發(fā)電廠SCADA漏洞和對策分析

李嘉盛

摘要：現(xiàn)如今，SCADA系統(tǒng)在面臨著傳統(tǒng)的安全性和可用性問題的同時，還面臨著新的安全威脅。主要是由于在復雜系統(tǒng)中廣泛使用ICT（Information Communications Technology）和網(wǎng)絡技術(shù)使得SCADA系統(tǒng)出現(xiàn)了更多地漏洞和弱點。本文分析了SCADA系統(tǒng)的特點和所面臨的安全問題。介紹了Igor Nai Fovino創(chuàng)建的發(fā)電廠網(wǎng)絡攻擊實驗平臺和攻擊場景，從TCP/IP和SCADA協(xié)議兩方面分析了SCADA的安全對策。

關(guān)鍵詞：SCADA系統(tǒng)；電力系統(tǒng)安全；信息安全；工業(yè)控制系統(tǒng)

中圖分類號：TE88 文獻標識碼：A 文章編號：1007-9416（2017）06-0224-01

1 SCADA系統(tǒng)及其特點

SCADA（Supervisory Control And Data Acquisition）即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，是能量管理系統(tǒng)（EMS）的一個重要子系統(tǒng)。由人機界面（HMI）、遠程終端單元（RTU）、監(jiān)視管理系統(tǒng)、可編程控制器（PLC）組成。SCADA系統(tǒng)是以計算機為基礎(chǔ)的變電站綜合自動化，它可以對現(xiàn)場的運行設(shè)備進行監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等功能。實現(xiàn)變電站的遙測、遙控、遙信和遙調(diào)功能。

2 SCADA系統(tǒng)的安全問題

現(xiàn)如今大部分電廠的過程控制網(wǎng)絡和公司的業(yè)務網(wǎng)絡都與公共網(wǎng)絡相連，以便于工程師在企業(yè)內(nèi)部網(wǎng)對SCADA系統(tǒng)進行監(jiān)視和控制和快速訪問電力系統(tǒng)的狀態(tài)數(shù)據(jù)。SCADA網(wǎng)絡是基于各種通信信道和網(wǎng)絡技術(shù)的，包括以太網(wǎng)、 串行鏈路、無線通信等，這些設(shè)備之間的通信遵循標準通信協(xié)議。然而這也給不法分子以可乘之機。通過信息外網(wǎng)滲透進入SCADA網(wǎng)絡，破壞電力系統(tǒng)的可用性，數(shù)據(jù)的完整性、保密性，引發(fā)非常嚴重的后果，例如2015年12月的烏克蘭停電事件[3]。歐盟委員會聯(lián)合研究中心的意大利學者Igor Nai Fovino建立了一個用于測試SCADA系統(tǒng)安全性的實驗平臺，模擬典型發(fā)電廠的物理和控制結(jié)構(gòu)，運行和分析侵入式ICT實驗的影響。我們接下來將介紹這個實驗平臺及攻擊場景。

3 實驗平臺及攻擊場景

Igor Nai Fovino的實驗設(shè)施完全再現(xiàn)了發(fā)電廠的場景，由以下元素組成：現(xiàn)場網(wǎng)絡、過程網(wǎng)絡、非軍事區(qū)、企業(yè)內(nèi)網(wǎng)、外部網(wǎng)絡、觀察員網(wǎng)絡、分析系統(tǒng)、橫向服務網(wǎng)絡[1]。

3.1 RADIUS拒絕服務攻擊

在模擬的僵尸網(wǎng)絡中安裝惡意軟件，以高吞吐量（700Mb /秒）向Radius服務器發(fā)送偽造數(shù)據(jù)包，在55秒內(nèi)使其帶寬達到飽和。大大限制甚至完全拒絕了對特定資源的訪問，直接影響到電廠的維護和管理程序。

3.2 ICT蠕蟲感染

蠕蟲是獨立運行自我復制的計算機程序，Igor Nai Fovino創(chuàng)建了一個可利用SCADA服務器上的軟件漏洞，將其自身擴展到過程網(wǎng)絡中。關(guān)閉網(wǎng)絡連接，將SCADA服務器與網(wǎng)絡的其余部分隔離開來。

3.3 過程網(wǎng)絡惡意軟件感染

基于一些病毒（如Slammer，Codered）的感染技術(shù)創(chuàng)建了一組惡意軟件，通過感染的主機資源感染新的主機進行SCADA Dos攻擊：嘗試發(fā)現(xiàn)并連接到同一個受感染機器網(wǎng)絡的從站，并開始發(fā)送大量SCADA協(xié)議（如Modbus）數(shù)據(jù)包，試圖超載它們的網(wǎng)卡；或進行SCADA COM攻擊：在發(fā)現(xiàn)連接到受感染機器的同一網(wǎng)絡的從站后，向他們發(fā)送一組相關(guān)的SCADA命令使系統(tǒng)處于某種危險狀態(tài)。

