1.创新基金(基础性、前瞻性及软课题类)嵌入式测控终端设备信息安

中国电力科学研究院科技创新

基金项目

可行性研究报告（基础性、前瞻性及软课题类）

项目名称：嵌入式电力测控终端设备信息安全防护及测试技术研究

申请单位：信息与通信技术研究所

起止时间：2013年1月至2013年12月

项目负责人：梁潇

联系电话：010-********-818

电子邮箱：liangxiao@d6811c88227916888486d7ef 申请日期：2012年7月

一、立项背景

1.需求分析

随着智能电网的建设和发展，用户数量大，双向交流互动性强，网络边界向发电侧、用户侧延伸覆盖至智能电网各环节，与传统电网相比，其信息安全具有点多面广、技术复杂的特点。智能电网信息系统存在生产信息在网络传输中被非法窃取、篡改，业务系统完整性、保密性、可用性被破坏，智能设备、智能表计、智能终端和用户终端被非法冒用、远程控制和违规操作三类风险。面临新的信息安全风险，必须确保坚强智能电网业务系统安全稳定运行。

智能电网建设过程中出现了数量庞大的智能化测控类终端设备，如智能变电站中的智能电子设备（IED）和远程终端（RTU）、风电场中的风机可编程逻辑控制器(PLC)、配网自动化系统中的配电传输单元（DTU）和馈电传输单元（FTU）等。这些设备往往采用嵌入式操作系统，具有一定的处理能力，位于现场，对生产过程进行直接控制。随着计算机信息技术的发展，这些设备的智能化程度逐渐增加，网络化和智能化程度的增加使得这些设备所面临的信息安全风险较传统电网面临的风险种类更多，范围更大，层次更为深入，其信息安全问题不仅与电力生产安全和经济安全密不可分，而且已经关系到国计民生、社会稳定与公众利益。

面向电力系统的（信息）安全事件和攻击，近年来被越来越多地被报道披露，而且攻击已经由利用通用信息系统黑客工具发展为针对性的工控攻击，尤其是对于系统架构中处于重要的底层测控设备的攻击。

2009年发生的震网蠕虫事件就是恶意代码通过控制现场的可编程逻辑控制器（PLC）导致了核电站的安全事件。

2011年9月，一种与Stuxnet具有相似结构的恶意代码Duqu出现在欧洲多个国家。

Duqu的主要作用是侦查和搜集资料。虽然Duqu不像Stuxnet一样直接攻击现场设备，但是可以随时根据攻击对象安装不同的攻击工具包，Duqu可能会成为寄居在基础设施内的定时炸弹。

2011年3月21日意大利黑客Luigi Auriemma在主页上披露Siemens、Iconics、7-Technologies、RealFlex Technologies等公司产品存在34个漏洞，3月23日披露BroadWin公司产品存在2个漏洞。

2011年5月开始，美国NSS实验室的研究人员Dillon Beresford持续报告出大量工控系统的安全漏洞，包括中国的力控软件和国外的Siemens在内。8月份的黑帽大会上，他为大家演示了如何入侵一台西门子S7 PLC，包括获取内存读写权限、盗取数据、运行指令以及关闭整台PLC。

这些攻击发生的原因可以归纳为两个方面：

（1）安全功能不足。设备厂商在设计过程中,没有充分考虑设备的信息安全需求,导致设备的安全功能不足。如没有限制并行会话数，可能导致设备遭到拒绝服务攻击；没有区分审计功能与管理功能，管理员可以对日志信息进行管理和删除，攻击者一旦获得管理员权限，在进行攻击操作后可以消除一切痕迹。

（2）开发实现过程存在缺陷。设备厂商没有建立信息系统安全开发过程，在设计、开发以及测试过程中没有必要的安全管理机制和流程，导致设备存在大量开发漏洞。

国家层面上，针对包括底层智能设备在内的工业控制系统，工信部协【2011】451号通知明确指出：“SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威

胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的‘震网’病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。”

国家互联网应急中心发布的《2011年中国互联网网络安全态势综述》指出：“2011年国家信息安全漏洞共享平台收录了100多个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品，对正常生产秩序形成严重威胁。”

