智能變電站網(wǎng)絡(luò)安全風險分析工具設(shè)計與實現(xiàn)

王勝 張凌浩 張菊玲 肖力川 唐超

摘要：智能變電站網(wǎng)絡(luò)安全作為電網(wǎng)生產(chǎn)安全的重要組成部分所面臨的問題日趨嚴重。本文通過對智能變電站的安全現(xiàn)狀進行分析，提出了智能變電站網(wǎng)絡(luò)安全風險評估工具的設(shè)計與實現(xiàn)。通過采用已知漏洞掃描、未知漏洞挖掘以及靜態(tài)評估等功能，實現(xiàn)對智能變電站的全面風險評估的手段，達到對智能變電站網(wǎng)絡(luò)安全風險的管控，提升了智能變電站的整體安全。

關(guān)鍵詞：智能變電站;風險管控;設(shè)計

中圖分類號：TN914 文獻標識碼：A 文章編號：1007-9416（2018）11-0177-03

0 引言

隨著網(wǎng)絡(luò)與信息技術(shù)在電力系統(tǒng)中的應(yīng)用，病毒、網(wǎng)絡(luò)攻擊使得電力行業(yè)網(wǎng)絡(luò)與信息安全形勢日益嚴峻。主要體現(xiàn)在以下方面：一是網(wǎng)絡(luò)黑客組織的協(xié)調(diào)和攻擊能力迅速加強;二是APT（高級持續(xù)性威脅）網(wǎng)絡(luò)攻擊的針對性、持續(xù)性、隱蔽性空前增強;三是針對電力工控系統(tǒng)特點研發(fā)的網(wǎng)絡(luò)戰(zhàn)武器日趨增多（如“震網(wǎng)”病毒）。在工控系統(tǒng)安全分析方面，國外已經(jīng)走在世界的前列。與此相比，國內(nèi)相關(guān)工作相對滯后，缺乏國內(nèi)自主可控的智能變電站信息安全分析技術(shù)及工具。

本文通過研究分析智能變電站的安全風險和安全評估方法，在此基礎(chǔ)上，設(shè)計并實現(xiàn)智能變電站信息安全評估工具。該工具能夠有效檢測智能變電站系統(tǒng)存在的脆弱性，發(fā)現(xiàn)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，為排查智能變電站系統(tǒng)安全隱患、堵塞系統(tǒng)安全漏洞提供有效手段。

1 智能變電站安全分析

針對智能變電站的信息安全攻擊和破壞，可以描述為以破壞或降低智能變電站自動化系統(tǒng)功能為目的，在未經(jīng)許可情況下對信息通信系統(tǒng)和控制系統(tǒng)行為（各種保證智能變電站正常運行的電力自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測、傳輸?shù)倪^程控制組件的工作狀態(tài)）進行追蹤，利用基于IEC61850的智能變電站通信網(wǎng)絡(luò)和系統(tǒng)存在的漏洞和安全缺陷（如操作系統(tǒng)漏洞/通信協(xié)議漏洞/應(yīng)用軟件漏洞等）對系統(tǒng)本身或資源進行攻擊。

通過對智能變電站進行風險分析，得到網(wǎng)絡(luò)安全風險來源來自于以下幾個方面。

1.1 信息系統(tǒng)信息安全風險

信息系統(tǒng)風險指站控層和間隔層設(shè)備自身操作系統(tǒng)存在的信息安全漏洞，包括計算機操作系統(tǒng)漏洞、文件漏洞、數(shù)據(jù)庫漏洞等。

1.2 控制系統(tǒng)信息安全風險

控制系統(tǒng)存在的信息安全漏洞是控制系統(tǒng)信息安全風險的主要來源，從已經(jīng)公布的工業(yè)控制系統(tǒng)漏洞可以發(fā)現(xiàn)，主流的工業(yè)控制系統(tǒng)廠商的產(chǎn)品均存在如緩沖區(qū)溢出、后門口令等高危漏洞。智能變電站控制系統(tǒng)漏洞主要針對間隔層和過程層的各類設(shè)備和終端，包括嵌入式操作系統(tǒng)漏洞、嵌入式應(yīng)用軟件漏洞等。

