调度数据网设备探测及安全扫描装置研发.pdfVIP

32 调度数据 网设备探测及安全扫描装置研发 Vo1-20No．1 调度数据网设备探测及安全扫描装置研发 Dispatching Data Network Device Detection and DevelopmentofSafety Scanning Device 胡振斌 叶水勇 方继强 郭忠英 宋浩杰 汪愚非 国网黄 山供 电公司 安徽 黄 山 E45000 【摘要】针对工控系统及设备存在的漏洞缺乏有效的检测手段问题，此文通过对调度数据 网设备普查及安全扫描装置 的研制 ，研发 出一种适合调度数据 网及数据 网内各类加密装 置 、隔离装置 的专用检测工具 ，对全 网的安全装置进行安全扫描 ，及时发现调度数据 网的 各种安全 隐患，提升调度数据 网的 日常安全管理及检测水平。 【关键词 】调度数据网 工控系统 设备探测 安全扫描 【中图分类号】TM393 【文献标识码】B 【文章编号】2095—6614(2017)01—0032—04 0 引言 探测 目标主机的TCP／IP网络是否联通来判断探测 随着 “大运行”体系的建设 ，电网调控运行管理 的IP地址是否分配了主机 ¨]。一般来说，网络的信 模式也做 出了调整．电网调控运行业务范围逐渐扩 息对攻击者都是非预知的，因此 ，通过 Ping扫描获 大 ，自动化系统越来越多。同时由于系统的研制 、实 取 网络的基本信息是攻击者进行漏洞扫描和入侵 施单位 以及建设时间不一 ，导致这些系统相对独立 的基础 。而对于熟悉 网络 IP分布的管理员来说 ，通 和封闭，系统维护和使用涉及人员性质广泛 ，数量 过 Ping扫描 ，也能准确定位 IP的分布 。Ping扫描 众多，管理复杂 ，各系统中基础数据存在不一致和 通常基于ICMP协议 ，其主要思想是构造一个基于 不完整等现象，使得基础 台账管理较为薄弱 ，主要 ICMP的数据包 ，发送给 目标主机 。并根据 回复的响 存在设备台账数据质量不高、对工控系统及设备存 应数据包来进行判断。根据构造 ICMP数据包的不 在 的漏洞缺乏有效的检测手段等 问题 。 同，Ping扫描分为 ECHO扫描和 non--ECHO扫描 两种方式 。 1 关键技术的研究 1．1．1 ECHO扫描 调度数据 网设备普查及安全扫描装置基于国 ECH0扫描通过 向 目标 IP地址发送 一个 产麒麟操作系统 ．配置 网络接 口、RS584接 口及 ICMP类型为 8的 ICMPECHO请求包 ，并等待是 CAN接 口，实现调度数据网设备的发现与漏洞检 否收到 ICMP类型为0的ICMPECHO响应包 。如 测 ，主要采用 的技术包括 ping扫描 、端 口扫描 、操 果收到则说明 目标 IP地址上存在设备 ，否则说 明 作系统扫描 、脆弱点扫描与防火墙规则扫描 。 目标 IP地址上不存在设备。 1．1 Ping扫描 1．1．2 non—ECH0扫描 Ping扫描主要用于探测主机的 IP地址 ．通过 non—ECHO通过 向 目标 IP地 址发送 一个 ICMP类型为 l3的 ICMPTIMESTAMP请求包 ，或 收稿 日期 ：2016—10一O9 ICMP类 型为 13的 ICMPA