1　引言

電力行業(yè)很早就采用計算機實(shí)現生產(chǎn)過(guò)程自動(dòng)化?，F代電力企業(yè)網(wǎng)絡(luò )基礎設施日益完善，已建成生產(chǎn)、管理、營(yíng)銷(xiāo)等不同類(lèi)型的信息系統，企業(yè)信息化^[1]水平達到新的高度，有效保證了電力系統安全、優(yōu)質(zhì)和經(jīng)濟運行。各類(lèi)電力信息系統由于信息共享和協(xié)作已經(jīng)實(shí)現互連，網(wǎng)絡(luò )通信協(xié)議也逐步采用開(kāi)放通用的TCP/IP協(xié)議，這使得非法者可以采用各種攻擊技術(shù)在信息空間（Cyber Space）對電力信息系統進(jìn)行攻擊，破壞電力系統信息安全（Cyber Security in PowerSystem），影響電力系統可靠運行，甚至導致系統振蕩或大范圍停電。2010年震驚世界的針對伊朗核電站的震網(wǎng)病毒^[8]，以及最近的烏克蘭電網(wǎng)遭受黑客攻擊事件^[2]，針對電力控制系統的網(wǎng)絡(luò )攻擊事件呈不斷上升的趨勢。隨著(zhù)德國工業(yè)4.0^[3]、美國工業(yè)互聯(lián)網(wǎng)^[4]、中國《中國制造2025》^[5]等規劃不斷推進(jìn)，電力控制系統將與互聯(lián)網(wǎng)信息系統不斷融合，電力控制系統將面臨越來(lái)越多的信息安全問(wèn)題的挑戰。因此，越來(lái)越多的國內外學(xué)者進(jìn)行電力控制系統的信息安全研究。震網(wǎng)病毒就是針對伊朗核電站所使用西門(mén)子PLC的漏洞 ^[6]進(jìn)行的一種欺騙型攻擊，因此我們還需要在電力控制系統SCADA、PLC、DCS [7]之間的通信數據設置深度包過(guò)濾。我們要對電力控制系統信息安全進(jìn)行研究，避免不了實(shí)驗，但是在實(shí)際的電力控制系統中進(jìn)行實(shí)驗是不現實(shí)的，為此我們設計一種電力控制系統信息安全實(shí)驗平臺，實(shí)驗平臺能進(jìn)行模糊測試以及各種信息安全攻擊實(shí)驗。

2　實(shí)驗平臺設計

電力控制系統信息安全實(shí)驗平臺主要有400V、220V電源，空氣開(kāi)關(guān)，交直流接觸器，控制器（西門(mén)子及歐姆龍PLC），被控對象（電機、指示燈、智能Wi-Fi網(wǎng)關(guān)），防護模塊（工業(yè)網(wǎng)關(guān)）以及攻擊端（PC，U盤(pán)）等組成。PLC控制器以及被控對象通過(guò)工業(yè)網(wǎng)關(guān)與外部交換機及上位機隔離，通信數據經(jīng)過(guò)工業(yè)網(wǎng)關(guān)過(guò)濾。拓撲結構如圖1所示。

圖1 實(shí)驗平臺拓撲結構

可編程邏輯控制器（PLC）具有耐用、穩定性強、高魯棒性等優(yōu)點(diǎn)，非常適合工業(yè)控制系統環(huán)境。平臺中PLC的通信協(xié)議是基于Modbus/TCP的西門(mén)子私有協(xié)議S7，上位機通過(guò)該協(xié)議和PLC通信，控制電動(dòng)機及指示燈等負荷的正常運行。該實(shí)驗平臺中，實(shí)驗對象主要包括電動(dòng)機，指示燈，閥門(mén)等。

防護模塊是基于工業(yè)網(wǎng)關(guān)內置工業(yè)通訊協(xié)議的防護模式，通過(guò)配置工業(yè)網(wǎng)關(guān)協(xié)議過(guò)濾規則，對通信數據進(jìn)行深度過(guò)濾。規則可以根據不同的通信協(xié)議，配置相關(guān)過(guò)濾規則。例如，該實(shí)驗是基于Modbus/TCP，可以選擇該協(xié)議進(jìn)行規則配置。通常工業(yè)通訊協(xié)議基于常規TCP/IP協(xié)議在應用層的高級開(kāi)發(fā)，本實(shí)驗平臺就是基于常規TCP/IP在應用層的高級開(kāi)發(fā)的Modbus/TCP協(xié)議上的隔離防護平臺。當數據包經(jīng)過(guò)防護模塊時(shí)，會(huì )對其進(jìn)行深度包檢測，檢驗合格讓其通過(guò)，不合格直接丟棄。

