智能變電站嵌入式終端安全測試方法研究

李福陽，李俊娥，劉林彬，劉威，林海，倪明

(1.空天信息安全與可信計算教育部重點實驗室，武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院，武漢市 430072；2.南瑞集團有限公司(國網(wǎng)電力科學(xué)研究院有限公司)，南京市 211106；3.國電南瑞科技股份有限公司，南京市 211106；4.智能電網(wǎng)保護和運行控制國家重點實驗室，南京市 211106)

0 引 言

智能變電站作為智能電網(wǎng)的關(guān)鍵組成部分，其網(wǎng)絡(luò)安全影響著整個電力系統(tǒng)的運行安全。然而，智能變電站二次設(shè)備的智能化及通信網(wǎng)絡(luò)的標準化也帶來了新的安全問題。例如，智能變電站嵌入式終端的系統(tǒng)版本低且運行周期長，系統(tǒng)內(nèi)漏洞長期存在，修復(fù)過程復(fù)雜[1]；通信網(wǎng)絡(luò)中，IEC 61850協(xié)議欠缺加密認證機制，使得其報文極易被竊取、篡改、偽造[2]；攻擊者也可利用TCP/IP協(xié)議的脆弱性[3]對智能變電站嵌入式終端發(fā)起網(wǎng)絡(luò)攻擊。

信息系統(tǒng)安全測評是依據(jù)相關(guān)安全標準、利用相應(yīng)測評方法、系統(tǒng)全面地評估信息系統(tǒng)的安全、發(fā)現(xiàn)安全隱患的過程。對智能變電站嵌入式終端開展安全測評可以及時發(fā)現(xiàn)終端的脆弱性，從而進行整改或制定相應(yīng)的安全防護措施，提升智能變電站抵御網(wǎng)絡(luò)攻擊的能力。

已有學(xué)者對智能變電站二次系統(tǒng)的網(wǎng)絡(luò)安全測試技術(shù)及評估方法展開了相關(guān)研究。測試技術(shù)研究中，Chai Jiwen等[4]提出了一種智能變電站安全測試平臺，采用基于TCP/IP和IEC 61850協(xié)議的攻擊測試和模糊測試來檢測系統(tǒng)和協(xié)議潛在的漏洞，同時根據(jù)IEC 62443的要求來檢查智能變電站的配置合規(guī)性。Noce等[5]改進了GEESE方法，創(chuàng)建不同的網(wǎng)絡(luò)攻擊來檢測智能變電站中的漏洞，以測試智能變電站的安全性。劉姍梅等[6]采用已知漏洞掃描技術(shù)、未知漏洞挖掘技術(shù)以及靜態(tài)評估方法，分別對智能變電站的各層設(shè)備和日常管理進行安全評估。Elbez等[7]設(shè)計了一種基于IEC 61850智能變電站的信息物理融合系統(tǒng)測試平臺，描述了一些攻擊場景和過程，并測試了這些攻擊對智能變電站的影響。

評估方法研究中，劉念等[8]結(jié)合變電站自動化通信系統(tǒng)的特點和分布式系統(tǒng)脆弱性理論，提出了網(wǎng)絡(luò)環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估方法。曹一家等[9]提出了一種考慮各種具體安全威脅的定量評估方法，利用層次分析法確定各種威脅的權(quán)重，基于D-S證據(jù)理論對各專家的決策進行信息集成，最后得到各安全威脅對變電站通信系統(tǒng)信息安全影響的大小排序。王媛媛[10]設(shè)計了智能變電站通信網(wǎng)絡(luò)安全評價系統(tǒng)，采用模糊綜合評價法進行數(shù)據(jù)分析，實現(xiàn)了對通信網(wǎng)絡(luò)安全等級在線評價的功能。Xiang Yingmeng等[11]量化了智能變電站網(wǎng)絡(luò)漏洞對供電可靠性的影響，提出了一種結(jié)合物理故障和網(wǎng)絡(luò)安全風(fēng)險的電力系統(tǒng)可靠性評估框架。

上述的研究工作對本文部分測試技術(shù)的研究和評估方法的選取有很好的參考作用，但上述研究中的評估方法主要關(guān)注于安全測評中的評價指標量化方法，對智能變電站嵌入式終端的脆弱性分析及安全測評指標的研究較少。同時，測試技術(shù)并未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊，不能對智能變電站嵌入式終端開展全面的測試，在對智能變電站進行網(wǎng)絡(luò)安全測試時可操作性也較差。

目前電力行業(yè)對智能變電站的安全防護及測試規(guī)范包括《變電站二次系統(tǒng)安全防護方案》[12]、《電力信息系統(tǒng)安全等級保護實施指南》[13]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[14]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》[15]等，這些規(guī)范對電力二次系統(tǒng)的業(yè)務(wù)系統(tǒng)分區(qū)、信息流向及通用安全防護措施等方面提出了安全防護標準及測試規(guī)范。但現(xiàn)有行業(yè)標準和規(guī)范僅在通用信息系統(tǒng)及電力信息系統(tǒng)的終端層面提出相應(yīng)安全要求，沒有關(guān)于智能變電站嵌入式終端的規(guī)范和標準?，F(xiàn)有行業(yè)標準及規(guī)范中的測試技術(shù)包括檢查技術(shù)、識別和分析技術(shù)及漏洞驗證技術(shù)，在具體測試中僅能涵蓋智能變電站嵌入式終端的系統(tǒng)漏洞安全測試，未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊。

