電力監控系統漏洞隱患排查及風險管理技術研究
摘要:電力監控系統是用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備,作為基礎支撐的通信及數據網絡,其安全性關系到國家戰略安全。本文結合近年來的典型網絡安全事件,提出風險治理的重要性。依據電力監控系統特點和風險情況,引進先進的漏洞隱患排查技術,使漏洞挖掘分析更加高效、精準,克服了模糊測試技術的盲目性,為風險管理提供可靠的技術支撐。同時,借鑒成熟的風險管理體系,通過科學地賦值、風險計算,量化評估風險,為下一步網絡安全治理提供準確的參考。
關鍵詞:電力監控系統;安全風險;漏洞隱患排查;漏洞挖掘;工業控制網絡
1、引言
隨著信息化與傳統能源行業各環節應用的深度融合,以及物聯網的快速發展,工業控制系統得到了前所未有的發展,并成為關鍵基礎設施的重要組成部分,廣泛應用于我國電力、水利、水務、石油化工、軌道交通、制藥等行業中。調查發現,由于工業控制系統升級程序復雜且危害強度大等原因,半數以上的企業未對其進行過升級和漏洞修復工作【1】。
電力企業作為工業控制系統高度發展、深度融合的標桿,推動了智能電網系統的升級也增加了安全風險。工業控制網絡一旦出現特殊情況,將對能源、交通、環境、水利、水務造成直接影響,引發直接的人員傷亡和財產損失。
電力安全直接影響著國計民生和國家安全,因電網安全遭受嚴重破壞而產生的大面積停電事故,被公認為現代社會的災難。從“震網”、“棱鏡門”、到烏克蘭、委內瑞拉全國范圍停電等工業控制系統安全事件,預示著智能電網網絡安全已經成為全球高度關注的領域。加強對漏洞排查及風險管理的研究已經成為國家基礎設施領域亟需解決的問題。
2、國內外電力監控系統網絡安全風險治理情況
美國自上個世紀就開始積極規范能源產業,并通過一系列法案直接影響智能電網的發展,加強工業控制系統的網絡安全防護力度。在智能電網建設初期,美國能源部就對其安全性進行了深入研究和探討,并針對性提出了安全威脅漏洞的排查和風險管理的措施。愛達荷國家實驗室撰寫一份題為《智能電網系統安全屬性研究——當前的網絡安全事件》的文件深入討論和研究了智能電網的安全風險,重點闡述了電網的網絡安全性為聯邦政府在智能電網方面的網絡安全防護提供了先導意見。“保護智能電網的第一步就是充分了解它的威脅環境”成為戰略部署規劃到具體建設實施的先導觀念【2】。除此之外,美國國家標準技術研究所為智能電網操作性標準(NIST SP 1108)訂立框架和路線圖,在國家層面,發布了國家級專項計劃,用于保護包括智能電網在內的工業控制系統的網絡安全。
我國原國家電監會于2012年印發《電力行業信息安全等級保護基本要求》,推動其在電力行業的深入實施。為有效應對工業控制系統安全風險,適應新技術的發展,國家進一步完善提出網絡安全等級保護標準(簡稱等保2.0)。2017年6月1日《中華人民共和國網絡安全法》的正式施行,《關鍵信息基礎設施安全保護條例(征求意見稿)》、《網絡產品和服務安全審查辦法(試行)》等配套法規要求迅速出臺,進一步明確和強化了關鍵信息基礎設施的安全保護要求,國家對網絡安全工作的要求進入新階段。電力系統業務的持續快速發展要求更加安全可靠的網絡安全防護體系作為保障。國家能源局在原電監會5號令和34號文的基礎上,于2014、2015年印發《電力監控系統安全防護規定》(簡稱14號令)和《電力監控系統安全防護總體方案》(簡稱36號文)。承接落實了公安部、工信部關于信息系統、工業控制系統安全防護的有關要求,同時針對部分二次設備(如部分品牌的PLC設備、工業交換機等)存在漏洞的問題,從設備選型及配置、漏洞及風險整改等方面提出了相關的要求。
3、電力監控系統的概念和特點
電力監控系統,是指用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備,以及作為基礎支撐的通信及數據網絡。【3】電力監控系統具體包括電力數據采集與監控系統、能量管理系統、微機繼電保護和安全自動化裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度監控系統、電能量計量系統、實時電力市場的輔助控制系統、電力調度數據網等。
與傳統網絡系統安全相比,電力監控系統的安全主要有如下特點。【4】
安全側重點不同。電力監控系統的首要原則是保障業務連續性,生產過程中任何非計劃中斷都是不能容忍的,而傳統網絡系統可以接受運行過程中的中斷或重啟行為。因此,可用性是電力監控系統首先要保障的。
