關(guān)于工控系統信息安全在智能電網(wǎng)環(huán)境下的探究論文

　　1 概述

　　隨著(zhù)信息化新技術(shù)在電網(wǎng)中廣泛的使用，智能終端的接入數量和接入方式不斷增多，在給用戶(hù)帶來(lái)便利的同時(shí)，也引入了大量安全風(fēng)險和新的挑戰，工控系統面臨的網(wǎng)絡(luò )安全威脅和風(fēng)險也日益突出，所以開(kāi)展智能電網(wǎng)環(huán)境下，工控系統信息安全防護研究迫在眉睫。

　　2 系統簡(jiǎn)介

　　用電信息采集智能終端和配電自動(dòng)化終端在系統組成上基本一致，典型的電力配用電智能設備的組成從結構上可分為三層：物理層、系統層、業(yè)務(wù)層。

　　終端設備一般由相關(guān)的物理硬件及其配套的軟件構成，軟件部分可分為系統層和業(yè)務(wù)層兩個(gè)層次。配用電智能設備的安全運行必須保障這些主要組成部分的安全性，一旦某一層次出現安全問(wèn)題，都會(huì )造成整個(gè)設備運行出現異常。

　　3 安全威脅分析

　　智能電網(wǎng)重要特點(diǎn)就是要求計算設備隨時(shí)聯(lián)網(wǎng)，網(wǎng)絡(luò )化使得攻擊者可以隨時(shí)發(fā)起攻擊;另外一方面，隨著(zhù)集成電路等工業(yè)技術(shù)的提高，嵌入式系統越來(lái)越智能化，這也給攻擊者植入病毒、木馬帶來(lái)了便利。近年來(lái)，在國內外由于嵌入式系統造成的電力系統事故屢有發(fā)生，比如有著(zhù)名的伊朗Stuxnet震網(wǎng)病毒事件，該病毒專(zhuān)門(mén)針對PLC設備攻擊，通過(guò)修改PLC來(lái)改變工業(yè)生產(chǎn)控制系統的行為，一度導致伊朗核電站推遲發(fā)電。

　　下面分別對物理層、系統層、業(yè)務(wù)層進(jìn)行說(shuō)明。

　　3.1 物理層

　　物理層提供了系統運行的物理環(huán)境，為上層業(yè)務(wù)功能的實(shí)現提供了直接計算環(huán)境，包括CPU、主板、存儲器、電源等，其一般MCU方式實(shí)現，在體系結構上主要以ARM為主，存儲器一般采用容量較小的FLASH。

　　(1)外圍接口脆弱性。外圍接口包括人機接口、通訊接口、控制/采集接口等，人機接口一般為按鍵、顯示屏、開(kāi)關(guān)等方式，提供管理人員對設備配置和控制功能;通訊接口包括RS232、RS485、載波、光纖、無(wú)線(xiàn)等方式，主要用于配用電智能設備與外界進(jìn)行通訊;控制/采集接口采用電路方式與被控制的電力設備連接，用于采集電力設備的工作狀態(tài)以及發(fā)送控制電信號。應對方法，根據具體工作環(huán)境加強物理保護裝置外殼、物理鎖等物理保護裝置。

　　(2)外設接入脆弱性。終端設備安裝位置多在用戶(hù)側或外人很容易接觸的地方，如果沒(méi)有對U盤(pán)等存儲介質(zhì)的使用進(jìn)行有效管理，會(huì )導致病毒傳播問(wèn)題;如果系統的管理維護中沒(méi)有到達一定安全基線(xiàn)的筆記本電腦接入到系統，也有可能會(huì )對系統的安全造成很大的威脅。應對方法，對外設進(jìn)行嚴格的控制。通過(guò)技術(shù)及管理手段實(shí)現移動(dòng)存儲介質(zhì)、軟件黑白名單、網(wǎng)絡(luò )準入控制、安全配置管理等。

　　3.2 系統層

　　電力配用電智能設備一般采用專(zhuān)用嵌入式操作系統，目前采用的嵌入式操作系統包括嵌入式LINUX、VXWORKS等，這些系統一般經(jīng)過(guò)裁剪，能夠與底層專(zhuān)用硬件對接，并去掉了不需要的功能。但為了方便設備管理操作，開(kāi)啟了一些自帶的系統服務(wù)，一般包括Telnet、FTP、HTTP等服務(wù)。在系統層主要面臨以下風(fēng)險。

　　(1)操作系統脆弱性。終端設備操作系統多基于vxworks、linux等，某些操作系統版本存在已知的安全漏洞。如Vxworks WDB漏洞，如果編譯選項中包含了INCLUDE_WDB和ICLUDE_DEBUG，則會(huì )默認打開(kāi)WDB調試功能，提供讀寫(xiě)內存和執行函數的功能。允許攻擊者通過(guò)WDB調試端口(UDP17185)讀寫(xiě)內存、執行函數或使系統重啟。但由于考慮到系統兼容性問(wèn)題、系統重啟等風(fēng)險，所以設備安裝后系統不打補丁、帶病運行的情況是很常見(jiàn)的。應對方法是在保證系統安全的前提下及時(shí)更新操作系統補丁。

　　(2)病毒防護脆弱性。終端設備的操作系統基于存儲容量、性能和兼容性考慮，通常不安裝殺毒軟件，有感染病毒與惡意代碼的風(fēng)險。但隨著(zhù)現代工業(yè)與互聯(lián)網(wǎng)融合加深，工控系統由傳統的相對封閉轉向開(kāi)放，即使有些系統仍相對孤立封閉，但是通過(guò)U盤(pán)擺渡等方式，仍然存在遭受病毒、木馬攻擊的可能性。應對方法，在接入的主機上安裝防病毒軟件并定期更新補丁等。