因此，本文針對現(xiàn)有測評指標及測試方法的不足，分析終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊，提出適用于智能變電站嵌入式終端的安全測評指標及測試內(nèi)容，并基于提出的指標體系，研究相應(yīng)的安全測試方法，為智能變電站嵌入式終端的安全測試提供指標體系與方法指導(dǎo)，也為在線安全防護提供參考，以保障智能變電站的網(wǎng)絡(luò)安全。

1 智能變電站嵌入式終端脆弱性分析

1.1 智能變電站二次系統(tǒng)

智能變電站二次系統(tǒng)由二次設(shè)備和連接二次設(shè)備的通信網(wǎng)絡(luò)構(gòu)成。以220 kV智能變電站為例[16]，其二次系統(tǒng)一般包括監(jiān)控及數(shù)據(jù)采集(supervisory control and data acquisition, SCADA)系統(tǒng)、五防系統(tǒng)、繼電保護與故障信息系統(tǒng)、安全自動控制系統(tǒng)、電能量計量系統(tǒng)、故障錄波系統(tǒng)等業(yè)務(wù)系統(tǒng)；二次設(shè)備一般包括監(jiān)控主機與后臺、遠動終端、保信子站、測控裝置、繼電保護與安全自動裝置、相量測量裝置(phasor measurement unit, PMU)、電能量采集終端及電能表、一次設(shè)備狀態(tài)監(jiān)測裝置、智能終端、合并單元等設(shè)備。

智能變電站在邏輯上劃分為站控層、間隔層、過程層3層結(jié)構(gòu)，物理上一般配置2層網(wǎng)絡(luò)，即站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)。站控層網(wǎng)絡(luò)又稱制造報文規(guī)范(manufacturing message specification, MMS)網(wǎng)，用于站控層設(shè)備和間隔層設(shè)備的信息交換，對數(shù)據(jù)傳輸?shù)膶崟r性和可靠性要求較低，但數(shù)據(jù)量相對較大。過程層網(wǎng)絡(luò)包括面向變電站事件對象(generic object oriented substation event，GOOSE)網(wǎng)和采樣值(sampled value，SV)網(wǎng)。GOOSE網(wǎng)主要用于保護設(shè)備之間的聯(lián)閉鎖信息交互、間隔層與過程層設(shè)備之間控制命令傳遞以及斷路器與隔離開關(guān)等開關(guān)量的采集，對實時性和可靠性要求非常高；SV網(wǎng)用于傳輸電子式互感器所產(chǎn)生的電氣量采樣值給保護裝置和測控裝置，數(shù)據(jù)量龐大，對實時性和可靠性的要求也很高。

依據(jù)電力二次系統(tǒng)安全防護方案中的“安全分區(qū)”原則[12]，智能變電站的業(yè)務(wù)系統(tǒng)原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)又可分為控制區(qū)(安全Ⅰ區(qū))和非控制區(qū)(安全Ⅱ區(qū))。控制區(qū)中的業(yè)務(wù)系統(tǒng)直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，非控制區(qū)中的業(yè)務(wù)系統(tǒng)不具備控制功能。

220 kV智能變電站二次系統(tǒng)包含的二次設(shè)備及位置如表1所示。

表1 智能變電站二次系統(tǒng)基本組成

控制區(qū)(安全Ⅰ區(qū))中的業(yè)務(wù)系統(tǒng)直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，是電力生產(chǎn)的重要環(huán)節(jié)和安全防護的重點與核心，因此本文主要針對控制區(qū)的二次設(shè)備展開研究。常見的智能變電站控制區(qū)網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 智能變電站控制區(qū)網(wǎng)絡(luò)架構(gòu)

智能變電站控制區(qū)中主要二次設(shè)備使用的操作系統(tǒng)及應(yīng)用層通信協(xié)議如表2所示。

表2 智能變電站控制區(qū)二次設(shè)備所用的操作系統(tǒng)及協(xié)議

可見智能變電站控制區(qū)中絕大部分二次設(shè)備使用嵌入式操作系統(tǒng)和IEC 61850協(xié)議，這些設(shè)備對智能變電站的正常運行起著重要的作用。因此本文重點研究智能變電站的這一類二次設(shè)備，并統(tǒng)稱為智能變電站嵌入式終端。

