摘要：電力監控系統是用于監視和控制電力生產(chǎn)及供應過(guò)程的、基于計算機及網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統及智能設備，作為基礎支撐的通信及數據網(wǎng)絡(luò )，其安全性關(guān)系到國家戰略安全。本文結合近年來(lái)的典型網(wǎng)絡(luò )安全事件，提出風(fēng)險治理的重要性。依據電力監控系統特點(diǎn)和風(fēng)險情況，引進(jìn)先進(jìn)的漏洞隱患排查技術(shù)，使漏洞挖掘分析更加高效、精準，克服了模糊測試技術(shù)的盲目性，為風(fēng)險管理提供可靠的技術(shù)支撐。同時(shí)，借鑒成熟的風(fēng)險管理體系，通過(guò)科學(xué)地賦值、風(fēng)險計算，量化評估風(fēng)險，為下一步網(wǎng)絡(luò )安全治理提供準確的參考。

關(guān)鍵詞：電力監控系統；安全風(fēng)險；漏洞隱患排查；漏洞挖掘；工業(yè)控制網(wǎng)絡(luò )

Abstract: The power monitoring system is a computer and network technology-based business system and intelligent equipment for monitoring and controlling the power production and supply process. As the basic support of communication and data network，its security is related to the national strategic security. Based on the typical network security incidents in recent years， this paper puts forward the importance of risk management。According to the characteristics and risk situation of power monitoring system, the introduction of advanced vulnerability detection technology makes the vulnerability mining analysis more efficient and accurate, overcomes the blindness of fuzzy testing technology,and provides reliable technical support for risk management. At the same time，rawing

on the mature risk management system, through scientific valuation and risk calculation,quantitative assessment of risk will provide an accurate reference for the next step of network security governance.

Key words: Electric power monitoring system；Security risk；Investigation of potential vulnerabilities；Vulnerability mining；Industrial control network

1　引言

隨著(zhù)信息化與傳統能源行業(yè)各環(huán)節應用的深度融合，以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統得到了前所未有的發(fā)展，并成為關(guān)鍵基礎設施的重要組成部分，廣泛應用于我國電力、水利、水務(wù)、石油化工、軌道交通、制藥等行業(yè)中。調查發(fā)現，由于工業(yè)控制系統升級程序復雜且危害強度大等原因，半數以上的企業(yè)未對其進(jìn)行過(guò)升級和漏洞修復工作[1]。

電力企業(yè)作為工業(yè)控制系統高度發(fā)展、深度融合的標桿，推動(dòng)了智能電網(wǎng)系統的升級也增加了安全風(fēng)險。工業(yè)控制網(wǎng)絡(luò )一旦出現特殊情況，將對能源、交通、環(huán)境、水利、水務(wù)造成直接影響，引發(fā)直接的人員傷亡和財產(chǎn)損失。

電力安全直接影響著(zhù)國計民生和國家安全，因電網(wǎng)安全遭受?chē)乐仄茐亩a(chǎn)生的大面積停電事故，被公認為現代社會(huì )的災難。從“震網(wǎng)”、“棱鏡門(mén)”、到烏克蘭、委內瑞拉全國范圍停電等工業(yè)控制系統安全事件，預示著(zhù)智能電網(wǎng)網(wǎng)絡(luò )安全已經(jīng)成為全球高度關(guān)注的領(lǐng)域。加強對漏洞排查及風(fēng)險管理的研究已經(jīng)成為國家基礎設施領(lǐng)域亟需解決的問(wèn)題。

2　國內外電力監控系統網(wǎng)絡(luò )安全風(fēng)險治理情況

美國自上個(gè)世紀就開(kāi)始積極規范能源產(chǎn)業(yè)，并通過(guò)一系列法案直接影響智能電網(wǎng)的發(fā)展，加強工業(yè)控制系統的網(wǎng)絡(luò )安全防護力度。在智能電網(wǎng)建設初期，美國能源部就對其安全性進(jìn)行了深入研究和探討，并針對性提出了安全威脅漏洞的排查和風(fēng)險管理的措施。愛(ài)達荷國家實(shí)驗室撰寫(xiě)一份題為《智能電網(wǎng)系統安全屬性研究——當前的網(wǎng)絡(luò )安全事件》的文件深入討論和研究了智能電網(wǎng)的安全風(fēng)險，重點(diǎn)闡述了電網(wǎng)的網(wǎng)絡(luò )安全性為聯(lián)邦政府在智能電網(wǎng)方面的網(wǎng)絡(luò )安全防護提供了先導意見(jiàn)?！氨Ｗo智能電網(wǎng)的第一步就是充分了解它的威脅環(huán)境”成為戰略部署規劃到具體建設實(shí)施的先導觀(guān)念[2]。除此之外，美國國家標準技術(shù)研究所為智能電網(wǎng)操作性標準（NIST SP1108）訂立框架和路線(xiàn)圖，在國家層面，發(fā)布了國家級專(zhuān)項計劃，用于保護包括智能電網(wǎng)在內的工業(yè)控制系統的網(wǎng)絡(luò )安全。

