袁曉舒, 桑梓 中國東方電氣集團有限公司中央研究院
王東 北京啟明星辰資訊安全技術有限公司
1 概述
電力行業作為國家關鍵基礎設施, 控制系統的網路安全關係到國民經濟的正常運行, 因而非常重要。 國家對電力行業的網路安全非常重視, 在網路安全等級保護的基礎上, 《電力監控系統安全防護規定》、《電力監控系統安全防護總體方案》對電力行業的網路安全工作提出了具體的要求[1]。
遵照“縱向加密、橫向隔離”的原則, 電力監控系統的邊界防護已經較為完善, 進一步增強控制系統內部的安全防護,
2 電站控制系統網路安全性漏洞研究
2.1 火電控制系統網路安全性漏洞
火力發電目前是我國的主要電力來源, 通過對火電控制系統的網路安全性漏洞研究發現,
火電控制系統一般是由協調控制系統(CCS)、類比量控制系統( M C S ) 、鍋爐安全監控系統(FSSS)、汽輪機數位電液調節系統(DEH)、汽輪機保護系統(TSS)、順序控制系統(SCS)、電氣控制系統(ECS)、旁路控制系統(BCS)、資料獲取系統(DAS)等部分構成[2-3]。 隨著電廠控制一體化技術的發展, 新建電廠項目和已有電廠的改造項目逐漸採用集散控制系統(DCS)實現機、爐、電的一體化控制, 以覆蓋CCS、SCS、DEH等系統所實現的功能[4-5]。 部分專案進一步對控制系統和保護系統進行了一體化改造[6]。
DCS系統主要由過程級、操作級和管理級構成。 過程級主要包括分散式控制器、過程儀錶、執行機構、I/O單元等, 操作級主要包括操作員站、工程師站、歷史站、控制伺服器等,
圖1 DCS最小系統
DCS採用現場匯流排技術進行通信, 對通信速率和即時性要求高。 隨著乙太網技術的發展, DCS逐漸採用工業乙太網替代傳統的現場匯流排實現各個分散式控制器之間、控制器與操作站之間的即時通信,
通過對多個品牌的國內和國外火電控制系統進行漏洞掃描發現, 除了我們已經熟知的控制系統操作員站存在大量已知網路安全性漏洞, 如圖2所示, 控制系統自身也存在不少已知網路安全性漏洞。
圖2 DCS操作站漏洞統計
除了已知網路安全性漏洞, 火電控制系統還普遍存在未知網路安全性漏洞, 如:弱口令漏洞、拒絕服務漏洞、存取控制漏洞、溢出漏洞等。 這些漏洞大多沒有被公佈到CVE、CNVD、CNNVD等漏洞庫成為已知漏洞, 因而也就沒有漏洞修補方案和對應的防範措施, 很容易被惡意利用。
為驗證火電控制系統漏洞的危害, 在實驗室環境中, 我們以某火電廠汽輪機組實際控制系統、控制邏輯、汽輪機數學模型搭建了火電汽輪機組的控制系統模擬測試平臺, 利用該控制系統的一個未知網路安全性漏洞對汽輪機電液調速系統進行了攻擊。攻擊導致汽輪機飛車,但由於控制系統被攻擊,監控介面上一切正常,如圖3所示。
圖3 網路攻擊導致汽輪機飛車事故的模擬測試
2.2 風電控制系統網路安全性漏洞
隨著新能源發電在電力系統中占比的增加,風電控制系統的網路安全性漏洞正在成為電力系統新的網路安全風險來源。
風電控制系統的結構較為簡單,主要包括就地控制站和SCADA系統,其中,就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同於火電控制系統的分散式控制方法,風電控制系統常常採用集中式控制方法,以可程式設計邏輯控制器PLC作為控制系統的主體,在集控室以少量操作站搭載SCADA系統作為遠端監控手段,實現風力發電機組的監視和控制功能[11]。
借助電腦技術和嵌入式技術的發展,PLC的硬體架構逐步向Intel x86和ARM架構靠攏,作業系統也逐漸統一成Vxworks、Linux、WinCE等主流作業系統[12]。同時,SCADA系統的軟體平臺亦逐漸統一為基於Windows或Linux商業發佈版本的作業系統。因此,風電控制系統的網路安全問題日益嚴重。
