nessus安全工具主要用途_发电技术 | 发电厂DCS 网络安全评估与防护

区块链 | 方 响等 分布式新能源接入下的区块链共识机制研究

区块链 | 颜 拥等 基于区块链的电力数据保全应用研究

区块链 | 能源互联网中的区块链应用：优势、场景与案例

《浙江电力》2019年第11期目录及重点关注文章

  征文 |“储能技术规模化应用技术”专题征文通知

《浙江电力》唯一官方投稿网站：http://www.zjdl.cbpt.cnki.net/

发电厂DCS 网络安全评估与防护

蔡钧宇，苏 烨，尹 峰，陈 波 (国网浙江省电力有限公司电力科学研究院，杭州 310014) 本文引文信息：蔡钧宇, 苏烨, 尹峰等. 发电厂DCS 网络安全评估与防护[J]. 浙江电力, 2019, 38(11):109-114.

0 引言

电力行业是我国引入DCS(分散控制系统)比较早的行业之一，由于其高可靠性、开放性、灵活性、易于维护、控制功能完善等特点，在改造传统产业和产业结构调整时成为首选方案。随着DCS 技术的不断改进和发展，新一代DCS 基于开放的技术标准，广泛使用Windows 操作系统、以太网和OPC(过程控制对象链接与嵌入)，然而，这些通用技术和标准的使用加剧了DCS 控制网络的信息安全风险[1]。

针对DCS 网络安全评估和系统的漏洞挖掘，GB/T 33009.3—2016《工业自动化和控制系统网络安全集散控制系统(DCS)第3 部分：评估指南》的第6.1 节(DCS 资产识别)和第6.2 节(DCS 脆弱性)指出了评估的相关要求[2]。由于发电厂的控制网络具有“永远在线”的性质，以及发电厂控制系统高可用性要求的特点，因此必须对发电厂的DCS 网络架构和控制流程有深入的了解方可进行安全评估测试。此外，虽然防火墙、入侵检测系统、虚拟专用网络和其他技术都可以帮助保护控制网络免受恶意攻击，但是在DCS 环境中未经测试和验证的不正确配置或措施会严重妨碍其发挥安全效用，在安全评估测试中必须加以考虑。

根据发电厂现场DCS 安全评估项目的具体要求，选取了2 种适合运营维护阶段的安全评估技术[3]：网络安全架构评审和基于工具的自动外部应用程序扫描。在网络安全架构评审的具体实践中，利用在线资产发现生成的动态网络拓扑替代了通常由运营方提供的静态网络架构拓扑，这样即得到了网络真实的拓扑结构，同时还可以发现静默设备或潜在的非法接入设备。在基于工具的自动外部应用程序扫描技术的漏洞挖掘过程中，通过对核心设备的安全漏洞扫描发现了多个急需解决的漏洞和安全隐患，并在此基础上，利用漏洞扫描工具的扩展功能，对常规测试例进行扩展，结合不同用途的工具发现DCS 控制器的通信缺乏认证机制的严重问题。

1 发电厂控制系统概况

本次安全评估以火电厂DCS 为测试对象，火电厂的主控DCS 包括DAS(数据采集系统)、MCS(模拟量控制系统)、FSSS(炉膛安全与监控系统)、SCS(顺序控制系统)、ECS(厂用电监控系统)、ETS(汽轮机紧急跳闸保护系统)以及DEH(数字电调系统)等。辅控DCS 包括水务、输煤、除灰除渣、脱硫等子系统[4]。辅控DCS 和机组DCS 类似，为了更直观地展示，图1 中将辅控系统和其他系统简化掉。图1 中有若干测试点a—f，这些测试点作为测试所属网络或子网络的在线资产发现和核心设备漏洞扫描的网络接入点。

火电厂的监控系统包括生产过程控制级、生产过程操作级和管理信息系统。其中生产过程控制级中的控制器，例如图1 所示的Ovation 控制器，接收现场传感器或变送器发送的数据，根据一定的控制策略计算出所需的控制量，并且向执行设备发送控制指令；生产过程操作级包括工程师站、操作员站、历史数据服务器和打印机等辅助设备；监控管理系统包括各种应用服务器和管理计算机等。3 个层级分别对应了控制网络、监控网络和管理网络。