我國原國家電監會(huì )于2012年印發(fā)《電力行業(yè)信息安全等級保護基本要求》，推動(dòng)其在電力行業(yè)的深入實(shí)施。為有效應對工業(yè)控制系統安全風(fēng)險，適應新技術(shù)的發(fā)展，國家進(jìn)一步完善提出網(wǎng)絡(luò )安全等級保護標準（簡(jiǎn)稱(chēng)等保2.0）。2017年6月1日《中華人民共和國網(wǎng)絡(luò )安全法》的正式施行，《關(guān)鍵信息基礎設施安全保護條例（征求意見(jiàn)稿）》、《網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查辦法（試行）》等配套法規要求迅速出臺，進(jìn)一步明確和強化了關(guān)鍵信息基礎設施的安全保護要求，國家對網(wǎng)絡(luò )安全工作的要求進(jìn)入新階段。電力系統業(yè)務(wù)的持續快速發(fā)展要求更加安全可靠的網(wǎng)絡(luò )安全防護體系作為保障。國家能源局在原電監會(huì )5號令和34號文的基礎上，于2014、2015年印發(fā)《電力監控系統安全防護規定》（簡(jiǎn)稱(chēng)14號令）和《電力監控系統安全防護總體方案》（簡(jiǎn)稱(chēng)36號文）。承接落實(shí)了公安部、工信部關(guān)于信息系統、工業(yè)控制系統安全防護的有關(guān)要求，同時(shí)針對部分二次設備（如部分品牌的PLC設備、工業(yè)交換機等）存在漏洞的問(wèn)題，從設備選型及配置、漏洞及風(fēng)險整改等方面提出了相關(guān)的要求。

3　電力監控系統的概念和特點(diǎn)

電力監控系統，是指用于監視和控制電力生產(chǎn)及供應過(guò)程的、基于計算機及網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統及智能設備，以及作為基礎支撐的通信及數據網(wǎng)絡(luò )。[3]電力監控系統具體包括電力數據采集與監控系統、能量管理系統、微機繼電保護和安全自動(dòng)化裝置、廣域相量測量系統、負荷控制系統、水調自動(dòng)化系統和水電梯級調度監控系統、電能量計量系統、實(shí)時(shí)電力市場(chǎng)的輔助控制系統、電力調度數據網(wǎng)等。

與傳統網(wǎng)絡(luò )系統安全相比，電力監控系統的安全主要有如下特點(diǎn)。[4]

安全側重點(diǎn)不同。電力監控系統的首要原則是保障業(yè)務(wù)連續性，生產(chǎn)過(guò)程中任何非計劃中斷都是不能容忍的，而傳統網(wǎng)絡(luò )系統可以接受運行過(guò)程中的中斷或重啟行為。因此，可用性是電力監控系統首先要保障的。

通信協(xié)議安全性不同。與標準的TCP/IP協(xié)議不同，工業(yè)控制協(xié)議種類(lèi)繁多，專(zhuān)用與私有協(xié)議并存；協(xié)議設計上先天不足，后天畸形。設計之初未充足考慮安全因素，導致運行過(guò)程中存在嚴重的安全漏洞。

危害對象和程度不同。與傳統網(wǎng)絡(luò )安全影響對象相比，電力監控系統涉及系統繁多，且多是核心生產(chǎn)設備系統，受損后影響大、破壞性強。電力監控系統涉及大量的電力數據的采集、傳輸以及信息共享，是關(guān)系國計民生的，受到損害將直接影響到日常生產(chǎn)生活以及國家政治。

4　影響電力監控系統網(wǎng)絡(luò )安全因素分析

影響電力監控系統網(wǎng)絡(luò )安全的因素，除了要面對持續增多的國家級網(wǎng)絡(luò )攻擊和較強針對性基礎設施攻擊外，系統本身的漏洞隱患和管理制度不健全是重要風(fēng)險因素，主要有如下幾個(gè)方面：