行业层面上，2012年2月, 中国信息安全测评中心发布施奈德Electric Modicon Quantum PLC中存在信息安全漏洞，该漏洞源于在Unity软件和PLC间未执行验证。远程攻击者可利用此漏洞借助未明向量导致拒绝服务或执行恶意代码。由于PLC在电厂中大量使用，该问题已引起国家电力监管委员会高度重视，目前正责成中国电力科学研究院信息安全实验室进行对应PLC设备的安全研究与测试工作，并将启动对电力二次系统下层执行设备的信息安全研究以及相关标准和测试规范的制订。

2.目的和意义

随着信息技术在公司的广泛应用，公司信息化程度越来越高，公司对信息技术的依赖程度越来越大，网络与信息系统的基础性作用日益增强，信息安全已经成为促进信息化进一步深入、保障信息化成果的重要手段，成为国家安全的重要组成部分。

信息安全保障工作是电网安全稳定运行的重要基础，同时也是国家安全战略的重要组成部分。工控现场测控终端设备位于电力二次系统底层，直接对一次过程进行控制，这些设备的信息安全保障水平将直接影响电网安全稳定运行的水平。

在过去很长一段时期内，电力行业普遍认为电力系统基于相对隔离的系统部署环境和

多层纵深的安全防护手段使其免遭外界攻击，所以电力系统工控产品的信息安全性在整个产品生命周期中易被忽视。然而，随着智能电网技术和现代工控系统相关技术的不断发展，开放通信协议的引入，智能终端设备的发展，与其他设备/软件连接的增加，外部连通性的增强，网络攻击事件的频发等因素，日益加重了电力系统的安全风险。针对目前电力现场测控设备存在的信息安全功能脆弱性和实现漏洞，亟需针对这些具有处理能力的现场测控设备进行信息安全研究，规范设备的安全功能和设计与实现，设计开发信息安全测试的技术与工具，标准化有关部门、测评认证机构对设备的安全性评价、评估、认证过程。

在国家与行业高度重视工业控制系统信息安全工作的大环境下，在公司大力推动企业信息化管理与建设智能电网的背景下，本项目将通过保障二次系统底层测控终端设备的安全，着力保障电网的安全可靠运行，有效消除底层设备安全隐患，并带来可观的经济效益。开展智能化测控终端设备安全研究将实现设备设计与研发安全的标准化和规范化，推动测控终端设备安全测试服务产业化，为电力二次系统乃至电网的稳定运行提供安全保障。

本项目通过嵌入式测控终端设备安全性防护与测试技术研究，提出终端设备的安全功能与安全开发要求标准，设计开发终端设备的信息安全能力辅助测试工具；研究符合电力测控环境高实时性要求的测控终端设备安全事件审计、告警与追踪技术，并研发安全监测原形系统；提出适用于嵌入式终端设备的通信协议实现漏洞测试方法论和技术规范，并研制支持多种通信协议的嵌入式终端通信实现缺陷检测装置，为电力二次系统的安全防护和智能电网下一步建设发展提供必要保障。项目的成功实施，具有以下重大意义：1）将智能电网安全研究拓展到设备级。通过本项目开展的设备安全功能与安全开发要求研究、设备安全检测与告警研究、设备通信协议实现安全测试研究、以及对应的原形系统与工具研发和标准规范制定，将信息安全研究对象从网络级、系统级推进到设备级，拓展了信息安全防护的广度和深度。

2）实现高实时电力测控环境中的安全态势感知。通过集中数据采集对实时性要求极高的电力生产环境中的测控终端的安全运行进行实时监测，利用数据挖掘与综合分析技术对运行环境中可能存在的安全攻击与安全事件进行预警与追踪。充分考虑实时通信网络中的可靠性要求，实现设备信息安全监测与电力二次系统实时生产稳定可靠运行的双赢。

3）提出支持多通信协议的实现漏洞检测技术。采用基于模糊测试的通信协议（规约）实现缺陷检测方法，研制针对电力测控终端设备可能使用到的通用协议和专有协议的安全测试流程和工具。缺陷检测方法的应用，有利于深度挖掘、全面发现设备漏洞，提升直接控制生产过程的电力自动化设备安全性。