通過對主流風電控制系統產品的研究發現,風電控制系統也存在弱口令漏洞、拒絕服務漏洞、存取控制漏洞、溢出漏洞等網路安全性漏洞,由於某些風電控制系統和風電SCADA還採用了B/S架構,因此還存在一些B/S系統自身的網路安全風險。從CVE、CNVD、CNNVD查詢結果看,風電控制系統的主流產品公開的網路安全性漏洞不多,而從我們的實際研究中可以發現,風電控制系統中存在的大量未知網路安全性漏洞,這些漏洞能夠造成諸如風機停轉等多種安全事故。
為驗證風電控制系統漏洞的危害,在實驗室環境中,我們以某風電廠風力發電機實際控制系統、控制邏輯、風力發電機數學模型搭建了風電控制系統模擬測試平臺,利用該控制系統的一個未知網路安全性漏洞對風力發電機主控進行了攻擊。攻擊可以造成風力發電機立即不受控制的停止運轉,如圖4所示。
圖4 正常運行的風機不受控停機
2.3 智慧變電站控制系統網路安全性漏洞
除了發電廠控制系統存在網路安全性漏洞,電網控制系統同樣存在網路安全性漏洞。以智慧變電站為例,基於IEC61850協定的通信系統、控制保護設備、SCADA系統均存在網路安全隱患。
智慧變電站為典型的“三層兩網”結構:站控層、間隔層、過程層,站控層網路、過程層網路[13-14]。過程層的設備是直接面向電力系統的一次設備,主要是智慧終端機和合併單元,部署在一次設備旁。過程層設備主要採用IEC61850 Goose和SV協定與間隔層設備進行資料通信。間隔層設備主要包括測控裝置、保護裝置、故障錄波設備、網路報文分析設備。站控層包括時間同步系統、監控站和遠動測控站。站控層與間隔層設備之間通過基於TCP/IP的IEC61850 MMS協議進行資料通信。
智慧變電站控制系統自身存在的資訊安全性漏洞是控制系統資訊安全脆弱性的主要來源,這些漏洞主要針對間隔層和過程層的各類設備和終端,包括嵌入式作業系統漏洞、嵌入式應用軟體漏洞等。研究表明,智慧變電站控制系統存在的未知網路安全性漏洞可以被利用進行攻擊,攻擊可以造成刀閘不受控的開閉,對電網的穩定運行造成很大危害,如圖5所示。
圖5 智能變電站刀閘分合閘不受控
2.4 電力監控系統網路安全性漏洞挖掘方法
電力監控系統的網路安全性漏洞挖掘可以分為基於終端軟體分析的漏洞挖掘和基於協定測試的漏洞挖掘等。終端軟體包括各種業務軟體,比如SCADA、HMI、組態軟體等,也包括基礎軟體,比如SSH、Telnet、FTP、HTTP等,還包括即時操作系統,比如Vxworks、定制Linux等。針對SCADA、HMI等直接運行在Windows或Linux類通用作業系統的上位機程式,除了滲透測試,通常還採用行為分析和動態調試方法進行漏洞挖掘。針對電力工控設備中內嵌的即時操作系統和軟體,通常採用靜態反彙編和程式分析等方法進行漏洞挖掘。
電力監控系統的協定包括工控專用協定和工業乙太網中的通用協定,採用模糊測試方法能夠實現對電力工控設備網路通訊協定的自動化漏洞挖掘。模糊測試在通用協議測試中已經有成熟的應用,比如SPIKE、PEACH,能直接用於對工業乙太網中的通用協定進行漏洞挖掘。針對專用協定,需要根據圖6所示的模糊測試測准框架對現有應用進行改造,以適應電力工控協定的規範和工控設備的特性。
圖6 模糊測試標準框架
針對某電力系統控制設備,我們基於終端軟體分析和協定模糊測試,發現了多個未知漏洞。利用這些漏洞,攻擊者可以完全地控制設備,造成嚴重後果。
3 電力監控系統網路安全性漏洞處理
未知網路安全性漏洞的發現只是開始,完成漏洞的修補才是終點。從實踐中我們發現,當前的工業控制系統網路安全性漏洞發現、上報、通知、回應、修補的全流程工作還有待進一步完善。
