今日頭條
官方微信
官方抖音
資訊頻道摘要:電力監(jiān)控系統(tǒng)是用于監(jiān)視和控制電力生產(chǎn)及供應過程的、基于計算機及網(wǎng)絡技術(shù)的業(yè)務系統(tǒng)及智能設備,作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡,其安全性關(guān)系到國家戰(zhàn)略安全。本文結(jié)合近年來的典型網(wǎng)絡安全事件,提出風險治理的重要性。依據(jù)電力監(jiān)控系統(tǒng)特點和風險情況,引進先進的漏洞隱患排查技術(shù),使漏洞挖掘分析更加高效、精準,克服了模糊測試技術(shù)的盲目性,為風險管理提供可靠的技術(shù)支撐。同時,借鑒成熟的風險管理體系,通過科學地賦值、風險計算,量化評估風險,為下一步網(wǎng)絡安全治理提供準確的參考。
關(guān)鍵詞:電力監(jiān)控系統(tǒng);安全風險;漏洞隱患排查;漏洞挖掘;工業(yè)控制網(wǎng)絡
Abstract: The power monitoring system is a computer and network technology-based business system and intelligent equipment for monitoring and controlling the power production and supply process. As the basic support of communication and data network,its security is related to the national strategic security. Based on the typical network security incidents in recent years, this paper puts forward the importance of risk management。According to the characteristics and risk situation of power monitoring system, the introduction of advanced vulnerability detection technology makes the vulnerability mining analysis more efficient and accurate, overcomes the blindness of fuzzy testing technology,and provides reliable technical support for risk management. At the same time,rawing
on the mature risk management system, through scientific valuation and risk calculation,quantitative assessment of risk will provide an accurate reference for the next step of network security governance.
Key words: Electric power monitoring system;Security risk;Investigation of potential vulnerabilities;Vulnerability mining;Industrial control network
1 引言
隨著信息化與傳統(tǒng)能源行業(yè)各環(huán)節(jié)應用的深度融合,以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)得到了前所未有的發(fā)展,并成為關(guān)鍵基礎(chǔ)設施的重要組成部分,廣泛應用于我國電力、水利、水務、石油化工、軌道交通、制藥等行業(yè)中。調(diào)查發(fā)現(xiàn),由于工業(yè)控制系統(tǒng)升級程序復雜且危害強度大等原因,半數(shù)以上的企業(yè)未對其進行過升級和漏洞修復工作[1]。
電力企業(yè)作為工業(yè)控制系統(tǒng)高度發(fā)展、深度融合的標桿,推動了智能電網(wǎng)系統(tǒng)的升級也增加了安全風險。工業(yè)控制網(wǎng)絡一旦出現(xiàn)特殊情況,將對能源、交通、環(huán)境、水利、水務造成直接影響,引發(fā)直接的人員傷亡和財產(chǎn)損失。
