今日頭條
官方微信
官方抖音
資訊頻道袁曉舒 桑梓 楊平 中國東方電氣集團中央研究院
摘要:隨著傳統電廠向數字化電廠的演進,電廠控制系統未來面臨更加復雜的運行環境,來自網絡的攻擊成為電廠控制系統面臨的新威脅。本文通過對以汽輪機電液調速系統(DEH)為代表的電廠控制系統進行網絡攻擊測試,分析了不同類型的網絡攻擊對控制系統的影響。
關鍵詞:電廠控制系統;網絡攻擊;漏洞
電廠控制系統的安全穩定運行不僅關系到電廠本身的安全穩定運行,也會影響到電網的安全穩定運行[1]。先進的計算機技術和通信技術讓以集散控制系統(DCS)為代表的電廠控制系統具備了與信息系統互聯互通的能力,直接或間接實現了外部網絡對物理對象的訪問[2-4]。來自外部的網絡安全攻擊成為影響電廠控制系統的安全穩定運行的新威脅。已經發生過的電廠安全事故[5]說明,對電廠控制系統的網絡安全攻擊能夠使電廠從電網解列,直接威脅電網的安全穩定運行,并造成嚴重的經濟損失。
目前,國內對電廠控制系統網絡攻擊方面的研究尚處于起步階段[6-7]。在這個背景下,現有的電廠控制系統能否抵御來自外部網絡的攻擊以及來自外部的網絡攻擊能夠在多大程度上對業務造成危害是必須回答的兩個問題。因此,通過對實際DCS及其組件的網絡攻擊測試是評估電廠控制系統網絡安全攻擊危害的重要途徑。本文通過對多個國內外廠商的電廠控制系統進行網絡攻擊測試,以DEH為對象分析了電廠控制系統在遭遇網絡攻擊時可能對業務的影響。
1 概述
為了進一步了解網絡攻擊對電廠控制系統的威脅,中國東方電氣集團中央研究院選取了在發電行業廣泛應用的國內、外知名的控制系統廠商控制系統產品,搭建了DEH(汽輪機電液調速系統)網絡安全攻擊環境,進行了初步的研究。
研究采用了SYSFLOOD、UDPFLOOD模擬一般網絡攻擊,MODBUS TCP特殊指令模擬APT攻擊。
2 攻擊測試
2.1 以太網模擬攻擊
測試通過采用專門軟件對DEH的SYSFLOOD、UPDFLOOD攻擊來模擬控制系統遭遇的一般網絡攻擊。
2.1.1 SYSFLOOD攻擊
SYSFLOOD是一種廣為人知的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
通過對某廠商控制系統產品進行SYSFLOOD攻擊可以模擬該控制系統在遭遇常見的局域網攻擊時的狀態。
當采用單臺PC機對該控制系統的一個控制器進行SYSFLOOD攻擊時,在工程師站的觀測軟件上,可以看到被控制器的CPU占用率快速上升,并出現紅色警示。
采用兩臺PC機增加對該控制系統的一個控制器的SYSFLOOD攻擊量后,會使得控制器重啟。通過進一步的研究發現,當較小的攻擊流量可以使控制系統的網絡通信中斷,進而使得電廠監控畫面上汽輪機的狀態參數不再發生變化,也就是說,這時控制人員無法通過了解汽輪機的實時運行狀態,而較大的攻擊流量會使得DEH無法工作,從而造成不能對汽輪機進行正常控制。
2.1.2 UDPFLOOD攻擊
UDPFLOOD是流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k pps的UDPFlood經常將線路上的骨干設備如防火墻打癱,造成整個網段的癱瘓。由于UDP協議是一種無連接的服務,在UDPFLOOD攻擊中,攻擊者可發送大量偽造源IP地址的小UDP包。但是,由于UDP協議是無連接性的,所以只要開了一個UDP的端口提供相關服務的話,那么就可針對相關的服務進行攻擊。
UDPFLOOD攻擊開始后,也在工程師站的觀測軟件上,可以看到被攻擊方的CPU占用率快速上升,并出現紅色警示。在工程師站上執行ping命令,測試工程師站與DEH系統是否正常通信,結果工程師站無法ping通DEH。
和SYSFLOOD攻擊不同,UDPFLOOD攻擊只能讓網絡通信中斷,并不能夠對控制器產生實質性的影響,在攻擊過程中,控制器中的控制邏輯始終生效,說明這種攻擊方式不能對汽輪機控制的實際業務產生影響。
2.1.3 延伸測試