（1）工業(yè)控制系統的安全問(wèn)題日益凸顯。隨著(zhù)新一代信息技術(shù)的不斷滲透，工業(yè)通信協(xié)議自身的缺陷和工業(yè)系統常態(tài)化“帶病”作業(yè)的風(fēng)險程度被放大、凸顯，安全問(wèn)題充分暴露。專(zhuān)用工控通信協(xié)議在設計階段只強調實(shí)時(shí)性和可用性，普遍欠缺安全機制，是造成工控協(xié)議漏洞的根源。工業(yè)控制協(xié)議應用于感應器—制動(dòng)器之間、控制器的I/O端（如Modbus、HART、CAN、FoundationFieldbus、PROFIBUS）以及控制和管理計算機（如DNP3、Modbus/TCP、 BACnet、以太網(wǎng)/IP地址）之間的通信。如使用無(wú)身份驗證的協(xié)議，將存在被竊聽(tīng)、替換的風(fēng)險。

普遍存在漏洞是工控安全威脅的根本原因。由于工業(yè)硬件價(jià)格昂貴，運行時(shí)間就越發(fā)長(cháng)久，十年幾十年也是比較普遍的，這些硬件系統安全性更是薄弱，所承載的操作系統也多為老舊系統，沒(méi)有健全的主機防護機制，帶病作業(yè)成為常態(tài)。

（2）高級持續性攻擊和未知威脅顯著(zhù)增多。以高級持續性威脅（APT）為代表的新型攻擊方式，可以繞過(guò)基于特征碼檢測的傳統安全防護設備（如防病毒軟件、防火墻、IPS等），更長(cháng)時(shí)間地潛伏在系統中，傳統防御體系難以偵測。2011年針對全球能源公司的夜龍攻擊事件、2015年烏克蘭電網(wǎng)攻擊事件、2016年孟加拉國央行攻擊事件等典型APT事件中，攻擊者即通過(guò)郵件、終端、移動(dòng)介質(zhì)等，結合利用0DAY漏洞、釣魚(yú)等多種手段，有效地繞過(guò)了傳統安全防御邊界和基于已知特征的檢測技術(shù)。此外，類(lèi)似于“永恒之藍”的大量0DAY漏洞掌握在少數組織和個(gè)人手中，難以全面發(fā)現并且及時(shí)防御。

（3）管理制度的全面落實(shí)有待加強。主要表現為：一是網(wǎng)絡(luò )安全“三同步”要求未全面落實(shí)，“一票否決”的機制尚未建立。系統規劃、設計、開(kāi)發(fā)階段安全考慮不充分，上線(xiàn)階段安全測試不深入不全面；二是源代碼安全審查、滲透測試尚未有效開(kāi)展，無(wú)法在系統上線(xiàn)前有效發(fā)現源生安全風(fēng)險；三是尚未建立分層分類(lèi)的網(wǎng)絡(luò )安全專(zhuān)家隊伍和人才體系，無(wú)法有效支撐公司網(wǎng)絡(luò )安全工作；四是網(wǎng)絡(luò )安全責任制有待加強，如對外部供應商的網(wǎng)絡(luò )安全責任約定不明確，未構成事件的網(wǎng)絡(luò )安全問(wèn)題的問(wèn)責機制不健全。

5　風(fēng)險應對方案

加強對電力監控系統的漏洞排查與風(fēng)險管理，是安全防護工作的前提條件。本文依據《電力監控系統安全防護總體方案》、《變電站監控系統安全防護方案》、《配電監控系統安全防護方案》通過(guò)技術(shù)、管理兩個(gè)維度并結合內外部環(huán)境因素綜合計算評估出系統風(fēng)險情況完成這一階段的安全治理工作，如管理類(lèi)的弱口令規范管理；技術(shù)層面的系統加固、設備安全隱患解決等。

基于工業(yè)控制系統自身對實(shí)時(shí)性、穩定性、兼容性的要求，在遵循標準性原則、關(guān)鍵業(yè)務(wù)原則、可控性原則、最小影響原則、可恢復原則的基礎上，通過(guò)污點(diǎn)傳播分析、符號執行、滲透測試等技術(shù)手段對電力監控系統仿真模擬環(huán)境包括現場(chǎng)測控設備、網(wǎng)絡(luò )設備、計算機設備、安全設備、工控通信協(xié)議等進(jìn)行漏洞檢測與挖掘。