1.2 智能變電站嵌入式終端脆弱性分析

脆弱性是攻擊者能夠達成攻擊目標的內(nèi)因。對系統(tǒng)和設(shè)備進行脆弱性分析可以發(fā)現(xiàn)可能遭受的網(wǎng)絡(luò)攻擊，從而針對這些脆弱性對系統(tǒng)開展測試、修復(fù)及部署在線安全防護措施，保障系統(tǒng)運行安全。本文從操作系統(tǒng)、通信協(xié)議及終端特點3個方面分析智能變電站嵌入式終端的脆弱性。

1)嵌入式操作系統(tǒng)脆弱性。

由表2可知，目前智能變電站中二次系統(tǒng)的嵌入式終端大多采用嵌入式Linux和VxWorks操作系統(tǒng)。因此，本文重點對這兩種系統(tǒng)的脆弱性進行研究。經(jīng)調(diào)研和對文獻及公共漏洞庫的分析，智能變電站嵌入式終端操作系統(tǒng)具有如下特點及脆弱性：

(1)智能變電站嵌入式終端使用周期長，大量漏洞長期存在。一方面，很多較早上線的終端使用低版本操作系統(tǒng)，如Linux 2.x～3.x內(nèi)核，低版本系統(tǒng)中存在較多安全漏洞，如CVE-2012-0207、CVE-2009-1265和CVE-2006-1857等。另一方面，智能變電站嵌入式終端系統(tǒng)大多是對通用操作系統(tǒng)的裁剪優(yōu)化，或是針對特定任務(wù)的定制系統(tǒng)，因而存在與通用補丁或安全軟件的兼容性問題，使得不易通過補丁修復(fù)漏洞和安裝安全軟件；同時由于通用操作系統(tǒng)的補丁兼容性較差，不同廠商需要針對自己定制裁剪后的系統(tǒng)進行補丁開發(fā)，開發(fā)及修復(fù)周期較長。因此嵌入式終端上的漏洞可能長期存在，使得終端缺乏抵抗攻擊的能力。攻擊者利用這些漏洞，可以達到使終端拒絕服務(wù)、獲取敏感信息或遠程代碼執(zhí)行的目的。

(2)現(xiàn)有研究中關(guān)于VxWorks操作系統(tǒng)的公開漏洞極少，但也存在危害性極大的漏洞。例如，CVE-2010-2967所描述的密碼碰撞問題，一旦攻擊者暴力破解密鑰成功即可建立telnet、ftp、rlogin等會話，進而獲取系統(tǒng)控制權(quán)限，這將極大影響整個電網(wǎng)的安全性；CVE-2015-7599提到的整數(shù)溢出漏洞，成功利用的攻擊者可在OS中遠程執(zhí)行任意代碼，破壞或繞過所有的內(nèi)存保護，并且可以設(shè)置后門賬戶。

2)通信協(xié)議脆弱性。

智能變電站嵌入式終端主要采用IEC 61850協(xié)議，其中，GOOSE和SV報文直接封裝于以太網(wǎng)幀中使用組播方式傳播，MMS報文運行于TCP/IP協(xié)議之上。因此，本文重點針對IEC 61850及TCP/IP協(xié)議進行分析。智能變電站通信協(xié)議具有如下特點及脆弱性：

(1)IEC 61850協(xié)議在設(shè)計階段僅強調(diào)通信實時性與可用性，欠缺加密、認證等安全機制，使得GOOSE、SV和MMS等業(yè)務(wù)報文極易被竊聽、篡改和偽造，特別是使用組播通信的GOOSE和SV報文。攻擊者一旦通過某種跳板侵入電力工控系統(tǒng)內(nèi)部，極易偽造虛假數(shù)據(jù)和發(fā)送惡意控制命令。

(2)TCP/IP協(xié)議以32 bit的IP地址來作為網(wǎng)絡(luò)節(jié)點的唯一標識，但IP地址只是通信報文中的一個參數(shù)，可以隨意修改，且TCP/IP協(xié)議中沒有檢驗機制來辨別數(shù)據(jù)包是否真正來自源IP地址對應(yīng)的主機，因此攻擊者可以對報文的IP地址進行修改，從而基于IP欺騙對設(shè)備發(fā)起各類網(wǎng)絡(luò)攻擊。例如攻擊者可以廣播發(fā)送源地址為攻擊對象IP地址的Ping消息，使攻擊對象因無法處理大量ICMP echo reply消息而拒接服務(wù)(Smurf攻擊)；攻擊者也可以向攻擊對象發(fā)送大量源地址和目的地址為攻擊對象IP地址的報文，使攻擊對象由于不斷向自己轉(zhuǎn)發(fā)報文而拒絕服務(wù)(Land攻擊)。

(3)TCP/IP協(xié)議沒有控制資源的占有和分配。若主機的TCP連接中已經(jīng)長時間未傳送數(shù)據(jù)，但只要對方?jīng)]有重啟或宕機，該主機也始終保持著TCP連接，這就導(dǎo)致了TCP連接資源的浪費，也使得使用TCP/IP協(xié)議的設(shè)備極易遭受拒絕服務(wù)攻擊。

