智能变电站嵌入式终端安全测试方法研究

李福阳，李俊娥，刘林彬，刘威，林海，倪明

(1.空天信息安全与可信计算教育部重点实验室，武汉大学国家网络安全学院，武汉市 430072；2.南瑞集团有限公司(国网电力科学研究院有限公司)，南京市 211106；3.国电南瑞科技股份有限公司，南京市 211106；4.智能电网保护和运行控制国家重点实验室，南京市 211106)

0 引 言

智能变电站作为智能电网的关键组成部分，其网络安全影响着整个电力系统的运行安全。然而，智能变电站二次设备的智能化及通信网络的标准化也带来了新的安全问题。例如，智能变电站嵌入式终端的系统版本低且运行周期长，系统内漏洞长期存在，修复过程复杂[1]；通信网络中，IEC 61850协议欠缺加密认证机制，使得其报文极易被窃取、篡改、伪造[2]；攻击者也可利用TCP/IP协议的脆弱性[3]对智能变电站嵌入式终端发起网络攻击。

信息系统安全测评是依据相关安全标准、利用相应测评方法、系统全面地评估信息系统的安全、发现安全隐患的过程。对智能变电站嵌入式终端开展安全测评可以及时发现终端的脆弱性，从而进行整改或制定相应的安全防护措施，提升智能变电站抵御网络攻击的能力。

已有学者对智能变电站二次系统的网络安全测试技术及评估方法展开了相关研究。测试技术研究中，Chai Jiwen等[4]提出了一种智能变电站安全测试平台，采用基于TCP/IP和IEC 61850协议的攻击测试和模糊测试来检测系统和协议潜在的漏洞，同时根据IEC 62443的要求来检查智能变电站的配置合规性。Noce等[5]改进了GEESE方法，创建不同的网络攻击来检测智能变电站中的漏洞，以测试智能变电站的安全性。刘姗梅等[6]采用已知漏洞扫描技术、未知漏洞挖掘技术以及静态评估方法，分别对智能变电站的各层设备和日常管理进行安全评估。Elbez等[7]设计了一种基于IEC 61850智能变电站的信息物理融合系统测试平台，描述了一些攻击场景和过程，并测试了这些攻击对智能变电站的影响。

评估方法研究中，刘念等[8]结合变电站自动化通信系统的特点和分布式系统脆弱性理论，提出了网络环境下变电站自动化通信系统脆弱性评估方法。曹一家等[9]提出了一种考虑各种具体安全威胁的定量评估方法，利用层次分析法确定各种威胁的权重，基于D-S证据理论对各专家的决策进行信息集成，最后得到各安全威胁对变电站通信系统信息安全影响的大小排序。王媛媛[10]设计了智能变电站通信网络安全评价系统，采用模糊综合评价法进行数据分析，实现了对通信网络安全等级在线评价的功能。Xiang Yingmeng等[11]量化了智能变电站网络漏洞对供电可靠性的影响，提出了一种结合物理故障和网络安全风险的电力系统可靠性评估框架。

上述的研究工作对本文部分测试技术的研究和评估方法的选取有很好的参考作用，但上述研究中的评估方法主要关注于安全测评中的评价指标量化方法，对智能变电站嵌入式终端的脆弱性分析及安全测评指标的研究较少。同时，测试技术并未能完全覆盖智能变电站嵌入式终端的脆弱性和可能遭受的网络攻击，不能对智能变电站嵌入式终端开展全面的测试，在对智能变电站进行网络安全测试时可操作性也较差。

目前电力行业对智能变电站的安全防护及测试规范包括《变电站二次系统安全防护方案》[12]、《电力信息系统安全等级保护实施指南》[13]、《信息安全技术 网络安全等级保护基本要求》[14]、《信息安全技术 网络安全等级保护测评要求》[15]等，这些规范对电力二次系统的业务系统分区、信息流向及通用安全防护措施等方面提出了安全防护标准及测试规范。但现有行业标准和规范仅在通用信息系统及电力信息系统的终端层面提出相应安全要求，没有关于智能变电站嵌入式终端的规范和标准。现有行业标准及规范中的测试技术包括检查技术、识别和分析技术及漏洞验证技术，在具体测试中仅能涵盖智能变电站嵌入式终端的系统漏洞安全测试，未能完全覆盖智能变电站嵌入式终端的脆弱性和可能遭受的网络攻击。

