智能變電站嵌入式終端安全測試方法研究

李福陽，李俊娥，劉林彬，劉威，林海，倪明

(1.空天信息安全與可信計算教育部重點實驗室，武漢大學國家網絡安全學院，武漢市 430072；2.南瑞集團有限公司(國網電力科學研究院有限公司)，南京市 211106；3.國電南瑞科技股份有限公司，南京市 211106；4.智能電網保護和運行控制國家重點實驗室，南京市 211106)

0 引 言

智能變電站作為智能電網的關鍵組成部分，其網絡安全影響著整個電力系統的運行安全。然而，智能變電站二次設備的智能化及通信網絡的標準化也帶來了新的安全問題。例如，智能變電站嵌入式終端的系統版本低且運行周期長，系統內漏洞長期存在，修復過程復雜[1]；通信網絡中，IEC 61850協議欠缺加密認證機制，使得其報文極易被竊取、篡改、偽造[2]；攻擊者也可利用TCP/IP協議的脆弱性[3]對智能變電站嵌入式終端發起網絡攻擊。

信息系統安全測評是依據相關安全標準、利用相應測評方法、系統全面地評估信息系統的安全、發現安全隱患的過程。對智能變電站嵌入式終端開展安全測評可以及時發現終端的脆弱性，從而進行整改或制定相應的安全防護措施，提升智能變電站抵御網絡攻擊的能力。

已有學者對智能變電站二次系統的網絡安全測試技術及評估方法展開了相關研究。測試技術研究中，Chai Jiwen等[4]提出了一種智能變電站安全測試平臺，采用基于TCP/IP和IEC 61850協議的攻擊測試和模糊測試來檢測系統和協議潛在的漏洞，同時根據IEC 62443的要求來檢查智能變電站的配置合規性。Noce等[5]改進了GEESE方法，創建不同的網絡攻擊來檢測智能變電站中的漏洞，以測試智能變電站的安全性。劉姍梅等[6]采用已知漏洞掃描技術、未知漏洞挖掘技術以及靜態評估方法，分別對智能變電站的各層設備和日常管理進行安全評估。Elbez等[7]設計了一種基于IEC 61850智能變電站的信息物理融合系統測試平臺，描述了一些攻擊場景和過程，并測試了這些攻擊對智能變電站的影響。

評估方法研究中，劉念等[8]結合變電站自動化通信系統的特點和分布式系統脆弱性理論，提出了網絡環境下變電站自動化通信系統脆弱性評估方法。曹一家等[9]提出了一種考慮各種具體安全威脅的定量評估方法，利用層次分析法確定各種威脅的權重，基于D-S證據理論對各專家的決策進行信息集成，最后得到各安全威脅對變電站通信系統信息安全影響的大小排序。王媛媛[10]設計了智能變電站通信網絡安全評價系統，采用模糊綜合評價法進行數據分析，實現了對通信網絡安全等級在線評價的功能。Xiang Yingmeng等[11]量化了智能變電站網絡漏洞對供電可靠性的影響，提出了一種結合物理故障和網絡安全風險的電力系統可靠性評估框架。

上述的研究工作對本文部分測試技術的研究和評估方法的選取有很好的參考作用，但上述研究中的評估方法主要關注于安全測評中的評價指標量化方法，對智能變電站嵌入式終端的脆弱性分析及安全測評指標的研究較少。同時，測試技術并未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網絡攻擊，不能對智能變電站嵌入式終端開展全面的測試，在對智能變電站進行網絡安全測試時可操作性也較差。

目前電力行業對智能變電站的安全防護及測試規范包括《變電站二次系統安全防護方案》[12]、《電力信息系統安全等級保護實施指南》[13]、《信息安全技術 網絡安全等級保護基本要求》[14]、《信息安全技術 網絡安全等級保護測評要求》[15]等，這些規范對電力二次系統的業務系統分區、信息流向及通用安全防護措施等方面提出了安全防護標準及測試規范。但現有行業標準和規范僅在通用信息系統及電力信息系統的終端層面提出相應安全要求，沒有關于智能變電站嵌入式終端的規范和標準。現有行業標準及規范中的測試技術包括檢查技術、識別和分析技術及漏洞驗證技術，在具體測試中僅能涵蓋智能變電站嵌入式終端的系統漏洞安全測試，未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網絡攻擊。

