng)綜述[J]. 水電站機電技術, 2015, 38(8): 31 - 35.
[11] 黃建鵬. 論述 PLC 的風電機組控制系統(tǒng)設計[J]. 電子技術與軟件工程, 2015 (11): 171.
[12] 李愛英, 張鵬. 基于西門子 S7-300 PLC 的風電機組專用變槳距控制系統(tǒng)設計[J]. 自動化技術與應用, 2011 (7): 45 - 48.
[13] 吳在軍, 胡敏強. 基于 IEC61850 標準的變電站自動化系統(tǒng)研究[J]. 電網(wǎng)技術, 2003, 27(10): 61 - 65.
[14] 李孟超, 王允平, 李獻偉, 等. 智能變電站及技術特點分析[J]. 電力系統(tǒng)保護與控制, 2010 (18): 59 - 62.
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號