李福陽(yáng)，李俊娥，劉林彬，劉威，林海，倪明

(1.空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室，武漢大學(xué)國(guó)家網(wǎng)絡(luò)安全學(xué)院，武漢市 430072；2.南瑞集團(tuán)有限公司(國(guó)網(wǎng)電力科學(xué)研究院有限公司)，南京市 211106；3.國(guó)電南瑞科技股份有限公司，南京市 211106；4.智能電網(wǎng)保護(hù)和運(yùn)行控制國(guó)家重點(diǎn)實(shí)驗(yàn)室，南京市 211106)

0 引 言

智能變電站作為智能電網(wǎng)的關(guān)鍵組成部分，其網(wǎng)絡(luò)安全影響著整個(gè)電力系統(tǒng)的運(yùn)行安全。然而，智能變電站二次設(shè)備的智能化及通信網(wǎng)絡(luò)的標(biāo)準(zhǔn)化也帶來(lái)了新的安全問(wèn)題。例如，智能變電站嵌入式終端的系統(tǒng)版本低且運(yùn)行周期長(zhǎng)，系統(tǒng)內(nèi)漏洞長(zhǎng)期存在，修復(fù)過(guò)程復(fù)雜[1]；通信網(wǎng)絡(luò)中，IEC 61850協(xié)議欠缺加密認(rèn)證機(jī)制，使得其報(bào)文極易被竊取、篡改、偽造[2]；攻擊者也可利用TCP/IP協(xié)議的脆弱性[3]對(duì)智能變電站嵌入式終端發(fā)起網(wǎng)絡(luò)攻擊。

信息系統(tǒng)安全測(cè)評(píng)是依據(jù)相關(guān)安全標(biāo)準(zhǔn)、利用相應(yīng)測(cè)評(píng)方法、系統(tǒng)全面地評(píng)估信息系統(tǒng)的安全、發(fā)現(xiàn)安全隱患的過(guò)程。對(duì)智能變電站嵌入式終端開展安全測(cè)評(píng)可以及時(shí)發(fā)現(xiàn)終端的脆弱性，從而進(jìn)行整改或制定相應(yīng)的安全防護(hù)措施，提升智能變電站抵御網(wǎng)絡(luò)攻擊的能力。

已有學(xué)者對(duì)智能變電站二次系統(tǒng)的網(wǎng)絡(luò)安全測(cè)試技術(shù)及評(píng)估方法展開了相關(guān)研究。測(cè)試技術(shù)研究中，Chai Jiwen等[4]提出了一種智能變電站安全測(cè)試平臺(tái)，采用基于TCP/IP和IEC 61850協(xié)議的攻擊測(cè)試和模糊測(cè)試來(lái)檢測(cè)系統(tǒng)和協(xié)議潛在的漏洞，同時(shí)根據(jù)IEC 62443的要求來(lái)檢查智能變電站的配置合規(guī)性。Noce等[5]改進(jìn)了GEESE方法，創(chuàng)建不同的網(wǎng)絡(luò)攻擊來(lái)檢測(cè)智能變電站中的漏洞，以測(cè)試智能變電站的安全性。劉姍梅等[6]采用已知漏洞掃描技術(shù)、未知漏洞挖掘技術(shù)以及靜態(tài)評(píng)估方法，分別對(duì)智能變電站的各層設(shè)備和日常管理進(jìn)行安全評(píng)估。Elbez等[7]設(shè)計(jì)了一種基于IEC 61850智能變電站的信息物理融合系統(tǒng)測(cè)試平臺(tái)，描述了一些攻擊場(chǎng)景和過(guò)程，并測(cè)試了這些攻擊對(duì)智能變電站的影響。

評(píng)估方法研究中，劉念等[8]結(jié)合變電站自動(dòng)化通信系統(tǒng)的特點(diǎn)和分布式系統(tǒng)脆弱性理論，提出了網(wǎng)絡(luò)環(huán)境下變電站自動(dòng)化通信系統(tǒng)脆弱性評(píng)估方法。曹一家等[9]提出了一種考慮各種具體安全威脅的定量評(píng)估方法，利用層次分析法確定各種威脅的權(quán)重，基于D-S證據(jù)理論對(duì)各專家的決策進(jìn)行信息集成，最后得到各安全威脅對(duì)變電站通信系統(tǒng)信息安全影響的大小排序。王媛媛[10]設(shè)計(jì)了智能變電站通信網(wǎng)絡(luò)安全評(píng)價(jià)系統(tǒng)，采用模糊綜合評(píng)價(jià)法進(jìn)行數(shù)據(jù)分析，實(shí)現(xiàn)了對(duì)通信網(wǎng)絡(luò)安全等級(jí)在線評(píng)價(jià)的功能。Xiang Yingmeng等[11]量化了智能變電站網(wǎng)絡(luò)漏洞對(duì)供電可靠性的影響，提出了一種結(jié)合物理故障和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的電力系統(tǒng)可靠性評(píng)估框架。

上述的研究工作對(duì)本文部分測(cè)試技術(shù)的研究和評(píng)估方法的選取有很好的參考作用，但上述研究中的評(píng)估方法主要關(guān)注于安全測(cè)評(píng)中的評(píng)價(jià)指標(biāo)量化方法，對(duì)智能變電站嵌入式終端的脆弱性分析及安全測(cè)評(píng)指標(biāo)的研究較少。同時(shí)，測(cè)試技術(shù)并未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊，不能對(duì)智能變電站嵌入式終端開展全面的測(cè)試，在對(duì)智能變電站進(jìn)行網(wǎng)絡(luò)安全測(cè)試時(shí)可操作性也較差。

