在兩化融合的大時(shí)代背景下,UPS雖然是一種工業(yè)設備,卻大都工作在信息化條件下,作為工業(yè)生產(chǎn)和網(wǎng)絡(luò )電源的保障屏障,其與網(wǎng)絡(luò )安全息息相關(guān)。眾所周知,網(wǎng)絡(luò )安全是指網(wǎng)絡(luò )系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網(wǎng)絡(luò )服務(wù)不中斷。其中,UPS對因偶然原因導致市電供電異常的保障作用是顯而易見(jiàn)的,本文簡(jiǎn)析了UPS與惡意攻擊存在的隱患。

UPS的工作原理

UPS由整流器、逆變器、蓄電池等組成,主要實(shí)現對市電進(jìn)行濾波、整流、存儲、逆變等功能。

UPS作為用電設備電力保障的最后一道屏障,在市電正常時(shí)利用市電對負載直接供電,UPS對市電進(jìn)行一定的處理,例如穩壓、濾波等,保障輸出電力的穩定;同時(shí)在市電正常時(shí),對電池進(jìn)行充電,以保持電池處于滿(mǎn)充狀態(tài),在市電異常時(shí),利用電池的電能通過(guò)逆變?yōu)榻涣髫撦d供電。UPS的工作原理參見(jiàn)圖1。

隨著(zhù)計算機系統、通訊設備的迅猛發(fā)展和智能化監控需求的快速增長(cháng),UPS設備大都具備高速數字信號處理器(DSP)、單片機等智能模塊。進(jìn)而,目前大部分UPS都具備動(dòng)力環(huán)境監控等的嵌入式系統,在用戶(hù)的實(shí)際使用中,UPS一般處于實(shí)時(shí)受監控的狀態(tài)。

動(dòng)力環(huán)境監控系統的原理

動(dòng)力環(huán)境監控的方式有多種,其中小機房和工業(yè)環(huán)境常用的方式是,應用工控計算機作為監控主機,進(jìn)行電力信息收集和處理,采用多串口卡的方式實(shí)現對底端動(dòng)力設備的采集,通過(guò)聯(lián)網(wǎng)回傳實(shí)時(shí)數據。

UPS等設備通過(guò)智能通信口(RS232、RS485或USB)或者增加的采集模塊,將工作狀態(tài)回傳至工控機(運行動(dòng)力監控系統采集程序的電腦),由工控機實(shí)現協(xié)議解釋及數據處理。工控主機也可以向UPS設備發(fā)送控制指令。動(dòng)力環(huán)境監控原理圖見(jiàn)圖2。

動(dòng)力環(huán)境監控系統,在工業(yè)控制上類(lèi)似于一款簡(jiǎn)易的SCADA工控系統,存在漏洞和網(wǎng)絡(luò )攻擊的風(fēng)險。

信息化背景下的人為漏洞攻擊

據中科院網(wǎng)絡(luò )化控制系統重點(diǎn)實(shí)驗室研究,目前在使用的嵌入式設備大都處于不設防的狀態(tài)。特別是許多設備企業(yè)在生產(chǎn)時(shí)未考慮網(wǎng)絡(luò )安全隱患,在聯(lián)網(wǎng)使用時(shí),存在被網(wǎng)絡(luò )攻擊的風(fēng)險。同時(shí),該機構模擬了利用工業(yè)病毒,通過(guò)嵌入式系統漏洞,“悄無(wú)聲息地”對石化設備進(jìn)行破壞的試驗,驗證了嵌入式設備漏洞風(fēng)險。

早在2010年,一個(gè)針對伊朗核實(shí)施的超級病毒——Stuxnet蠕蟲(chóng)就引起了多國情報中心的擔憂(yōu)。據證實(shí),這種病毒可以發(fā)出指令,突然改變高速運轉的離心機運轉速度,達到破壞離心機的目的,同時(shí)向中控系統發(fā)出錯誤信息,讓控制人員無(wú)法察覺(jué)離心機的異常。該病毒是利用Windows操作系統漏洞和西門(mén)子器件漏洞開(kāi)發(fā)的,旨在破壞伊朗核實(shí)施。俄羅斯常駐北約代表羅戈津稱(chēng),病毒給伊朗布什爾核電站造成嚴重影響,導致放射性物質(zhì)泄漏,危害不亞于切爾諾貝利核電站事故。

