張 涵,呂政權(quán),彭道剛,李朝陽,王丹豪
(1.上海電力大學(xué)自動化工程學(xué)院,上海 200090;2.國網(wǎng)上海市電力公司培訓(xùn)中心,上海 200438)
如今能源電力與現(xiàn)代化信息通信技術(shù)、控制技術(shù)的深度融合,使數(shù)據(jù)網(wǎng)絡(luò)成為電力系統(tǒng)的重要基礎(chǔ)設(shè)施,但與此同時也引發(fā)了一系列網(wǎng)絡(luò)安全問題[1-2],如病毒的侵襲、黑客的非法闖入、數(shù)據(jù)竊聽和攔截等。因此,針對這些網(wǎng)絡(luò)安全問題開展相應(yīng)的安全應(yīng)急機(jī)制研究十分必要。目前關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制的研究主要集中于對應(yīng)急響應(yīng)預(yù)案及應(yīng)急處置流程、對策的說明等方面[3-5],很少從應(yīng)急人員操作有效性角度對整個應(yīng)急響應(yīng)流程的影響進(jìn)行分析。因此在綜合能源環(huán)境下,文中通過將人因可靠性分析(Human Cognitive Reliability,HCR)與領(lǐng)結(jié)法(Bowtie)相結(jié)合,以定性分析與定量分析相補(bǔ)充的形式來解決電力網(wǎng)絡(luò)遭受安全攻擊引起的突發(fā)事件。首先針對應(yīng)急人員操作可靠性進(jìn)行定量分析,其次優(yōu)化應(yīng)急響應(yīng)機(jī)制中的風(fēng)險(xiǎn)防御措施和應(yīng)急控制措施,并構(gòu)建基于HCR改進(jìn)的Bowtie風(fēng)險(xiǎn)防護(hù)屏障。本方法不僅可以評估應(yīng)急人員對突發(fā)事件應(yīng)急響應(yīng)的失敗概率,以期減少綜合能源環(huán)境下電力網(wǎng)絡(luò)安全突發(fā)事件中的人因失誤,還可以構(gòu)建更加完善的Bowtie風(fēng)險(xiǎn)防護(hù)屏障,預(yù)防更加嚴(yán)重的事故發(fā)生。
綜合智慧能源是一個“多能互補(bǔ)”的智慧能源互聯(lián)網(wǎng),其內(nèi)部包含冷、熱、電、氣等多種能源的生產(chǎn)、傳輸、轉(zhuǎn)化、儲存、分配、消費(fèi)等環(huán)節(jié)[6-7]。現(xiàn)階段綜合能源環(huán)境下的電力網(wǎng)絡(luò)與互聯(lián)網(wǎng)界限愈發(fā)模糊,傳統(tǒng)業(yè)務(wù)之間的信息壁壘逐漸瓦解,數(shù)據(jù)信息網(wǎng)絡(luò)已經(jīng)成為綜合智慧能源組成的重要基礎(chǔ)設(shè)施[8-10]。因此考慮綜合能源系統(tǒng)電力信息接入和應(yīng)用安全防護(hù)策略特點(diǎn),設(shè)計(jì)綜合能源電力系統(tǒng)信息網(wǎng)絡(luò)安全架構(gòu),如圖1所示。
圖1 綜合能源系統(tǒng)電力信息安全架構(gòu)
針對綜合能源系統(tǒng)的多元信息數(shù)據(jù)采集過程,首先由分布式能源生產(chǎn)、轉(zhuǎn)換、儲存等局域網(wǎng)內(nèi)的嵌入式終端、無線智能通信終端等設(shè)備進(jìn)行提取、采集;其次經(jīng)過能源互聯(lián)網(wǎng)傳輸至電力系統(tǒng)控制網(wǎng)絡(luò)、熱電聯(lián)產(chǎn)控制網(wǎng)絡(luò)等主站控制側(cè)進(jìn)行集中調(diào)配控制服務(wù);最后由主站側(cè)下發(fā)信息命令統(tǒng)一經(jīng)由能源互聯(lián)網(wǎng)云端傳輸至各分布式工業(yè)、居民用電側(cè)等區(qū)域。