配電自動化系統工控安全風險分析

宋曉陽，孫冉冉，江 灝，張琦華

(國家電網浙江省電力有限公司 寧波供電公司，浙江 寧波 315000)

工業控制系統(ICS)作為近代工業設施的基礎與核心，廣泛應用于電力等與國家經濟息息相關的工業領域，是國家關鍵基礎設施的重要組成部分[1]。配電自動化系統(Distribution Automation System，DAS)作為ICS中的一種，其通過將新型設備與計算機、通訊、自動控制等技術手段相結合的方式，對配電網進行離線與在線的智能化監控管理，讓配電企業可以通過遠程操作的方式對配電設備進行實時的監視、控制等操作，使配電網始終處于安全、可靠、優質、高效的最優運行狀態。DAS構成主要包括配電網數據采集與監控(SCADA系統)、配電地理信息系統(GIS)和需求側管理系統(DSM)。

配電自動化系統作為實施智能化配電網的重要手段，不但可以極大地提高配電網調度、生產和運行的管理水平，提高企業的經濟效益與社會效益，同時可以讓電力客戶享受更優質的服務[2]。目前，國家在配電自動化系統的普及工作方面取得了極大進展，但與發達國家相比，我國當前的配電網還是一個薄弱環節[3]。由于多數企業仍缺乏對配電自動化系統安全防護的安全意識，在配置系統的時未考慮風險，使得配電自動化系統存在極大的安全隱患。本文針對配電自動化系統進行風險分析，為管理者制定決策提供參考依據。

1 風險分析原理

參考《信息安全技術工業控制系統風險評估實施指南》(GB/T 36466—2018)所確立的風險評估方法，從資產、威脅源、脆弱性三要素出發，展開針對配電自動化系統的風險分析。

三要素中資產作為風險分析目標對象，是風險分析的出發點，通過對配電自動化系統中資產進行整理分析，找到其面臨的威脅源；再結合資產本身存在脆弱性找出系統可能存在的攻擊路徑，統籌分析出資產面臨的安全問題[4]，歸納出配電自動化系統中的安全風險。下文針對配電自動化系統展開風險分析。風險分析主要內容如下：①對配電自動化系統進行資產識別和分析，確定資產在系統中的重要性；②主要從人為角度出發針對配電自動化系統威脅進行安全分析，找出配電自動化系統可能面臨的威脅源；③通過對在配電自動化系統進行資產識別時發現的安全隱患進行分析，找出其資產脆弱性的利用方法；④根據基于三要素分析的結果，得出當前配電自動化系統可能存在的安全風險。

2 配電自動化系統架構

為更好的分析配電自動化系統中存在的安全風險，下文對配電自動化系統的系統架構及網絡拓撲進行研究。

2.1 系統架構

配電自動化系統主要包含主站、子站、終端設備和通信網絡。配電自動化系統通過信息交互總線連接至調度自動化系統、生產管理系統等其他相關應用系統，實現數據共享和功能擴展[3]。各部分組成及功能內容如下[5]：①主站系統不僅負責對整個配電自動化系統進行監控并加以管理，同時還負責與配電終端系統等相關系統一部分的交互功能[6]。主站系統功能的多樣化，使其在整個配電自動化系統中占有重要地位，主要系統有數據采集子系統、人機交互系統等[7]。②配電子站位于主站系統與配電終端之間，屬于中間層設備，是否設置子站由配電自動化系統分層結構決定，配電子站主要作用是進行通信數據匯集，同時也包含區域監控功能；③配電終端作為配電自動化系統的基礎部分，是中低壓配電網中實現配電自動化檢測與控制功能的設備總成[8]。終端設備通常與柱上開關、環網柜等一次設備安裝在現場，是配電自動化系統的主要裝置，終端類型的選擇通常依據具體應用場景的需求而定；④通信網絡作為繼電保護和調度控制等業務的載體[9]，負責實現配電自動化主站、子站和配電終端之間的信息傳輸，一般包括有線通信和無線通信2種通信方式。

配電自動化系統架構如圖1所示。

圖1 配電自動化系統架構Fig.1 Distribution automation system architecture

由于物理環境等因素的不同，配電自動化系統在建設時根據不同的需求進行結構設計：①通常情況，配電自動化系統采用兩層結構，即主站層和終端設備層，終端設備層信息直接傳送主站進行信息處理；②當存在子站時，可采用三層結構，此時子站層作為區域信息匯聚中心，負責接收來自終端設備層的信息，并通過骨干通信網將信息傳送到配電總站中；③在無主站時，可采用一層結構，即單靠終端設備層中的開關設備進行互相配合。

2.2 網絡架構

配電自動化系統網絡以配電網實際需求為導向，以實現配電網信息流、業務流、能量流的高度整合和雙向運作為目標進行設計。其組成主要有前置服務器、配網安全加密認證網關、SCADA服務器、磁盤陣列、工作站、數據庫服務器等。

