OT 网络评估报告

1. 发现安全风险 

在 OT 网络方面，客户总是这样问我们：“现在，我们还有什么安全风险？”  

尽管已经积累了深厚的电网网络安全知识，并深耕电力自动化和 SCADA 网络领域达 20 年之久，我们仍然难以回答这个问题。 

为了找到满意的答案，我们花费了三年时间（2017-2020 年），对瑞士、印度、美国和纳米比亚等分布在世界各个大洲的发电厂和变电站进行了评估。利用在这些网络安全和功能监控工作中所获得的经验，我们开发出一种全新的 OT 环境安全保障方法 – 电力自动化网络的保护不仅仅局限于网络安全本身。 

功能安全和连续运行是整体安全概念中的关键要素。只有综合考虑保证 SCADA 和变电站自动化系统 (SAS) 正常运行所涉及的全部因素，才能建立一种普遍的安全概念，更重要的是持续的安全概念。  

今天，我们非常自豪地宣布推出 StationGuard 产品。该入侵检测系统 (IDS) 不仅可以保障 SAS 和控制中心的网络安全，在评估 OT 网络安全方面也达到前所未有的准确性和可用性。 

下面我将介绍：  

• 我们为何向控制中心、发电厂和变电站网络提供安全评估服务，  
• 我们免费提供服务的原因，以及  
• 一些最有趣的发现结果。

 

2. OT 网络安全评估 

在开发 StationGuard 之前，OMICRON 的工程师已经测试并评估了许多 SAS、发电厂和控制中心网络：我们的工作包括实施渗透测试；帮助开发安全网络架构；协助编写变电站安全 OT 工程程序；并进行发电厂风险评估等。利用在这些项目中积累的知识，我们最终开发出 StationGuard IDS 产品。  

借助该工具，安全评估变得无比简单和通俗易懂，对于通常与设施 IT 网络相融合的 OT 环境，能够彻底揭露其最重要的网络安全问题。 

2020 年底，受一位同事的委托，我为其中一家客户编制了一份 StationGuard 安全评估报告。我收到了客户的工程文件，并熟悉了这家企业的网络架构。这些文档通常也是安全评估工作的基础，是后续进行现场评估的前提。  

在评估结束时，我们向客户提供了相关的发现。在安全评估中，我们通常提供： 

• 一份详尽的设备清单，包括所有在网络中进行通信的设备，  
• 在网络中发现的“异常”服务列表，以及  
• 在自动化或 SCADA 系统中发现的功能问题。 

 

变电站工程师和 IT 专业人士对我们最初的安全评估数据感到非常意外。我们在评估中发现的风险包括：多个未被察觉的外部连接、网络中存在非预期的设备、固件过时、RTU 运行失败、配置错误以及网络与其冗余协议 (RSTP) 方面的问题。 

在此之后，我和同事们又在全球范围内开展（并改进）了多项安全评估工作，从变电站扩展到发电厂和控制中心，包括 IEC 61850、IEC 60870-5-104、DNP3、Modbus TCP/IP 和许多其他的 IT 协议。  

我们的安全评估发现意义颇大，并且有时候发人深省。 

3. 安全评估发现 

我和同事们将 IED（智能电子设备）戏称为“有情绪的设备”，它可能会对非预期的 RTU 查询、配置错误和通信问题做出错误响应。 

我们在安全评估中发现，发电厂网络中通常存在多种安全风险。下面列出了最常见的几种风险： 

• 未被记录的外部连接直接访问 IED 和交换机； 
• 存在已知漏洞的过时固件； 
• 未使用的服务；以及 
• 未授权的访问。 

 

通常情况下，这些安全问题来源于功能问题，例如： 

• IED、RTU 和网络交换机的配置问题； 
• 时间同步故障，以及 
• 网络冗余问题。 

 

根据我的经验，大多数控制中心和发电厂网络在调试后都能顺利运行，但在几年甚至几个月后又会出现问题。即使在一些看似正常运行的自动化或 SCADA 网络中，也可能存在一些潜在的问题。  

例如，我们发现，由于快速生成树冗余配置的问题，网络会每 10 秒时间重新配置一次。当电网发生故障需要更多带宽时，这可能会导致出现重大问题。归根结底，这些问题可能会导致错误，也就隐含故障和网络攻击的风险。 

下面我将介绍一些在近年来所遇到的一些常见风险。 

3.1. 未使用的服务

仅通过查看 PC、IED 或 RTU 的用户界面，您可能永远无法了解网络中所发生的活动，只有通过监控网络才能了解这一切。如果存在已打开/未使用的服务，您的自动化或 SCADA 系统遭受黑客攻击的几率将大幅增加。幸运的是，我们可以轻松发现网络中未使用的通信服务： 

下面列出了我们发现的一些常见的未使用的服务： 

• IPv6：主要在 PC 中启动，但有时也出现在 IED 中。IPv6 从未被实际使用过，但却会在网络中提供一些攻击向量。 
• Windows 文件共享：总是会在 PC、基于 Windows 的 RTU 以及网关中激活文件共享服务，但却未使用过。 
• 软件许可服务：这些服务在 PC 和基于 Windows 的网关中结合管理员权限运行，但在孤立的发电厂网络中没有任何用处。然而，这些服务会随工程工具和一些 HMI 软件一起安装，它们存在一些严重的已知漏洞。 
• CoDeSys Gateway Server 是发电厂和变电站中关键 IED 上 24/7 运行的 PLC 程序开发环境服务，也存在一些已知的严重漏洞。 
• PTPv2：即使从不使用，也会在一些工业交换机中默认启用。  

 