4）为电力二次系统安全防护工作提供坚强技术支撑和保障。建立的测控终端安全性测试的统一标准和规范，可指导公司全面开展二次系统底层设备的安全入网工作，并为测控终端设备上线安全测试提供技术手段和评价依据，为智能化测控设备在电网中的推广应用提供安全保障。

5）产生较大社会效益和经济效益。本项目研究成果为智能电网工业控制系统中终端设备的漏洞挖掘提供了技术方法和自动化装备，并为高实时环境下的设备信息安全监测提供了算法和工具，推动技术成果的应用和推广，有利于提升电网自动化设备的安全，保障电网安全可靠运行，具有显著社会效益。此外，通信协议实现缺陷检测装置的使用和相关安全测试服务的开展、设备安全监测系统的推广和产业化将带来明显的经济效益。

二、可行性分析

1.国内外研究水平的现状和发展趋势

(1)国外研究水平的现状和发展趋势

1)工控系统信息安全的标准化

国外早在上世纪九十年代，国外发达国家就开展包括下层测控终端设备在内的工业控

制系统安全领域的标准制定和实验研究。

为了有效解决工业自动化和控制系统的信息安全问题，IEC TC65 WG10（网络与系统信息安全工作组）与国际自动化协会ISA 99成立联合工作组，共同制定IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。IEC 62443系列标准分为通用、信息安全程序、系统技术和部件技术4个部分，共12个文档，每个文档描述了工业控制系统信息安全的不同方面。第1部分描述了信息安全的通用方面，作为IEC 62443其它部分的基础。第2部分针对用户的信息安全程序，包括了整个信息安全系统的管理、人员和程序设计方面。第3部分主要面向系统集成商，包括了将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及信息安全保障等级的定义和要求。第4部分包括系统的硬件、软件和信息部分，以及当制造商开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。其中，IEC62443第4-1部分就是针对工控嵌入式测控终端设备的安全要求，该部分标准仍在编制中。

在IEC62443中针对工业控制系统对信息安全的定义是：“保护系统所采取的措施；由建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。”

此外，美国IEEE早在2007年发布了《变电站智能电子设备信息安全能力》标准，对智能电子设备（IED）的安全功能要求（SF）进行了定义，但是这个标准仅针对变电站中的智能电子设备，部分内容晦涩，不易理解与使用，而且没有考虑设备的安全保证要求（SA），目前的应用情况并不理想。

2)工控嵌入式测控终端设备信息安全测试

2009年，国际自动化协会ISA下属的安全符合性委员会提出将设立工控嵌入式测控设备的安全性认证项目，并在对美国已有的工控系统安全研究报告进行整理的基础上，提出了嵌入式设备的功能安全要求、软件开发安全要求等文档，并设立了系统的检测流程。

3)工控测控终端设备的安全监测

早在2009年，美国标准化技术委员会发布的NIST 800-53《联邦信息系统与组织的安全控制建议》中就提到了“有效监测、记录安全事件并发出警报，要求工控系统所有组件都能生成对应于预定义安全事件的适宜日志。日志文件中收入准确的和相关的信息至关重要。总体来说，工控系统组件的所有日志必须能够回答5 个基本问题：谁干的、发生了什么事、事件在何处发生、事件在何时发生、事件是如何发生的。在确定数据发生的读、写、删除和修改行为时，可能还应确定与之相关的进程、谁拥有这个进程、进程是何时启动的、行动是在何处发生的以及进程为什么会运行。此外，与工控系统组件相关的所有管理、认证、授权和通信事件均应记录到日志中并上报给集中监测系统。”

就安全实时在线监测技术来讲，网络安全态势（Network Security Situation，NSS）可以实时、动态的描述互联网或较小规模网络的安全状况，NSS因其准确、直观等特点引起研究学者的广泛关注。网络安全态势评估（Network Security Situation Evaluation，NSSE）是对NSS的深入研究，NSSE一方面包括目标网络实时的安全态势分析，即网络安全态势感知（Network Security Situation Awareness，NSSA），另一方面包括目标网络未来安全态势告警，即网络安全态势预测（Network Security Situation Forecast，NSSF）。