因此，本文针对现有测评指标及测试方法的不足，分析终端的脆弱性和可能遭受的网络攻击，提出适用于智能变电站嵌入式终端的安全测评指标及测试内容，并基于提出的指标体系，研究相应的安全测试方法，为智能变电站嵌入式终端的安全测试提供指标体系与方法指导，也为在线安全防护提供参考，以保障智能变电站的网络安全。

1 智能变电站嵌入式终端脆弱性分析

1.1 智能变电站二次系统

智能变电站二次系统由二次设备和连接二次设备的通信网络构成。以220 kV智能变电站为例[16]，其二次系统一般包括监控及数据采集(supervisory control and data acquisition, SCADA)系统、五防系统、继电保护与故障信息系统、安全自动控制系统、电能量计量系统、故障录波系统等业务系统；二次设备一般包括监控主机与后台、远动终端、保信子站、测控装置、继电保护与安全自动装置、相量测量装置(phasor measurement unit, PMU)、电能量采集终端及电能表、一次设备状态监测装置、智能终端、合并单元等设备。

智能变电站在逻辑上划分为站控层、间隔层、过程层3层结构，物理上一般配置2层网络，即站控层网络和过程层网络。站控层网络又称制造报文规范(manufacturing message specification, MMS)网，用于站控层设备和间隔层设备的信息交换，对数据传输的实时性和可靠性要求较低，但数据量相对较大。过程层网络包括面向变电站事件对象(generic object oriented substation event，GOOSE)网和采样值(sampled value，SV)网。GOOSE网主要用于保护设备之间的联闭锁信息交互、间隔层与过程层设备之间控制命令传递以及断路器与隔离开关等开关量的采集，对实时性和可靠性要求非常高；SV网用于传输电子式互感器所产生的电气量采样值给保护装置和测控装置，数据量庞大，对实时性和可靠性的要求也很高。

依据电力二次系统安全防护方案中的“安全分区”原则[12]，智能变电站的业务系统原则上划分为生产控制大区和管理信息大区，生产控制大区又可分为控制区(安全Ⅰ区)和非控制区(安全Ⅱ区)。控制区中的业务系统直接实现对电力一次系统的实时监控，非控制区中的业务系统不具备控制功能。

220 kV智能变电站二次系统包含的二次设备及位置如表1所示。

表1 智能变电站二次系统基本组成

控制区(安全Ⅰ区)中的业务系统直接实现对电力一次系统的实时监控，是电力生产的重要环节和安全防护的重点与核心，因此本文主要针对控制区的二次设备展开研究。常见的智能变电站控制区网络架构如图1所示。

图1 智能变电站控制区网络架构

智能变电站控制区中主要二次设备使用的操作系统及应用层通信协议如表2所示。

表2 智能变电站控制区二次设备所用的操作系统及协议

可见智能变电站控制区中绝大部分二次设备使用嵌入式操作系统和IEC 61850协议，这些设备对智能变电站的正常运行起着重要的作用。因此本文重点研究智能变电站的这一类二次设备，并统称为智能变电站嵌入式终端。

1.2 智能变电站嵌入式终端脆弱性分析

脆弱性是攻击者能够达成攻击目标的内因。对系统和设备进行脆弱性分析可以发现可能遭受的网络攻击，从而针对这些脆弱性对系统开展测试、修复及部署在线安全防护措施，保障系统运行安全。本文从操作系统、通信协议及终端特点3个方面分析智能变电站嵌入式终端的脆弱性。

1)嵌入式操作系统脆弱性。

由表2可知，目前智能变电站中二次系统的嵌入式终端大多采用嵌入式Linux和VxWorks操作系统。因此，本文重点对这两种系统的脆弱性进行研究。经调研和对文献及公共漏洞库的分析，智能变电站嵌入式终端操作系统具有如下特点及脆弱性：

(1)智能变电站嵌入式终端使用周期长，大量漏洞长期存在。一方面，很多较早上线的终端使用低版本操作系统，如Linux 2.x～3.x内核，低版本系统中存在较多安全漏洞，如CVE-2012-0207、CVE-2009-1265和CVE-2006-1857等。另一方面，智能变电站嵌入式终端系统大多是对通用操作系统的裁剪优化，或是针对特定任务的定制系统，因而存在与通用补丁或安全软件的兼容性问题，使得不易通过补丁修复漏洞和安装安全软件；同时由于通用操作系统的补丁兼容性较差，不同厂商需要针对自己定制裁剪后的系统进行补丁开发，开发及修复周期较长。因此嵌入式终端上的漏洞可能长期存在，使得终端缺乏抵抗攻击的能力。攻击者利用这些漏洞，可以达到使终端拒绝服务、获取敏感信息或远程代码执行的目的。

