一种针对变电站工控设备信息安全的测试方法及系统技术方案

本发明专利技术涉及一种针对变电站工控设备信息安全的测试方法，包括步骤：1，业务通信数据获取；2，业务通信数据解析；3，测试数据生成及发送；4，被测设备的监控；5，被测设备运行异常判断。本发明专利技术还涉及专用于上述方法的系统：包括依次连接的如下模块：业务通信数据获取模块、通信数据解析模块、测试数据生成及发送模块、被测设备监控模块、被测设备运行异常判断模块。采用本发明专利技术的系统和方法，能有效挖掘变电站嵌入式设备的信息安全漏洞，辅助系统运维掌握变电站工控设备的信息安全现状，提前修补系统信息安全隐患，保障工业控制系统的信息安全，降低国家基础设施的信息安全风险。

【技术实现步骤摘要】

本专利技术涉及一种变电站工控设备信息安全的测试方法。本专利技术还涉及专用于所述方法的变电站工控设备信息安全测试系统。技术背景近年来，网络安全问题日益突出，黑客入侵以及网络攻击现象日益增多，而随着计算机网络技术的不断普及，公众使用计算机的次数越来越多，特别是公用信息基础设施建设推动了政府、企业信息化建设，一些涉及国计民生的业务、系统受到了前所未有的安全挑战，如维基解密网站泄漏了大量政府的机密信息；花旗集团受黑客攻击导致36多万的客户账户信息被窃取；CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。目前，国家大量的基础设施使用嵌入式工业控制设备，在电力监控系统领域，变电站大量采用远动机、测控装置、保护装置、保信子站等对变电站进行监视与控制。上述设备大多采用通用操作系统以及通用硬件，厂商在追其产品功能的同时忽略了产品安全性测试，给工业控制系统的运行带来了安全隐患。近年来，多次发生的因嵌入式设备信息安全漏洞而导致的工业控制信息安全事件让我们意识到嵌入式设备及工业控制系统的脆弱性。到目前为止(2015年12月10号)，专利技术人在国家知识产权局(http://www.sipo.gov.cn/)的专利技术专利和技术专利中尚未检索到“变电站工控设备信息安全的测试方法及系统”相关的专利。
技术实现思路
本专利技术所要解决的第一个技术问题，就是提供一种变电站工控设备信息安全的测试方法。本专利技术所要解决的第二个技术问题，就是提供一种专用于上述方法的变电站工控设备信息安全测试系统。采用本专利技术的系统和方法，能有效挖掘变电站嵌入式设备的信息安全漏洞，辅助系统运维掌握变电站工控设备的信息安全现状，提前修补系统信息安全隐患，保障工业控制系统的信息安全，降低国家基础设施的信息安全风险。解决上述第一个技术问题，本专利技术所采用的技术方案如下：一种变电站工控设备信息安全的测试方法，其特征是包括如下步骤：6)业务通信数据获取通过数据包导入或网络旁路监听的方式获得变电站业务通信数据；7)业务通信数据解析设计通信数据解析模块，通过通信数据解析模块对获取的业务数据进行解析；所述的通信数据解析从数据协议分析以及数据内容分析两方面进行，通信数据解析模块根据OSI网络参考模型分层次建立业务数据包的各字段名称以及字段内容的数据索引表，也就是将数据包解析的各字段名称和字段的数据内容保存在数据结构当中；由于网络协议为分层的结构协议，通信数据解析模块将业务数据包逐层进行解析，并逐层保存各层字段名称以及字段的数据内容；通信数据解析模块支持的网络通信协议包括MMS、Goose、TCP、UDP、IP、ARP、RARP、IGMP、ICMP、EthernetIEC102、IEC103、IEC104协议；8)测试数据生成及发送根据通信数据解析的结果，调用数据包生成引擎，依次对各层协议栈解析的字段内容进行变换，在对各字段内容进行变换之后,按照OSI网络参考模型的网络协议栈进行数据包重组，产生新的测试数据包，并将新的测试数据包发送给被测设备；所述的字段内容包括数据链路层字段内容、网络层字段内容、运输层字段内容和应用层字段内容，涉及整个协议栈字段内容；字段内容变换是指对各个字段内容的值进行变换，字段内容的值为该字段所有的有效值、非有效值、边界值和原始数据本身值；所述的数据包重组是指在对字段内容变换之后，按照OSI网络参考模型的网络协议栈进行数据包重组，产生新的测试数据包过程；所述的字段重组还包括数据链路层字段内容、网络层字段内容、运输层字段内容、应用层字段内容之间的重组；9)被测设备的监控在将新的测试数据包发送给被测设备之后，对被测设备进行自动监控，监控方式包括通信链路监控及设备输出监控；其中通信链路监控是指通过网络报文对被测设备的网络存活性进行监控，即通过数据链路层状态、IP存活状态、通信业务状态判断指定IP或MAC的设备是否连接在信息系统中的方法；其中，网络物理连接状态是指网络设备、网络安全设备及主机端口UP及DOWN状态；数据链路层状态是指通过ARP及RARP协议探测到的MAC地址存活状态，或者通过网络设备及网络安全设备内部的MAC地址表获得的MAC地址存活状态；IP存活状态是指通过ICMP协议探测到的IP地址存活状态；通信业务状态是指通过应用层TCP端口和UDP端口判断设备的存活性；其中设备输出监控是指通过设备的信号量进行监控，包括网络输出量、串口输出量及工业端子输出量、二次电缆输出量对被测设备进行监控；10)被测设备运行异常判断根据设备设备监控的结果和结合设备运行异常判断机制判断被测设备是否存在信息安全漏洞，设备运行异常判断机制是指根据被测设备异常掉线(对数据请求无响应)或者设备输出异常判断设备是否正常运行的一种方法。解决上述第二个技术问题，本专利技术所采用的技术方案如下：一种变电站工控设备信息安全测试系统，其特征是包括依次连接的如下模块：业务通信数据获取模块、通信数据解析模块、测试数据生成及发送模块、被测设备监控模块、被测设备运行异常判断模块。业务通信数据获取模块通过数据包导入或网络旁路监听的方式获得变电站业务数据。通信数据解析模块对获取的业务数据从数据协议分析以及数据内容分析两方面进行，并且根据OSI网络参考模型分层次建立业务数据包的各字段名称以及字段内容的数据索引表，也就是将数据包解析的各字段名称和字段的数据内容保存在数据结构当中。由于网络协议为分层的结构协议，通信数据解析模块将业务数据包逐层进行解析，并逐层保存各层字段名称以及字段的数据内容。通信数据解析模块支持的网络通信协议包括MMS、Goose、TCP、UDP、IP、ARP、RARP、IGMP、ICMP、EthernetIEC102、IEC103、IEC104协议。测试数据生成及发送模块根据通信数据解析的结果，调用数据包生成引擎，依次对各层协议栈解析的字段内容进行变换，并在变换后对各字段内容进行排列组合，按规则进行数据包重组，产生新的测试数据包，并将新的测试数据包发送给被测设备。上述的数据包字段内容包括数据链路层字段内容、网络层字段内容、运输层字段内容、应用层字段内容，涉及整个协议栈字段内容；字段变换是指对各个字段内容的值进行变换，字段内容的值可以为该字段所有的有效值、非有本文档来自技高网...