目前,在發現電力監控系統的網路安全問題後,一般的處理流程是上報漏洞平臺,有的漏洞平臺在收到通報後會通知廠商進行處理,在廠商推出補丁後進行公佈,有的漏洞平臺只收集整理上報的漏洞資訊,並不跟蹤廠商對漏洞的修補。同時我集團以通報的形式下發到使用該控制系統的相關集團內企業,這些企業會聯繫控制系統的生產廠商,在得到控制系統廠商的修補補丁後,由企業完成測試和最終使用者如發電企業的設備補丁升級,從實踐的情況看,由企業聯繫控制系統廠商得到回饋和修補補丁的速度會快於漏洞平臺。
這樣的處理流程還存在著一些不足:
(1)電力監控系統關鍵設備使用的控制系統出現的未知網路安全性漏洞是否應報送給國外漏洞平臺存在爭論;
(2)電力監控系統系統關鍵設備使用的控制系統出現的未知網路安全性漏洞報送國內漏洞平臺後的處理速度較慢,處理流程尚未形成完全的閉環;
(3)一般網路安全研究人員發現電力監控系統關鍵設備使用的控制系統未知網路安全性漏洞在處理流程中,難以讓電力監控系統供應鏈中的企業及時得到資訊;
(4)現有的處理流程中,電力監控系統供應鏈中的各個角色還沒有完全進入到處理流程中,這使得處理流程沒有完全形成閉環。
4 結語
電力監控系統的網路安全是電力行業安全穩定運行的關鍵,是國家關鍵資訊基礎設施網路安全的重要組成部分。通過幾年發現、驗證、通報、修補電力監控系統未知資訊安全性漏洞的研究和實踐工作,我們認識到電力監控系統還存在未知資訊安全性漏洞等待我們去進一步發現和修補,這項工作還需要電力行業主管部門、生產企業、工程公司、使用者單位等都參與進來,進一步完善電力監控系統資訊安全。
作者簡介
袁曉舒,研究員,碩士,中國自動化學會工控資訊安全專委會委員,現就職於中國東方電氣集團有限公司中央研究院,負責工控資訊安全實驗室,先後參與多個工控資訊安全國家標準制定,擔任企業、省和國家多個工業控制系統資訊安全科研專案負責人,目前專注於電力系統發電側的控制系統資訊安全研究。
參考文獻:
[1] 國家發展改革委員會. 發改委14號令 電力監控系統安全防護規定[Z]. 2014.
[2] 吳季蘭. 汽輪機設備及系統[J]. 北京: 中國電力, 1998.
[3] 欒英, 發電廠, 萬雲, 等. 火電廠程序控制[M]. 中國電力出版社, 2000.
[4] 範學福, 桑超. 石橫電廠# 3 機組 DCS 控制系統一體化改造換型淺析[C]. 全國火電 300MW 級機組能效對標及競賽第四十二屆年會論文集, 2013.
[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠主, 輔機 DCS 一體化控制的設計分析[J]. 內蒙古電力技術, 2011, 29(3): 11 - 14.
[6] 徐華豔. 大型機組控制系統改造方案及實施[J]. 電子技術與軟體工程, 2014 (19): 117 - 117.
[7] 王常力, 羅安. 分散式控制系統 (DCS) 設計與應用實例[M]. 2004.
[8] 葉杭冶. 風力發電機組的控制技術[M]. 機械工業出版社, 2002.
[9] 紹禹. 風力發電機設計與運行維護[M]. 中國電力出版社, 2003.
[10] 彭滋忠, 鄧秋娥. 永磁直驅風電機組控制系統綜述[J]. 水電站機電技術, 2015, 38(8): 31 - 35.
[11] 黃建鵬. 論述 PLC 的風電機組控制系統設計[J]. 電子技術與軟體工程, 2015 (11): 171.
[12] 李愛英, 張鵬. 基於西門子 S7-300 PLC 的風電機組專用變槳距控制系統設計[J]. 自動化技術與應用, 2011 (7): 45 - 48.
[13] 吳在軍, 胡敏強. 基於 IEC61850 標準的變電站自動化系統研究[J]. 電網技術, 2003, 27(10): 61 - 65.
[14] 李孟超, 王允平, 李獻偉, 等. 智慧變電站及技術特點分析[J]. 電力系統保護與控制, 2010 (18): 59 - 62.