美国劳伦斯伯克利国家实验室(Lawrence Berkeley Na—tional Labs)的Stephen Lau 于2003年开发了“The Spinning Cube of Potential Doom”[9]系统，该系统在三维空间中用点来表示网络流量信息(在笛卡儿坐标系中，即x轴代表网络地址，y轴代表所有可能的源IP，Z轴代表端口号)，极大地提高了网络态势感知能力。卡内基梅隆大学SEI(Software

Engineering Institute)所领导的CERT／NetSA(The CERT Net—work Situational Awareness Group)开发出SILK[10(the Systemfor lnternet-I evel Knowledge)，该系统采用集成化思想，即把现有的Netflow工具集成在一起，提供整个网络的态势感知，便于大规模网络的安全分析。美国国家高级安全系统研究中心(National Center for Advanced Secure Systems Research，NCASSR)正在进行的SIFT[11](Security Incident FusionToo1)项目，欲通过开发一个安全事件融合工具的集成框架，为Internet提供安全可视化。目前该机构已开发的Inter—net安全态势感知软件有：NVisionIP，VisFlowConnect-IP，UCLog+等。NVisionIP[1 2,13]通过系统状态可视化来获取Internet的安全态势感知；VisFlowConnect-IP[14，15]通过连接分析可视化来获取Internet的安全态势感知；UCLog+[16]是安全态势感知数据库系统，用于事件存储、事件查询以及事件关联。

其他研究机构还有美国国防部计算机安全中心(National Computer Security Center of Department of Defense)、美国空军(US Air Force)、加拿大国防研究与开发中心(DefenceR&D Canada)，以及瑞士联邦技术院(Swiss Federal Instituteof Technology Zurich，ETH Zurich)等。

鉴于当前网络的现状、发展以及入侵与攻击行为所造成的巨大损失，有关政府部门已经意识到开展网络态势感知研究的必要性。美国国防部在2005年的财政预算报告[17]中就包括了对网络态势感知项目的资助，并提出分三个阶段予以实现，分别为：第一阶段完成对大规模复杂网络行为可视化新算法和新技术的描述和研究，着重突出网络的动态性和网络数据的不确定性；第二阶段基于第一阶段所研究的工具和方法，实现和验证可视化原型系统；第三阶段实现可视化算法，提高网络态势感知能力。美国高级研究和发展机构(Ad —vanced Research and Development Activity，USA)[18]在2006年的预研计划中，明确指出网络态势感知的研究目标和关键技术。研究目标是以可视化的方式为不同的决策者和

分析员提供易访问、易理解的信息保障数据——攻击的信息和知识、漏洞信息、防御措施等等；关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。

(2)国内研究水平的现状和发展趋势

国家和行业对于包括电力二次系统在内的工业控制系统的信息安全问题高度重视，很多研究机构和标准委员会也启动了相关的工作。

1)电力二次系统及工控系统信息安全的标准化

针对电力二次系统安全状况，尤其是“二滩事件”，电力行业高度重视，从2000年起组织国内大批专家对电力二次系统安全防护进行了深入系统地研究论证，国家有关部门给予有力支持，原国家经贸委发布了第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》。电监会在2004年发布第5号令《电力二次系统安全防护规定》，在2005年发布了《电力二次系统安全防护总体方案》及系列配套安全防护方案，制定了“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略。这套文件虽然不是标准，但是以规定的形式对相关技术方案进行了强制实施，

2007年，中国电力科学研究院联合解放军信息安全测评认证中心，向全国信息安全标准化技术委员会申请了《SCADA系统安全指南研究》项目。在调研和分析了国内外现有工业控制系统安全防护手段和手段，研究了目前世界上先进国家的工业控制系统安全相关标准，并结合我国工业控制系统的实际情况和我国信息安全发展趋势，提出了工控SCADA 系统安全标准架构和安全指南框架，为进一步制定工控SCADA系统的安全标准提供了可靠的基础。2008年，国家信息技术安全研究中心、国家电力监管委员会信息中心和中国电力科学研究院共同开展了对信息安全标准“工控SCADA系统安全研究”的预研工作，研究了国内外工控系统安全相关标准，吸取了国内信息安全等级保护和风险评估工作的经验，