目前電力行業(yè)對(duì)智能變電站的安全防護(hù)及測(cè)試規(guī)范包括《變電站二次系統(tǒng)安全防護(hù)方案》[12]、《電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》[13]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[14]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》[15]等，這些規(guī)范對(duì)電力二次系統(tǒng)的業(yè)務(wù)系統(tǒng)分區(qū)、信息流向及通用安全防護(hù)措施等方面提出了安全防護(hù)標(biāo)準(zhǔn)及測(cè)試規(guī)范。但現(xiàn)有行業(yè)標(biāo)準(zhǔn)和規(guī)范僅在通用信息系統(tǒng)及電力信息系統(tǒng)的終端層面提出相應(yīng)安全要求，沒有關(guān)于智能變電站嵌入式終端的規(guī)范和標(biāo)準(zhǔn)?，F(xiàn)有行業(yè)標(biāo)準(zhǔn)及規(guī)范中的測(cè)試技術(shù)包括檢查技術(shù)、識(shí)別和分析技術(shù)及漏洞驗(yàn)證技術(shù)，在具體測(cè)試中僅能涵蓋智能變電站嵌入式終端的系統(tǒng)漏洞安全測(cè)試，未能完全覆蓋智能變電站嵌入式終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊。

因此，本文針對(duì)現(xiàn)有測(cè)評(píng)指標(biāo)及測(cè)試方法的不足，分析終端的脆弱性和可能遭受的網(wǎng)絡(luò)攻擊，提出適用于智能變電站嵌入式終端的安全測(cè)評(píng)指標(biāo)及測(cè)試內(nèi)容，并基于提出的指標(biāo)體系，研究相應(yīng)的安全測(cè)試方法，為智能變電站嵌入式終端的安全測(cè)試提供指標(biāo)體系與方法指導(dǎo)，也為在線安全防護(hù)提供參考，以保障智能變電站的網(wǎng)絡(luò)安全。

1 智能變電站嵌入式終端脆弱性分析

1.1 智能變電站二次系統(tǒng)

智能變電站二次系統(tǒng)由二次設(shè)備和連接二次設(shè)備的通信網(wǎng)絡(luò)構(gòu)成。以220 kV智能變電站為例[16]，其二次系統(tǒng)一般包括監(jiān)控及數(shù)據(jù)采集(supervisory control and data acquisition, SCADA)系統(tǒng)、五防系統(tǒng)、繼電保護(hù)與故障信息系統(tǒng)、安全自動(dòng)控制系統(tǒng)、電能量計(jì)量系統(tǒng)、故障錄波系統(tǒng)等業(yè)務(wù)系統(tǒng)；二次設(shè)備一般包括監(jiān)控主機(jī)與后臺(tái)、遠(yuǎn)動(dòng)終端、保信子站、測(cè)控裝置、繼電保護(hù)與安全自動(dòng)裝置、相量測(cè)量裝置(phasor measurement unit, PMU)、電能量采集終端及電能表、一次設(shè)備狀態(tài)監(jiān)測(cè)裝置、智能終端、合并單元等設(shè)備。

智能變電站在邏輯上劃分為站控層、間隔層、過(guò)程層3層結(jié)構(gòu)，物理上一般配置2層網(wǎng)絡(luò)，即站控層網(wǎng)絡(luò)和過(guò)程層網(wǎng)絡(luò)。站控層網(wǎng)絡(luò)又稱制造報(bào)文規(guī)范(manufacturing message specification, MMS)網(wǎng)，用于站控層設(shè)備和間隔層設(shè)備的信息交換，對(duì)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性和可靠性要求較低，但數(shù)據(jù)量相對(duì)較大。過(guò)程層網(wǎng)絡(luò)包括面向變電站事件對(duì)象(generic object oriented substation event，GOOSE)網(wǎng)和采樣值(sampled value，SV)網(wǎng)。GOOSE網(wǎng)主要用于保護(hù)設(shè)備之間的聯(lián)閉鎖信息交互、間隔層與過(guò)程層設(shè)備之間控制命令傳遞以及斷路器與隔離開關(guān)等開關(guān)量的采集，對(duì)實(shí)時(shí)性和可靠性要求非常高；SV網(wǎng)用于傳輸電子式互感器所產(chǎn)生的電氣量采樣值給保護(hù)裝置和測(cè)控裝置，數(shù)據(jù)量龐大，對(duì)實(shí)時(shí)性和可靠性的要求也很高。

依據(jù)電力二次系統(tǒng)安全防護(hù)方案中的“安全分區(qū)”原則[12]，智能變電站的業(yè)務(wù)系統(tǒng)原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)又可分為控制區(qū)(安全Ⅰ區(qū))和非控制區(qū)(安全Ⅱ區(qū))?？刂茀^(qū)中的業(yè)務(wù)系統(tǒng)直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，非控制區(qū)中的業(yè)務(wù)系統(tǒng)不具備控制功能。

220 kV智能變電站二次系統(tǒng)包含的二次設(shè)備及位置如表1所示。

表1 智能變電站二次系統(tǒng)基本組成

控制區(qū)(安全Ⅰ區(qū))中的業(yè)務(wù)系統(tǒng)直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控，是電力生產(chǎn)的重要環(huán)節(jié)和安全防護(hù)的重點(diǎn)與核心，因此本文主要針對(duì)控制區(qū)的二次設(shè)備展開研究。常見的智能變電站控制區(qū)網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 智能變電站控制區(qū)網(wǎng)絡(luò)架構(gòu)

智能變電站控制區(qū)中主要二次設(shè)備使用的操作系統(tǒng)及應(yīng)用層通信協(xié)議如表2所示。

表2 智能變電站控制區(qū)二次設(shè)備所用的操作系統(tǒng)及協(xié)議

可見智能變電站控制區(qū)中絕大部分二次設(shè)備使用嵌入式操作系統(tǒng)和IEC 61850協(xié)議，這些設(shè)備對(duì)智能變電站的正常運(yùn)行起著重要的作用。因此本文重點(diǎn)研究智能變電站的這一類二次設(shè)備，并統(tǒng)稱為智能變電站嵌入式終端。

1.2 智能變電站嵌入式終端脆弱性分析

脆弱性是攻擊者能夠達(dá)成攻擊目標(biāo)的內(nèi)因。對(duì)系統(tǒng)和設(shè)備進(jìn)行脆弱性分析可以發(fā)現(xiàn)可能遭受的網(wǎng)絡(luò)攻擊，從而針對(duì)這些脆弱性對(duì)系統(tǒng)開展測(cè)試、修復(fù)及部署在線安全防護(hù)措施，保障系統(tǒng)運(yùn)行安全。本文從操作系統(tǒng)、通信協(xié)議及終端特點(diǎn)3個(gè)方面分析智能變電站嵌入式終端的脆弱性。