攻擊端一般為PC機或者U盤(pán)等，先通過(guò)Wireshark抓包分析協(xié)議數據包，然后偽造變異數據，再和PLC建立連接，發(fā)送數據包使其執行錯誤的指令，從而攻擊成功。U盤(pán)攻擊原理大致一樣，U盤(pán)里會(huì )存在一個(gè)會(huì )自執行的程序，會(huì )改變PLC的輸出?；蛘咄ㄟ^(guò)拒絕服務(wù)攻擊來(lái)對PLC進(jìn)行攻擊。部分程序如圖2所示。

圖2 偽造數據包攻擊程序

該程序就是通過(guò)偽造數據來(lái)對PLC進(jìn)行攻擊的，最終使PLC該亮的點(diǎn)熄滅了。

3　防火墻模塊設計

防火墻模塊硬件主要是西門(mén)子的工業(yè)網(wǎng)關(guān)，能夠針對工業(yè)控制系統通信協(xié)議進(jìn)行深度包檢測，可以對過(guò)濾規則進(jìn)行配置。主要包括通信協(xié)議端口號檢測、協(xié)議標識符檢測、功能碼檢測、數據長(cháng)度及PLC輸入輸出線(xiàn)圈地址檢測，通過(guò)這些過(guò)濾規則的配置，大大減少控制器被攻擊成功的可能性。

Modbus/TCP協(xié)議采用客戶(hù)端/服務(wù)器模式通信，正常通信時(shí)是使用服務(wù)器的502^[9]端口通信，對于外來(lái)的數據包來(lái)說(shuō)，目的端口應是502，若攻擊數據修改了目的端口，則可能會(huì )造成通信故障，使控制器無(wú)法正常工作。端口號模塊則會(huì )有效地保證通信時(shí)服務(wù)器端口選擇502，保證正常通信，避免故障發(fā)生。Modbus/TCP協(xié)議是應用層協(xié)議，其協(xié)議頭部有確定的協(xié)議標識符，協(xié)議表示模塊通過(guò)對應用層協(xié)議的解析，正確識別協(xié)議標識符，可以防止攻擊數據包偽裝成其他協(xié)議進(jìn)行通信從而造成系統故障。不同的功能碼對應不同的操作，在實(shí)際工業(yè)環(huán)境中，合法的功能碼是被預先設定的，所以當攻擊數據包企圖通過(guò)修改功能碼來(lái)修改控制器的動(dòng)作從而造成故障時(shí)，功能碼模塊就可以有效的防護，保證只有合法功能碼通過(guò)。對于不同的功能碼，數據包的長(cháng)度是不一樣的，但是對于確定的某個(gè)功能碼，數據包的長(cháng)度是唯一的，所以我們通過(guò)對協(xié)議應用層數據的深度包解析，對應的功能碼我們通過(guò)數據長(cháng)度模塊做防護，就能防止攻擊數據通過(guò)修改數據包長(cháng)度造成控制器故障的問(wèn)題。防火墻數據過(guò)濾規則配置如圖3所示。

PLC中線(xiàn)圈地址是有范圍的，即有線(xiàn)圈地址的上限和下限，攻擊數據通過(guò)修改線(xiàn)圈地址范圍造成控制器錯誤操作，線(xiàn)圈地址模塊就是防護這種攻擊，保證正常的通信。首先防護模塊可以選擇開(kāi)啟或者不開(kāi)啟，即數據直接通過(guò)還是必須經(jīng)過(guò)預先設定好的防護模塊，檢測過(guò)后再通過(guò)。其次，流程圖中的五個(gè)防護模塊只要其中任何一個(gè)防護模塊檢測數據異常，此數據就會(huì )被丟棄，只有通過(guò)所有防護模塊后，數據才能夠被控制器接收到，實(shí)現通信。

