袁曉舒，桑梓 中國東方電氣集團(tuán)有限公司中央研究院

王東 北京啟明星辰信息安全技術(shù)有限公司

1　概述

電力行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施，控制系統(tǒng)的網(wǎng)絡(luò)安全關(guān)系到國民經(jīng)濟(jì)的正常運(yùn)行，因而非常重要。國家對電力行業(yè)的網(wǎng)絡(luò)安全非常重視，在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上，《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》對電力行業(yè)的網(wǎng)絡(luò)安全工作提出了具體的要求[1]。

遵照“縱向加密、橫向隔離”的原則，電力監(jiān)控系統(tǒng)的邊界防護(hù)已經(jīng)較為完善，進(jìn)一步增強(qiáng)控制系統(tǒng)內(nèi)部的安全防護(hù)，找出控制系統(tǒng)內(nèi)部存在的網(wǎng)絡(luò)安全漏洞并進(jìn)行修補(bǔ)應(yīng)成為未來的一項(xiàng)重點(diǎn)工作。該項(xiàng)工作對研究平臺、研究人員和研究資金的投入要求較高，因此這方面研究開發(fā)工作的進(jìn)展和用戶的需求還有很大距離。中國東方電氣集團(tuán)有限公司中央研究院從自身業(yè)務(wù)需求出發(fā)，結(jié)合電網(wǎng)行業(yè)的實(shí)際需要，在過去幾年對電站和電網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞進(jìn)行了初步的研究，對發(fā)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全未知漏洞后的處理進(jìn)行了初步的探索。

2　電站控制系統(tǒng)網(wǎng)絡(luò)安全漏洞研究

2.1　火電控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

火力發(fā)電目前是我國的主要電力來源，通過對火電控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞研究發(fā)現(xiàn)，火電控制系統(tǒng)的網(wǎng)絡(luò)安全脆弱性不容忽視。

火電控制系統(tǒng)一般是由協(xié)調(diào)控制系統(tǒng)（CCS）、模擬量控制系統(tǒng)（ M C S ） 、鍋爐安全監(jiān)控系統(tǒng)（FSSS）、汽輪機(jī)數(shù)字電液調(diào)節(jié)系統(tǒng)（DEH）、汽輪機(jī)保護(hù)系統(tǒng)（TSS）、順序控制系統(tǒng)（SCS）、電氣控制系統(tǒng)（ECS）、旁路控制系統(tǒng)（BCS）、數(shù)據(jù)采集系統(tǒng)（DAS）等部分構(gòu)成[2-3]。隨著電廠控制一體化技術(shù)的發(fā)展，新建電廠項(xiàng)目和已有電廠的改造項(xiàng)目逐漸采用集散控制系統(tǒng)（DCS）實(shí)現(xiàn)機(jī)、爐、電的一體化控制，以覆蓋CCS、SCS、DEH等系統(tǒng)所實(shí)現(xiàn)的功能[4-5]。部分項(xiàng)目進(jìn)一步對控制系統(tǒng)和保護(hù)系統(tǒng)進(jìn)行了一體化改造[6]。

DCS系統(tǒng)主要由過程級、操作級和管理級構(gòu)成。過程級主要包括分布式控制器、過程儀表、執(zhí)行機(jī)構(gòu)、I/O單元等，操作級主要包括操作員站、工程師站、歷史站、控制服務(wù)器等，管理級主要包括生產(chǎn)管理系統(tǒng)等[7]。DCS最小系統(tǒng)如圖1所示。

圖1 DCS最小系統(tǒng)

DCS采用現(xiàn)場總線技術(shù)進(jìn)行通信，對通信速率和實(shí)時性要求高。隨著以太網(wǎng)技術(shù)的發(fā)展，DCS逐漸采用工業(yè)以太網(wǎng)替代傳統(tǒng)的現(xiàn)場總線實(shí)現(xiàn)各個分布式控制器之間、控制器與操作站之間的實(shí)時通信，例如IEEE1588、Profinet、Ethernet/IP等。同時，計(jì)算機(jī)技術(shù)的發(fā)展助推了DCS操作站和控制器的更新?lián)Q代。主流DCS系統(tǒng)的操作站多采用基于Windows的操作系統(tǒng)，分布式控制器多采用基于Vxworks或定制Linux的實(shí)時操作系統(tǒng)。DCS系統(tǒng)的組態(tài)軟件采用基于標(biāo)準(zhǔn)庫的常用編程語言實(shí)現(xiàn)，例如C、Java等。因此，基于DCS技術(shù)的火電控制系統(tǒng)可能存在諸多安全隱患。