1)嵌入式操作系統(tǒng)脆弱性。

由表2可知，目前智能變電站中二次系統(tǒng)的嵌入式終端大多采用嵌入式Linux和VxWorks操作系統(tǒng)。因此，本文重點(diǎn)對(duì)這兩種系統(tǒng)的脆弱性進(jìn)行研究。經(jīng)調(diào)研和對(duì)文獻(xiàn)及公共漏洞庫(kù)的分析，智能變電站嵌入式終端操作系統(tǒng)具有如下特點(diǎn)及脆弱性：

(1)智能變電站嵌入式終端使用周期長(zhǎng)，大量漏洞長(zhǎng)期存在。一方面，很多較早上線的終端使用低版本操作系統(tǒng)，如Linux 2.x～3.x內(nèi)核，低版本系統(tǒng)中存在較多安全漏洞，如CVE-2012-0207、CVE-2009-1265和CVE-2006-1857等。另一方面，智能變電站嵌入式終端系統(tǒng)大多是對(duì)通用操作系統(tǒng)的裁剪優(yōu)化，或是針對(duì)特定任務(wù)的定制系統(tǒng)，因而存在與通用補(bǔ)丁或安全軟件的兼容性問(wèn)題，使得不易通過(guò)補(bǔ)丁修復(fù)漏洞和安裝安全軟件；同時(shí)由于通用操作系統(tǒng)的補(bǔ)丁兼容性較差，不同廠商需要針對(duì)自己定制裁剪后的系統(tǒng)進(jìn)行補(bǔ)丁開發(fā)，開發(fā)及修復(fù)周期較長(zhǎng)。因此嵌入式終端上的漏洞可能長(zhǎng)期存在，使得終端缺乏抵抗攻擊的能力。攻擊者利用這些漏洞，可以達(dá)到使終端拒絕服務(wù)、獲取敏感信息或遠(yuǎn)程代碼執(zhí)行的目的。

(2)現(xiàn)有研究中關(guān)于VxWorks操作系統(tǒng)的公開漏洞極少，但也存在危害性極大的漏洞。例如，CVE-2010-2967所描述的密碼碰撞問(wèn)題，一旦攻擊者暴力破解密鑰成功即可建立telnet、ftp、rlogin等會(huì)話，進(jìn)而獲取系統(tǒng)控制權(quán)限，這將極大影響整個(gè)電網(wǎng)的安全性；CVE-2015-7599提到的整數(shù)溢出漏洞，成功利用的攻擊者可在OS中遠(yuǎn)程執(zhí)行任意代碼，破壞或繞過(guò)所有的內(nèi)存保護(hù)，并且可以設(shè)置后門賬戶。

2)通信協(xié)議脆弱性。

智能變電站嵌入式終端主要采用IEC 61850協(xié)議，其中，GOOSE和SV報(bào)文直接封裝于以太網(wǎng)幀中使用組播方式傳播，MMS報(bào)文運(yùn)行于TCP/IP協(xié)議之上。因此，本文重點(diǎn)針對(duì)IEC 61850及TCP/IP協(xié)議進(jìn)行分析。智能變電站通信協(xié)議具有如下特點(diǎn)及脆弱性：

(1)IEC 61850協(xié)議在設(shè)計(jì)階段僅強(qiáng)調(diào)通信實(shí)時(shí)性與可用性，欠缺加密、認(rèn)證等安全機(jī)制，使得GOOSE、SV和MMS等業(yè)務(wù)報(bào)文極易被竊聽、篡改和偽造，特別是使用組播通信的GOOSE和SV報(bào)文。攻擊者一旦通過(guò)某種跳板侵入電力工控系統(tǒng)內(nèi)部，極易偽造虛假數(shù)據(jù)和發(fā)送惡意控制命令。

(2)TCP/IP協(xié)議以32 bit的IP地址來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，但I(xiàn)P地址只是通信報(bào)文中的一個(gè)參數(shù)，可以隨意修改，且TCP/IP協(xié)議中沒有檢驗(yàn)機(jī)制來(lái)辨別數(shù)據(jù)包是否真正來(lái)自源IP地址對(duì)應(yīng)的主機(jī)，因此攻擊者可以對(duì)報(bào)文的IP地址進(jìn)行修改，從而基于IP欺騙對(duì)設(shè)備發(fā)起各類網(wǎng)絡(luò)攻擊。例如攻擊者可以廣播發(fā)送源地址為攻擊對(duì)象IP地址的Ping消息，使攻擊對(duì)象因無(wú)法處理大量ICMP echo reply消息而拒接服務(wù)(Smurf攻擊)；攻擊者也可以向攻擊對(duì)象發(fā)送大量源地址和目的地址為攻擊對(duì)象IP地址的報(bào)文，使攻擊對(duì)象由于不斷向自己轉(zhuǎn)發(fā)報(bào)文而拒絕服務(wù)(Land攻擊)。

(3)TCP/IP協(xié)議沒有控制資源的占有和分配。若主機(jī)的TCP連接中已經(jīng)長(zhǎng)時(shí)間未傳送數(shù)據(jù)，但只要對(duì)方?jīng)]有重啟或宕機(jī)，該主機(jī)也始終保持著TCP連接，這就導(dǎo)致了TCP連接資源的浪費(fèi)，也使得使用TCP/IP協(xié)議的設(shè)備極易遭受拒絕服務(wù)攻擊。

3)終端自身或運(yùn)維特點(diǎn)導(dǎo)致的脆弱性。

經(jīng)實(shí)際調(diào)研和實(shí)驗(yàn)驗(yàn)證，智能變電站嵌入式終端由于其自身和運(yùn)維特點(diǎn)還存在如下脆弱性：