1.3 通信協(xié)議信息安全風險

智能變電站采用的通信協(xié)議如IEC61850 MMS、Goose、SV在設(shè)計時對信息安全考慮的不夠完善，來自站控層一側(cè)的非授權(quán)的惡意指令會導致控制系統(tǒng)以及其他連接在網(wǎng)絡(luò)上的設(shè)備不可用，Goose報文和SV報文采用多播消息進行局域網(wǎng)內(nèi)通信，針對此兩類通信的攻擊手段至少包括拒絕服務(wù)攻擊、篡改攻擊、重放攻擊等。

1.4 運維信息安全風險

智能變電站設(shè)備的運維多數(shù)由設(shè)備廠商提供，這些運維人員的設(shè)備直接和智能變電站設(shè)備通過網(wǎng)絡(luò)、本地調(diào)試接口等連接，很容易在運維過程中將惡意代碼或其他信息安全風險引入智能變電站設(shè)備。

1.5 人員安全風險

智能變電站已經(jīng)具備了信息安全技術(shù)和管理保障措施、手段和制度，但技術(shù)和管理人員的信息安全意識決定了這些措施、手段和制度的效果，如果人員的信息安全意識不足，會帶來一定的信息安全風險。

2 智能變電站安全風險分析工具的設(shè)計實現(xiàn)

智能變電站網(wǎng)絡(luò)安全分析工具包含已知漏洞掃描單元、未知漏洞挖掘單元及靜態(tài)評估單元，同時結(jié)合評估人員的實際需求，設(shè)計帶友好界面的WEB門戶，及用于導出評估結(jié)果的分析結(jié)果綜合評估單元。

工具的整體功能模塊圖如圖1所示。

智能變電站系統(tǒng)信息安全分析及評估工具在技術(shù)上采用了B/S架構(gòu)進行實現(xiàn)，工具由信息安全分析評估平臺、信息安全分析評估引擎兩個部分組成。

直接面向評估人員的評估平臺包含系統(tǒng)管理、終端管理、任務(wù)管理、評估結(jié)果管理及狀態(tài)和統(tǒng)計功能幾大部分。

軟件后臺（信息安全分析評估引擎）則具體包含已知漏洞掃描引擎、未知漏洞挖掘引擎、靜態(tài)評估引擎，以及系統(tǒng)管理和終端管理模塊。

2.1 安全分析評估模塊

信息安全分析評估模塊是整個系統(tǒng)的訪問入口，實現(xiàn)整個系統(tǒng)的管理、用戶操作接口、信息安全分析評估引擎的調(diào)用和管理等功能，負責前端顯示，具體包括狀態(tài)和統(tǒng)計單元、系統(tǒng)管理單元、終端管理單元、任務(wù)管理單元、評估結(jié)果管理單元共5個單元。

狀態(tài)和統(tǒng)計單元主要用于檢測平臺顯示歷史掃描結(jié)果和系統(tǒng)配置信息，包括漏洞分布統(tǒng)計模塊、危害等級統(tǒng)計模塊、操作日志模塊、系統(tǒng)狀態(tài)模塊共4個模塊。漏洞分布統(tǒng)計模塊根據(jù)漏洞的類型對檢測結(jié)果進行定量統(tǒng)計，漏洞類型包括操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、應(yīng)用服務(wù)類漏洞、網(wǎng)絡(luò)類漏洞等。危害等級統(tǒng)計模塊根據(jù)漏洞的危害程度對檢測結(jié)果進行定量統(tǒng)計，危害等級分為高危、中危、低危和安全4個等級。操作日志模塊主要實現(xiàn)智能變電站脆弱性分析評估系統(tǒng)各個子系統(tǒng)、單元的用戶操作、告警記錄、歷史訪問等內(nèi)容的記錄功能。系統(tǒng)狀態(tài)模塊主要實現(xiàn)智能變電站脆弱性分析評估系統(tǒng)自身運行狀態(tài)、版本等信息的顯示功能，具體包括CPU使用率、內(nèi)存使用率、數(shù)據(jù)庫磁盤空間占用、產(chǎn)品版本、連續(xù)運行時間等內(nèi)容。

