电力监控系统漏洞隐患排查及风险管理技术研究

随着信息化与传统能源行业各环节应用的深度融合，以及物联网的快速发展，工业控制系统得到了前所未有的发展，并成为关键基础设施的重要组成部分，广泛应用于我国电力、水利、水务、石油化工、轨道交通、制药等行业中。调查发现，由于工业控制系统升级程序复杂且危害强度大等原因，半数以上的企业未对其进行过升级和漏洞修复工作。

电力企业作为工业控制系统高度发展、深度融合的标杆，推动了智能电网系统的升级也增加了安全风险。工业控制网络一旦出现特殊情况，将对能源、交通、环境、水利、水务造成直接影响，引发直接的人员伤亡和财产损失。

电力安全直接影响着国计民生和国家安全，因电网安全遭受严重破坏而产生的大面积停电事故，被公认为现代社会的灾难。从“震网”、“棱镜门”、到乌克兰、委内瑞拉全国范围停电等工业控制系统安全事件，预示着智能电网网络安全已经成为全球高度关注的领域。加强对漏洞排查及风险管理的研究已经成为国家基础设施领域亟需解决的问题。

美国自上个世纪就开始积极规范能源产业，并通过一系列法案直接影响智能电网的发展，加强工业控制系统的网络安全防护力度。在智能电网建设初期，美国能源部就对其安全性进行了深入研究和探讨，并针对性提出了安全威胁漏洞的排查和风险管理的措施。爱达荷国家实验室撰写一份题为《智能电网系统安全属性研究——当前的网络安全事件》的文件深入讨论和研究了智能电网的安全风险，重点阐述了电网的网络安全性为联邦政府在智能电网方面的网络安全防护提供了先导意见。“保护智能电网的第一步就是充分了解它的威胁环境”成为战略部署规划到具体建设实施的先导观念。除此之外，美国国家标准技术研究所为智能电网操作性标准（NIST SP 1108）订立框架和路线图，在国家层面，发布了国家级专项计划，用于保护包括智能电网在内的工业控制系统的网络安全。

我国原国家电监会于2012年印发《电力行业信息安全等级保护基本要求》，推动其在电力行业的深入实施。为有效应对工业控制系统安全风险，适应新技术的发展，国家进一步完善提出网络安全等级保护标准（简称等保2.0）。2017年6月1日《中华人民共和国网络安全法》的正式施行，《关键信息基础设施安全保护条例（征求意见稿）》、《网络产品和服务安全审查办法（试行）》等配套法规要求迅速出台，进一步明确和强化了关键信息基础设施的安全保护要求，国家对网络安全工作的要求进入新阶段。电力系统业务的持续快速发展要求更加安全可靠的网络安全防护体系作为保障。国家能源局在原电监会5号令和34号文的基础上，于2014、2015年印发《电力监控系统安全防护规定》（简称14号令）和《电力监控系统安全防护总体方案》（简称36号文）。承接落实了公安部、工信部关于信息系统、工业控制系统安全防护的有关要求，同时针对部分二次设备（如部分品牌的PLC设备、工业交换机等）存在漏洞的问题，从设备选型及配置、漏洞及风险整改等方面提出了相关的要求。

电力监控系统，是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络。电力监控系统具体包括电力数据采集与监控系统、能量管理系统、微机继电保护和安全自动化装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度监控系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网等。

与传统网络系统安全相比，电力监控系统的安全主要有如下特点。

安全侧重点不同。电力监控系统的首要原则是保障业务连续性，生产过程中任何非计划中断都是不能容忍的，而传统网络系统可以接受运行过程中的中断或重启行为。因此，可用性是电力监控系统首先要保障的。

通信协议安全性不同。与标准的TCP/IP协议不同，工业控制协议种类繁多，专用与私有协议并存；协议设计上先天不足，后天畸形。设计之初未充足考虑安全因素，导致运行过程中存在严重的安全漏洞。

危害对象和程度不同。与传统网络安全影响对象相比，电力监控系统涉及系统繁多，且多是核心生产设备系统，受损后影响大、破坏性强。电力监控系统涉及大量的电力数据的采集、传输以及信息共享，是关系国计民生的，受到损害将直接影响到日常生产生活以及国家政治。