電力安全直接影響著國計民生和國家安全,因電網(wǎng)安全遭受嚴重破壞而產(chǎn)生的大面積停電事故,被公認為現(xiàn)代社會的災難。從“震網(wǎng)”、“棱鏡門”、到烏克蘭、委內(nèi)瑞拉全國范圍停電等工業(yè)控制系統(tǒng)安全事件,預示著智能電網(wǎng)網(wǎng)絡安全已經(jīng)成為全球高度關(guān)注的領(lǐng)域。加強對漏洞排查及風險管理的研究已經(jīng)成為國家基礎(chǔ)設施領(lǐng)域亟需解決的問題。
2 國內(nèi)外電力監(jiān)控系統(tǒng)網(wǎng)絡安全風險治理情況
美國自上個世紀就開始積極規(guī)范能源產(chǎn)業(yè),并通過一系列法案直接影響智能電網(wǎng)的發(fā)展,加強工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護力度。在智能電網(wǎng)建設初期,美國能源部就對其安全性進行了深入研究和探討,并針對性提出了安全威脅漏洞的排查和風險管理的措施。愛達荷國家實驗室撰寫一份題為《智能電網(wǎng)系統(tǒng)安全屬性研究——當前的網(wǎng)絡安全事件》的文件深入討論和研究了智能電網(wǎng)的安全風險,重點闡述了電網(wǎng)的網(wǎng)絡安全性為聯(lián)邦政府在智能電網(wǎng)方面的網(wǎng)絡安全防護提供了先導意見。“保護智能電網(wǎng)的第一步就是充分了解它的威脅環(huán)境”成為戰(zhàn)略部署規(guī)劃到具體建設實施的先導觀念[2]。除此之外,美國國家標準技術(shù)研究所為智能電網(wǎng)操作性標準(NIST SP1108)訂立框架和路線圖,在國家層面,發(fā)布了國家級專項計劃,用于保護包括智能電網(wǎng)在內(nèi)的工業(yè)控制系統(tǒng)的網(wǎng)絡安全。
我國原國家電監(jiān)會于2012年印發(fā)《電力行業(yè)信息安全等級保護基本要求》,推動其在電力行業(yè)的深入實施。為有效應對工業(yè)控制系統(tǒng)安全風險,適應新技術(shù)的發(fā)展,國家進一步完善提出網(wǎng)絡安全等級保護標準(簡稱等保2.0)。2017年6月1日《中華人民共和國網(wǎng)絡安全法》的正式施行,《關(guān)鍵信息基礎(chǔ)設施安全保護條例(征求意見稿)》、《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》等配套法規(guī)要求迅速出臺,進一步明確和強化了關(guān)鍵信息基礎(chǔ)設施的安全保護要求,國家對網(wǎng)絡安全工作的要求進入新階段。電力系統(tǒng)業(yè)務的持續(xù)快速發(fā)展要求更加安全可靠的網(wǎng)絡安全防護體系作為保障。國家能源局在原電監(jiān)會5號令和34號文的基礎(chǔ)上,于2014、2015年印發(fā)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(簡稱14號令)和《電力監(jiān)控系統(tǒng)安全防護總體方案》(簡稱36號文)。承接落實了公安部、工信部關(guān)于信息系統(tǒng)、工業(yè)控制系統(tǒng)安全防護的有關(guān)要求,同時針對部分二次設備(如部分品牌的PLC設備、工業(yè)交換機等)存在漏洞的問題,從設備選型及配置、漏洞及風險整改等方面提出了相關(guān)的要求。
3 電力監(jiān)控系統(tǒng)的概念和特點
電力監(jiān)控系統(tǒng),是指用于監(jiān)視和控制電力生產(chǎn)及供應過程的、基于計算機及網(wǎng)絡技術(shù)的業(yè)務系統(tǒng)及智能設備,以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡。[3]電力監(jiān)控系統(tǒng)具體包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、微機繼電保護和安全自動化裝置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度監(jiān)控系統(tǒng)、電能量計量系統(tǒng)、實時電力市場的輔助控制系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)等。
