今日頭條
官方微信
官方抖音
資訊頻道袁曉舒 桑梓 楊平 中國東方電氣集團(tuán)中央研究院
摘要:隨著傳統(tǒng)電廠向數(shù)字化電廠的演進(jìn),電廠控制系統(tǒng)未來面臨更加復(fù)雜的運(yùn)行環(huán)境,來自網(wǎng)絡(luò)的攻擊成為電廠控制系統(tǒng)面臨的新威脅。本文通過對以汽輪機(jī)電液調(diào)速系統(tǒng)(DEH)為代表的電廠控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊測試,分析了不同類型的網(wǎng)絡(luò)攻擊對控制系統(tǒng)的影響。
關(guān)鍵詞:電廠控制系統(tǒng);網(wǎng)絡(luò)攻擊;漏洞
電廠控制系統(tǒng)的安全穩(wěn)定運(yùn)行不僅關(guān)系到電廠本身的安全穩(wěn)定運(yùn)行,也會(huì)影響到電網(wǎng)的安全穩(wěn)定運(yùn)行[1]。先進(jìn)的計(jì)算機(jī)技術(shù)和通信技術(shù)讓以集散控制系統(tǒng)(DCS)為代表的電廠控制系統(tǒng)具備了與信息系統(tǒng)互聯(lián)互通的能力,直接或間接實(shí)現(xiàn)了外部網(wǎng)絡(luò)對物理對象的訪問[2-4]。來自外部的網(wǎng)絡(luò)安全攻擊成為影響電廠控制系統(tǒng)的安全穩(wěn)定運(yùn)行的新威脅。已經(jīng)發(fā)生過的電廠安全事故[5]說明,對電廠控制系統(tǒng)的網(wǎng)絡(luò)安全攻擊能夠使電廠從電網(wǎng)解列,直接威脅電網(wǎng)的安全穩(wěn)定運(yùn)行,并造成嚴(yán)重的經(jīng)濟(jì)損失。
目前,國內(nèi)對電廠控制系統(tǒng)網(wǎng)絡(luò)攻擊方面的研究尚處于起步階段[6-7]。在這個(gè)背景下,現(xiàn)有的電廠控制系統(tǒng)能否抵御來自外部網(wǎng)絡(luò)的攻擊以及來自外部的網(wǎng)絡(luò)攻擊能夠在多大程度上對業(yè)務(wù)造成危害是必須回答的兩個(gè)問題。因此,通過對實(shí)際DCS及其組件的網(wǎng)絡(luò)攻擊測試是評(píng)估電廠控制系統(tǒng)網(wǎng)絡(luò)安全攻擊危害的重要途徑。本文通過對多個(gè)國內(nèi)外廠商的電廠控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊測試,以DEH為對象分析了電廠控制系統(tǒng)在遭遇網(wǎng)絡(luò)攻擊時(shí)可能對業(yè)務(wù)的影響。
1 概述
為了進(jìn)一步了解網(wǎng)絡(luò)攻擊對電廠控制系統(tǒng)的威脅,中國東方電氣集團(tuán)中央研究院選取了在發(fā)電行業(yè)廣泛應(yīng)用的國內(nèi)、外知名的控制系統(tǒng)廠商控制系統(tǒng)產(chǎn)品,搭建了DEH(汽輪機(jī)電液調(diào)速系統(tǒng))網(wǎng)絡(luò)安全攻擊環(huán)境,進(jìn)行了初步的研究。
研究采用了SYSFLOOD、UDPFLOOD模擬一般網(wǎng)絡(luò)攻擊,MODBUS TCP特殊指令模擬APT攻擊。
2 攻擊測試
2.1 以太網(wǎng)模擬攻擊
測試通過采用專門軟件對DEH的SYSFLOOD、UPDFLOOD攻擊來模擬控制系統(tǒng)遭遇的一般網(wǎng)絡(luò)攻擊。
2.1.1 SYSFLOOD攻擊
SYSFLOOD是一種廣為人知的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。
通過對某廠商控制系統(tǒng)產(chǎn)品進(jìn)行SYSFLOOD攻擊可以模擬該控制系統(tǒng)在遭遇常見的局域網(wǎng)攻擊時(shí)的狀態(tài)。
當(dāng)采用單臺(tái)PC機(jī)對該控制系統(tǒng)的一個(gè)控制器進(jìn)行SYSFLOOD攻擊時(shí),在工程師站的觀測軟件上,可以看到被控制器的CPU占用率快速上升,并出現(xiàn)紅色警示。