與此同時為減少綜合能源環(huán)境下電力信息數(shù)據(jù)采集和傳輸媒介的能源互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題,一般性的在常見數(shù)據(jù)采集終端配備有訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性檢查等網(wǎng)絡(luò)安全機(jī)制,且每個局域網(wǎng)網(wǎng)端設(shè)有工業(yè)防火墻、入侵檢測和漏洞掃描等網(wǎng)絡(luò)安全防護(hù)策略。另外傳統(tǒng)能源互聯(lián)網(wǎng)網(wǎng)關(guān)常采取隱藏SSID、加密保護(hù)方式、變換缺省內(nèi)網(wǎng)網(wǎng)段和網(wǎng)關(guān)IP 等安全策略。
但綜合能源系統(tǒng)是多源協(xié)調(diào)互補(bǔ)的高度復(fù)雜性綜合管理體系,發(fā)生網(wǎng)絡(luò)安全事件時,極可能涉及到電力部門與冷熱電聯(lián)產(chǎn)、光儲充換等各管理部門人員間的相互配合問題。當(dāng)應(yīng)急人員采取不同行動時,傳統(tǒng)信息安全應(yīng)急演練方法不能對這一系列行動所產(chǎn)生的影響進(jìn)行推理,進(jìn)而產(chǎn)生人因可靠性的問題。本研究提出的基于HCR 改進(jìn)的Bowtie 風(fēng)險(xiǎn)分析模型,在考慮電力信息網(wǎng)絡(luò)系統(tǒng)自身安全風(fēng)險(xiǎn)的同時,還考慮了應(yīng)急人員的決策、行動價值等不確定因素的效用。此方法在建立應(yīng)急響應(yīng)機(jī)制時,將得到最大效用防護(hù)措施序列,建立更加完善的風(fēng)險(xiǎn)防護(hù)屏障,因此具有重要研究意義。
為定量分析應(yīng)急過程中操作人員的行為有效性,探究人的失誤機(jī)制,文中采用目前較流行的人因分析模式之一HCR 分析理論。該方法可以綜合應(yīng)急響應(yīng)活動中應(yīng)急人員的運(yùn)行經(jīng)驗(yàn)、壓力等級和人機(jī)系統(tǒng)修正等因素,計(jì)算得到應(yīng)急人員采取安全防御措施的時間和人因失誤概率[10-11]?,F(xiàn)階段我國大部分工業(yè)生產(chǎn)系統(tǒng)內(nèi)部均設(shè)有網(wǎng)絡(luò)安全管理部門,考慮網(wǎng)絡(luò)安全專員與電網(wǎng)內(nèi)部其他部門工作人員(下文簡稱電網(wǎng)專員)的自身專業(yè)因素,及其相互配合條件與環(huán)境因素對全體應(yīng)急人員認(rèn)知的影響,將應(yīng)急響應(yīng)中人員的失誤動作分為三個類型[12-13]。
1)反應(yīng)型:一般的安全檢測或安全響應(yīng)階段中人員行為失誤歸納為反應(yīng)型失誤,即不依賴于任務(wù)復(fù)雜程度的無意識疏忽造成的操作失誤等不可靠行為;
2)規(guī)則型:針對事先已制定的安全響應(yīng)機(jī)制等安全規(guī)定操作流程中的人員行為失誤,即已通過大量經(jīng)驗(yàn)或數(shù)據(jù)驗(yàn)證得到的現(xiàn)有例行安全響應(yīng)應(yīng)急機(jī)制操作程序中出現(xiàn)的人員誤解及誤判等失誤行為歸納為規(guī)則型失誤;
3)知識型:一般網(wǎng)絡(luò)安全攻擊事件程度復(fù)雜,網(wǎng)絡(luò)安全專員對電網(wǎng)實(shí)際運(yùn)行狀況及新型攻擊病毒尚存在知識局限性,或傳統(tǒng)電網(wǎng)運(yùn)維人員對網(wǎng)絡(luò)安全知識也尚在探索階段,此類主要因知識局限性造成的失誤為知識型失誤。
