配電自動化終端信息安全風(fēng)險測評方法研究

林永峰，陳 亮，張國強(qiáng)

（國網(wǎng)天津市電力公司電力科學(xué)研究院，天津 300384）

以“震網(wǎng)”病毒為代表的信息安全攻擊事件，已對工業(yè)控制系統(tǒng)信息安全保障工作提出嚴(yán)峻的挑戰(zhàn)。文獻(xiàn)[1-2]分析了工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及特點，提出了工業(yè)控制系統(tǒng)信息安全的內(nèi)涵。文獻(xiàn)[3-4]闡述了信息安全防護(hù)技術(shù)在智能電網(wǎng)安全中的重要性，探討其對電力系統(tǒng)生存的影響，并針對配電自動化系統(tǒng)中配電遠(yuǎn)程終端通信等安全問題，提出合適的應(yīng)對措施。然而，目前國內(nèi)尚無一種適用于配電自動化終端的信息安全風(fēng)險檢測及分析方法。因此，有必要依據(jù)配電網(wǎng)實際情況和相關(guān)技術(shù)要求開展信息安全風(fēng)險測評技術(shù)研究工作。

本文結(jié)合配電自動化系統(tǒng)具體特征，提出如何搭建面向配電自動化終端的信息安全測試實驗平臺，重點研究測評關(guān)鍵技術(shù)、流程及風(fēng)險值計算方法，該套方法已應(yīng)用于“天津城市配電網(wǎng)建設(shè)改造與管理提升”工程的配電終端信息安全風(fēng)險檢測工作中。

1 配電終端信息安全現(xiàn)狀分析

配電終端作為智能電網(wǎng)建設(shè)的重要組成部分，其特征主要表現(xiàn)為可用性與實時性高，系統(tǒng)生命周期長。然而，目前國內(nèi)配電終端設(shè)備信息安全防護(hù)能力參差不齊，開發(fā)商注重產(chǎn)品的功能而忽略信息安全防護(hù)措施，缺乏針對新型高級持續(xù)性威脅（APT）的應(yīng)對措施，且尚未建立完善的配電終端信息安全測試實驗平臺及常態(tài)化信息安全風(fēng)險測評機(jī)制。

通過對配電終端的軟硬件開發(fā)部署環(huán)境、運行維護(hù)環(huán)境進(jìn)行全面的信息安全風(fēng)險分析，采用層次分析法將配電終端的風(fēng)險劃分為系統(tǒng)層、通信層、設(shè)備配置層，各層典型信息安全風(fēng)險點如圖1所示。

圖1 配電終端信息安全風(fēng)險點Fig.1 Distribution terminal information security risk

2 配電終端信息安全測評方法

2.1 測評關(guān)鍵技術(shù)選取

配電終端系統(tǒng)較傳統(tǒng)信息系統(tǒng)具有相對特殊性，其物理部署環(huán)境封閉，采用自有網(wǎng)絡(luò)傳輸協(xié)議及特定操作系統(tǒng)。通過對配電終端信息安全風(fēng)險點進(jìn)行分析，明確測評工作重點關(guān)注配電終端操作系統(tǒng)、配電終端系統(tǒng)配置、配電終端通信3個層面，為保證測評工作的完整性、準(zhǔn)確性，提出測試與驗證相結(jié)合的測評方法，測試階段采用配置檢測技術(shù)與黑盒檢測技術(shù)，驗證階段采用滲透測試技術(shù)。

2.1.1 配置檢測技術(shù)

配置檢測技術(shù)利用檢查工具執(zhí)行一定的檢查步驟，驗證被檢查配電終端系統(tǒng)的配置是否符合信息安全基線或者最佳安全實踐，是否按照預(yù)定設(shè)計意圖有效地執(zhí)行，具體分為系統(tǒng)信息、賬號口令、文件系統(tǒng)、banner信息等部分。

1）系統(tǒng)信息安全評估項重點查看內(nèi)核信息、查看當(dāng)前用戶、查看所有服務(wù)狀態(tài)、查看網(wǎng)絡(luò)配置、查看新建用戶配置屬性、查看用戶文件等內(nèi)容；