3)終端自身或運維特點導(dǎo)致的脆弱性。

經(jīng)實際調(diào)研和實驗驗證，智能變電站嵌入式終端由于其自身和運維特點還存在如下脆弱性：

(1)相較于傳統(tǒng)IT設(shè)備，智能變電站嵌入式終端計算資源有限，對報文的處理能力較差，在接收到大量報文后可能由于無法處理而宕機；同時終端生產(chǎn)廠家目前普遍僅考慮終端的功能性，終端上的很多應(yīng)用未對非正常的報文進行判斷與處理，導(dǎo)致許多終端在接收到畸形報文時會發(fā)生宕機或重啟。

(2)終端生產(chǎn)廠家為了運維方便，可能會在終端上開啟生產(chǎn)控制大區(qū)禁止開放的服務(wù)，如FTP、Telnet、HTTP等，或在一些終端的固件中植入后門，這使得攻擊者易于向終端植入惡意代碼，進而遠程控制智能變電站的終端；大部分終端由廠商運維，即便只是使用本地運維接口，也使得攻擊者可能通過運維人員電腦將惡意代碼植入被運維設(shè)備。

1.3 智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊

由上節(jié)智能變電站終端脆弱性分析可知，智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊主要與嵌入式操作系統(tǒng)的漏洞、后門及IEC 61850和TCP/IP協(xié)議的脆弱性有關(guān)，依據(jù)攻擊所利用的脆弱性類型及攻擊機理，智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊類型如下：

1)漏洞利用攻擊。攻擊者利用終端中的漏洞而發(fā)起的攻擊。例如攻擊者可以利用緩沖區(qū)溢出漏洞讀取敏感數(shù)據(jù)、更改控制流、執(zhí)行任意代碼甚至造成終端的崩潰，利用提權(quán)漏洞繞過訪問控制、提升控制權(quán)限、逃避運行檢測等。

2)惡意代碼攻擊。攻擊者利用終端中的后門或跳板在終端中植入惡意代碼而實施的攻擊。這類攻擊通常隱蔽性強，難以檢測，可以使攻擊者竊取運行數(shù)據(jù)、惡意控制終端、刪除重要配置文件，或以此終端為跳板對其他終端發(fā)起攻擊。

3)業(yè)務(wù)報文攻擊。攻擊者通過篡改、偽造和重放業(yè)務(wù)報文而干擾正常業(yè)務(wù)流程的攻擊。例如攻擊者可以通過篡改、偽造業(yè)務(wù)報文對一次設(shè)備進行惡意控制，通過偽造量測數(shù)據(jù)干擾運行控制和調(diào)度決策，通過重放業(yè)務(wù)報文實施中間人攻擊，實現(xiàn)身份偽造等。

4)畸形報文攻擊。攻擊者利用畸形報文導(dǎo)致終端拒絕服務(wù)的攻擊。例如攻擊者可以向接入站控層網(wǎng)絡(luò)的設(shè)備發(fā)送一些偽造的、含有重疊偏移量的非法IP分組碎片(Tear Drop攻擊)，或發(fā)送一個超過IP最大長度的Ping報文(Ping of Death攻擊)等；也可以通過向過程層網(wǎng)絡(luò)的設(shè)備發(fā)送超長、空值、特殊字符、錯誤類型、錯誤長度描述等類型的畸形GOOSE報文，使終端由于無法處理這些畸形報文而宕機或重啟，從而導(dǎo)致終端拒絕服務(wù)。

5)網(wǎng)絡(luò)泛洪攻擊。攻擊者通過發(fā)送大量報文從而消耗主機計算資源及網(wǎng)絡(luò)帶寬的攻擊。例如攻擊者可以向終端發(fā)送大量的SYN報文，從而大量占有該主機的TCP連接資源，使主機無法再與其他設(shè)備建立TCP連接(SYN Flood攻擊)；或向終端發(fā)送大量的Ping報文(ICMP Flood攻擊)或UDP報文(UDP Flood攻擊)來消耗終端計算資源，使終端暫時無法處理其他消息；以及Smurf攻擊、Land攻擊等。

2 智能變電站嵌入式終端安全測評指標及內(nèi)容

構(gòu)建完整且具有針對性的安全測評指標及內(nèi)容是對智能變電站嵌入式終端開展安全測試的基礎(chǔ)。由于電力工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的業(yè)務(wù)不同，其對網(wǎng)絡(luò)安全的要求也不同。例如，傳統(tǒng)信息系統(tǒng)側(cè)重于對機密性的防護，但由于電力業(yè)務(wù)具有高實時性和連續(xù)性的要求，并直接影響電力一次系統(tǒng)的安全運行，電力工控系統(tǒng)對可用性和完整性的防護要求更高。因此現(xiàn)有的傳統(tǒng)信息系統(tǒng)安全測評指標不適用于智能變電站嵌入式終端的安全測評。