摘自《工業控制系統資訊安全》專刊第四輯
轉載請注明出處
圖3 網路攻擊導致汽輪機飛車事故的模擬測試
2.2 風電控制系統網路安全性漏洞
隨著新能源發電在電力系統中占比的增加,風電控制系統的網路安全性漏洞正在成為電力系統新的網路安全風險來源。
風電控制系統的結構較為簡單,主要包括就地控制站和SCADA系統,其中,就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同於火電控制系統的分散式控制方法,風電控制系統常常採用集中式控制方法,以可程式設計邏輯控制器PLC作為控制系統的主體,在集控室以少量操作站搭載SCADA系統作為遠端監控手段,實現風力發電機組的監視和控制功能[11]。
借助電腦技術和嵌入式技術的發展,PLC的硬體架構逐步向Intel x86和ARM架構靠攏,作業系統也逐漸統一成Vxworks、Linux、WinCE等主流作業系統[12]。同時,SCADA系統的軟體平臺亦逐漸統一為基於Windows或Linux商業發佈版本的作業系統。因此,風電控制系統的網路安全問題日益嚴重。
通過對主流風電控制系統產品的研究發現,風電控制系統也存在弱口令漏洞、拒絕服務漏洞、存取控制漏洞、溢出漏洞等網路安全性漏洞,由於某些風電控制系統和風電SCADA還採用了B/S架構,因此還存在一些B/S系統自身的網路安全風險。從CVE、CNVD、CNNVD查詢結果看,風電控制系統的主流產品公開的網路安全性漏洞不多,而從我們的實際研究中可以發現,風電控制系統中存在的大量未知網路安全性漏洞,這些漏洞能夠造成諸如風機停轉等多種安全事故。
為驗證風電控制系統漏洞的危害,在實驗室環境中,我們以某風電廠風力發電機實際控制系統、控制邏輯、風力發電機數學模型搭建了風電控制系統模擬測試平臺,利用該控制系統的一個未知網路安全性漏洞對風力發電機主控進行了攻擊。攻擊可以造成風力發電機立即不受控制的停止運轉,如圖4所示。
圖4 正常運行的風機不受控停機
2.3 智慧變電站控制系統網路安全性漏洞
除了發電廠控制系統存在網路安全性漏洞,電網控制系統同樣存在網路安全性漏洞。以智慧變電站為例,基於IEC61850協定的通信系統、控制保護設備、SCADA系統均存在網路安全隱患。
智慧變電站為典型的“三層兩網”結構:站控層、間隔層、過程層,站控層網路、過程層網路[13-14]。過程層的設備是直接面向電力系統的一次設備,主要是智慧終端機和合併單元,部署在一次設備旁。過程層設備主要採用IEC61850 Goose和SV協定與間隔層設備進行資料通信。間隔層設備主要包括測控裝置、保護裝置、故障錄波設備、網路報文分析設備。站控層包括時間同步系統、監控站和遠動測控站。站控層與間隔層設備之間通過基於TCP/IP的IEC61850 MMS協議進行資料通信。
智慧變電站控制系統自身存在的資訊安全性漏洞是控制系統資訊安全脆弱性的主要來源,這些漏洞主要針對間隔層和過程層的各類設備和終端,包括嵌入式作業系統漏洞、嵌入式應用軟體漏洞等。研究表明,智慧變電站控制系統存在的未知網路安全性漏洞可以被利用進行攻擊,攻擊可以造成刀閘不受控的開閉,對電網的穩定運行造成很大危害,如圖5所示。
圖5 智能變電站刀閘分合閘不受控
2.4 電力監控系統網路安全性漏洞挖掘方法
電力監控系統的網路安全性漏洞挖掘可以分為基於終端軟體分析的漏洞挖掘和基於協定測試的漏洞挖掘等。終端軟體包括各種業務軟體,比如SCADA、HMI、組態軟體等,也包括基礎軟體,比如SSH、Telnet、FTP、HTTP等,還包括即時操作系統,比如Vxworks、定制Linux等。針對SCADA、HMI等直接運行在Windows或Linux類通用作業系統的上位機程式,除了滲透測試,通常還採用行為分析和動態調試方法進行漏洞挖掘。針對電力工控設備中內嵌的即時操作系統和軟體,通常採用靜態反彙編和程式分析等方法進行漏洞挖掘。
電力監控系統的協定包括工控專用協定和工業乙太網中的通用協定,採用模糊測試方法能夠實現對電力工控設備網路通訊協定的自動化漏洞挖掘。模糊測試在通用協議測試中已經有成熟的應用,比如SPIKE、PEACH,能直接用於對工業乙太網中的通用協定進行漏洞挖掘。針對專用協定,需要根據圖6所示的模糊測試測准框架對現有應用進行改造,以適應電力工控協定的規範和工控設備的特性。
圖6 模糊測試標準框架