與傳統(tǒng)網(wǎng)絡系統(tǒng)安全相比,電力監(jiān)控系統(tǒng)的安全主要有如下特點。[4]
安全側(cè)重點不同。電力監(jiān)控系統(tǒng)的首要原則是保障業(yè)務連續(xù)性,生產(chǎn)過程中任何非計劃中斷都是不能容忍的,而傳統(tǒng)網(wǎng)絡系統(tǒng)可以接受運行過程中的中斷或重啟行為。因此,可用性是電力監(jiān)控系統(tǒng)首先要保障的。
通信協(xié)議安全性不同。與標準的TCP/IP協(xié)議不同,工業(yè)控制協(xié)議種類繁多,專用與私有協(xié)議并存;協(xié)議設計上先天不足,后天畸形。設計之初未充足考慮安全因素,導致運行過程中存在嚴重的安全漏洞。
危害對象和程度不同。與傳統(tǒng)網(wǎng)絡安全影響對象相比,電力監(jiān)控系統(tǒng)涉及系統(tǒng)繁多,且多是核心生產(chǎn)設備系統(tǒng),受損后影響大、破壞性強。電力監(jiān)控系統(tǒng)涉及大量的電力數(shù)據(jù)的采集、傳輸以及信息共享,是關(guān)系國計民生的,受到損害將直接影響到日常生產(chǎn)生活以及國家政治。
4 影響電力監(jiān)控系統(tǒng)網(wǎng)絡安全因素分析
影響電力監(jiān)控系統(tǒng)網(wǎng)絡安全的因素,除了要面對持續(xù)增多的國家級網(wǎng)絡攻擊和較強針對性基礎(chǔ)設施攻擊外,系統(tǒng)本身的漏洞隱患和管理制度不健全是重要風險因素,主要有如下幾個方面:
(1)工業(yè)控制系統(tǒng)的安全問題日益凸顯。隨著新一代信息技術(shù)的不斷滲透,工業(yè)通信協(xié)議自身的缺陷和工業(yè)系統(tǒng)常態(tài)化“帶病”作業(yè)的風險程度被放大、凸顯,安全問題充分暴露。專用工控通信協(xié)議在設計階段只強調(diào)實時性和可用性,普遍欠缺安全機制,是造成工控協(xié)議漏洞的根源。工業(yè)控制協(xié)議應用于感應器—制動器之間、控制器的I/O端(如Modbus、HART、CAN、FoundationFieldbus、PROFIBUS)以及控制和管理計算機(如DNP3、Modbus/TCP、 BACnet、以太網(wǎng)/IP地址)之間的通信。如使用無身份驗證的協(xié)議,將存在被竊聽、替換的風險。
普遍存在漏洞是工控安全威脅的根本原因。由于工業(yè)硬件價格昂貴,運行時間就越發(fā)長久,十年幾十年也是比較普遍的,這些硬件系統(tǒng)安全性更是薄弱,所承載的操作系統(tǒng)也多為老舊系統(tǒng),沒有健全的主機防護機制,帶病作業(yè)成為常態(tài)。
(2)高級持續(xù)性攻擊和未知威脅顯著增多。以高級持續(xù)性威脅(APT)為代表的新型攻擊方式,可以繞過基于特征碼檢測的傳統(tǒng)安全防護設備(如防病毒軟件、防火墻、IPS等),更長時間地潛伏在系統(tǒng)中,傳統(tǒng)防御體系難以偵測。2011年針對全球能源公司的夜龍攻擊事件、2015年烏克蘭電網(wǎng)攻擊事件、2016年孟加拉國央行攻擊事件等典型APT事件中,攻擊者即通過郵件、終端、移動介質(zhì)等,結(jié)合利用0DAY漏洞、釣魚等多種手段,有效地繞過了傳統(tǒng)安全防御邊界和基于已知特征的檢測技術(shù)。此外,類似于“永恒之藍”的大量0DAY漏洞掌握在少數(shù)組織和個人手中,難以全面發(fā)現(xiàn)并且及時防御。
(3)管理制度的全面落實有待加強。主要表現(xiàn)為:一是網(wǎng)絡安全“三同步”要求未全面落實,“一票否決”的機制尚未建立。系統(tǒng)規(guī)劃、設計、開發(fā)階段安全考慮不充分,上線階段安全測試不深入不全面;二是源代碼安全審查、滲透測試尚未有效開展,無法在系統(tǒng)上線前有效發(fā)現(xiàn)源生安全風險;三是尚未建立分層分類的網(wǎng)絡安全專家隊伍和人才體系,無法有效支撐公司網(wǎng)絡安全工作;四是網(wǎng)絡安全責任制有待加強,如對外部供應商的網(wǎng)絡安全責任約定不明確,未構(gòu)成事件的網(wǎng)絡安全問題的問責機制不健全。
5 風險應對方案
