谢秋华，姜德政，杨廷勇，杨之圣

（中国长江电力股份有限公司，湖北 宜昌 443000）

1 引言

随着计算机和网络技术的发展，特别是两化融合以及物联网的快速发展，越来越多的通用协议、硬件和软件在工业控制系统产品中采用，并以各种方式与互联网等公共网络连接，使得针对工业控制系统的攻击行为大幅度增长，常见的攻击方式就是利用工业控制系统的漏洞，具体包括PLC、DCS（分布式控制系统）、SCADA（数据采集与监视控制系统）乃至应用软件中的信息安全漏洞。

近年来，工业控制系统信息安全风险和事件数量呈上升趋势，“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行，工业控制系统信息安全漏洞如不能及时发现并防范，将对工业生产运行和国家经济安全造成重大隐患。

以水电站计算机监控系统为例设计电力监控系统网络安全攻防演练平台，可有效验证控制系统安全性并挖掘系统及关键控制设备的安全漏洞，研究针对控制系统的攻击方法并展现攻击效果。试验结果能够为水电站电力监控系统真实环境的安全评估、安全加固及安全改造提供指导性建议[1]，为水电站网络安全管理人才培养提供支撑。

2 水电站电力监控系统攻防平台建设

水电站电力监控系统作为重要领域的工业控制系统，其网络安全管理工作除按照国家法律法规以及行业标准做好“技防、人防、物防”等各项管控措施外，还有必要通过开展水电站电力监控系统网络安全攻防平台的研发与实践，实战演练网络安全攻防手段，通过演练--改进--提高，有效提升水电站电力监控系统网络安全防护整体水平。

2.1 平台设计

水电站电力监控系统攻防平台设计时遵循系统要求、覆盖关键工艺、选择典型系统的原则[1]，首先应搭建一个典型的计算机监控系统仿真平台，该平台部署水电站监控系统典型硬件设备、安装系统常用的应用软件，具备监控系统相关功能，同时根据国家法律法规和行业标准配备完整的网络安全防护措施，具体平台设计如图1所示。

图1 典型的计算机监控系统仿真平台

该平台配置两台操作员站、两台数据采集服务器和两台历史数据服务器，服务器采用国产自主的浪潮和曙光品牌，并部署可信密码模块和可信软件基；操作系统采用凝思国产操作系统；应用软件采用中水科技的H9000系统；历史服务器安装达梦国产数据库；交换机选用华为交换机S572-32P-EI-AC，现地层PLC选用施耐德M580 ePAC level40和傲拓科技自主可控NJ-600PLC。

2.2 功能设计

根据水电站电力监控系统攻防平台的结构特点和应用情况，攻防演练主要针对平台网络层、系统层、应用层3个方面进行渗透测试。系统应支持采用当前主流、先进的测试手段发现平台漏洞，现场演示利用该漏洞可能造成的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。具体包含：网络层测试、系统层测试和应用层测试；测试过程中发现的漏洞报告及改进措施建议；平台加固方案及最终的测试报告。

2.3 预期目标

平台建设应基于当前电力监控系统的实际防护水平，应用当前主流的自主可控软硬件设备，包括自主可控的厂站层服务器、交换机、网络安全防护设备及系统软件、应用软件；现地层应用自主可控大型冗余PLC，整体配置为水电站监控系统全面国产化提供技术支持，提升监控系统自身可靠性。同时应用国产密码技术，变被动防御为主动免疫，为三峡电站监控系统应对网络威胁的能力和快速恢复能力提供支持。

通过邀请红客对已建设好的攻防平台进行攻防测试，寻找当前平台的安全防护短板并进行整改，同时挖掘信息安全人员的弱点，提升信息安全人员的安全习惯，提升安全管理能力，最终进一步健全水电站电力监控系统安全防护体系建设。

完善后的平台可用作开展常态化的攻防演练，集系统测评和操作培训于一体，作为后续开展系统等保测试和攻防演习人员培训的仿真环境。

3 攻防测试功能实现

为仿真电力监控系统可能的攻击行为，攻防平台设计从攻击方式来分，分为黑盒测试和白盒测试。黑盒测试模拟攻击者处于不了解系统相关信息的状态，白盒测试与黑箱测试恰恰相反，模拟测试者已掌握测试平台的各种资料，包括网络拓扑、员工资料甚至程序的代码片断等，主要模拟企业内部雇员的越权操作。

从攻击路径来分，分为外部网络攻击和内部网络攻击。前者模拟的是系统外部网络上可能存在的恶意攻击行为，后者模拟企业内部违规操作者的行为、测试系统内部缺陷。

3.1 攻防测试工具及测试路径

红客开展渗透测试时模拟黑客入侵攻击的过程，具体可以使用操作系统自带的网络应用、管理和诊断工具，或在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及测试人员自主开发的安全扫描工具等。

渗透测试使用的通用软件或自主开发的渗透测试工具应技术成熟，能够实现网络检查和安全测试的高度可控性，能够根据使用者的实际要求进行有针对性的测试。

渗透攻击路径分别在图2中A点和B点进行。A点测试主要测试电力监控系统专用隔离装置是否存在突破或被绕过的可能，B点测试模拟企业内部违规操作者的行为。

图2 水电站电力监控系统攻防平台渗透测试路径

3.2 渗透测试内容

根据攻防平台的结构特点和应用情况，渗透测试主要针对平台网络层、系统层、应用层3个方面进行。红客应通过采用适当的测试手段发现平台漏洞，实时演示该漏洞可能造成的损失，并提出有针对性的改进措施。