(2)现有研究中关于VxWorks操作系统的公开漏洞极少，但也存在危害性极大的漏洞。例如，CVE-2010-2967所描述的密码碰撞问题，一旦攻击者暴力破解密钥成功即可建立telnet、ftp、rlogin等会话，进而获取系统控制权限，这将极大影响整个电网的安全性；CVE-2015-7599提到的整数溢出漏洞，成功利用的攻击者可在OS中远程执行任意代码，破坏或绕过所有的内存保护，并且可以设置后门账户。

2)通信协议脆弱性。

智能变电站嵌入式终端主要采用IEC 61850协议，其中，GOOSE和SV报文直接封装于以太网帧中使用组播方式传播，MMS报文运行于TCP/IP协议之上。因此，本文重点针对IEC 61850及TCP/IP协议进行分析。智能变电站通信协议具有如下特点及脆弱性：

(1)IEC 61850协议在设计阶段仅强调通信实时性与可用性，欠缺加密、认证等安全机制，使得GOOSE、SV和MMS等业务报文极易被窃听、篡改和伪造，特别是使用组播通信的GOOSE和SV报文。攻击者一旦通过某种跳板侵入电力工控系统内部，极易伪造虚假数据和发送恶意控制命令。

(2)TCP/IP协议以32 bit的IP地址来作为网络节点的唯一标识，但IP地址只是通信报文中的一个参数，可以随意修改，且TCP/IP协议中没有检验机制来辨别数据包是否真正来自源IP地址对应的主机，因此攻击者可以对报文的IP地址进行修改，从而基于IP欺骗对设备发起各类网络攻击。例如攻击者可以广播发送源地址为攻击对象IP地址的Ping消息，使攻击对象因无法处理大量ICMP echo reply消息而拒接服务(Smurf攻击)；攻击者也可以向攻击对象发送大量源地址和目的地址为攻击对象IP地址的报文，使攻击对象由于不断向自己转发报文而拒绝服务(Land攻击)。

(3)TCP/IP协议没有控制资源的占有和分配。若主机的TCP连接中已经长时间未传送数据，但只要对方没有重启或宕机，该主机也始终保持着TCP连接，这就导致了TCP连接资源的浪费，也使得使用TCP/IP协议的设备极易遭受拒绝服务攻击。

3)终端自身或运维特点导致的脆弱性。

经实际调研和实验验证，智能变电站嵌入式终端由于其自身和运维特点还存在如下脆弱性：

(1)相较于传统IT设备，智能变电站嵌入式终端计算资源有限，对报文的处理能力较差，在接收到大量报文后可能由于无法处理而宕机；同时终端生产厂家目前普遍仅考虑终端的功能性，终端上的很多应用未对非正常的报文进行判断与处理，导致许多终端在接收到畸形报文时会发生宕机或重启。

(2)终端生产厂家为了运维方便，可能会在终端上开启生产控制大区禁止开放的服务，如FTP、Telnet、HTTP等，或在一些终端的固件中植入后门，这使得攻击者易于向终端植入恶意代码，进而远程控制智能变电站的终端；大部分终端由厂商运维，即便只是使用本地运维接口，也使得攻击者可能通过运维人员电脑将恶意代码植入被运维设备。

1.3 智能变电站嵌入式终端可能遭受的网络攻击

由上节智能变电站终端脆弱性分析可知，智能变电站嵌入式终端可能遭受的网络攻击主要与嵌入式操作系统的漏洞、后门及IEC 61850和TCP/IP协议的脆弱性有关，依据攻击所利用的脆弱性类型及攻击机理，智能变电站嵌入式终端可能遭受的网络攻击类型如下：

1)漏洞利用攻击。攻击者利用终端中的漏洞而发起的攻击。例如攻击者可以利用缓冲区溢出漏洞读取敏感数据、更改控制流、执行任意代码甚至造成终端的崩溃，利用提权漏洞绕过访问控制、提升控制权限、逃避运行检测等。