配電自動化系統的網絡拓撲通常分為兩部分：外部網絡與內部網絡。配電自動化系統通過前置服務器連接兩個網絡，其中外部網絡部署前置采集模塊，放置DTU等終端設備；內部網絡部署數據庫與SCADA模塊，其中通常部署如SCADA、數據庫服務器、操作員站等設備。配電自動化系統網絡拓撲如圖2所示。

圖2 配電自動化系統網絡拓撲Fig.2 Network topology of distribution automation system

3 配電自動化系統風險分析

3.1 資產識別

資產作為展開風險分析的出發點與落腳點，其價值屬性是其風險存在的根源[10]。本章對配電自動化系統架構進行分析，對系統中存在的資產進行識別。配電自動化系統的各構成資產按照表1的定義進行歸并和分類。

表1 配電自動化系統資產分類Tab.1 Asset classification of distribution automation system

依據上述資產分類，對配電自動化系統資產進行梳理歸納，為下文展開威脅源識別及脆弱性利用分析提供依據。下文資產清單見表2。

表2 配電自動化系統資產清單Tab.2 Asset list of distribution automation system

3.2 威脅源識別

威脅，是指可能造成工控系統危害的潛在起因。威脅源作為產生威脅的主體，不同的威脅源具有不同的攻擊能力。在進行威脅調查時，首先應識別存在哪些威脅源，同時分析這些威脅源的動機和能力[13]。本文通過對配電自動化系統遇到的威脅源的動機、能力等方面進行分析，將威脅源大致分為3大類：惡意員工、有組織攻擊者以及外國政府支持的黑客組織[14]。

(1)惡意員工。由于對機構不滿或出于某種目的，內部員工可能對系統信息進行竊取或實施破壞。內部員工掌握內部情況，了解系統結構和配置，當其具備系統合法賬戶，或掌握可利用的賬戶信息時，可以從內部攻擊系統最薄弱環節。鑒于不同的電網企業的安全管理制度不同，可能存在來自企業內部的安全風險。當企業內部存在抱有惡意目的內部員工時，若安全管理制度部署存在漏洞，則存在內部員工直接接觸配電自動化系統終端的可能。此時內部員工可以通過外部設備接入等方式，對配電自動化系統進行木馬植入操作，從而對配電子自動化系統的穩定造成極大破壞。

(2)有組織攻擊者。有組織攻擊者通常具備一定資金、人力、和技術資源，可能出于竊取機密，勒索錢財等原因對系統進行攻擊。雖然配電自動化系統的運行環境以內部局域網為主，但由于不同企業的網絡拓撲設計不同，配電自動化系統仍然存在被網絡攻擊的可能。有組織攻擊者出于某種目的對配電自動化系統進行惡意攻擊攻擊，主要攻擊方式有：網絡報文嗅探、IP欺騙、拒絕服務和分布式拒絕服務、特洛伊木馬程序、密碼攻擊、郵件炸彈、病毒以及來自許多公開化新技術的攻擊。這是電力系統所面臨的最大的威脅。

(3)外國政府支持的黑客組織。配電自動化系統作為配電自動化的核心，其決定著電網的安全。當今，通過對電網的攻擊達到政治利益的歷史案件層出不窮，但其安全方向的研究又處于起步階段?；谖覈斍皣H政治環境，以及電力系統在我國基礎設施中的重要地位，配電自動化系統很可能會受到外國政府支持的黑客組織的攻擊。該類威脅源不僅組織嚴密，具有充足資金、人力和技術資源，而且目的性強，破壞欲望高，具有極大危害。

3.3 脆弱性利用

脆弱性是指資產能被威脅利用的弱點。脆弱性有時被翻譯成“弱點”和“漏洞”。通過上文對配電自動化系統架構、資產、威脅源的闡述，以下針對配電自動化系統存在的脆弱性利用途徑進行分析[15]。

(1)物理環境脆弱性利用。由于企業缺乏針對機房的安全防護措施，威脅源可通過物理接觸接入的方式抵達工作站(包括操作員站、工程師站等)，直接操作工控軟件，獲得該工作站的相應工控操作權限，進行惡意操作等操作。

(2)從外部網絡對DTU進行非法操控。配電自動化終端(DTU)采用模塊化設計，能夠完成對配電開關的信息采集和控制，完成配電線路的遙測采集，實現配網線路故障檢測。每個居民小區通常會包含一個或若干個配電室，配電室通常包含一個配電自動化終端，負責對整個區域的電力情況進行監視和控制。由于可通過主站對指定DTU進行遠程遙控，進行遠程操作開關斷路器的開合閘的操作。對此，攻擊者可以通過對主機攻擊的方式，獲得DTU的控制權限，從而對開關斷路器進行開合閘操作。

