袁曉舒，桑梓 中國東方電氣集團有限公司中央研究院

王東 北京啟明星辰信息安全技術(shù)有限公司

1　概述

電力行業(yè)作為國家關(guān)鍵基礎設施，控制系統的網(wǎng)絡(luò )安全關(guān)系到國民經(jīng)濟的正常運行，因而非常重要。國家對電力行業(yè)的網(wǎng)絡(luò )安全非常重視，在網(wǎng)絡(luò )安全等級保護的基礎上，《電力監控系統安全防護規定》、《電力監控系統安全防護總體方案》對電力行業(yè)的網(wǎng)絡(luò )安全工作提出了具體的要求[1]。

遵照“縱向加密、橫向隔離”的原則，電力監控系統的邊界防護已經(jīng)較為完善，進(jìn)一步增強控制系統內部的安全防護，找出控制系統內部存在的網(wǎng)絡(luò )安全漏洞并進(jìn)行修補應成為未來(lái)的一項重點(diǎn)工作。該項工作對研究平臺、研究人員和研究資金的投入要求較高，因此這方面研究開(kāi)發(fā)工作的進(jìn)展和用戶(hù)的需求還有很大距離。中國東方電氣集團有限公司中央研究院從自身業(yè)務(wù)需求出發(fā)，結合電網(wǎng)行業(yè)的實(shí)際需要，在過(guò)去幾年對電站和電網(wǎng)控制系統的網(wǎng)絡(luò )安全漏洞進(jìn)行了初步的研究，對發(fā)現電力監控系統網(wǎng)絡(luò )安全未知漏洞后的處理進(jìn)行了初步的探索。

2　電站控制系統網(wǎng)絡(luò )安全漏洞研究

2.1　火電控制系統網(wǎng)絡(luò )安全漏洞

火力發(fā)電目前是我國的主要電力來(lái)源，通過(guò)對火電控制系統的網(wǎng)絡(luò )安全漏洞研究發(fā)現，火電控制系統的網(wǎng)絡(luò )安全脆弱性不容忽視。

火電控制系統一般是由協(xié)調控制系統（CCS）、模擬量控制系統（ M C S ） 、鍋爐安全監控系統（FSSS）、汽輪機數字電液調節系統（DEH）、汽輪機保護系統（TSS）、順序控制系統（SCS）、電氣控制系統（ECS）、旁路控制系統（BCS）、數據采集系統（DAS）等部分構成[2-3]。隨著(zhù)電廠(chǎng)控制一體化技術(shù)的發(fā)展，新建電廠(chǎng)項目和已有電廠(chǎng)的改造項目逐漸采用集散控制系統（DCS）實(shí)現機、爐、電的一體化控制，以覆蓋CCS、SCS、DEH等系統所實(shí)現的功能[4-5]。部分項目進(jìn)一步對控制系統和保護系統進(jìn)行了一體化改造[6]。

DCS系統主要由過(guò)程級、操作級和管理級構成。過(guò)程級主要包括分布式控制器、過(guò)程儀表、執行機構、I/O單元等，操作級主要包括操作員站、工程師站、歷史站、控制服務(wù)器等，管理級主要包括生產(chǎn)管理系統等[7]。DCS最小系統如圖1所示。

圖1 DCS最小系統

DCS采用現場(chǎng)總線(xiàn)技術(shù)進(jìn)行通信，對通信速率和實(shí)時(shí)性要求高。隨著(zhù)以太網(wǎng)技術(shù)的發(fā)展，DCS逐漸采用工業(yè)以太網(wǎng)替代傳統的現場(chǎng)總線(xiàn)實(shí)現各個(gè)分布式控制器之間、控制器與操作站之間的實(shí)時(shí)通信，例如IEEE1588、Profinet、Ethernet/IP等。同時(shí)，計算機技術(shù)的發(fā)展助推了DCS操作站和控制器的更新?lián)Q代。主流DCS系統的操作站多采用基于Windows的操作系統，分布式控制器多采用基于Vxworks或定制Linux的實(shí)時(shí)操作系統。DCS系統的組態(tài)軟件采用基于標準庫的常用編程語(yǔ)言實(shí)現，例如C、Java等。因此，基于DCS技術(shù)的火電控制系統可能存在諸多安全隱患。

通過(guò)對多個(gè)品牌的國內和國外火電控制系統進(jìn)行漏洞掃描發(fā)現，除了我們已經(jīng)熟知的控制系統操作員站存在大量已知網(wǎng)絡(luò )安全漏洞，如圖2所示，控制系統自身也存在不少已知網(wǎng)絡(luò )安全漏洞。

