网络及通信

网络及通信

虽然智能变电站在建设时将按不同的安全域实施系统间的安全隔离和控制，但工业控制网 络设备、通信协议自身的脆弱性
以及智能变电站网络架构针对安全性考虑不足的问题，智能 变电站依然存在很大的安全风险[wxp2012]。表 4-5 讨论了网络及通信方面的安全问题。 表 4-5 网络与通信相关的安全问题
|安全问题 |描述 |
|网络设备
密码长期不修改**/甚至一直 采用出厂缺省密码|未定期更换密码，可使密码泄露的风险增大，从而系统遭受未授权 操作、窃取数据或攻击破坏的可能性也会大大增加。||关键网络设备没有冗余备份措施|关键网络设备没有冗余备份措施可能导致单点故障|
|用户、数据与设备缺乏有效认证|部分智能变电站协议没有任何级别的身份验证机制[LYHC2012]。用户 身份、设备 ID 的真实性以及传输数据（采集到的设备状态信息、下 发的控制指令等）的完整性
与真实性就难以得到保证。||未安装防火墙或防火墙策略配置不 当 |防火墙配置不当可能允许不必要的数据传输，允许攻击数据包和恶 意软件在网络之间传播，容易监测其他网络上的敏感数据，造成未 经授权的系统访问。|
|未安装防恶意软件工具** |可能因移动设备的违规使用或违规外联而引入恶意代码（木马、病 毒等）在智能变电站网络中传播，导致系统性能下降、信息泄露， 甚至设备被控制或破坏。因此在智能变电站的计算机系统中应安装 经过测试验证的防恶意软件工具。|
|防恶意软件版本或特征码未更新|未更新的防恶意软件版本和脱离系统定义的规则使防恶意软件无法 防范新的恶意软件威胁。|
|防恶意软件安装前未进行广泛的测 试** |防恶意软件安装前未进行广泛的测试可能会对智能变电站系统正常 运转产生影响。

操作合规性

智能变电站所面临的安全威胁除了上述其系统及网络自身脆弱性之外，来自内部人员的 故意违规操作、破坏以及来自外部的新型 APT 攻击（参见第三章内容）也将是智能变电站所 面临的最大威胁。而这些威胁的消减将依赖于基于异常行为检测、操作合规性审计以及基于 沙箱的虚拟执行[NS2013]等多安全机制的综合安全防御体系。表 4-6 讨论了系统操作行为合规性 相关的一些安全问题。
表 4-6 操作合规性相关的安全问题
|安全问题 ||描述 |
|缺乏完善的系统安全操作规范||没有明确系统操作角色定义及授权操作规范集，在系统中就无法定义一个|
|||系统的合规性操作行为及授权系统访问|
|缺乏系统操作行为审计系统||没有相应违规操作行为审计系统，难以追踪事故发生的原因和责任人|
|缺乏针对 APT 等新型攻击技||APT 攻击是融合多种攻击技术、利用最新 0-day 漏洞的新型攻击技术，传|
|术的安全防护措施||统的安全防护措施很难识别并防御它。|

虚拟攻击场景分析

背景描述

某智能变电站 A 是 B 国重要制造单位 C 的供电支撑变电站。敌对组织 D 计划干扰重要制 造单位 C 生产活动的正常运行，但是直接进去重要制造单位 C 存在较大的困难和风险。为了 完成攻击目的，敌对组织 D 决定通过引起智能变电站 A 供电资源的中断来影响单位 C 的正常 生产活动。

攻击过程描述

执行攻击前，敌对组织 D 通过各种途径了解到：

• 因不同厂家的设备在实现和配置方面存在一定的差异，智能变电站中二次设备的运 维一般都通过相关设备厂家来进行；
• 智能变电站 A 的二次设备通常是由 E 公司的运维人员 M 负责运维；
• M 是电气自动化技术的爱好者，经常参加技术论坛 T 的话题讨论；且喜欢分享自己 去变电站实地运维时发现的细节，并在论坛 T 上留下了自己的邮箱。 了解到这些情报后，敌对组织 D 实施了如图 4.2 所示的攻击过程：
  （1） 定向植入恶意代码