對另一廠商的控制系統同樣進行上述兩項攻擊測試。
SYSFLOOD攻擊開始后,在工程師站的觀測軟件上,DEH系統上出現故障報警。
在工程師站上執行ping命令,測試工程師站與DEH系統是否正常通信,結果工程師站無法ping通,如圖1所示。
圖1
UDP Flood攻擊開始后,在工程師站的觀測軟件上,DEH系統上出現報警。
在工程師站上執行ping命令,測試工程師站與DEH系統是否正常通信,結果工程師站無法ping通。
2.2 MODBUS TCP攻擊
2.2.1 MODBUS TCP特定功能碼攻擊
采用專門工具可以對某廠商控制系統進行MODBUS TCP攻擊,向DEH發送29功能碼的數據包,如圖2所示。
圖2
攻擊開始后,在工程師站的觀測軟件上,可以看到DEH系統離線,從連接控制器的顯示器上可以看到,DEH系統重啟,如圖3所示。
圖3
2.2.2 MODBUS TCP漏洞攻擊
采用專門工具針對某廠商控制系統的信息安全漏洞發送特定的MODBUS TCP數據包如圖4所示。
圖4
在工程師站的觀測軟件上,可以看到DEH系統的CAN總線通訊中斷。
2.2.3 延伸測試
采用專門工具針對某廠商控制系統的信息安全漏洞對DEH的兩個控制器發送特定MODBUS TCP數據包,會導致兩個控制器都處于離線狀態,將該DEH的數字量輸出接到數字示波器上可以發現,輸出信號波形圖為一條直線如圖5所示。
更換另一控制系統廠商產品進行測試,可以得到同樣的結果。此時,DEH已經無法對汽輪機進行正常控制。
3 總結
多數的工業控制系統缺乏抗網絡安全攻擊的設計,大流量的網絡安全攻擊就可能會導致控制系統無法正常工作,但在小流量情況下控制系統還能夠保持對被控設備的控制。
部分控制系統產品在設計時考慮了信息安全,能夠抵御一般的網絡攻擊,這說明工業控制系統自身安全性提升能夠起到一定的作用。
工業控制系統采用的部分協議自身存在著信息安全風險,特定的功能碼會對控制系統的正常運行產生影響。
圖5
工業控制系統的信息安全漏洞被利用會導致控制系統不能正常工作進而失去對被控設備的控制,部分漏洞還可能導致攻擊者實現對控制系統的利用。
電廠的控制系統內部也應加強信息安全防御,以避免控制系統遭遇網絡攻擊后失去對發電設備的控制能力。
作者簡介
袁曉舒(1973-),男,江西余干人,工程師,碩士,現就職于中國東方電氣集團中央研究院。曾在中科網威、億陽信通、浪潮集團等公司從事信息安全工作,先后擔任入侵檢測、防火墻、4A等產品的產品經理和技術部經理。后加入東方電氣中央研究院研究工業控制系統信息安全,先后擔任企業、省和國家多個工業控制系統信息安全科研項目負責人,目前正專注于電力系統發電側的控制系統信息安全研究。
參考文獻:
[1] 湯奕, 陳倩, 李夢雅, 等. 電力信息物理融合系統環境中的網絡攻擊研究綜述[J]. 電力系統自動化, 2016, 40 (17) : 59 - 69.
[2] 許寧. DCS 在電廠控制系統的應用及展望[J]. 電站系統工程, 2016 (1) : 60 - 61.
[3] 周俊霞, 邊立秀, 王麗君. 火電廠熱工控制系統的現狀及展望[J]. 電站系統工程, 2003, 19 (5) : 53 - 55.
[4] 葛志偉, 劉戰禮, 周保中, 等. 火力發電廠數字化發展現狀以及向智能化電廠轉型分析[J]. 發電與空調, 2015, (5) : 45 - 47.
[5] 倪明, 顏詰, 柏瑞, 等. 電力系統防惡意信息攻擊的思考[J]. 電力系統自動化, 2016, 40 (5).
[6] 張堃, 張培建, 吳建國, 等. 大型控制系統信息安全評估研究[J]. 控制工程, 2014, 21 (4) : 524.
[7] 衛志農, 陳和升, 倪明, 等. 電力信息物理系統中惡性數據定義、構建與防御挑戰[J]. 電力系統自動化, 2016, 40 (17) : 70 - 78.
摘自《工業控制系統信息安全》專刊第三輯
北京市公安局海淀分局備案號:11010802023656號