通過對多個品牌的國內(nèi)和國外火電控制系統(tǒng)進(jìn)行漏洞掃描發(fā)現(xiàn)，除了我們已經(jīng)熟知的控制系統(tǒng)操作員站存在大量已知網(wǎng)絡(luò)安全漏洞，如圖2所示，控制系統(tǒng)自身也存在不少已知網(wǎng)絡(luò)安全漏洞。

圖2 DCS操作站漏洞統(tǒng)計(jì)

除了已知網(wǎng)絡(luò)安全漏洞，火電控制系統(tǒng)還普遍存在未知網(wǎng)絡(luò)安全漏洞，如：弱口令漏洞、拒絕服務(wù)漏洞、訪問控制漏洞、溢出漏洞等。這些漏洞大多沒有被公布到CVE、CNVD、CNNVD等漏洞庫成為已知漏洞，因而也就沒有漏洞修補(bǔ)方案和對應(yīng)的防范措施，很容易被惡意利用。

為驗(yàn)證火電控制系統(tǒng)漏洞的危害，在實(shí)驗(yàn)室環(huán)境中，我們以某火電廠汽輪機(jī)組實(shí)際控制系統(tǒng)、控制邏輯、汽輪機(jī)數(shù)學(xué)模型搭建了火電汽輪機(jī)組的控制系統(tǒng)仿真測試平臺，利用該控制系統(tǒng)的一個未知網(wǎng)絡(luò)安全漏洞對汽輪機(jī)電液調(diào)速系統(tǒng)進(jìn)行了攻擊。攻擊導(dǎo)致汽輪機(jī)飛車，但由于控制系統(tǒng)被攻擊，監(jiān)控界面上一切正常，如圖3所示。

圖3 網(wǎng)絡(luò)攻擊導(dǎo)致汽輪機(jī)飛車事故的仿真測試

2.2　風(fēng)電控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

隨著新能源發(fā)電在電力系統(tǒng)中占比的增加，風(fēng)電控制系統(tǒng)的網(wǎng)絡(luò)安全漏洞正在成為電力系統(tǒng)新的網(wǎng)絡(luò)安全風(fēng)險來源。

風(fēng)電控制系統(tǒng)的結(jié)構(gòu)較為簡單，主要包括就地控制站和SCADA系統(tǒng)，其中，就地控制站包含主控制器、變槳控制器、變流器等部件[8-10]。不同于火電控制系統(tǒng)的分布式控制方法，風(fēng)電控制系統(tǒng)常常采用集中式控制方法，以可編程邏輯控制器PLC作為控制系統(tǒng)的主體，在集控室以少量操作站搭載SCADA系統(tǒng)作為遠(yuǎn)程監(jiān)控手段，實(shí)現(xiàn)風(fēng)力發(fā)電機(jī)組的監(jiān)視和控制功能[11]。

借助計(jì)算機(jī)技術(shù)和嵌入式技術(shù)的發(fā)展，PLC的硬件架構(gòu)逐步向Intel x86和ARM架構(gòu)靠攏，操作系統(tǒng)也逐漸統(tǒng)一成Vxworks、Linux、WinCE等主流操作系統(tǒng)[12]。同時，SCADA系統(tǒng)的軟件平臺亦逐漸統(tǒng)一為基于Windows或Linux商業(yè)發(fā)布版本的操作系統(tǒng)。因此，風(fēng)電控制系統(tǒng)的網(wǎng)絡(luò)安全問題日益嚴(yán)重。