圖2 DCS操作站漏洞統計

除了已知網(wǎng)絡(luò )安全漏洞，火電控制系統還普遍存在未知網(wǎng)絡(luò )安全漏洞，如：弱口令漏洞、拒絕服務(wù)漏洞、訪(fǎng)問(wèn)控制漏洞、溢出漏洞等。這些漏洞大多沒(méi)有被公布到CVE、CNVD、CNNVD等漏洞庫成為已知漏洞，因而也就沒(méi)有漏洞修補方案和對應的防范措施，很容易被惡意利用。

為驗證火電控制系統漏洞的危害，在實(shí)驗室環(huán)境中，我們以某火電廠(chǎng)汽輪機組實(shí)際控制系統、控制邏輯、汽輪機數學(xué)模型搭建了火電汽輪機組的控制系統仿真測試平臺，利用該控制系統的一個(gè)未知網(wǎng)絡(luò )安全漏洞對汽輪機電液調速系統進(jìn)行了攻擊。攻擊導致汽輪機飛車(chē)，但由于控制系統被攻擊，監控界面上一切正常，如圖3所示。

圖3 網(wǎng)絡(luò )攻擊導致汽輪機飛車(chē)事故的仿真測試

2.2　風(fēng)電控制系統網(wǎng)絡(luò )安全漏洞

隨著(zhù)新能源發(fā)電在電力系統中占比的增加，風(fēng)電控制系統的網(wǎng)絡(luò )安全漏洞正在成為電力系統新的網(wǎng)絡(luò )安全風(fēng)險來(lái)源。

風(fēng)電控制系統的結構較為簡(jiǎn)單，主要包括就地控制站和SCADA系統，其中，就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同于火電控制系統的分布式控制方法，風(fēng)電控制系統常常采用集中式控制方法，以可編程邏輯控制器PLC作為控制系統的主體，在集控室以少量操作站搭載SCADA系統作為遠程監控手段，實(shí)現風(fēng)力發(fā)電機組的監視和控制功能[11]。

借助計算機技術(shù)和嵌入式技術(shù)的發(fā)展，PLC的硬件架構逐步向Intel x86和ARM架構靠攏，操作系統也逐漸統一成Vxworks、Linux、WinCE等主流操作系統[12]。同時(shí)，SCADA系統的軟件平臺亦逐漸統一為基于Windows或Linux商業(yè)發(fā)布版本的操作系統。因此，風(fēng)電控制系統的網(wǎng)絡(luò )安全問(wèn)題日益嚴重。

通過(guò)對主流風(fēng)電控制系統產(chǎn)品的研究發(fā)現，風(fēng)電控制系統也存在弱口令漏洞、拒絕服務(wù)漏洞、訪(fǎng)問(wèn)控制漏洞、溢出漏洞等網(wǎng)絡(luò )安全漏洞，由于某些風(fēng)電控制系統和風(fēng)電SCADA還采用了B/S架構，因此還存在一些B/S系統自身的網(wǎng)絡(luò )安全風(fēng)險。從CVE、CNVD、CNNVD查詢(xún)結果看，風(fēng)電控制系統的主流產(chǎn)品公開(kāi)的網(wǎng)絡(luò )安全漏洞不多，而從我們的實(shí)際研究中可以發(fā)現，風(fēng)電控制系統中存在的大量未知網(wǎng)絡(luò )安全漏洞，這些漏洞能夠造成諸如風(fēng)機停轉等多種安全事故。

為驗證風(fēng)電控制系統漏洞的危害，在實(shí)驗室環(huán)境中，我們以某風(fēng)電廠(chǎng)風(fēng)力發(fā)電機實(shí)際控制系統、控制邏輯、風(fēng)力發(fā)電機數學(xué)模型搭建了風(fēng)電控制系統仿真測試平臺，利用該控制系統的一個(gè)未知網(wǎng)絡(luò )安全漏洞對風(fēng)力發(fā)電機主控進(jìn)行了攻擊。攻擊可以造成風(fēng)力發(fā)電機立即不受控制的停止運轉，如圖4所示。

圖4 正常運行的風(fēng)機不受控停機

2.3　智能變電站控制系統網(wǎng)絡(luò )安全漏洞

除了發(fā)電廠(chǎng)控制系統存在網(wǎng)絡(luò )安全漏洞，電網(wǎng)控制系統同樣存在網(wǎng)絡(luò )安全漏洞。以智能變電站為例，基于IEC61850協(xié)議的通信系統、控制保護設備、SCADA系統均存在網(wǎng)絡(luò )安全隱患。