系統(tǒng)管理單元主要用于系統(tǒng)基本配置和用戶角色的設(shè)置和管理，包括用戶權(quán)限管理模塊、基本設(shè)置模塊、網(wǎng)絡(luò)設(shè)置模塊、系統(tǒng)升級管理模塊共4個模塊。

用戶權(quán)限管理模塊主要實現(xiàn)用戶信息管理、用戶角色分配、用戶權(quán)限劃分等功能。基本設(shè)置模塊主要實現(xiàn)系統(tǒng)應(yīng)用配置、時間設(shè)置、磁盤空間管理等功能。網(wǎng)絡(luò)設(shè)置模塊主要實現(xiàn)系統(tǒng)網(wǎng)卡配置、防火墻配置等功能。系統(tǒng)升級管理模塊主要實現(xiàn)系統(tǒng)中各主要功能模塊和引擎的升級、數(shù)據(jù)庫升級、應(yīng)用升級、系統(tǒng)自身補丁安裝等功能。

終端管理單元主要用于被測電網(wǎng)的變電站設(shè)備管理，包括組織結(jié)構(gòu)管理模塊、終端設(shè)備管理模塊、終端設(shè)備在線統(tǒng)計模塊共3個模塊。組織結(jié)構(gòu)管理模塊主要實現(xiàn)管理區(qū)域下轄變電站的組管理功能。終端設(shè)備管理模塊主要實現(xiàn)變電站內(nèi)各個控制系統(tǒng)設(shè)備和信息系統(tǒng)設(shè)備的發(fā)現(xiàn)、錄入、配置功能。終端設(shè)備在線統(tǒng)計模塊主要實現(xiàn)已錄入設(shè)備的在線檢測功能。

任務(wù)管理單元主要用于脆弱性分析評估主要業(yè)務(wù)的任務(wù)管理功能，其中包括已知漏洞掃描任務(wù)模塊、未知漏洞挖掘任務(wù)模塊、靜態(tài)評估任務(wù)模塊、歷史任務(wù)管理模塊共4個模塊。已知漏洞掃描任務(wù)模塊主要實現(xiàn)對已知漏洞掃描引擎的工作任務(wù)配置功能。未知漏洞挖掘模塊主要實現(xiàn)對未知漏洞挖掘引擎的工作任務(wù)配置功能。靜態(tài)評估任務(wù)模塊主要實現(xiàn)靜態(tài)評估工具的任務(wù)建立下發(fā)等管理功能。歷史任務(wù)管理模塊主要實現(xiàn)歷史任務(wù)的記錄、回溯等功能。

評估結(jié)果管理單元主要用于收集各任務(wù)引擎對應(yīng)的脆弱性分析評估結(jié)果，并匯總成綜合評估報告，包括已知漏洞掃描報表模塊、未知漏洞挖掘報表模塊、靜態(tài)評估報表模塊、綜合評估報告模塊共4個模塊。已知漏洞掃描報表模塊主要實現(xiàn)對已知漏洞掃描結(jié)果的訪問、分析、評分功能。未知漏洞挖掘報表模塊主要實現(xiàn)對未知漏洞挖掘結(jié)果的訪問、分析、評分功能。靜態(tài)評估報表模塊主要實現(xiàn)對靜態(tài)評估結(jié)果的訪問、分析功能。綜合評估報告模塊主要實現(xiàn)以上3個報表的匯總和總體評分，給出修復建議和預防措施，對風險控制策略進行有效審核等功能。

2.2 安全分析評估引擎

安全分析評估引擎是整個系統(tǒng)的具體業(yè)務(wù)功能載體，負責智能變電站系統(tǒng)信息安全分析評估的后端處理，包括系統(tǒng)管理單元、已知漏洞掃描引擎單元、未知漏洞挖掘引擎單元、靜態(tài)評估引擎單元、終端管理單元共5個單元。

系統(tǒng)管理單元主要用于接收來自脆弱性檢測平臺的系統(tǒng)操作指令，包括系統(tǒng)配置管理模塊、單點登錄管理模塊、日志管理模塊、運行狀態(tài)監(jiān)控模塊共4個模塊。系統(tǒng)配置管理模塊主要實現(xiàn)系統(tǒng)基本設(shè)置、網(wǎng)絡(luò)設(shè)置、文件管理等具體配置功能。單點登錄管理模塊主要實現(xiàn)用戶對各個業(yè)務(wù)模塊的統(tǒng)一登錄訪問功能。日志管理模塊主要實現(xiàn)系統(tǒng)日志、操作日志、任務(wù)信息等內(nèi)容的管理、維護功能。運行狀態(tài)監(jiān)控模塊主要實現(xiàn)系統(tǒng)運行狀況、資源分配占用、多用戶訪問情況等的監(jiān)控功能。