本文結(jié)合《電力信息系統(tǒng)安全等級保護實施指南》[13]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[14]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》[15]等標準，針對上文分析的智能變電站嵌入式終端脆弱性和可能遭受的攻擊，從系統(tǒng)及計算安全、網(wǎng)絡(luò)及通信安全和應(yīng)用及數(shù)據(jù)安全3個方面構(gòu)建智能變電站嵌入式終端的安全測評指標及內(nèi)容。

1)系統(tǒng)及計算安全。

智能變電站嵌入式終端操作系統(tǒng)的漏洞長期存在、修復(fù)周期長、修補率低，極易被攻擊者利用而發(fā)起攻擊；二次設(shè)備中非正常開放的服務(wù)和安裝的軟件也給攻擊者提供了入侵條件；若攻擊者在二次設(shè)備中植入了后門和惡意代碼則可以直接發(fā)起任何攻擊。因此本項測評指標需要涵蓋系統(tǒng)漏洞的防護、系統(tǒng)入侵的防范以及惡意代碼的防范。

(1)系統(tǒng)漏洞防護中，應(yīng)能發(fā)現(xiàn)終端可能存在的漏洞，并在經(jīng)過充分測試評估后及時修補漏洞；應(yīng)保障終端對漏洞利用攻擊具有一定的防御能力，能夠消除未修補漏洞的隱患。

(2)系統(tǒng)入侵防范中，應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；應(yīng)保障終端開放的服務(wù)和端口符合相關(guān)要求，關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口。

(3)惡意代碼防范中，應(yīng)能及時發(fā)現(xiàn)系統(tǒng)內(nèi)存在的惡意代碼，保障終端不存在后門，能夠抵御惡意代碼發(fā)起的攻擊。

2)網(wǎng)絡(luò)及通信安全。

智能變電站嵌入式終端處理能力較弱，且采用的IEC 61850協(xié)議欠缺認證機制，TCP/IP協(xié)議沒有控制資源的占有和分配。若攻擊者突破網(wǎng)絡(luò)邊界接入內(nèi)網(wǎng)發(fā)起泛洪攻擊，可造成嵌入式終端的拒絕服務(wù)甚至宕機，從而導(dǎo)致電力業(yè)務(wù)的延遲甚至中斷。因此本項測評指標需要涵蓋網(wǎng)絡(luò)邊界的防護、通信資源的控制以及對網(wǎng)絡(luò)風(fēng)暴的抑制。

(1)網(wǎng)絡(luò)邊界防護中，應(yīng)能夠?qū)B接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進行可信驗證，確保接入網(wǎng)絡(luò)的設(shè)備真實可信；應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行限制或檢查，并對其進行有效阻斷。

(2)通信資源控制中，應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話。

(3)網(wǎng)絡(luò)風(fēng)暴抑制中，應(yīng)保障終端對泛洪攻擊具有一定的防范能力，能夠在一定程度上抑制網(wǎng)絡(luò)風(fēng)暴。

3)應(yīng)用及數(shù)據(jù)安全。

智能變電站嵌入式終端在設(shè)計時主要考慮實時性與可用性，對異常報文的處理能力較弱；同時若攻擊者通過非正常手段登入設(shè)備或網(wǎng)絡(luò)，極易竊聽、篡改和偽造明文傳輸?shù)膱笪?。因此本項測評指標需要涵蓋軟件的容錯設(shè)計、登錄身份的驗證和數(shù)據(jù)的完整保密。

(1)軟件容錯設(shè)計中，應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求，能夠?qū)Ξ惓５膱笪倪M行合理的處理；在故障發(fā)生時，應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

(2)登錄身份驗證中，應(yīng)提供訪問控制功能，對登錄的用戶分配賬號和權(quán)限；應(yīng)具有身份認證功能，對登錄用戶進行身份標識和鑒別；應(yīng)強制用戶首次登錄時修改初始口令，保障用戶賬號具有合適強度的身份認證口令；應(yīng)提供并啟用登陸失敗處理功能，多次登陸失敗后采取必要的保護措施。

(3)數(shù)據(jù)完整保密中，應(yīng)采用校驗碼技術(shù)或加密技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性；應(yīng)采用加解密技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的保密性。

綜上，智能變電站嵌入式終端安全測評指標如圖2所示。

圖2 智能變電站嵌入式終端安全測評指標體系

3 智能變電站嵌入式終端安全測試技術(shù)研究

考慮完全覆蓋上述智能變電站嵌入式終端的測評指標，本文針對智能變電站嵌入式終端脆弱性及可能遭受的網(wǎng)絡(luò)攻擊，給出相應(yīng)的測試技術(shù)，包括漏洞掃描、漏洞利用、安全基線配置核查、惡意代碼分析檢測、報文攻擊測試、流量壓力測試與模糊測試。

1)漏洞掃描。

漏洞掃描是一種基于漏洞數(shù)據(jù)庫，利用掃描檢測等方式判斷目標系統(tǒng)是否存在漏洞的主動式防范技術(shù)。它作為一類重要的網(wǎng)絡(luò)安全技術(shù)，可適用于各類操作系統(tǒng)的脆弱性分析及安全測試，其主要功能是在漏洞被攻擊者利用前由安全測試人員主動地進行全面的安全隱患掃描，可預(yù)防漏洞惡意利用、降低風(fēng)險等級，進而提升系統(tǒng)整體安全性。