因此，本文針對現有測評指標及測試方法的不足，分析終端的脆弱性和可能遭受的網絡攻擊，提出適用于智能變電站嵌入式終端的安全測評指標及測試內容，并基于提出的指標體系，研究相應的安全測試方法，為智能變電站嵌入式終端的安全測試提供指標體系與方法指導，也為在線安全防護提供參考，以保障智能變電站的網絡安全。

1 智能變電站嵌入式終端脆弱性分析

1.1 智能變電站二次系統

智能變電站二次系統由二次設備和連接二次設備的通信網絡構成。以220 kV智能變電站為例[16]，其二次系統一般包括監控及數據采集(supervisory control and data acquisition, SCADA)系統、五防系統、繼電保護與故障信息系統、安全自動控制系統、電能量計量系統、故障錄波系統等業務系統；二次設備一般包括監控主機與后臺、遠動終端、保信子站、測控裝置、繼電保護與安全自動裝置、相量測量裝置(phasor measurement unit, PMU)、電能量采集終端及電能表、一次設備狀態監測裝置、智能終端、合并單元等設備。

智能變電站在邏輯上劃分為站控層、間隔層、過程層3層結構，物理上一般配置2層網絡，即站控層網絡和過程層網絡。站控層網絡又稱制造報文規范(manufacturing message specification, MMS)網，用于站控層設備和間隔層設備的信息交換，對數據傳輸的實時性和可靠性要求較低，但數據量相對較大。過程層網絡包括面向變電站事件對象(generic object oriented substation event，GOOSE)網和采樣值(sampled value，SV)網。GOOSE網主要用于保護設備之間的聯閉鎖信息交互、間隔層與過程層設備之間控制命令傳遞以及斷路器與隔離開關等開關量的采集，對實時性和可靠性要求非常高；SV網用于傳輸電子式互感器所產生的電氣量采樣值給保護裝置和測控裝置，數據量龐大，對實時性和可靠性的要求也很高。

依據電力二次系統安全防護方案中的“安全分區”原則[12]，智能變電站的業務系統原則上劃分為生產控制大區和管理信息大區，生產控制大區又可分為控制區(安全Ⅰ區)和非控制區(安全Ⅱ區)。控制區中的業務系統直接實現對電力一次系統的實時監控，非控制區中的業務系統不具備控制功能。

220 kV智能變電站二次系統包含的二次設備及位置如表1所示。

表1 智能變電站二次系統基本組成

控制區(安全Ⅰ區)中的業務系統直接實現對電力一次系統的實時監控，是電力生產的重要環節和安全防護的重點與核心，因此本文主要針對控制區的二次設備展開研究。常見的智能變電站控制區網絡架構如圖1所示。

圖1 智能變電站控制區網絡架構

智能變電站控制區中主要二次設備使用的操作系統及應用層通信協議如表2所示。

表2 智能變電站控制區二次設備所用的操作系統及協議

可見智能變電站控制區中絕大部分二次設備使用嵌入式操作系統和IEC 61850協議，這些設備對智能變電站的正常運行起著重要的作用。因此本文重點研究智能變電站的這一類二次設備，并統稱為智能變電站嵌入式終端。

1.2 智能變電站嵌入式終端脆弱性分析

脆弱性是攻擊者能夠達成攻擊目標的內因。對系統和設備進行脆弱性分析可以發現可能遭受的網絡攻擊，從而針對這些脆弱性對系統開展測試、修復及部署在線安全防護措施，保障系統運行安全。本文從操作系統、通信協議及終端特點3個方面分析智能變電站嵌入式終端的脆弱性。

