李 田,蘇 盛,楊洪明,文福拴,王冬青,朱 林

(1.智能電網(wǎng)運(yùn)行與控制湖南省重點(diǎn)實(shí)驗(yàn)室(長沙理工大學(xué)),湖南省長沙市410004;2.浙江大學(xué)電氣工程學(xué)院,浙江省杭州市 310027;3.文萊科技大學(xué)電機(jī)與電子工程系,斯里巴加灣 BE1410,文萊;4.南瑞集團(tuán)公司(北京),北京市 102200;5.田納西大學(xué)電氣工程與計(jì)算科學(xué)系,田納西州 37909,美國)

電力信息物理系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中的底線思維

李 田1,蘇 盛1,楊洪明1,文福拴2,3,王冬青4,朱 林5

(1.智能電網(wǎng)運(yùn)行與控制湖南省重點(diǎn)實(shí)驗(yàn)室(長沙理工大學(xué)),湖南省長沙市410004;2.浙江大學(xué)電氣工程學(xué)院,浙江省杭州市 310027;3.文萊科技大學(xué)電機(jī)與電子工程系,斯里巴加灣 BE1410,文萊;4.南瑞集團(tuán)公司(北京),北京市 102200;5.田納西大學(xué)電氣工程與計(jì)算科學(xué)系,田納西州 37909,美國)

0 引言

電力信息物理系統(tǒng)(cyber-physical system,CPS)中,電網(wǎng)調(diào)度控制和生產(chǎn)管理高度依賴信息與通信系統(tǒng),信息系統(tǒng)的異常及網(wǎng)絡(luò)攻擊都可能威脅電力系統(tǒng)的安全穩(wěn)定運(yùn)行。近期發(fā)生的Wanncry等勒索病毒事件表明網(wǎng)絡(luò)安全領(lǐng)域真實(shí)存在能力遠(yuǎn)超一般個(gè)體的“國家隊(duì)”。作為現(xiàn)代社會(huì)的關(guān)鍵性基礎(chǔ)設(shè)施,電力系統(tǒng)是國家級(jí)網(wǎng)絡(luò)對(duì)抗的重點(diǎn)目標(biāo)[1]。因CPS與普通信息系統(tǒng)在攻擊模式、途徑和破壞后果上存在顯著差異,需要結(jié)合這些差異性特征分析潛在的入侵攻擊模式,才能有針對(duì)性地設(shè)計(jì)出適合電力CPS的安全防護(hù)方法。在網(wǎng)絡(luò)攻擊“國家隊(duì)”面前,并不存在絕對(duì)的網(wǎng)絡(luò)安全,有必要從風(fēng)險(xiǎn)管理角度出發(fā),以既有安全防護(hù)措施失效為前提,研究潛在的攻擊途徑,多視角剖析最大化破壞效果的攻擊模式,再以保障不造成大停電等惡性事故為底線,查漏補(bǔ)缺,針對(duì)性地部署防衛(wèi)措施,實(shí)現(xiàn)電力CPS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效管控。

1 電力CPS攻擊行為差異分析

電力CPS和一般信息系統(tǒng)間及國內(nèi)、外CPS間均存在明顯差異,這將對(duì)攻擊來源及攻擊模式產(chǎn)生突出影響。

1.1 信息系統(tǒng)與電力CPS差異分析

電力CPS涉及一次設(shè)備的在線監(jiān)視和實(shí)時(shí)保護(hù)控制,可用性和實(shí)時(shí)性要求遠(yuǎn)高于一般信息系統(tǒng),在安全防護(hù)需求上也存在突出差異。

1)為強(qiáng)化安全防護(hù),電力CPS多采用物理隔離或虛擬專網(wǎng)通信等方式構(gòu)筑安全邊界;重要性突出的電力調(diào)度自動(dòng)化等系統(tǒng)還可能有系統(tǒng)級(jí)備用。

2)信息系統(tǒng)遭攻擊后多可重啟恢復(fù)正常運(yùn)行,并不一定造成巨大損失;電力CPS信息系統(tǒng)重啟往往意味著對(duì)應(yīng)物理系統(tǒng)跳閘停機(jī),可能造成巨大損失。某些場(chǎng)景下,甚至系統(tǒng)重啟本身即已達(dá)成攻擊目的。

3)電力CPS包含大量過程層控制智能電子設(shè)備,需在有限計(jì)算、通信資源約束下高實(shí)時(shí)完成工作任務(wù)。

4)信息系統(tǒng)可通過安裝補(bǔ)丁升級(jí)包或更新軟件版本強(qiáng)化安全防護(hù)水平;為避免應(yīng)用軟件和操作系統(tǒng)兼容性問題,電力CPS的過程層設(shè)備往往需經(jīng)過嚴(yán)格的兼容性測(cè)試驗(yàn)證才能安裝補(bǔ)丁升級(jí)包或更新軟件。