结合了电力、中石化等国家重要行业或企业的实践经验，对SCADA系统的资产、威胁和脆弱性进行了分析，初步提出了SCADA安全防护体系框架、SCADA系统安全等级防护要求、SCADA系统风险评估要求和SCADA系统灾难备份和恢复要求。目前该标准的研究制订已于2009年正式纳入国家信息安全标准制修订计划。

尽管已经具备了系统和网络层面的标准，但随着智能电网的建设和工业控制系统信息化程度的增加，系统的智能化、网络化和信息化向着下层过程延伸，实际对生产过程进行测控的终端设备的信息安全能力对系统稳定运行至关重要，目前国家或行业层面还有该类设备的安全标准、监视和测试技术。

2)信息安全集中监测技术与态势感知

国内对网络态势感知的研究才刚刚起步。冯毅在文[19]中从我军信息与网络安全的角度出发，阐述了我军积极开展网络态势感知研究的必要性和重要性，指出了两项关键技术——多源传感器数据融合和数据挖掘。国内其它相关研究主要是围绕网络安全态势评估、大规模网络预警等来开展的。在网络安全态势评估方面，西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台[20] ，该系统实现了态势评估；并在文[21]中提出了一个基于统计分析的层次化安全态势量化评估模型，该模型从上到下分为系统、主机、服务和攻击／漏洞4个层次，并且采用了自下而上、先局部后整体的评估策略及相应计算方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统[22] ，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，用于评估网络设备及结构的脆弱性、安全威胁水平等。在大规模网络预警方面，国防科技大学的胡华平等人[23]提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。

目前国内在网络安全态势评估和预警所开展的研究，还存在诸如实时性不强、数据源

单一等问题。针对这种情况，中国电力科学研究院信通所信息安全实验室从2009年开始在进行大规模网络安全态势感知技术研究的同时，关注高实时可靠性要求的电力测控通信环境下的监测技术，相关工作已经起步。

3)工控现场终端设备的安全测试

目前国内并没有针对工控测控终端设备的安全性测试研究或认证工作的开展。

中国电力科学研究院信通所信息安全实验室从2011年初开始进行现场设备信息安全研究与防护实现方面的工作，一方面通过改造电力配网自动化系统（属于工控系统）主站与设备间的远程通信协议实现设备的认证与控制功能的保护，另一方面对配电终端等工控系统底层测控设备进行攻击测试，验证设备可能存在的漏洞的同时，为设备厂商提供设备安全功能和实现的建议。近期又开展了广泛使用于电厂的PLC设备安全功能验证和测试工作。

2.项目承担单位的研究基础

(1)项目承担单位研究水平的现状

中国电力科学研究院（简称中国电科院）成立于1951年，是国家电网公司直属科研单位，是中国电力行业多学科、综合性的科研机构。中国电科院主要从事发电、输配电、供用电技术研究，电力工程设计、施工、运行监测技术研究，以及新能源、新材料、能源转换、信息与通信等技术研究，研究范围涵盖电力科学及其相关领域的各个方面。

中国电科院目前拥有十一个研究所、十七个科技公司、一个输配电及节电技术国家工程研究中心、一个（国家工程研究）电力建设技术服务中心、一个部级质量检测中心、一个研究生部、一个博士后流动站、一个博士后工作站和一个杂志社（出版中国电机工程学报、电网技术、电力建设杂志和中国电信息报纸），建有主要实验室二十八个，其中：电网安全与节能国家重点实验室、电力系统仿真国家工程实验室和特高压工程技术国家工程

实验室（北京）为国家级实验室，电力系统电力电子实验室、电力系统仿真试验室、信息系统安全实验室、输电线路杆塔实验室、导线力学性能实验室和岩土工程实验室为国家电网公司重点实验室，继电保护及安全自动装置实验室为中关村开放实验室。