【技术保护点】
一种变电站工控设备信息安全的测试方法，其特征是包括如下步骤：1)业务通信数据获取通过数据包导入或网络旁路监听的方式获得变电站业务通信数据；2)业务通信数据解析设计通信数据解析模块，通过通信数据解析模块对获取的业务数据进行解析；3)测试数据生成及发送根据通信数据解析的结果，调用数据包生成引擎，依次对各层协议栈解析的字段内容进行变换，在对各字段内容进行变换之后,按照OSI网络参考模型的网络协议栈进行数据包重组，产生新的测试数据包，并将新的测试数据包发送给被测设备；4)被测设备的监控在将新的测试数据包发送给被测设备之后，对被测设备进行自动监控，监控方式包括通信链路监控及设备输出监控；5)被测设备运行异常判断根据设备设备监控的结果和结合设备运行异常判断机制判断被测设备是否存在信息安全漏洞，设备运行异常判断机制是指根据被测设备异常掉线或对数据请求无响应或者设备输出异常判断设备是否正常运行的一种方法；所述步骤3)中的字段内容包括数据链路层字段内容、网络层字段内容、运输层字段内容和应用层字段内容，涉及整个协议栈字段内容；所述的字段内容变换是指对各个字段内容的值进行变换，字段内容的值为该字段所有的有效值、非有效值、边界值和原始数据本身值；所述的数据包重组是指在对字段内容变换之后，按照OSI网络参考模型的网络协议栈进行数据包重组，产生新的测试数据包过程；所述的字段重组还包括数据链路层字段内容、网络层字段内容、运输层字段内容、应用层字段内容之间的重组；所述步骤4)中的通信链路监控是指通过网络报文对被测设备的网络存活性进行监控，即通过数据链路层状态、IP存活状态、通信业务状态判断指定IP或MAC的设备是否连接在信息系统中的方法；其中，网络物理连接状态是指网络设备、网络安全设备及主机端口UP及DOWN状态；数据链路层状态是指通过ARP及RARP协议探测到的MAC地址存活状态，或者通过网络设备及网络安全设备内部的MAC地址表获得的MAC地址存活状态；IP存活状态是指通过ICMP协议探测到的IP地址存活状态；通信业务状态是指通过应用层TCP端口和UDP端口判断设备的存活性；其中设备输出监控是指通过设备的信号量进行监控，包括网络输出量、串口输出量及工业端子输出量、二次电缆输出量对被测设备进行监控。...