影响电力监控系统网络安全的因素，除了要面对持续增多的国家级网络攻击和较强针对性基础设施攻击外，系统本身的漏洞隐患和管理制度不健全是重要风险因素，主要有如下几个方面：

( 1 ) 工业控制系统的安全问题日益凸显。随着新一代信息技术的不断渗透，工业通信协议自身的缺陷和工业系统常态化“带病”作业的风险程度被放大、凸显，安全问题充分暴露。专用工控通信协议在设计阶段只强调实时性和可用性，普遍欠缺安全机制，是造成工控协议漏洞的根源。工业控制协议应用于感应器—制动器之间、控制器的I/O端（如Modbus、HART、CAN、Foundation Fieldbus、PROFIBUS）以及控制和管理计算机（如DNP3、Modbus/TCP、 BACnet、以太网/IP地址 ）之间的通信。如使用无身份验证的协议，将存在被窃听、替换的风险。

普遍存在漏洞是工控安全威胁的根本原因。由于工业硬件价格昂贵，运行时间就越发长久，十年几十年也是比较普遍的，这些硬件系统安全性更是薄弱，所承载的操作系统也多为老旧系统，没有健全的主机防护机制，带病作业成为常态。

( 2 ) 高级持续性攻击和未知威胁显著增多。以高级持续性威胁（APT）为代表的新型攻击方式，可以绕过基于特征码检测的传统安全防护设备（如防病毒软件、防火墙、IPS等），更长时间地潜伏在系统中，传统防御体系难以侦测。2011年针对全球能源公司的夜龙攻击事件、2015年乌克兰电网攻击事件、2016年孟加拉国央行攻击事件等典型APT事件中，攻击者即通过邮件、终端、移动介质等，结合利用0DAY漏洞、钓鱼等多种手段，有效地绕过了传统安全防御边界和基于已知特征的检测技术。此外，类似于“永恒之蓝”的大量0DAY漏洞掌握在少数组织和个人手中，难以全面发现并且及时防御。

( 3 ) 管理制度的全面落实有待加强。主要表现为：一是网络安全“三同步”要求未全面落实，“一票否决”的机制尚未建立。系统规划、设计、开发阶段安全考虑不充分，上线阶段安全测试不深入不全面；二是源代码安全审查、渗透测试尚未有效开展，无法在系统上线前有效发现源生安全风险；三是尚未建立分层分类的网络安全专家队伍和人才体系，无法有效支撑公司网络安全工作；四是网络安全责任制有待加强，如对外部供应商的网络安全责任约定不明确，未构成事件的网络安全问题的问责机制不健全。

加强对电力监控系统的漏洞排查与风险管理，是安全防护工作的前提条件。本文依据《电力监控系统安全防护总体方案》、《变电站监控系统安全防护方案》、《配电监控系统安全防护方案》通过技术、管理两个维度并结合内外部环境因素综合计算评估出系统风险情况完成这一阶段的安全治理工作，如管理类的弱口令规范管理；技术层面的系统加固、设备安全隐患解决等。

基于工业控制系统自身对实时性、稳定性、兼容性的要求，在遵循标准性原则、关键业务原则、可控性原则、最小影响原则、可恢复原则的基础上，通过污点传播分析、符号执行、渗透测试等技术手段对电力监控系统仿真模拟环境包括现场测控设备、网络设备、计算机设备、安全设备、工控通信协议等进行漏洞检测与挖掘。

5.1　模拟仿真电力监控系统

电力监控系统仿真主要通过实物方式建立，仿真系统如图1所示。现有环境的总体架构和安全防护设计遵循了国家、行业相关标准规范要求，部署1套地调EMS主站系统、2套变电站综合自动化系统和地区电力调度数据网，系统性地反映上下级电力监控系统之间的各种数据业务的需求、网络的纵向互联、横向互联和数据通信的安全性问题。

5.2　漏洞隐患排查技术研究

根据电力监控系统的特点和安全需求，将整个漏洞隐患排查对象分为系统、终端、协议三个方面。系统方面通过污点传播分析、符号执行、渗透测试等技术手段对仿真系统进行漏洞检测与挖掘。终端方面基于Python的开源Fuzz框架对PLC、测控、智能终端、继保等进行漏洞挖掘和漏洞预警，识别深层次工控设备的安全问题；通过模糊测试技术对电力协议深度分析、主动检测特征攻击。漏洞验证方面则通过工控协议漏洞攻击、PLC控制器等漏洞攻击、系统弱口令攻击、主机操作系统漏洞攻击等验证工具核实漏洞检测结果，为风险分析提供准确的资产脆弱性信息。