已知漏洞掃描引擎單元主要用于實現(xiàn)基于已知漏洞庫的漏洞掃描業(yè)務(wù)，包括漏洞掃描模塊、端口掃描模塊、口令破解模塊、引擎配置模塊共4個模塊。漏洞掃描模塊主要實現(xiàn)基于策略的已知漏洞掃描功能，掃描對象包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)、嵌入式軟件、工控專用軟件、網(wǎng)絡(luò)協(xié)議、工業(yè)現(xiàn)場總線等，掃描策略包括不同強度類型的掃描、Windows或類Unix設(shè)備或嵌入式操作系統(tǒng)的掃描、網(wǎng)絡(luò)服務(wù)掃描、數(shù)據(jù)庫掃描、攻擊掃描、虛擬化平臺掃描等。端口掃描模塊主要實現(xiàn)對被測試設(shè)備開放端口的掃描功能，掃描方式包括TCP掃描和UDP掃描。口令破解模塊主要實現(xiàn)變電站設(shè)備中可能存在的弱口令掃描和破解功能，口令類型包括SMB協(xié)議、SNMP協(xié)議、ORACLE數(shù)據(jù)庫、MS SQL數(shù)據(jù)庫、MySQL數(shù)據(jù)庫、FTP協(xié)議、Telnet協(xié)議、POP3協(xié)議、IMAP協(xié)議、Rlogin協(xié)議、SSH協(xié)議、DB2數(shù)據(jù)庫等。引擎配置模塊主要實現(xiàn)已知漏洞掃描引擎的參數(shù)配置、策略管理、掃描任務(wù)設(shè)置等功能。

未知漏洞挖掘引擎單元主要利用模糊測試技術(shù)，通過模擬智能變電站內(nèi)各個設(shè)備相應(yīng)的通信協(xié)議發(fā)送機制，向其發(fā)送變異或包含錯誤的測試報文，監(jiān)視被測對象的響應(yīng)報文以發(fā)現(xiàn)錯誤，進而發(fā)現(xiàn)智能變電站的安全隱患。未知漏洞挖掘引擎單元包括漏洞挖掘模塊、測試用例管理模塊、協(xié)議管理模塊、引擎配置共4個模塊。漏洞挖掘模塊主要實現(xiàn)引擎對被測設(shè)備的報文發(fā)送和監(jiān)聽、監(jiān)測結(jié)果分析等功能。測試用例管理模塊主要實現(xiàn)測試用例集的管理和腳本分析功能。協(xié)議管理模塊主要實現(xiàn)被測試網(wǎng)絡(luò)或工控協(xié)議的管理，包括TCP/IP類標準以太網(wǎng)協(xié)議以及Modbus、IEC61850、DNP3等電網(wǎng)常用工控協(xié)議。引擎配置模塊主要實現(xiàn)未知漏洞挖掘引擎的參數(shù)配置、測試用例規(guī)則配置、模糊報文數(shù)量控制、變異庫范圍控制等功能。

靜態(tài)評估工具單元采用靜態(tài)評估工具對智能變電站的日常管理維護工作方法和流程進行問卷評估，包括調(diào)查問卷模塊、評分管理模塊、工具配置模塊共3個模塊。調(diào)查問卷模塊主要實現(xiàn)調(diào)查問卷的網(wǎng)絡(luò)頁面實現(xiàn)和填表功能。評分管理模塊主要實現(xiàn)問卷題目和答案的匹配檢查功能。工具配置模塊主要實現(xiàn)參加測試人數(shù)控制、題目范圍控制等功能。另外，智能變電站管理維護工作的責任主體包括運行人員、繼保人員等相關(guān)工作人員。測試評估的依據(jù)主要包括國家信息安全等級保護制度和《電力監(jiān)控系統(tǒng)安全防護規(guī)定》有關(guān)要求。