(3)網絡脆弱性利用。配電自動化系統中通訊傳輸方式可分為有線及無線。其中，由于無線網絡技術目前處于新興時期，其存在大量安全隱患，如抗攻擊能力弱，數據防護能力薄弱。攻擊者可通過攻擊無線網的方式對配電自動化系統數據進行竊取，對系統進行破壞。

(4)外部網絡偽造配電終端，向主站發送數據欺騙。配電終端會實時主動向主站上報所監測范圍內配電變壓器信息的值，主站監控人員會根據各站點上報數據進行數據記錄或執行相關控制操作。攻擊者可以通過偽造配電終端的方式，構造任意假測控數據，上報給主站監控系統，從而對系統及人員實施數據欺騙。

(5)內部網絡對主站服務器非法操作。通過對配電自動化系統的分析，可以發現內部網絡包含SCADA服務器、數據庫服務器、前置服務器和監視操作員站若干，為方便工作人員日常使用，各服務器系統會設置訪問白名單機制，IP地址在白名單內的主機可無需密碼遠程登錄各服務器的登錄服務器，對服務器執行遠程操作。當攻擊者獲得內網IP地址時，則可對服務器執行如數據篡改、配置篡改等可造成毀滅性打擊的非法操作。

4 安全風險

通過對配電自動化系統進行分析，發現其資產可能面臨的威脅源及可能存在的脆弱性利用途徑，以下根據分析結果對系統中可能存在的安全風險進行介紹。

(1)物理環境防護問題。由于企業缺乏對于工控系統設施物理環境的關注，安全物理環境通常存在嚴重安全隱患：①由于企業缺乏相應的安全意識，配電室通常無人值守又缺乏巡檢，同時門禁監控系統存在未聯網的可能。當未授權人員意圖進入配電室時，無法對未授權人員的行為進行管控，此過程無記錄，無法在攻擊發生后對事件進行回溯；②部分配電室門禁監控裝置部署不全面，未將配電室全部納入監控范圍，配電室存在被入侵的可能性；③部分位于地上的配電室存在除大門外的出口，雖然企業會對其他出口加裝鐵絲網，但實際上，由于缺乏對于安全物理環境的安全防護意識，部分配電室的出口未對安全防護措施進行落實。當未授權人員想入侵系統進行竊取信息等操作時，可通過防護不嚴密的出口直接進入配電室內部，無法保障系統安全；當物理環境存在如上問題時，攻擊者可隨意進出機房。無任何管控、監控措施，存在極大安全隱患。

(2)管理措施部署問題。在物理環境中企業內部安全管理措施不完善時，當主站監測到某配電室的終端掉線或者發生數據異常，不會有工作人員立即去現場檢測并響應此次異常的發生，在此之前，配電室處于無人監管的狀態。該情況導致惡意人員有充足的時間對電力系統配電進行偵察滲透，加大了被網絡攻擊的風險。同時，在網絡環境中，由于企業缺乏對于配電自動化終端設備的防護與定期檢查，部分終端和安防設備內存在后門賬戶的可能，存在被攻擊者通過后門賬戶進行二次入侵的風險。

(3)弱口令問題。配電室內通信設備普遍存在弱口令問題，在甲方人員對設備進行驗收時，通常只對設備可用性進行檢查驗收，而未對設備安全性進行驗收。驗收通過后，由于通信設備及通信終端使用量大，分布范圍廣等情況，造成驗收后管理人員未對通信設備口令設置問題以及其他方面的安全防護問題進行關注，系統一直保持驗收時的默認配置，導致系統內大量設備弱口令的存在。通過該風險，攻擊者可直接通過登陸的方式進入系統界面，從而對系統進行惡意操作。

(4)白名單機制問題。配網系統白名單安全缺陷問題主要體現在2點：①主站內網去通常會采用IP白名單認證機制，當登錄主站系統的終端IP在主站IP白名單之內時，無需登錄主站系統即可查看修改任意配置，或對系統執行非法操作，造成不可逆的損壞；②對于近幾年內新部署的配電終端設備，通常會設定主站IP地址限制，只有IP地址符合配電終端設備內IP時才能和終端進行通信，此時，攻擊者可通過偽造IP地址的形式，可對終端發動攻擊。

(5)密鑰管理問題。由于缺乏針對密鑰相應的安全管理機制，在配網系統一些已退役的安防設備內，可以發現實際投運系統正在使用的通信加密密鑰。對退役設備密鑰管理的不完善，以及在密鑰分配、使用、更新、銷毀過程中的疏忽大意，均有可能導致密鑰泄露。當安防系統的加密密鑰被泄露給惡意人員，安防系統將形同虛設，無法對系統起到實質性保護。

5 結語

本文介紹了針對配電自動化系統的風險分析方法。通過對配電自動化系統架構進行分析的方式，找出其中資產所面臨的威脅源及存在的脆弱性利用途徑，從而發現配電自動化系統中存在安全風險，為管理者制定相應的安全防護措施提供參考依據。