針對(duì)縱向加密裝置的網(wǎng)絡(luò)安全威脅分析

陸子成，張鐵龍，程 夏

(1.廣西電網(wǎng)有限責(zé)任公司崇左供電局，廣西 崇左 532200；2.南京南瑞繼保電氣有限公司，江蘇 南京 211100)

?

針對(duì)縱向加密裝置的網(wǎng)絡(luò)安全威脅分析

陸子成1，張鐵龍1，程 夏2

(1.廣西電網(wǎng)有限責(zé)任公司崇左供電局，廣西 崇左 532200；2.南京南瑞繼保電氣有限公司，江蘇 南京 211100)

縱向加密裝置是電力二次系統(tǒng)網(wǎng)絡(luò)安全的重要保證，針對(duì)縱向加密裝置的攻擊直接影響電力調(diào)度數(shù)據(jù)網(wǎng)的穩(wěn)定運(yùn)行。文章闡述了縱向加密裝置的主要性能指標(biāo)，著重圍繞針對(duì)其可用性的威脅展開(kāi)分析，并將此類(lèi)威脅定義為拒絕服務(wù)威脅，進(jìn)一步給出拒絕服務(wù)攻擊的兩種類(lèi)型及其特征?；诳v向加密裝置拒絕服務(wù)攻擊的特點(diǎn)，給出了有針對(duì)性的防御措施。

縱向加密裝置；拒絕服務(wù)；網(wǎng)絡(luò)安全；漏洞

0 引言

按照國(guó)家電力監(jiān)管委員會(huì)頒布的《電力二次系統(tǒng)安全防護(hù)規(guī)定》要求，國(guó)家電網(wǎng)公司、南方電網(wǎng)公司、各發(fā)電企業(yè)陸續(xù)在調(diào)控主站、調(diào)度數(shù)據(jù)網(wǎng)和變電站端有針對(duì)性地部署了縱向加密認(rèn)證裝置、橫向隔離裝置和防火墻等二次系統(tǒng)安全防護(hù)設(shè)備。二次系統(tǒng)安全防護(hù)設(shè)備成為落實(shí)電力系統(tǒng)網(wǎng)絡(luò)安全的重要支撐，因此二次安防設(shè)備的可靠性、穩(wěn)定性、自身安全性直接影響電力二次系統(tǒng)的穩(wěn)定運(yùn)行，特別是縱向加密認(rèn)證裝置直接關(guān)系安全I(xiàn)區(qū)的縱向數(shù)據(jù)交互，研究縱向加密認(rèn)證裝置的安全相關(guān)性能具有重要意義。

目前與縱向加密認(rèn)證裝置有關(guān)的研究多圍繞加密技術(shù)或縱向加密裝置的使用展開(kāi)，對(duì)于縱向加密裝置可用性、安全性的研究較少。由于縱向加密裝置是進(jìn)入變電站監(jiān)控系統(tǒng)的必經(jīng)之路，所以其往往成為黑客或不法分子攻擊的重點(diǎn)對(duì)象。

1 縱向加密裝置的潛在威脅

縱向加密裝置的主要功能是在調(diào)度主站和變電站數(shù)據(jù)網(wǎng)關(guān)(遠(yuǎn)動(dòng)裝置/保護(hù)信息子站)中的網(wǎng)絡(luò)中建立一條加密隧道，用以傳輸變電站運(yùn)行數(shù)據(jù)和調(diào)度主站控制指令，同時(shí)拒絕白名單外的網(wǎng)絡(luò)連接和數(shù)據(jù)報(bào)文[1]。證書(shū)和加密算法是加密隧道可靠性的保證，其中加密算法是核心技術(shù)，由國(guó)家商用密碼管理局授權(quán)提供。

縱向加密裝置的性能指標(biāo)主要有兩點(diǎn)：(1)可用性，能否對(duì)外提供過(guò)濾和加密服務(wù)，能否處理并發(fā)的多個(gè)連接和大吞吐量數(shù)據(jù)；(2)安全性，通過(guò)縱向加密傳輸?shù)臄?shù)據(jù)能否確保不泄露、不篡改、不丟失[2]。

