袁曉舒 桑梓 楊平 中國東方電氣集團中央研究院

摘要：隨著(zhù)傳統電廠(chǎng)向數字化電廠(chǎng)的演進(jìn)，電廠(chǎng)控制系統未來(lái)面臨更加復雜的運行環(huán)境，來(lái)自網(wǎng)絡(luò )的攻擊成為電廠(chǎng)控制系統面臨的新威脅。本文通過(guò)對以汽輪機電液調速系統（DEH）為代表的電廠(chǎng)控制系統進(jìn)行網(wǎng)絡(luò )攻擊測試，分析了不同類(lèi)型的網(wǎng)絡(luò )攻擊對控制系統的影響。

關(guān)鍵詞：電廠(chǎng)控制系統；網(wǎng)絡(luò )攻擊；漏洞

電廠(chǎng)控制系統的安全穩定運行不僅關(guān)系到電廠(chǎng)本身的安全穩定運行，也會(huì )影響到電網(wǎng)的安全穩定運行[1]。先進(jìn)的計算機技術(shù)和通信技術(shù)讓以集散控制系統（DCS）為代表的電廠(chǎng)控制系統具備了與信息系統互聯(lián)互通的能力，直接或間接實(shí)現了外部網(wǎng)絡(luò )對物理對象的訪(fǎng)問(wèn)[2-4]。來(lái)自外部的網(wǎng)絡(luò )安全攻擊成為影響電廠(chǎng)控制系統的安全穩定運行的新威脅。已經(jīng)發(fā)生過(guò)的電廠(chǎng)安全事故[5]說(shuō)明，對電廠(chǎng)控制系統的網(wǎng)絡(luò )安全攻擊能夠使電廠(chǎng)從電網(wǎng)解列，直接威脅電網(wǎng)的安全穩定運行，并造成嚴重的經(jīng)濟損失。

目前，國內對電廠(chǎng)控制系統網(wǎng)絡(luò )攻擊方面的研究尚處于起步階段[6-7]。在這個(gè)背景下，現有的電廠(chǎng)控制系統能否抵御來(lái)自外部網(wǎng)絡(luò )的攻擊以及來(lái)自外部的網(wǎng)絡(luò )攻擊能夠在多大程度上對業(yè)務(wù)造成危害是必須回答的兩個(gè)問(wèn)題。因此，通過(guò)對實(shí)際DCS及其組件的網(wǎng)絡(luò )攻擊測試是評估電廠(chǎng)控制系統網(wǎng)絡(luò )安全攻擊危害的重要途徑。本文通過(guò)對多個(gè)國內外廠(chǎng)商的電廠(chǎng)控制系統進(jìn)行網(wǎng)絡(luò )攻擊測試，以DEH為對象分析了電廠(chǎng)控制系統在遭遇網(wǎng)絡(luò )攻擊時(shí)可能對業(yè)務(wù)的影響。

1　概述

為了進(jìn)一步了解網(wǎng)絡(luò )攻擊對電廠(chǎng)控制系統的威脅，中國東方電氣集團中央研究院選取了在發(fā)電行業(yè)廣泛應用的國內、外知名的控制系統廠(chǎng)商控制系統產(chǎn)品，搭建了DEH（汽輪機電液調速系統）網(wǎng)絡(luò )安全攻擊環(huán)境，進(jìn)行了初步的研究。

研究采用了SYSFLOOD、UDPFLOOD模擬一般網(wǎng)絡(luò )攻擊，MODBUS TCP特殊指令模擬APT攻擊。

2　攻擊測試

2.1　以太網(wǎng)模擬攻擊

測試通過(guò)采用專(zhuān)門(mén)軟件對DEH的SYSFLOOD、UPDFLOOD攻擊來(lái)模擬控制系統遭遇的一般網(wǎng)絡(luò )攻擊。

2.1.1　SYSFLOOD攻擊

SYSFLOOD是一種廣為人知的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿(mǎn)負荷或內存不足）的攻擊方式。