Bowtie模型由澳大利亞昆士蘭大學(xué)第一次提出,主要針對不安全因素進(jìn)行集中管理,使安全管理更加簡單易行,之后在英國關(guān)于石化工業(yè)的安全報(bào)告中被應(yīng)用,隨后美國也開始應(yīng)用這種模型[14]。Bowtie通過對不安全因素的識別、分析,建立一種有效的安全屏障和預(yù)防措施模型,它能夠通過層層的安全屏障有效地減少不安全因素的發(fā)生[15-16]。Bowtie模型就像領(lǐng)結(jié)一樣,左邊設(shè)置層層防護(hù)屏障,如果屏障被打破則可能產(chǎn)生突發(fā)事件,右邊則通過采取有效的應(yīng)急措施,減小該突發(fā)事件產(chǎn)生的后果[17-18],Bowtie 方法原理圖如圖2所示。
圖2 Bowtie方法原理圖
為了使安全管理更加簡潔有效,使應(yīng)急人員對防護(hù)措施一目了然,實(shí)現(xiàn)全面掌握,文中提出的Bowtie模型簡化了事故中的邏輯關(guān)聯(lián),側(cè)重于對人因失誤影響的定性定量分析,深入分析風(fēng)險(xiǎn)背后隱藏的危險(xiǎn)源和應(yīng)急防護(hù)措施,加強(qiáng)減少人因失誤導(dǎo)致的惡性影響,改善綜合能源系統(tǒng)整體的電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)屏障性能需求。
文中將HCR 融入Bowtie 風(fēng)險(xiǎn)分析方法,采取風(fēng)險(xiǎn)定量分析與定性評價相結(jié)合的方式,參考《GB/T 31722—2015 信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》確定風(fēng)險(xiǎn)等級,針對由于人因失誤造成較大風(fēng)險(xiǎn)故障的推演關(guān)鍵環(huán)節(jié),提出相應(yīng)的風(fēng)險(xiǎn)控制措施,具體實(shí)施流程如下:
1)運(yùn)用邏輯決斷的方法判斷應(yīng)急人員應(yīng)急響應(yīng)的預(yù)控決策流程,隨后采用HCR 對應(yīng)急響應(yīng)關(guān)鍵環(huán)節(jié)中的人員行為進(jìn)行失誤概率計(jì)算及風(fēng)險(xiǎn)評估,針對風(fēng)險(xiǎn)等級較高的故障模式進(jìn)行危險(xiǎn)與可操作性分析;
2)運(yùn)用Bowtie模型針對人因失誤風(fēng)險(xiǎn)等級較高的故障環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)預(yù)控與事故應(yīng)急分析,完成初步的風(fēng)險(xiǎn)源識別和風(fēng)險(xiǎn)應(yīng)對措施的制定;
3)結(jié)合具體網(wǎng)絡(luò)結(jié)構(gòu)及電網(wǎng)實(shí)際管理情況,對特定網(wǎng)絡(luò)安全體系進(jìn)行整體性的綜合安全風(fēng)險(xiǎn)評價,進(jìn)而得到整體應(yīng)急響應(yīng)機(jī)制相關(guān)的風(fēng)險(xiǎn)預(yù)控措施和事故緩解措施,繪制基于HCR 的改進(jìn)Bowtie 風(fēng)險(xiǎn)防護(hù)屏障。
結(jié)合相關(guān)數(shù)據(jù)統(tǒng)計(jì)和專家經(jīng)驗(yàn)構(gòu)建網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急演練腳本案例,具體事故鏈發(fā)展如圖3 所示。假設(shè)攻擊者已經(jīng)利用ARP 泛洪攻擊等方式,將惡意代碼植入運(yùn)維人員嵌入式視頻監(jiān)控終端的PC機(jī)上。由于各安全域間缺少邊界訪問控制,惡意代碼通過主機(jī)漏洞向其他間隔層保護(hù)終端發(fā)送報(bào)文攻擊篡改控制報(bào)文,最終使得智能單元控制主機(jī)失去其對斷路器的自主控制,導(dǎo)致斷路器頻繁開斷。
