梁捷

（廣西電網有限責任公司計量中心，廣西 南寧 530023）

智能電網和計量自動化的發(fā)展使得電網數(shù)據(jù)在用戶和電網公司可實現(xiàn)雙向傳遞。然而由于成本原因，電力信息網往往不具備專有的通信網絡，而是由第三方運營商提供，存在潛在的網絡攻擊風險。若不能有效檢測和抵御這些攻擊，將影響電網的數(shù)據(jù)安全和運行穩(wěn)定[1]。

南方電網規(guī)范的計量自動化終端（以下簡稱計量終端）用于電力用戶的用電數(shù)據(jù)采集，并通過上行通道將所采集的數(shù)據(jù)傳輸?shù)街髡?，其類型包括負荷管理終端、集中器等[2]。然而，由于其安裝位置分散在各處，難以集中管理，尤其是安裝在各低壓配網的集中器，缺乏有效的非授權操作防御措施，用戶可直接接觸，故成為最容易受到安全攻擊的電網設備之一。

1 計量終端網絡安全風險點

電能表和計量終端是計量自動化系統(tǒng)的重要硬件組成部分。在費控電能表推廣以前，用電數(shù)據(jù)在電能表和計量終端之間的信息傳輸是按照特定的、公開的協(xié)議明文傳輸，故相比于作為處理中樞的計量主站，這些硬件設備更易處在攻擊者可以接觸的范圍內。針對智能終端可能遭受到的安全攻擊，其網絡安全風險點主要包括以下方面：

1.1 系統(tǒng)安全

很多計量終端都存在默認的弱口令，如果用戶沒有修改這些默認口令或者將這些口令設置為弱口令，攻擊者就可以利用弱口令漏洞獲取系統(tǒng)數(shù)據(jù)。

1.2 設備內核數(shù)據(jù)安全

計量終端通常是基于linux 操作系統(tǒng)的設備，存在安全訪問協(xié)議SSH（secure shell 安全外殼協(xié)議）漏洞[3]，該漏洞可使攻擊者通過服務缺省配置的不安全算法進行網絡攻擊。由于當通過ssh 弱口令登錄到終端之后，終端里的數(shù)據(jù)是非加密的，且計量終端數(shù)據(jù)通常采用十六進制，小端模式存儲，即數(shù)據(jù)字節(jié)的最低位存放于內存地址的最低位。基于這些信息，攻擊者可利用SSH 漏洞登錄到目標計量終端，然后可任意修改終端數(shù)據(jù)，例如可對終端里存儲的主站地址，電量數(shù)據(jù)等進行任意修改。

1.3 通信連接安全

根據(jù)南方電網終端技術規(guī)范，計量終端具備本地維護用的RS-232 端口，可用于上行通信規(guī)約調試。但是這個調試端口由于不具備口令防護，故存在安全漏洞。攻擊者可以利用該端口按照上行信道的通信規(guī)約對計量終端發(fā)起攻擊，包括可修改計量終端中的關鍵配置數(shù)據(jù)。例如攻擊者可通過操作系統(tǒng)的SSH 漏洞，登錄終端后改變計量終端的主站地址，將該終端采集的電力數(shù)據(jù)傳輸?shù)叫薷暮蟮膫窝b主站，則原主站將無法接收該數(shù)據(jù)。同時該部分的電力數(shù)據(jù)也會被偽裝主站竊取。此外，通信連接攻擊還可通過GPRS/CDMA、以太網等上行通道實現(xiàn)。

1.4 竊聽安全

由于計量終端和傳統(tǒng)電子式電能表之間通過RS-485 端口傳輸?shù)臄?shù)據(jù)是非加密的，即數(shù)據(jù)通過明文傳輸，攻擊者可通過使用USB～RS-485 轉接器竊聽電能表和計量終端之間的本地通信數(shù)據(jù)。

1.5 數(shù)據(jù)篡改安全

攻擊者首先獲取電能表上行的數(shù)據(jù)，然后切斷電能表和計量終端之間的聯(lián)系，接著將電能表上傳的數(shù)據(jù)經過修改傳輸給計量終端，以達到修改用戶用電數(shù)據(jù)的目的。

2 電力用戶數(shù)據(jù)采集網絡攻擊行為分析

由于電能表及計量終端中的通信漏洞和固有設計缺陷，攻擊者可構建具有比合法信號更強信號的惡意GSM 基站，然后使用上述安全漏洞通過IP地址欺騙等方式訪問目標電能表，并篡改電能表中的歷史或當前數(shù)據(jù)，最終實現(xiàn)電量竊取等目的。