(1)相較于傳統(tǒng)IT設(shè)備，智能變電站嵌入式終端計(jì)算資源有限，對(duì)報(bào)文的處理能力較差，在接收到大量報(bào)文后可能由于無(wú)法處理而宕機(jī)；同時(shí)終端生產(chǎn)廠家目前普遍僅考慮終端的功能性，終端上的很多應(yīng)用未對(duì)非正常的報(bào)文進(jìn)行判斷與處理，導(dǎo)致許多終端在接收到畸形報(bào)文時(shí)會(huì)發(fā)生宕機(jī)或重啟。

(2)終端生產(chǎn)廠家為了運(yùn)維方便，可能會(huì)在終端上開啟生產(chǎn)控制大區(qū)禁止開放的服務(wù)，如FTP、Telnet、HTTP等，或在一些終端的固件中植入后門，這使得攻擊者易于向終端植入惡意代碼，進(jìn)而遠(yuǎn)程控制智能變電站的終端；大部分終端由廠商運(yùn)維，即便只是使用本地運(yùn)維接口，也使得攻擊者可能通過(guò)運(yùn)維人員電腦將惡意代碼植入被運(yùn)維設(shè)備。

1.3 智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊

由上節(jié)智能變電站終端脆弱性分析可知，智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊主要與嵌入式操作系統(tǒng)的漏洞、后門及IEC 61850和TCP/IP協(xié)議的脆弱性有關(guān)，依據(jù)攻擊所利用的脆弱性類型及攻擊機(jī)理，智能變電站嵌入式終端可能遭受的網(wǎng)絡(luò)攻擊類型如下：

1)漏洞利用攻擊。攻擊者利用終端中的漏洞而發(fā)起的攻擊。例如攻擊者可以利用緩沖區(qū)溢出漏洞讀取敏感數(shù)據(jù)、更改控制流、執(zhí)行任意代碼甚至造成終端的崩潰，利用提權(quán)漏洞繞過(guò)訪問(wèn)控制、提升控制權(quán)限、逃避運(yùn)行檢測(cè)等。

2)惡意代碼攻擊。攻擊者利用終端中的后門或跳板在終端中植入惡意代碼而實(shí)施的攻擊。這類攻擊通常隱蔽性強(qiáng)，難以檢測(cè)，可以使攻擊者竊取運(yùn)行數(shù)據(jù)、惡意控制終端、刪除重要配置文件，或以此終端為跳板對(duì)其他終端發(fā)起攻擊。

3)業(yè)務(wù)報(bào)文攻擊。攻擊者通過(guò)篡改、偽造和重放業(yè)務(wù)報(bào)文而干擾正常業(yè)務(wù)流程的攻擊。例如攻擊者可以通過(guò)篡改、偽造業(yè)務(wù)報(bào)文對(duì)一次設(shè)備進(jìn)行惡意控制，通過(guò)偽造量測(cè)數(shù)據(jù)干擾運(yùn)行控制和調(diào)度決策，通過(guò)重放業(yè)務(wù)報(bào)文實(shí)施中間人攻擊，實(shí)現(xiàn)身份偽造等。

4)畸形報(bào)文攻擊。攻擊者利用畸形報(bào)文導(dǎo)致終端拒絕服務(wù)的攻擊。例如攻擊者可以向接入站控層網(wǎng)絡(luò)的設(shè)備發(fā)送一些偽造的、含有重疊偏移量的非法IP分組碎片(Tear Drop攻擊)，或發(fā)送一個(gè)超過(guò)IP最大長(zhǎng)度的Ping報(bào)文(Ping of Death攻擊)等；也可以通過(guò)向過(guò)程層網(wǎng)絡(luò)的設(shè)備發(fā)送超長(zhǎng)、空值、特殊字符、錯(cuò)誤類型、錯(cuò)誤長(zhǎng)度描述等類型的畸形GOOSE報(bào)文，使終端由于無(wú)法處理這些畸形報(bào)文而宕機(jī)或重啟，從而導(dǎo)致終端拒絕服務(wù)。

5)網(wǎng)絡(luò)泛洪攻擊。攻擊者通過(guò)發(fā)送大量報(bào)文從而消耗主機(jī)計(jì)算資源及網(wǎng)絡(luò)帶寬的攻擊。例如攻擊者可以向終端發(fā)送大量的SYN報(bào)文，從而大量占有該主機(jī)的TCP連接資源，使主機(jī)無(wú)法再與其他設(shè)備建立TCP連接(SYN Flood攻擊)；或向終端發(fā)送大量的Ping報(bào)文(ICMP Flood攻擊)或UDP報(bào)文(UDP Flood攻擊)來(lái)消耗終端計(jì)算資源，使終端暫時(shí)無(wú)法處理其他消息；以及Smurf攻擊、Land攻擊等。

2 智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)及內(nèi)容

構(gòu)建完整且具有針對(duì)性的安全測(cè)評(píng)指標(biāo)及內(nèi)容是對(duì)智能變電站嵌入式終端開展安全測(cè)試的基礎(chǔ)。由于電力工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的業(yè)務(wù)不同，其對(duì)網(wǎng)絡(luò)安全的要求也不同。例如，傳統(tǒng)信息系統(tǒng)側(cè)重于對(duì)機(jī)密性的防護(hù)，但由于電力業(yè)務(wù)具有高實(shí)時(shí)性和連續(xù)性的要求，并直接影響電力一次系統(tǒng)的安全運(yùn)行，電力工控系統(tǒng)對(duì)可用性和完整性的防護(hù)要求更高。因此現(xiàn)有的傳統(tǒng)信息系統(tǒng)安全測(cè)評(píng)指標(biāo)不適用于智能變電站嵌入式終端的安全測(cè)評(píng)。

本文結(jié)合《電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》[13]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[14]、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》[15]等標(biāo)準(zhǔn)，針對(duì)上文分析的智能變電站嵌入式終端脆弱性和可能遭受的攻擊，從系統(tǒng)及計(jì)算安全、網(wǎng)絡(luò)及通信安全和應(yīng)用及數(shù)據(jù)安全3個(gè)方面構(gòu)建智能變電站嵌入式終端的安全測(cè)評(píng)指標(biāo)及內(nèi)容。