　　(3)FTP攻擊。FTP攻擊分為弱口令漏洞攻擊和FTP服務(wù)器的溢出。FTP弱口令指開(kāi)啟了FTP的匿名登錄功能，或系統口令的長(cháng)度太短或者復雜度不夠。FTP弱口令漏洞可能造成包括系統配置，證書(shū)等敏感信息泄露。使用時(shí)應對時(shí)應禁用FTP匿名登錄，并且設置復雜密碼。FTP服務(wù)器的溢出漏洞指當用戶(hù)成功登錄系統，FTP服務(wù)器處理命令時(shí)缺少正確的邊界檢查，攻擊者可以構造特殊的請求數據，觸發(fā)緩沖區溢出，以FTP進(jìn)程權限在系統上執行任意代碼。應對時(shí)應跟蹤漏洞庫信息，及時(shí)更新漏洞補丁。

　　3.3 業(yè)務(wù)層

　　業(yè)務(wù)層實(shí)現了具體的業(yè)務(wù)功能，主要包括：業(yè)務(wù)系統：提供了具體的業(yè)務(wù)處理功能，能夠通過(guò)專(zhuān)用標準規約與主站進(jìn)行通訊，能夠采集電力設備運行狀態(tài)和進(jìn)行控制指令的執行;管理系統：提供了配置管理功能，包括命令行、WEB、遠程等多種管理方式;數據存儲：包括小型文件數據庫、配置文件、數據文件等內容。

　　(1)SQL注入。SQL注入是一種最常見(jiàn)的Web漏洞，實(shí)現方式就是用戶(hù)在輸入的字符串中增加SQL命令，程序沒(méi)有很好的對用戶(hù)輸入的合法性進(jìn)行判斷或者處理不當，那么這些注入進(jìn)去的SQL命令就會(huì )被數據庫當作正常的SQL命令運行，而不是按照設計者本意去執行SQL語(yǔ)句。通過(guò)構造巧妙的SQL語(yǔ)句，用戶(hù)可以獲得敏感數據或者控制整個(gè)服務(wù)器。

　　(2)跨站攻擊�？缯竟�擊指的是當Web程序對用戶(hù)輸入過(guò)濾不足時(shí)，攻擊者通過(guò)在輸入中插入HTML和JavaScript腳本，可以在某個(gè)頁(yè)面里插入惡意HTML代碼，其他合法用戶(hù)通過(guò)瀏覽器訪(fǎng)問(wèn)該頁(yè)面時(shí)，注入的腳本將被解釋執行。相對于其他的攻擊，跨站漏洞的目標是應用程序的用戶(hù)，而不是直接針對服務(wù)器。

　　(3)代碼注入。代碼注入同樣是由于程序缺乏對用戶(hù)輸入的過(guò)濾造成的。攻擊者在發(fā)送給應用程序的數據中注入代碼，導致了代碼執行。以上幾種注入攻擊比較難以發(fā)現，它們表面看起來(lái)跟正常的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區別，所以可以順利通過(guò)防火墻的檢查。但通過(guò)以下方法可以有效防御：不要信任用戶(hù)的輸入，對用戶(hù)的輸入進(jìn)行校驗，轉義特殊字符;運行數據庫和Web服務(wù)時(shí)應使用較低權限用戶(hù);敏感數據不要使用明文存儲;對原始錯誤信息進(jìn)行封裝;采取WAF防火墻。

　　(4)越權訪(fǎng)問(wèn)是指在遠程維護與控制電力終端設備時(shí)，需通過(guò)管理員賬戶(hù)驗證登錄WEB客戶(hù)端。WEB客戶(hù)端中每一項控制命令、參數設置都對應一個(gè)頁(yè)面鏈接。在操作過(guò)程中可能出現通過(guò)輸入頁(yè)面地址直接實(shí)現相應的控制命令或參數設置，從而繞過(guò)管理員賬戶(hù)驗證，獲得管理員權限，并直接對電力終端設備進(jìn)行操作控制、參數篡改、數據竊取等攻擊。理清程序訪(fǎng)問(wèn)控制邏輯，判斷訪(fǎng)問(wèn)頁(yè)面的用戶(hù)是否具有適當的權限。

　　4 結束語(yǔ)

　　近年來(lái)，隨著(zhù)電網(wǎng)信息化建設發(fā)展，工控系統安全防護體系逐步完善，按照“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”的原則，對電力生產(chǎn)控制系統的邊界采取了有效的安全防護措施及縱深防御策略。但是，隨著(zhù)工業(yè)控制系統和設備中新的漏洞、后門(mén)等脆弱性信息的發(fā)現和披露，電網(wǎng)工業(yè)控制系統面臨如APT等更加隱蔽的攻擊風(fēng)險。確保工控系統信息安全對提高企業(yè)信息安全整體水平、保證用戶(hù)的用電安全具有非常重要的意義。

【工控系統信息安全在智能電網(wǎng)環(huán)境下的探究論文】相關(guān)文章：

電網(wǎng)企業(yè)成本管理探究性論文12-07

智能電網(wǎng)用戶(hù)端通信技術(shù)論文11-08

Windows 95下智能數據采集系統03-19

計算機信息安全技術(shù)及防護探究論文11-13

電算化信息系統環(huán)境下內部控制的研究03-19

網(wǎng)絡(luò )環(huán)境下供給鏈治理信息系統建構03-24

帶有電網(wǎng)諧波分析功能的智能多電源監控系統03-19

城軌信號系統信息安全技術(shù)方案論文05-04

電力工程信息化下的審計標準化探究論文11-12

現代信息技術(shù)環(huán)境下創(chuàng )新教育的論文11-30