智能变电站网络安全风险分析工具设计与实现

王胜 张凌浩 张菊玲 肖力川 唐超

摘要：智能变电站网络安全作为电网生产安全的重要组成部分所面临的问题日趋严重。本文通过对智能变电站的安全现状进行分析，提出了智能变电站网络安全风险评估工具的设计与实现。通过采用已知漏洞扫描、未知漏洞挖掘以及静态评估等功能，实现对智能变电站的全面风险评估的手段，达到对智能变电站网络安全风险的管控，提升了智能变电站的整体安全。

关键词：智能变电站;风险管控;设计

中图分类号：TN914 文献标识码：A 文章编号：1007-9416（2018）11-0177-03

0 引言

随着网络与信息技术在电力系统中的应用，病毒、网络攻击使得电力行业网络与信息安全形势日益严峻。主要体现在以下方面：一是网络黑客组织的协调和攻击能力迅速加强;二是APT（高级持续性威胁）网络攻击的针对性、持续性、隐蔽性空前增强;三是针对电力工控系统特点研发的网络战武器日趋增多（如“震网”病毒）。在工控系统安全分析方面，国外已经走在世界的前列。与此相比，国内相关工作相对滞后，缺乏国内自主可控的智能变电站信息安全分析技术及工具。

本文通过研究分析智能变电站的安全风险和安全评估方法，在此基础上，设计并实现智能变电站信息安全评估工具。该工具能够有效检测智能变电站系统存在的脆弱性，发现存在的安全漏洞、安全配置问题、应用系统安全漏洞，为排查智能变电站系统安全隐患、堵塞系统安全漏洞提供有效手段。

1 智能变电站安全分析

针对智能变电站的信息安全攻击和破坏，可以描述为以破坏或降低智能变电站自动化系统功能为目的，在未经许可情况下对信息通信系统和控制系统行为（各种保证智能变电站正常运行的电力自动化控制组件以及对实时数据进行采集、监测、传输的过程控制组件的工作状态）进行追踪，利用基于IEC61850的智能变电站通信网络和系统存在的漏洞和安全缺陷（如操作系统漏洞/通信协议漏洞/应用软件漏洞等）对系统本身或资源进行攻击。

通过对智能变电站进行风险分析，得到网络安全风险来源来自于以下几个方面。

1.1 信息系统信息安全风险

信息系统风险指站控层和间隔层设备自身操作系统存在的信息安全漏洞，包括计算机操作系统漏洞、文件漏洞、数据库漏洞等。

1.2 控制系统信息安全风险

控制系统存在的信息安全漏洞是控制系统信息安全风险的主要来源，从已经公布的工业控制系统漏洞可以发现，主流的工业控制系统厂商的产品均存在如缓冲区溢出、后门口令等高危漏洞。智能变电站控制系统漏洞主要针对间隔层和过程层的各类设备和终端，包括嵌入式操作系统漏洞、嵌入式应用软件漏洞等。

1.3 通信协议信息安全风险

智能变电站采用的通信协议如IEC61850 MMS、Goose、SV在设计时对信息安全考虑的不够完善，来自站控层一侧的非授权的恶意指令会导致控制系统以及其他连接在网络上的设备不可用，Goose报文和SV报文采用多播消息进行局域网内通信，针对此两类通信的攻击手段至少包括拒绝服务攻击、篡改攻击、重放攻击等。

1.4 运维信息安全风险

智能变电站设备的运维多数由设备厂商提供，这些运维人员的设备直接和智能变电站设备通过网络、本地调试接口等连接，很容易在运维过程中将恶意代码或其他信息安全风险引入智能变电站设备。

1.5 人员安全风险

智能变电站已经具备了信息安全技术和管理保障措施、手段和制度，但技术和管理人员的信息安全意识决定了这些措施、手段和制度的效果，如果人员的信息安全意识不足，会带来一定的信息安全风险。

2 智能变电站安全风险分析工具的设计实现

智能变电站网络安全分析工具包含已知漏洞扫描单元、未知漏洞挖掘单元及静态评估单元，同时结合评估人员的实际需求，设计带友好界面的WEB门户，及用于导出评估结果的分析结果综合评估单元。

工具的整体功能模块图如图1所示。

智能变电站系统信息安全分析及评估工具在技术上采用了B/S架构进行实现，工具由信息安全分析评估平台、信息安全分析评估引擎两个部分组成。

直接面向评估人员的评估平台包含系统管理、终端管理、任务管理、评估结果管理及状态和统计功能几大部分。

软件后台（信息安全分析评估引擎）则具体包含已知漏洞扫描引擎、未知漏洞挖掘引擎、静态评估引擎，以及系统管理和终端管理模块。

2.1 安全分析评估模块

信息安全分析评估模块是整个系统的访问入口，实现整个系统的管理、用户操作接口、信息安全分析评估引擎的调用和管理等功能，负责前端显示，具体包括状态和统计单元、系统管理单元、终端管理单元、任务管理单元、评估结果管理单元共5个单元。