通信協議安全性不同。與標準的TCP/IP協議不同,工業控制協議種類繁多,專用與私有協議并存;協議設計上先天不足,后天畸形。設計之初未充足考慮安全因素,導致運行過程中存在嚴重的安全漏洞。
危害對象和程度不同。與傳統網絡安全影響對象相比,電力監控系統涉及系統繁多,且多是核心生產設備系統,受損后影響大、破壞性強。電力監控系統涉及大量的電力數據的采集、傳輸以及信息共享,是關系國計民生的,受到損害將直接影響到日常生產生活以及國家政治。
4、影響電力監控系統網絡安全因素分析
影響電力監控系統網絡安全的因素,除了要面對持續增多的國家級網絡攻擊和較強針對性基礎設施攻擊外,系統本身的漏洞隱患和管理制度不健全是重要風險因素,主要有如下幾個方面:
(1)工業控制系統的安全問題日益凸顯。隨著新一代信息技術的不斷滲透,工業通信協議自身的缺陷和工業系統常態化“帶病”作業的風險程度被放大、凸顯,安全問題充分暴露。專用工控通信協議在設計階段只強調實時性和可用性,普遍欠缺安全機制,是造成工控協議漏洞的根源。工業控制協議應用于感應器—制動器之間、控制器的I/O端(如Modbus、HART、CAN、Foundation Fieldbus、PROFIBUS)以及控制和管理計算機(如DNP3、Modbus/TCP、 BACnet、以太網/IP地址)之間的通信。如使用無身份驗證的協議,將存在被竊聽、替換的風險。
普遍存在漏洞是工控安全威脅的根本原因。由于工業硬件價格昂貴,運行時間就越發長久,十年幾十年也是比較普遍的,這些硬件系統安全性更是薄弱,所承載的操作系統也多為老舊系統,沒有健全的主機防護機制,帶病作業成為常態。
(2)高級持續性攻擊和未知威脅顯著增多。以高級持續性威脅(APT)為代表的新型攻擊方式,可以繞過基于特征碼檢測的傳統安全防護設備(如防病毒軟件、防火墻、IPS等),更長時間地潛伏在系統中,傳統防御體系難以偵測。2011年針對全球能源公司的夜龍攻擊事件、2015年烏克蘭電網攻擊事件、2016年孟加拉國央行攻擊事件等典型APT事件中,攻擊者即通過郵件、終端、移動介質等,結合利用0DAY漏洞、釣魚等多種手段,有效地繞過了傳統安全防御邊界和基于已知特征的檢測技術。此外,類似于“永恒之藍”的大量0DAY漏洞掌握在少數組織和個人手中,難以全面發現并且及時防御。
(3)管理制度的全面落實有待加強。主要表現為:一是網絡安全“三同步”要求未全面落實,“一票否決”的機制尚未建立。系統規劃、設計、開發階段安全考慮不充分,上線階段安全測試不深入不全面;二是源代碼安全審查、滲透測試尚未有效開展,無法在系統上線前有效發現源生安全風險;三是尚未建立分層分類的網絡安全專家隊伍和人才體系,無法有效支撐公司網絡安全工作;四是網絡安全責任制有待加強,如對外部供應商的網絡安全責任約定不明確,未構成事件的網絡安全問題的問責機制不健全。
5、風險應對方案
加強對電力監控系統的漏洞排查與風險管理,是安全防護工作的前提條件。本文依據《電力監控系統安全防護總體方案》、《變電站監控系統安全防護方案》、《配電監控系統安全防護方案》通過技術、管理兩個維度并結合內外部環境因素綜合計算評估出系統風險情況完成這一階段的安全治理工作,如管理類的弱口令規范管理;技術層面的系統加固、設備安全隱患解決等。
基于工業控制系統自身對實時性、穩定性、兼容性的要求,在遵循標準性原則、關鍵業務原則、可控性原則、最小影響原則、可恢復原則的基礎上,通過污點傳播分析、符號執行、滲透測試等技術手段對電力監控系統仿真模擬環境包括現場測控設備、網絡設備、計算機設備、安全設備、工控通信協議等進行漏洞檢測與挖掘。
5.1 模擬仿真電力監控系統
電力監控系統仿真主要通過實物方式建立,仿真系統如圖1所示。現有環境的總體架構和安全防護設計遵循了國家、行業相關標準規范要求,部署1套地調EMS主站系統、2套變電站綜合自動化系統和地區電力調度數據網,系統性地反映上下級電力監控系統之間的各種數據業務的需求、網絡的縱向互聯、橫向互聯和數據通信的安全性問題。
圖1 電力監控系統仿真環境示意圖
5.2 漏洞隱患排查技術研究
根據電力監控系統的特點和安全需求,將整個漏洞隱患排查對象分為系統、終端、協議三個方面。系統方面通過污點傳播分析、符號執行、滲透測試等技術手段對仿真系統進行漏洞檢測與挖掘。終端方面基于Python的開源Fuzz框架對PLC、測控、智能終端、繼保等進行漏洞挖掘和漏洞預警,識別深層次工控設備的安全問題;通過模糊測試技術對電力協議深度分析、主動檢測特征攻擊。漏洞驗證方面則通過工控協議漏洞攻擊、PLC控制器等漏洞攻擊、系統弱口令攻擊、主機操作系統漏洞攻擊等驗證工具核實漏洞檢測結果,為風險分析提供準確的資產脆弱性信息。