2)恶意代码攻击。攻击者利用终端中的后门或跳板在终端中植入恶意代码而实施的攻击。这类攻击通常隐蔽性强，难以检测，可以使攻击者窃取运行数据、恶意控制终端、删除重要配置文件，或以此终端为跳板对其他终端发起攻击。

3)业务报文攻击。攻击者通过篡改、伪造和重放业务报文而干扰正常业务流程的攻击。例如攻击者可以通过篡改、伪造业务报文对一次设备进行恶意控制，通过伪造量测数据干扰运行控制和调度决策，通过重放业务报文实施中间人攻击，实现身份伪造等。

4)畸形报文攻击。攻击者利用畸形报文导致终端拒绝服务的攻击。例如攻击者可以向接入站控层网络的设备发送一些伪造的、含有重叠偏移量的非法IP分组碎片(Tear Drop攻击)，或发送一个超过IP最大长度的Ping报文(Ping of Death攻击)等；也可以通过向过程层网络的设备发送超长、空值、特殊字符、错误类型、错误长度描述等类型的畸形GOOSE报文，使终端由于无法处理这些畸形报文而宕机或重启，从而导致终端拒绝服务。

5)网络泛洪攻击。攻击者通过发送大量报文从而消耗主机计算资源及网络带宽的攻击。例如攻击者可以向终端发送大量的SYN报文，从而大量占有该主机的TCP连接资源，使主机无法再与其他设备建立TCP连接(SYN Flood攻击)；或向终端发送大量的Ping报文(ICMP Flood攻击)或UDP报文(UDP Flood攻击)来消耗终端计算资源，使终端暂时无法处理其他消息；以及Smurf攻击、Land攻击等。

2 智能变电站嵌入式终端安全测评指标及内容

构建完整且具有针对性的安全测评指标及内容是对智能变电站嵌入式终端开展安全测试的基础。由于电力工控系统与传统信息系统的业务不同，其对网络安全的要求也不同。例如，传统信息系统侧重于对机密性的防护，但由于电力业务具有高实时性和连续性的要求，并直接影响电力一次系统的安全运行，电力工控系统对可用性和完整性的防护要求更高。因此现有的传统信息系统安全测评指标不适用于智能变电站嵌入式终端的安全测评。

本文结合《电力信息系统安全等级保护实施指南》[13]、《信息安全技术 网络安全等级保护基本要求》[14]、《信息安全技术 网络安全等级保护测评要求》[15]等标准，针对上文分析的智能变电站嵌入式终端脆弱性和可能遭受的攻击，从系统及计算安全、网络及通信安全和应用及数据安全3个方面构建智能变电站嵌入式终端的安全测评指标及内容。

1)系统及计算安全。

智能变电站嵌入式终端操作系统的漏洞长期存在、修复周期长、修补率低，极易被攻击者利用而发起攻击；二次设备中非正常开放的服务和安装的软件也给攻击者提供了入侵条件；若攻击者在二次设备中植入了后门和恶意代码则可以直接发起任何攻击。因此本项测评指标需要涵盖系统漏洞的防护、系统入侵的防范以及恶意代码的防范。

(1)系统漏洞防护中，应能发现终端可能存在的漏洞，并在经过充分测试评估后及时修补漏洞；应保障终端对漏洞利用攻击具有一定的防御能力，能够消除未修补漏洞的隐患。

(2)系统入侵防范中，应遵循最小安装的原则，仅安装需要的组件和应用程序；应保障终端开放的服务和端口符合相关要求，关闭不需要的系统服务、默认共享和高危端口。

(3)恶意代码防范中，应能及时发现系统内存在的恶意代码，保障终端不存在后门，能够抵御恶意代码发起的攻击。

2)网络及通信安全。

智能变电站嵌入式终端处理能力较弱，且采用的IEC 61850协议欠缺认证机制，TCP/IP协议没有控制资源的占有和分配。若攻击者突破网络边界接入内网发起泛洪攻击，可造成嵌入式终端的拒绝服务甚至宕机，从而导致电力业务的延迟甚至中断。因此本项测评指标需要涵盖网络边界的防护、通信资源的控制以及对网络风暴的抑制。

(1)网络边界防护中，应能够对连接到内部网络的设备进行可信验证，确保接入网络的设备真实可信；应能够对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断。

(2)通信资源控制中，应能够对系统的最大并发会话连接数进行限制；当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。

