發電廠SCADA漏洞和對策分析

李嘉盛

摘要：現如今，SCADA系統在面臨著傳統的安全性和可用性問題的同時，還面臨著新的安全威脅。主要是由于在復雜系統中廣泛使用ICT（Information Communications Technology）和網絡技術使得SCADA系統出現了更多地漏洞和弱點。本文分析了SCADA系統的特點和所面臨的安全問題。介紹了Igor Nai Fovino創建的發電廠網絡攻擊實驗平臺和攻擊場景，從TCP/IP和SCADA協議兩方面分析了SCADA的安全對策。

關鍵詞：SCADA系統；電力系統安全；信息安全；工業控制系統

中圖分類號：TE88 文獻標識碼：A 文章編號：1007-9416（2017）06-0224-01

1 SCADA系統及其特點

SCADA（Supervisory Control And Data Acquisition）即數據采集與監視控制系統，是能量管理系統（EMS）的一個重要子系統。由人機界面（HMI）、遠程終端單元（RTU）、監視管理系統、可編程控制器（PLC）組成。SCADA系統是以計算機為基礎的變電站綜合自動化，它可以對現場的運行設備進行監視和控制，以實現數據采集、設備控制、測量、參數調節以及各類信號報警等功能。實現變電站的遙測、遙控、遙信和遙調功能。

2 SCADA系統的安全問題

現如今大部分電廠的過程控制網絡和公司的業務網絡都與公共網絡相連，以便于工程師在企業內部網對SCADA系統進行監視和控制和快速訪問電力系統的狀態數據。SCADA網絡是基于各種通信信道和網絡技術的，包括以太網、 串行鏈路、無線通信等，這些設備之間的通信遵循標準通信協議。然而這也給不法分子以可乘之機。通過信息外網滲透進入SCADA網絡，破壞電力系統的可用性，數據的完整性、保密性，引發非常嚴重的后果，例如2015年12月的烏克蘭停電事件[3]。歐盟委員會聯合研究中心的意大利學者Igor Nai Fovino建立了一個用于測試SCADA系統安全性的實驗平臺，模擬典型發電廠的物理和控制結構，運行和分析侵入式ICT實驗的影響。我們接下來將介紹這個實驗平臺及攻擊場景。

3 實驗平臺及攻擊場景

Igor Nai Fovino的實驗設施完全再現了發電廠的場景，由以下元素組成：現場網絡、過程網絡、非軍事區、企業內網、外部網絡、觀察員網絡、分析系統、橫向服務網絡[1]。

3.1 RADIUS拒絕服務攻擊

在模擬的僵尸網絡中安裝惡意軟件，以高吞吐量（700Mb /秒）向Radius服務器發送偽造數據包，在55秒內使其帶寬達到飽和。大大限制甚至完全拒絕了對特定資源的訪問，直接影響到電廠的維護和管理程序。

3.2 ICT蠕蟲感染

蠕蟲是獨立運行自我復制的計算機程序，Igor Nai Fovino創建了一個可利用SCADA服務器上的軟件漏洞，將其自身擴展到過程網絡中。關閉網絡連接，將SCADA服務器與網絡的其余部分隔離開來。

3.3 過程網絡惡意軟件感染

基于一些病毒（如Slammer，Codered）的感染技術創建了一組惡意軟件，通過感染的主機資源感染新的主機進行SCADA Dos攻擊：嘗試發現并連接到同一個受感染機器網絡的從站，并開始發送大量SCADA協議（如Modbus）數據包，試圖超載它們的網卡；或進行SCADA COM攻擊：在發現連接到受感染機器的同一網絡的從站后，向他們發送一組相關的SCADA命令使系統處于某種危險狀態。

3.4 網絡釣魚攻擊和本地DNS中毒

網絡釣魚攻擊通常是通過使目標用戶與惡意網站進行連接，通過某種方式使其相信與合法網站相連，從而使其向惡意對方提供敏感數據或登錄憑據。在Igor Nai Fovino的實驗中，是通過修改目標運營商的本地DNS表來實現的。每當目標操作員試圖訪問某個特定的SCADA服務器時，他將被透明地重新路由到由攻擊者創建的假SCADA服務器。攻擊者可以向運營人提供發電廠狀態的虛假圖片，也可以獲得運營商憑證，以便能夠直接訪問SCADA系統以進一步發展攻擊[1]。

Igor Nai Fovino的實驗所用的都是傳統信息網絡中的常見攻擊手段，但都從信息外網攻擊了SCADA系統，對物理設備的正常運行造成了影響。

4 對策

4.1 TCP/IP對策

TCP/IP協議易受到中間人攻擊、重播攻擊等攻擊，利用GRE、IPSec等隧道協議的隱藏報頭、加密報文、認證、時間戳等功能來保護數據包，使得只有接收者能夠理解流的內容，沒有人能修改或重用數據包。在實際的使用中，通常應用這種解決方案，比如通過點到點的VPN技術在內聯網操作員的PC和過程網絡防火墻之間創建安全通道。

4.2 SCADA協議對策

DNP（Distributed Network Protocol，分布式網絡協議）是一種應用于自動化組件之間的通訊協議，SCADA可以使用DNP協議與主站、RTU、及IED進行通訊。DNP協議有一定的可靠性，可以用來對抗惡劣環境中產生的電磁干擾、元件老化等信號失真現象，但DNP在設計之初沒有考慮安全問題，不保證在黑客的攻擊下、或者惡意破壞控制系統的情況下的可靠性。DNP3可通過封裝在以太網上運行，支持DNP3協議的從設備默認會開放TCP的20000端口用于通信。DNP3協議在設計之初也沒有考慮到安全、認證等的一些因素，以致后來出現了Secure DNP3（主要加強了認證）[2]。

Modbus協議出現于1979年，是全球第一個真正用于工業現場的總線協議，也是一種應用層報文傳輸協議，保證了控制器相互之間、控制器經由網絡（例如以太網）和其他設備之間可以通信，有ASCII、RTU、TCP三種報文類型。Modbus協議在設計之初也僅僅考慮了功能實現、提高效率、提高可靠性等方面，而沒有考慮認證、授權、加密等安全問題。可以通過異常行為檢測、安全審計、使用網絡安全設備等方法降低Modbus協議所帶來的安全性問題[4]。

5 結語

現代電力系統的正常運行無時無刻不依賴于一個可靠的信息系統。無論是2015年的烏克蘭停電事件，還是本文所介紹的Igor Nai Fovino的實驗，都證明了從信息網絡向SCADA系統及其物理網絡的攻擊是可行的。而一旦電力系統受到了惡意攻擊的破壞，將造成嚴重的經濟與社會影響。所以，我們應當掌握更多的手段，來保證電力系統的安全性。

參考文獻

[1]Igor Nai Fovino An experimental platform for assessing SCADA vulnerabilities and countermeasures in power plants IEEE Conference Publications，2010.

[2]燈塔實驗室.DNP3協議簡單介紹及協議識別方法.

[3]郭慶來.由烏克蘭停電事件看信息能源系統綜合安全評估[J].電力系統自動化，2016.

[4]左衛.Modbus協議原理及安全性分析[J].通信技術，2013.endprint