加強對電力監(jiān)控系統(tǒng)的漏洞排查與風險管理,是安全防護工作的前提條件。本文依據(jù)《電力監(jiān)控系統(tǒng)安全防護總體方案》、《變電站監(jiān)控系統(tǒng)安全防護方案》、《配電監(jiān)控系統(tǒng)安全防護方案》通過技術(shù)、管理兩個維度并結(jié)合內(nèi)外部環(huán)境因素綜合計算評估出系統(tǒng)風險情況完成這一階段的安全治理工作,如管理類的弱口令規(guī)范管理;技術(shù)層面的系統(tǒng)加固、設備安全隱患解決等。
基于工業(yè)控制系統(tǒng)自身對實時性、穩(wěn)定性、兼容性的要求,在遵循標準性原則、關(guān)鍵業(yè)務原則、可控性原則、最小影響原則、可恢復原則的基礎(chǔ)上,通過污點傳播分析、符號執(zhí)行、滲透測試等技術(shù)手段對電力監(jiān)控系統(tǒng)仿真模擬環(huán)境包括現(xiàn)場測控設備、網(wǎng)絡設備、計算機設備、安全設備、工控通信協(xié)議等進行漏洞檢測與挖掘。
5.1 模擬仿真電力監(jiān)控系統(tǒng)
電力監(jiān)控系統(tǒng)仿真主要通過實物方式建立,仿真系統(tǒng)如圖1所示。現(xiàn)有環(huán)境的總體架構(gòu)和安全防護設計遵循了國家、行業(yè)相關(guān)標準規(guī)范要求,部署1套地調(diào)EMS主站系統(tǒng)、2套變電站綜合自動化系統(tǒng)和地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng),系統(tǒng)性地反映上下級電力監(jiān)控系統(tǒng)之間的各種數(shù)據(jù)業(yè)務的需求、網(wǎng)絡的縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信的安全性問題。
圖1 電力監(jiān)控系統(tǒng)仿真環(huán)境示意圖
5.2 漏洞隱患排查技術(shù)研究
根據(jù)電力監(jiān)控系統(tǒng)的特點和安全需求,將整個漏洞隱患排查對象分為系統(tǒng)、終端、協(xié)議三個方面。系統(tǒng)方面通過污點傳播分析、符號執(zhí)行、滲透測試等技術(shù)手段對仿真系統(tǒng)進行漏洞檢測與挖掘。終端方面基于Python的開源Fuzz框架對PLC、測控、智能終端、繼保等進行漏洞挖掘和漏洞預警,識別深層次工控設備的安全問題;通過模糊測試技術(shù)對電力協(xié)議深度分析、主動檢測特征攻擊。漏洞驗證方面則通過工控協(xié)議漏洞攻擊、PLC控制器等漏洞攻擊、系統(tǒng)弱口令攻擊、主機操作系統(tǒng)漏洞攻擊等驗證工具核實漏洞檢測結(jié)果,為風險分析提供準確的資產(chǎn)脆弱性信息。
5.2.1 漏洞挖掘技術(shù)
一種漏洞挖掘技術(shù)很難完成分析工作,且大多只能找到淺層的漏洞信息,如靜態(tài)分析、動態(tài)分析和符號執(zhí)行等。針對工業(yè)控制網(wǎng)絡環(huán)境的特點,代碼審計、逆向工程等常見的漏洞挖掘技術(shù)無法正常運行,所以采用模糊測試與符號執(zhí)行相結(jié)合的漏洞挖掘技術(shù)能夠有效地找到潛藏在二進制中的漏洞[5]。模糊測試本身可以高效、精準的對公有協(xié)議進行漏洞挖掘,在與隱馬爾科夫及統(tǒng)計算法結(jié)合的幫助下,可以基于優(yōu)化重構(gòu)法彌補私有協(xié)議漏洞挖掘的不足;同時基于心跳檢測的存活檢測方案和基于Simhash的一致性檢測方案,可正確識別被測系統(tǒng)是否進入異常狀態(tài)。選擇符號執(zhí)行協(xié)助模糊器探索感興趣路徑,并對其作出預約控制、探索緩存等優(yōu)化,提升系統(tǒng)執(zhí)行性能。
通過模糊測試與符號執(zhí)行相結(jié)合的漏洞挖掘技術(shù),可高效、精準挖掘電力監(jiān)控系統(tǒng)場測控設備、網(wǎng)絡設備、計算機設備、安全設備、工控通信協(xié)議潛藏的漏洞信息,并在隱馬爾科夫及統(tǒng)計算法結(jié)合下快速適應對私有協(xié)議的漏洞挖掘分析,拓寬了高自動化漏洞隱患排查工作范圍,縮減了人力的投入,也提高了精準度。
5.2.2 漏洞驗證
通過漏洞驗證腳本工具,對挖掘出的漏洞進行利用驗證,探測漏洞的存在情況和影響程度,以減少誤報率,確保整個漏洞隱患排查工作的準確性和可靠性。
攻擊腳本、工具研發(fā)首先需對系統(tǒng)進行相應的漏洞發(fā)現(xiàn),包括已知漏洞掃描與未知漏洞挖掘工作。在典型電力工控實驗環(huán)境基礎(chǔ)上,電力監(jiān)控系統(tǒng)漏洞檢測與攻擊驗證工作開展技術(shù)路線如圖2所示。