電力CPS與一般信息系統(tǒng)差異性對(duì)比如圖1所示。電力CPS結(jié)構(gòu)復(fù)雜,包含信息系統(tǒng)、物理系統(tǒng)及其交互接口。對(duì)不同CPS發(fā)起同類型攻擊可能造成明顯不同的破壞效果,需要有深入的背景知識(shí)支撐,方可最大化破壞效果。以拒絕服務(wù)攻擊為例,阻斷變電站或調(diào)度自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)通信,會(huì)導(dǎo)致變電站或電網(wǎng)暫時(shí)失去保護(hù)和監(jiān)視控制,但并不會(huì)直接導(dǎo)致線路跳閘停運(yùn)等事故;而對(duì)發(fā)電廠發(fā)起拒絕服務(wù)攻擊時(shí),機(jī)組控制系統(tǒng)將因失去狀態(tài)量而跳閘停機(jī)。實(shí)際上,病毒軟件經(jīng)設(shè)備廠商維護(hù)渠道侵入生產(chǎn)控制區(qū)的現(xiàn)象并不罕見,只是因?yàn)檫@些病毒軟件不是針對(duì)電力系統(tǒng)設(shè)計(jì)的,才沒有產(chǎn)生嚴(yán)重后果。

圖1 電力CPS與一般信息系統(tǒng)差異性對(duì)比Fig.1 Difference comparison of general ICT system and CPS

1.2 國內(nèi)外電力CPS差異分析

網(wǎng)絡(luò)攻防博弈中,防御方需要防護(hù)住所有可能缺陷,難免百密一疏,這往往使得防御方不對(duì)稱地處于不利地位。中國電力企業(yè)高度重視信息安全問題,依托物理隔離調(diào)度數(shù)據(jù)專網(wǎng),構(gòu)筑了基于邊界安全的縱深防護(hù)體系,在局部范圍內(nèi)形成了有利于防御方的網(wǎng)絡(luò)環(huán)境,有效地保障了中國電力系統(tǒng)的網(wǎng)絡(luò)安全。

國外電力企業(yè)主要依賴微波、載波和租用電信網(wǎng)絡(luò)的虛擬專網(wǎng)通信,通信質(zhì)量和安全環(huán)境明顯劣于中國。不但存在更容易遭受攻擊的先天不足,從2000年至2007年北美大停電記錄來看,還會(huì)因微波、載波通信出錯(cuò)而頻繁引發(fā)廣域保護(hù)系統(tǒng)誤動(dòng),并曾多次造成大停電事故。

需要特別指出的是,國內(nèi)外電力系統(tǒng)安穩(wěn)控制措施實(shí)施方式有別,數(shù)據(jù)采集與監(jiān)控(SCADA)數(shù)據(jù)出錯(cuò)的后果明顯不同。美國、加拿大電網(wǎng)為減少切機(jī)、切負(fù)荷,多根據(jù)SCADA實(shí)時(shí)數(shù)據(jù)進(jìn)行優(yōu)化緊急控制,容易因數(shù)據(jù)失真導(dǎo)致廣域保護(hù)誤動(dòng)。國內(nèi)安全自動(dòng)裝置按離線整定參數(shù)執(zhí)行保護(hù)控制,SCADA數(shù)據(jù)異常主要影響自動(dòng)電壓控制(AVC)和自動(dòng)發(fā)電控制(AGC)系統(tǒng),影響相對(duì)有限?；赟CADA數(shù)據(jù)在線進(jìn)行優(yōu)化的緊急控制是現(xiàn)代電網(wǎng)發(fā)展的趨勢(shì),但也存在可能放大錯(cuò)誤數(shù)據(jù)注入攻擊破壞效果的問題,有必要研究利用狀態(tài)估計(jì)等方法提高異常數(shù)據(jù)識(shí)別能力。

1.3 攻擊來源差異分析

電力CPS結(jié)構(gòu)復(fù)雜,且多設(shè)置有相對(duì)完善的網(wǎng)絡(luò)安全防護(hù)措施,攻擊難度明顯高于一般信息系統(tǒng)。如要攻擊破壞信息系統(tǒng)對(duì)應(yīng)的物理電網(wǎng),還需對(duì)目標(biāo)對(duì)象有深刻認(rèn)識(shí),技術(shù)門檻遠(yuǎn)高于一般信息系統(tǒng)。因此,電力CPS的攻擊來源與一般信息系統(tǒng)存在顯著差異。

2015年攻擊烏克蘭電網(wǎng)的案例中,攻擊方首先通過郵件在多座變電站的自動(dòng)化系統(tǒng)植入BlackEnergy木馬軟件,獲得監(jiān)控系統(tǒng)操作權(quán)限后調(diào)整不間斷電源(UPS)系統(tǒng)于不利運(yùn)行方式,再遙控?cái)嗦菲魈l造成大停電;事后還更換通信模塊固件、格式化主機(jī),癱瘓控制系統(tǒng)。整個(gè)過程中,基于對(duì)被攻擊對(duì)象深刻認(rèn)識(shí)發(fā)起的選擇性精確攻擊是造成惡性事故的要害。