針對智能變電站嵌入式終端的漏洞掃描應(yīng)覆蓋測評指標的系統(tǒng)漏洞防護中關(guān)于漏洞發(fā)現(xiàn)的安全要求、系統(tǒng)入侵防范中關(guān)于端口及服務(wù)開放的安全要求、以及登錄身份認證中關(guān)于口令的安全要求，應(yīng)具備如下功能。(1)發(fā)現(xiàn)嵌入式Linux系統(tǒng)和VxWorks系統(tǒng)存在的漏洞；(2)檢測終端開放的端口和服務(wù)，如端口開放掃描；(3)檢測終端不合理的登錄配置，如弱口令掃描。

2)漏洞利用。

漏洞利用是在發(fā)現(xiàn)目標系統(tǒng)存在漏洞后，利用漏洞竊取敏感信息、提升運行權(quán)限、獲取目標系統(tǒng)控制權(quán)等活動來對漏洞進行驗證的技術(shù)。漏洞利用技術(shù)可以評估目標系統(tǒng)存在的漏洞的危險程度，同時可以以漏洞利用過程中系統(tǒng)環(huán)境的變化為依據(jù)，發(fā)現(xiàn)攻擊者利用漏洞發(fā)起的攻擊，以檢測終端對漏洞利用攻擊有無抵御能力，并針對利用的方式提出相應(yīng)的防護措施。

針對智能變電站嵌入式終端的漏洞利用應(yīng)覆蓋測評指標的系統(tǒng)漏洞防護中關(guān)于漏洞攻擊防范的安全要求，應(yīng)具備如下功能。(1)利用嵌入式Linux系統(tǒng)和VxWorks系統(tǒng)存在的漏洞執(zhí)行緩沖區(qū)溢出；(2)利用漏洞進行越權(quán)訪問；(3)利用漏洞獲取敏感信息。

3)安全基線配置核查。

安全基線是保持信息安全的完整性、可用性、機密性的最小安全控制，是系統(tǒng)的最小安全保證、最基本的安全要求。安全基線配置核查即檢測業(yè)務(wù)系統(tǒng)所屬設(shè)備在特定時期內(nèi)，根據(jù)自身需求、部署環(huán)境和承載業(yè)務(wù)要求應(yīng)滿足的基本安全配置要求合集。

針對嵌入式終端的安全基線配置核查應(yīng)覆蓋測評指標的系統(tǒng)入侵防范中關(guān)于最小安裝原則的安全要求、網(wǎng)絡(luò)邊界防護中關(guān)于網(wǎng)絡(luò)接入的安全要求、登錄身份認證中關(guān)于訪問控制的安全要求、以及數(shù)據(jù)完整保密中關(guān)于通信完整性和保密性的安全要求，應(yīng)具備如下功能。(1)核查終端安裝的組件和應(yīng)用程序，即最小安裝原則核查；(2)核查終端接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)的行為，即網(wǎng)絡(luò)接入核查；(3)核查終端的訪問控制及身份認證策略，即訪問控制策略核查；(4)核查網(wǎng)絡(luò)報文的保密性和完整性，即報文加密認證核查。

4)惡意代碼分析檢測。

惡意代碼的分析及檢測利用特征碼匹配、啟發(fā)式掃描、異常檢測等方式檢測目標系統(tǒng)內(nèi)是否存在惡意代碼和后門，同時測試智能變電站嵌入式終端能否抵御惡意代碼發(fā)起的攻擊。

針對智能變電站嵌入式終端的惡意代碼分析檢測應(yīng)覆蓋測評指標的惡意代碼防范的全部安全內(nèi)容，應(yīng)具備如下功能。(1)惡意行為靜態(tài)分析，即對終端上的二進制代碼進行反匯編，檢測其是否含有諸如非法向外連接、進程隱藏等惡意行為的代碼；(2)異常動作在線監(jiān)測，即對終端的運行狀態(tài)和系統(tǒng)狀態(tài)等信息進行監(jiān)測，分析終端是否執(zhí)行了異常的動作，檢測終端對惡意代碼的抵御能力。由于嵌入式終端計算資源有限，無法在嵌入式終端上安裝檢測工具，因此在線監(jiān)測可采用旁路主機進行分析判斷，終端上只安裝信息收集代理。