2）賬號口令安全評估項重點查看無用賬號、查看具備root權(quán)限的賬號、查看口令復(fù)雜度設(shè)置、查看口令生存周期等內(nèi)容；

3）文件系統(tǒng)安全評估項重點查看umask值配置、查看登錄超時配置、查看用戶登錄記錄等內(nèi)容；

4）banner信息安全評估項重點查看網(wǎng)絡(luò)與物理訪問banner信息配置、查看FTP訪問banner信息配置等內(nèi)容。

2.1.2 黑盒測試技術(shù)

黑盒測試技術(shù)主要針對終端硬件層、系統(tǒng)層、軟件層、通信層的弱點、技術(shù)缺陷或漏洞進(jìn)行主動分析，該分析是從一個攻擊者可能出現(xiàn)的位置進(jìn)行，并且從該位置有條件主動利用信息安全漏洞。目前，黑盒測試的工具軟件比較多，本文采用一些較為典型的配電終端黑盒測試工具，如系統(tǒng)漏洞挖掘工具NMap、Nessus、Metasploit等，主要測試內(nèi)容及方法如下：

1）相關(guān)性檢查：檢查刪除/增加一項會不會對其他項產(chǎn)生影響，如果產(chǎn)生影響是否都正確；

2）字符串長度檢查：輸入超出需求所說明的字符串長度的內(nèi)容，看系統(tǒng)是否檢查字符串長度，是否會報錯；

3）字符類型檢查：在應(yīng)該輸入指定類型內(nèi)容的地方輸入其他類型的內(nèi)容，看系統(tǒng)是否檢查字符類型，是否會報錯；

4）標(biāo)點符號檢查：輸入內(nèi)容包括各種標(biāo)點符號，特別是空格、引號、回車鍵等，看系統(tǒng)處理是否正確；

5）信息重復(fù)檢查：在需要唯一性命名的部分輸入重復(fù)的名字或ID，重名包括是否區(qū)分大小寫，以及在輸入內(nèi)容的前后輸入空格，查看系統(tǒng)是否做出正確處理。

2.1.3 滲透測試技術(shù)

滲透測試是對配置檢測、黑盒測試過程中所發(fā)現(xiàn)的漏洞進(jìn)行總體分析，再次利用的過程。配電終端滲透測試常用手段主要有信息搜集、端口掃描、口令猜測、遠(yuǎn)程溢出、本地溢出、腳本測試和權(quán)限提升等。

1）搜集系統(tǒng)漏洞：在美國工業(yè)控制系統(tǒng)信息安全應(yīng)急響應(yīng)小組網(wǎng)站、工控安全相關(guān)的專業(yè)論壇查找最新的漏洞信息；

2）漏洞掃描：使用Nessus的SCADA插件對配電終端設(shè)備進(jìn)行漏洞掃描，掃描已知漏洞及漏洞嚴(yán)重程度；

3）搜集固件漏洞：通過配電終端生產(chǎn)廠商的安全公告里查詢其設(shè)備的漏洞信息及最新固件版本，通過對比設(shè)備是否已經(jīng)及時升級更新到最新的固件版本來確定漏洞的存在；

4）漏洞利用測試：使用Metasploit工具編寫配電終端漏洞利用程序，或者在工控安全相關(guān)的專業(yè)論壇收集漏洞利用程序，對漏洞的嚴(yán)重性進(jìn)行測試與驗證；

5）下載代碼測試：通過專用編程軟件或者命令調(diào)試軟件了解終端設(shè)備的設(shè)置情況，如是否允許源代碼下載、是否允許編譯代碼下載、是否對代碼進(jìn)行加密、是否能夠遠(yuǎn)程讀取等；

6）上傳代碼測試：利用編程系統(tǒng)軟件或者命令調(diào)試軟件對終端進(jìn)行固件升級或者代碼更新，測試是否能夠成功執(zhí)行新的代碼。

2.2 測評試驗環(huán)境搭建

文獻(xiàn)[5]提出天津城市核心區(qū)配電自動化技術(shù)實施與進(jìn)展，本文對照天津電網(wǎng)已部署配電自動化系統(tǒng)體系結(jié)構(gòu)特點，將配電自動化系統(tǒng)抽象成配電主站、傳輸通道和配電終端3部分。基于抽象測評模型，結(jié)合信息安全防護(hù)設(shè)備和測試工具，共同構(gòu)建配電自動化終端測評實驗平臺，如圖2所示。