一种漏洞挖掘技术很难完成分析工作，且大多只能找到浅层的漏洞信息，如静态分析、动态分析和符号执行等。针对工业控制网络环境的特点，代码审计、逆向工程等常见的漏洞挖掘技术无法正常运行，所以采用模糊测试与符号执行相结合的漏洞挖掘技术能够有效地找到潜藏在二进制中的漏洞[5]。模糊测试本身可以高效、精准的对公有协议进行漏洞挖掘，在与隐马尔科夫及统计算法结合的帮助下，可以基于优化重构法弥补私有协议漏洞挖掘的不足；同时基于心跳检测的存活检测方案和基于Simhash的一致性检测方案，可正确识别被测系统是否进入异常状态。选择符号执行协助模糊器探索感兴趣路径，并对其作出预约控制、探索缓存等优化，提升系统执行性能。

通过模糊测试与符号执行相结合的漏洞挖掘技术，可高效、精准挖掘电力监控系统场测控设备、网络设备、计算机设备、安全设备、工控通信协议潜藏的漏洞信息，并在隐马尔科夫及统计算法结合下快速适应对私有协议的漏洞挖掘分析，拓宽了高自动化漏洞隐患排查工作范围，缩减了人力的投入，也提高了精准度。

通过漏洞验证脚本工具，对挖掘出的漏洞进行利用验证，探测漏洞的存在情况和影响程度，以减少误报率，确保整个漏洞隐患排查工作的准确性和可靠性。

攻击脚本、工具研发首先需对系统进行相应的漏洞发现，包括已知漏洞扫描与未知漏洞挖掘工作。在典型电力工控实验环境基础上，电力监控系统漏洞检测与攻击验证工作开展技术路线如图2所示。

验证攻击工具通过Java语言、Php语言脚本或者Python语言脚本开发的利用漏洞原理构造相应的请求来触发漏洞，来实现验证漏洞真实性的组件。

在系统资产识别的基础上，进行漏洞检测：

( 1 ) 已知漏洞的识别（结合CNVD、CNNVD公开漏洞库）；

( 2 ) 潜在未知漏洞挖掘，挖掘方法与过程如下：

• 构造测试用例，利用模糊测试方法进行测试；

• 风暴测试；

• 协议完整性测试；

• 弱口令检测。

在测试的漏洞基础上，进行攻击脚本开发，从而提供如切断输变电系统、破坏目标电力输送网络的功能，结合发现的漏洞以及输变电系统的二次系统进行逆向分析，开发相应攻击验证工具，也可采用已有漏洞攻击验证工具。部分工具类型如下：

( 1 ) 拒绝服务漏洞验证工具；

( 2 ) 溢出漏洞验证工具；

( 3 ) 远程控制漏洞验证工具；

( 4 ) 暴力破解漏洞验证工具；

( 5 ) 信息获取漏洞验证工具。

5.3　风险管理研究

电力监控系统网络风险管理是周期性、常规化的风险分析工作。通过对大量漏洞挖掘与攻击验证数据及相关的风险数据信息分析研究，并结合国内外最新威胁情报信息，研判出当下及未来一段时间内的网络安全风险发展趋势，为网络安全策略调整、规划、技改提供科学依据。

电力监控系统的安全是电力网络安全稳定运行的技术保障，关系着国计民生和经济社会发展，是国家建设智能电网的核心。本文通过分析典型电力行业网络安全事件入手，结合国内外对电力行业工业控制网络安全风险治理的重视程度，以及电力监控系统的特点和风险提出漏洞隐患排查与风险管理办法。通过污点传播分析、符号执行、渗透测试等技术手段对电力监控系统中现场测控设备、网络设备、计算机设备、安全设备、工控通信协议等进行漏洞挖掘分析，识别电力监控系统中的风险隐患。在漏洞挖掘分析中提出最新的技术应用，提高了漏洞隐患排查的工作效率和精准度。漏洞隐患排查及风险管理是电力监控系统安全性研究的重要组成部分，是建设完善安全体系的先决条件和检验基石，还需更深入的研究和探索。