陳 岑，張 錚，常 昊，李鳴巖

（國網(wǎng)河南省電力公司電力科學(xué)研究院，河南 鄭州 450052）

0 引 言

電力工控系統(tǒng)具有調(diào)控手段靈活、控制邏輯與防御深度結(jié)合等特點(diǎn)，面向傳統(tǒng)信息系統(tǒng)的攻擊分類方法在攻擊對象、攻擊技術(shù)以及攻擊危害方面無法適用于電力工控系統(tǒng)的攻擊分類[1-8]。因此，結(jié)合電力工控系統(tǒng)實(shí)際業(yè)務(wù)和攻擊影響，研究攻擊分類方法是本文的關(guān)鍵。

1 研究現(xiàn)狀

目前，攻擊模擬研究主要集中于互聯(lián)網(wǎng)攻擊的模擬實(shí)現(xiàn)。由于模擬攻擊是系統(tǒng)抗攻擊測試中最基本和最核心的組成部分，因此模擬攻擊部分能否有效地再現(xiàn)網(wǎng)絡(luò)攻擊環(huán)境是衡量抗攻擊測試結(jié)果準(zhǔn)確性的重要指標(biāo)，在一定程度上影響了抗攻擊測試的可信性[9,10]。一般地，攻擊模擬由攻擊腳本庫、攻擊知識庫、攻擊方案生成以及攻擊腳本執(zhí)行引擎4部分組成[11-14]。按照電力工控系統(tǒng)的系統(tǒng)結(jié)構(gòu)、攻擊所造成的危害以及攻擊技術(shù)在攻擊流的體現(xiàn)，對常見的面向電力工控系統(tǒng)的攻擊技術(shù)進(jìn)行分類，以全面掌握對電力工控系統(tǒng)的攻擊機(jī)理，為真實(shí)模擬電力工控系統(tǒng)的攻擊提供理論基礎(chǔ)。針對每種電力工控系統(tǒng)攻擊技術(shù)，從攻擊目標(biāo)、攻擊特征、攻擊代碼實(shí)例和所利用的漏洞等方面來構(gòu)建攻擊樣本庫[15]。

2 電力工控系統(tǒng)的攻擊分類

目前對傳統(tǒng)網(wǎng)絡(luò)攻擊的分類常采用星形多維分類方法，每個維度代表一種分類依據(jù)。本文對攻擊的分類將從電力工控業(yè)務(wù)系統(tǒng)結(jié)構(gòu)出發(fā)，力求反映攻擊對電力工控系統(tǒng)造成的實(shí)際危害程度，并且配合攻擊仿真驗證平臺構(gòu)建面向攻擊流程。

2.1 從電力工控系統(tǒng)的系統(tǒng)層面進(jìn)行分類

電網(wǎng)工控系統(tǒng)主要涉及生產(chǎn)控制大區(qū)、具有遠(yuǎn)程控制功能的電力監(jiān)控系統(tǒng)、管理信息大區(qū)中用戶側(cè)及開放環(huán)境下的信息采集監(jiān)控系統(tǒng)。從電力工控系統(tǒng)的系統(tǒng)層面，將攻擊按照主站、終端、網(wǎng)絡(luò)和協(xié)議等進(jìn)行分類。

（1）針對主站的攻擊。目前電力工控系統(tǒng)中數(shù)據(jù)采集與監(jiān)視控制（Supervisory Control And Data Acquisition，SCADA）主站大多采用邏輯隔離的方式來對主站和其他系統(tǒng)的通信進(jìn)行防護(hù)，采用前置機(jī)來對公網(wǎng)通信信道進(jìn)行防護(hù)。針對主站的攻擊主要包括主站與從站間的中間人攻擊、以前置機(jī)為突破口滲透主站的邊界攻擊等。

（2）針對終端的攻擊。目前，電力工控系統(tǒng)中對重要子站及終端配置了具有雙向加密認(rèn)證能力的安全模塊。對于能被手持設(shè)備控制的配電終端，采用嚴(yán)格的訪問控制措施。但是仍然有海量終端缺乏必要的本體安全防護(hù)措施，使攻擊者能夠以終端為突破口開展?jié)B透攻擊。針對終端的攻擊主要有身份破解、DDOS攻擊、緩存溢出等。