状态和统计单元主要用于检测平台显示历史扫描结果和系统配置信息，包括漏洞分布统计模块、危害等级统计模块、操作日志模块、系统状态模块共4个模块。漏洞分布统计模块根据漏洞的类型对检测结果进行定量统计，漏洞类型包括操作系统漏洞、数据库漏洞、应用服务类漏洞、網络类漏洞等。危害等级统计模块根据漏洞的危害程度对检测结果进行定量统计，危害等级分为高危、中危、低危和安全4个等级。操作日志模块主要实现智能变电站脆弱性分析评估系统各个子系统、单元的用户操作、告警记录、历史访问等内容的记录功能。系统状态模块主要实现智能变电站脆弱性分析评估系统自身运行状态、版本等信息的显示功能，具体包括CPU使用率、内存使用率、数据库磁盘空间占用、产品版本、连续运行时间等内容。

系统管理单元主要用于系统基本配置和用户角色的设置和管理，包括用户权限管理模块、基本设置模块、网络设置模块、系统升级管理模块共4个模块。

用户权限管理模块主要实现用户信息管理、用户角色分配、用户权限划分等功能。基本设置模块主要实现系统应用配置、时间设置、磁盘空间管理等功能。网络设置模块主要实现系统网卡配置、防火墙配置等功能。系统升级管理模块主要实现系统中各主要功能模块和引擎的升级、数据库升级、应用升级、系统自身补丁安装等功能。

終端管理单元主要用于被测电网的变电站设备管理，包括组织结构管理模块、终端设备管理模块、终端设备在线统计模块共3个模块。组织结构管理模块主要实现管理区域下辖变电站的组管理功能。终端设备管理模块主要实现变电站内各个控制系统设备和信息系统设备的发现、录入、配置功能。终端设备在线统计模块主要实现已录入设备的在线检测功能。

任务管理单元主要用于脆弱性分析评估主要业务的任务管理功能，其中包括已知漏洞扫描任务模块、未知漏洞挖掘任务模块、静态评估任务模块、历史任务管理模块共4个模块。已知漏洞扫描任务模块主要实现对已知漏洞扫描引擎的工作任务配置功能。未知漏洞挖掘模块主要实现对未知漏洞挖掘引擎的工作任务配置功能。静态评估任务模块主要实现静态评估工具的任务建立下发等管理功能。历史任务管理模块主要实现历史任务的记录、回溯等功能。

评估结果管理单元主要用于收集各任务引擎对应的脆弱性分析评估结果，并汇总成综合评估报告，包括已知漏洞扫描报表模块、未知漏洞挖掘报表模块、静态评估报表模块、综合评估报告模块共4个模块。已知漏洞扫描报表模块主要实现对已知漏洞扫描结果的访问、分析、评分功能。未知漏洞挖掘报表模块主要实现对未知漏洞挖掘结果的访问、分析、评分功能。静态评估报表模块主要实现对静态评估结果的访问、分析功能。综合评估报告模块主要实现以上3个报表的汇总和总体评分，给出修复建议和预防措施，对风险控制策略进行有效审核等功能。

2.2 安全分析评估引擎

安全分析评估引擎是整个系统的具体业务功能载体，负责智能变电站系统信息安全分析评估的后端处理，包括系统管理单元、已知漏洞扫描引擎单元、未知漏洞挖掘引擎单元、静态评估引擎单元、终端管理单元共5个单元。

系统管理单元主要用于接收来自脆弱性检测平台的系统操作指令，包括系统配置管理模块、单点登录管理模块、日志管理模块、运行状态监控模块共4个模块。系统配置管理模块主要实现系统基本设置、网络设置、文件管理等具体配置功能。单点登录管理模块主要实现用户对各个业务模块的统一登录访问功能。日志管理模块主要实现系统日志、操作日志、任务信息等内容的管理、维护功能。运行状态监控模块主要实现系统运行状况、资源分配占用、多用户访问情况等的监控功能。

已知漏洞扫描引擎单元主要用于实现基于已知漏洞库的漏洞扫描业务，包括漏洞扫描模块、端口扫描模块、口令破解模块、引擎配置模块共4个模块。漏洞扫描模块主要实现基于策略的已知漏洞扫描功能，扫描对象包括操作系统、数据库、应用服务、嵌入式软件、工控专用软件、网络协议、工业现场总线等，扫描策略包括不同强度类型的扫描、Windows或类Unix设备或嵌入式操作系统的扫描、网络服务扫描、数据库扫描、攻击扫描、虚拟化平台扫描等。端口扫描模块主要实现对被测试设备开放端口的扫描功能，扫描方式包括TCP扫描和UDP扫描。口令破解模块主要实现变电站设备中可能存在的弱口令扫描和破解功能，口令类型包括SMB协议、SNMP协议、ORACLE数据库、MS SQL数据库、MySQL数据库、FTP协议、Telnet协议、POP3协议、IMAP协议、Rlogin协议、SSH协议、DB2数据库等。引擎配置模块主要实现已知漏洞扫描引擎的参数配置、策略管理、扫描任务设置等功能。