3 應(yīng)用實踐

通過選取實驗環(huán)境對工具的有效性進行了應(yīng)用實驗，測試包括了合并單元和智能終端以及保護裝置、公用測控品牌均為許繼，測控裝置以及遠動測控裝置品牌為深瑞。故障錄波系統(tǒng)和網(wǎng)絡(luò)報文分析裝置品牌為中元華電，操作系統(tǒng)為Windows XP系統(tǒng)。監(jiān)控主機（操作員站）所采用操作系統(tǒng)為Solaris。交換機為東土的SICOM2024P工業(yè)交換機。除此以外，測試對象還擁有一套遠動測控裝置，遠動測控裝置屬于站控層，通過抓取站控層交換機數(shù)據(jù)通過電力調(diào)度數(shù)據(jù)網(wǎng)傳到變電站所屬的調(diào)度中心。遠動測控裝置向調(diào)度中心傳輸數(shù)據(jù)采用縱向加密。

通過應(yīng)用測試發(fā)現(xiàn)以下網(wǎng)絡(luò)安全風險：

3.1 裝置報警

通過對間隔層設(shè)備發(fā)送基于模板和經(jīng)驗值生成的異常數(shù)據(jù)，SCADA系統(tǒng)的報警信息報告裝置異常，如圖2所示。

3.2 非法操作

通過基于模板的異常數(shù)據(jù)測試，發(fā)現(xiàn)過程層的終端設(shè)備會響應(yīng)部分畸形報文，做出分合閘動作，如圖3所示。

4 結(jié)語

智能變電站網(wǎng)絡(luò)安全作為電網(wǎng)生產(chǎn)安全重要組成部分，本文介紹了一種智能變電站網(wǎng)絡(luò)安全分析工具的設(shè)計和實現(xiàn)方法，用于發(fā)現(xiàn)智能變電站中存在的網(wǎng)絡(luò)安全問題，工具針對智能變電站可能存在的已知漏洞、未知漏洞以及智能變電站可能存在的管理漏洞進行覆蓋，能夠較為全面的了解智能變電站安全脆弱性現(xiàn)狀，為提升智能變電站信息安全防護提供技術(shù)支撐和設(shè)計依據(jù)。

參考文獻

[1]Q/GDW 383-2009 智能變電站技術(shù)導則[S].國家電網(wǎng)公司，2009.

[2]常英賢.工控安全建設(shè)國家電網(wǎng)先行[J].中國信息安全，2016，（4）：59-61.

[3]吳在軍，胡敏強.基于 IEC61850 標準的變電站自動化系統(tǒng)研究[J].電網(wǎng)技術(shù)，2003，27（10）：61-65.

[4]李孟超，王允平，李獻偉，等.智能變電站及技術(shù)特點分析[J].電力系統(tǒng)保護與控制，2010 （18）：59-62.

[5]曹楠，李剛，王冬青.智能變電站關(guān)鍵技術(shù)及其構(gòu)建方式的探討[J].電力系統(tǒng)保護與控制，2011，39（5）：63-68.

[6]劉劼，徐超，徐聲龍，等.智能變電站工控系統(tǒng)安全防護技術(shù)研究[J].能源與環(huán)保，2017，39（12）：140-144+148.

Design and Implementation of Network Security Risk Analysis Tool for Smart Substation

WANG Sheng1，ZHANG Ling-hao1，ZHANG Ju-ling2， XIAO Li-chuan3，TANG Chao1

（1. State Grid Sichuan Electric Power Research Institute， Chengdu? Sichuan 610000;

2.State Grid Sichuan Electric Power Dazhou Power Company， Dazhou Sichuan 635000;

3.State Grid Sichuan Electric Power Company Yadian Group Company， Ya'an Sichuan 625200）

Abstract：Intelligent substation network security as an important part of power grid production security is facing increasingly serious problems. Based on the analysis of the security status of intelligent substation， this paper presents the design and implementation of network security risk assessment tool for intelligent substation. By using the functions of known vulnerability scanning， unknown vulnerability mining and static evaluation， the comprehensive risk assessment of smart substation can be realized， and the network security risk of smart substation can be controlled， and the overall security of smart substation can be improved.

Key words：intelligent substation; risk management and control; design