智能变电站嵌入式终端安全测试方法研究(4)

本文结合《电力信息系统安全等级保护实施指南》[13]、《信息安全技术 网络安全等级保护基本要求》[14]、《信息安全技术 网络安全等级保护测评要求》[15]等标准，针对上文分析的智能变电站嵌入式终端脆弱性和可能遭受的攻击，从系统及计算安全、网络及通信安全和应用及数据安全3个方面构建智能变电站嵌入式终端的安全测评指标及内容。

1)系统及计算安全。

智能变电站嵌入式终端操作系统的漏洞长期存在、修复周期长、修补率低，极易被攻击者利用而发起攻击；二次设备中非正常开放的服务和安装的软件也给攻击者提供了入侵条件；若攻击者在二次设备中植入了后门和恶意代码则可以直接发起任何攻击。因此本项测评指标需要涵盖系统漏洞的防护、系统入侵的防范以及恶意代码的防范。

(1)系统漏洞防护中，应能发现终端可能存在的漏洞，并在经过充分测试评估后及时修补漏洞；应保障终端对漏洞利用攻击具有一定的防御能力，能够消除未修补漏洞的隐患。

(2)系统入侵防范中，应遵循最小安装的原则，仅安装需要的组件和应用程序；应保障终端开放的服务和端口符合相关要求，关闭不需要的系统服务、默认共享和高危端口。

(3)恶意代码防范中，应能及时发现系统内存在的恶意代码，保障终端不存在后门，能够抵御恶意代码发起的攻击。

2)网络及通信安全。

智能变电站嵌入式终端处理能力较弱，且采用的IEC 协议欠缺认证机制，TCP/IP协议没有控制资源的占有和分配。若攻击者突破网络边界接入内网发起泛洪攻击，可造成嵌入式终端的拒绝服务甚至宕机，从而导致电力业务的延迟甚至中断。因此本项测评指标需要涵盖网络边界的防护、通信资源的控制以及对网络风暴的抑制。

(1)网络边界防护中，应能够对连接到内部网络的设备进行可信验证，确保接入网络的设备真实可信；应能够对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断。

(2)通信资源控制中，应能够对系统的最大并发会话连接数进行限制；当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。

(3)网络风暴抑制中，应保障终端对泛洪攻击具有一定的防范能力，能够在一定程度上抑制网络风暴。

3)应用及数据安全。

智能变电站嵌入式终端在设计时主要考虑实时性与可用性，对异常报文的处理能力较弱；同时若攻击者通过非正常手段登入设备或网络，极易窃听、篡改和伪造明文传输的报文。因此本项测评指标需要涵盖软件的容错设计、登录身份的验证和数据的完整保密。

(1)软件容错设计中，应提供数据有效性检验功能，保证通过人机接口输入或通信接口输入的内容符合系统设定要求，能够对异常的报文进行合理的处理；在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施。

(2)登录身份验证中，应提供访问控制功能，对登录的用户分配账号和权限；应具有身份认证功能，对登录用户进行身份标识和鉴别；应强制用户首次登录时修改初始口令，保障用户账号具有合适强度的身份认证口令；应提供并启用登陆失败处理功能，多次登陆失败后采取必要的保护措施。

(3)数据完整保密中，应采用校验码技术或加密技术保证重要数据在传输和存储过程中的完整性；应采用加解密技术保证重要数据在传输和存储过程中的保密性。

综上，智能变电站嵌入式终端安全测评指标如图2所示。

图2 智能变电站嵌入式终端安全测评指标体系Fig.2 Index system for security evaluation of embedded terminals in intelligent substation

3 智能变电站嵌入式终端安全测试技术研究

考虑完全覆盖上述智能变电站嵌入式终端的测评指标，本文针对智能变电站嵌入式终端脆弱性及可能遭受的网络攻击，给出相应的测试技术，包括漏洞扫描、漏洞利用、安全基线配置核查、恶意代码分析检测、报文攻击测试、流量压力测试与模糊测试。

1)漏洞扫描。

漏洞扫描是一种基于漏洞数据库，利用扫描检测等方式判断目标系统是否存在漏洞的主动式防范技术。它作为一类重要的网络安全技术，可适用于各类操作系统的脆弱性分析及安全测试，其主要功能是在漏洞被攻击者利用前由安全测试人员主动地进行全面的安全隐患扫描，可预防漏洞恶意利用、降低风险等级，进而提升系统整体安全性。

文章来源：《分析测试技术与仪器》 网址: http://www.fxcsjsyyq.cn/qikandaodu/2021/0616/721.html