通過對主流風(fēng)電控制系統(tǒng)產(chǎn)品的研究發(fā)現(xiàn)，風(fēng)電控制系統(tǒng)也存在弱口令漏洞、拒絕服務(wù)漏洞、訪問控制漏洞、溢出漏洞等網(wǎng)絡(luò)安全漏洞，由于某些風(fēng)電控制系統(tǒng)和風(fēng)電SCADA還采用了B/S架構(gòu)，因此還存在一些B/S系統(tǒng)自身的網(wǎng)絡(luò)安全風(fēng)險。從CVE、CNVD、CNNVD查詢結(jié)果看，風(fēng)電控制系統(tǒng)的主流產(chǎn)品公開的網(wǎng)絡(luò)安全漏洞不多，而從我們的實(shí)際研究中可以發(fā)現(xiàn)，風(fēng)電控制系統(tǒng)中存在的大量未知網(wǎng)絡(luò)安全漏洞，這些漏洞能夠造成諸如風(fēng)機(jī)停轉(zhuǎn)等多種安全事故。

為驗(yàn)證風(fēng)電控制系統(tǒng)漏洞的危害，在實(shí)驗(yàn)室環(huán)境中，我們以某風(fēng)電廠風(fēng)力發(fā)電機(jī)實(shí)際控制系統(tǒng)、控制邏輯、風(fēng)力發(fā)電機(jī)數(shù)學(xué)模型搭建了風(fēng)電控制系統(tǒng)仿真測試平臺，利用該控制系統(tǒng)的一個未知網(wǎng)絡(luò)安全漏洞對風(fēng)力發(fā)電機(jī)主控進(jìn)行了攻擊。攻擊可以造成風(fēng)力發(fā)電機(jī)立即不受控制的停止運(yùn)轉(zhuǎn)，如圖4所示。

圖4 正常運(yùn)行的風(fēng)機(jī)不受控停機(jī)

2.3　智能變電站控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

除了發(fā)電廠控制系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，電網(wǎng)控制系統(tǒng)同樣存在網(wǎng)絡(luò)安全漏洞。以智能變電站為例，基于IEC61850協(xié)議的通信系統(tǒng)、控制保護(hù)設(shè)備、SCADA系統(tǒng)均存在網(wǎng)絡(luò)安全隱患。

智能變電站為典型的“三層兩網(wǎng)”結(jié)構(gòu)：站控層、間隔層、過程層，站控層網(wǎng)絡(luò)、過程層網(wǎng)絡(luò)[13-14]。過程層的設(shè)備是直接面向電力系統(tǒng)的一次設(shè)備，主要是智能終端和合并單元，部署在一次設(shè)備旁。過程層設(shè)備主要采用IEC61850 Goose和SV協(xié)議與間隔層設(shè)備進(jìn)行數(shù)據(jù)通信。間隔層設(shè)備主要包括測控裝置、保護(hù)裝置、故障錄波設(shè)備、網(wǎng)絡(luò)報文分析設(shè)備。站控層包括時間同步系統(tǒng)、監(jiān)控站和遠(yuǎn)動測控站。站控層與間隔層設(shè)備之間通過基于TCP/IP的IEC61850 MMS協(xié)議進(jìn)行數(shù)據(jù)通信。

智能變電站控制系統(tǒng)自身存在的信息安全漏洞是控制系統(tǒng)信息安全脆弱性的主要來源，這些漏洞主要針對間隔層和過程層的各類設(shè)備和終端，包括嵌入式操作系統(tǒng)漏洞、嵌入式應(yīng)用軟件漏洞等。研究表明，智能變電站控制系統(tǒng)存在的未知網(wǎng)絡(luò)安全漏洞可以被利用進(jìn)行攻擊，攻擊可以造成刀閘不受控的開閉，對電網(wǎng)的穩(wěn)定運(yùn)行造成很大危害，如圖5所示。

圖5 智能變電站刀閘分合閘不受控

2.4　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全漏洞挖掘方法

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全漏洞挖掘可以分為基于終端軟件分析的漏洞挖掘和基于協(xié)議測試的漏洞挖掘等。終端軟件包括各種業(yè)務(wù)軟件，比如SCADA、HMI、組態(tài)軟件等，也包括基礎(chǔ)軟件，比如SSH、Telnet、FTP、HTTP等，還包括實(shí)時操作系統(tǒng)，比如Vxworks、定制Linux等。針對SCADA、HMI等直接運(yùn)行在Windows或Linux類通用操作系統(tǒng)的上位機(jī)程序，除了滲透測試，通常還采用行為分析和動態(tài)調(diào)試方法進(jìn)行漏洞挖掘。針對電力工控設(shè)備中內(nèi)嵌的實(shí)時操作系統(tǒng)和軟件，通常采用靜態(tài)反匯編和程序分析等方法進(jìn)行漏洞挖掘。