(3)网络风暴抑制中，应保障终端对泛洪攻击具有一定的防范能力，能够在一定程度上抑制网络风暴。

3)应用及数据安全。

智能变电站嵌入式终端在设计时主要考虑实时性与可用性，对异常报文的处理能力较弱；同时若攻击者通过非正常手段登入设备或网络，极易窃听、篡改和伪造明文传输的报文。因此本项测评指标需要涵盖软件的容错设计、登录身份的验证和数据的完整保密。

(1)软件容错设计中，应提供数据有效性检验功能，保证通过人机接口输入或通信接口输入的内容符合系统设定要求，能够对异常的报文进行合理的处理；在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施。

(2)登录身份验证中，应提供访问控制功能，对登录的用户分配账号和权限；应具有身份认证功能，对登录用户进行身份标识和鉴别；应强制用户首次登录时修改初始口令，保障用户账号具有合适强度的身份认证口令；应提供并启用登陆失败处理功能，多次登陆失败后采取必要的保护措施。

(3)数据完整保密中，应采用校验码技术或加密技术保证重要数据在传输和存储过程中的完整性；应采用加解密技术保证重要数据在传输和存储过程中的保密性。

综上，智能变电站嵌入式终端安全测评指标如图2所示。

图2 智能变电站嵌入式终端安全测评指标体系

3 智能变电站嵌入式终端安全测试技术研究

考虑完全覆盖上述智能变电站嵌入式终端的测评指标，本文针对智能变电站嵌入式终端脆弱性及可能遭受的网络攻击，给出相应的测试技术，包括漏洞扫描、漏洞利用、安全基线配置核查、恶意代码分析检测、报文攻击测试、流量压力测试与模糊测试。

1)漏洞扫描。

漏洞扫描是一种基于漏洞数据库，利用扫描检测等方式判断目标系统是否存在漏洞的主动式防范技术。它作为一类重要的网络安全技术，可适用于各类操作系统的脆弱性分析及安全测试，其主要功能是在漏洞被攻击者利用前由安全测试人员主动地进行全面的安全隐患扫描，可预防漏洞恶意利用、降低风险等级，进而提升系统整体安全性。

针对智能变电站嵌入式终端的漏洞扫描应覆盖测评指标的系统漏洞防护中关于漏洞发现的安全要求、系统入侵防范中关于端口及服务开放的安全要求、以及登录身份认证中关于口令的安全要求，应具备如下功能。(1)发现嵌入式Linux系统和VxWorks系统存在的漏洞；(2)检测终端开放的端口和服务，如端口开放扫描；(3)检测终端不合理的登录配置，如弱口令扫描。

2)漏洞利用。

漏洞利用是在发现目标系统存在漏洞后，利用漏洞窃取敏感信息、提升运行权限、获取目标系统控制权等活动来对漏洞进行验证的技术。漏洞利用技术可以评估目标系统存在的漏洞的危险程度，同时可以以漏洞利用过程中系统环境的变化为依据，发现攻击者利用漏洞发起的攻击，以检测终端对漏洞利用攻击有无抵御能力，并针对利用的方式提出相应的防护措施。

针对智能变电站嵌入式终端的漏洞利用应覆盖测评指标的系统漏洞防护中关于漏洞攻击防范的安全要求，应具备如下功能。(1)利用嵌入式Linux系统和VxWorks系统存在的漏洞执行缓冲区溢出；(2)利用漏洞进行越权访问；(3)利用漏洞获取敏感信息。

3)安全基线配置核查。

安全基线是保持信息安全的完整性、可用性、机密性的最小安全控制，是系统的最小安全保证、最基本的安全要求。安全基线配置核查即检测业务系统所属设备在特定时期内，根据自身需求、部署环境和承载业务要求应满足的基本安全配置要求合集。

针对嵌入式终端的安全基线配置核查应覆盖测评指标的系统入侵防范中关于最小安装原则的安全要求、网络边界防护中关于网络接入的安全要求、登录身份认证中关于访问控制的安全要求、以及数据完整保密中关于通信完整性和保密性的安全要求，应具备如下功能。(1)核查终端安装的组件和应用程序，即最小安装原则核查；(2)核查终端接入网络和访问网络的行为，即网络接入核查；(3)核查终端的访问控制及身份认证策略，即访问控制策略核查；(4)核查网络报文的保密性和完整性，即报文加密认证核查。