高敏感CPS多采用物理隔離進(jìn)行安全防護(hù)。作為第一種武器級(jí)病毒軟件,在對(duì)西門子PLC控制系統(tǒng)逆向工程的基礎(chǔ)上,震網(wǎng)病毒利用未曾公布的零日漏洞經(jīng)優(yōu)盤侵入與中國電力系統(tǒng)一樣物理隔離的伊朗鈾濃縮系統(tǒng),精確攻擊并破壞了上千臺(tái)鈾離心機(jī)。因該類惡意軟件需由對(duì)計(jì)算機(jī)和工業(yè)控制系統(tǒng)有深刻認(rèn)識(shí)的多名專家配合完成,所需人力、物力遠(yuǎn)非個(gè)人可以承擔(dān),一般認(rèn)為背后有強(qiáng)力機(jī)構(gòu)支持。

因?yàn)殡娏Φ裙I(yè)CPS涉及國計(jì)民生,世界各國均高度重視其網(wǎng)絡(luò)安全防護(hù),紛紛組建網(wǎng)絡(luò)部隊(duì),從事包括電力行業(yè)在內(nèi)的基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防研究。中國電力系統(tǒng)構(gòu)建的基于邊界安全的防護(hù)體系,在長期實(shí)踐中有效抵御了既有的一般性網(wǎng)絡(luò)安全威脅,未來需要著意防控的正是像BlackEnergy和震網(wǎng)病毒這樣、由具有深刻行業(yè)背景知識(shí)和國家背景的機(jī)構(gòu)組織發(fā)起的定向攻擊。

2 中國電力CPS安全防護(hù)措施的反思

電力CPS信息安全防護(hù)多采用計(jì)算機(jī)領(lǐng)域商業(yè)化的標(biāo)準(zhǔn)技術(shù)方法,從中國的歷史經(jīng)驗(yàn)來看,足以應(yīng)對(duì)一般性網(wǎng)絡(luò)威脅。有國家機(jī)構(gòu)背景的組織擁有充足資源,清楚了解攻擊目標(biāo)可能采用的安全防護(hù)措施,不但可以對(duì)調(diào)度和變電站自動(dòng)化系統(tǒng)等目標(biāo)對(duì)象進(jìn)行逆向工程,深入分析運(yùn)作機(jī)制并制定復(fù)雜的針對(duì)性精確攻擊方法,甚至還可能直接破解密鑰發(fā)起攻擊,在攻擊手段、方式和目標(biāo)選擇上都有異于一般病毒軟件。采用既有安全防護(hù)方法應(yīng)對(duì)此類攻擊,是否仍然有效,存在疑問,有必要審視既有防護(hù)措施的局限性。

2.1 接入控制與病毒查殺

為避免惡意軟件滲透侵入電力生產(chǎn)信息系統(tǒng),中國電力企業(yè)實(shí)行了嚴(yán)格的接入控制,要求必須使用內(nèi)部專用優(yōu)盤,優(yōu)盤接入時(shí)還需運(yùn)行登錄程序,確認(rèn)獲得授權(quán)并經(jīng)病毒檢測(cè)后方可訪問;內(nèi)網(wǎng)計(jì)算機(jī)插入非專用優(yōu)盤即刻報(bào)警。因定向攻擊惡意軟件傳播模式與常見病毒軟件差異明顯,該方法并不能阻擋定向攻擊惡意軟件。熟悉目標(biāo)系統(tǒng)防衛(wèi)措施的攻擊方甚至可將包含登錄程序的優(yōu)盤判定為可接入內(nèi)網(wǎng)的高價(jià)值目標(biāo),藉此進(jìn)行精確導(dǎo)航和滲透入侵。

計(jì)算機(jī)惡意軟件檢測(cè)以病毒特征代碼比對(duì)分析為基礎(chǔ),前提是該病毒已造成危害且相應(yīng)特征代碼已錄入特征代碼庫。近年來興起的云安全病毒軟件檢測(cè)機(jī)制,將病毒特征代碼庫置于云端并在云端比對(duì)檢測(cè)病毒,在網(wǎng)絡(luò)中檢測(cè)到新型病毒軟件時(shí)只要更新云端特征代碼庫而無需客戶端下載更新,可顯著縮短新興病毒傳播發(fā)展周期,降低危害。

與普通惡意軟件不同,電力CPS的定向攻擊惡意軟件意在竊取機(jī)密信息或破壞電網(wǎng)安全。在充足資源支持下,攻擊方可根據(jù)目標(biāo)對(duì)象特點(diǎn)定制惡意軟件,利用零日漏洞滲透入侵發(fā)起精確攻擊。如Symantec于2016年發(fā)現(xiàn)黑客組織選擇性攻擊中國、俄國、瑞典等國家7個(gè)機(jī)構(gòu)的36臺(tái)電腦。如定向攻擊惡意軟件不攻擊非目標(biāo)系統(tǒng),將很難檢測(cè)發(fā)現(xiàn)、也無從提取其病毒特征代碼。因此,即便是基于云安全的病毒檢測(cè),也不足以應(yīng)對(duì)針對(duì)電力CPS定制的新興病毒。

