水利枢纽系统安全风险评估系统设计

2023-09-28郭帅鹏

河南水利与南水北调 2023年8期

郭帅鹏

（河南省陆浑水库运行中心，河南洛阳 471000）

0 引言

水利枢纽关系着中国经济和社会的快速发展，是全国重要的基础设施。水利枢纽系统主要是实现水利系统的调整控制命令、符合调度、运行操作和实时监视等功能。国内外学者对此进行大量的研究，王盛等根据乐昌峡水利枢纽工程安全监测设计成果，研究了乐昌峡水利枢纽安全监测系统设计思路与要点；刘兆楠等结合具体的案例，探讨了水利枢纽工程安全监测系统的重要性，设计了水利枢纽工程安全监测系统；杨军等设计了西藏满拉水利枢纽工程安全监测自动化系统改造；李瑞有等设计了长江三峡水利枢纽建筑物安全监测决策支持系统，系统主要包括三个面向用户的功能分系统，信息管理分系统。基于此，文章设计了水利枢纽系统安全风险评估系统，系统结构主要由表现层、业务层和数据支持层组成。

1 需求分析

根据目前水利枢纽系统安全状况，还存在现场检测和维护难的问题，且维护人员缺少专业的安全意识和知识，因此，系统实现的目标主要如下。

①为了便于水利枢纽工控维护人员能够合理正确地使用此系统，需要建立两盒人几乎交界面，该界面能够实现用户的操作日志记录、用户的管理、登录等共功能。

②需要对脆弱性识别的结果进行风险评估，对水利枢纽工控系统入侵路径、待保护对象、攻击源划分不同的安全级别，建立风险评估模型，从而进行风险评估。

③为了能够评估目标工控设备承受高速率数据包和接收的能力，通过畸形工控协议数据包找到系统的漏洞，应建立风暴测试和脆弱性2种测试类型。

④由于目标设备需要根据多维测试用例的生成过程需求，对自身状态进行调整，及时记录测点断点的位置，因此，系统需要具备对测试目标设备的网络运行监控的功能。

⑤根据目标设备的底层协议头部，建立符合通信协议规范的数据包，并发送至测试目标设备。系统需要实现自动执行功能。

⑥为了识别深层和潜在漏洞和提高模糊测试，系统需要实现多维模糊测试自动生成功能。

⑦为了提高系统模糊测试效率，通过已知的协议规范生成测试，支持通过源数据生成的测试试用例，系统需要实现对已知的工控协议规范导入的功能。

⑧由于水利枢纽工作人员缺乏相关能力（安全技术、工控通信协议知识），需要手动解析工控通信协议，耗时又费力。因此，系统能够实现生成高效的测试试用例的协议解析脚本，以及工控数据的自动解析的功能。

⑨水利枢纽系统需要通过畸形的工控协议数据包来测试工控设备的健康性。因此，系统要求实现自动采集功能，能够生成工控协议数据帧集。

2 系统设计

2.1 系统结构

系统主要由表现层、业务层和数据支持层组成。设计系统结构如图1所示。

图1 设计系统结构图

2.2 功能模块设计

2.2.1 客户段模块设计

主要由登录模块、设备管理模块、测试过程管理模块、测试资源管理模块、安全风险评估模块、用户管理模块和系统日志模块组成。

2.2.2 服务端模块设计

主要由数据采集模块、舍尔被扫描模块、协议解析模块、协议规范模块、测试用例生成模块、测试执行器、监视器和风险评估模块组成。安全风险评估系统服务端功能模块实现关系如图2所示。

图2 安全风险评估系统服务端功能模块实现关系图

3 系统功能模块实现

文章重点分析了数据采集模块、设备扫描模块、测试执行器模块。

3.1 数据采集模块

采用jNetPcap库来实现数据的采集，捕获工作站、HMI、控制服务器等控制设备与工控设备间的数据包。工控协议数据采集实现流程略。

3.2 设备扫描模块

设备扫描模块主要由3 种模式组成：基于UDP 协议的ICMP 报文不可达扫描、基于TCP 协议的端口扫描、基于ICMP数据包的在线设备扫描。设备扫描模块实现流程图略。

3.3 测试执行器模块

主要是根据测试的配置信息送发到目标设备，并实现功能对工控协议数据帧的协议进行封存。测试执行器模块实现流程图略。

4 数据库设计

系统采用B/S架构实现的，利用MyAQL后端数据库。协议解析脚本如下：①字段：AnalysisID；描述：协议解析脚本编号；类型（长度）：unsigned int；键：是；是否允许为空：否。②字段：SourceDataID；描述：源数据编号；类型（长度）：unsigned int；键：外键；是否允许为空：否。③字段：SourceDataSeq；描述：分组序号；类型（长度）：unsigned int；键：否；是否允许为空：否。④字段：LinkProType；描述：述：数据链路层协议类型；类型（长度）：varchar（40）；键：否；是否允许为空：是。⑤字段：NetProType；描述：网络层协议类型；类型（长度）：varchar（40）；键：否；是否允许为空：是。⑥字段：TranProType；描述：传输层协议类型；类型（长度）：small int；键：否；是否允许为空：是。⑦字段：Port；描述：端口号；类型（长度）：unsigned int；键：否；是否允许为空：是。⑧字段：Time；描述：协议解析时间；类型（长度）：varchar（40）；键：否；是否允许为空：否。⑨字段：UserName；描述：用户名.；类型（长度）：varchar（40）；键：否；是否允许为空：否。⑩字段：UserID；描述：用户编号；类型（长度）：unsigned int；键：外键；是否允许为空：否。字段：AnalysisScriptPath；描述：存放路径；类型（长度）：varchar（128）；键：否；是否允许为空：否。

文章使用测试用例表来描述测试执行中的案例，系统漏洞信息情况如下。①字段：VulnerID；描述：漏洞编号；类型（长度）：unsigned int；键：主键；是否允许为空：否。②字段：DeviceID；描述：设备编号；类型（长度）：unsigned int；键：外键；是否允许为空否。③字段：ProTestCaseID；描述：测试用例编号；类型（长度）：unsigned int；键：外键；是否允许为空：否。④字段：ConV ulnerID；描述：预配置漏洞编号；类型（长度）：unsigned int；键：外键；是否允许为空：否。⑤字段：UserName；描述：用户名；类型（长度）：varchar（40）；键：否；是否允许为空：否。⑥字段：DiscoverDate；描述：发现日期；类型（长度）：Date；键：否；是否允许为空：否。