2000年至今，中国电科院先后承担国家973计划项目2项，国家863计划项目3项，国家重大科技攻关/科技支撑计划项目7项共47个课题，国家自然科学基金项目9项，国家发改委项目13项，国家科研院所技术开发研究专项项目7项，国家公益基金项目1项，电力工业重大项目200多项，为我国电网的建设和发展提供了坚强的技术支撑。

自建院以来，中国电科院荣获国家科技进步奖76项（其中一等奖6项）、国家技术发明二等奖1项、省部级科技进步奖360项（其中一等奖35项）、国家专利168项、第八届中国专利奖金奖1项，出版专著93部，发表学术论文2634篇，在我国电力工业发展的各个标志性阶段做出了重要贡献。

(2)项目承担单位的人力资源

1)项目负责人

梁潇，女，生于1982年7月，工程师，现任中国电力科学研究院信息与通信研究所信息空间安全技术研究室信息安全工程师。

该同志长期从事电力系统自动化、电力系统信息化工作，近年重点开展电力二次系统、工控系统和智能电网的信息安全标准化、智能变电站的安全防护研究、安全防护防护体系设计和防护技术算法研究工作。

2)核心研究人员

3)其他研究人员

（说明：列表介绍其他项目承担人员的简要情况。）

(3)项目承担单位的硬件环境

中国电力科学研究院信通所信息安全实验室长期从事软件系统、网络设备和安全设备的安全测试，具有完整的测试体系、测试工具和专业技术人员。而且已经具备了配网自动化系统、DCS和PLC监控模拟环境，已经开展了配电终端和PLC的安全功能和实现缺陷安全测试。在2012年年底前还将完成智能变电站模拟环境的搭建，和《变电站IED的安全功能要求》企标的编写。

目前仍存在欠缺的是对电力通信协议和现场层面需要实现安全报警的事件分析。这部分内容将通过进一步的学习、与院内继电保护所、自动化所和设备厂商的交流和合作解决。

三、项目研究内容

1.研究内容

(1)嵌入式测控终端设备安全性分析

对目前电力系统使用的嵌入式测控终端设备进行整理，研究其组成与工作机制，并在

信息安全风险分析的基础上，对设备进行分类。

(2)嵌入式测控终端设备的信息安全功能要求与开发要求

在对嵌入式测控终端设备依据实时性和可靠性要求进行分类整理的基础上，参考国际标准和我国电力二次安全防护的经验，提出终端设备的安全功能与安全开发要求标准。

(3)嵌入式测控终端设备的安全测试规范与测试工具

为标准的贯彻和安全认证业务的开展，建立终端设备的安全测试流程和方法，形成测试规范，设计开发终端设备的信息安全能力辅助测试工具；提出适用于嵌入式终端设备的通信协议实现漏洞测试方法论和技术规范，并研制支持多种TCP、UPD、IEC60870-5-104、IEC61850等一般和专有通信协议的嵌入式终端通信实现缺陷检测装置。

(4)嵌入式测控终端设备的信息安全集中监测

研究符合电力测控环境高实时性要求的测控终端设备安全事件审计、告警与追踪技术，并研发安全监测原形系统。

2.研究内容之间的关联性分析

四项研究内容之间的关系可以总结为：

(1)嵌入式测控终端安全型分析是安全功能要求和安全开发要求设计的基础；

(2)安全测评流程是实现安全要求满足水平认证或能力验证的工作过程描述；

(3)测试辅助工具是测评过程的辅助工具，便于测评人员对测评过程数据的整理；

(4)协议实现缺陷检测工具是验证设备实现安全开发的测试工具；

(5)设备安全监测技术是保证设备满足功能要求中的审计和检测相关内容。

3.项目研究的关键点、难点以及创新点

(1)电力专用通信协议的实现分析

电力生产要求高实时性和高可靠性，因此其中采用的通信协议往往是私有的，在对他

们进行安全性分析时，必须先掌握这些协议的功能、交互过程和结构。由于不同的系统采用的协议不同，不同的厂商设备实现协议的物理结构不同，对他们进行实现分析的专业要求高，工作量大。作为进行其他工作的必须环节，这部分工作必须细致的完成。