2.2 既有安全防護(hù)體系的缺陷

傳統(tǒng)上,中國電力企業(yè)主要依賴基于邊界安全的縱深防護(hù)體系保障網(wǎng)絡(luò)安全。具有國家機(jī)構(gòu)背景的攻擊方可在逆向工程基礎(chǔ)上制作定向攻擊惡意軟件,經(jīng)設(shè)備廠商渠道繞過安全邊界侵入生產(chǎn)控制安全區(qū)。病毒軟件檢測(cè)系統(tǒng)在特征代碼庫中找不到新興病毒軟件特征碼,無從判斷廠商優(yōu)盤接入是否帶入惡意軟件;入侵檢測(cè)是以入侵者行為模式有異于正常主體或入侵活動(dòng)服從特定模式為前提,通過對(duì)網(wǎng)絡(luò)行為的統(tǒng)計(jì)分析和模式識(shí)別來檢測(cè)入侵,存在誤報(bào)、漏報(bào)率高的問題,如惡意軟件行為模式無明顯異常,將難以準(zhǔn)確捕獲。因此,基于物理隔離的邊界防護(hù)可能失效。

近年來,為提高網(wǎng)絡(luò)安全防護(hù)水平,中國電力企業(yè)開始構(gòu)建基于可信計(jì)算技術(shù)的安全防護(hù)體系?；谠摷夹g(shù)研制的D5000調(diào)度自動(dòng)化系統(tǒng),采用國產(chǎn)的服務(wù)器、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)、安全數(shù)據(jù)庫及中間件,能有效避免基礎(chǔ)軟、硬件系統(tǒng)后門和缺陷引入的安全隱患。即便惡意軟件成功侵入,還是會(huì)因無法通過可信認(rèn)證而被后臺(tái)監(jiān)控進(jìn)程扼殺?？尚庞?jì)算技術(shù)存在信度的動(dòng)態(tài)評(píng)價(jià)難題,此外,可信計(jì)算的安全性依賴于可信程序數(shù)字簽名所用加密算法的安全性。加密算法以數(shù)學(xué)復(fù)雜度來保障其很難破解,但并非不可破解,如震網(wǎng)病毒就曾偽造過RealTek等公司產(chǎn)品的數(shù)字簽名。因此,基于可信計(jì)算技術(shù)的安全防護(hù)體系也存在失效可能。

構(gòu)建威脅模型、識(shí)別潛在威脅是有的放矢地做好網(wǎng)絡(luò)安全防護(hù)的前提。中國電力系統(tǒng)已構(gòu)建有較完善的安全防衛(wèi)體系,加之CPS構(gòu)成復(fù)雜,普通惡意軟件難以滲透侵入造成惡性事故。要進(jìn)一步提高網(wǎng)絡(luò)安全防護(hù)水平,需要以有國家機(jī)構(gòu)背景組織發(fā)起的定向攻擊為主要對(duì)手,根據(jù)其可能采用的攻擊模式設(shè)計(jì)針對(duì)性的防護(hù)措施。

3 電力CPS攻防新思路

電力系統(tǒng)既有信息安全防護(hù)方法主要側(cè)重于御敵于千里之外,防止惡意軟件侵入生產(chǎn)控制安全區(qū)進(jìn)行攻擊。然而,根據(jù)不完備性定理,并不存在完美無缺的系統(tǒng),也無法杜絕網(wǎng)絡(luò)攻擊的威脅,敵對(duì)組織發(fā)起的定向攻擊是可以繞過安全屏障侵入電力生產(chǎn)控制安全區(qū)的。作者認(rèn)為:有必要調(diào)整思路,以定向攻擊惡意軟件可以侵入為前提,著力提高電力CPS的容侵性(resilience),從風(fēng)險(xiǎn)管理的角度管控攻擊可能造成的危害水平。

電力系統(tǒng)是保障現(xiàn)代社會(huì)正常運(yùn)行的關(guān)鍵性基礎(chǔ)設(shè)施,具有國家機(jī)構(gòu)背景的組織攻擊電力系統(tǒng)的合理目的是最大程度地破壞電網(wǎng)安全、造成大停電。本文結(jié)合滲透侵入調(diào)度、變電站自動(dòng)化系統(tǒng)和高級(jí)計(jì)量系統(tǒng)后可能的攻擊模式,討論了相應(yīng)的應(yīng)對(duì)思路。

3.1 調(diào)度自動(dòng)化系統(tǒng)