4)恶意代码分析检测。

恶意代码的分析及检测利用特征码匹配、启发式扫描、异常检测等方式检测目标系统内是否存在恶意代码和后门，同时测试智能变电站嵌入式终端能否抵御恶意代码发起的攻击。

针对智能变电站嵌入式终端的恶意代码分析检测应覆盖测评指标的恶意代码防范的全部安全内容，应具备如下功能。(1)恶意行为静态分析，即对终端上的二进制代码进行反汇编，检测其是否含有诸如非法向外连接、进程隐藏等恶意行为的代码；(2)异常动作在线监测，即对终端的运行状态和系统状态等信息进行监测，分析终端是否执行了异常的动作，检测终端对恶意代码的抵御能力。由于嵌入式终端计算资源有限，无法在嵌入式终端上安装检测工具，因此在线监测可采用旁路主机进行分析判断，终端上只安装信息收集代理。

5)报文攻击测试。

报文攻击测试指针对目标系统的协议脆弱性对其进行模拟攻击，从而评估目标系统对各类攻击抵御能力的方法。

针对智能变电站嵌入式终端的报文攻击测试应覆盖测评指标中通信资源控制和网络风暴抑制的全部安全要求、以及软件容错设计中关于软件容错计算的安全要求，应具备如下功能。(1)业务报文攻击测试，包括篡改、伪造和重放业务报文攻击测试；(2)畸形报文攻击测试，包括Tear Drop攻击测试、Ping of Death攻击测试、IEC61850畸形报文攻击测试、IEC 60870-5-102/103/104畸形报文攻击测试；(3)网络泛洪攻击测试，包括SYN Flood攻击测试、ICMP Flood攻击测试、UDP Flood攻击测试、Land攻击测试、Smurf攻击测试等。

6)流量压力测试。

流量压力测试指通过向设备发送不同速率的报文包并观察终端对报文的处理情况，从而评估设备计算能力的方法。流量压力测试可在报文攻击测试基础上对泛洪类攻击测试(SYN Flood攻击、ICMP Flood攻击、UDP Flood攻击)进行改进，调整泛洪类攻击的发包速率，对智能变电站嵌入式终端能够承受的网络流量大小进行准确评定。

针对智能变电站嵌入式终端的流量压力测试作为报文攻击测试的拓展与补充，应覆盖测评指标中网络风暴抑制的安全要求，应具备如下功能。(1)SYN Flood流量压力测试；(2)ICMP Flood流量压力测试；(3)UDP Flood流量压力测试。

7)模糊测试。

模糊测试是一种基于缺陷注入的自动化软件漏洞挖掘技术，通过向待测试的目标软件输入一些半随机的数据并执行程序，监控程序的运行状况，同时记录并进一步分析目标程序发生的异常。由于目标程序在编写时未必考虑到对所有非法数据的出错处理，因此半随机数据很有可能造成目标程序崩溃，从而暴露出设备的未知漏洞。

针对智能变电站嵌入式终端的模糊测试应覆盖测评指标的软件容错设计中关于数据有效性检查的安全要求，同时覆盖智能变电站嵌入式终端使用的所有通信协议，应具备如下功能。(1)针对IEC 61850的协议模糊测试；(2)针对IEC60870-5-102/103/104的协议模糊测试；(3)针对TCP/IP的协议模糊测试。

综上，智能变电站嵌入式终端安全测试技术体系如图3所示。

图3 智能变电站嵌入式终端安全测试技术体系

综合本节及第2节的内容，智能变电站嵌入式终端安全测评指标、测试内容及测试技术对应关系如附表A1所示。

4 案 例

本节以国内某省电力公司智能变电站实验室为测试平台，依据本文提出的智能变电站嵌入式终端安全测评指标，利用我们开发的报文攻击测试工具、GOOSE协议模糊测试工具及开源工具对该实验室的5种智能设备进行测试与评估，以示范本文测评指标及测试技术的应用方法。

该案例智能变电站二次设备组成和网络拓扑结构如图4所示，采用三层两网结构，主要二次设备有监控后台、远动终端、保护装置、测控装置、智能终端、合并单元、故障录波及网络分析装置，组网方式采用A/B双星型网络结构，2套保护装置及相关合并单元和智能终端各用1个星型网络。本次测评选取该智能变电站控制区中所有的嵌入式终端为测评对象，包括远动终端、保护装置、测控装置、智能终端及合并单元5类设备。