只需关闭这些服务，便可降低设施的网络风险。 

3.2. 外部连接

如果发电厂和控制中心与企业 IT 网络建立了远程连接，则发生网络攻击的风险非常高。下面以我在 2021 年评估的一个南美变电站网络为例。 

在这次安全评估中，我们发现了多个使用外部 IP 地址的客户端活动，它们正在使用变电站中 IED 和交换机的网络服务。该变电站允许工程师使用远程连接（VPN 隧道）从家中连接和配置 IED。  

一个让 IT 安全官心悸的发现是，有一个 IP 和 MAC 地址未被团队中任何人员识别和记录。我们最终追踪到 IP 地址并发现了该连接的来源，然后阻止了其对系统的访问。 

即使变电站采取了 VPN 隧道、防火墙、RBAC 等各种现代安全措施，但仍然存在相当大的安全风险：除了架构问题，还存在连接过多甚至未记录的问题。我们通过安全评估发现了这些问题，然后该变电站对设备连接情况进行了全面整顿。 

3.3. 存在已知漏洞的过时固件 

在每次安全评估中，我都会遇到设施中固件版本过时的问题。  

在评估中，我们向设施工程师和 IT 专家提供了被动发现的设备清单。通过导入 IEC 61850 SCL 项目文件和 CSV 清单等工程文件，我们扩充了更详细的设备信息，例如软件版本、硬件配置和序列号信息。该设备清单是执行漏洞和风险分析的良好基础。 

3.4. SCADA 通信配置错误

如果 RTU 和 SCADA 设备配置错误，可能导致关键的现场事件无法传输到控制中心并延缓通信速度。 

例如在我们造访过的一家欧洲变电站中，MMS 报告配置中存在许多配置错误。报告被配置为发送给错误的客户端 IP 地址。  

在解决这些配置错误后，IED 的通信速度得到极大提升。该问题本身并不存在安全威胁，但通信速度缓慢会导致出现运行风险，从而阻碍响应处理。 

3.5. 检测配置变更 

可以通过多种方法来检测 OT 环境下重要设备的配置变更信息。 

在一家美国变电站中，我们检测出了配置错误的 GOOSE 消息。发生该问题的原因是，设备由两个不同的人员进行配置。同时，由于两名工程师之间缺乏沟通，导致这些 OT 设备之间出现通信问题。  

我们发现，因互锁条件无效，变电站中的某些远程命令活动无法正常进行，因而无法在紧急情况下远程操作开关。最糟糕的是，在我们通过安全评估发现该问题之前，他们对此全然无知。 

这种情况也使我感到非常震惊，让我意识到 GOOSE 通信中的小问题也可能会给电厂带来很大的麻烦。  

因此，为了扩充专业知识范围，并与发电厂、变电站和控制中心中的其他员工进行交流，我们仍然免费提供这些基础的安全评估服务。     

4. 免费安全评估带来的好处 

无论您是网络安全官、控制和保护工程师、网络工程师、管理者、系统集成者，还是在控制中心、发电厂或变电站工作的其他人员，我都想向您进一步解释下这种安全评估所带来的真正价值。

4.1. OT 网络中的第三方用户

众所周知，许多第三方公司经常会参与 SAS 及其他 OT 网络的调试（和维护）工作。如上所述，让不同的工程小组参与现场工作，可能会给确保 OT 系统的可持续性带来挑战。  

我曾经听许多人抱怨过第三方公司胡乱配置系统以及事后不关闭打开的连接。要确保设施正常运行，必须有效管理这些混乱因素，同时重视系统的连续运行。但通常情况下，这些风险因素的管理工作会耗费大量的时间、成本和资源。

而我们的安全评估工具能够有效地识别设备及风险，并协助设施运营者处理第三方公司相关工作，从而避免长期成本。 

4.2. 让 IT 安全官轻松了解 OT 世界 

遗憾地是，传统的 IT IDS 解决方案无法评估 OT 协议和事件。基于学习的 IDS 方法需要操作人员掌握大量的 OT 知识，才能初步评估所允许和禁止的活动。  

此外，IT 安全官通常不了解 OT 环境及其工作原理，因此无法做出决定。在管理 OT 事件以及在 OT 中引入安全流程时，面临的挑战不言而喻。 

我们的 StationGuard 产品便是解决之道，它让安全评估对 IT 和 OT 工程师来说变得通俗易懂。通过使用 StationGuard 进行安全评估，可以将这两个不同的领域融合起来，建立共同的认知基础。 

4.3. 了解网络模式 

如上所述，OT 网络错综复杂且面临诸多风险。 

最佳做法是立即采取应对措施，防御未来可能发生的问题：可能我们会发现您的网络中某个历史问题产生的原因？可能存在有待发现的隐藏问题？ 

许多问题尚未被发现，但有一点是确定的：在时间是关键要素的环境中，任何违反操作的风险都可能让我们付出不菲的代价。 

5. 申请对变电站进行安全评估 

我们可以为全球所有潜在客户提供免费安全评估服务！ 

作为 IT 安全官/管理者，您是否想要进一步了解贵组织的 OT 环境？您是否想要了解贵组织 OT 网络中的安全风险？  

作为 SAS 工程师/管理者，您是否想要发现（或解决）功能问题，或者对网络通信进行检查？  

无论是哪种情形，您都可以向我们申请进行安全评估！ 

若要申请进行安全评估，请发送主题为“SG 免费评估”的邮件至以下电子邮件地址：info@omicronenergy.com  （根据隐私政策的规定，此处不能提供我个人的电子邮件地址。但请放心，所有电子邮件将会直接转发给我。） 

感谢您阅读本报告！

顺祝商祺
Ozan Dayanc (OT Security Engineer)