電力系統正向隔離裝置漏洞分析與防御

上海電力學院計算機科學與技術學院　張林鵬,王　勇

電力系統正向隔離裝置漏洞分析與防御

上海電力學院計算機科學與技術學院張林鵬,王勇

現代電力系統已經發展為物理系統和信息通信系統共同組成的復雜網絡系統。相對應的，電力系統安全也分為物理安全和信息安全兩個層面。電力系統物理安全已經有很多深入的研究，并且有許多成熟的技術應用實例。信息通信系統的安全研究相對較少，但對此研究的熱度在不斷上升，尤其是近年來發生針對電力系統影響巨大的攻擊事件。

2011年伊朗布什爾核電站遭受“震網”（Stuxnet）病毒攻擊，導致近五分之一的離心機報廢，伊朗核計劃被迫延遲。事后在北京安天電子設備有限公司（以下簡稱安天）的分析報告中，Stuxnet利用了至少4個Windows漏洞，其中有3個0day漏洞；利用WinCC系統兩個漏洞；偽造數字簽名；突破專用網的物理隔離，對伊朗的核電站進行破壞性攻擊。Stuxnet是第一個直接破壞實際工業設備的惡意代碼。2015年烏克蘭電力部門遭受惡意代碼“黑色能量”（BlackEnergy）攻擊導致斷電。事后在安天的報告分析中，這是一起以電力基礎設施為目標；以BlackEnergy等相關惡意代碼為主要工具；通過BOTNET體系進行資料搜集和環境預置；以郵件為載體，發送惡意代碼載荷做為攻擊的突破入口；通過遠程控制SCADA節點下達指令為斷電手段；以破壞SCADA系統實現遲滯恢復和狀態致盲；以DDoS服務電話為干擾，最后達到長時間廣泛停電使整個社會陷入混亂的具有信息戰水平的電力網絡攻擊事件[1]。

Stuxnet攻擊點在電力設施的縱深位置，使用較多的0Day漏洞，攻擊成本高。而BlackEnergy沒有使用0Day漏洞，攻擊完全針對PC環節的投放和植入達成，攻擊成本小，達成的破壞效果同樣顯著。因此，電力系統的安全問題刻不容緩。本文對正向隔離裝置進行攻擊測試，尋找可能存在的薄弱點，探討相應的防御策略。

1　正向隔離裝置原理

1.1物理隔離裝置一般原理

物理隔離裝置一般由兩套相互獨立的主機系統和一個具有控制功能的固態專用讀寫硬件組成。其工作的基本原理一般是：

（1）切斷內外網的通信協議連接；

（2）提取數據包所攜帶的數據，重組為靜態數據；

（3）對靜態數據進行安全審查；

（4）確認安全后傳入內部單元。

目前，物理隔離裝置一般使用SCSI實現開關技術，達到物理隔離。SCSI是一個用于主機向存儲外設讀寫的協議。如圖1所示，內外兩套主機通過Block方式連接中間的固態存儲介質。內部主機和外部主機都可以向固態存儲介質發起讀寫請求，而固態存儲介質在同一時間內只能接受一個主機的請求。因此，內部主機和外部主機在任何時刻不會相連，數據只能經由固態存儲介質進行傳遞。同時，SCSI連接不存在任何上層協議的接口，只有無協議的讀和寫的功能，因而能夠截斷任何通信協議，例如TCP/IP，實現物理隔離，保證內網安全。市面上有些網閘采用雙主機系統加協議轉換實現物理隔離。雙主機之間采用協議轉換并不是真正的隔離，內外主機仍然存在著通信連接，存在針對通信連接的攻擊隱患。

圖1　物理隔離一般結構

1.2正向隔離裝置一般原理

正向隔離裝置是安放在生產控制區（安全區Ⅰ和安全區Ⅱ）和信息管理區（安全區Ⅲ和安全區Ⅳ）之間的隔離裝置。它可以識別并屏蔽非法請求，有效防止跨權限的數據訪問，提高監控系統防御安全事故攻擊的水平，消除絕大部分的安全隱患[2]。

正向隔離裝置一般由內網處理單元、外網處理單元和專用固態存儲單元三部分構成。內網處理單元連接內網，外網處理單元連接外網，專用固態存儲單元在任意時刻只與其中一個處理單元連接[3]。其工作原理一般是：

（1）正向隔離裝置將外網接收的數據包的協議部分剝離，切斷內外網之間的協議連接；

（2）將數據包分解或重組成靜態數據并寫入正向隔離裝置的存儲介質，對靜態數據進行安全性與完整性檢查；

（3）數據寫入完成后，正向隔離裝置立刻斷開與外網處理單元的連接，發起與內網處理單元的連接，將存儲介質內的數據交給內網處理單元；

（4）內網處理單元接收數據后，根據不同協議類型進行封裝，最后發給內網。

針對正向隔離裝置的攻擊測試是在SysKeeper-2000網絡安全隔離裝置上完成的。此正向隔離裝置由兩個采用RISC體系結構的高性能嵌入式微處理器及輔助裝置組成隔離系統，如圖2所示，工作在OSI模型的所有層面，采用安全算法保證內外兩個安全區不同時連通，從而實現非網絡方式的數據交換。