3.2.1 网络层测试

测试服务器系统和网络设备研发生产过程中所固有的安全隐患及系统管理员或网络管理员的管理疏忽，网络层测试包含但不限于以下内容：

（1）跨隔离装置访问测试

如图2所示，尝试在攻击点A访问攻防平台隔离装置内的服务器或文件，确认隔离装置是否存在被突破或被绕过的可能。

（2）密码破解、登录超时、AAA认证测试

通过攻防测试，检测是否存在弱口令、登录系统未及时退出以及不规范的权限管理漏洞，进行数据分析及漏洞验证。

（3）管理ACL测试

若交换机未配置管理IP的ACL，可导致任意地址访问设备，需进行数据分析及漏洞验证。

（4）其它配置测试

针对服务器系统、数据库系统及网络设备在使用过程中由于管理人员或开发人员的疏忽可能造成的安全漏洞进行测试，并开展数据分析及漏洞验证。

3.2.2 系统层测试

（1）软件漏洞、远程溢出漏洞、本地提权漏洞测试

操作系统等系统应用软件未能及时更新或升级，导致系统存在未修复的安全漏洞；程序中使用的输入函数（使用者输入参数）对所接收数据的边界验证不严密而造成溢出漏洞；本地低权限、受限制的用户通过非常规手段提升到系统最高权限或比较大的权限，从而取得对服务器的控制权的漏洞等。

（2）弱口令、权限过大测试

测试系统、应用程序、数据库是否存在弱口令可以导致入侵者直接得到系统权限、修改盗取数据库中敏感数据、任意篡改页面等；测试是否存在某用户操作权限超出他本身安全操作权限范围之外而导致的安全风险。

（3）高危服务/端口开放、匿名连接测试

测试系统中是否存在默认开放的高危服务和端口及其带来的安全问题；测试系统是否存在匿名的IPC﹩连接及可能的安全风险。

（4）操作系统系统脆弱性测试

主要包括系统基本信息测试、系统压力测试和异常测试，包括弱口令测试、专业漏洞扫描工具扫描、漏洞库匹配、大流量报文发送等，并进行相关数据分析及漏洞验证。

3.2.3 应用层测试

测试应用程序及代码在开发过程中是否存在因安全意识不足、程序员疏忽导致的应用系统可利用的安全漏洞。一般包括SQL注入漏洞、敏感信息泄露漏洞、恶意代码、脆弱性测试等。

（1）登录限制测试

测试应用程序是否存在未经授权的用户登录及非法权限获取，从而实现对程序的篡改、删减。

（2）SQL注入漏洞测试

将恶意的SQL命令注入到后台数据库引擎，测试应用程序中是否存在没有对用户输入数据的合法性进行判断、特殊字符绕过对合法用户的认证体系等安全隐患。

（3）恶意代码植入

尝试在应用程序层植入恶意代码以获取相应权限或用以传播病毒，并进行相关的数据分析和漏洞验证。

（4）不安全对象引用及安全配置错误

测试应用程序中是否存在不安全的对象引用或使用第三方插件时未进行必要的安全配置和修改，而导致的安全隐患，对此进行数据分析及漏洞验证。

（5）应用协议脆弱性、应用软件脆弱性测试

通过专业工具对系统中使用的应用协议进行测试，包含协议规范测试、协议实现测试及协议栈压力和异常测试。

通过专业工具进行业务逻辑压力和异常测试及数据库压力和异常测试。

3.2.4 PLC 漏洞攻击

利用现有PLC和通信协议的已知漏洞开展对现地LCU的攻击，测试是否存在因异常通信导致PLC异常停运、或非正常开出的现象。

3.3 整改建议及渗透复测

在渗透测试工作结束后，针对测试中发现的高危、严重级漏洞、配置错误、管理不当等问题，红客应及时提交完整的记录、总结报告，并提供改进措施及对策；用户侧根据测试报告及时开展技术、管理层面的整改；针对现地LCU中选型不同的两种类型PLC，对比分析其安全防护整体水平。

根据渗透测试的整体情况，整改可能是一次完成或需要多轮整改；整改完成后需再次组织对整改项实施复测，以验证整改的有效性；同时随着新的漏洞信息发布，可开展多轮测试、持续改进。

4 结语

随着电力监控系统网络安全及关键信息基础设施安全的重要性日益凸显，水电站电力监控系统运维团队在技术防护装备、安全防护意识方面都有了很大的提升，但当前的防护措施是否充分、足够，系统中是否存在未知的安全隐患，运维团队的安全防护水平如何应对新的安全漏洞与攻击手段等，是水电站电力监控系统安全防护的一个新课题。本项目中的水电站电力监控系统攻防平台是一个最小化的水电站计算机监控系统，代表了水电站电力监控系统安全防护的最高要求，攻防平台一方面是一个装备试验场，需与时俱进，试点应用安全可靠的软硬件设备，部署新型、可靠的安全防护设备，同时优化完善系统、应用程序；另一方面需作为一个人才培训基地，使更多的运维人员深入了解安全防护设备的配置、可能的攻击手段及应对措施，有效提升系统运维人员的网络安全防护技能。