5.1　模擬仿真電力監控系統

電力監控系統仿真主要通過(guò)實(shí)物方式建立，仿真系統如圖1所示?，F有環(huán)境的總體架構和安全防護設計遵循了國家、行業(yè)相關(guān)標準規范要求，部署1套地調EMS主站系統、2套變電站綜合自動(dòng)化系統和地區電力調度數據網(wǎng)，系統性地反映上下級電力監控系統之間的各種數據業(yè)務(wù)的需求、網(wǎng)絡(luò )的縱向互聯(lián)、橫向互聯(lián)和數據通信的安全性問(wèn)題。

圖1 電力監控系統仿真環(huán)境示意圖

5.2　漏洞隱患排查技術(shù)研究

根據電力監控系統的特點(diǎn)和安全需求，將整個(gè)漏洞隱患排查對象分為系統、終端、協(xié)議三個(gè)方面。系統方面通過(guò)污點(diǎn)傳播分析、符號執行、滲透測試等技術(shù)手段對仿真系統進(jìn)行漏洞檢測與挖掘。終端方面基于Python的開(kāi)源Fuzz框架對PLC、測控、智能終端、繼保等進(jìn)行漏洞挖掘和漏洞預警，識別深層次工控設備的安全問(wèn)題；通過(guò)模糊測試技術(shù)對電力協(xié)議深度分析、主動(dòng)檢測特征攻擊。漏洞驗證方面則通過(guò)工控協(xié)議漏洞攻擊、PLC控制器等漏洞攻擊、系統弱口令攻擊、主機操作系統漏洞攻擊等驗證工具核實(shí)漏洞檢測結果，為風(fēng)險分析提供準確的資產(chǎn)脆弱性信息。

5.2.1　漏洞挖掘技術(shù)

一種漏洞挖掘技術(shù)很難完成分析工作，且大多只能找到淺層的漏洞信息，如靜態(tài)分析、動(dòng)態(tài)分析和符號執行等。針對工業(yè)控制網(wǎng)絡(luò )環(huán)境的特點(diǎn)，代碼審計、逆向工程等常見(jiàn)的漏洞挖掘技術(shù)無(wú)法正常運行，所以采用模糊測試與符號執行相結合的漏洞挖掘技術(shù)能夠有效地找到潛藏在二進(jìn)制中的漏洞[5]。模糊測試本身可以高效、精準的對公有協(xié)議進(jìn)行漏洞挖掘，在與隱馬爾科夫及統計算法結合的幫助下，可以基于優(yōu)化重構法彌補私有協(xié)議漏洞挖掘的不足；同時(shí)基于心跳檢測的存活檢測方案和基于Simhash的一致性檢測方案，可正確識別被測系統是否進(jìn)入異常狀態(tài)。選擇符號執行協(xié)助模糊器探索感興趣路徑，并對其作出預約控制、探索緩存等優(yōu)化，提升系統執行性能。

通過(guò)模糊測試與符號執行相結合的漏洞挖掘技術(shù)，可高效、精準挖掘電力監控系統場(chǎng)測控設備、網(wǎng)絡(luò )設備、計算機設備、安全設備、工控通信協(xié)議潛藏的漏洞信息，并在隱馬爾科夫及統計算法結合下快速適應對私有協(xié)議的漏洞挖掘分析，拓寬了高自動(dòng)化漏洞隱患排查工作范圍，縮減了人力的投入，也提高了精準度。

5.2.2　漏洞驗證

通過(guò)漏洞驗證腳本工具，對挖掘出的漏洞進(jìn)行利用驗證，探測漏洞的存在情況和影響程度，以減少誤報率，確保整個(gè)漏洞隱患排查工作的準確性和可靠性。

攻擊腳本、工具研發(fā)首先需對系統進(jìn)行相應的漏洞發(fā)現，包括已知漏洞掃描與未知漏洞挖掘工作。在典型電力工控實(shí)驗環(huán)境基礎上，電力監控系統漏洞檢測與攻擊驗證工作開(kāi)展技術(shù)路線(xiàn)如圖2所示。

驗證攻擊工具通過(guò)Java語(yǔ)言、Php語(yǔ)言腳本或者Python語(yǔ)言腳本開(kāi)發(fā)的利用漏洞原理構造相應的請求來(lái)觸發(fā)漏洞，來(lái)實(shí)現驗證漏洞真實(shí)性的組件。