5.2.1 漏洞挖掘技術
一種漏洞挖掘技術很難完成分析工作,且大多只能找到淺層的漏洞信息,如靜態分析、動態分析和符號執行等。針對工業控制網絡環境的特點,代碼審計、逆向工程等常見的漏洞挖掘技術無法正常運行,所以采用模糊測試與符號執行相結合的漏洞挖掘技術能夠有效地找到潛藏在二進制中的漏洞【5】。模糊測試本身可以高效、精準的對公有協議進行漏洞挖掘,在與隱馬爾科夫及統計算法結合的幫助下,可以基于優化重構法彌補私有協議漏洞挖掘的不足;同時基于心跳檢測的存活檢測方案和基于Simhash的一致性檢測方案,可正確識別被測系統是否進入異常狀態。選擇符號執行協助模糊器探索感興趣路徑,并對其作出預約控制、探索緩存等優化,提升系統執行性能。
通過模糊測試與符號執行相結合的漏洞挖掘技術,可高效、精準挖掘電力監控系統場測控設備、網絡設備、計算機設備、安全設備、工控通信協議潛藏的漏洞信息,并在隱馬爾科夫及統計算法結合下快速適應對私有協議的漏洞挖掘分析,拓寬了高自動化漏洞隱患排查工作范圍,縮減了人力的投入,也提高了精準度。
5.2.2 漏洞驗證
通過漏洞驗證腳本工具,對挖掘出的漏洞進行利用驗證,探測漏洞的存在情況和影響程度,以減少誤報率,確保整個漏洞隱患排查工作的準確性和可靠性。
攻擊腳本、工具研發首先需對系統進行相應的漏洞發現,包括已知漏洞掃描與未知漏洞挖掘工作。在典型電力工控實驗環境基礎上,電力監控系統漏洞檢測與攻擊驗證工作開展技術路線如圖2所示。
圖2 電力監控系統漏洞檢測與攻擊驗證技術路線圖
驗證攻擊工具通過Java語言、Php語言腳本或者Python語言腳本開發的利用漏洞原理構造相應的請求來觸發漏洞,來實現驗證漏洞真實性的組件。
在系統資產識別的基礎上,進行漏洞檢測:
(1)已知漏洞的識別(結合CNVD、CNNVD公開漏洞庫);
(2)潛在未知漏洞挖掘,挖掘方法與過程如下:
· 構造測試用例,利用模糊測試方法進行測試;
· 風暴測試;
· 協議完整性測試;
· 弱口令檢測。
在測試的漏洞基礎上,進行攻擊腳本開發,從而提供如切斷輸變電系統、破壞目標電力輸送網絡的功能,結合發現的漏洞以及輸變電系統的二次系統進行逆向分析,開發相應攻擊驗證工具,也可采用已有漏洞攻擊驗證工具。部分工具類型如下:
(1)拒絕服務漏洞驗證工具;
(2)溢出漏洞驗證工具;
(3)遠程控制漏洞驗證工具;
(4)暴力破解漏洞驗證工具;
(5)信息獲取漏洞驗證工具。
5.3 風險管理研究
電力監控系統網絡風險管理是周期性、常規化的風險分析工作。通過對大量漏洞挖掘與攻擊驗證數據及相關的風險數據信息分析研究,并結合國內外最新威脅情報信息,研判出當下及未來一段時間內的網絡安全風險發展趨勢,為網絡安全策略調整、規劃、技改提供科學依據。
6、結束語
電力監控系統的安全是電力網絡安全穩定運行的技術保障,關系著國計民生和經濟社會發展,是國家建設智能電網的核心。本文通過分析典型電力行業網絡安全事件入手,結合國內外對電力行業工業控制網絡安全風險治理的重視程度,以及電力監控系統的特點和風險提出漏洞隱患排查與風險管理辦法。通過污點傳播分析、符號執行、滲透測試等技術手段對電力監控系統中現場測控設備、網絡設備、計算機設備、安全設備、工控通信協議等進行漏洞挖掘分析,識別電力監控系統中的風險隱患。在漏洞挖掘分析中提出最新的技術應用,提高了漏洞隱患排查的工作效率和精準度。漏洞隱患排查及風險管理是電力監控系統安全性研究的重要組成部分,是建設完善安全體系的先決條件和檢驗基石,還需更深入的研究和探索。
參考文獻:
[1] 張盛杰, 顧昊旻, 李祉岐, 等. 電力工業控制系統信息安全風險分析與應對方案[J]. 電力信息與通信技術, 2017, 15 ( 4 ) : 96 - 102.
[2] Tony Flick Justin Morehouse著, 徐震, 于愛民, 劉韌譯. 智能電網安全——下一代電網安全[M]. 北京: 國防工業出版社, 2013, 1.
[3] 王順江, 紀翔, 劉嘉明, 等. 電力監控系統網絡安全技術[M]. 北京: 中國電力出版社, 2018, 6.
[4] 應歡, 劉松華, 韓麗芳, 等. 電力工業控制系統安全技術綜述[J]. 電力信息與通信技術, 2018, 16(3): 56 - 63.
[5] 宋博宇. 模糊測試與符號執行相結合的漏洞發現技術研究[D]. 哈爾濱工業大學, 2017.