（3）針對網(wǎng)絡(luò)的攻擊。目前，電力工控系統(tǒng)采用的通信方式主要包括電力調(diào)度數(shù)據(jù)網(wǎng)、光纖專線、無線專網(wǎng)、無線公網(wǎng)等。在網(wǎng)絡(luò)通道防護(hù)方面，部署配電加密認(rèn)證裝置，并采用基于國產(chǎn)商用密碼的算法實(shí)現(xiàn)通信鏈路的雙向身份認(rèn)證和數(shù)據(jù)加密，保證鏈路通信安全，防止非法入侵。主站服務(wù)器與系統(tǒng)前置機(jī)之間采用必要的身份認(rèn)證及數(shù)據(jù)加密手段，保證數(shù)據(jù)傳輸?shù)陌踩?。針對網(wǎng)絡(luò)通道的攻擊主要有竊聽、篡改和暴力破解。

（4）針對協(xié)議的攻擊。目前在變電、配電環(huán)節(jié)采用了IEC 60870、IEC 61850、專用協(xié)議、TCP/IP協(xié)議等來進(jìn)行網(wǎng)絡(luò)傳輸，在用電環(huán)節(jié)采用376.1/376.2協(xié)議來進(jìn)行通信。當(dāng)前使用的工控協(xié)議在設(shè)計時普遍缺乏安全性考慮，針對工控協(xié)議的攻擊則主要體現(xiàn)在利用協(xié)議未考慮安全的漏洞開展各類隱患利用。

2.2 從對電力工控系統(tǒng)的危害層面進(jìn)行分類

相較于傳統(tǒng)電網(wǎng)，智能電網(wǎng)的信息安全風(fēng)險更為明顯，包括以下3個方面。一是在網(wǎng)絡(luò)傳輸中生產(chǎn)信息被非法盜取、篡改；二是業(yè)務(wù)系統(tǒng)完整性、保密性、可用性遭到破壞；三是智能設(shè)備、智能表計、智能終端以及用戶終端受到非法冒用、遠(yuǎn)程控制和違規(guī)操作。按照對電力工控系統(tǒng)攻擊危害層面進(jìn)行分類，能夠?qū)﹄娏た叵到y(tǒng)面臨特定攻擊場景時可能遭受的攻擊有一個全面的預(yù)判。分析電力工控系統(tǒng)所面臨的攻擊威脅及危害，具體如下。

（1）偽造控制指令。電力信息系統(tǒng)核心部件被入侵者惡意控制，正常的業(yè)務(wù)邏輯被篡改，從而對電力生產(chǎn)、傳輸和使用造成巨大的破壞。

（2）獲取超級權(quán)限。在攻擊部署階段，入侵者往往需要先獲得超級權(quán)限，從而為攻擊指令的執(zhí)行創(chuàng)造運(yùn)行條件。

（3）系統(tǒng)數(shù)據(jù)篡改。電力信息系統(tǒng)中，傳輸和存儲的信息數(shù)據(jù)是電力信息系統(tǒng)實(shí)現(xiàn)自動化管控的基礎(chǔ)，信息被入侵者篡改使得電力調(diào)度失衡，導(dǎo)致電力系統(tǒng)產(chǎn)生擁堵。

（4）系統(tǒng)停服。攻擊者主要采用拒絕服務(wù)的攻擊方式向電力系統(tǒng)中關(guān)鍵部件發(fā)送大量的非正常數(shù)據(jù)包，使得目標(biāo)部件失去功能，電力系統(tǒng)的完整性遭到破壞。

（5）網(wǎng)絡(luò)中斷。不同于系統(tǒng)停服，入侵者雖然無法控制目標(biāo)設(shè)備，也無法使其癱瘓，但是可以通過干擾網(wǎng)絡(luò)連接使其無法和其他設(shè)備通信。尤其是電力工控系統(tǒng)網(wǎng)絡(luò)廣泛使用無線通信方式，為這類攻擊手段提供了應(yīng)用場景。

（6）敏感信息泄露。智能電網(wǎng)調(diào)度信息、配電站配電信息等可以被入侵者用來進(jìn)一步完成對電網(wǎng)的入侵，是入侵者最關(guān)心的信息，同時電網(wǎng)用戶的信息被入侵者竊取也具有巨大的潛在危害。

（7）終端非法接入。智能表計、智能家電、分布式能源設(shè)備等多種智能終端大量接入，業(yè)務(wù)終端數(shù)量宏大、類型龐雜，具有信息泄露、非法接入、易被控制的風(fēng)險。

2.3 從對電力工控系統(tǒng)的攻擊步驟進(jìn)行分類

對電力工控系統(tǒng)完整的攻擊場景包含了多個攻擊步驟，首先要選擇一個突破點(diǎn)，其次進(jìn)行滲透并統(tǒng)計到達(dá)目的攻擊點(diǎn)可能要迭代的數(shù)次，最后執(zhí)行具體的攻擊操作。在攻擊操作完成后，攻擊者通常會設(shè)置后門，以便下次直接進(jìn)行攻擊，并且清除滲透的痕跡。