通過(guò)對某廠(chǎng)商控制系統產(chǎn)品進(jìn)行SYSFLOOD攻擊可以模擬該控制系統在遭遇常見(jiàn)的局域網(wǎng)攻擊時(shí)的狀態(tài)。

當采用單臺PC機對該控制系統的一個(gè)控制器進(jìn)行SYSFLOOD攻擊時(shí)，在工程師站的觀(guān)測軟件上，可以看到被控制器的CPU占用率快速上升，并出現紅色警示。

采用兩臺PC機增加對該控制系統的一個(gè)控制器的SYSFLOOD攻擊量后，會(huì )使得控制器重啟。通過(guò)進(jìn)一步的研究發(fā)現，當較小的攻擊流量可以使控制系統的網(wǎng)絡(luò )通信中斷，進(jìn)而使得電廠(chǎng)監控畫(huà)面上汽輪機的狀態(tài)參數不再發(fā)生變化，也就是說(shuō)，這時(shí)控制人員無(wú)法通過(guò)了解汽輪機的實(shí)時(shí)運行狀態(tài)，而較大的攻擊流量會(huì )使得DEH無(wú)法工作，從而造成不能對汽輪機進(jìn)行正?？刂?。

2.1.2　UDPFLOOD攻擊

UDPFLOOD是流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線(xiàn)路上的骨干設備如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP的端口提供相關(guān)服務(wù)的話(huà)，那么就可針對相關(guān)的服務(wù)進(jìn)行攻擊。

UDPFLOOD攻擊開(kāi)始后，也在工程師站的觀(guān)測軟件上，可以看到被攻擊方的CPU占用率快速上升，并出現紅色警示。在工程師站上執行ping命令，測試工程師站與DEH系統是否正常通信，結果工程師站無(wú)法ping通DEH。

和SYSFLOOD攻擊不同，UDPFLOOD攻擊只能讓網(wǎng)絡(luò )通信中斷，并不能夠對控制器產(chǎn)生實(shí)質(zhì)性的影響，在攻擊過(guò)程中，控制器中的控制邏輯始終生效，說(shuō)明這種攻擊方式不能對汽輪機控制的實(shí)際業(yè)務(wù)產(chǎn)生影響。

2.1.3　延伸測試

對另一廠(chǎng)商的控制系統同樣進(jìn)行上述兩項攻擊測試。

SYSFLOOD攻擊開(kāi)始后，在工程師站的觀(guān)測軟件上，DEH系統上出現故障報警。

在工程師站上執行ping命令，測試工程師站與DEH系統是否正常通信，結果工程師站無(wú)法ping通，如圖1所示。

圖1

UDP Flood攻擊開(kāi)始后，在工程師站的觀(guān)測軟件上，DEH系統上出現報警。

在工程師站上執行ping命令，測試工程師站與DEH系統是否正常通信，結果工程師站無(wú)法ping通。

2.2　MODBUS TCP攻擊

2.2.1　MODBUS TCP特定功能碼攻擊

采用專(zhuān)門(mén)工具可以對某廠(chǎng)商控制系統進(jìn)行MODBUS TCP攻擊，向DEH發(fā)送29功能碼的數據包，如圖2所示。

圖2

攻擊開(kāi)始后，在工程師站的觀(guān)測軟件上，可以看到DEH系統離線(xiàn)，從連接控制器的顯示器上可以看到，DEH系統重啟，如圖3所示。

圖3

2.2.2　MODBUS TCP漏洞攻擊

采用專(zhuān)門(mén)工具針對某廠(chǎng)商控制系統的信息安全漏洞發(fā)送特定的MODBUS TCP數據包如圖4所示。

圖4

在工程師站的觀(guān)測軟件上，可以看到DEH系統的CAN總線(xiàn)通訊中斷。

2.2.3　延伸測試

采用專(zhuān)門(mén)工具針對某廠(chǎng)商控制系統的信息安全漏洞對DEH的兩個(gè)控制器發(fā)送特定MODBUS TCP數據包，會(huì )導致兩個(gè)控制器都處于離線(xiàn)狀態(tài)，將該DEH的數字量輸出接到數字示波器上可以發(fā)現，輸出信號波形圖為一條直線(xiàn)如圖5所示。