調(diào)度自動(dòng)化系統(tǒng)涉及電網(wǎng)全局,可遙控?cái)嗦菲鬟M(jìn)行倒閘操作,是定向攻擊的首選目標(biāo)。作為標(biāo)準(zhǔn)軟件系統(tǒng),調(diào)度自動(dòng)化系統(tǒng)采用如圖2所示的標(biāo)準(zhǔn)化數(shù)據(jù)庫結(jié)構(gòu)。在逆向工程摸清調(diào)度自動(dòng)化系統(tǒng)工作機(jī)制和數(shù)據(jù)庫表結(jié)構(gòu)的基礎(chǔ)上,定向攻擊惡意軟件可利用零日漏洞經(jīng)廠商維護(hù)渠道侵入調(diào)度自動(dòng)化系統(tǒng),根據(jù)數(shù)據(jù)庫表結(jié)構(gòu)查找各線路及對(duì)應(yīng)控制端口信息,再按通信協(xié)議發(fā)送跳閘控制命令和返校信號(hào),誘使線路跳閘。有電力系統(tǒng)背景知識(shí)的攻擊方編制的惡意軟件還可搜集數(shù)據(jù)庫中線路拓?fù)溥B接和電壓等級(jí)信息,輔以結(jié)構(gòu)脆弱性分析,再選擇關(guān)鍵線路逐個(gè)遙控跳閘,即可將電網(wǎng)推進(jìn)自組織臨界態(tài),引發(fā)連鎖故障大停電。

圖2 調(diào)度自動(dòng)化系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)Fig.2 Database structure of dispatching automation system

中國電力企業(yè)采用的調(diào)度數(shù)據(jù)專網(wǎng)形成了有利于防御方的局部不對(duì)稱優(yōu)勢(shì),入侵的定向攻擊軟件不能與外界通信,只能根據(jù)逆向工程分析結(jié)果按預(yù)設(shè)邏輯進(jìn)行攻擊破壞。利用這種不對(duì)稱優(yōu)勢(shì),可以在SCADA實(shí)時(shí)數(shù)據(jù)庫中插入大量虛構(gòu)電網(wǎng)元件,引誘侵入的定向攻擊軟件向虛構(gòu)元件對(duì)應(yīng)的斷路器發(fā)送跳閘控制命令。因調(diào)度系統(tǒng)所有通信均需經(jīng)交換機(jī)對(duì)外發(fā)布,可在交換機(jī)中設(shè)置跳閘指令篩選機(jī)制,在檢測(cè)到發(fā)送給虛構(gòu)斷路器的跳閘指令時(shí)即可準(zhǔn)確判斷入侵攻擊行為,閉鎖調(diào)度系統(tǒng)控制功能并切換到備用系統(tǒng)或閉鎖遙控功能,從而強(qiáng)化調(diào)度系統(tǒng)的容侵性,避免極端惡性事故。

調(diào)度系統(tǒng)的狀態(tài)估計(jì)、AGC等高級(jí)應(yīng)用軟件需要使用實(shí)時(shí)數(shù)據(jù)庫數(shù)據(jù),應(yīng)設(shè)計(jì)相應(yīng)機(jī)制保障其正常工作。因調(diào)度系統(tǒng)采用標(biāo)準(zhǔn)化的數(shù)據(jù)存儲(chǔ)模式是可以通過反向工程進(jìn)行精確攻擊的前提,可將真實(shí)元件列表以個(gè)性化方式存儲(chǔ)為其他文件。高級(jí)應(yīng)用軟件啟動(dòng)后先讀入真實(shí)元件列表文件,之后即可與正常工作流程一樣從SCADA數(shù)據(jù)庫中讀取真實(shí)元件對(duì)應(yīng)數(shù)據(jù),以避免虛構(gòu)元件對(duì)業(yè)務(wù)系統(tǒng)的影響。因真實(shí)電網(wǎng)元件的非標(biāo)準(zhǔn)化存儲(chǔ)會(huì)增加系統(tǒng)維護(hù)和高級(jí)應(yīng)用軟件配合的工作量,所述方法適用于重要性較高而數(shù)量較少的省級(jí)及以上電網(wǎng)調(diào)度中心。

3.2 變電站自動(dòng)化系統(tǒng)

變電站自動(dòng)化系統(tǒng)涉及斷路器的倒閘控制,是網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象。變電站采用如圖3所示的標(biāo)準(zhǔn)化配置描述文件記錄站內(nèi)信息。有組織攻擊方通過逆向工程獲取相關(guān)知識(shí)后,可有針對(duì)性地編制定向攻擊軟件。滲透侵入后可按變電站自動(dòng)化系統(tǒng)工作機(jī)制,讀取配置文件、獲取站內(nèi)斷路器控制信息,再進(jìn)行倒閘操作,攻擊破壞電網(wǎng)安全。