圖2　正向隔離裝置基本結構

在單向傳輸控制方面，控制反向傳輸的物理芯片深度為4個字節，使得TCP應答無法攜帶應用數據。而在TCP連接方面，采取截斷TCP連接的方式，剝離數據包的頭部信息，將內網收到的純數據部分通過FIFO單向數據管道傳輸到外網，同時只允許不帶有任何數據的控制信息發送到內網[4]。數據包的過濾依據是：

（1）數據包的傳輸協議類型，容許TCP和UDP；

（2）數據包的源端地址，目的地址；

（3）數據包的源端口號，目的端口號；

（4）IP地址和MAC地址是否綁定。

正向隔離裝置對接收到的所有數據包進行檢查，從包頭提取信息，如源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、協議類型等[4]，再與已設立的規則逐條進行比對，執行相對應的策略，或者執行默認的策略。如有一條不符合，則丟棄數據包。

2　傳輸攻擊測試

2.1傳輸攻擊測試環境

為測試正向隔離裝置傳輸功能，尋找正向隔離裝置潛在的漏洞，搭建如圖3所示的傳輸功能和攻擊測試實驗環境。

圖3　傳輸攻擊測試實驗環境

圖3中，內網IP為192.168.1.1，虛擬IP為10.144.1.2；外網IP為10.144.1.1，虛擬IP為192.168.1.2。攻擊端Hacker與外網主機通過路由器相連，路由器模擬Internet。考慮到實際電力系統中，PC操作系統一般采用的是XP或者更低版本的Windows系統，因此，內外網主機采用XP SP3系統，攻擊端Hacker操作系統則不限。

2.2傳輸功能測試

首先進行正向隔離的傳輸功能測試，檢驗其是否正常工作。實驗環境中的路由器和攻擊端Hacker不參與數據傳輸測試。數據文件從內網客戶端發送到外網服務器端，采用TCP/IP方式。正向隔離裝置配置如表1所示。

表1　正向隔離裝置配置

表1中，內外網均沒有綁定mac；外網端口固定為9898；內網端口設為0，表示端口交由客戶端內核處理，選擇空閑的端口發送數據包。功能測試結果如圖4，4(a)客戶端發送了5個不同類型的文件，4(b)服務端收到這5個不同的文件，可以看出正向隔離裝置對文件類型并不進行過濾。

圖4　傳輸功能測試結果

正向隔離裝置安放在生產控制區和信息管理區之間，其功能是保證數據完整實時的從生產控制區傳向信息管理區，阻斷反向傳遞。通過傳遞實驗，正向隔離裝置并不對數據傳輸類型進行過濾，那么可能存在安全隱患，例如在生產控制區通過某種手段攻陷連接正向隔離裝置的內網主機，向外網信息管理區傳遞虛假數據，使之進行錯誤操作導致事故。

2.3反向擊穿測試

反向擊穿測試使用電力專用橫向隔離裝置測試程序，在內網客戶端和外網服務器端以及正向隔離裝置間進行，實驗環境中的路由器和攻擊端Hacker不參與測試。測試程序由內網客戶端向外網服務器端發送一個字符9，并希望服務器將這個字符返回回來。如果內網客戶端收到這個字符，則說明正向隔離裝置被擊穿存在漏洞。測試結果如圖5所示，服務器端確實收到客戶端發送的字符，并用16進制0×09表示，同時向內網客戶端返回字符0×09，而客戶端沒有收到任何消息，隔離裝置成功起作用。

圖5　電力專用橫向隔離裝置測試程序測試結果

2.4實際攻擊測試

在實際攻擊測試中，實驗環境所有設備均參與測試。攻擊由攻擊端Hacker發起。正向隔離裝置配置如表2所示。

表2　正向隔離裝置配置

內外網主機均不綁定mac；內網端口設定為9001，外網端口設定為9898；內外網主機選擇各自的Eth1網卡。在正向隔離裝置的傳輸測試中，TCP三次握手中第二次握手能夠通過隔離裝置傳回內網，那么如果采用UDP方式發送數據包，按照TCP走過的鏈路原路返回過去，能否擊穿隔離裝置？

攻擊第一階段是控制外網主機，攻擊端Hacker使用Metasploit發起攻擊。首先使用Nmap對外網主機進行端口掃描，發現開放了135端口，此端口是遠程過程調用協議（RPC）使用。查找針對RPC的攻擊技術；配置攻擊模塊，設置RHOST為靶機IP，目標操作系統選擇默認，攻擊載荷選擇默認；exploit實施攻擊；成功獲取到metepreter，輸入shell獲取到內網主機的cmd命令行，成功入侵。