圖2 配電終端實驗平臺Fig.2 Distribution terminal experiment platform

該實驗平臺由配電SCADA系統(tǒng)、Web服務(wù)系統(tǒng)、配電應(yīng)用系統(tǒng)、配電子站系統(tǒng)、配電加解密組件、多個不同型號配電終端及測評服務(wù)器組成。測評環(huán)境搭建過程中，需要對相關(guān)設(shè)備進(jìn)行配置，保障系統(tǒng)能夠模擬現(xiàn)場真實環(huán)境，其中：

1）配電自動化系統(tǒng)主站配置：登錄配電主站系統(tǒng)，繪制廠站接線圖，配置數(shù)據(jù)庫相關(guān)參數(shù)，包括通道表中配置配電終端IP地址、設(shè)置數(shù)據(jù)加密或非加密傳輸方式、開關(guān)點號設(shè)置等內(nèi)容；

2）加解密組件配置：通過IE瀏覽器登錄縱向加密認(rèn)證網(wǎng)關(guān)系統(tǒng)并修改網(wǎng)橋配置與網(wǎng)絡(luò)配置兩部分。配置網(wǎng)橋用于確定加密組件的數(shù)據(jù)輸入、輸出端口，配置網(wǎng)絡(luò)確保加密組件的網(wǎng)絡(luò)IP與前置服務(wù)器的接入數(shù)據(jù)網(wǎng)口處于同一個網(wǎng)段；

3）配電自動化系統(tǒng)終端配置：包括終端IP地址設(shè)置、終端遙信與遙控點號設(shè)置、終端加密網(wǎng)關(guān)密鑰導(dǎo)入配置等內(nèi)容。

2.3 測評工作流程創(chuàng)建

在測評工作具體實施過程中，測評標(biāo)準(zhǔn)和最終測評結(jié)果會對被測對象及其所屬業(yè)務(wù)發(fā)展帶來較大影響，甚至?xí)苯記Q定企業(yè)下一步的信息安全投入力度。因此，需要通過規(guī)范的流程控制最終的測評結(jié)果。配電終端測評流程按照工業(yè)控制系統(tǒng)安全測評總體思路，并結(jié)合配電自動化系統(tǒng)自身特點進(jìn)行細(xì)化，最終確定以準(zhǔn)備、實施、報告、整改4個階段為主的配電終端信息安全測評流程，并明確指出每一環(huán)節(jié)的輸入、輸出內(nèi)容，配電終端信息安全測評流程如圖3所示。

3 配電終端測評方法應(yīng)用

3.1 配電終端漏洞檢測

為驗證配電終端信息安全測評方法的有效性，選取12臺不同廠家配電終端進(jìn)行信息安全性測試，累計發(fā)現(xiàn)10類信息安全漏洞。參照文獻(xiàn)[6]中提出的采用層次分析法建立信息安全漏洞等級劃分模型，并結(jié)合國際通行標(biāo)準(zhǔn)和經(jīng)驗，將配電終端信息安全測評過程中發(fā)現(xiàn)的漏洞按嚴(yán)重程度分為高危、中危、低危3個等級。測評結(jié)果如表1所示。

配電終端信息安全測評過程中發(fā)現(xiàn)的問題可能存在誤報，因此，針對上述配電終端信息安全測評結(jié)果，采用滲透測試的方式，能夠有效驗證測評結(jié)果的準(zhǔn)確性。下面是對其中的幾項進(jìn)行驗證結(jié)果。

圖3 配電終端測評工作流程Fig.3 Distribution terminal evaluation process

表1 配電終端信息安全測評結(jié)果Tab.1 Distribution terminal information security evaluation results

1）系統(tǒng)漏洞攻擊驗證：針對VxWorks系統(tǒng)層漏洞，通過MSF進(jìn)行系統(tǒng)溢出提權(quán)。測試表明，可通過MSF對存在VxWorks系統(tǒng)層漏洞（17185WDB調(diào)試端口開啟）進(jìn)行內(nèi)存數(shù)據(jù)讀取與重啟設(shè)備。解決該安全漏洞需對存在漏洞系統(tǒng)升級至VxWorks最新版本，或關(guān)閉17185端口；

2）協(xié)議漏洞攻擊測試：telnet網(wǎng)絡(luò)傳輸協(xié)議為明文傳輸，通過ARP欺騙截取主站、通訊、子站中網(wǎng)絡(luò)登錄傳輸數(shù)據(jù)。測試表明，可獲取主站、通訊、子站、終端所有明文傳輸數(shù)據(jù)，進(jìn)一步獲取訪問控制權(quán)限；