图4 待测智能变电站二次设备组成及网络拓扑结构

完整的测试过程包括测试准备、现场测试和分析整改3个阶段。

1)测试准备。由于本文待测设备及所依赖的网络环境均已事先配置好，且对测试人员是未知的，因此，根据2.3节的测试方案，测试前需要做如下准备工作：

(1)查询智能变电站网络拓扑图及待测设备IP地址；查询智能变电站配置文件中待测设备接收及发送报文的APPID。

(2)对智能变电站待测设备，依据附表A1中测评指标，选取测评内容，确定测试技术，结果如表3所示。

表3 待测设备及测评指标和测试技术

2)现场测试。本案例待测设备既有站控层设备也有过程层设备，现场测试过程如下：

(1)测试主机接入站控层交换机，利用Nmap进行网段扫描，确认远动终端、保护装置及测控装置均在线；依据表3所列测评内容及测试技术对远动终端、保护装置及测控装置进行测试，记录测试现象，结果如表4所示。

表4 远动终端、保护装置及测控装置的测试结果

(2)测试主机接入过程层交换机镜像端口，利用网络抓包工具结合APPID，监听测控装置、智能终端及合并单元的心跳报文，确认各装置均在线；依据表3所列测评内容及测评方法对测控装置、智能终端及合并单元进行测试，记录测试现象，结果如表5所示。

表5 测控装置、智能终端及合并单元的测试结果

3)分析整改。对表4及表5的测试现象分析可知，本次测试中的5类嵌入式终端均能满足正常业务运行要求，但远动终端、保护装置、测控装置和智能终端无法处理异常情况下的报文，可能遭受泛洪攻击、报文篡改攻击和畸形报文攻击。5类嵌入式终端测评结果如表6所示。

由表6可知，接入站控层网络的设备(远动终端、保护装置、测控装置)大都会受到泛洪类攻击的影响，建议对接入站控层网络的设备做如下更改：(1)关闭ICMP echo响应；(2)缩短SYN timeout时间；(3)设置SYN cookie；(4)使用防火墙。

表6 5类嵌入式终端的测评结果

本次测试检测出了接入过程层网络的测控装置和智能终端中关于处理畸形GOOSE报文的未知漏洞，同时检测出部分智能终端无法辨别正常GOOSE报文和被篡改的GOOSE报文，因此建议对接入过程层网络设备做如下整改。(1)厂家对各终端的关键报文接收处理模块进行改进，使其遵循IEC 61850规约中GOOSE协议的通信机制并对sqNum和stNum进行检查，能够对乱序、错序、丢失的报文发出告警并直接丢弃，过滤过程层网络中的畸形报文。同时结合终端当前所在业务环境，严格对照SCD配置文件对报文的各字段进行核查，判断接收的报文各字段的类型、长度、值等是否符合SCD文件中的配置，对不符合配置的报文直接丢弃，并向监控后台发出告警信息。(2)在过程层网络中配置第三方报文检测终端，针对特定业务报文攻击(如报文篡改攻击、报文重放攻击)的逻辑进行检测和防御。

5 结 论

开展对智能变电站嵌入式终端的安全测试可以评估其安全性，便于提升终端安全水平和运维人员制定针对性的网络安全防护策略，从而保障电网的安全运行。本文从分析智能变电站二次系统和通信网络的脆弱性出发，提出了适用于智能变电站嵌入式终端的安全测评指标及内容，并研究了智能变电站嵌入式终端的安全测试技术。作为示例并验证测试技术的合理性，对国内某省电力公司智能变电站实验室的5类嵌入式终端进行了测试，并依据测试结果提供了整改建议。

本文提出的智能变电站嵌入式终端安全测试技术基于智能变电站终端和通信网络的脆弱性，并结合了传统信息系统与电力工控系统的相关测评标准，具有针对性且较为全面，适用于采用IEC 61850标准建设的智能变电站。案例给出的整改建议可为产品厂商提升终端安全性和工程单位提高在线防护能力参考。文中脆弱性分析和安全测试技术对其他智能电网二次系统安全防护也具有参考意义。

下一步可开展智能变电站嵌入式终端网络安全深度检测技术研究、智能变电站非控制区安全测评研究、以及智能变电站整体安全测评等相关研究，以全方位保障智能变电站的运行安全。

附录A

表A1 智能变电站嵌入式终端安全测评指标及测试技术