图1 火电厂监控系统简化网络

2 DCS 安全评估主要内容

针对发电厂DCS 的安全评估通常包括物理安全、主机安全、网络安全、OPC 安全、控制器安全、上位机工业控制系统及终端、系统能力测试等多个方面[5-6]。本次DCS 安全评估的关注点是DCS 核心设备，即控制器和上位机的安全评估。

2.1 安全评估技术的选择

常见的安全评估技术按照评估深度由浅到深的排序如表1 所示。根据DCS 整个生命周期不同阶段的特点需要考虑采用适合的安全评估技术。

表1 安全评估技术

鉴于发电厂DCS 处于运营使用阶段，因此选取了2 项适用于被检测对象处于运营使用阶段并且符合发电厂特殊生产环境要求的评估技术：网络安全架构评审和基于工具的自动外部应用程序扫描。

网络安全架构的评审是根据运营者提供的网络拓扑图来分析网络部署是否符合网络分区和隔离的原则，是否提供足够的边界保护措施以及防火墙的设置和其他网络隔离手段是否充分合理[7]。然而，运营商提供的静态网络拓扑图未必能够真实反映网络连接状况，容易忽略实际存在但网络拓扑图中被遗忘或潜在非法连接的设备。为此，需要通过在线资产发现手段提供最真实的DCS网络架构拓扑作为网络安全架构评审的依据，更直观地了解发电厂DCS 网络基础架构的缺陷以及需要升级和替换的薄弱环节。

自动外部应用程序扫描是利用自动化开源或商业软件发现业界已知的应用漏洞[8-9]。在本次发电厂DCS 网络安全评估中，自动外部应用程序扫描使用的是Nessus 和Achilles 2 种工具。采用这种评估技术的好处是：能快速识别设备中存在的已知漏洞；能够自动定期运行，提供漏洞的基准和持续管理指标；工具提供商的漏洞数据库可以基于公共漏洞资源，不断更新检测工具的漏洞数据库。但是常规测试例也有一定的局限性，不能发现零日漏洞，需要测试人员根据具体测试场景自定义测试例，因此需要测试人员深入了解测试对象的工作原理和工作流程并具备使用脚本语言开发自定义测试例的能力。

2.2 在线资产发现

2.2.1 方法选择

在线资产发现，特别是自动执行持续性的资产发现是对传统网络安全架构评审的改进，在线资产发现包括被动扫描和选择性探查2 种方式[10]。

所谓被动扫描其实并没有网络扫描的行为，而是嗅探所有网络流量并对其进行解析，以获取可用于识别端点和流量模式的数据。被动扫描资产发现所需的元数据深藏在流量之中，查找用于识别设备品牌、型号、固件版本等信息是一项艰巨的任务，并且无法检测到静默设备，更无法准确发现设备的应用程序和安全补丁。此外，若静默设备检测期间没有发送消息，那么它就不会出现在物理层和数据链路的网络拓扑中。

选择性探测是使用合法协议和访问凭证来探测网络设备，包括网络交换机和路由器。它充分利用了以下几点：工业控制环境中几乎所有相关协议都具有从固件版本的特定位置查询产品标识中元数据的功能，例如Modbus，Ethernet/IP，Profinet 和DNP3。这同样适用于DCS 网络中使用的IT 协议，例如SNMP(简单网络管理协议)和WMI(Windows 管理规范)。即使一些厂家的专有协议也具有查询元数据的特定功能，甚至还有专门为发现配置细节而设计的协议，例如链路层发现协议、思科发现协议。在具体测试过程中，选择性探测并非持续地分析所有网络流量，而是发送一次适当的探测调用，然后收集并处理相关的响应。与解析设备元数据的所有网络流量不同，对这些探测的响应仅包含需要的资产信息。

本次发电厂DCS 的网络安全评估最终确定采用选择性探测，原因是：可以检测静默设备；使用特定的协议能够可靠地枚举固件版本、软件应用程序和安全补丁；可以准确地映射网络拓扑，包括第1 层和第2 层特征。

2.2.2 具体实施及结果

在实施发电厂某机组DCS 的在线资产发现时，采用了Zenmap 工具，即跨平台NMAP 安全扫描工具的图形界面版本。目的是获取该网段中所有的设备网络信息，包括IP 地址、开放端口和MAC(介质访问控制)地址，查看是否有未知或未授权的设备隐藏在发电机组的控制网络中。

