智能变电站嵌入式终端安全测试方法研究(6)

针对智能变电站嵌入式终端的模糊测试应覆盖测评指标的软件容错设计中关于数据有效性检查的安全要求，同时覆盖智能变电站嵌入式终端使用的所有通信协议，应具备如下功能。(1)针对IEC 的协议模糊测试；(2)针对IEC-5-102/103/104的协议模糊测试；(3)针对TCP/IP的协议模糊测试。

综上，智能变电站嵌入式终端安全测试技术体系如图3所示。

图3 智能变电站嵌入式终端安全测试技术体系Fig.3 Testing technology system for security of embedded terminals in intelligent substation

综合本节及第2节的内容，智能变电站嵌入式终端安全测评指标、测试内容及测试技术对应关系如附表A1所示。

4 案 例

本节以国内某省电力公司智能变电站实验室为测试平台，依据本文提出的智能变电站嵌入式终端安全测评指标，利用我们开发的报文攻击测试工具、GOOSE协议模糊测试工具及开源工具对该实验室的5种智能设备进行测试与评估，以示范本文测评指标及测试技术的应用方法。

该案例智能变电站二次设备组成和网络拓扑结构如图4所示，采用三层两网结构，主要二次设备有监控后台、远动终端、保护装置、测控装置、智能终端、合并单元、故障录波及网络分析装置，组网方式采用A/B双星型网络结构，2套保护装置及相关合并单元和智能终端各用1个星型网络。本次测评选取该智能变电站控制区中所有的嵌入式终端为测评对象，包括远动终端、保护装置、测控装置、智能终端及合并单元5类设备。

图4 待测智能变电站二次设备组成及网络拓扑结构Fig.4 Network topology and devices of intelligent substation for assessment case

完整的测试过程包括测试准备、现场测试和分析整改3个阶段。

1)测试准备。由于本文待测设备及所依赖的网络环境均已事先配置好，且对测试人员是未知的，因此，根据2.3节的测试方案，测试前需要做如下准备工作：

(1)查询智能变电站网络拓扑图及待测设备IP地址；查询智能变电站配置文件中待测设备接收及发送报文的APPID。

(2)对智能变电站待测设备，依据附表A1中测评指标，选取测评内容，确定测试技术，结果如表3所示。

表3 待测设备及测评指标和测试技术Table 3 Evaluation indices and testing technologies for devices under assessment

2)现场测试。本案例待测设备既有站控层设备也有过程层设备，现场测试过程如下：

(1)测试主机接入站控层交换机，利用Nmap进行网段扫描，确认远动终端、保护装置及测控装置均在线；依据表3所列测评内容及测试技术对远动终端、保护装置及测控装置进行测试，记录测试现象，结果如表4所示。

表4 远动终端、保护装置及测控装置的测试结果Table 4 Test outcomes of RTUs, relay protection devices and measuring-control devices

(2)测试主机接入过程层交换机镜像端口，利用网络抓包工具结合APPID，监听测控装置、智能终端及合并单元的心跳报文，确认各装置均在线；依据表3所列测评内容及测评方法对测控装置、智能终端及合并单元进行测试，记录测试现象，结果如表5所示。

表5 测控装置、智能终端及合并单元的测试结果Table 5 Test outcomes of measuring-control devices, smart terminals and merging units

3)分析整改。对表4及表5的测试现象分析可知，本次测试中的5类嵌入式终端均能满足正常业务运行要求，但远动终端、保护装置、测控装置和智能终端无法处理异常情况下的报文，可能遭受泛洪攻击、报文篡改攻击和畸形报文攻击。5类嵌入式终端测评结果如表6所示。

由表6可知，接入站控层网络的设备(远动终端、保护装置、测控装置)大都会受到泛洪类攻击的影响，建议对接入站控层网络的设备做如下更改：(1)关闭ICMP echo响应；(2)缩短SYN timeout时间；(3)设置SYN cookie；(4)使用防火墙。

表6 5类嵌入式终端的测评结果Table 6 Assessment results of the 5 types embedded terminals

本次测试检测出了接入过程层网络的测控装置和智能终端中关于处理畸形GOOSE报文的未知漏洞，同时检测出部分智能终端无法辨别正常GOOSE报文和被篡改的GOOSE报文，因此建议对接入过程层网络设备做如下整改。(1)厂家对各终端的关键报文接收处理模块进行改进，使其遵循IEC 规约中GOOSE协议的通信机制并对sqNum和stNum进行检查，能够对乱序、错序、丢失的报文发出告警并直接丢弃，过滤过程层网络中的畸形报文。同时结合终端当前所在业务环境，严格对照SCD配置文件对报文的各字段进行核查，判断接收的报文各字段的类型、长度、值等是否符合SCD文件中的配置，对不符合配置的报文直接丢弃，并向监控后台发出告警信息。(2)在过程层网络中配置第三方报文检测终端，针对特定业务报文攻击(如报文篡改攻击、报文重放攻击)的逻辑进行检测和防御。

文章来源：《分析测试技术与仪器》 网址: http://www.fxcsjsyyq.cn/qikandaodu/2021/0616/721.html