袁晓舒 桑梓 杨平 中国东方电气集团中央研究院

摘要：随着传统电厂向数字化电厂的演进，电厂控制系统未来面临更加复杂的运行环境，来自网络的攻击成为电厂控制系统面临的新威胁。本文通过对以汽轮机电液调速系统（DEH）为代表的电厂控制系统进行网络攻击测试，分析了不同类型的网络攻击对控制系统的影响。

关键词：电厂控制系统；网络攻击；漏洞

电厂控制系统的安全稳定运行不仅关系到电厂本身的安全稳定运行，也会影响到电网的安全稳定运行[1]。先进的计算机技术和通信技术让以集散控制系统（DCS）为代表的电厂控制系统具备了与信息系统互联互通的能力，直接或间接实现了外部网络对物理对象的访问[2-4]。来自外部的网络安全攻击成为影响电厂控制系统的安全稳定运行的新威胁。已经发生过的电厂安全事故[5]说明，对电厂控制系统的网络安全攻击能够使电厂从电网解列，直接威胁电网的安全稳定运行，并造成严重的经济损失。

目前，国内对电厂控制系统网络攻击方面的研究尚处于起步阶段[6-7]。在这个背景下，现有的电厂控制系统能否抵御来自外部网络的攻击以及来自外部的网络攻击能够在多大程度上对业务造成危害是必须回答的两个问题。因此，通过对实际DCS及其组件的网络攻击测试是评估电厂控制系统网络安全攻击危害的重要途径。本文通过对多个国内外厂商的电厂控制系统进行网络攻击测试，以DEH为对象分析了电厂控制系统在遭遇网络攻击时可能对业务的影响。

1　概述

为了进一步了解网络攻击对电厂控制系统的威胁，中国东方电气集团中央研究院选取了在发电行业广泛应用的国内、外知名的控制系统厂商控制系统产品，搭建了DEH（汽轮机电液调速系统）网络安全攻击环境，进行了初步的研究。

研究采用了SYSFLOOD、UDPFLOOD模拟一般网络攻击，MODBUS TCP特殊指令模拟APT攻击。

2　攻击测试

2.1　以太网模拟攻击

测试通过采用专门软件对DEH的SYSFLOOD、UPDFLOOD攻击来模拟控制系统遭遇的一般网络攻击。

2.1.1　SYSFLOOD攻击

SYSFLOOD是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

通过对某厂商控制系统产品进行SYSFLOOD攻击可以模拟该控制系统在遭遇常见的局域网攻击时的状态。

当采用单台PC机对该控制系统的一个控制器进行SYSFLOOD攻击时，在工程师站的观测软件上，可以看到被控制器的CPU占用率快速上升，并出现红色警示。

采用两台PC机增加对该控制系统的一个控制器的SYSFLOOD攻击量后，会使得控制器重启。通过进一步的研究发现，当较小的攻击流量可以使控制系统的网络通信中断，进而使得电厂监控画面上汽轮机的状态参数不再发生变化，也就是说，这时控制人员无法通过了解汽轮机的实时运行状态，而较大的攻击流量会使得DEH无法工作，从而造成不能对汽轮机进行正常控制。

2.1.2　UDPFLOOD攻击

UDPFLOOD是流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

UDPFLOOD攻击开始后，也在工程师站的观测软件上，可以看到被攻击方的CPU占用率快速上升，并出现红色警示。在工程师站上执行ping命令，测试工程师站与DEH系统是否正常通信，结果工程师站无法ping通DEH。

和SYSFLOOD攻击不同，UDPFLOOD攻击只能让网络通信中断，并不能够对控制器产生实质性的影响，在攻击过程中，控制器中的控制逻辑始终生效，说明这种攻击方式不能对汽轮机控制的实际业务产生影响。