3）惡意控制攻擊測試：利用telnet未授權(quán)登錄方式，成功登錄終端設(shè)備。測試表明，智能設(shè)備存在未授權(quán)登錄訪問，可直接獲取root權(quán)限，解決該安全漏洞需增加登錄認(rèn)證授權(quán)方式。

3.2 配電終端風(fēng)險值計算

配電終端信息安全風(fēng)險值計算需要綜合考慮終端資產(chǎn)價值、面臨的威脅和終端存在的漏洞，在完成配電終端信息安全漏洞挖掘之后，應(yīng)選取適當(dāng)?shù)挠嬎惴椒▉砼袛喟踩┒幢焕煤罂赡軐ζ髽I(yè)造成的影響。文獻(xiàn)[7]提出了幾種傳統(tǒng)的信息安全風(fēng)險計算方法，文獻(xiàn)[8]提出了基于模糊層次分析法的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估方法。本文結(jié)合配電終端的特點，選用一種最優(yōu)的算法計算其信息安全風(fēng)險值，得出風(fēng)險計算的精確值，計算形式為

其中：T為配電終端存在的威脅；V為配電終端的脆弱性；函數(shù)L為配電終端信息安全事件發(fā)生的可能性；Ia為配電終端的資產(chǎn)價值；Va為配電終端的脆弱性嚴(yán)重程度；函數(shù)F為漏洞一旦被成功利用之后造成的損失。

依據(jù)上述風(fēng)險計算理論，選用相乘法來分別計算配電終端信息安全事件發(fā)生的可能性L（T，V）、造成的損失F（Ia，Va）和綜合兩者之后的風(fēng)險值R。假設(shè)某配電終端的重要性賦值為I=8，它所面臨威脅發(fā)生頻率賦值為T=10，其存在的脆弱性賦值為V=5。設(shè)二元函數(shù)為

信息安全事件發(fā)生的可能性L（T，V）為

信息安全造成的損失 F（Ia，Va）為

計算配電終端風(fēng)險值R為

4 結(jié)語

本文提出的配電終端信息安全測評方法，涵蓋測評環(huán)境搭建、測評技術(shù)選擇、信息安全風(fēng)險分析及加固要求等內(nèi)容，為配電自動化系統(tǒng)整體信息安全研究、關(guān)鍵設(shè)備的安全測評等工作提供基礎(chǔ)平臺，該平臺已成功應(yīng)用于“天津城市配電網(wǎng)建設(shè)改造與管理提升”工程所涉及配電終端信息安全性能檢測工作，并協(xié)助存在安全隱患廠商完成問題整改，從而提高配電自動化系統(tǒng)安全可靠運行水平。同時，隨著國家大力推進(jìn)智能電網(wǎng)建設(shè)，特別是智能配電網(wǎng)建設(shè)，該測評方法將具備廣闊的推廣應(yīng)用前景，其關(guān)鍵技術(shù)也可為其他工業(yè)控制系統(tǒng)的信息安全測評工作提供參考。

[1]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報：自然科學(xué)版，2012，52（10）：1396-1408.

[2]E Foo，M Branagan，T Morris.A proposed australian industrial controlsystem security curriculum[C]//2013 46th Hawaii International Conference on in System Sciences（HICSS），2013.Hawaii：IEEE，2013：1754-1762.

[3]陳來軍，梅生偉，陳穎.智能電網(wǎng)信息安全及其對電力系統(tǒng)生存性的影響[J].控制理論與應(yīng)用，2012，29（2）：240-244.

[4]孫辰，劉東，凌萬水，等.配電自動化遠(yuǎn)程終端的可信研究[J].電網(wǎng)技術(shù)，2014，38（3）：736-743.

[5]楊華，陳濤，郜士琪，等.天津城市核心區(qū)配電自動化技術(shù)實施與進(jìn)展[J].電力系統(tǒng)自動化，2012，36（18）：42-48.

[6]劉奇旭，張翀斌，張玉清，等.安全漏洞等級劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報，2012，33（Z1）：79-87.

[7]向宏，傅鸝，詹榜華.信息安全測評與風(fēng)險評估[M].北京：電子工業(yè)出版社，2014．

[8]趙剛.信息安全管理與風(fēng)險評估 [M].北京：清華大學(xué)出版社，2014．