5)報文攻擊測試。

報文攻擊測試指針對目標系統(tǒng)的協(xié)議脆弱性對其進行模擬攻擊，從而評估目標系統(tǒng)對各類攻擊抵御能力的方法。

針對智能變電站嵌入式終端的報文攻擊測試應(yīng)覆蓋測評指標中通信資源控制和網(wǎng)絡(luò)風(fēng)暴抑制的全部安全要求、以及軟件容錯設(shè)計中關(guān)于軟件容錯計算的安全要求，應(yīng)具備如下功能。(1)業(yè)務(wù)報文攻擊測試，包括篡改、偽造和重放業(yè)務(wù)報文攻擊測試；(2)畸形報文攻擊測試，包括Tear Drop攻擊測試、Ping of Death攻擊測試、IEC61850畸形報文攻擊測試、IEC 60870-5-102/103/104畸形報文攻擊測試；(3)網(wǎng)絡(luò)泛洪攻擊測試，包括SYN Flood攻擊測試、ICMP Flood攻擊測試、UDP Flood攻擊測試、Land攻擊測試、Smurf攻擊測試等。

6)流量壓力測試。

流量壓力測試指通過向設(shè)備發(fā)送不同速率的報文包并觀察終端對報文的處理情況，從而評估設(shè)備計算能力的方法。流量壓力測試可在報文攻擊測試基礎(chǔ)上對泛洪類攻擊測試(SYN Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊)進行改進，調(diào)整泛洪類攻擊的發(fā)包速率，對智能變電站嵌入式終端能夠承受的網(wǎng)絡(luò)流量大小進行準確評定。

針對智能變電站嵌入式終端的流量壓力測試作為報文攻擊測試的拓展與補充，應(yīng)覆蓋測評指標中網(wǎng)絡(luò)風(fēng)暴抑制的安全要求，應(yīng)具備如下功能。(1)SYN Flood流量壓力測試；(2)ICMP Flood流量壓力測試；(3)UDP Flood流量壓力測試。

7)模糊測試。

模糊測試是一種基于缺陷注入的自動化軟件漏洞挖掘技術(shù)，通過向待測試的目標軟件輸入一些半隨機的數(shù)據(jù)并執(zhí)行程序，監(jiān)控程序的運行狀況，同時記錄并進一步分析目標程序發(fā)生的異常。由于目標程序在編寫時未必考慮到對所有非法數(shù)據(jù)的出錯處理，因此半隨機數(shù)據(jù)很有可能造成目標程序崩潰，從而暴露出設(shè)備的未知漏洞。

針對智能變電站嵌入式終端的模糊測試應(yīng)覆蓋測評指標的軟件容錯設(shè)計中關(guān)于數(shù)據(jù)有效性檢查的安全要求，同時覆蓋智能變電站嵌入式終端使用的所有通信協(xié)議，應(yīng)具備如下功能。(1)針對IEC 61850的協(xié)議模糊測試；(2)針對IEC60870-5-102/103/104的協(xié)議模糊測試；(3)針對TCP/IP的協(xié)議模糊測試。

綜上，智能變電站嵌入式終端安全測試技術(shù)體系如圖3所示。

圖3 智能變電站嵌入式終端安全測試技術(shù)體系

綜合本節(jié)及第2節(jié)的內(nèi)容，智能變電站嵌入式終端安全測評指標、測試內(nèi)容及測試技術(shù)對應(yīng)關(guān)系如附表A1所示。

4 案 例

本節(jié)以國內(nèi)某省電力公司智能變電站實驗室為測試平臺，依據(jù)本文提出的智能變電站嵌入式終端安全測評指標，利用我們開發(fā)的報文攻擊測試工具、GOOSE協(xié)議模糊測試工具及開源工具對該實驗室的5種智能設(shè)備進行測試與評估，以示范本文測評指標及測試技術(shù)的應(yīng)用方法。

該案例智能變電站二次設(shè)備組成和網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖4所示，采用三層兩網(wǎng)結(jié)構(gòu)，主要二次設(shè)備有監(jiān)控后臺、遠動終端、保護裝置、測控裝置、智能終端、合并單元、故障錄波及網(wǎng)絡(luò)分析裝置，組網(wǎng)方式采用A/B雙星型網(wǎng)絡(luò)結(jié)構(gòu)，2套保護裝置及相關(guān)合并單元和智能終端各用1個星型網(wǎng)絡(luò)。本次測評選取該智能變電站控制區(qū)中所有的嵌入式終端為測評對象，包括遠動終端、保護裝置、測控裝置、智能終端及合并單元5類設(shè)備。

圖4 待測智能變電站二次設(shè)備組成及網(wǎng)絡(luò)拓撲結(jié)構(gòu)

完整的測試過程包括測試準備、現(xiàn)場測試和分析整改3個階段。

1)測試準備。由于本文待測設(shè)備及所依賴的網(wǎng)絡(luò)環(huán)境均已事先配置好，且對測試人員是未知的，因此，根據(jù)2.3節(jié)的測試方案，測試前需要做如下準備工作：

(1)查詢智能變電站網(wǎng)絡(luò)拓撲圖及待測設(shè)備IP地址；查詢智能變電站配置文件中待測設(shè)備接收及發(fā)送報文的APPID。

(2)對智能變電站待測設(shè)備，依據(jù)附表A1中測評指標，選取測評內(nèi)容，確定測試技術(shù)，結(jié)果如表3所示。

表3 待測設(shè)備及測評指標和測試技術(shù)