圖2 電力監控系統漏洞檢測與攻擊驗證技術(shù)路線(xiàn)圖

在系統資產(chǎn)識別的基礎上，進(jìn)行漏洞檢測：

（1）已知漏洞的識別（結合CNVD、CNNVD公開(kāi)漏洞庫）；

（2）潛在未知漏洞挖掘，挖掘方法與過(guò)程如下：

·構造測試用例，利用模糊測試方法進(jìn)行測試；

·風(fēng)暴測試；

·協(xié)議完整性測試；

·弱口令檢測。

在測試的漏洞基礎上，進(jìn)行攻擊腳本開(kāi)發(fā)，從而提供如切斷輸變電系統、破壞目標電力輸送網(wǎng)絡(luò )的功能，結合發(fā)現的漏洞以及輸變電系統的二次系統進(jìn)行逆向分析，開(kāi)發(fā)相應攻擊驗證工具，也可采用已有漏洞攻擊驗證工具。部分工具類(lèi)型如下：

（1）拒絕服務(wù)漏洞驗證工具；

（2）溢出漏洞驗證工具；

（3）遠程控制漏洞驗證工具；

（4）暴力破解漏洞驗證工具；

（5）信息獲取漏洞驗證工具。

5.3　風(fēng)險管理研究

電力監控系統網(wǎng)絡(luò )風(fēng)險管理是周期性、常規化的風(fēng)險分析工作。通過(guò)對大量漏洞挖掘與攻擊驗證數據及相關(guān)的風(fēng)險數據信息分析研究，并結合國內外最新威脅情報信息，研判出當下及未來(lái)一段時(shí)間內的網(wǎng)絡(luò )安全風(fēng)險發(fā)展趨勢，為網(wǎng)絡(luò )安全策略調整、規劃、技改提供科學(xué)依據。

6　結束語(yǔ)

電力監控系統的安全是電力網(wǎng)絡(luò )安全穩定運行的技術(shù)保障，關(guān)系著(zhù)國計民生和經(jīng)濟社會(huì )發(fā)展，是國家建設智能電網(wǎng)的核心。本文通過(guò)分析典型電力行業(yè)網(wǎng)絡(luò )安全事件入手，結合國內外對電力行業(yè)工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險治理的重視程度，以及電力監控系統的特點(diǎn)和風(fēng)險提出漏洞隱患排查與風(fēng)險管理辦法。通過(guò)污點(diǎn)傳播分析、符號執行、滲透測試等技術(shù)手段對電力監控系統中現場(chǎng)測控設備、網(wǎng)絡(luò )設備、計算機設備、安全設備、工控通信協(xié)議等進(jìn)行漏洞挖掘分析，識別電力監控系統中的風(fēng)險隱患。在漏洞挖掘分析中提出最新的技術(shù)應用，提高了漏洞隱患排查的工作效率和精準度。漏洞隱患排查及風(fēng)險管理是電力監控系統安全性研究的重要組成部分，是建設完善安全體系的先決條件和檢驗基石，還需更深入的研究和探索。

作者簡(jiǎn)介

梁寧波（1986-），河南人，本科，現任北京珞安科技解決方案經(jīng)理、CSA云安全聯(lián)盟云安全標準委員會(huì )專(zhuān)家，熟悉安全標準體系和電力行業(yè)技術(shù)架構、安全隱患及誘發(fā)的因素。主要研究方向是云計算、工業(yè)控制安全、網(wǎng)絡(luò )安全等領(lǐng)域。

參考文獻：

[1] 張盛杰, 顧昊旻, 李祉岐, 等. 電力工業(yè)控制系統信息安全風(fēng)險分析與應對方案[J]. 電力信息與通信技術(shù), 2017, 15 ( 4 ) : 96 - 102.

[2] Tony Flick Justin Morehouse著(zhù), 徐震, 于愛(ài)民, 劉韌譯. 智能電網(wǎng)安全——下一代電網(wǎng)安全[M]. 北京: 國防工業(yè)出版社, 2013, 1.

[3] 王順江, 紀翔, 劉嘉明, 等. 電力監控系統網(wǎng)絡(luò )安全技術(shù)[M]. 北京: 中國電力出版社, 2018, 6.

[4] 應歡, 劉松華, 韓麗芳, 等. 電力工業(yè)控制系統安全技術(shù)綜述[J]. 電力信息與通信技術(shù), 2018, 16（3）: 56 - 63.

[5] 宋博宇. 模糊測試與符號執行相結合的漏洞發(fā)現技術(shù)研究[D]. 哈爾濱工業(yè)大學(xué), 2017.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》