針對某電力系統控制設備,我們基於終端軟體分析和協定模糊測試,發現了多個未知漏洞。利用這些漏洞,攻擊者可以完全地控制設備,造成嚴重後果。
3 電力監控系統網路安全性漏洞處理
未知網路安全性漏洞的發現只是開始,完成漏洞的修補才是終點。從實踐中我們發現,當前的工業控制系統網路安全性漏洞發現、上報、通知、回應、修補的全流程工作還有待進一步完善。
目前,在發現電力監控系統的網路安全問題後,一般的處理流程是上報漏洞平臺,有的漏洞平臺在收到通報後會通知廠商進行處理,在廠商推出補丁後進行公佈,有的漏洞平臺只收集整理上報的漏洞資訊,並不跟蹤廠商對漏洞的修補。同時我集團以通報的形式下發到使用該控制系統的相關集團內企業,這些企業會聯繫控制系統的生產廠商,在得到控制系統廠商的修補補丁後,由企業完成測試和最終使用者如發電企業的設備補丁升級,從實踐的情況看,由企業聯繫控制系統廠商得到回饋和修補補丁的速度會快於漏洞平臺。
這樣的處理流程還存在著一些不足:
(1)電力監控系統關鍵設備使用的控制系統出現的未知網路安全性漏洞是否應報送給國外漏洞平臺存在爭論;
(2)電力監控系統系統關鍵設備使用的控制系統出現的未知網路安全性漏洞報送國內漏洞平臺後的處理速度較慢,處理流程尚未形成完全的閉環;
(3)一般網路安全研究人員發現電力監控系統關鍵設備使用的控制系統未知網路安全性漏洞在處理流程中,難以讓電力監控系統供應鏈中的企業及時得到資訊;
(4)現有的處理流程中,電力監控系統供應鏈中的各個角色還沒有完全進入到處理流程中,這使得處理流程沒有完全形成閉環。
4 結語
電力監控系統的網路安全是電力行業安全穩定運行的關鍵,是國家關鍵資訊基礎設施網路安全的重要組成部分。通過幾年發現、驗證、通報、修補電力監控系統未知資訊安全性漏洞的研究和實踐工作,我們認識到電力監控系統還存在未知資訊安全性漏洞等待我們去進一步發現和修補,這項工作還需要電力行業主管部門、生產企業、工程公司、使用者單位等都參與進來,進一步完善電力監控系統資訊安全。
作者簡介
袁曉舒,研究員,碩士,中國自動化學會工控資訊安全專委會委員,現就職於中國東方電氣集團有限公司中央研究院,負責工控資訊安全實驗室,先後參與多個工控資訊安全國家標準制定,擔任企業、省和國家多個工業控制系統資訊安全科研專案負責人,目前專注於電力系統發電側的控制系統資訊安全研究。
參考文獻:
[1] 國家發展改革委員會. 發改委14號令 電力監控系統安全防護規定[Z]. 2014.
[2] 吳季蘭. 汽輪機設備及系統[J]. 北京: 中國電力, 1998.
[3] 欒英, 發電廠, 萬雲, 等. 火電廠程序控制[M]. 中國電力出版社, 2000.
[4] 範學福, 桑超. 石橫電廠# 3 機組 DCS 控制系統一體化改造換型淺析[C]. 全國火電 300MW 級機組能效對標及競賽第四十二屆年會論文集, 2013.
[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠主, 輔機 DCS 一體化控制的設計分析[J]. 內蒙古電力技術, 2011, 29(3): 11 - 14.
[6] 徐華豔. 大型機組控制系統改造方案及實施[J]. 電子技術與軟體工程, 2014 (19): 117 - 117.
[7] 王常力, 羅安. 分散式控制系統 (DCS) 設計與應用實例[M]. 2004.
[8] 葉杭冶. 風力發電機組的控制技術[M]. 機械工業出版社, 2002.
[9] 紹禹. 風力發電機設計與運行維護[M]. 中國電力出版社, 2003.
[10] 彭滋忠, 鄧秋娥. 永磁直驅風電機組控制系統綜述[J]. 水電站機電技術, 2015, 38(8): 31 - 35.
[11] 黃建鵬. 論述 PLC 的風電機組控制系統設計[J]. 電子技術與軟體工程, 2015 (11): 171.
[12] 李愛英, 張鵬. 基於西門子 S7-300 PLC 的風電機組專用變槳距控制系統設計[J]. 自動化技術與應用, 2011 (7): 45 - 48.
[13] 吳在軍, 胡敏強. 基於 IEC61850 標準的變電站自動化系統研究[J]. 電網技術, 2003, 27(10): 61 - 65.
[14] 李孟超, 王允平, 李獻偉, 等. 智慧變電站及技術特點分析[J]. 電力系統保護與控制, 2010 (18): 59 - 62.
摘自《工業控制系統資訊安全》專刊第四輯
轉載請注明出處