圖3 數據包深度過(guò)濾流程圖

4　信息安全實(shí)驗平臺性能測試

電力控制系統信息安全實(shí)驗平臺實(shí)物圖如圖4所示，筆者在該平臺上進(jìn)行了偽造數據包攻擊實(shí)驗和模糊測試，及拒絕服務(wù)攻擊實(shí)驗。

圖4 實(shí)驗平臺部分實(shí)物圖

4.1　偽造數據包攻擊實(shí)驗

攻擊PLC控制器，先使用Wireshark抓包分析協(xié)議數據包，然后偽造變異數據，再和PLC建立連接，發(fā)送數據包使其執行錯誤的指令，使PLC控制器出現故障，有可能停止運轉或者不按正常方式運轉，對PLC及其被控對象造成不可預知的破壞。從而攻擊成功。U盤(pán)攻擊原理大致一樣，U盤(pán)里會(huì )存在一個(gè)會(huì )自執行的程序，會(huì )改變PLC的輸出。由信息安全防護措施可知，所有的數據包必須通過(guò)防火墻才能到達PLC控制端。若防護模塊沒(méi)有開(kāi)啟，則默認通過(guò)所有數據包，當偽造的數據包到達PLC控制器，PLC會(huì )出現故障，負責監控PLC工作狀態(tài)的PLC監控端也會(huì )出現相應的提示；若防護模塊開(kāi)啟，并通過(guò)配置端進(jìn)行數據包過(guò)濾規則配置。配置完成后，該防護模塊就能進(jìn)行數據包過(guò)濾，實(shí)現嚴格的防護功能，當含有攻擊的數據包到達防護模塊，防護模塊會(huì )對數據包進(jìn)行深度檢測，就會(huì )被它直接丟棄，拒絕非法數據包的通過(guò)。只有滿(mǎn)足協(xié)議規則并且合理的數據包才能讓其通過(guò)。

4.2　fuzzing實(shí)驗

在該實(shí)驗平臺上還可以進(jìn)行模糊測試，漏洞挖掘實(shí)驗，通過(guò)配置參數，測試機或漏洞挖掘設備向被測設備（控制器）發(fā)送測試數據包，并記錄導致控制器異常的數據包，然后對其進(jìn)行分析，為什么會(huì )導致異常，是不是偶然的，最終才能確定是不是漏洞。模糊測試的部分程序如圖5所示。

圖5 fuzzing測試部分程序

4.3　拒絕服務(wù)攻擊（DoS）實(shí)驗

該實(shí)驗平臺可以做PLC拒絕服務(wù)攻擊實(shí)驗。 DoS[10]主要通過(guò)對PLC控制器發(fā)送大量不合法的請求連接數據包占用連接資源，造成PLC控制器故障甚至于斷開(kāi)網(wǎng)絡(luò )，使監控端無(wú)法收到控制器返回的信號，也無(wú)法對控制器進(jìn)行控制，造成無(wú)法預知的后果。由信息安全防護措施可知，所有的數據包必須通過(guò)防護模塊才能到達PLC控制端。若防護模塊沒(méi)有開(kāi)啟，則默認通過(guò)所有數據包，當大量的請求連接數據包到達PLC控制器，PLC會(huì )出現故障并斷網(wǎng)，負責監控PLC工作狀態(tài)的PLC監控端無(wú)法獲取PLC控制器的運行狀態(tài)；若防護模塊開(kāi)啟，并通過(guò)配置端進(jìn)行數據包過(guò)濾規則配置。配置完成后，該防護模塊就能進(jìn)行數據包過(guò)濾，實(shí)現嚴格的防護功能，當不合法[11]的數據包到達防護模塊，就會(huì )被它直接丟棄，拒絕不合法的請求數據包，大量不合理的請求連接數據包是不可能通過(guò)防火墻的，只有合法的請求包才能通過(guò)。

5　結語(yǔ)