2)現(xiàn)場測試。本案例待測設(shè)備既有站控層設(shè)備也有過程層設(shè)備，現(xiàn)場測試過程如下：

(1)測試主機接入站控層交換機，利用Nmap進行網(wǎng)段掃描，確認遠動終端、保護裝置及測控裝置均在線；依據(jù)表3所列測評內(nèi)容及測試技術(shù)對遠動終端、保護裝置及測控裝置進行測試，記錄測試現(xiàn)象，結(jié)果如表4所示。

表4 遠動終端、保護裝置及測控裝置的測試結(jié)果

(2)測試主機接入過程層交換機鏡像端口，利用網(wǎng)絡(luò)抓包工具結(jié)合APPID，監(jiān)聽測控裝置、智能終端及合并單元的心跳報文，確認各裝置均在線；依據(jù)表3所列測評內(nèi)容及測評方法對測控裝置、智能終端及合并單元進行測試，記錄測試現(xiàn)象，結(jié)果如表5所示。

表5 測控裝置、智能終端及合并單元的測試結(jié)果

3)分析整改。對表4及表5的測試現(xiàn)象分析可知，本次測試中的5類嵌入式終端均能滿足正常業(yè)務(wù)運行要求，但遠動終端、保護裝置、測控裝置和智能終端無法處理異常情況下的報文，可能遭受泛洪攻擊、報文篡改攻擊和畸形報文攻擊。5類嵌入式終端測評結(jié)果如表6所示。

由表6可知，接入站控層網(wǎng)絡(luò)的設(shè)備(遠動終端、保護裝置、測控裝置)大都會受到泛洪類攻擊的影響，建議對接入站控層網(wǎng)絡(luò)的設(shè)備做如下更改：(1)關(guān)閉ICMP echo響應(yīng)；(2)縮短SYN timeout時間；(3)設(shè)置SYN cookie；(4)使用防火墻。

表6 5類嵌入式終端的測評結(jié)果

本次測試檢測出了接入過程層網(wǎng)絡(luò)的測控裝置和智能終端中關(guān)于處理畸形GOOSE報文的未知漏洞，同時檢測出部分智能終端無法辨別正常GOOSE報文和被篡改的GOOSE報文，因此建議對接入過程層網(wǎng)絡(luò)設(shè)備做如下整改。(1)廠家對各終端的關(guān)鍵報文接收處理模塊進行改進，使其遵循IEC 61850規(guī)約中GOOSE協(xié)議的通信機制并對sqNum和stNum進行檢查，能夠?qū)y序、錯序、丟失的報文發(fā)出告警并直接丟棄，過濾過程層網(wǎng)絡(luò)中的畸形報文。同時結(jié)合終端當(dāng)前所在業(yè)務(wù)環(huán)境，嚴格對照SCD配置文件對報文的各字段進行核查，判斷接收的報文各字段的類型、長度、值等是否符合SCD文件中的配置，對不符合配置的報文直接丟棄，并向監(jiān)控后臺發(fā)出告警信息。(2)在過程層網(wǎng)絡(luò)中配置第三方報文檢測終端，針對特定業(yè)務(wù)報文攻擊(如報文篡改攻擊、報文重放攻擊)的邏輯進行檢測和防御。

5 結(jié) 論

開展對智能變電站嵌入式終端的安全測試可以評估其安全性，便于提升終端安全水平和運維人員制定針對性的網(wǎng)絡(luò)安全防護策略，從而保障電網(wǎng)的安全運行。本文從分析智能變電站二次系統(tǒng)和通信網(wǎng)絡(luò)的脆弱性出發(fā)，提出了適用于智能變電站嵌入式終端的安全測評指標及內(nèi)容，并研究了智能變電站嵌入式終端的安全測試技術(shù)。作為示例并驗證測試技術(shù)的合理性，對國內(nèi)某省電力公司智能變電站實驗室的5類嵌入式終端進行了測試，并依據(jù)測試結(jié)果提供了整改建議。

本文提出的智能變電站嵌入式終端安全測試技術(shù)基于智能變電站終端和通信網(wǎng)絡(luò)的脆弱性，并結(jié)合了傳統(tǒng)信息系統(tǒng)與電力工控系統(tǒng)的相關(guān)測評標準，具有針對性且較為全面，適用于采用IEC 61850標準建設(shè)的智能變電站。案例給出的整改建議可為產(chǎn)品廠商提升終端安全性和工程單位提高在線防護能力參考。文中脆弱性分析和安全測試技術(shù)對其他智能電網(wǎng)二次系統(tǒng)安全防護也具有參考意義。

下一步可開展智能變電站嵌入式終端網(wǎng)絡(luò)安全深度檢測技術(shù)研究、智能變電站非控制區(qū)安全測評研究、以及智能變電站整體安全測評等相關(guān)研究，以全方位保障智能變電站的運行安全。

附錄A

表A1 智能變電站嵌入式終端安全測評指標及測試技術(shù)