IP 地址欺騙是一種使用網絡攻擊獲得訪問權限的黑客攻擊方式，黑客使用一臺主機上網，然后通過偽造數(shù)據(jù)冒用另外一臺客戶端的IP 地址，實現(xiàn)冒充另外一用戶的身份與服務器交互的目的。其中一種常見的IP 地址欺騙原理如圖1 所示。

圖1 所示的IP 地址欺騙過程為：1）攻擊者X打開到主站服務器Z 的TCP 連接以觀察響應報文中使用的初始序列號。2）對終端Y 發(fā)送拒絕服務攻擊，使得Y 不能響應任何報文。3）使用Y 的IP地址與主站z 建立聯(lián)接。4）如此以來，Z 的任務命令被發(fā)送到X。5）X 使用偽造的信息和序列號回復Z，達到欺騙Z 的目的。

無線傳輸技術的應用為低壓集抄系統(tǒng)的快速組網帶來了便利。但由于缺乏有效的網絡安全防護，導致組網單元配對過程存在漏洞，攻擊者將有機會從外部探測出網絡的交互密鑰，從而影響無線傳輸網絡的安全。例如，攻擊者可以通過使用無線傳輸?shù)穆┒丛L問電能表。然后，由于電能表的處理能力和緩存有限，攻擊者可進行SYN 泛洪攻擊使得通信因擁堵而中斷。

此外，利用該漏洞可以訪問同一無線傳輸網絡中的其他電能表并獲得控制權，然后攻擊者可以使用這些受控電能表向計量終端發(fā)送大量無效信息，即DDOS 攻擊(distributed denial of service 分布式拒絕服務)[4]。該攻擊能大量占據(jù)數(shù)據(jù)計量終端的有限處理能力，使其無法執(zhí)行正常工作。

3 網絡安全攻擊測試

圖1 一種IP 地址欺騙原理

圖2 測試平臺架構

以某廠家2018 年出廠的kali linux 64 位系統(tǒng)的南方電網規(guī)約負荷管理終端為例，計量終端通過以太網方式和筆記本電腦相連，并配置筆記本電腦的網絡和計量終端的IP 地址在同一個局域網段內，同時，計量終端與單相電子式電能表通過RS-485方式連接，測試平臺的架構如圖2。圖2 中的串口COM 用于3.4 節(jié)所述RS-485 篡改數(shù)據(jù)攻擊測試的數(shù)據(jù)監(jiān)聽。

3.1 計量終端DDOS 攻擊

在kali linux 系統(tǒng)中使用命令：hping3-S-flood -V 192.168.1.154 對計量終端發(fā)起DDOS 攻擊，情況見圖3。

圖3 圖D3D DDOOSS 攻 擊攻前后擊 前后

由圖3 可見，攻擊前計量主站能夠正常召讀電表數(shù)據(jù)，DDOS 攻擊之后計量主站從計量終端召讀電表數(shù)據(jù)出現(xiàn)異常，召讀命令等待超時?？梢?，若能用電腦ping 通目標計量終端，就能對其發(fā)動類似的DDOS 攻擊。這將造成計量主站無法采集被攻擊的計量終端的數(shù)據(jù)、且不能有效的傳達指令。

3.2 計量終端ssh 協(xié)議存在的漏洞

通過nessus 工具掃描該計量終端協(xié)議漏洞，結果見表1。

3.3 RS-485 竊聽攻擊

負荷管理終端與總表之間通常通過RS-485 方式進行連接，由于RS-485 方式通信的數(shù)據(jù)是非加密的，數(shù)據(jù)通過明文傳輸。針對該信道漏洞，攻擊裝可通過使用USB-RS485 轉接器，從電腦竊聽它們之間的通信數(shù)據(jù)。

3.4 RS-485 篡改數(shù)據(jù)攻擊

首先將電腦的一個COM 口與電能表相連，另一個COM 口連接計量終端。此時，電腦串聯(lián)接入負荷管理終端和電能表的通訊通道，電能表采集數(shù)據(jù)時將數(shù)據(jù)經過電腦發(fā)送到計量終端，使得電腦能夠讀取電能表上傳的數(shù)據(jù)。此時電腦充當中間人的角色，可對數(shù)據(jù)進行篡改攻擊，再將更改后的數(shù)據(jù)傳到計量終端。