圖3 變電站配置描述文件結(jié)構(gòu)Fig.3 Structure of substation configuration description

盡管采用非標(biāo)準(zhǔn)化的方式同樣可能阻斷針對(duì)變電站的精確攻擊,但變電站數(shù)量龐大,采用該方式來提高防護(hù)水平將帶來龐大的系統(tǒng)維護(hù)工作量,實(shí)際生產(chǎn)中難以接受。因電網(wǎng)確定運(yùn)行方式需要進(jìn)行N-1安全校核,單一線路或變壓器停運(yùn)并不一定會(huì)影響電網(wǎng)安全。盡管網(wǎng)絡(luò)攻擊單個(gè)變電站可能造成一定的負(fù)荷損失,但并不一定足以破壞電網(wǎng)整體安全。相較于物理破壞,網(wǎng)絡(luò)攻擊更易達(dá)成多個(gè)變電站的協(xié)同攻擊,如滲透入侵的惡意軟件同時(shí)在多個(gè)220 kV及以上電壓等級(jí)變電站中發(fā)起跳閘攻擊,極可能觸發(fā)Ⅲ級(jí)及以上較大風(fēng)險(xiǎn)大停電事故。在此,變電站之間的廣域協(xié)同是達(dá)成最大化攻擊效果的關(guān)鍵。

調(diào)度數(shù)據(jù)專網(wǎng)中,侵入變電站的惡意軟件難以確認(rèn)其他變電站有否滲透入侵的惡意軟件。因站間通信數(shù)據(jù)包均需通過安全檢查,通信實(shí)現(xiàn)站間協(xié)同將顯著增加暴露風(fēng)險(xiǎn),勢(shì)必需要采用無通信的協(xié)同機(jī)制進(jìn)行攻擊才可以最大化攻擊效果。變電站自動(dòng)化系統(tǒng)均配置有全球衛(wèi)星同步時(shí)鐘,利用同步時(shí)鐘可簡(jiǎn)單高效地實(shí)現(xiàn)多個(gè)變電站的無通信協(xié)同。從底線思維的角度出發(fā),為避免協(xié)同攻擊造成大停電,可考慮人為岔開全球衛(wèi)星同步時(shí)鐘，使得高重要度的樞紐變電站同步時(shí)鐘相互保持一定日數(shù)的差異。即便惡意軟件侵入多個(gè)變電站,并約定在同一時(shí)間跳閘,也會(huì)因各站時(shí)鐘差異而不會(huì)同時(shí)故障,顯著降低大停電風(fēng)險(xiǎn)。

繼電保護(hù)系統(tǒng)為保障可靠性,要求可不依賴于同步時(shí)鐘獨(dú)立工作,調(diào)整全球同步時(shí)鐘對(duì)其無明顯影響。故障錄波、行波定位、廣域測(cè)量和事件順序記錄在調(diào)度主站側(cè)匯總各站數(shù)據(jù)后進(jìn)行故障擾動(dòng)分析,要求保持時(shí)鐘同步?？煽紤]在調(diào)度端高級(jí)應(yīng)用中讀取數(shù)據(jù)時(shí)進(jìn)行時(shí)間反校,以降低對(duì)上述業(yè)務(wù)系統(tǒng)的影響。

3.3 高級(jí)計(jì)量系統(tǒng)

高級(jí)計(jì)量體系的安防需求和調(diào)度及變電站自動(dòng)化系統(tǒng)存在顯著差異。一方面,智能電表分布點(diǎn)多面廣,多采用無線專網(wǎng)方式通信,攻擊的技術(shù)門檻較低;另一方面,智能電表計(jì)算和通信資源有限,只能依賴基于密鑰的身份認(rèn)證和通信加密保障安全。一旦破解加密算法,智能電表將直面網(wǎng)絡(luò)攻擊的威脅。

2014年,研究人員破解了西班牙電網(wǎng)公司智能電表采用的AES-128bit對(duì)稱加密算法,侵入表計(jì)后注入惡意代碼,不但可篡改電表標(biāo)識(shí)碼、調(diào)整電量讀數(shù)實(shí)現(xiàn)竊電,還可以此為跳板攻擊相鄰電表,甚至可能控制切斷用戶供電。如不能及時(shí)檢測(cè),可能廣為傳播后造成大停電事故。中國智能電表采用和西班牙類似的加密算法,前述破解和攻擊方法同樣適用。

因智能電表等智能硬件計(jì)算和通信資源有限,用傳統(tǒng)方法難以檢測(cè)滲透侵入的惡意軟件。應(yīng)用云安全技術(shù),可將惡意軟件檢測(cè)等工作轉(zhuǎn)移到云端服務(wù)器完成,能在智能電表有限的計(jì)算和通信資源條件下完成惡意軟件檢測(cè)。該方法也可用于強(qiáng)化電力CPS中其他智能硬件的網(wǎng)絡(luò)安全防護(hù)水平。