1)系統(tǒng)及計(jì)算安全。

智能變電站嵌入式終端操作系統(tǒng)的漏洞長(zhǎng)期存在、修復(fù)周期長(zhǎng)、修補(bǔ)率低，極易被攻擊者利用而發(fā)起攻擊；二次設(shè)備中非正常開放的服務(wù)和安裝的軟件也給攻擊者提供了入侵條件；若攻擊者在二次設(shè)備中植入了后門和惡意代碼則可以直接發(fā)起任何攻擊。因此本項(xiàng)測(cè)評(píng)指標(biāo)需要涵蓋系統(tǒng)漏洞的防護(hù)、系統(tǒng)入侵的防范以及惡意代碼的防范。

(1)系統(tǒng)漏洞防護(hù)中，應(yīng)能發(fā)現(xiàn)終端可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞；應(yīng)保障終端對(duì)漏洞利用攻擊具有一定的防御能力，能夠消除未修補(bǔ)漏洞的隱患。

(2)系統(tǒng)入侵防范中，應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；應(yīng)保障終端開放的服務(wù)和端口符合相關(guān)要求，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

(3)惡意代碼防范中，應(yīng)能及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)存在的惡意代碼，保障終端不存在后門，能夠抵御惡意代碼發(fā)起的攻擊。

2)網(wǎng)絡(luò)及通信安全。

智能變電站嵌入式終端處理能力較弱，且采用的IEC 61850協(xié)議欠缺認(rèn)證機(jī)制，TCP/IP協(xié)議沒有控制資源的占有和分配。若攻擊者突破網(wǎng)絡(luò)邊界接入內(nèi)網(wǎng)發(fā)起泛洪攻擊，可造成嵌入式終端的拒絕服務(wù)甚至宕機(jī)，從而導(dǎo)致電力業(yè)務(wù)的延遲甚至中斷。因此本項(xiàng)測(cè)評(píng)指標(biāo)需要涵蓋網(wǎng)絡(luò)邊界的防護(hù)、通信資源的控制以及對(duì)網(wǎng)絡(luò)風(fēng)暴的抑制。

(1)網(wǎng)絡(luò)邊界防護(hù)中，應(yīng)能夠?qū)B接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行可信驗(yàn)證，確保接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信；應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查，并對(duì)其進(jìn)行有效阻斷。

(2)通信資源控制中，應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話。

(3)網(wǎng)絡(luò)風(fēng)暴抑制中，應(yīng)保障終端對(duì)泛洪攻擊具有一定的防范能力，能夠在一定程度上抑制網(wǎng)絡(luò)風(fēng)暴。

3)應(yīng)用及數(shù)據(jù)安全。

智能變電站嵌入式終端在設(shè)計(jì)時(shí)主要考慮實(shí)時(shí)性與可用性，對(duì)異常報(bào)文的處理能力較弱；同時(shí)若攻擊者通過(guò)非正常手段登入設(shè)備或網(wǎng)絡(luò)，極易竊聽、篡改和偽造明文傳輸?shù)膱?bào)文。因此本項(xiàng)測(cè)評(píng)指標(biāo)需要涵蓋軟件的容錯(cuò)設(shè)計(jì)、登錄身份的驗(yàn)證和數(shù)據(jù)的完整保密。

(1)軟件容錯(cuò)設(shè)計(jì)中，應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求，能夠?qū)Ξ惓５膱?bào)文進(jìn)行合理的處理；在故障發(fā)生時(shí)，應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

(2)登錄身份驗(yàn)證中，應(yīng)提供訪問(wèn)控制功能，對(duì)登錄的用戶分配賬號(hào)和權(quán)限；應(yīng)具有身份認(rèn)證功能，對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；應(yīng)強(qiáng)制用戶首次登錄時(shí)修改初始口令，保障用戶賬號(hào)具有合適強(qiáng)度的身份認(rèn)證口令；應(yīng)提供并啟用登陸失敗處理功能，多次登陸失敗后采取必要的保護(hù)措施。

(3)數(shù)據(jù)完整保密中，應(yīng)采用校驗(yàn)碼技術(shù)或加密技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的完整性；應(yīng)采用加解密技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的保密性。

綜上，智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)如圖2所示。

圖2 智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)體系

3 智能變電站嵌入式終端安全測(cè)試技術(shù)研究

考慮完全覆蓋上述智能變電站嵌入式終端的測(cè)評(píng)指標(biāo)，本文針對(duì)智能變電站嵌入式終端脆弱性及可能遭受的網(wǎng)絡(luò)攻擊，給出相應(yīng)的測(cè)試技術(shù)，包括漏洞掃描、漏洞利用、安全基線配置核查、惡意代碼分析檢測(cè)、報(bào)文攻擊測(cè)試、流量壓力測(cè)試與模糊測(cè)試。

1)漏洞掃描。

漏洞掃描是一種基于漏洞數(shù)據(jù)庫(kù)，利用掃描檢測(cè)等方式判斷目標(biāo)系統(tǒng)是否存在漏洞的主動(dòng)式防范技術(shù)。它作為一類重要的網(wǎng)絡(luò)安全技術(shù)，可適用于各類操作系統(tǒng)的脆弱性分析及安全測(cè)試，其主要功能是在漏洞被攻擊者利用前由安全測(cè)試人員主動(dòng)地進(jìn)行全面的安全隱患掃描，可預(yù)防漏洞惡意利用、降低風(fēng)險(xiǎn)等級(jí)，進(jìn)而提升系統(tǒng)整體安全性。

針對(duì)智能變電站嵌入式終端的漏洞掃描應(yīng)覆蓋測(cè)評(píng)指標(biāo)的系統(tǒng)漏洞防護(hù)中關(guān)于漏洞發(fā)現(xiàn)的安全要求、系統(tǒng)入侵防范中關(guān)于端口及服務(wù)開放的安全要求、以及登錄身份認(rèn)證中關(guān)于口令的安全要求，應(yīng)具備如下功能。(1)發(fā)現(xiàn)嵌入式Linux系統(tǒng)和VxWorks系統(tǒng)存在的漏洞；(2)檢測(cè)終端開放的端口和服務(wù)，如端口開放掃描；(3)檢測(cè)終端不合理的登錄配置，如弱口令掃描。