1. 考虑到 M 经常出差，推测其平时登录论坛 T 的笔记本电脑很可能就是他在实地运维 时所使用的计算机。因此，敌对组织 D 通过运维人员 M 在论坛 T 上留下的电子邮箱 发送了一份某电气自动化技术论坛的技术交流邀请信，其中携带着一个邀请函文档 附件。
2. 作为一个技术爱好者，M 没有任何的犹豫，直接打开了附件文档。由于敌对组织 D 在该文档中事先内嵌了一段利用一个微软 Word 未知漏洞的利用代码。这段代码在执 行后能够从指定链接中下载远程访问终端（Remote Access Terminator，RAT）恶 意程序，进而获取管理员权限，全面接管 M 的笔记本电脑的控制权。
3. 邀请函事件之后，M 又收到了一个交流取消的邮件，因此其也就淡忘了这件事情。
   （2） 恶意代码植入变电站控制端
   a) 几个月后，智能变电站 A 邀请 E 公司的运维人员 M 去执行例行检查。与往常一样， M 直接使用随身携带的笔记本电脑接入到了智能变电站 A 的站控层。每当接入一个 新网络的时候，M 的笔记本中一个非常不显眼的进程就会突然活跃了起来，扫描网 络中的计算机，使用微软 Windows 操作系统漏洞 MS XX-XXX 控制连接的计算机， 植入 RAT 程序并激活。而这次稍微有一点不同，其中一台被攻陷的计算机上安装了 一款软件 XXX，而这台电脑正是站控层操作员站所在的计算机。
   （3） 执行恶意代码
   a) 控制站控操作员站后，一个功能模块被悄无声息地注入操作员站控制软件 XXX 的进 程，该模块负责向测控装置发送已经组态好的恶意代码。因为所有的操作都是按照 正常的操作规程下发的指令，故障录波和网络分析仪无法感知其中可能存在的异常 行为，无法及时进行报警处理。测控装置按照站控计算机下发的指令对刀闸进行了 断开的操作，直接导致了向重要制造单位 C 的输电中断。同时，由于未对刀闸的操 作进行灭弧处理，引起部分装置烧毁。
   （4） 中断电力供应
   a) 通过对关键电力供电设施的攻击，达到了对相关的基础制造业的间接攻击并直接影 响了单位 C 的生产进度，达到了攻击者的攻击目的。
   图 4.2 虚拟攻击过程示意图

五市政工业控制系统的安全性研究

伴随着工业化与信息化的融合，市政相关的工业控制系统（自来水、污水处理、燃气输送 等）的重要性日益重要，并日益成为网络攻击者的目标。近年来国内外均出现了不少相关的 入侵攻击事件，如表 5-1、表 5-2[wooyun]所示。
表 5-1 国外典型的市政系统安全事件
|年份** |事件** |
|2011 |黑客通过入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏|
|2011 |一个自称 Prof 的黑客示威描述他如何轻松的攻入控制南休斯顿市水厂的 SCADA 系统，用 的就是在用户手册上发现的一个默认密码|
|2007 |攻击者侵入加拿大的一个水利 SCADA 控制系统，通过安装恶意软件破坏了用于控制从 Sacrmento 河调水的控制计算机|
|2006 |黑客从 Internet 攻破了美国哈里斯堡的一家污水处理厂的安全措施，在其系统内植入了能 够影响污水操作的恶意程序|
|2001 |澳大利亚昆士兰一工程师在被其公司解聘后，利用其对水务工程的熟悉，使用偷窃的无线 电台、SCADA 控制器以及控制软件通过不安全无线网络的未授权访问，远程侵入该厂的污 水处理控制系统，恶意造成污水处理泵站故障，在当地沿海水域排放了超过一万公升污水， 导致严重的环境破坏|
表 5-2 国内典型的市政工业控制系统安全事件
|年份** |事件** |
|2013 |某市自来水公司网站漏洞,可 shell ，SQL 注入直接拿 shell 提权，全市用户资料泄露|
|2013 |XX 市自来水在线查询问题|
|2013 |XX 市燃气集团有限公司存在远程执行漏洞 ，X 市燃气集团有限公司存在远程执行漏洞 存 在漏洞的 url |
|2012 |某市燃气管道 SCADA 系统登录绕过 ，对设备状态的监控可以直接精确到某栋大厦|
因为市政工业控制系统涉及自来水调度管理与控制、污水处理、燃气甚至交通管理等多个 领域，本章因篇幅所限，仅以自动化程度较高的自来水厂工业控制系统为例来讨论其安全性。

参考资料

绿盟 2014工控系统的安全研究与实践报告

友情链接

GB-T 30276-2013 信息安全技术 网络安全漏洞管理规范