1)嵌入式操作系統脆弱性。

由表2可知，目前智能變電站中二次系統的嵌入式終端大多采用嵌入式Linux和VxWorks操作系統。因此，本文重點對這兩種系統的脆弱性進行研究。經調研和對文獻及公共漏洞庫的分析，智能變電站嵌入式終端操作系統具有如下特點及脆弱性：

(1)智能變電站嵌入式終端使用周期長，大量漏洞長期存在。一方面，很多較早上線的終端使用低版本操作系統，如Linux 2.x～3.x內核，低版本系統中存在較多安全漏洞，如CVE-2012-0207、CVE-2009-1265和CVE-2006-1857等。另一方面，智能變電站嵌入式終端系統大多是對通用操作系統的裁剪優化，或是針對特定任務的定制系統，因而存在與通用補丁或安全軟件的兼容性問題，使得不易通過補丁修復漏洞和安裝安全軟件；同時由于通用操作系統的補丁兼容性較差，不同廠商需要針對自己定制裁剪后的系統進行補丁開發，開發及修復周期較長。因此嵌入式終端上的漏洞可能長期存在，使得終端缺乏抵抗攻擊的能力。攻擊者利用這些漏洞，可以達到使終端拒絕服務、獲取敏感信息或遠程代碼執行的目的。

(2)現有研究中關于VxWorks操作系統的公開漏洞極少，但也存在危害性極大的漏洞。例如，CVE-2010-2967所描述的密碼碰撞問題，一旦攻擊者暴力破解密鑰成功即可建立telnet、ftp、rlogin等會話，進而獲取系統控制權限，這將極大影響整個電網的安全性；CVE-2015-7599提到的整數溢出漏洞，成功利用的攻擊者可在OS中遠程執行任意代碼，破壞或繞過所有的內存保護，并且可以設置后門賬戶。

2)通信協議脆弱性。

智能變電站嵌入式終端主要采用IEC 61850協議，其中，GOOSE和SV報文直接封裝于以太網幀中使用組播方式傳播，MMS報文運行于TCP/IP協議之上。因此，本文重點針對IEC 61850及TCP/IP協議進行分析。智能變電站通信協議具有如下特點及脆弱性：

(1)IEC 61850協議在設計階段僅強調通信實時性與可用性，欠缺加密、認證等安全機制，使得GOOSE、SV和MMS等業務報文極易被竊聽、篡改和偽造，特別是使用組播通信的GOOSE和SV報文。攻擊者一旦通過某種跳板侵入電力工控系統內部，極易偽造虛假數據和發送惡意控制命令。

(2)TCP/IP協議以32 bit的IP地址來作為網絡節點的唯一標識，但IP地址只是通信報文中的一個參數，可以隨意修改，且TCP/IP協議中沒有檢驗機制來辨別數據包是否真正來自源IP地址對應的主機，因此攻擊者可以對報文的IP地址進行修改，從而基于IP欺騙對設備發起各類網絡攻擊。例如攻擊者可以廣播發送源地址為攻擊對象IP地址的Ping消息，使攻擊對象因無法處理大量ICMP echo reply消息而拒接服務(Smurf攻擊)；攻擊者也可以向攻擊對象發送大量源地址和目的地址為攻擊對象IP地址的報文，使攻擊對象由于不斷向自己轉發報文而拒絕服務(Land攻擊)。

(3)TCP/IP協議沒有控制資源的占有和分配。若主機的TCP連接中已經長時間未傳送數據，但只要對方沒有重啟或宕機，該主機也始終保持著TCP連接，這就導致了TCP連接資源的浪費，也使得使用TCP/IP協議的設備極易遭受拒絕服務攻擊。

3)終端自身或運維特點導致的脆弱性。

經實際調研和實驗驗證，智能變電站嵌入式終端由于其自身和運維特點還存在如下脆弱性：

(1)相較于傳統IT設備，智能變電站嵌入式終端計算資源有限，對報文的處理能力較差，在接收到大量報文后可能由于無法處理而宕機；同時終端生產廠家目前普遍僅考慮終端的功能性，終端上的很多應用未對非正常的報文進行判斷與處理，導致許多終端在接收到畸形報文時會發生宕機或重啟。