2)漏洞利用。

漏洞利用是在發(fā)現(xiàn)目標(biāo)系統(tǒng)存在漏洞后，利用漏洞竊取敏感信息、提升運(yùn)行權(quán)限、獲取目標(biāo)系統(tǒng)控制權(quán)等活動(dòng)來(lái)對(duì)漏洞進(jìn)行驗(yàn)證的技術(shù)。漏洞利用技術(shù)可以評(píng)估目標(biāo)系統(tǒng)存在的漏洞的危險(xiǎn)程度，同時(shí)可以以漏洞利用過(guò)程中系統(tǒng)環(huán)境的變化為依據(jù)，發(fā)現(xiàn)攻擊者利用漏洞發(fā)起的攻擊，以檢測(cè)終端對(duì)漏洞利用攻擊有無(wú)抵御能力，并針對(duì)利用的方式提出相應(yīng)的防護(hù)措施。

針對(duì)智能變電站嵌入式終端的漏洞利用應(yīng)覆蓋測(cè)評(píng)指標(biāo)的系統(tǒng)漏洞防護(hù)中關(guān)于漏洞攻擊防范的安全要求，應(yīng)具備如下功能。(1)利用嵌入式Linux系統(tǒng)和VxWorks系統(tǒng)存在的漏洞執(zhí)行緩沖區(qū)溢出；(2)利用漏洞進(jìn)行越權(quán)訪問(wèn)；(3)利用漏洞獲取敏感信息。

3)安全基線配置核查。

安全基線是保持信息安全的完整性、可用性、機(jī)密性的最小安全控制，是系統(tǒng)的最小安全保證、最基本的安全要求。安全基線配置核查即檢測(cè)業(yè)務(wù)系統(tǒng)所屬設(shè)備在特定時(shí)期內(nèi)，根據(jù)自身需求、部署環(huán)境和承載業(yè)務(wù)要求應(yīng)滿足的基本安全配置要求合集。

針對(duì)嵌入式終端的安全基線配置核查應(yīng)覆蓋測(cè)評(píng)指標(biāo)的系統(tǒng)入侵防范中關(guān)于最小安裝原則的安全要求、網(wǎng)絡(luò)邊界防護(hù)中關(guān)于網(wǎng)絡(luò)接入的安全要求、登錄身份認(rèn)證中關(guān)于訪問(wèn)控制的安全要求、以及數(shù)據(jù)完整保密中關(guān)于通信完整性和保密性的安全要求，應(yīng)具備如下功能。(1)核查終端安裝的組件和應(yīng)用程序，即最小安裝原則核查；(2)核查終端接入網(wǎng)絡(luò)和訪問(wèn)網(wǎng)絡(luò)的行為，即網(wǎng)絡(luò)接入核查；(3)核查終端的訪問(wèn)控制及身份認(rèn)證策略，即訪問(wèn)控制策略核查；(4)核查網(wǎng)絡(luò)報(bào)文的保密性和完整性，即報(bào)文加密認(rèn)證核查。

4)惡意代碼分析檢測(cè)。

惡意代碼的分析及檢測(cè)利用特征碼匹配、啟發(fā)式掃描、異常檢測(cè)等方式檢測(cè)目標(biāo)系統(tǒng)內(nèi)是否存在惡意代碼和后門，同時(shí)測(cè)試智能變電站嵌入式終端能否抵御惡意代碼發(fā)起的攻擊。

針對(duì)智能變電站嵌入式終端的惡意代碼分析檢測(cè)應(yīng)覆蓋測(cè)評(píng)指標(biāo)的惡意代碼防范的全部安全內(nèi)容，應(yīng)具備如下功能。(1)惡意行為靜態(tài)分析，即對(duì)終端上的二進(jìn)制代碼進(jìn)行反匯編，檢測(cè)其是否含有諸如非法向外連接、進(jìn)程隱藏等惡意行為的代碼；(2)異常動(dòng)作在線監(jiān)測(cè)，即對(duì)終端的運(yùn)行狀態(tài)和系統(tǒng)狀態(tài)等信息進(jìn)行監(jiān)測(cè)，分析終端是否執(zhí)行了異常的動(dòng)作，檢測(cè)終端對(duì)惡意代碼的抵御能力。由于嵌入式終端計(jì)算資源有限，無(wú)法在嵌入式終端上安裝檢測(cè)工具，因此在線監(jiān)測(cè)可采用旁路主機(jī)進(jìn)行分析判斷，終端上只安裝信息收集代理。

5)報(bào)文攻擊測(cè)試。

報(bào)文攻擊測(cè)試指針對(duì)目標(biāo)系統(tǒng)的協(xié)議脆弱性對(duì)其進(jìn)行模擬攻擊，從而評(píng)估目標(biāo)系統(tǒng)對(duì)各類攻擊抵御能力的方法。

針對(duì)智能變電站嵌入式終端的報(bào)文攻擊測(cè)試應(yīng)覆蓋測(cè)評(píng)指標(biāo)中通信資源控制和網(wǎng)絡(luò)風(fēng)暴抑制的全部安全要求、以及軟件容錯(cuò)設(shè)計(jì)中關(guān)于軟件容錯(cuò)計(jì)算的安全要求，應(yīng)具備如下功能。(1)業(yè)務(wù)報(bào)文攻擊測(cè)試，包括篡改、偽造和重放業(yè)務(wù)報(bào)文攻擊測(cè)試；(2)畸形報(bào)文攻擊測(cè)試，包括Tear Drop攻擊測(cè)試、Ping of Death攻擊測(cè)試、IEC61850畸形報(bào)文攻擊測(cè)試、IEC 60870-5-102/103/104畸形報(bào)文攻擊測(cè)試；(3)網(wǎng)絡(luò)泛洪攻擊測(cè)試，包括SYN Flood攻擊測(cè)試、ICMP Flood攻擊測(cè)試、UDP Flood攻擊測(cè)試、Land攻擊測(cè)試、Smurf攻擊測(cè)試等。

