在兩化融合的大時(shí)代背景下,UPS雖然是一種工業(yè)設(shè)備,卻大都工作在信息化條件下,作為工業(yè)生產(chǎn)和網(wǎng)絡(luò)電源的保障屏障,其與網(wǎng)絡(luò)安全息息相關(guān)。眾所周知,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。其中,UPS對(duì)因偶然原因?qū)е率须姽╇姰惓5谋U献饔檬秋@而易見(jiàn)的,本文簡(jiǎn)析了UPS與惡意攻擊存在的隱患。
UPS的工作原理
UPS由整流器、逆變器、蓄電池等組成,主要實(shí)現(xiàn)對(duì)市電進(jìn)行濾波、整流、存儲(chǔ)、逆變等功能。
UPS作為用電設(shè)備電力保障的最后一道屏障,在市電正常時(shí)利用市電對(duì)負(fù)載直接供電,UPS對(duì)市電進(jìn)行一定的處理,例如穩(wěn)壓、濾波等,保障輸出電力的穩(wěn)定;同時(shí)在市電正常時(shí),對(duì)電池進(jìn)行充電,以保持電池處于滿(mǎn)充狀態(tài),在市電異常時(shí),利用電池的電能通過(guò)逆變?yōu)榻涣髫?fù)載供電。UPS的工作原理參見(jiàn)圖1。
隨著計(jì)算機(jī)系統(tǒng)、通訊設(shè)備的迅猛發(fā)展和智能化監(jiān)控需求的快速增長(zhǎng),UPS設(shè)備大都具備高速數(shù)字信號(hào)處理器(DSP)、單片機(jī)等智能模塊。進(jìn)而,目前大部分UPS都具備動(dòng)力環(huán)境監(jiān)控等的嵌入式系統(tǒng),在用戶(hù)的實(shí)際使用中,UPS一般處于實(shí)時(shí)受監(jiān)控的狀態(tài)。
動(dòng)力環(huán)境監(jiān)控系統(tǒng)的原理
動(dòng)力環(huán)境監(jiān)控的方式有多種,其中小機(jī)房和工業(yè)環(huán)境常用的方式是,應(yīng)用工控計(jì)算機(jī)作為監(jiān)控主機(jī),進(jìn)行電力信息收集和處理,采用多串口卡的方式實(shí)現(xiàn)對(duì)底端動(dòng)力設(shè)備的采集,通過(guò)聯(lián)網(wǎng)回傳實(shí)時(shí)數(shù)據(jù)。
UPS等設(shè)備通過(guò)智能通信口(RS232、RS485或USB)或者增加的采集模塊,將工作狀態(tài)回傳至工控機(jī)(運(yùn)行動(dòng)力監(jiān)控系統(tǒng)采集程序的電腦),由工控機(jī)實(shí)現(xiàn)協(xié)議解釋及數(shù)據(jù)處理。工控主機(jī)也可以向UPS設(shè)備發(fā)送控制指令。動(dòng)力環(huán)境監(jiān)控原理圖見(jiàn)圖2。
動(dòng)力環(huán)境監(jiān)控系統(tǒng),在工業(yè)控制上類(lèi)似于一款簡(jiǎn)易的SCADA工控系統(tǒng),存在漏洞和網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
信息化背景下的人為漏洞攻擊
據(jù)中科院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室研究,目前在使用的嵌入式設(shè)備大都處于不設(shè)防的狀態(tài)。特別是許多設(shè)備企業(yè)在生產(chǎn)時(shí)未考慮網(wǎng)絡(luò)安全隱患,在聯(lián)網(wǎng)使用時(shí),存在被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。同時(shí),該機(jī)構(gòu)模擬了利用工業(yè)病毒,通過(guò)嵌入式系統(tǒng)漏洞,“悄無(wú)聲息地”對(duì)石化設(shè)備進(jìn)行破壞的試驗(yàn),驗(yàn)證了嵌入式設(shè)備漏洞風(fēng)險(xiǎn)。
早在2010年,一個(gè)針對(duì)伊朗核實(shí)施的超級(jí)病毒——Stuxnet蠕蟲(chóng)就引起了多國(guó)情報(bào)中心的擔(dān)憂(yōu)。據(jù)證實(shí),這種病毒可以發(fā)出指令,突然改變高速運(yùn)轉(zhuǎn)的離心機(jī)運(yùn)轉(zhuǎn)速度,達(dá)到破壞離心機(jī)的目的,同時(shí)向中控系統(tǒng)發(fā)出錯(cuò)誤信息,讓控制人員無(wú)法察覺(jué)離心機(jī)的異常。該病毒是利用Windows操作系統(tǒng)漏洞和西門(mén)子器件漏洞開(kāi)發(fā)的,旨在破壞伊朗核實(shí)施。俄羅斯常駐北約代表羅戈津稱(chēng),病毒給伊朗布什爾核電站造成嚴(yán)重影響,導(dǎo)致放射性物質(zhì)泄漏,危害不亞于切爾諾貝利核電站事故。