采用兩臺(tái)PC機(jī)增加對該控制系統(tǒng)的一個(gè)控制器的SYSFLOOD攻擊量后,會(huì)使得控制器重啟。通過進(jìn)一步的研究發(fā)現(xiàn),當(dāng)較小的攻擊流量可以使控制系統(tǒng)的網(wǎng)絡(luò)通信中斷,進(jìn)而使得電廠監(jiān)控畫面上汽輪機(jī)的狀態(tài)參數(shù)不再發(fā)生變化,也就是說,這時(shí)控制人員無法通過了解汽輪機(jī)的實(shí)時(shí)運(yùn)行狀態(tài),而較大的攻擊流量會(huì)使得DEH無法工作,從而造成不能對汽輪機(jī)進(jìn)行正常控制。
2.1.2 UDPFLOOD攻擊
UDPFLOOD是流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood經(jīng)常將線路上的骨干設(shè)備如防火墻打癱,造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù),在UDPFLOOD攻擊中,攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是,由于UDP協(xié)議是無連接性的,所以只要開了一個(gè)UDP的端口提供相關(guān)服務(wù)的話,那么就可針對相關(guān)的服務(wù)進(jìn)行攻擊。
UDPFLOOD攻擊開始后,也在工程師站的觀測軟件上,可以看到被攻擊方的CPU占用率快速上升,并出現(xiàn)紅色警示。在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結(jié)果工程師站無法ping通DEH。
和SYSFLOOD攻擊不同,UDPFLOOD攻擊只能讓網(wǎng)絡(luò)通信中斷,并不能夠?qū)刂破鳟a(chǎn)生實(shí)質(zhì)性的影響,在攻擊過程中,控制器中的控制邏輯始終生效,說明這種攻擊方式不能對汽輪機(jī)控制的實(shí)際業(yè)務(wù)產(chǎn)生影響。
2.1.3 延伸測試
對另一廠商的控制系統(tǒng)同樣進(jìn)行上述兩項(xiàng)攻擊測試。
SYSFLOOD攻擊開始后,在工程師站的觀測軟件上,DEH系統(tǒng)上出現(xiàn)故障報(bào)警。
在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結(jié)果工程師站無法ping通,如圖1所示。
圖1
UDP Flood攻擊開始后,在工程師站的觀測軟件上,DEH系統(tǒng)上出現(xiàn)報(bào)警。
在工程師站上執(zhí)行ping命令,測試工程師站與DEH系統(tǒng)是否正常通信,結(jié)果工程師站無法ping通。
2.2 MODBUS TCP攻擊
2.2.1 MODBUS TCP特定功能碼攻擊
采用專門工具可以對某廠商控制系統(tǒng)進(jìn)行MODBUS TCP攻擊,向DEH發(fā)送29功能碼的數(shù)據(jù)包,如圖2所示。
圖2
攻擊開始后,在工程師站的觀測軟件上,可以看到DEH系統(tǒng)離線,從連接控制器的顯示器上可以看到,DEH系統(tǒng)重啟,如圖3所示。
圖3
2.2.2 MODBUS TCP漏洞攻擊
采用專門工具針對某廠商控制系統(tǒng)的信息安全漏洞發(fā)送特定的MODBUS TCP數(shù)據(jù)包如圖4所示。
圖4
在工程師站的觀測軟件上,可以看到DEH系統(tǒng)的CAN總線通訊中斷。
2.2.3 延伸測試
采用專門工具針對某廠商控制系統(tǒng)的信息安全漏洞對DEH的兩個(gè)控制器發(fā)送特定MODBUS TCP數(shù)據(jù)包,會(huì)導(dǎo)致兩個(gè)控制器都處于離線狀態(tài),將該DEH的數(shù)字量輸出接到數(shù)字示波器上可以發(fā)現(xiàn),輸出信號(hào)波形圖為一條直線如圖5所示。