圖4 中，左邊是負荷管理終端正常采集的數(shù)據(jù)，右邊是經過中間人攻擊后采集到的數(shù)據(jù)，我們發(fā)現(xiàn)總有功功率、A 相有功功率和B 相有功功率數(shù)值異常，可見終端數(shù)據(jù)被中間人成功修改。

3.5 RS-232 篡改數(shù)據(jù)攻擊

RS-232 是計量終端的調試端口，但由于南方電網上行通信協(xié)議的公開性，且該端口無口令防護。與RS-485 篡改數(shù)據(jù)攻擊只能修改終端接收到的數(shù)據(jù)不同，攻擊者可利用這個端口對終端發(fā)起DDOS 攻擊，在不需要密碼的情況下可對終端內的數(shù)據(jù)進行任意設置。例如，可將計量終端中的主站地址修改為偽造的主站地址，這樣偽造的主站將不斷地收到來自計量終端的信息。

表1 掃描結果

圖4 篡改數(shù)據(jù)攻擊示例

4 網絡安全防御策略

對SSH 漏洞，應升級終端操作系統(tǒng)的Dropbear SSH 到2016.74 或者以后的版本，同時提高登錄密碼的復雜度，避免攻擊者掃描弱口令。

對于竊聽和篡改數(shù)據(jù)型的網絡攻擊，可以采用內置加密解密算法的方法來防御，報文數(shù)據(jù)不應采取明文傳輸，數(shù)據(jù)發(fā)送端在發(fā)送數(shù)據(jù)前將數(shù)據(jù)加密，接收端對接收到的數(shù)據(jù)進行解密和驗證。同時在系統(tǒng)軟件中增加對應的加密解密算法，南方電網費控電能表信息交換安全認證技術要求[5]里采用對稱密鑰加密和非對稱密鑰結合的方式對數(shù)據(jù)進行加密。為了增加系統(tǒng)的可靠性，密鑰采用網級、省級和地市級三級部署模式，各級業(yè)務系統(tǒng)所用的密碼機需要經過上一級密鑰管理系統(tǒng)的清洗，而后經過該級密鑰管理系統(tǒng)的發(fā)行，方可在該級業(yè)務系統(tǒng)中使用。數(shù)據(jù)傳輸根據(jù)數(shù)據(jù)安全級別的不同，分別采用明文、明文+MAC、密文、密文+MAC 等方式進行傳輸。如此，即使攻擊者能夠構造出正確的報文，由于不知道對應的數(shù)據(jù)加密密鑰，發(fā)送到計量終端中的數(shù)據(jù)也會由于不能正確解析而拒絕執(zhí)行。

對于數(shù)據(jù)篡改的防御方法除了在數(shù)據(jù)傳輸時采用加密傳輸外，還可以增加相應的校驗幀，采用更安全的數(shù)據(jù)完整性校驗算法，如傳輸數(shù)據(jù)的同時增加md5 校驗位等。

此外，加密傳輸方法還要考慮數(shù)據(jù)重放攻擊的可能，即攻擊者截獲加密的數(shù)據(jù)后，間隔一段時間后通過信道反復發(fā)送給終端，也能達到欺騙服務器的目的。例如，攻擊者截獲了對電能表的點對點校時報文，雖然無法直接篡改，但可反復發(fā)送給電表擾亂其時鐘，從而影響凍結數(shù)據(jù)。對于數(shù)據(jù)重放攻擊的防御可以在發(fā)送的每條信息里加上時間戳，接收端收到數(shù)據(jù)后驗證數(shù)據(jù)的時間是否在允許的時間范圍內，由于時間戳是和數(shù)據(jù)一起加密的，所以攻擊者無法更改對應的時間戳，這樣能夠有效的抵抗數(shù)據(jù)重放攻擊。

5 結語

本文在分析目前計量終端的安全配置現(xiàn)狀和網絡攻擊隱患的基礎上，研究了常見網絡攻擊行為的原理及可能造成的影響，并以某負荷管理終端為例進行測試，測試表明，DDOS 攻擊之后，計量主站從計量終端召讀電表數(shù)據(jù)出現(xiàn)異常，召讀命令等待超時，對其SSH 協(xié)議進行漏洞掃描，發(fā)現(xiàn)8 個漏洞，現(xiàn)有終端安全配置可被RS-485 竊聽和RS-232 篡改數(shù)據(jù)攻擊攻破。最后對試驗中網絡攻擊生效的原因進行分析，并給出了相應的防御策略。