UPS(Uninterruptible Power System/Uninterruptible Power Supply),即不間斷電源,由整流器、逆變器、蓄電池等組成,主要實現對市電進行濾波、整流、存儲、逆變等功能。在兩化融合的大時代背景下,UPS電源雖然是一種工業設備,大都工作在信息化條件下,作為工業生產和網絡電源的保障屏障,其與網絡安全息息相關。
眾所周知,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。其中,UPS電源對偶然原因市電供電異常的保障作用是顯而易見的,本文主要簡析UPS電源存在被惡意攻擊的隱患。
1. UPS的工作原理
UPS電源作為用電設備電力保障的最后一道屏障,在市電正常時利用市電對負載直接供電,UPS對市電進行一定的處理,例如穩壓、濾波等,保障輸出電力的穩定;同時在市電正常時,對電池進行充電,以保持電池處于滿充狀態,在市電不正常時,利用電池的電能通過逆變為交流負載供電。
Kelong KR33系列 UPS原理圖
隨著計算機系統、通訊設備的迅猛發展和智能化監控需求的快速增長,UPS設備大都具備高速數字信號處理器(DSP)、單片機等智能模塊。進而,目前大部分UPS電源都具備動力環境監控等的嵌入式系統,在用戶的實際使用中,UPS電源一般處于實時受監控的狀態。
2. 動力環境監控系統的原理
動力環境監控的方式有多種,其中小機房和工業環境常用的方式是,應用工控計算機作為監控主機,進行電力信息收集和處理,采用多串口卡的方式實現對底端動力設備的采集,通過聯網回傳實時數據。
UPS等設備通過智能通信口(RS232、RS485或USB)或者增加的采集模塊,將工作狀態回傳至工控機(運行動力監控系統采集程序的電腦),由工控機實現協議解釋及數據處理。工控主機也可以向UPS設備發送控制指令。
動力環境監控原理圖
動力環境監控系統,在工業控制上類似于一款簡易的SCADA工控系統,存在漏洞和網絡攻擊的風險。
3.信息化背景下的人為漏洞攻擊
據中科院網絡化控制系統重點實驗室研究,目前在使用的嵌入式設備大都處于不設防的狀態。特別是許多設備企業在生產時未考慮網絡安全隱患,在聯網使用時,存在被網絡攻擊的風險。同時,該機構模擬了利用工業病毒,通過嵌入式系統漏洞,“悄無聲息的”對石化設備進行破壞的試驗,驗證了嵌入式設備漏洞風險。
早在2010年,一個針對伊朗核實施的超級病毒——Stuxnet蠕蟲就引起了多國情報中心的擔憂。據證實,這種病毒可以發出指令,突然改變高速運轉的離心機運轉速度,達到破壞離心機的目的,同時向中控系統發出錯誤信息,讓控制人員無法察覺離心機的異常。該病毒是利用Windows操作系統漏洞和西門子器件漏洞開發的,旨在破壞伊朗核實施。俄羅斯常駐北約代表羅戈津稱,病毒給伊朗布什爾核電站造成嚴重影響,導致放射性物質泄漏,危害不亞于切爾諾貝利核電站事故。
不論是棱鏡門還是Stuxnet蠕蟲,有組織的網絡攻擊都是針對特定漏洞開發攻擊手段或設置人為漏洞便于網絡攻擊。而針對工控系統或工業設備漏洞進行的攻擊,一般是破壞性的,需要我們時刻警惕,提高意識,加強防范。下圖為國家權威機構公布的,已經發現的工控系統行業廠商漏洞,最為相關的廠商包括:西門子、施耐德、Advantech等。
工控系統行業廠商漏洞數量餅狀圖
上述內容,通過介紹UPS電源的構造和動環監控的原理,闡明了,UPS電源作為機房基礎的網絡動力、環境設備之一,大多是動力環境監控系統下的嵌入式、可編程的智能化設備。同時,通過介紹國內外網絡攻擊的案例和手段,特別是針對工控機設備及嵌入式設備的網絡攻擊,說明工控機、UPS電源等智能化設備存在人為漏洞的可能,如果沒有保護措施,我們的工業生產和信息化設備就存在被切斷電力供應的風險,后果不堪設想。這不是無中生有的臆想,惡意軟件作者曾經發布過一個對西門子SIPROTEC系列保護繼電器執行DoS攻擊的工具。
網絡安全任重道遠,在注重IT關鍵應用主機和軟件自主可控的同時,我們也不容忽視供電及動力環境控制系統的漏洞風險。
結語
2017年,我國正式實施《中華人民共和國網絡安全法》,其中規定,國家對重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護,體現了我國對信息安全的重視。保障網絡安全的一個重要途徑就是自主可控。原信息產業部副部長呂新奎認為,保衛網絡安全就是保障國家主權,而自主可控就是保障網絡安全、信息安全的基本前提。UPS電源及動力環境監控系統作為IT網絡和工業控制的基礎保障,出現漏洞攻擊的危害是破壞性的,需要我們加強防范意識,提高自主可控程度,保障國家網絡和工業生產安全。(作者:藺福合、陳浩、申建林、陳樹旺、劉建建;感謝山東工藝美術學院網絡中心的李廣福副主任、金川鎳鈷研究設計院的高東坡高工、資深信息化專家蒙旭東等各位專家的指導)
注:文章內容和圖片均來源于網絡,只起到信息的傳遞,不是用于商業,如有侵權請聯系刪除!