(2)实时电力生产环境中的设备安全监测

目前的网络安全态势评估都是针对企业管理网络或因特网的，还没有针对包括电力测控网络在内的实时生产设备的安全监测和态势分析技术。因此如何在采集测控终端设备安全日志进行集中分析预警的同时，保证生产过程的安全可靠运行将是本项目的难点之一。

(3)支持多通信协议的安全缺陷检测机制

电力嵌入式测控终端设备的通信和配置过程使用大量的通信协议，可能包括tcp、udp、ftp、http、telnet、ssh、dnp3.0、iec 61850等。而且不同厂商可能还对协议有一定的修改，要设计能够支持多协议厂商设备的协议实现安全缺陷检测算法和工具，必须前期进行大量的工作，将是本课题的难点之一，同时该工具一旦完成，将成为国内首个工控测控终端设备通信实现安全缺陷检测工具，不仅具有创新意义，未来如果可以在整个工控行业内推广，将产生巨大的经济效益。

4.研究方法

(1)嵌入式测控终端设备的安全功能和开发要求

目前IEC正在制定关于工控底层嵌入式设备的安全功能和开发要求，尽管仍在草案阶段，但基本内容已经得到了国外厂商的认可。本工作将参考国外标准的内容，同时基于国内实施电力二次系统安全防护方案的基础，编制嵌入式测控终端设备的安全功能和开发要求。

(2)支持多通信协议的安全缺陷检测

通信协议实现缺陷的产生主要是设计开发测试过程中安全考虑不足造成的，目前对于

这种开发缺陷的安全测试主要采用Fuzzing技术。

Fuzzing是一种基于缺陷注入的自动软件测试技术，它利用黑盒测试的思想，使用大量半有效的数据作为应用程序的输入，以程序是否出现异常为标志，来发现应用程序中可能存在的安全漏洞。所谓半有效的数据是指对应用程序来说，文件的必要标识部分和大部分数据是有效的，这样应用程序就会认为这是一个有效的数据，但同时该数据的其他部分是无效的，这样应用程序在处理该数据时就有可能发生错误，这种错误能够导致应用程序的崩溃或者触发相应的安全漏洞。Fuzzing技术是利用Fuzzer工具通过完全随机的或精心构造一定的输入来实现的。

研发支持多通信协议的安全缺陷检测工具的关键是如何通过用例和算法设计提升测试效率和效力，目前拟设计基本变异、缓冲区溢出变异、域缺失变异、组合变异等多种测试用例及与之对应的Fuzzing算法，提升电力设备通信协议安全性测试的效率和效力。

(3)实时电力生产环境中的安全监测

1999年，Tim Bass在文[3]中首次提出了网络态势感知(Cyberspace Situation Awareness)这个概念，并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。自Tim Bass提出了网络态势感知概念后，随即在文[4]中提出了基于多传感器数据融合的入侵检测框架，并把该框架用于下一代入侵检测系统和NSAS。采用该框架能够实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。Stephen G_Batsell[5] 、JasonShifflet[6] 等人也提出了类似的模型。开展这项研究的个人还有A．DeMontigny-Leboeuf[7]、伊利诺大学香槟分校(Univer—sity of Illinois at Urban Champaign)的William Yurcik[8] 等。

嵌入式测控终端设备安全监测技术和原型系统的开发计划通过深入剖析NSSE的两个核心研究内容NSSA和NSSF在物理工作流程、数学本质上的区别与联系，设计了基于集

成学习Boosting算法的一体化NSSE模型，采用层次分析法（Analytic Hierarchy Process，AHP）构建NSSE评价指标体系。该体系以NSSA结果做为输入量，输出网络安全态势值（Network Security Situation Value，NSSV），并以NSSV做为NSSF的输入量，从而在物理工作流程上将NSSA和NSSF串联起来。利用集成学习Boosting算法完成NSSE 模型的函数拟合运算，在满足NSSE功能要求基础上，实现一体化的NSSA和NSSF。

四、项目研究计划

本文来源：https://www.bwwdw.com/article/p8wl.html