通过对某机组DCS 网络的扫描，获取了网络内全部主机的IP 地址、MAC 地址和开放端口号，其中包括了全部控制器、工程师站、历史数据服务器等，并由此生成DCS 网络拓扑结构，本项测试并未发现未知的设备。

2.3 核心设备的漏洞扫描

2.3.1 漏洞扫描工具选择

核心设备的漏洞扫描主要采用了3 种工具：Nessus，Achilles 和Wireshark。表2 是本次漏洞扫描所使用的3 种工具的主要功能及其应用场景。

表2 漏洞扫描工具简介

2.3.2 漏洞扫描测试环境

图1 中测试点c—f 是测试工具Nessus 在控制网络的接入位置，用于实现对控制器的漏洞扫描；测试点b 是测试工具Nessus 在监控网络中的接入位置，用于实现对工程师站的漏洞扫描；测试点a 是测试工具Nessus 在管理网络中的接入位置，用于实现对管理网络上联网设备的漏洞扫描[11]。鉴于本项目主要针对控制系统网络，因此没有对管理网络进行漏洞扫描。

2.3.3 DCS 控制器模块的漏洞扫描

对于DCS 控制器本身来说，漏洞通常是软件缺陷和错误的配置所引起的，对DCS 控制器模块的漏洞扫描就是模仿攻击数据流发送给控制器模块，来检查控制器能否正确应对处理以保证控制过程的可用性、完整性和保密性。

对运行中的DCS 控制器进行漏洞扫描可能会导致整个系统的可用性遭到破坏，因此选择冗余系统的控制器模块进行检测，即使由于漏洞扫描导致DCS 控制器不能正常工作也不会影响发电厂的正常运行。同时，还需要对每个测试例可能产生的最坏结果做好应对措施，另外在测试例的选择上要考虑实验对象的耐受程度[12]。

利用Nessus 对控制器进行漏洞扫描后，发现了3 个高危漏洞、4 个中等危险漏洞和1 个低级漏洞，同时还发现了一些信息泄露的情况。

2.3.4 工程师站的漏洞扫描

利用Nessus 对工程师工作站进行漏洞扫描后，发现了1 个高危漏洞、3 个中等危险漏洞。

测试过程中模仿工程师站向控制器发送指令，利用Wireshark 对工程师站与控制器之间的数据流量进行抓取和分析，获得含有关键操作“强制开启阀门”及“强制关闭阀门”指令的数据包，然后使用Achilles 的用户自定义测试功能，构建关键操作指令测试例，对控制器进行发包测试[13]。Achilles 将测试用例的数据包发送至相关控制器，在工程师站上可以看到相应阀门已经接受并执行了指令[14]。

2.4 测试结果分析

2.4.1 在线资产发现

此次在线资产发现的结果没有发现被遗忘或隐藏在DCS 网络上的静默设备，在线资产发现测试结果与已知的DCS 网络设备连接状态吻合，从而证实了在线资产发现测试的有效性，利用在线资产发现结果可以得到当前真实网络拓扑结构。

2.4.2 核心设备存在的漏洞

表3 和表4 分别是运行常规测试例发现的控制器和工程师站的漏洞列表。

从2.3.4 节模仿命令测试发现的设备漏洞中可以看到，控制器在执行来自工程师站的指令时没有鉴权机制，它可以接受符合协议格式的命令并且执行命令中要求的动作，这意味着任何能够访问到控制器的设备只要了解控制器接受的命令格式就可以发送非法指令，破坏正常的生产流程，这个模仿命令的测试证实了DCS 网络中存在一个严重的安全漏洞，当DCS 设备厂家暂时无法提供通信认证机制时，就必须针对DCS 网络访问有严格的安全防护机制才能降低这个漏洞带来的安全风险。

表3 OVATION 控制器漏洞

表4 工程师站漏洞

2.4.3 漏洞特征分析

从文中列举的DCS 网络核心设备控制器和工程师站安全漏洞中可以发现以下几个明显的特征：

(1)在控制器和工程师站发现的漏洞是存在已久的漏洞，例如“SNMP 代理默认社区名称(公共)”早在1990 年就已出现，“FTP 特权端口回退扫描”漏洞于1999 年就被发现，但问题依然存在，说明DCS 厂商并没有彻底解决已知漏洞。