鑒于加密算法的相對(duì)高安全性，攻擊加密隧道成本極高，攻擊者不會(huì)選擇暴力破解加密算法或攻擊加密隧道的途徑。因此針對(duì)縱向加密裝置安全性的攻擊行為不是縱向加密裝置主要的安全威脅，通過(guò)加密隧道傳輸?shù)臄?shù)據(jù)安全性是有保證的。但現(xiàn)有運(yùn)行管理機(jī)制中，電子證書(shū)的交換傳遞需要通過(guò)IC卡介質(zhì)，這個(gè)過(guò)程涉及諸多環(huán)節(jié)，存在被惡意分子利用的隱患。

縱向加密裝置的可用性可以理解為兩點(diǎn)：(1)作為一臺(tái)網(wǎng)絡(luò)中間設(shè)備能夠正常傳輸數(shù)據(jù)；(2)作為一臺(tái)網(wǎng)絡(luò)安全設(shè)備應(yīng)能對(duì)其傳輸?shù)臄?shù)據(jù)提供加密和過(guò)濾功能[3]。因此針對(duì)縱向加密裝置的可用性攻擊可以考慮兩個(gè)方面，一方面令縱向加密裝置無(wú)法正常傳輸網(wǎng)絡(luò)數(shù)據(jù)，另一方面如果縱向加密裝置可以傳輸數(shù)據(jù)，令其無(wú)法對(duì)傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行加密或進(jìn)行有效過(guò)濾。這兩種攻擊方向均可以視為對(duì)縱向加密裝置提供服務(wù)能力的攻擊，令縱向加密裝置失去或下降服務(wù)能力，成為事實(shí)上的拒絕服務(wù)攻擊。

縱向加密裝置的典型應(yīng)用場(chǎng)景如圖1所示，調(diào)度數(shù)據(jù)網(wǎng)的數(shù)據(jù)通過(guò)路由器后進(jìn)入變電站的縱向加密裝置，縱向加密裝置對(duì)其進(jìn)行過(guò)濾和解密后交給變電站數(shù)據(jù)網(wǎng)關(guān)機(jī)進(jìn)行處理。當(dāng)攻擊者物理位置處于變電站外時(shí)，可以實(shí)施圖1中的兩種攻擊，達(dá)到令縱向加密裝置拒絕服務(wù)的目的。Attack1 截?cái)嗍且环N傳統(tǒng)、直接的拒絕服務(wù)攻擊方式，Attack2 旁路利用某種方式使縱向加密裝置停止過(guò)濾或加解密通信報(bào)文，達(dá)到旁路直接通信的目的，視為一種間接拒絕服務(wù)攻擊方式。

圖1 縱向加密裝置典型應(yīng)用場(chǎng)景

2 直接拒絕服務(wù)攻擊

網(wǎng)絡(luò)設(shè)備均有標(biāo)稱(chēng)的數(shù)據(jù)處理能力，在其處理能力范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)流量才能被正常處理，縱向加密裝置作為一種網(wǎng)絡(luò)設(shè)備也不例外。一般而言，縱向加密裝置分為百兆型(普通型)和千兆型(增強(qiáng)型)，百兆型的明密文吞吐量分別為95 Mb/s和25 Mb/s，千兆型的明密文吞吐量分別為340 Mb/s和80 Mb/s。這兩款設(shè)備相比于專(zhuān)業(yè)的抗DOS攻擊設(shè)備，抵御DDOS攻擊的能力偏弱。攻擊者可以考慮利用TCP/IP、UDP、NTP等協(xié)議的漏洞，采用SYN flood、ACK flood、ICMP flood、UDP flood、NTP flood、DNS flood等攻擊方式對(duì)縱向加密裝置發(fā)起攻擊，可以迅速令縱向加密裝置癱瘓，失去服務(wù)能力[4]。