(2)終端生產廠家為了運維方便，可能會在終端上開啟生產控制大區禁止開放的服務，如FTP、Telnet、HTTP等，或在一些終端的固件中植入后門，這使得攻擊者易于向終端植入惡意代碼，進而遠程控制智能變電站的終端；大部分終端由廠商運維，即便只是使用本地運維接口，也使得攻擊者可能通過運維人員電腦將惡意代碼植入被運維設備。

1.3 智能變電站嵌入式終端可能遭受的網絡攻擊

由上節智能變電站終端脆弱性分析可知，智能變電站嵌入式終端可能遭受的網絡攻擊主要與嵌入式操作系統的漏洞、后門及IEC 61850和TCP/IP協議的脆弱性有關，依據攻擊所利用的脆弱性類型及攻擊機理，智能變電站嵌入式終端可能遭受的網絡攻擊類型如下：

1)漏洞利用攻擊。攻擊者利用終端中的漏洞而發起的攻擊。例如攻擊者可以利用緩沖區溢出漏洞讀取敏感數據、更改控制流、執行任意代碼甚至造成終端的崩潰，利用提權漏洞繞過訪問控制、提升控制權限、逃避運行檢測等。

2)惡意代碼攻擊。攻擊者利用終端中的后門或跳板在終端中植入惡意代碼而實施的攻擊。這類攻擊通常隱蔽性強，難以檢測，可以使攻擊者竊取運行數據、惡意控制終端、刪除重要配置文件，或以此終端為跳板對其他終端發起攻擊。

3)業務報文攻擊。攻擊者通過篡改、偽造和重放業務報文而干擾正常業務流程的攻擊。例如攻擊者可以通過篡改、偽造業務報文對一次設備進行惡意控制，通過偽造量測數據干擾運行控制和調度決策，通過重放業務報文實施中間人攻擊，實現身份偽造等。

4)畸形報文攻擊。攻擊者利用畸形報文導致終端拒絕服務的攻擊。例如攻擊者可以向接入站控層網絡的設備發送一些偽造的、含有重疊偏移量的非法IP分組碎片(Tear Drop攻擊)，或發送一個超過IP最大長度的Ping報文(Ping of Death攻擊)等；也可以通過向過程層網絡的設備發送超長、空值、特殊字符、錯誤類型、錯誤長度描述等類型的畸形GOOSE報文，使終端由于無法處理這些畸形報文而宕機或重啟，從而導致終端拒絕服務。

5)網絡泛洪攻擊。攻擊者通過發送大量報文從而消耗主機計算資源及網絡帶寬的攻擊。例如攻擊者可以向終端發送大量的SYN報文，從而大量占有該主機的TCP連接資源，使主機無法再與其他設備建立TCP連接(SYN Flood攻擊)；或向終端發送大量的Ping報文(ICMP Flood攻擊)或UDP報文(UDP Flood攻擊)來消耗終端計算資源，使終端暫時無法處理其他消息；以及Smurf攻擊、Land攻擊等。

2 智能變電站嵌入式終端安全測評指標及內容

構建完整且具有針對性的安全測評指標及內容是對智能變電站嵌入式終端開展安全測試的基礎。由于電力工控系統與傳統信息系統的業務不同，其對網絡安全的要求也不同。例如，傳統信息系統側重于對機密性的防護，但由于電力業務具有高實時性和連續性的要求，并直接影響電力一次系統的安全運行，電力工控系統對可用性和完整性的防護要求更高。因此現有的傳統信息系統安全測評指標不適用于智能變電站嵌入式終端的安全測評。

本文結合《電力信息系統安全等級保護實施指南》[13]、《信息安全技術 網絡安全等級保護基本要求》[14]、《信息安全技術 網絡安全等級保護測評要求》[15]等標準，針對上文分析的智能變電站嵌入式終端脆弱性和可能遭受的攻擊，從系統及計算安全、網絡及通信安全和應用及數據安全3個方面構建智能變電站嵌入式終端的安全測評指標及內容。