【技术特征摘要】
1.一种变电站工控设备信息安全的测试方法，其特征是包括如下步骤：
1)业务通信数据获取
通过数据包导入或网络旁路监听的方式获得变电站业务通信数据；
2)业务通信数据解析
设计通信数据解析模块，通过通信数据解析模块对获取的业务数据进
行解析；
3)测试数据生成及发送
根据通信数据解析的结果，调用数据包生成引擎，依次对各层协议栈
解析的字段内容进行变换，在对各字段内容进行变换之后,按照OSI网络参
考模型的网络协议栈进行数据包重组，产生新的测试数据包，并将新的测
试数据包发送给被测设备；
4)被测设备的监控
在将新的测试数据包发送给被测设备之后，对被测设备进行自动监控，
监控方式包括通信链路监控及设备输出监控；
5)被测设备运行异常判断
根据设备设备监控的结果和结合设备运行异常判断机制判断被测设备
是否存在信息安全漏洞，设备运行异常判断机制是指根据被测设备异常掉
线或对数据请求无响应或者设备输出异常判断设备是否正常运行的一种方
法；
所述步骤3)中的字段内容包括数据链路层字段内容、网络层字段内
容、运输层字段内容和应用层字段内容，涉及整个协议栈字段内容；
所述的字段内容变换是指对各个字段内容的值进行变换，字段内容的

\t值为该字段所有的有效值、非有效值、边界值和原始数据本身值；
所述的数据包重组是指在对字段内容变换之后，按照OSI网络参考模
型的网络协议栈进行数据包重组，产生新的测试数据包过程；
所述的字段重组还包括数据链路层字段内容、网络层字段内容、运输
层字段内容、应用层字段内容之间的重组；
所述步骤4)中的通信链路监控是指通过网络报文对被测设备的网络
存活性进行监控，即通过数据链路层状态、IP存活状态、通信业务状态判
断指定IP或MAC的设备是否连接在信息系统中的方法；其中，网络物理连
接状态是指网络设备、网络安全设备及主机端口UP及DOWN状态；数据链
路层状态是指通过ARP及RARP协议探测到的MAC地址存活状态，或者通过
网络设备及网络安全设备内部的MAC地址表获得的MAC地址存活状态；IP
存活状态是指通过ICMP协议探测到的IP地址存活状态；通信业务状态是
指通过应用层TCP端口和UDP端口判断设备的存活性；
其中设备输出监控是指通过设备的信号量进行监控，包括网络输出量、
串口输出量及工业端子输出量、二次电缆输出量对被测设备进行监控。
2.根据权利要求1所述的变电站工控设备信息安全的测试方法，其特
征是：所述步骤2)中的通过通信数据解析模块对获取的业务数据进行解
析指：所述的通信数据解析从数据协议分析以及数据内容分析两方面进行，
通信数据解析模块根据OSI网络参考模型分层次建立业务数据包的各字段
名称以及字段内容的数据索引表，也就是将数据包解析的各字段名称和字
段的数据内容保存在数据结构当中；
由于网络协议为分层的结构协议，通信数据解析模块将业务数据包逐

\t层进行解析，并逐层保存各层字段名称以及字段的数据内容；
通信数据解析模...

【专利技术属性】
技术研发人员：胡朝辉，陈炯聪，黄曙，梁智强，江泽鑫，林丹生，伍晓泉，胡海生，
申请(专利权)人：广东电网有限责任公司电力科学研究院，
类型：发明
国别省市：广东;44