不論是棱鏡門(mén)還是Stuxnet蠕蟲(chóng),有組織的網(wǎng)絡(luò )攻擊都是針對特定漏洞開(kāi)發(fā)攻擊手段或設置人為漏洞便于網(wǎng)絡(luò )攻擊。而針對工控系統或工業(yè)設備漏洞進(jìn)行的攻擊,一般是破壞性的,需要我們時(shí)刻警惕,提高意識,加強防范。圖3為國家權威機構公布的、已經(jīng)發(fā)現的工控系統行業(yè)廠(chǎng)商漏洞,最為相關(guān)的廠(chǎng)商包括:西門(mén)子、施耐德、Advantech等。

上述內容,通過(guò)介紹UPS的構造和動(dòng)環(huán)監控的原理,闡明了UPS作為機房基礎的網(wǎng)絡(luò )動(dòng)力、環(huán)境設備之一,大多是動(dòng)力環(huán)境監控系統下的嵌入式、可編程的智能化設備。同時(shí),通過(guò)介紹國內外網(wǎng)絡(luò )攻擊的案例和手段,特別是針對工控機設備及嵌入式設備的網(wǎng)絡(luò )攻擊,說(shuō)明工控機、UPS等智能化設備存在人為漏洞的可能,如果沒(méi)有保護措施,我們的工業(yè)生產(chǎn)和信息化設備就存在被斷電力供應的風(fēng)險,后果不堪設想。這不是無(wú)中生有的臆想,惡意軟件作者曾經(jīng)發(fā)布過(guò)一個(gè)對西門(mén)子SIPROTEC系列保護繼電器執行DoS攻擊的工具。

網(wǎng)絡(luò )安全任重道遠,在注重IT關(guān)鍵應用主機和軟件自主可控的同時(shí),我們也不容忽視供電及動(dòng)力環(huán)境控制系統的漏洞風(fēng)險,在關(guān)乎國家和人民群眾生產(chǎn)和信息安全的關(guān)鍵領(lǐng)域,工控設備及智能供電設備也應做到自主可控。

在核電站領(lǐng)域,核級UPS是核電工程的重要組件,在供電安全性方面,技術(shù)級別是最高的。因受制于國外技術(shù)壟斷,原來(lái)我國核電廠(chǎng)在役的和在建的工程中,核級UPS設備完全依賴(lài)進(jìn)口。這制約了國內核電的自主化水平,也影響國家戰略安全。從2016年開(kāi)始,國內某企業(yè)已經(jīng)打破核島級UPS的國外技術(shù)壟斷,并開(kāi)始逐步國產(chǎn)化推廣應用,為國家核安全增添了一道保障。

結束語(yǔ)

END

2017年,我國正式實(shí)施《中華人民共和國網(wǎng)絡(luò )安全法》,其中規定,國家對重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施,在網(wǎng)絡(luò )安全等級保護制度的基礎上,實(shí)行重點(diǎn)保護,體現了我國對信息安全的重視。保障網(wǎng)絡(luò )安全的一個(gè)重要途徑就是自主可控。原信息產(chǎn)業(yè)部副部長(cháng)呂新奎認為,保衛網(wǎng)絡(luò )安全就是保障國家主權,而自主可控就是保障網(wǎng)絡(luò )安全、信息安全的基本前提。UPS電源及動(dòng)力環(huán)境監控系統作為IT網(wǎng)絡(luò )和工業(yè)控制的基礎保障,出現漏洞攻擊的危害是破壞性的,需要我們加強防范意識,提高自主可控程度,保障國家網(wǎng)絡(luò )和工業(yè)生產(chǎn)安全。