1)系統及計算安全。

智能變電站嵌入式終端操作系統的漏洞長期存在、修復周期長、修補率低，極易被攻擊者利用而發起攻擊；二次設備中非正常開放的服務和安裝的軟件也給攻擊者提供了入侵條件；若攻擊者在二次設備中植入了后門和惡意代碼則可以直接發起任何攻擊。因此本項測評指標需要涵蓋系統漏洞的防護、系統入侵的防范以及惡意代碼的防范。

(1)系統漏洞防護中，應能發現終端可能存在的漏洞，并在經過充分測試評估后及時修補漏洞；應保障終端對漏洞利用攻擊具有一定的防御能力，能夠消除未修補漏洞的隱患。

(2)系統入侵防范中，應遵循最小安裝的原則，僅安裝需要的組件和應用程序；應保障終端開放的服務和端口符合相關要求，關閉不需要的系統服務、默認共享和高危端口。

(3)惡意代碼防范中，應能及時發現系統內存在的惡意代碼，保障終端不存在后門，能夠抵御惡意代碼發起的攻擊。

2)網絡及通信安全。

智能變電站嵌入式終端處理能力較弱，且采用的IEC 61850協議欠缺認證機制，TCP/IP協議沒有控制資源的占有和分配。若攻擊者突破網絡邊界接入內網發起泛洪攻擊，可造成嵌入式終端的拒絕服務甚至宕機，從而導致電力業務的延遲甚至中斷。因此本項測評指標需要涵蓋網絡邊界的防護、通信資源的控制以及對網絡風暴的抑制。

(1)網絡邊界防護中，應能夠對連接到內部網絡的設備進行可信驗證，確保接入網絡的設備真實可信；應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查，并對其進行有效阻斷。

(2)通信資源控制中，應能夠對系統的最大并發會話連接數進行限制；當通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話。

(3)網絡風暴抑制中，應保障終端對泛洪攻擊具有一定的防范能力，能夠在一定程度上抑制網絡風暴。

3)應用及數據安全。

智能變電站嵌入式終端在設計時主要考慮實時性與可用性，對異常報文的處理能力較弱；同時若攻擊者通過非正常手段登入設備或網絡，極易竊聽、篡改和偽造明文傳輸的報文。因此本項測評指標需要涵蓋軟件的容錯設計、登錄身份的驗證和數據的完整保密。

(1)軟件容錯設計中，應提供數據有效性檢驗功能，保證通過人機接口輸入或通信接口輸入的內容符合系統設定要求，能夠對異常的報文進行合理的處理；在故障發生時，應能夠繼續提供一部分功能，確保能夠實施必要的措施。

(2)登錄身份驗證中，應提供訪問控制功能，對登錄的用戶分配賬號和權限；應具有身份認證功能，對登錄用戶進行身份標識和鑒別；應強制用戶首次登錄時修改初始口令，保障用戶賬號具有合適強度的身份認證口令；應提供并啟用登陸失敗處理功能，多次登陸失敗后采取必要的保護措施。

(3)數據完整保密中，應采用校驗碼技術或加密技術保證重要數據在傳輸和存儲過程中的完整性；應采用加解密技術保證重要數據在傳輸和存儲過程中的保密性。

綜上，智能變電站嵌入式終端安全測評指標如圖2所示。

圖2 智能變電站嵌入式終端安全測評指標體系

3 智能變電站嵌入式終端安全測試技術研究

考慮完全覆蓋上述智能變電站嵌入式終端的測評指標，本文針對智能變電站嵌入式終端脆弱性及可能遭受的網絡攻擊，給出相應的測試技術，包括漏洞掃描、漏洞利用、安全基線配置核查、惡意代碼分析檢測、報文攻擊測試、流量壓力測試與模糊測試。