智能變電站為典型的“三層兩網(wǎng)”結構：站控層、間隔層、過(guò)程層，站控層網(wǎng)絡(luò )、過(guò)程層網(wǎng)絡(luò )[13-14]。過(guò)程層的設備是直接面向電力系統的一次設備，主要是智能終端和合并單元，部署在一次設備旁。過(guò)程層設備主要采用IEC61850 Goose和SV協(xié)議與間隔層設備進(jìn)行數據通信。間隔層設備主要包括測控裝置、保護裝置、故障錄波設備、網(wǎng)絡(luò )報文分析設備。站控層包括時(shí)間同步系統、監控站和遠動(dòng)測控站。站控層與間隔層設備之間通過(guò)基于TCP/IP的IEC61850 MMS協(xié)議進(jìn)行數據通信。

智能變電站控制系統自身存在的信息安全漏洞是控制系統信息安全脆弱性的主要來(lái)源，這些漏洞主要針對間隔層和過(guò)程層的各類(lèi)設備和終端，包括嵌入式操作系統漏洞、嵌入式應用軟件漏洞等。研究表明，智能變電站控制系統存在的未知網(wǎng)絡(luò )安全漏洞可以被利用進(jìn)行攻擊，攻擊可以造成刀閘不受控的開(kāi)閉，對電網(wǎng)的穩定運行造成很大危害，如圖5所示。

圖5 智能變電站刀閘分合閘不受控

2.4　電力監控系統網(wǎng)絡(luò )安全漏洞挖掘方法

電力監控系統的網(wǎng)絡(luò )安全漏洞挖掘可以分為基于終端軟件分析的漏洞挖掘和基于協(xié)議測試的漏洞挖掘等。終端軟件包括各種業(yè)務(wù)軟件，比如SCADA、HMI、組態(tài)軟件等，也包括基礎軟件，比如SSH、Telnet、FTP、HTTP等，還包括實(shí)時(shí)操作系統，比如Vxworks、定制Linux等。針對SCADA、HMI等直接運行在Windows或Linux類(lèi)通用操作系統的上位機程序，除了滲透測試，通常還采用行為分析和動(dòng)態(tài)調試方法進(jìn)行漏洞挖掘。針對電力工控設備中內嵌的實(shí)時(shí)操作系統和軟件，通常采用靜態(tài)反匯編和程序分析等方法進(jìn)行漏洞挖掘。

電力監控系統的協(xié)議包括工控專(zhuān)用協(xié)議和工業(yè)以太網(wǎng)中的通用協(xié)議，采用模糊測試方法能夠實(shí)現對電力工控設備網(wǎng)絡(luò )協(xié)議的自動(dòng)化漏洞挖掘。模糊測試在通用協(xié)議測試中已經(jīng)有成熟的應用，比如SPIKE、PEACH，能直接用于對工業(yè)以太網(wǎng)中的通用協(xié)議進(jìn)行漏洞挖掘。針對專(zhuān)用協(xié)議，需要根據圖6所示的模糊測試測準框架對現有應用進(jìn)行改造，以適應電力工控協(xié)議的規范和工控設備的特性。

圖6 模糊測試標準框架

針對某電力系統控制設備，我們基于終端軟件分析和協(xié)議模糊測試，發(fā)現了多個(gè)未知漏洞。利用這些漏洞，攻擊者可以完全地控制設備，造成嚴重后果。

3　電力監控系統網(wǎng)絡(luò )安全漏洞處理

未知網(wǎng)絡(luò )安全漏洞的發(fā)現只是開(kāi)始，完成漏洞的修補才是終點(diǎn)。從實(shí)踐中我們發(fā)現，當前的工業(yè)控制系統網(wǎng)絡(luò )安全漏洞發(fā)現、上報、通知、響應、修補的全流程工作還有待進(jìn)一步完善。

目前，在發(fā)現電力監控系統的網(wǎng)絡(luò )安全問(wèn)題后，一般的處理流程是上報漏洞平臺，有的漏洞平臺在收到通報后會(huì )通知廠(chǎng)商進(jìn)行處理，在廠(chǎng)商推出補丁后進(jìn)行公布，有的漏洞平臺只收集整理上報的漏洞信息，并不跟蹤廠(chǎng)商對漏洞的修補。同時(shí)我集團以通報的形式下發(fā)到使用該控制系統的相關(guān)集團內企業(yè)，這些企業(yè)會(huì )聯(lián)系控制系統的生產(chǎn)廠(chǎng)商，在得到控制系統廠(chǎng)商的修補補丁后，由企業(yè)完成測試和最終用戶(hù)如發(fā)電企業(yè)的設備補丁升級，從實(shí)踐的情況看，由企業(yè)聯(lián)系控制系統廠(chǎng)商得到反饋和修補補丁的速度會(huì )快于漏洞平臺。

