面向新型电力系统工控设备及协议威胁分析

随着新型电力系统的快速发展，新业务、新场景、新模式层出不穷，新型电力系统的网络和系统日趋复杂，为了满足不同业务、不同场景、不同模式的个性化需求，必然会产生大量的新的设备和协议。由于缺乏统一的技术标准指导设备及协议的设计和研发，新型电力系统工控设备及协议可能存在大量安全缺陷和漏洞。新型电力系统工控设备漏洞主要表现为Web漏洞和二进制漏洞，如何面向该类设备及协议开展威胁分析是一项技术挑战。

一、漏洞挖掘技术分类

（一）Web漏洞挖掘技术分类

基于OWASP（开放式WEB应用程序安全项目）公布的TOP 10，结合在电力系统发现的安全漏洞隐患实际案例，Web漏洞挖掘的技术方法包括SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、文件上传、业务逻辑安全漏洞挖掘等。

（二）二进制漏洞挖掘技术分类

二进制漏洞挖掘技术方法包括缓冲区溢出漏洞挖掘、符号执行的漏洞挖掘等内容。研究方法有动态分析、静态分析、动静结合的分析方法。根据动态分析与静态分析的特点，将静态分析融入动态分析，可提升漏洞挖掘的准确性、完整性与效率。

二、工控设备关键漏洞挖掘技术

（一）Web漏洞分析技术

SQL注入漏洞，是依靠存在弱点的WEB脚本代码，利用数据库提供的外部接口，采用SQL语法中的一些语句构建特殊的输入字符串，Web服务器通过执行SQL语句达到入侵数据库乃至操作系统的目的，最终实现获取某种权限的攻击技术。解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。

跨站脚本攻击（Cross-sitescripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS的防御需假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。

CSRF（Cross-site request forgery，通常简称为CSRF）是跨站点请求伪造，和XSS的区别在于请求的伪造和跨站点的请求。CSRF攻击防御主要三种策略表现在验证 HTTP Referer 字段，在请求地址中添加token并验证，在HTTP头中自定义属性并验证。

文件上传漏洞是web安全中经常利用到的一种漏洞形式，是指网络攻击者上传了一个可执行的文件到服务器并执行。防御手段包括文件上传检测、客户端JavaScript检测、服务端mime类型检测、服务端文件扩展检测、服务端目录检测、服务端文件内容检测等。

业务安全逻辑漏洞分成未授权访问漏洞及越权访问两类。业务是以信息系统为载体，承载生产运行的系统对象，因此利用业务逻辑层的应用安全问题，往往危害巨大，使用传统的安全防御设备和措施收效甚微。防御手段包括针对平行权限的访问控制缺失、针对垂直权限的访问控制缺失、针对绕过二次验证码漏洞、针对二次验证码暴力破解、针对恶意注册类的安全漏洞进行防御。

（二）二进制漏洞挖掘技术

静态分析的对象通常是源代码，也可以是可执行代码。整个过程包括如下环节：软件模型构造、漏洞模式提取、基于软件模型和漏洞模式的模式匹配。使用静态分析方法，可以比较全面地考虑执行路径的信息，因此能够发现更多的漏洞，漏报率较低。目前比较常见的静态分析技术包括词法分析、数据流分析、符号执行、模型检查、定理证明、污点传播等。

动态分析是通过运行具体程序并获取程序的输出或者内部状态等信息来验证或者发现软件性质的过程，代码动态分析的本质是使用构造的特定输入运行软件，分析对象是可执行代码。使用动态方法分析漏洞，由于获取了具体的运行信息，因此分析出的漏洞一般更为准确，误报率较低。动态漏洞分析技术主要包括模糊测试、智能模糊测试和动态污点分析等。

为发挥静态分析和动态分析各自的优点，考虑将这两种技术结合使用。动静结合漏洞分析技术主要包括三类。（1）对源代码进行静态分析，发现可能的漏洞，然后构造输入数据使用动态 分析验证其真实性；（2）对可执行代码进行反汇编，利用对汇编代码静态分析获取的信息指导动态漏洞分析；（3）执行待分析软件并搜集运行信息，在汇编代码级别上指导静态漏洞分析。

四、结束语

随着新型电力系统建设的蓬勃发展，漏洞作为网络安全最重要的部分，漏洞挖掘对于保障和维护工控设备的安全运行至关重要。通过了解漏洞挖掘技术过程中的总体流程，可分析定位漏洞位置的方法，逐步提升漏洞检测的准确性、完整性与效率。

来源：北极星电力网 作者：陆力瑜、刘媛（广西电网电力调度控制中心）