1)漏洞掃描。

漏洞掃描是一種基于漏洞數據庫，利用掃描檢測等方式判斷目標系統是否存在漏洞的主動式防范技術。它作為一類重要的網絡安全技術，可適用于各類操作系統的脆弱性分析及安全測試，其主要功能是在漏洞被攻擊者利用前由安全測試人員主動地進行全面的安全隱患掃描，可預防漏洞惡意利用、降低風險等級，進而提升系統整體安全性。

針對智能變電站嵌入式終端的漏洞掃描應覆蓋測評指標的系統漏洞防護中關于漏洞發現的安全要求、系統入侵防范中關于端口及服務開放的安全要求、以及登錄身份認證中關于口令的安全要求，應具備如下功能。(1)發現嵌入式Linux系統和VxWorks系統存在的漏洞；(2)檢測終端開放的端口和服務，如端口開放掃描；(3)檢測終端不合理的登錄配置，如弱口令掃描。

2)漏洞利用。

漏洞利用是在發現目標系統存在漏洞后，利用漏洞竊取敏感信息、提升運行權限、獲取目標系統控制權等活動來對漏洞進行驗證的技術。漏洞利用技術可以評估目標系統存在的漏洞的危險程度，同時可以以漏洞利用過程中系統環境的變化為依據，發現攻擊者利用漏洞發起的攻擊，以檢測終端對漏洞利用攻擊有無抵御能力，并針對利用的方式提出相應的防護措施。

針對智能變電站嵌入式終端的漏洞利用應覆蓋測評指標的系統漏洞防護中關于漏洞攻擊防范的安全要求，應具備如下功能。(1)利用嵌入式Linux系統和VxWorks系統存在的漏洞執行緩沖區溢出；(2)利用漏洞進行越權訪問；(3)利用漏洞獲取敏感信息。

3)安全基線配置核查。

安全基線是保持信息安全的完整性、可用性、機密性的最小安全控制，是系統的最小安全保證、最基本的安全要求。安全基線配置核查即檢測業務系統所屬設備在特定時期內，根據自身需求、部署環境和承載業務要求應滿足的基本安全配置要求合集。

針對嵌入式終端的安全基線配置核查應覆蓋測評指標的系統入侵防范中關于最小安裝原則的安全要求、網絡邊界防護中關于網絡接入的安全要求、登錄身份認證中關于訪問控制的安全要求、以及數據完整保密中關于通信完整性和保密性的安全要求，應具備如下功能。(1)核查終端安裝的組件和應用程序，即最小安裝原則核查；(2)核查終端接入網絡和訪問網絡的行為，即網絡接入核查；(3)核查終端的訪問控制及身份認證策略，即訪問控制策略核查；(4)核查網絡報文的保密性和完整性，即報文加密認證核查。

4)惡意代碼分析檢測。

惡意代碼的分析及檢測利用特征碼匹配、啟發式掃描、異常檢測等方式檢測目標系統內是否存在惡意代碼和后門，同時測試智能變電站嵌入式終端能否抵御惡意代碼發起的攻擊。

針對智能變電站嵌入式終端的惡意代碼分析檢測應覆蓋測評指標的惡意代碼防范的全部安全內容，應具備如下功能。(1)惡意行為靜態分析，即對終端上的二進制代碼進行反匯編，檢測其是否含有諸如非法向外連接、進程隱藏等惡意行為的代碼；(2)異常動作在線監測，即對終端的運行狀態和系統狀態等信息進行監測，分析終端是否執行了異常的動作，檢測終端對惡意代碼的抵御能力。由于嵌入式終端計算資源有限，無法在嵌入式終端上安裝檢測工具，因此在線監測可采用旁路主機進行分析判斷，終端上只安裝信息收集代理。