由于電力調(diào)度數(shù)據(jù)網(wǎng)與公眾網(wǎng)物理分隔，攻擊者難以利用公眾網(wǎng)上的肉雞資源。同時(shí)調(diào)度數(shù)據(jù)網(wǎng)的服務(wù)器資源較少，一般均部署具備一定防御能力的防火墻或路由設(shè)備，因此攻擊者在調(diào)度數(shù)據(jù)網(wǎng)直接捕獲肉雞的難度較高，且肉雞轉(zhuǎn)換攻擊能力較低。通過(guò)傳統(tǒng)方式在調(diào)度數(shù)據(jù)網(wǎng)發(fā)起DDoS攻擊的成本較高，實(shí)施難度較大，準(zhǔn)備周期較長(zhǎng)。單個(gè)黑客或團(tuán)體難以實(shí)施此類(lèi)型網(wǎng)絡(luò)攻擊，但不排除有組織的團(tuán)體或強(qiáng)力機(jī)構(gòu)實(shí)施上述攻擊，并與其他攻擊方式組合，擴(kuò)大攻擊效果，以達(dá)到癱瘓電網(wǎng)的目的。2015年12月爆發(fā)的烏克蘭停電事件，攻擊者利用TDoS(電話拒絕服務(wù)攻擊)，使客戶(hù)服務(wù)中心的Web服務(wù)器癱瘓，延緩客戶(hù)報(bào)告停電情況，擴(kuò)大了停電事件的攻擊效果。黑客組織通過(guò)長(zhǎng)期的準(zhǔn)備工作，完成了對(duì)烏克蘭電網(wǎng)諸多節(jié)點(diǎn)服務(wù)器/設(shè)備的入侵，并把拒絕服務(wù)攻擊作為整套攻擊的一部分。

雖然電力調(diào)度數(shù)據(jù)網(wǎng)在設(shè)計(jì)結(jié)構(gòu)上與公眾網(wǎng)絡(luò)隔絕，但仍與電力企業(yè)信息網(wǎng)絡(luò)通過(guò)橫向隔離裝置相連。部分調(diào)控主站、電廠、廠礦的網(wǎng)絡(luò)架構(gòu)并沒(méi)有按照電監(jiān)會(huì)的要求進(jìn)行設(shè)計(jì)，或者具體部署時(shí)執(zhí)行不嚴(yán)格，這使得電力企業(yè)信息網(wǎng)的數(shù)據(jù)進(jìn)入調(diào)度數(shù)據(jù)網(wǎng)成為可能。如圖2所示，某地調(diào)主站采用2M專(zhuān)線直通接入變電站，進(jìn)行網(wǎng)絡(luò)部署調(diào)整時(shí)，誤將內(nèi)部信息網(wǎng)接入2M專(zhuān)線，大量數(shù)據(jù)流量進(jìn)入2M專(zhuān)線網(wǎng)，直接沖擊數(shù)據(jù)網(wǎng)關(guān)機(jī)，導(dǎo)致調(diào)度與站內(nèi)通信中斷。這一真實(shí)事故一方面說(shuō)明嚴(yán)格按照二次安防規(guī)范部署路由器、縱向加密裝置等設(shè)備的必要性，另一方面也說(shuō)明惡意攻擊者可以利用網(wǎng)絡(luò)架構(gòu)的缺陷，采用物理手段或入侵手段，將企業(yè)信息網(wǎng)或辦公網(wǎng)的流量引入調(diào)度網(wǎng)絡(luò)，當(dāng)數(shù)據(jù)流量達(dá)到一定負(fù)荷時(shí)，可以癱瘓路由器或縱向加密裝置，達(dá)到拒絕服務(wù)攻擊的效果。

圖2 調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

進(jìn)一步考慮，嚴(yán)格按照電網(wǎng)二次安全防護(hù)規(guī)定進(jìn)行部署，杜絕將非法流量自外部引入調(diào)度數(shù)據(jù)網(wǎng)，但調(diào)度數(shù)據(jù)網(wǎng)仍存在被入侵的可能，例如配網(wǎng)系統(tǒng)的通信節(jié)點(diǎn)遍布各配電箱、配電柜、配電室，其防護(hù)等級(jí)較低，入侵實(shí)施較為容易。一旦入侵成功，攻擊者可以使用IXIA、SPIRENT等品牌的網(wǎng)絡(luò)測(cè)試儀向縱向加密裝置打入大流量網(wǎng)絡(luò)報(bào)文，瞬間即可癱瘓縱向加密裝置。如果抓取縱向加密裝置正常工作時(shí)的密文流量，對(duì)縱向加密裝置進(jìn)行重放攻擊，當(dāng)重放流量大于25 Mb/s時(shí)，即可癱瘓縱向加密裝置。事實(shí)上，即使密文流量小于25 Mb/s，也足以干擾到縱向加密裝置的正常運(yùn)行，降低服務(wù)能力，也達(dá)到了拒絕服務(wù)攻擊的目的。