未知漏洞挖掘引擎单元主要利用模糊测试技术，通过模拟智能变电站内各个设备相应的通信协议发送机制，向其发送变异或包含错误的测试报文，监视被测对象的响应报文以发现错误，进而发现智能变电站的安全隐患。未知漏洞挖掘引擎单元包括漏洞挖掘模块、测试用例管理模块、协议管理模块、引擎配置共4个模块。漏洞挖掘模块主要实现引擎对被测设备的报文发送和监听、监测结果分析等功能。测试用例管理模块主要实现测试用例集的管理和脚本分析功能。协议管理模块主要实现被测试网络或工控协议的管理，包括TCP/IP类标准以太网协议以及Modbus、IEC61850、DNP3等电网常用工控协议。引擎配置模块主要实现未知漏洞挖掘引擎的参数配置、测试用例规则配置、模糊报文数量控制、变异库范围控制等功能。

静态评估工具单元采用静态评估工具对智能变电站的日常管理维护工作方法和流程进行问卷评估，包括调查问卷模块、评分管理模块、工具配置模块共3个模块。调查问卷模块主要实现调查问卷的网络页面实现和填表功能。评分管理模块主要实现问卷题目和答案的匹配检查功能。工具配置模块主要实现参加测试人数控制、题目范围控制等功能。另外，智能变电站管理维护工作的责任主体包括运行人员、继保人员等相关工作人员。测试评估的依据主要包括国家信息安全等级保护制度和《电力监控系统安全防护规定》有关要求。

3 应用实践

通过选取实验环境对工具的有效性进行了应用实验，测试包括了合并单元和智能终端以及保护装置、公用测控品牌均为许继，测控装置以及远动测控装置品牌为深瑞。故障录波系统和网络报文分析装置品牌为中元华电，操作系统为Windows XP系统。监控主机（操作员站）所采用操作系统为Solaris。交换机为东土的SICOM2024P工业交换机。除此以外，测试对象还拥有一套远动测控装置，远动测控装置属于站控层，通过抓取站控层交换机数据通过电力调度数据网传到变电站所属的调度中心。远动测控装置向调度中心传输数据采用纵向加密。

通过应用测试发现以下网络安全风险：

3.1 装置报警

通过对间隔层设备发送基于模板和经验值生成的异常数据，SCADA系统的报警信息报告装置异常，如图2所示。

3.2 非法操作

通过基于模板的异常数据测试，发现过程层的终端设备会响应部分畸形报文，做出分合闸动作，如图3所示。

4 结语

智能变电站网络安全作为电网生产安全重要组成部分，本文介绍了一种智能变电站网络安全分析工具的设计和实现方法，用于发现智能变电站中存在的网络安全问题，工具针对智能变电站可能存在的已知漏洞、未知漏洞以及智能变电站可能存在的管理漏洞进行覆盖，能够较为全面的了解智能变电站安全脆弱性现状，为提升智能变电站信息安全防护提供技术支撑和设计依据。

參考文献

[1]Q/GDW 383-2009 智能变电站技术导则[S].国家电网公司，2009.

[2]常英贤.工控安全建设国家电网先行[J].中国信息安全，2016，（4）：59-61.

[3]吴在军，胡敏强.基于 IEC61850 标准的变电站自动化系统研究[J].电网技术，2003，27（10）：61-65.

[4]李孟超，王允平，李献伟，等.智能变电站及技术特点分析[J].电力系统保护与控制，2010 （18）：59-62.

[5]曹楠，李刚，王冬青.智能变电站关键技术及其构建方式的探讨[J].电力系统保护与控制，2011，39（5）：63-68.

[6]刘劼，徐超，徐声龙，等.智能变电站工控系统安全防护技术研究[J].能源与环保，2017，39（12）：140-144+148.

Design and Implementation of Network Security Risk Analysis Tool for Smart Substation

WANG Sheng1，ZHANG Ling-hao1，ZHANG Ju-ling2， XIAO Li-chuan3，TANG Chao1

（1. State Grid Sichuan Electric Power Research Institute， Chengdu  Sichuan 610000;

2.State Grid Sichuan Electric Power Dazhou Power Company， Dazhou Sichuan 635000;

3.State Grid Sichuan Electric Power Company Yadian Group Company， Ya'an Sichuan 625200）

Abstract：Intelligent substation network security as an important part of power grid production security is facing increasingly serious problems. Based on the analysis of the security status of intelligent substation， this paper presents the design and implementation of network security risk assessment tool for intelligent substation. By using the functions of known vulnerability scanning， unknown vulnerability mining and static evaluation， the comprehensive risk assessment of smart substation can be realized， and the network security risk of smart substation can be controlled， and the overall security of smart substation can be improved.

Key words：intelligent substation; risk management and control; design