驗證攻擊工具通過Java語言、Php語言腳本或者Python語言腳本開發(fā)的利用漏洞原理構(gòu)造相應的請求來觸發(fā)漏洞,來實現(xiàn)驗證漏洞真實性的組件。
圖2 電力監(jiān)控系統(tǒng)漏洞檢測與攻擊驗證技術(shù)路線圖
在系統(tǒng)資產(chǎn)識別的基礎(chǔ)上,進行漏洞檢測:
(1)已知漏洞的識別(結(jié)合CNVD、CNNVD公開漏洞庫);
(2)潛在未知漏洞挖掘,挖掘方法與過程如下:
·構(gòu)造測試用例,利用模糊測試方法進行測試;
·風暴測試;
·協(xié)議完整性測試;
·弱口令檢測。
在測試的漏洞基礎(chǔ)上,進行攻擊腳本開發(fā),從而提供如切斷輸變電系統(tǒng)、破壞目標電力輸送網(wǎng)絡的功能,結(jié)合發(fā)現(xiàn)的漏洞以及輸變電系統(tǒng)的二次系統(tǒng)進行逆向分析,開發(fā)相應攻擊驗證工具,也可采用已有漏洞攻擊驗證工具。部分工具類型如下:
(1)拒絕服務漏洞驗證工具;
(2)溢出漏洞驗證工具;
(3)遠程控制漏洞驗證工具;
(4)暴力破解漏洞驗證工具;
(5)信息獲取漏洞驗證工具。
5.3 風險管理研究
電力監(jiān)控系統(tǒng)網(wǎng)絡風險管理是周期性、常規(guī)化的風險分析工作。通過對大量漏洞挖掘與攻擊驗證數(shù)據(jù)及相關(guān)的風險數(shù)據(jù)信息分析研究,并結(jié)合國內(nèi)外最新威脅情報信息,研判出當下及未來一段時間內(nèi)的網(wǎng)絡安全風險發(fā)展趨勢,為網(wǎng)絡安全策略調(diào)整、規(guī)劃、技改提供科學依據(jù)。
6 結(jié)束語
電力監(jiān)控系統(tǒng)的安全是電力網(wǎng)絡安全穩(wěn)定運行的技術(shù)保障,關(guān)系著國計民生和經(jīng)濟社會發(fā)展,是國家建設智能電網(wǎng)的核心。本文通過分析典型電力行業(yè)網(wǎng)絡安全事件入手,結(jié)合國內(nèi)外對電力行業(yè)工業(yè)控制網(wǎng)絡安全風險治理的重視程度,以及電力監(jiān)控系統(tǒng)的特點和風險提出漏洞隱患排查與風險管理辦法。通過污點傳播分析、符號執(zhí)行、滲透測試等技術(shù)手段對電力監(jiān)控系統(tǒng)中現(xiàn)場測控設備、網(wǎng)絡設備、計算機設備、安全設備、工控通信協(xié)議等進行漏洞挖掘分析,識別電力監(jiān)控系統(tǒng)中的風險隱患。在漏洞挖掘分析中提出最新的技術(shù)應用,提高了漏洞隱患排查的工作效率和精準度。漏洞隱患排查及風險管理是電力監(jiān)控系統(tǒng)安全性研究的重要組成部分,是建設完善安全體系的先決條件和檢驗基石,還需更深入的研究和探索。
作者簡介
梁寧波(1986-),河南人,本科,現(xiàn)任北京珞安科技解決方案經(jīng)理、CSA云安全聯(lián)盟云安全標準委員會專家,熟悉安全標準體系和電力行業(yè)技術(shù)架構(gòu)、安全隱患及誘發(fā)的因素。主要研究方向是云計算、工業(yè)控制安全、網(wǎng)絡安全等領(lǐng)域。
參考文獻:
[1] 張盛杰, 顧昊旻, 李祉岐, 等. 電力工業(yè)控制系統(tǒng)信息安全風險分析與應對方案[J]. 電力信息與通信技術(shù), 2017, 15 ( 4 ) : 96 - 102.
[2] Tony Flick Justin Morehouse著, 徐震, 于愛民, 劉韌譯. 智能電網(wǎng)安全——下一代電網(wǎng)安全[M]. 北京: 國防工業(yè)出版社, 2013, 1.
[3] 王順江, 紀翔, 劉嘉明, 等. 電力監(jiān)控系統(tǒng)網(wǎng)絡安全技術(shù)[M]. 北京: 中國電力出版社, 2018, 6.
[4] 應歡, 劉松華, 韓麗芳, 等. 電力工業(yè)控制系統(tǒng)安全技術(shù)綜述[J]. 電力信息與通信技術(shù), 2018, 16(3): 56 - 63.
[5] 宋博宇. 模糊測試與符號執(zhí)行相結(jié)合的漏洞發(fā)現(xiàn)技術(shù)研究[D]. 哈爾濱工業(yè)大學, 2017.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號