不論是棱鏡門(mén)還是Stuxnet蠕蟲(chóng),有組織的網(wǎng)絡(luò)攻擊都是針對(duì)特定漏洞開(kāi)發(fā)攻擊手段或設(shè)置人為漏洞便于網(wǎng)絡(luò)攻擊。而針對(duì)工控系統(tǒng)或工業(yè)設(shè)備漏洞進(jìn)行的攻擊,一般是破壞性的,需要我們時(shí)刻警惕,提高意識(shí),加強(qiáng)防范。圖3為國(guó)家權(quán)威機(jī)構(gòu)公布的、已經(jīng)發(fā)現(xiàn)的工控系統(tǒng)行業(yè)廠(chǎng)商漏洞,最為相關(guān)的廠(chǎng)商包括:西門(mén)子、施耐德、Advantech等。
上述內(nèi)容,通過(guò)介紹UPS的構(gòu)造和動(dòng)環(huán)監(jiān)控的原理,闡明了UPS作為機(jī)房基礎(chǔ)的網(wǎng)絡(luò)動(dòng)力、環(huán)境設(shè)備之一,大多是動(dòng)力環(huán)境監(jiān)控系統(tǒng)下的嵌入式、可編程的智能化設(shè)備。同時(shí),通過(guò)介紹國(guó)內(nèi)外網(wǎng)絡(luò)攻擊的案例和手段,特別是針對(duì)工控機(jī)設(shè)備及嵌入式設(shè)備的網(wǎng)絡(luò)攻擊,說(shuō)明工控機(jī)、UPS等智能化設(shè)備存在人為漏洞的可能,如果沒(méi)有保護(hù)措施,我們的工業(yè)生產(chǎn)和信息化設(shè)備就存在被斷電力供應(yīng)的風(fēng)險(xiǎn),后果不堪設(shè)想。這不是無(wú)中生有的臆想,惡意軟件作者曾經(jīng)發(fā)布過(guò)一個(gè)對(duì)西門(mén)子SIPROTEC系列保護(hù)繼電器執(zhí)行DoS攻擊的工具。
網(wǎng)絡(luò)安全任重道遠(yuǎn),在注重IT關(guān)鍵應(yīng)用主機(jī)和軟件自主可控的同時(shí),我們也不容忽視供電及動(dòng)力環(huán)境控制系統(tǒng)的漏洞風(fēng)險(xiǎn),在關(guān)乎國(guó)家和人民群眾生產(chǎn)和信息安全的關(guān)鍵領(lǐng)域,工控設(shè)備及智能供電設(shè)備也應(yīng)做到自主可控。
在核電站領(lǐng)域,核級(jí)UPS是核電工程的重要組件,在供電安全性方面,技術(shù)級(jí)別是最高的。因受制于國(guó)外技術(shù)壟斷,原來(lái)我國(guó)核電廠(chǎng)在役的和在建的工程中,核級(jí)UPS設(shè)備完全依賴(lài)進(jìn)口。這制約了國(guó)內(nèi)核電的自主化水平,也影響國(guó)家戰(zhàn)略安全。從2016年開(kāi)始,國(guó)內(nèi)某企業(yè)已經(jīng)打破核島級(jí)UPS的國(guó)外技術(shù)壟斷,并開(kāi)始逐步國(guó)產(chǎn)化推廣應(yīng)用,為國(guó)家核安全增添了一道保障。
結(jié)束語(yǔ)
END
2017年,我國(guó)正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,其中規(guī)定,國(guó)家對(duì)重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),體現(xiàn)了我國(guó)對(duì)信息安全的重視。保障網(wǎng)絡(luò)安全的一個(gè)重要途徑就是自主可控。原信息產(chǎn)業(yè)部副部長(zhǎng)呂新奎認(rèn)為,保衛(wèi)網(wǎng)絡(luò)安全就是保障國(guó)家主權(quán),而自主可控就是保障網(wǎng)絡(luò)安全、信息安全的基本前提。UPS電源及動(dòng)力環(huán)境監(jiān)控系統(tǒng)作為IT網(wǎng)絡(luò)和工業(yè)控制的基礎(chǔ)保障,出現(xiàn)漏洞攻擊的危害是破壞性的,需要我們加強(qiáng)防范意識(shí),提高自主可控程度,保障國(guó)家網(wǎng)絡(luò)和工業(yè)生產(chǎn)安全。