更換另一控制系統(tǒng)廠商產(chǎn)品進(jìn)行測試,可以得到同樣的結(jié)果。此時(shí),DEH已經(jīng)無法對汽輪機(jī)進(jìn)行正常控制。
3 總結(jié)
多數(shù)的工業(yè)控制系統(tǒng)缺乏抗網(wǎng)絡(luò)安全攻擊的設(shè)計(jì),大流量的網(wǎng)絡(luò)安全攻擊就可能會(huì)導(dǎo)致控制系統(tǒng)無法正常工作,但在小流量情況下控制系統(tǒng)還能夠保持對被控設(shè)備的控制。
部分控制系統(tǒng)產(chǎn)品在設(shè)計(jì)時(shí)考慮了信息安全,能夠抵御一般的網(wǎng)絡(luò)攻擊,這說明工業(yè)控制系統(tǒng)自身安全性提升能夠起到一定的作用。
工業(yè)控制系統(tǒng)采用的部分協(xié)議自身存在著信息安全風(fēng)險(xiǎn),特定的功能碼會(huì)對控制系統(tǒng)的正常運(yùn)行產(chǎn)生影響。
圖5
工業(yè)控制系統(tǒng)的信息安全漏洞被利用會(huì)導(dǎo)致控制系統(tǒng)不能正常工作進(jìn)而失去對被控設(shè)備的控制,部分漏洞還可能導(dǎo)致攻擊者實(shí)現(xiàn)對控制系統(tǒng)的利用。
電廠的控制系統(tǒng)內(nèi)部也應(yīng)加強(qiáng)信息安全防御,以避免控制系統(tǒng)遭遇網(wǎng)絡(luò)攻擊后失去對發(fā)電設(shè)備的控制能力。
作者簡介
袁曉舒(1973-),男,江西余干人,工程師,碩士,現(xiàn)就職于中國東方電氣集團(tuán)中央研究院。曾在中科網(wǎng)威、億陽信通、浪潮集團(tuán)等公司從事信息安全工作,先后擔(dān)任入侵檢測、防火墻、4A等產(chǎn)品的產(chǎn)品經(jīng)理和技術(shù)部經(jīng)理。后加入東方電氣中央研究院研究工業(yè)控制系統(tǒng)信息安全,先后擔(dān)任企業(yè)、省和國家多個(gè)工業(yè)控制系統(tǒng)信息安全科研項(xiàng)目負(fù)責(zé)人,目前正專注于電力系統(tǒng)發(fā)電側(cè)的控制系統(tǒng)信息安全研究。
參考文獻(xiàn):
[1] 湯奕, 陳倩, 李夢雅, 等. 電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊研究綜述[J]. 電力系統(tǒng)自動(dòng)化, 2016, 40 (17) : 59 - 69.
[2] 許寧. DCS 在電廠控制系統(tǒng)的應(yīng)用及展望[J]. 電站系統(tǒng)工程, 2016 (1) : 60 - 61.
[3] 周俊霞, 邊立秀, 王麗君. 火電廠熱工控制系統(tǒng)的現(xiàn)狀及展望[J]. 電站系統(tǒng)工程, 2003, 19 (5) : 53 - 55.
[4] 葛志偉, 劉戰(zhàn)禮, 周保中, 等. 火力發(fā)電廠數(shù)字化發(fā)展現(xiàn)狀以及向智能化電廠轉(zhuǎn)型分析[J]. 發(fā)電與空調(diào), 2015, (5) : 45 - 47.
[5] 倪明, 顏詰, 柏瑞, 等. 電力系統(tǒng)防惡意信息攻擊的思考[J]. 電力系統(tǒng)自動(dòng)化, 2016, 40 (5).
[6] 張堃, 張培建, 吳建國, 等. 大型控制系統(tǒng)信息安全評(píng)估研究[J]. 控制工程, 2014, 21 (4) : 524.
[7] 衛(wèi)志農(nóng), 陳和升, 倪明, 等. 電力信息物理系統(tǒng)中惡性數(shù)據(jù)定義、構(gòu)建與防御挑戰(zhàn)[J]. 電力系統(tǒng)自動(dòng)化, 2016, 40 (17) : 70 - 78.
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第三輯
北京市公安局海淀分局備案號(hào):11010802023656號(hào)