這樣的處理流程還存在著(zhù)一些不足：

（1）電力監控系統關(guān)鍵設備使用的控制系統出現的未知網(wǎng)絡(luò )安全漏洞是否應報送給國外漏洞平臺存在爭論；

（2）電力監控系統系統關(guān)鍵設備使用的控制系統出現的未知網(wǎng)絡(luò )安全漏洞報送國內漏洞平臺后的處理速度較慢，處理流程尚未形成完全的閉環(huán)；

（3）一般網(wǎng)絡(luò )安全研究人員發(fā)現電力監控系統關(guān)鍵設備使用的控制系統未知網(wǎng)絡(luò )安全漏洞在處理流程中，難以讓電力監控系統供應鏈中的企業(yè)及時(shí)得到信息；

（4）現有的處理流程中，電力監控系統供應鏈中的各個(gè)角色還沒(méi)有完全進(jìn)入到處理流程中，這使得處理流程沒(méi)有完全形成閉環(huán)。

4　結語(yǔ)

電力監控系統的網(wǎng)絡(luò )安全是電力行業(yè)安全穩定運行的關(guān)鍵，是國家關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全的重要組成部分。通過(guò)幾年發(fā)現、驗證、通報、修補電力監控系統未知信息安全漏洞的研究和實(shí)踐工作，我們認識到電力監控系統還存在未知信息安全漏洞等待我們去進(jìn)一步發(fā)現和修補，這項工作還需要電力行業(yè)主管部門(mén)、生產(chǎn)企業(yè)、工程公司、用戶(hù)單位等都參與進(jìn)來(lái)，進(jìn)一步完善電力監控系統信息安全。

作者簡(jiǎn)介

袁曉舒，研究員，碩士，中國自動(dòng)化學(xué)會(huì )工控信息安全專(zhuān)委會(huì )委員，現就職于中國東方電氣集團有限公司中央研究院，負責工控信息安全實(shí)驗室，先后參與多個(gè)工控信息安全國家標準制定，擔任企業(yè)、省和國家多個(gè)工業(yè)控制系統信息安全科研項目負責人，目前專(zhuān)注于電力系統發(fā)電側的控制系統信息安全研究。

參考文獻：

[1] 國家發(fā)展改革委員會(huì ). 發(fā)改委14號令 電力監控系統安全防護規定[Z]. 2014.

[2] 吳季蘭. 汽輪機設備及系統[J]. 北京: 中國電力, 1998.

[3] 欒英, 發(fā)電廠(chǎng), 萬(wàn)云, 等. 火電廠(chǎng)過(guò)程控制[M]. 中國電力出版社, 2000.

[4] 范學(xué)福, 桑超. 石橫電廠(chǎng)# 3 機組 DCS 控制系統一體化改造換型淺析[C]. 全國火電 300MW 級機組能效對標及競賽第四十二屆年會(huì )論文集, 2013.

[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠(chǎng)主, 輔機 DCS 一體化控制的設計分析[J]. 內蒙古電力技術(shù), 2011, 29(3): 11 - 14.

[6] 徐華艷. 大型機組控制系統改造方案及實(shí)施[J]. 電子技術(shù)與軟件工程, 2014 (19): 117 - 117.

[7] 王常力, 羅安. 分布式控制系統 (DCS) 設計與應用實(shí)例[M]. 2004.

[8] 葉杭冶. 風(fēng)力發(fā)電機組的控制技術(shù)[M]. 機械工業(yè)出版社, 2002.

[9] 紹禹. 風(fēng)力發(fā)電機設計與運行維護[M]. 中國電力出版社, 2003.

[10] 彭滋忠, 鄧秋娥. 永磁直驅風(fēng)電機組控制系統綜述[J]. 水電站機電技術(shù), 2015, 38(8): 31 - 35.

[11] 黃建鵬. 論述 PLC 的風(fēng)電機組控制系統設計[J]. 電子技術(shù)與軟件工程, 2015 (11): 171.

[12] 李?lèi)?ài)英, 張鵬. 基于西門(mén)子 S7-300 PLC 的風(fēng)電機組專(zhuān)用變槳距控制系統設計[J]. 自動(dòng)化技術(shù)與應用, 2011 (7): 45 - 48.

[13] 吳在軍, 胡敏強. 基于 IEC61850 標準的變電站自動(dòng)化系統研究[J]. 電網(wǎng)技術(shù), 2003, 27(10): 61 - 65.

[14] 李孟超, 王允平, 李獻偉, 等. 智能變電站及技術(shù)特點(diǎn)分析[J]. 電力系統保護與控制, 2010 (18): 59 - 62.

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