更換另一控制系統廠(chǎng)商產(chǎn)品進(jìn)行測試，可以得到同樣的結果。此時(shí)，DEH已經(jīng)無(wú)法對汽輪機進(jìn)行正?？刂?。

3　總結

多數的工業(yè)控制系統缺乏抗網(wǎng)絡(luò )安全攻擊的設計，大流量的網(wǎng)絡(luò )安全攻擊就可能會(huì )導致控制系統無(wú)法正常工作，但在小流量情況下控制系統還能夠保持對被控設備的控制。

部分控制系統產(chǎn)品在設計時(shí)考慮了信息安全，能夠抵御一般的網(wǎng)絡(luò )攻擊，這說(shuō)明工業(yè)控制系統自身安全性提升能夠起到一定的作用。

工業(yè)控制系統采用的部分協(xié)議自身存在著(zhù)信息安全風(fēng)險，特定的功能碼會(huì )對控制系統的正常運行產(chǎn)生影響。

圖5

工業(yè)控制系統的信息安全漏洞被利用會(huì )導致控制系統不能正常工作進(jìn)而失去對被控設備的控制，部分漏洞還可能導致攻擊者實(shí)現對控制系統的利用。

電廠(chǎng)的控制系統內部也應加強信息安全防御，以避免控制系統遭遇網(wǎng)絡(luò )攻擊后失去對發(fā)電設備的控制能力。

作者簡(jiǎn)介

袁曉舒（1973-），男，江西余干人，工程師，碩士，現就職于中國東方電氣集團中央研究院。曾在中科網(wǎng)威、億陽(yáng)信通、浪潮集團等公司從事信息安全工作，先后擔任入侵檢測、防火墻、4A等產(chǎn)品的產(chǎn)品經(jīng)理和技術(shù)部經(jīng)理。后加入東方電氣中央研究院研究工業(yè)控制系統信息安全，先后擔任企業(yè)、省和國家多個(gè)工業(yè)控制系統信息安全科研項目負責人，目前正專(zhuān)注于電力系統發(fā)電側的控制系統信息安全研究。

參考文獻：

[1] 湯奕, 陳倩, 李夢(mèng)雅, 等. 電力信息物理融合系統環(huán)境中的網(wǎng)絡(luò )攻擊研究綜述[J]. 電力系統自動(dòng)化, 2016, 40 (17) : 59 - 69.

[2] 許寧. DCS 在電廠(chǎng)控制系統的應用及展望[J]. 電站系統工程, 2016 (1) : 60 - 61.

[3] 周俊霞, 邊立秀, 王麗君. 火電廠(chǎng)熱工控制系統的現狀及展望[J]. 電站系統工程, 2003, 19 (5) : 53 - 55.

[4] 葛志偉, 劉戰禮, 周保中, 等. 火力發(fā)電廠(chǎng)數字化發(fā)展現狀以及向智能化電廠(chǎng)轉型分析[J]. 發(fā)電與空調, 2015, (5) : 45 - 47.

[5] 倪明, 顏詰, 柏瑞, 等. 電力系統防惡意信息攻擊的思考[J]. 電力系統自動(dòng)化, 2016, 40 (5).

[6] 張堃, 張培建, 吳建國, 等. 大型控制系統信息安全評估研究[J]. 控制工程, 2014, 21 (4) : 524.

[7] 衛志農, 陳和升, 倪明, 等. 電力信息物理系統中惡性數據定義、構建與防御挑戰[J]. 電力系統自動(dòng)化, 2016, 40 (17) : 70 - 78.

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第三輯