攻擊第二階段是嘗試入侵內網主機。入侵外網主機后，通過抓包獲取到內網的IP（10.144.1.2）和端口（9001）；修改向內網發送的數據包，綁定內外網發送端口號，如圖6所示；向內網發送木馬程序，木馬程序設計為到達內網后，向外網反饋數據，證實隔離裝置被攻破。

圖6　數據包代碼修改

實驗結果外網沒有收到任何數據，可能隔離裝置成功隔離了反向數據傳輸，也可能木馬程序并未運行或者其它原因。

進一步實驗驗證隔離裝置是否攔截反向數據傳輸。在內外網主機安裝自己編寫的UDP程序，程序功能是正常傳輸時，內網主機通過9001端口向外網主機9898端口發送數據，外網主機收到數據并顯示在屏幕上；反向攻擊時，外網主機通過9898端口向內網主機9001端口發送數據，內網主機收到數據并顯示在屏幕上。

實驗結果，正常傳輸外網主機能收到內網發送的數據并顯示在屏幕上；反向攻擊時，內網主機收不到任何數據。通過Wireshark抓取外網主機發送的數據包，如圖7(b)可以看出，數據包確實是從端口9001發送至9898，所攜帶的數據內容也與外網主機送的數據圖7(a)，內容一致。經過多次實驗和查閱相關資料后，分析出數據包無法送達內網的原因是，數據包由外網發送到隔離裝置，隔離裝置對其拆包檢查，匹配協議類型為UDP，在隔離裝置的外網配置IP表中查找數據包的源IP。當檢查出數據包的源IP不在已配置的IP地址中，丟棄數據包。隔離裝置成功發揮作用。

3　結語

本文對正向隔離裝置進行了功能測試和攻擊測試。在功能測試中，正向隔離裝置并不對所傳輸的文件進行過濾，存在一定的安全隱患。隔離裝置需要增加對文件的過濾功能。在攻擊測試第一階段中，攻擊端輕而易舉就入侵外網主機。考慮電力系統PC操作系統自身資源的限制，僅僅依靠自身完成對攻擊者的防御并不現實。在實際中，電力系統PC盡可能布置在攻擊者很難或者需要付出巨大代價才能觸及的位置，關鍵點的PC應加裝殺毒等防護軟件。攻擊測試的第二階段，反向實驗是根據正向隔離裝置TCP傳輸測試中，第二次握手能夠反向通過隔離裝置來設計的。正向隔離裝置在反向攻擊測試中均發揮了反向隔離作用，阻止各種反向發送的數據包，保護了內網的安全。根據隔離裝置TCP傳輸特性還有一些攻擊手段，這些在將來的研究將進一步對正向隔離裝置進行測試。

[1] 安天. 烏克蘭電力系統遭受攻擊事件綜合分析報告[R]. 2016.

[2] 申永輝. 電力專用安全隔離裝置的原理和應用[J]. 湖南電力, 2006, 26 (9) : 31 - 33.

[3] 張紅江. 網閘技術在社會保障信息系統中的應用[J]. 電子工程師, 2007 (11) : 62 - 64.

[4] 南京南瑞集團公司. SysKeeper-2000網絡安全隔離裝置用戶手冊[Z], 2010.

[5] 倪明. 電力系統惡意信息攻擊的思考[J]. 電力系統自動化, 2016, 40 (5) : 148 - 151.

[6] 楊清宇, 楊潔, 馬訓明. 電力系統中假數據注入攻擊研究[J]. 微電子學與計算機, 2011, 28 (12) : 175 - 179.

Vulnerability Analysis and Defense of the Forward Isolation Device in Power System

近年來針對電力系統的惡意攻擊導致電力系統嚴重故障，嚴重危害電力系統安全，電力系統正向隔離裝置面臨巨大的攻擊風險。本文針對該裝置進行了正向傳輸和反向攻擊測試，測試了多種數據類型的隔離效果，發現了惡意數據的傳輸情況。最后對主要工作和研究內容進行了總結，指出了有待進一步改進的方法和研究的問題。

電力系統；信息安全；隔離裝置；攻擊測試

In recent years, the malicious attacks on power system are leading to serious power system failure and seriously endangering the electric power system security. The forward isolation device is facing a huge risk of attack. In this paper, the device is carried out for both forward transmission and reverse attack tests. The isolation effect of the device for multiple data types is also tested. In these tests, malicious data transmission isfound. The summariesof the main work and research contents are presented at the end of the thesis, and further work is also pointed out.

Power systems; Information security; Physical isolation equipment; Attack test

上海科委地方能力建設項目（15110500700）；上海市浦江人才計劃資助（16PJ1433100）；上海自然科學基金（16ZR1436300）

圖7外網主機向內網主機發送數據及對外網主機的抓包分析

張林鵬（1991-），男，河北邢臺人，在讀碩士，現就讀于上海電力學院計算機科學與技術學院信息安全系，主要研究方向為電力系統惡意攻擊檢測。

王勇（1973-），男，教授，現就職于上海電力學院計算機科學與技術學院信息安全系，主要研究方向為電力系統入侵檢測。