一、实施背景
智能电网将先进的信息技术、通信技术、工业控制技术与电网基础设施有机融合,智能电网和用户双向互动性增强,大量用户侧接入和访问,智能采集类、移动作业类与测控类终端的广泛应用和接入,无线公共网络传输通道的应用等,都对智能电网的发展提出了新的安全问题。信息通信技术的广泛应用将网络信息安全问题传导至电网系统,智能电网的互动化发展带来了非传统安全问题,工控系统攻击数量连年增加,“一点突破,影响全网”的风险逐渐增加。何保证越来越多的智能终端安全接入,如何在新的智能终端入网前进行全面、有效的测试与评估,是智能电网安全发展过程中待解决的问题。
二、成果创新点
电网工控安全测试与过程演示平台作为国网辽宁省电力有限公司信息安全实验室工控安全测试的核心系统,采用已知漏洞检测和未知漏洞挖掘相结合的方式,能够对电网工控系统(如SCADA、DSC)、电网智能终端(如PLC、DTU、FTU)、安全防护设备(如安全接入平台、安全隔离装置)、电网工控协议(如IEC104、GOOSE、SV、Moudbus)、专有上位机设备等进行全面自动化检测和漏洞挖掘;同时基于大数据技术对电网工控系统与智能终端的通信数据和安全日志进行快速、自动化的关联分析,通过可视化方式将安全漏洞和异常行为实时的展现给用户,为信息安全实验室进行电网工控系统安全测试与技术研究提供平台支撑。
三、技术方案及原理
电网工控安全测试与过程演示平台主要包括流量传感器、日志采集探针、关联规则引擎、漏洞检测引擎、漏洞挖掘引擎和分析展示平台6个功能模块。
1. 流量传感器
流量传感器的功能主要是采集电网工控网络中的工业协议流量数据,将原始的工控网络全流量转化为按session方式记录的格式化流量日志,通过加密传输将全流量日志发送给分析测试平台,用于后期的审计和分析。
2. 日志采集探针
日志采集器的主要功能是对电网工控系统的智能终端、安全设备、上位机、服务器等设备通过主动采集或被动接收等方式,对日志进行采集并进行归一化预处理,用于关联规则和数据分析的快速使用。同时日志采集器还负责对全网资产进行扫描识别,收集资产数据。
3. 关联规则引擎
关联规则引擎主要负责对来自日志采集器的大量日志信息进行实时流解析,并匹配关联规则,对异常行为产生关联告警。
4. 漏洞检测引擎
漏洞检测引擎主要利用特征版本比对技术,对电网工控系统、电网智能终端、安全防护设备、专有上位机设备进行已知漏洞扫描。漏洞检测引擎包含800个以上的工控设备安全漏洞库。
5. 漏洞挖掘引擎
漏洞挖掘引擎主要利用模糊测试技术,对电网工控协议与电网智能终端进行未知漏洞挖掘。漏洞挖掘引擎包含600个以上工控网络协议测试用例库和20种以上的工控网络协议测试套件库。
6. 分析展示平台
分析展示平台用于存储流量传感器和日志采集探针提交的流量日志、漏洞检测引擎和漏洞挖掘引擎提交的漏洞测试结果,并同时提供应用交互界面。分析展示平台底层的数据检索模块采用了分布式计算和搜索引擎技术对全部数据进行处理,并通过多台设备建立集群以保证存储空间和计算能力的供应。
四、理论依据
1. 漏洞检测技术
漏洞检测技术是一种基于漏洞数据库,利用扫描检测等方式判断目标系统是否存在漏洞的主动式防范技术。漏洞扫描技术主要包括:主机扫描,确定在目标网络上的主机是否在线;端口扫描,发现远程主机开放的端口以及服务;OS识别技术,根据信息和协议栈判别操作系统;漏洞检测数据采集技术,按照网络、系统、数据库进行扫描;智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描;多种数据库自动化检查技术,数据库实例发现技术;多种DBMS的密码生成技术,提供口令爆破库,实现快速的弱口令检测方法。
2. 漏洞挖掘技术
模糊测试是一种基于缺陷注入的自动化软件漏洞挖掘技术。模糊测试通过向待测试的目标软件输入一些半随机的数据并执行程序,监控程序的运行状况,同时记录并进一步分析目标程序发生的异常来发现潜在的漏洞。模糊测试包括协议解析、测试用例生成、异常捕获和定位三个步骤。协议解析是通过公开资料或者对网络数据流量的分析,理解待测协议的层次、包字段结构、会话过程等信息,为后续测试用例的生成打下基础;测试用例生成依据上阶段整理出来的字段结构,采用变异的方式生成畸形测试用例,发送给待测对象;异常捕获和定位的目的是通过多种探测手段发现由测试用例触发的异常,保存异常相关数据信息,为后续异常的定位和重现提供依据。
五、实施步骤
电网工控安全测试与过程演示平台通过与发电控制、输变电状态监测、智能变电站及集中监控、配电网自动化与用电信息采集的实验室仿真系统进行关联,建立覆盖发、输、变、配、用5个环节的一体化工控安全测试环境。电网工控安全测试与过程演示平台示意图见图1。
图1 电网工控安全测试与过程演示平台示意图
开展智能终端安全漏洞、配置脆弱性和病毒木马的安全检测,针对智能终端通信协议安全性进行测试,开展安全防护产品的适应性验证,开展分区隔离、安全交换与协议管控技术研究与有效性验证工作。电网工控安全测试与过程演示平台测试过程见图2。
图2 电网工控安全测试与过程演示平台测试过程
六、应用情况及分析
信息安全实验室基于电网工控安全测试与过程演示平台,针对用电信息采集终端及智能配网终端进行安全性测试,发现存在6条信息泄漏风险、台区数据无法采集隐患、2条远程控制电表风险;针对营业厅公共区域自助缴费终端渗透测试,发现364台缴费终端存在VNC未授权访问漏洞、1165台缴费终端存在缴费信息泄漏风险;针对运检业务系统进行安全测试,发现供电电压采集系统存在3处XML外部实体注入漏洞、2处SQL语句被篡改风险,设备(资产)运维精益管理系统存在2处XSS漏洞,谐波监测系统存在5处权限设置不合理。
七、推广前景
电网工控安全测试与过程演示平台将工控设备与工控协议的安全漏洞检测工作系统化与自动化,对于有电网工控安全测试需求的单位或部门具有广阔推广前景。