6)流量壓力測(cè)試。

流量壓力測(cè)試指通過(guò)向設(shè)備發(fā)送不同速率的報(bào)文包并觀察終端對(duì)報(bào)文的處理情況，從而評(píng)估設(shè)備計(jì)算能力的方法。流量壓力測(cè)試可在報(bào)文攻擊測(cè)試基礎(chǔ)上對(duì)泛洪類攻擊測(cè)試(SYN Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊)進(jìn)行改進(jìn)，調(diào)整泛洪類攻擊的發(fā)包速率，對(duì)智能變電站嵌入式終端能夠承受的網(wǎng)絡(luò)流量大小進(jìn)行準(zhǔn)確評(píng)定。

針對(duì)智能變電站嵌入式終端的流量壓力測(cè)試作為報(bào)文攻擊測(cè)試的拓展與補(bǔ)充，應(yīng)覆蓋測(cè)評(píng)指標(biāo)中網(wǎng)絡(luò)風(fēng)暴抑制的安全要求，應(yīng)具備如下功能。(1)SYN Flood流量壓力測(cè)試；(2)ICMP Flood流量壓力測(cè)試；(3)UDP Flood流量壓力測(cè)試。

7)模糊測(cè)試。

模糊測(cè)試是一種基于缺陷注入的自動(dòng)化軟件漏洞挖掘技術(shù)，通過(guò)向待測(cè)試的目標(biāo)軟件輸入一些半隨機(jī)的數(shù)據(jù)并執(zhí)行程序，監(jiān)控程序的運(yùn)行狀況，同時(shí)記錄并進(jìn)一步分析目標(biāo)程序發(fā)生的異常。由于目標(biāo)程序在編寫時(shí)未必考慮到對(duì)所有非法數(shù)據(jù)的出錯(cuò)處理，因此半隨機(jī)數(shù)據(jù)很有可能造成目標(biāo)程序崩潰，從而暴露出設(shè)備的未知漏洞。

針對(duì)智能變電站嵌入式終端的模糊測(cè)試應(yīng)覆蓋測(cè)評(píng)指標(biāo)的軟件容錯(cuò)設(shè)計(jì)中關(guān)于數(shù)據(jù)有效性檢查的安全要求，同時(shí)覆蓋智能變電站嵌入式終端使用的所有通信協(xié)議，應(yīng)具備如下功能。(1)針對(duì)IEC 61850的協(xié)議模糊測(cè)試；(2)針對(duì)IEC60870-5-102/103/104的協(xié)議模糊測(cè)試；(3)針對(duì)TCP/IP的協(xié)議模糊測(cè)試。

綜上，智能變電站嵌入式終端安全測(cè)試技術(shù)體系如圖3所示。

圖3 智能變電站嵌入式終端安全測(cè)試技術(shù)體系

綜合本節(jié)及第2節(jié)的內(nèi)容，智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)、測(cè)試內(nèi)容及測(cè)試技術(shù)對(duì)應(yīng)關(guān)系如附表A1所示。

4 案 例

本節(jié)以國(guó)內(nèi)某省電力公司智能變電站實(shí)驗(yàn)室為測(cè)試平臺(tái)，依據(jù)本文提出的智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)，利用我們開發(fā)的報(bào)文攻擊測(cè)試工具、GOOSE協(xié)議模糊測(cè)試工具及開源工具對(duì)該實(shí)驗(yàn)室的5種智能設(shè)備進(jìn)行測(cè)試與評(píng)估，以示范本文測(cè)評(píng)指標(biāo)及測(cè)試技術(shù)的應(yīng)用方法。

該案例智能變電站二次設(shè)備組成和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示，采用三層兩網(wǎng)結(jié)構(gòu)，主要二次設(shè)備有監(jiān)控后臺(tái)、遠(yuǎn)動(dòng)終端、保護(hù)裝置、測(cè)控裝置、智能終端、合并單元、故障錄波及網(wǎng)絡(luò)分析裝置，組網(wǎng)方式采用A/B雙星型網(wǎng)絡(luò)結(jié)構(gòu)，2套保護(hù)裝置及相關(guān)合并單元和智能終端各用1個(gè)星型網(wǎng)絡(luò)。本次測(cè)評(píng)選取該智能變電站控制區(qū)中所有的嵌入式終端為測(cè)評(píng)對(duì)象，包括遠(yuǎn)動(dòng)終端、保護(hù)裝置、測(cè)控裝置、智能終端及合并單元5類設(shè)備。

圖4 待測(cè)智能變電站二次設(shè)備組成及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

完整的測(cè)試過(guò)程包括測(cè)試準(zhǔn)備、現(xiàn)場(chǎng)測(cè)試和分析整改3個(gè)階段。

1)測(cè)試準(zhǔn)備。由于本文待測(cè)設(shè)備及所依賴的網(wǎng)絡(luò)環(huán)境均已事先配置好，且對(duì)測(cè)試人員是未知的，因此，根據(jù)2.3節(jié)的測(cè)試方案，測(cè)試前需要做如下準(zhǔn)備工作：

(1)查詢智能變電站網(wǎng)絡(luò)拓?fù)鋱D及待測(cè)設(shè)備IP地址；查詢智能變電站配置文件中待測(cè)設(shè)備接收及發(fā)送報(bào)文的APPID。

(2)對(duì)智能變電站待測(cè)設(shè)備，依據(jù)附表A1中測(cè)評(píng)指標(biāo)，選取測(cè)評(píng)內(nèi)容，確定測(cè)試技術(shù)，結(jié)果如表3所示。

表3 待測(cè)設(shè)備及測(cè)評(píng)指標(biāo)和測(cè)試技術(shù)

2)現(xiàn)場(chǎng)測(cè)試。本案例待測(cè)設(shè)備既有站控層設(shè)備也有過(guò)程層設(shè)備，現(xiàn)場(chǎng)測(cè)試過(guò)程如下：

