发电厂SCADA漏洞和对策分析

李嘉盛

摘要：现如今，SCADA系统在面临着传统的安全性和可用性问题的同时，还面临着新的安全威胁。主要是由于在复杂系统中广泛使用ICT（Information Communications Technology）和网络技术使得SCADA系统出现了更多地漏洞和弱点。本文分析了SCADA系统的特点和所面临的安全问题。介绍了Igor Nai Fovino创建的发电厂网络攻击实验平台和攻击场景，从TCP/IP和SCADA协议两方面分析了SCADA的安全对策。

关键词：SCADA系统；电力系统安全；信息安全；工业控制系统

中图分类号：TE88 文献标识码：A 文章编号：1007-9416（2017）06-0224-01

1 SCADA系统及其特点

SCADA（Supervisory Control And Data Acquisition）即数据采集与监视控制系统，是能量管理系统（EMS）的一个重要子系统。由人机界面（HMI）、远程终端单元（RTU）、监视管理系统、可编程控制器（PLC）组成。SCADA系统是以计算机为基础的变电站综合自动化，它可以对现场的运行设备进行监视和控制，以实现数据采集、设备控制、测量、参数调节以及各类信号报警等功能。实现变电站的遥测、遥控、遥信和遥调功能。

2 SCADA系统的安全问题

现如今大部分电厂的过程控制网络和公司的业务网络都与公共网络相连，以便于工程师在企业内部网对SCADA系统进行监视和控制和快速访问电力系统的状态数据。SCADA网络是基于各种通信信道和网络技术的，包括以太网、 串行链路、无线通信等，这些设备之间的通信遵循标准通信协议。然而这也给不法分子以可乘之机。通过信息外网渗透进入SCADA网络，破坏电力系统的可用性，数据的完整性、保密性，引发非常严重的后果，例如2015年12月的乌克兰停电事件[3]。欧盟委员会联合研究中心的意大利学者Igor Nai Fovino建立了一个用于测试SCADA系统安全性的实验平台，模拟典型发电厂的物理和控制结构，运行和分析侵入式ICT实验的影响。我们接下来将介绍这个实验平台及攻击场景。

3 实验平台及攻击场景

Igor Nai Fovino的实验设施完全再现了发电厂的场景，由以下元素组成：现场网络、过程网络、非军事区、企业内网、外部网络、观察员网络、分析系统、横向服务网络[1]。

3.1 RADIUS拒绝服务攻击

在模拟的僵尸网络中安装恶意软件，以高吞吐量（700Mb /秒）向Radius服务器发送伪造数据包，在55秒内使其带宽达到饱和。大大限制甚至完全拒绝了对特定资源的访问，直接影响到电厂的维护和管理程序。

3.2 ICT蠕蟲感染

蠕虫是独立运行自我复制的计算机程序，Igor Nai Fovino创建了一个可利用SCADA服务器上的软件漏洞，将其自身扩展到过程网络中。关闭网络连接，将SCADA服务器与网络的其余部分隔离开来。

3.3 过程网络恶意软件感染

基于一些病毒（如Slammer，Codered）的感染技术创建了一组恶意软件，通过感染的主机资源感染新的主机进行SCADA Dos攻击：尝试发现并连接到同一个受感染机器网络的从站，并开始发送大量SCADA协议（如Modbus）数据包，试图超载它们的网卡；或进行SCADA COM攻击：在发现连接到受感染机器的同一网络的从站后，向他们发送一组相关的SCADA命令使系统处于某种危险状态。

3.4 网络钓鱼攻击和本地DNS中毒

网络钓鱼攻击通常是通过使目标用户与恶意网站进行连接，通过某种方式使其相信与合法网站相连，从而使其向恶意对方提供敏感数据或登录凭据。在Igor Nai Fovino的实验中，是通过修改目标运营商的本地DNS表来实现的。每当目标操作员试图访问某个特定的SCADA服务器时，他将被透明地重新路由到由攻击者创建的假SCADA服务器。攻击者可以向运营人提供发电厂状态的虚假图片，也可以获得运营商凭证，以便能够直接访问SCADA系统以进一步发展攻击[1]。

Igor Nai Fovino的实验所用的都是传统信息网络中的常见攻击手段，但都从信息外网攻击了SCADA系统，对物理设备的正常运行造成了影响。

4 对策

4.1 TCP/IP对策

TCP/IP协议易受到中间人攻击、重播攻击等攻击，利用GRE、IPSec等隧道协议的隐藏报头、加密报文、认证、时间戳等功能来保护数据包，使得只有接收者能够理解流的内容，没有人能修改或重用数据包。在实际的使用中，通常应用这种解决方案，比如通过点到点的VPN技术在内联网操作员的PC和过程网络防火墙之间创建安全通道。

4.2 SCADA协议对策

DNP（Distributed Network Protocol，分布式网络协议）是一种应用于自动化组件之间的通讯协议，SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。DNP协议有一定的可靠性，可以用来对抗恶劣环境中产生的电磁干扰、元件老化等信号失真现象，但DNP在设计之初没有考虑安全问题，不保证在黑客的攻击下、或者恶意破坏控制系统的情况下的可靠性。DNP3可通过封装在以太网上运行，支持DNP3协议的从设备默认会开放TCP的20000端口用于通信。DNP3协议在设计之初也没有考虑到安全、认证等的一些因素，以致后来出现了Secure DNP3（主要加强了认证）[2]。

Modbus协议出现于1979年，是全球第一个真正用于工业现场的总线协议，也是一种应用层报文传输协议，保证了控制器相互之间、控制器经由网络（例如以太网）和其他设备之间可以通信，有ASCII、RTU、TCP三种报文类型。Modbus协议在设计之初也仅仅考虑了功能实现、提高效率、提高可靠性等方面，而没有考虑认证、授权、加密等安全问题。可以通过异常行为检测、安全审计、使用网络安全设备等方法降低Modbus协议所带来的安全性问题[4]。

5 结语

现代电力系统的正常运行无时无刻不依赖于一个可靠的信息系统。无论是2015年的乌克兰停电事件，还是本文所介绍的Igor Nai Fovino的实验，都证明了从信息网络向SCADA系统及其物理网络的攻击是可行的。而一旦电力系统受到了恶意攻击的破坏，将造成严重的经济与社会影响。所以，我们应当掌握更多的手段，来保证电力系统的安全性。

参考文献

[1]Igor Nai Fovino An experimental platform for assessing SCADA vulnerabilities and countermeasures in power plants IEEE Conference Publications，2010.

[2]灯塔实验室.DNP3协议简单介绍及协议识别方法.

[3]郭庆来.由乌克兰停电事件看信息能源系统综合安全评估[J].电力系统自动化，2016.

[4]左卫.Modbus协议原理及安全性分析[J].通信技术，2013.endprint