2.1.3　延伸测试

对另一厂商的控制系统同样进行上述两项攻击测试。

SYSFLOOD攻击开始后，在工程师站的观测软件上，DEH系统上出现故障报警。

在工程师站上执行ping命令，测试工程师站与DEH系统是否正常通信，结果工程师站无法ping通，如图1所示。

图1

UDP Flood攻击开始后，在工程师站的观测软件上，DEH系统上出现报警。

在工程师站上执行ping命令，测试工程师站与DEH系统是否正常通信，结果工程师站无法ping通。

2.2　MODBUS TCP攻击

2.2.1　MODBUS TCP特定功能码攻击

采用专门工具可以对某厂商控制系统进行MODBUS TCP攻击，向DEH发送29功能码的数据包，如图2所示。

图2

攻击开始后，在工程师站的观测软件上，可以看到DEH系统离线，从连接控制器的显示器上可以看到，DEH系统重启，如图3所示。

图3

2.2.2　MODBUS TCP漏洞攻击

采用专门工具针对某厂商控制系统的信息安全漏洞发送特定的MODBUS TCP数据包如图4所示。

图4

在工程师站的观测软件上，可以看到DEH系统的CAN总线通讯中断。

2.2.3　延伸测试

采用专门工具针对某厂商控制系统的信息安全漏洞对DEH的两个控制器发送特定MODBUS TCP数据包，会导致两个控制器都处于离线状态，将该DEH的数字量输出接到数字示波器上可以发现，输出信号波形图为一条直线如图5所示。

更换另一控制系统厂商产品进行测试，可以得到同样的结果。此时，DEH已经无法对汽轮机进行正常控制。

3　总结

多数的工业控制系统缺乏抗网络安全攻击的设计，大流量的网络安全攻击就可能会导致控制系统无法正常工作，但在小流量情况下控制系统还能够保持对被控设备的控制。

部分控制系统产品在设计时考虑了信息安全，能够抵御一般的网络攻击，这说明工业控制系统自身安全性提升能够起到一定的作用。

工业控制系统采用的部分协议自身存在着信息安全风险，特定的功能码会对控制系统的正常运行产生影响。

图5

工业控制系统的信息安全漏洞被利用会导致控制系统不能正常工作进而失去对被控设备的控制，部分漏洞还可能导致攻击者实现对控制系统的利用。

电厂的控制系统内部也应加强信息安全防御，以避免控制系统遭遇网络攻击后失去对发电设备的控制能力。

作者简介

袁晓舒（1973-），男，江西余干人，工程师，硕士，现就职于中国东方电气集团中央研究院。曾在中科网威、亿阳信通、浪潮集团等公司从事信息安全工作，先后担任入侵检测、防火墙、4A等产品的产品经理和技术部经理。后加入东方电气中央研究院研究工业控制系统信息安全，先后担任企业、省和国家多个工业控制系统信息安全科研项目负责人，目前正专注于电力系统发电侧的控制系统信息安全研究。

参考文献：

[1] 汤奕, 陈倩, 李梦雅, 等. 电力信息物理融合系统环境中的网络攻击研究综述[J]. 电力系统自动化, 2016, 40 (17) : 59 - 69.

[2] 许宁. DCS 在电厂控制系统的应用及展望[J]. 电站系统工程, 2016 (1) : 60 - 61.

[3] 周俊霞, 边立秀, 王丽君. 火电厂热工控制系统的现状及展望[J]. 电站系统工程, 2003, 19 (5) : 53 - 55.

[4] 葛志伟, 刘战礼, 周保中, 等. 火力发电厂数字化发展现状以及向智能化电厂转型分析[J]. 发电与空调, 2015, (5) : 45 - 47.

[5] 倪明, 颜诘, 柏瑞, 等. 电力系统防恶意信息攻击的思考[J]. 电力系统自动化, 2016, 40 (5).

[6] 张堃, 张培建, 吴建国, 等. 大型控制系统信息安全评估研究[J]. 控制工程, 2014, 21 (4) : 524.

[7] 卫志农, 陈和升, 倪明, 等. 电力信息物理系统中恶性数据定义、构建与防御挑战[J]. 电力系统自动化, 2016, 40 (17) : 70 - 78.

摘自《工业控制系统信息安全》专刊第三辑