3 間接拒絕服務(wù)攻擊

目前國(guó)內(nèi)主流縱向加密裝置生產(chǎn)廠商均使用Linux作為其產(chǎn)品的操作系統(tǒng)。Linux作為開(kāi)源操作系統(tǒng)，具有使用靈活、自由裁剪、可伸縮性強(qiáng)的優(yōu)點(diǎn)?？v向加密裝置一旦投入使用，由于電力行業(yè)連續(xù)工作的特點(diǎn)，很難對(duì)其應(yīng)用程序或操作系統(tǒng)進(jìn)行升級(jí)。并且由于縱向加密裝置的應(yīng)用程序總是基于特定版本的Linux操作系統(tǒng)開(kāi)發(fā)，一旦升級(jí)操作系統(tǒng)，將牽涉很多環(huán)節(jié)，所以廠商也沒(méi)有升級(jí)程序的主觀動(dòng)力。雖然升級(jí)操作系統(tǒng)和應(yīng)用程序在主觀動(dòng)力和客觀條件上都不滿(mǎn)足，但Linux系統(tǒng)的漏洞是客觀存在的，老舊版本系統(tǒng)上的已知漏洞都是公開(kāi)的。

惡意攻擊者可以利用Linux已知漏洞入侵縱向加密裝置，也可以借助工具掃描應(yīng)用程序的潛在漏洞加以利用入侵縱向加密裝置。攻擊者成功入侵后，獲得權(quán)限提升，可以更改縱向加密裝置的配置，關(guān)閉縱向加密裝置的服務(wù)。例如，更改白名單中的IP和端口，令正常通信的合法報(bào)文被過(guò)濾丟棄。

利用漏洞入侵縱向加密裝置后，不僅可以令其停止正常服務(wù)，還可以實(shí)現(xiàn)其他方式的攻擊。例如偽造控制報(bào)文發(fā)送給遠(yuǎn)動(dòng)裝置，造成變電站內(nèi)開(kāi)關(guān)錯(cuò)誤分開(kāi)或合上；偽造遙信報(bào)文發(fā)送調(diào)度主站，令主站誤判變電站開(kāi)關(guān)、刀閘位置情況。

4 防御部署

隨著網(wǎng)絡(luò)攻擊手段的進(jìn)步，目前按照電網(wǎng)二次安全防護(hù)規(guī)定采取的安全措施并不足以應(yīng)對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)面臨的巨大威脅。應(yīng)注重二次安防設(shè)備自身的安全防護(hù)，尤其是縱向加密裝置的保護(hù)。在調(diào)度數(shù)據(jù)網(wǎng)和變電站監(jiān)控系統(tǒng)的網(wǎng)絡(luò)邊界上應(yīng)增加網(wǎng)絡(luò)安全設(shè)備，與縱向加密裝置互相配合，梯次配置。

如圖3所示，在路由器和縱向加密裝置間增加抗DDoS攻擊設(shè)備或具備抗DDoS攻擊能力的防火墻。抗DDoS攻擊設(shè)備負(fù)責(zé)抵御網(wǎng)絡(luò)攻擊，縱向加密裝置主要負(fù)責(zé)對(duì)通信報(bào)文的加解密工作，兩者分工協(xié)作，串行化部署。

圖3 防火墻防御

如圖4所示，可以進(jìn)一步在路由器與縱向加密裝置間串行部署IPS(入侵防御系統(tǒng))和防火墻。IPS側(cè)重于防御網(wǎng)絡(luò)邊界內(nèi)的入侵行為，防火墻側(cè)重分流針對(duì)縱向加密裝置的直接拒絕服務(wù)攻擊等網(wǎng)絡(luò)攻擊，縱向加密裝置主要負(fù)責(zé)維護(hù)加密隧道，進(jìn)行加解密工作。

圖4 防火墻與IPS組合防御

除了增加部署網(wǎng)絡(luò)安全設(shè)備，還應(yīng)嚴(yán)格落實(shí)二次安全防護(hù)相關(guān)規(guī)定，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，加強(qiáng)人員管理。相比于硬件設(shè)備投入，規(guī)章制度和人員管理更為重要和緊迫，值班人員一次隨意地?cái)y帶個(gè)人U盤(pán)插入監(jiān)控電腦或點(diǎn)開(kāi)某個(gè)郵件就可能在網(wǎng)絡(luò)防御系統(tǒng)上打開(kāi)一個(gè)缺口。網(wǎng)絡(luò)安全系統(tǒng)遵循木桶理論，其安全程度取決于系統(tǒng)內(nèi)的安全短板，而歷次大的工控網(wǎng)絡(luò)安全事件顯示：人往往成為短板。