電力監(jiān)控系統(tǒng)的協(xié)議包括工控專用協(xié)議和工業(yè)以太網(wǎng)中的通用協(xié)議，采用模糊測試方法能夠?qū)崿F(xiàn)對電力工控設(shè)備網(wǎng)絡(luò)協(xié)議的自動化漏洞挖掘。模糊測試在通用協(xié)議測試中已經(jīng)有成熟的應(yīng)用，比如SPIKE、PEACH，能直接用于對工業(yè)以太網(wǎng)中的通用協(xié)議進(jìn)行漏洞挖掘。針對專用協(xié)議，需要根據(jù)圖6所示的模糊測試測準(zhǔn)框架對現(xiàn)有應(yīng)用進(jìn)行改造，以適應(yīng)電力工控協(xié)議的規(guī)范和工控設(shè)備的特性。

圖6 模糊測試標(biāo)準(zhǔn)框架

針對某電力系統(tǒng)控制設(shè)備，我們基于終端軟件分析和協(xié)議模糊測試，發(fā)現(xiàn)了多個未知漏洞。利用這些漏洞，攻擊者可以完全地控制設(shè)備，造成嚴(yán)重后果。

3　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全漏洞處理

未知網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)只是開始，完成漏洞的修補(bǔ)才是終點(diǎn)。從實(shí)踐中我們發(fā)現(xiàn)，當(dāng)前的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)、上報、通知、響應(yīng)、修補(bǔ)的全流程工作還有待進(jìn)一步完善。

目前，在發(fā)現(xiàn)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題后，一般的處理流程是上報漏洞平臺，有的漏洞平臺在收到通報后會通知廠商進(jìn)行處理，在廠商推出補(bǔ)丁后進(jìn)行公布，有的漏洞平臺只收集整理上報的漏洞信息，并不跟蹤廠商對漏洞的修補(bǔ)。同時我集團(tuán)以通報的形式下發(fā)到使用該控制系統(tǒng)的相關(guān)集團(tuán)內(nèi)企業(yè)，這些企業(yè)會聯(lián)系控制系統(tǒng)的生產(chǎn)廠商，在得到控制系統(tǒng)廠商的修補(bǔ)補(bǔ)丁后，由企業(yè)完成測試和最終用戶如發(fā)電企業(yè)的設(shè)備補(bǔ)丁升級，從實(shí)踐的情況看，由企業(yè)聯(lián)系控制系統(tǒng)廠商得到反饋和修補(bǔ)補(bǔ)丁的速度會快于漏洞平臺。

這樣的處理流程還存在著一些不足：

（1）電力監(jiān)控系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡(luò)安全漏洞是否應(yīng)報送給國外漏洞平臺存在爭論；

（2）電力監(jiān)控系統(tǒng)系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)出現(xiàn)的未知網(wǎng)絡(luò)安全漏洞報送國內(nèi)漏洞平臺后的處理速度較慢，處理流程尚未形成完全的閉環(huán)；

（3）一般網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)電力監(jiān)控系統(tǒng)關(guān)鍵設(shè)備使用的控制系統(tǒng)未知網(wǎng)絡(luò)安全漏洞在處理流程中，難以讓電力監(jiān)控系統(tǒng)供應(yīng)鏈中的企業(yè)及時得到信息；

（4）現(xiàn)有的處理流程中，電力監(jiān)控系統(tǒng)供應(yīng)鏈中的各個角色還沒有完全進(jìn)入到處理流程中，這使得處理流程沒有完全形成閉環(huán)。