5)報文攻擊測試。

報文攻擊測試指針對目標系統的協議脆弱性對其進行模擬攻擊，從而評估目標系統對各類攻擊抵御能力的方法。

針對智能變電站嵌入式終端的報文攻擊測試應覆蓋測評指標中通信資源控制和網絡風暴抑制的全部安全要求、以及軟件容錯設計中關于軟件容錯計算的安全要求，應具備如下功能。(1)業務報文攻擊測試，包括篡改、偽造和重放業務報文攻擊測試；(2)畸形報文攻擊測試，包括Tear Drop攻擊測試、Ping of Death攻擊測試、IEC61850畸形報文攻擊測試、IEC 60870-5-102/103/104畸形報文攻擊測試；(3)網絡泛洪攻擊測試，包括SYN Flood攻擊測試、ICMP Flood攻擊測試、UDP Flood攻擊測試、Land攻擊測試、Smurf攻擊測試等。

6)流量壓力測試。

流量壓力測試指通過向設備發送不同速率的報文包并觀察終端對報文的處理情況，從而評估設備計算能力的方法。流量壓力測試可在報文攻擊測試基礎上對泛洪類攻擊測試(SYN Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊)進行改進，調整泛洪類攻擊的發包速率，對智能變電站嵌入式終端能夠承受的網絡流量大小進行準確評定。

針對智能變電站嵌入式終端的流量壓力測試作為報文攻擊測試的拓展與補充，應覆蓋測評指標中網絡風暴抑制的安全要求，應具備如下功能。(1)SYN Flood流量壓力測試；(2)ICMP Flood流量壓力測試；(3)UDP Flood流量壓力測試。

7)模糊測試。

模糊測試是一種基于缺陷注入的自動化軟件漏洞挖掘技術，通過向待測試的目標軟件輸入一些半隨機的數據并執行程序，監控程序的運行狀況，同時記錄并進一步分析目標程序發生的異常。由于目標程序在編寫時未必考慮到對所有非法數據的出錯處理，因此半隨機數據很有可能造成目標程序崩潰，從而暴露出設備的未知漏洞。

針對智能變電站嵌入式終端的模糊測試應覆蓋測評指標的軟件容錯設計中關于數據有效性檢查的安全要求，同時覆蓋智能變電站嵌入式終端使用的所有通信協議，應具備如下功能。(1)針對IEC 61850的協議模糊測試；(2)針對IEC60870-5-102/103/104的協議模糊測試；(3)針對TCP/IP的協議模糊測試。

綜上，智能變電站嵌入式終端安全測試技術體系如圖3所示。

圖3 智能變電站嵌入式終端安全測試技術體系

綜合本節及第2節的內容，智能變電站嵌入式終端安全測評指標、測試內容及測試技術對應關系如附表A1所示。

4 案 例

本節以國內某省電力公司智能變電站實驗室為測試平臺，依據本文提出的智能變電站嵌入式終端安全測評指標，利用我們開發的報文攻擊測試工具、GOOSE協議模糊測試工具及開源工具對該實驗室的5種智能設備進行測試與評估，以示范本文測評指標及測試技術的應用方法。

該案例智能變電站二次設備組成和網絡拓撲結構如圖4所示，采用三層兩網結構，主要二次設備有監控后臺、遠動終端、保護裝置、測控裝置、智能終端、合并單元、故障錄波及網絡分析裝置，組網方式采用A/B雙星型網絡結構，2套保護裝置及相關合并單元和智能終端各用1個星型網絡。本次測評選取該智能變電站控制區中所有的嵌入式終端為測評對象，包括遠動終端、保護裝置、測控裝置、智能終端及合并單元5類設備。

圖4 待測智能變電站二次設備組成及網絡拓撲結構

完整的測試過程包括測試準備、現場測試和分析整改3個階段。

1)測試準備。由于本文待測設備及所依賴的網絡環境均已事先配置好，且對測試人員是未知的，因此，根據2.3節的測試方案，測試前需要做如下準備工作：

(1)查詢智能變電站網絡拓撲圖及待測設備IP地址；查詢智能變電站配置文件中待測設備接收及發送報文的APPID。

(2)對智能變電站待測設備，依據附表A1中測評指標，選取測評內容，確定測試技術，結果如表3所示。

表3 待測設備及測評指標和測試技術

2)現場測試。本案例待測設備既有站控層設備也有過程層設備，現場測試過程如下：

(1)測試主機接入站控層交換機，利用Nmap進行網段掃描，確認遠動終端、保護裝置及測控裝置均在線；依據表3所列測評內容及測試技術對遠動終端、保護裝置及測控裝置進行測試，記錄測試現象，結果如表4所示。