4 討論

電力CPS的安全穩(wěn)定運(yùn)行直接影響社會(huì)生產(chǎn)生活,是國家級(jí)網(wǎng)絡(luò)對(duì)抗的重要目標(biāo)。因中國電力系統(tǒng)已構(gòu)筑較完善的安全防御體系,普通病毒軟件很難跨越高技術(shù)門檻滲透攻擊,未來應(yīng)以具有國家背景的定向攻擊為主要防護(hù)對(duì)象。因此類攻擊方擁有充足資源,清楚了解目標(biāo)對(duì)象采用的防護(hù)措施,不但可對(duì)攻擊目標(biāo)逆向工程,深入分析運(yùn)作機(jī)制并編制定向攻擊軟件,甚至還可能直接破解密鑰發(fā)起攻擊;有必要以其能侵入生產(chǎn)安全控制區(qū)為前提,以保障電網(wǎng)不發(fā)生大停電事故為底線,結(jié)合攻擊模式分析,設(shè)計(jì)風(fēng)險(xiǎn)管控措施。

本文拋磚引玉,討論了調(diào)度、變電站自動(dòng)化和高級(jí)計(jì)量體系幾種可能攻擊模式的應(yīng)對(duì)思路。實(shí)際上,電力CPS結(jié)構(gòu)復(fù)雜,可能的攻擊來源和攻擊模式繁多,需要集思廣益,查漏補(bǔ)缺,多視角地分析潛在的網(wǎng)絡(luò)攻擊渠道和可能的破壞模式,盡可能避免惡性事故。作者認(rèn)為,該領(lǐng)域有以下幾點(diǎn)需要注意。

1)網(wǎng)絡(luò)對(duì)抗中,攻防雙方都存在成本問題。具有國家機(jī)構(gòu)背景的攻擊方,可耗費(fèi)大量資源組織復(fù)雜的定向攻擊。以震網(wǎng)病毒為例,賽門鐵克公司估計(jì)該病毒需要組織5至30名計(jì)算機(jī)領(lǐng)域和過程控制領(lǐng)域的專家,耗費(fèi)6個(gè)月左右時(shí)間進(jìn)行研發(fā),遠(yuǎn)非一般機(jī)構(gòu)組織所能承擔(dān)。電力系統(tǒng)網(wǎng)絡(luò)攻防博弈中國家背景機(jī)構(gòu)的參與將顯著提高攻擊復(fù)雜度,使得攻防雙方的平衡明顯偏向攻擊方,并將對(duì)防衛(wèi)方提出巨大的挑戰(zhàn)。

2)電力系統(tǒng)網(wǎng)絡(luò)安全防御需考慮應(yīng)對(duì)普通惡意軟件和針對(duì)性定向攻擊等兩類,這兩類攻擊行為本身及所需防護(hù)方法上的差異可用電力系統(tǒng)元件隨機(jī)失效和連鎖故障大停電進(jìn)行類比。前者發(fā)生概率較高,危害機(jī)理清晰,可用較成熟的可靠性理論和信息安全理論與方法進(jìn)行分析與應(yīng)對(duì);后者極少發(fā)生甚至無先例可循,需深入研究方可明晰機(jī)理,進(jìn)而針對(duì)性地制定應(yīng)對(duì)措施。由于電力系統(tǒng)在規(guī)劃建設(shè)時(shí)考慮了冗余設(shè)計(jì),普通惡意軟件即便侵入中國物理隔離的電力調(diào)度數(shù)據(jù)網(wǎng),在不清楚信息與物理系統(tǒng)接口的條件下也只能造成小規(guī)模擾動(dòng),并不會(huì)對(duì)電網(wǎng)安全穩(wěn)定造成突出影響。而以最大化破壞效果為目標(biāo)的定向攻擊卻極可能以最不利的方式進(jìn)行選擇性攻擊破壞,是電力系統(tǒng)網(wǎng)絡(luò)安全的心腹大患。在世界各國紛紛成立網(wǎng)絡(luò)部隊(duì)的今天,除強(qiáng)化一般性網(wǎng)絡(luò)攻擊的防護(hù)研究外,更應(yīng)針對(duì)性地研究定向攻擊模式特征并逆向設(shè)計(jì)防護(hù)方法。

3)本文利用調(diào)度數(shù)據(jù)專網(wǎng)形成的不對(duì)稱優(yōu)勢(shì),針對(duì)調(diào)度系統(tǒng)定向攻擊提出基于虛構(gòu)電網(wǎng)數(shù)據(jù)誘騙攻擊的主動(dòng)入侵檢測(cè)方法,引誘惡意軟件攻擊虛構(gòu)系統(tǒng),從而觸發(fā)入侵檢測(cè)與防護(hù)機(jī)制;針對(duì)變電站自動(dòng)化系統(tǒng)定向攻擊需進(jìn)行無通信協(xié)同方可實(shí)現(xiàn)多站協(xié)同跳閘攻擊以最大化破壞效果的特點(diǎn),提出基于差異化調(diào)整全球同步時(shí)鐘的方式來破壞多站協(xié)同機(jī)制,以最小化破壞效果。需要指出的是,這兩種方法均涉及高級(jí)應(yīng)用現(xiàn)有業(yè)務(wù)流程的調(diào)整,要付諸使用需要付出高昂代價(jià),可選擇性地在特別重要的電網(wǎng)調(diào)度和變電站進(jìn)行應(yīng)用以降低成本。