本文設計并實(shí)現了一種電力控制系統信息安全實(shí)驗平臺，該平臺對開(kāi)展電力控制系統信息安全研究有很大意義。該平臺能夠向人們展示電力安全問(wèn)題嚴重性和重要性，真正感受到信息安全問(wèn)題研究的迫切。并且，在該實(shí)驗平臺上，還可以進(jìn)行攻擊實(shí)驗，模糊測試，漏洞挖掘等電力信息安全實(shí)驗。本實(shí)驗平臺還有很多可以改進(jìn)的地方，比如系統太小，距離真正的電力系統有很大的差別，負荷種類(lèi)不夠多，控制器種類(lèi)也不夠多。未來(lái)我們將會(huì )建立一個(gè)10kV，十幾個(gè)節點(diǎn)的小型電力系統，盡量模擬真正的電力系統，為電力系統安全問(wèn)題研究提供一個(gè)真正的實(shí)驗環(huán)境，而不總是仿真實(shí)驗。

★基金項目：國家自然科學(xué)基金（61772327），上海自然科學(xué)基金（15110500700），浙江大學(xué)工業(yè)控制技術(shù)國家重點(diǎn)實(shí)驗室開(kāi)發(fā)課題（ICT1800380），上海電力學(xué)院智能電網(wǎng)產(chǎn)學(xué)研中心項目（A-0009-17-002-05），上?？莆胤侥芰ㄔO項目（16ZR1436300）。

作者簡(jiǎn)介

王　勇 (1973-），男，河南確山人，教授，現就職于上海電力學(xué)院信息安全系，主要從事電力信息安全、工業(yè)控制系統信息安全研究。

高志遠（1992-），男，河南南陽(yáng)人，碩士研究生，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院，主要從事工業(yè)控制系統信息安全研究。

劉金永 (1991-），男，河南平頂山人，碩士研究生，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院，主要從事工業(yè)控制系統入侵檢測研究。

王　相（1994-），男，江蘇無(wú)錫人，碩士研究生，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院，主要從事電力系統通信協(xié)議攻擊檢測關(guān)鍵技術(shù)方面的研究。

李雙飛（1996-），男，回，河南周口人，本科，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院，主要從事工業(yè)控制系統信息安全研究。

邵猷海（1994-），男，江西九江人，碩士研究生，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院，主要從事工業(yè)控制系統信息安全研究。

翟　昊（1997-），男，上海人，本科，現就讀于上海電力學(xué)院計算機科學(xué)與技術(shù)學(xué)院。

劉　蔚（1988-），女，上海人，本科，現就職于上海云物信息技術(shù)有限公司，主要從事數據安全分析。

參考文獻：

[1] 劉烴, 孫鴻, 劉楊, 等. 智能電網(wǎng)安全實(shí)驗平臺: 設計、實(shí)現與仿真[J]. 武漢大學(xué)學(xué)報 ( 理學(xué)版 ), 2014, 60 (5) : 413 - 418.

[2] 芮新花. 電力系統繼電保護仿真實(shí)驗臺的研制[D]. 河海大學(xué), 2007.

[3] 湯涌. 電力系統安全穩定綜合防御體系框架[J]. 電網(wǎng)技術(shù), 2012, 36 (8) : 1 - 5.

[4] 戚宇林, 劉文穎, 楊以涵, 等. 電力信息的網(wǎng)絡(luò )化傳輸是電力系統安全的重要保證[J]. 電網(wǎng)技術(shù), 2004, 28 (9) : 58 - 61.

[5] 山東工業(yè)大學(xué), 鄒森. 電力系統安全分析與控制[M]. 水利電力出版社, 1995.

[6] 劉念, 謝馳, 滕福生. 電力系統安全穩定問(wèn)題研究[J]. 四川電力技術(shù), 2004, 27 (1) : 1 - 6.

[7] 焦紅日. 電力系統安全監控的理論及方法研究[J]. 工程技術(shù): 全文版: 00142 - 00142.

[8] 唐桃波, 夏云非, 魯文, 等. 美國近年的停電事故及對我國電力系統安全穩定運行的啟示[J]. 電力建設, 2003, 24 (11) : 2 - 4.

[9] 許濤. 電力系統安全穩定的智能挖掘[D]. 華北電力大學(xué), 2004.

[10] 張超. 電力系統安全穩定綜合防御體系框架[J]. 硅谷, 2014 (24) : 230 - 230.

[11] 賈長(cháng)朱. 從美、加停電事故看我國電力系統安全[J]. 現代電力, 2004, 21 (3) : 70 - 73.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》