3.4 網(wǎng)絡釣魚攻擊和本地DNS中毒

網(wǎng)絡釣魚攻擊通常是通過使目標用戶與惡意網(wǎng)站進行連接，通過某種方式使其相信與合法網(wǎng)站相連，從而使其向惡意對方提供敏感數(shù)據(jù)或登錄憑據(jù)。在Igor Nai Fovino的實驗中，是通過修改目標運營商的本地DNS表來實現(xiàn)的。每當目標操作員試圖訪問某個特定的SCADA服務器時，他將被透明地重新路由到由攻擊者創(chuàng)建的假SCADA服務器。攻擊者可以向運營人提供發(fā)電廠狀態(tài)的虛假圖片，也可以獲得運營商憑證，以便能夠直接訪問SCADA系統(tǒng)以進一步發(fā)展攻擊[1]。

Igor Nai Fovino的實驗所用的都是傳統(tǒng)信息網(wǎng)絡中的常見攻擊手段，但都從信息外網(wǎng)攻擊了SCADA系統(tǒng)，對物理設(shè)備的正常運行造成了影響。

4 對策

4.1 TCP/IP對策

TCP/IP協(xié)議易受到中間人攻擊、重播攻擊等攻擊，利用GRE、IPSec等隧道協(xié)議的隱藏報頭、加密報文、認證、時間戳等功能來保護數(shù)據(jù)包，使得只有接收者能夠理解流的內(nèi)容，沒有人能修改或重用數(shù)據(jù)包。在實際的使用中，通常應用這種解決方案，比如通過點到點的VPN技術(shù)在內(nèi)聯(lián)網(wǎng)操作員的PC和過程網(wǎng)絡防火墻之間創(chuàng)建安全通道。

4.2 SCADA協(xié)議對策

DNP（Distributed Network Protocol，分布式網(wǎng)絡協(xié)議）是一種應用于自動化組件之間的通訊協(xié)議，SCADA可以使用DNP協(xié)議與主站、RTU、及IED進行通訊。DNP協(xié)議有一定的可靠性，可以用來對抗惡劣環(huán)境中產(chǎn)生的電磁干擾、元件老化等信號失真現(xiàn)象，但DNP在設(shè)計之初沒有考慮安全問題，不保證在黑客的攻擊下、或者惡意破壞控制系統(tǒng)的情況下的可靠性。DNP3可通過封裝在以太網(wǎng)上運行，支持DNP3協(xié)議的從設(shè)備默認會開放TCP的20000端口用于通信。DNP3協(xié)議在設(shè)計之初也沒有考慮到安全、認證等的一些因素，以致后來出現(xiàn)了Secure DNP3（主要加強了認證）[2]。

Modbus協(xié)議出現(xiàn)于1979年，是全球第一個真正用于工業(yè)現(xiàn)場的總線協(xié)議，也是一種應用層報文傳輸協(xié)議，保證了控制器相互之間、控制器經(jīng)由網(wǎng)絡（例如以太網(wǎng)）和其他設(shè)備之間可以通信，有ASCII、RTU、TCP三種報文類型。Modbus協(xié)議在設(shè)計之初也僅僅考慮了功能實現(xiàn)、提高效率、提高可靠性等方面，而沒有考慮認證、授權(quán)、加密等安全問題。可以通過異常行為檢測、安全審計、使用網(wǎng)絡安全設(shè)備等方法降低Modbus協(xié)議所帶來的安全性問題[4]。

5 結(jié)語

現(xiàn)代電力系統(tǒng)的正常運行無時無刻不依賴于一個可靠的信息系統(tǒng)。無論是2015年的烏克蘭停電事件，還是本文所介紹的Igor Nai Fovino的實驗，都證明了從信息網(wǎng)絡向SCADA系統(tǒng)及其物理網(wǎng)絡的攻擊是可行的。而一旦電力系統(tǒng)受到了惡意攻擊的破壞，將造成嚴重的經(jīng)濟與社會影響。所以，我們應當掌握更多的手段，來保證電力系統(tǒng)的安全性。

參考文獻

[1]Igor Nai Fovino An experimental platform for assessing SCADA vulnerabilities and countermeasures in power plants IEEE Conference Publications，2010.

[2]燈塔實驗室.DNP3協(xié)議簡單介紹及協(xié)議識別方法.

[3]郭慶來.由烏克蘭停電事件看信息能源系統(tǒng)綜合安全評估[J].電力系統(tǒng)自動化，2016.

[4]左衛(wèi).Modbus協(xié)議原理及安全性分析[J].通信技術(shù)，2013.endprint