（1）攻擊準(zhǔn)備。在攻擊準(zhǔn)備階段，采用社會工程學(xué)的方式獲得用戶帳號和口令，利用USB介質(zhì)將攻擊武器傳送到內(nèi)部入侵點(diǎn)等。

（2）入侵滲透。入侵者從外網(wǎng)入侵或從內(nèi)部的外圍區(qū)逐步進(jìn)入核心區(qū)，利用各類緩存溢出、數(shù)據(jù)庫注入等獲得本地權(quán)限，然后經(jīng)過層層跳板進(jìn)入核心生產(chǎn)控制區(qū)，最終獲得目標(biāo)設(shè)備的控制權(quán)限。

（3）攻擊部署。開始正式攻擊前，入侵者進(jìn)行現(xiàn)場控制，包括權(quán)限提升、周邊設(shè)備的信息掃描和工具的安裝。

（4）攻擊執(zhí)行。攻擊操作是攻擊者的根本目的，通常包括信息竊取、數(shù)據(jù)篡改、設(shè)備操控、信息擦除或執(zhí)行惡意的業(yè)務(wù)邏輯等。攻擊執(zhí)行也包括對電力工控系統(tǒng)恢復(fù)進(jìn)行拒絕服務(wù)的攻擊，以加強(qiáng)攻擊效果。此外攻擊者通常會將滲透的痕跡清除，并留下后門，方便下次進(jìn)入時能夠走捷徑或者遠(yuǎn)程操控。

3 電力工控系統(tǒng)攻擊樣本庫的構(gòu)建

通過分類整理電力工控系統(tǒng)攻擊、構(gòu)建電力工控系統(tǒng)攻擊樣本庫，為攻擊驗證平臺提供對攻擊過程進(jìn)行模擬驗證的基礎(chǔ)數(shù)據(jù)。通過面向?qū)ο蟮姆椒?gòu)建攻擊樣本知識庫，引入對象類來描述攻擊過程，包括具體攻擊行為、安全狀態(tài)、代碼實(shí)例以及安全漏洞等對象類。

（1）具體攻擊行為。攻擊者結(jié)束一個攻擊步驟所實(shí)施的具體操作，抽象描述為同目標(biāo)建立連接并發(fā)送攻擊數(shù)據(jù)包。

（2）攻擊特征。安全事件報警、網(wǎng)絡(luò)流量異常、網(wǎng)絡(luò)數(shù)據(jù)包以及主機(jī)日志等在攻擊行為發(fā)生時顯現(xiàn)出來的系統(tǒng)/數(shù)據(jù)特征。

（3）安全狀態(tài)。包括攻擊者的狀態(tài)及被攻擊目標(biāo)的狀態(tài)，例如攻擊行為發(fā)生的前提是攻擊者當(dāng)前的初始權(quán)限，攻擊行為發(fā)生危害是改變了初始權(quán)限及安全狀態(tài)。

（4）代碼實(shí)例。在攻擊過程中，模擬平臺能夠直接調(diào)用，即實(shí)現(xiàn)具體攻擊行為的代碼實(shí)例。

（5）安全漏洞。描述攻擊行為所依附的漏洞宿主，包含漏洞宿主的網(wǎng)絡(luò)應(yīng)用、操作系統(tǒng)和軟硬件。

（6）攻擊行為間關(guān)聯(lián)關(guān)系。攻擊樣本庫通過對攻擊行為間的前后依賴關(guān)系進(jìn)行描述，實(shí)現(xiàn)對攻擊過程的模擬，對攻擊者在某個步驟所能夠選擇的攻擊手段進(jìn)行正確刻畫[16]。攻擊樣本知識庫的架構(gòu)如圖1所示。

圖1 攻擊樣本庫的體系構(gòu)架

4 結(jié) 論

通過深入分析電力工控系統(tǒng)入侵攻擊的攻擊機(jī)理和特征，基于攻擊對象、攻擊危害、攻擊手段的不同進(jìn)行攻擊分類研究，并采用面向?qū)ο蟮姆椒▉順?gòu)建攻擊樣本知識庫，引入具體攻擊行為、攻擊特征、攻擊代碼實(shí)例和利用的安全漏洞等對象類來描述攻擊過程。電力工控攻擊分類及攻擊樣本庫的建立能夠為后續(xù)攻擊模擬奠定基礎(chǔ)，更好地分析攻擊場景。