表4 遠動終端、保護裝置及測控裝置的測試結果

(2)測試主機接入過程層交換機鏡像端口，利用網絡抓包工具結合APPID，監聽測控裝置、智能終端及合并單元的心跳報文，確認各裝置均在線；依據表3所列測評內容及測評方法對測控裝置、智能終端及合并單元進行測試，記錄測試現象，結果如表5所示。

表5 測控裝置、智能終端及合并單元的測試結果

3)分析整改。對表4及表5的測試現象分析可知，本次測試中的5類嵌入式終端均能滿足正常業務運行要求，但遠動終端、保護裝置、測控裝置和智能終端無法處理異常情況下的報文，可能遭受泛洪攻擊、報文篡改攻擊和畸形報文攻擊。5類嵌入式終端測評結果如表6所示。

由表6可知，接入站控層網絡的設備(遠動終端、保護裝置、測控裝置)大都會受到泛洪類攻擊的影響，建議對接入站控層網絡的設備做如下更改：(1)關閉ICMP echo響應；(2)縮短SYN timeout時間；(3)設置SYN cookie；(4)使用防火墻。

表6 5類嵌入式終端的測評結果

本次測試檢測出了接入過程層網絡的測控裝置和智能終端中關于處理畸形GOOSE報文的未知漏洞，同時檢測出部分智能終端無法辨別正常GOOSE報文和被篡改的GOOSE報文，因此建議對接入過程層網絡設備做如下整改。(1)廠家對各終端的關鍵報文接收處理模塊進行改進，使其遵循IEC 61850規約中GOOSE協議的通信機制并對sqNum和stNum進行檢查，能夠對亂序、錯序、丟失的報文發出告警并直接丟棄，過濾過程層網絡中的畸形報文。同時結合終端當前所在業務環境，嚴格對照SCD配置文件對報文的各字段進行核查，判斷接收的報文各字段的類型、長度、值等是否符合SCD文件中的配置，對不符合配置的報文直接丟棄，并向監控后臺發出告警信息。(2)在過程層網絡中配置第三方報文檢測終端，針對特定業務報文攻擊(如報文篡改攻擊、報文重放攻擊)的邏輯進行檢測和防御。

5 結 論

開展對智能變電站嵌入式終端的安全測試可以評估其安全性，便于提升終端安全水平和運維人員制定針對性的網絡安全防護策略，從而保障電網的安全運行。本文從分析智能變電站二次系統和通信網絡的脆弱性出發，提出了適用于智能變電站嵌入式終端的安全測評指標及內容，并研究了智能變電站嵌入式終端的安全測試技術。作為示例并驗證測試技術的合理性，對國內某省電力公司智能變電站實驗室的5類嵌入式終端進行了測試，并依據測試結果提供了整改建議。

本文提出的智能變電站嵌入式終端安全測試技術基于智能變電站終端和通信網絡的脆弱性，并結合了傳統信息系統與電力工控系統的相關測評標準，具有針對性且較為全面，適用于采用IEC 61850標準建設的智能變電站。案例給出的整改建議可為產品廠商提升終端安全性和工程單位提高在線防護能力參考。文中脆弱性分析和安全測試技術對其他智能電網二次系統安全防護也具有參考意義。

下一步可開展智能變電站嵌入式終端網絡安全深度檢測技術研究、智能變電站非控制區安全測評研究、以及智能變電站整體安全測評等相關研究，以全方位保障智能變電站的運行安全。

附錄A

表A1 智能變電站嵌入式終端安全測評指標及測試技術