4　結(jié)語

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全是電力行業(yè)安全穩(wěn)定運(yùn)行的關(guān)鍵，是國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要組成部分。通過幾年發(fā)現(xiàn)、驗(yàn)證、通報、修補(bǔ)電力監(jiān)控系統(tǒng)未知信息安全漏洞的研究和實(shí)踐工作，我們認(rèn)識到電力監(jiān)控系統(tǒng)還存在未知信息安全漏洞等待我們?nèi)ミM(jìn)一步發(fā)現(xiàn)和修補(bǔ)，這項(xiàng)工作還需要電力行業(yè)主管部門、生產(chǎn)企業(yè)、工程公司、用戶單位等都參與進(jìn)來，進(jìn)一步完善電力監(jiān)控系統(tǒng)信息安全。

作者簡介

袁曉舒，研究員，碩士，中國自動化學(xué)會工控信息安全專委會委員，現(xiàn)就職于中國東方電氣集團(tuán)有限公司中央研究院，負(fù)責(zé)工控信息安全實(shí)驗(yàn)室，先后參與多個工控信息安全國家標(biāo)準(zhǔn)制定，擔(dān)任企業(yè)、省和國家多個工業(yè)控制系統(tǒng)信息安全科研項(xiàng)目負(fù)責(zé)人，目前專注于電力系統(tǒng)發(fā)電側(cè)的控制系統(tǒng)信息安全研究。

參考文獻(xiàn)：

[1] 國家發(fā)展改革委員會. 發(fā)改委14號令 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定[Z]. 2014.

[2] 吳季蘭. 汽輪機(jī)設(shè)備及系統(tǒng)[J]. 北京: 中國電力, 1998.

[3] 欒英, 發(fā)電廠, 萬云, 等. 火電廠過程控制[M]. 中國電力出版社, 2000.

[4] 范學(xué)福, 桑超. 石橫電廠# 3 機(jī)組 DCS 控制系統(tǒng)一體化改造換型淺析[C]. 全國火電 300MW 級機(jī)組能效對標(biāo)及競賽第四十二屆年會論文集, 2013.

[5] 陳瑞軍, 張希洧, 焦鵬. 火電廠主, 輔機(jī) DCS 一體化控制的設(shè)計(jì)分析[J]. 內(nèi)蒙古電力技術(shù), 2011, 29(3): 11 - 14.

[6] 徐華艷. 大型機(jī)組控制系統(tǒng)改造方案及實(shí)施[J]. 電子技術(shù)與軟件工程, 2014 (19): 117 - 117.

[7] 王常力, 羅安. 分布式控制系統(tǒng) (DCS) 設(shè)計(jì)與應(yīng)用實(shí)例[M]. 2004.

[8] 葉杭冶. 風(fēng)力發(fā)電機(jī)組的控制技術(shù)[M]. 機(jī)械工業(yè)出版社, 2002.

[9] 紹禹. 風(fēng)力發(fā)電機(jī)設(shè)計(jì)與運(yùn)行維護(hù)[M]. 中國電力出版社, 2003.

[10] 彭滋忠, 鄧秋娥. 永磁直驅(qū)風(fēng)電機(jī)組控制系統(tǒng)綜述[J]. 水電站機(jī)電技術(shù), 2015, 38(8): 31 - 35.

[11] 黃建鵬. 論述 PLC 的風(fēng)電機(jī)組控制系統(tǒng)設(shè)計(jì)[J]. 電子技術(shù)與軟件工程, 2015 (11): 171.

[12] 李愛英, 張鵬. 基于西門子 S7-300 PLC 的風(fēng)電機(jī)組專用變槳距控制系統(tǒng)設(shè)計(jì)[J]. 自動化技術(shù)與應(yīng)用, 2011 (7): 45 - 48.

[13] 吳在軍, 胡敏強(qiáng). 基于 IEC61850 標(biāo)準(zhǔn)的變電站自動化系統(tǒng)研究[J]. 電網(wǎng)技術(shù), 2003, 27(10): 61 - 65.

[14] 李孟超, 王允平, 李獻(xiàn)偉, 等. 智能變電站及技術(shù)特點(diǎn)分析[J]. 電力系統(tǒng)保護(hù)與控制, 2010 (18): 59 - 62.

摘自《工業(yè)控制系統(tǒng)信息安全》?？谒妮?/span>