5 結(jié)論

部署在網(wǎng)絡(luò)邊界上的網(wǎng)絡(luò)設(shè)備，是實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)年P(guān)鍵中間節(jié)點(diǎn)。保證縱向加密裝置乃至數(shù)據(jù)網(wǎng)關(guān)的正常運(yùn)行，防止網(wǎng)絡(luò)攻擊/網(wǎng)絡(luò)入侵造成縱向加密裝置拒絕服務(wù)，必須綜合考慮網(wǎng)絡(luò)安全設(shè)備部署，合理配置網(wǎng)絡(luò)安全設(shè)備，同時(shí)應(yīng)加強(qiáng)制度落實(shí)，強(qiáng)化人員管理，使網(wǎng)絡(luò)安全設(shè)備的效用最大化。

客觀上，沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，電力調(diào)度數(shù)據(jù)網(wǎng)/變電站監(jiān)控網(wǎng)絡(luò)也不例外，無(wú)論部署何種安全設(shè)備，都可以增加攻擊者的攻擊成本，降低安全風(fēng)險(xiǎn)，但都無(wú)法保證絕對(duì)安全。必須綜合考慮變電站的重要性、網(wǎng)絡(luò)結(jié)構(gòu)、安全設(shè)備價(jià)格等要素，增加網(wǎng)絡(luò)安全設(shè)備，制定和落實(shí)安全規(guī)章，加固網(wǎng)絡(luò)安全防御。

[1] 劉媛,李勁,殷曉蓓. 調(diào)度數(shù)據(jù)網(wǎng)縱向安全防護(hù)系統(tǒng)的構(gòu)建和應(yīng)用[J]. 廣西電力,2011,34(6):25-27，86.

[2] 梁智強(qiáng),陳曉帆. 縱向加密認(rèn)證裝置轉(zhuǎn)發(fā)性能測(cè)試的研究[J]. 計(jì)算機(jī)測(cè)量與控制,2012,20(3):606-609.

[3] 王保義,楊麗. 基于安全網(wǎng)關(guān)的電力二次系統(tǒng)安全防護(hù)[J]. 電力系統(tǒng)通信,2008,29(12):28-32.

[4] 梁智強(qiáng),范穎. 電力二次系統(tǒng)安全防護(hù)的DDoS攻擊原理及防御技術(shù)[J]. 計(jì)算機(jī)安全,2010(9):70-72.

Network security threat analysis for vertical encryption device

Lu Zicheng1，Zhang Tielong1，Cheng Xia2

(1.Chongzuo Power Supply Bureau, Guangxi Power Grid, Chongzuo 532200, China; 2.NR Electric Co., Ltd., Nanjing 211100, China)

Vertical encryption device is an important guarantee of power secondary system network security. The attack on encryption gateway directly affect the stable operation of electric power dispatching data network. The main performance indexes of encryption gateway are described in this paper. Attack on availability of encryption gateway is defined as denial of service threat, and further two types of denial of service attacks and their characteristics are also given, and some defense measures are suggested.

vertical encryption device; denial of service; network security; vulnerability

TP309

A

10.19358/j.issn.1674- 7720.2016.21.001

陸子成，張鐵龍，程夏. 針對(duì)縱向加密裝置的網(wǎng)絡(luò)安全威脅分析[J].微型機(jī)與應(yīng)用，2016,35(21)：5-7.

2016-07-06)

陸子成(1983-)，男，學(xué)士，工程師，主要研究方向：電力系統(tǒng)自動(dòng)化通信技術(shù)、電力系統(tǒng)網(wǎng)絡(luò)安全。

張鐵龍(1981-)，男，碩士，工程師，主要研究方向：電力系統(tǒng)自動(dòng)化通信技術(shù)、電力系統(tǒng)網(wǎng)絡(luò)安全。

程夏(1983-)，男，碩士，工程師，主要研究方向：電力系統(tǒng)自動(dòng)化通信技術(shù)、電力系統(tǒng)網(wǎng)絡(luò)安全。