(2)有些陈旧的不安全服务依然存在于DCS核心设备上，没有及时更新或加以限制，比如rlogin 和Telnet 的服务[15]。

(3)大部分被发现的漏洞可以通过补丁程序或正确的配置加以解决，有些已经付诸行动，比如工程师站没有开放SNMP 在UDP(用户数据报协议)和TCP(传输控制协议)的端口，这说明已经可以规避“SNMP 代理默认社区名称(公共)”漏洞带来的问题。

(4)DCS 控制器对于来自网络的控制命令没有认证机制，任何能够访问控制网络的设备模仿工程师站发送给控制器的指令都能得到执行，此时生产过程和生产安全面临巨大的风险，需要采取更严格的DCS 网络访问安全控制。

(5)有些不安全的协议，例如XDCMP 不应在网络上使用，但是可以利用SSH(安全外壳)隧道使用XDCMP 显示桌面[16]。SSH 不仅安全，而且隧道允许通过许多防火墙限制，这些限制通常会阻止XDMCP。

2.4.4 漏洞扫描结果的适用范围

在本次测试中，漏洞扫描被测设备是西屋公司的OVATION3.5 控制器，位于发电厂生产过程控制网络，以及基于Solaris 操作系统的工程师工作站，该工作站属于生产过程操作级的。

3 结语

利用网络安全架构评审和基于工具的自动外部应用程序扫描2 种安全评估技术手段，通过在线资产发现获得了实时准确的网络安全架构和在线资产的可靠信息，如果这一技术手段能够长时间应用在DCS 控制网络中则可以随时获得动态的DCS 网络资产信息。而DCS 网络核心设备漏洞扫描，发现已经存在了很久的漏洞，这些漏洞对于外部的攻击者来说是容易攻击的，而内部人员也可能利用这些漏洞对DCS 系统造成生产过程的破坏或信息泄露。通过编写脚本构建自定义测试例发现DCS 控制器在接收上位机指令时没有认证机制的漏洞，有效弥补了现有商用漏洞扫描工具的欠缺。

总之，此次安全评估验证了在线资产发现以及利用漏洞扫描工具特别是自定义测试例的有效性和优越性，其次证实了发电厂的DCS 控制系统是存在安全风险的，有些漏洞可以通过补丁和正确的配置来避免被利用，但是由于DCS 控制系统可能在短时间内无法支持对上位机的认证功能，那么只能从其他方面加强DCS 网络安全措施，阻止对DCS 网络的任何非法访问。

参考文献：(略)

DOI:10.19585/j.zjdl.201911018

开放科学(资源服务)标识码(OSID)：

基金项目：国网浙江省电力有限公司科技项目(5211DS17000Z)

作者简介：蔡钧宇(1990)，男，工程师，从事人工智能方向研究工作。

往期热点

电力市场 | 基于全成本分析的广东燃气机组发电合同转让交易套利探究及启示 电气设备 | 基于参数自适应动态差分进化算法的变压器局放源定位 发电技术 | 基于最小二乘支持向量机的汽轮机低压缸排汽焓计算 电力市场 | 基于多源流理论的中国电力现货市场政策制定框架与关闭风险 新能源 | 基于单极MMC 拓扑的光伏并网系统仿真分析 案例分享 | 一起多端柔性直流输电系统短路故障分析 泛在电力物联网 | 基于IACO-ABC 算法的变电站巡检机器人路径规划

电工新材料 | 环氧树脂纳米复合材料电气性能研究综述

大数据 | 基于数据挖掘的配电网线路台风故障影响分级评价

分布式发电 | 杭州数据中心燃气分布式能源典型方案及经济性分析

好文推荐 | 基于对抗生成网络与BP 神经网络的低压台区线损率预测

电力电子  |  碳化硅IGBT 电力电子器件封装和绝缘研究综述

大数据 | 基于大数据背景的集中监控辅助决策系统研究

泛在电力物联网 | 张彩友等 500 kV 变电站泛在电力物联网应用技术研究

泛在电力物联网 | 上海交通大学江秀臣教授：输配电设备泛在电力物联网技术思考与应用

专家讲坛 | 浙江大学江全元教授：泛在电力物联网的若干思考

人工智能 | 电力文本数据挖掘现状及挑战

本文为原创作品，纸媒、网站、微博、微信公众号转载、摘编我编辑部的作品，务必请提前联系我编辑部。个人请按本微信原文转发、分享。