(1)測(cè)試主機(jī)接入站控層交換機(jī)，利用Nmap進(jìn)行網(wǎng)段掃描，確認(rèn)遠(yuǎn)動(dòng)終端、保護(hù)裝置及測(cè)控裝置均在線；依據(jù)表3所列測(cè)評(píng)內(nèi)容及測(cè)試技術(shù)對(duì)遠(yuǎn)動(dòng)終端、保護(hù)裝置及測(cè)控裝置進(jìn)行測(cè)試，記錄測(cè)試現(xiàn)象，結(jié)果如表4所示。

表4 遠(yuǎn)動(dòng)終端、保護(hù)裝置及測(cè)控裝置的測(cè)試結(jié)果

(2)測(cè)試主機(jī)接入過(guò)程層交換機(jī)鏡像端口，利用網(wǎng)絡(luò)抓包工具結(jié)合APPID，監(jiān)聽測(cè)控裝置、智能終端及合并單元的心跳報(bào)文，確認(rèn)各裝置均在線；依據(jù)表3所列測(cè)評(píng)內(nèi)容及測(cè)評(píng)方法對(duì)測(cè)控裝置、智能終端及合并單元進(jìn)行測(cè)試，記錄測(cè)試現(xiàn)象，結(jié)果如表5所示。

表5 測(cè)控裝置、智能終端及合并單元的測(cè)試結(jié)果

3)分析整改。對(duì)表4及表5的測(cè)試現(xiàn)象分析可知，本次測(cè)試中的5類嵌入式終端均能滿足正常業(yè)務(wù)運(yùn)行要求，但遠(yuǎn)動(dòng)終端、保護(hù)裝置、測(cè)控裝置和智能終端無(wú)法處理異常情況下的報(bào)文，可能遭受泛洪攻擊、報(bào)文篡改攻擊和畸形報(bào)文攻擊。5類嵌入式終端測(cè)評(píng)結(jié)果如表6所示。

由表6可知，接入站控層網(wǎng)絡(luò)的設(shè)備(遠(yuǎn)動(dòng)終端、保護(hù)裝置、測(cè)控裝置)大都會(huì)受到泛洪類攻擊的影響，建議對(duì)接入站控層網(wǎng)絡(luò)的設(shè)備做如下更改：(1)關(guān)閉ICMP echo響應(yīng)；(2)縮短SYN timeout時(shí)間；(3)設(shè)置SYN cookie；(4)使用防火墻。

表6 5類嵌入式終端的測(cè)評(píng)結(jié)果

本次測(cè)試檢測(cè)出了接入過(guò)程層網(wǎng)絡(luò)的測(cè)控裝置和智能終端中關(guān)于處理畸形GOOSE報(bào)文的未知漏洞，同時(shí)檢測(cè)出部分智能終端無(wú)法辨別正常GOOSE報(bào)文和被篡改的GOOSE報(bào)文，因此建議對(duì)接入過(guò)程層網(wǎng)絡(luò)設(shè)備做如下整改。(1)廠家對(duì)各終端的關(guān)鍵報(bào)文接收處理模塊進(jìn)行改進(jìn)，使其遵循IEC 61850規(guī)約中GOOSE協(xié)議的通信機(jī)制并對(duì)sqNum和stNum進(jìn)行檢查，能夠?qū)y序、錯(cuò)序、丟失的報(bào)文發(fā)出告警并直接丟棄，過(guò)濾過(guò)程層網(wǎng)絡(luò)中的畸形報(bào)文。同時(shí)結(jié)合終端當(dāng)前所在業(yè)務(wù)環(huán)境，嚴(yán)格對(duì)照SCD配置文件對(duì)報(bào)文的各字段進(jìn)行核查，判斷接收的報(bào)文各字段的類型、長(zhǎng)度、值等是否符合SCD文件中的配置，對(duì)不符合配置的報(bào)文直接丟棄，并向監(jiān)控后臺(tái)發(fā)出告警信息。(2)在過(guò)程層網(wǎng)絡(luò)中配置第三方報(bào)文檢測(cè)終端，針對(duì)特定業(yè)務(wù)報(bào)文攻擊(如報(bào)文篡改攻擊、報(bào)文重放攻擊)的邏輯進(jìn)行檢測(cè)和防御。

5 結(jié) 論

開展對(duì)智能變電站嵌入式終端的安全測(cè)試可以評(píng)估其安全性，便于提升終端安全水平和運(yùn)維人員制定針對(duì)性的網(wǎng)絡(luò)安全防護(hù)策略，從而保障電網(wǎng)的安全運(yùn)行。本文從分析智能變電站二次系統(tǒng)和通信網(wǎng)絡(luò)的脆弱性出發(fā)，提出了適用于智能變電站嵌入式終端的安全測(cè)評(píng)指標(biāo)及內(nèi)容，并研究了智能變電站嵌入式終端的安全測(cè)試技術(shù)。作為示例并驗(yàn)證測(cè)試技術(shù)的合理性，對(duì)國(guó)內(nèi)某省電力公司智能變電站實(shí)驗(yàn)室的5類嵌入式終端進(jìn)行了測(cè)試，并依據(jù)測(cè)試結(jié)果提供了整改建議。

本文提出的智能變電站嵌入式終端安全測(cè)試技術(shù)基于智能變電站終端和通信網(wǎng)絡(luò)的脆弱性，并結(jié)合了傳統(tǒng)信息系統(tǒng)與電力工控系統(tǒng)的相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)，具有針對(duì)性且較為全面，適用于采用IEC 61850標(biāo)準(zhǔn)建設(shè)的智能變電站。案例給出的整改建議可為產(chǎn)品廠商提升終端安全性和工程單位提高在線防護(hù)能力參考。文中脆弱性分析和安全測(cè)試技術(shù)對(duì)其他智能電網(wǎng)二次系統(tǒng)安全防護(hù)也具有參考意義。

下一步可開展智能變電站嵌入式終端網(wǎng)絡(luò)安全深度檢測(cè)技術(shù)研究、智能變電站非控制區(qū)安全測(cè)評(píng)研究、以及智能變電站整體安全測(cè)評(píng)等相關(guān)研究，以全方位保障智能變電站的運(yùn)行安全。

附錄A

表A1 智能變電站嵌入式終端安全測(cè)評(píng)指標(biāo)及測(cè)試技術(shù)