4)網(wǎng)絡(luò)對(duì)抗中,防護(hù)手段只能對(duì)特定攻擊模式有效。考慮到實(shí)際攻擊工業(yè)控制系統(tǒng)的震網(wǎng)病毒和BlackEnergy病毒均采用了可直接造成攻擊破壞效果的旁路控制,本文僅針對(duì)電力系統(tǒng)旁路控制跳閘攻擊分析提出應(yīng)對(duì)思路,未考慮其他攻擊模式。結(jié)合業(yè)務(wù)流程和攻擊模式分析,可設(shè)計(jì)針對(duì)性的防護(hù)措施，提高對(duì)其他攻擊模式的入侵檢測(cè)和防衛(wèi)能力。

5)所提應(yīng)對(duì)思路中,調(diào)度自動(dòng)化系統(tǒng)中將真實(shí)元件列表個(gè)性化存儲(chǔ)于其他文件中,高級(jí)應(yīng)用讀取真實(shí)元件列表后再到實(shí)時(shí)數(shù)據(jù)庫中獲取對(duì)應(yīng)元件狀態(tài)信息。因各電網(wǎng)公司所用個(gè)性化存儲(chǔ)模式有異,定向攻擊惡意軟件入侵后需將調(diào)度系統(tǒng)文件外傳后,經(jīng)人為解析確認(rèn)真實(shí)元件列表文件名稱和數(shù)據(jù)結(jié)構(gòu)后,再按目標(biāo)系統(tǒng)個(gè)性化存儲(chǔ)文件格式定制定向攻擊軟件才可發(fā)起精確攻擊。變電站自動(dòng)化系統(tǒng)中,在變電站全球同步授時(shí)模塊中調(diào)整同步時(shí)鐘后,在調(diào)度端故障錄波等高級(jí)應(yīng)用讀取數(shù)據(jù)進(jìn)行業(yè)務(wù)分析時(shí)進(jìn)行時(shí)間反校。如敵對(duì)組織從調(diào)度端獲取各變電站同步時(shí)鐘調(diào)整方案后再針對(duì)性地編制定向攻擊惡意軟件,將仍可在廠站經(jīng)側(cè)借全球同步時(shí)鐘機(jī)制進(jìn)行協(xié)同攻擊。

感謝石東源、曹玉勝和何飛躍老師的深入交流和討論,以及國家自然科學(xué)基金(51777015,91547113)、湖南省科技重大專項(xiàng)(2015GK1002)、湖南省教育廳科學(xué)研究項(xiàng)目(15A005,14C0023)、清潔能源與智能電網(wǎng)2011協(xié)同創(chuàng)新中心資助。

[1] 高昆侖,王志皓，安寧鈺，等.基于可信計(jì)算技術(shù)構(gòu)建電力監(jiān)測(cè)控制系統(tǒng)網(wǎng)絡(luò)安全免疫系統(tǒng)[J].工程科學(xué)與技術(shù),2017,49(2):28-35.

GAO Kunlun,WANG Zhihao,AN Ningyu,et al.Construction of the immune system of cyber security for electric power supervise and control system based on trusted computing[J].Advanced Engineering Sciences,2017,49(2):28-35.

Bottom-lineThinkinginCyberSecurityDefenseofCyber-physicalPowerSystem

LITian1,SUSheng1,YANGHongming1,WENFushuan2,3,WANGDongqing4,ZHULin5

(1.Hunan Province Key Laboratory of Smart Grids Operation and Control(Changsha University of Science and Technology),Changsha 410004,China;2.College of Electrical Engineering,Zhejiang University,Hangzhou 310027,China;3.Department of Electrical and Electronic Engineering,Universiti Teknologi Brunei,Bandar Seri Begawan BE1410,Brunei;4.NARI Group Corporation (Beijing),Beijing 102200,China;5.Department of Electrical Engineering and Computer Science,The University of Tennessee,TN 37909,USA)

2017-08-06；

2017-09-06。

上網(wǎng)日期： 2017-09-25。

李 田(1994—),女,碩士研究生,主要研究方向:電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)。E-mail:649081337@qq.com

蘇 盛(1975—),男,通信作者,博士,副教授,主要研究方向:電力系統(tǒng)大停電風(fēng)險(xiǎn)分析。E-mail:eessheng@163.com

楊洪明(1972—)，女，通信作者，博士，教授，主要研究方向：電力系統(tǒng)運(yùn)行與控制、電力市場(chǎng)，能源互聯(lián)網(wǎng)。

(編輯代長振 許文楊)