圖3 網(wǎng)絡(luò)安全突發(fā)事件演練場景
事故發(fā)生后(狀態(tài)評估及響應(yīng)階段),安全檢測系統(tǒng)識別獲取GOOSE 惡意報(bào)文及ICMP 泛洪報(bào)文,并發(fā)出報(bào)警顯示信息。網(wǎng)絡(luò)安全專員需在有限的時間內(nèi)對其進(jìn)行分析,綜合評估系統(tǒng)狀態(tài),判斷是否需要電網(wǎng)專員啟動手動應(yīng)急響應(yīng)措施。電網(wǎng)專員一方面需要配合網(wǎng)絡(luò)安全專員進(jìn)行系統(tǒng)狀態(tài)評估,一方面也需提前備好應(yīng)急響應(yīng)預(yù)控方案。當(dāng)智能主機(jī)失去對斷路器的自主控制時,說明網(wǎng)絡(luò)安全專員未能及時、有效地準(zhǔn)確識別并制止惡意病毒的攻擊。在此期間,所有應(yīng)急人員均需要及時共享情報(bào),進(jìn)行實(shí)時的通訊交流。如果事故最終導(dǎo)致斷路器頻繁開斷,不僅需要電網(wǎng)專員的應(yīng)急處置,同時也需要網(wǎng)絡(luò)安全專員對惡意病毒攻擊的實(shí)時監(jiān)控與制止,防止二次攻擊的發(fā)生??梢钥闯?,在整體的應(yīng)急響應(yīng)處理過程中,應(yīng)急人員會受到情緒緊張等心理因素的影響。應(yīng)急人員對系統(tǒng)的綜合判斷及操作行為的可靠性分析可利用HCR 進(jìn)行分析。將人因失誤概率用E 表示,采用公式(1)進(jìn)行HCR概率計(jì)算:
式中:t為應(yīng)急人員采取并執(zhí)行相應(yīng)防范措施的時間;T0.5為執(zhí)行應(yīng)急策略的平均時長;α、β、γ則是和應(yīng)急人員行為類型有關(guān)的尺度、形狀和位置等參數(shù),具體如表1所示。
表1 系數(shù)α、β、γ
因?yàn)椴煌瑧?yīng)急人員對突發(fā)事件的認(rèn)知情況不同,需進(jìn)一步修正應(yīng)急人員采取并執(zhí)行相應(yīng)防范措施的平均時長。修正的平均時長主要由正常狀態(tài)下采取恰當(dāng)措施的平均時間T′0.5,應(yīng)急人員操作能力熟練程度K1、應(yīng)急人員現(xiàn)場緊張程度K2和應(yīng)急人員人機(jī)匹配程度K3決定。具體修正公式如式(2)。
通過與上海市某培訓(xùn)中心合作的大量模擬實(shí)驗(yàn)及專家統(tǒng)計(jì)數(shù)據(jù)表明,現(xiàn)場工作人員從發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、電力系統(tǒng)警示燈預(yù)警或發(fā)現(xiàn)設(shè)備故障到采取應(yīng)急措施的反應(yīng)時間大約是6 s。應(yīng)急人員完成整項(xiàng)判斷并執(zhí)行操作流程需要約5 s~7 s。網(wǎng)絡(luò)安全技能掌握良好的應(yīng)急人員對事故風(fēng)險(xiǎn)判斷大約需要2 s~3 s??紤]到現(xiàn)階段網(wǎng)絡(luò)安全知識普及水平較低,本試驗(yàn)選取最壞的情況:網(wǎng)絡(luò)安全專員發(fā)現(xiàn)惡意代碼植入之后進(jìn)行判斷、警報(bào)的時間需要2 s左右,電網(wǎng)專員需要3 s左右。根據(jù)變電站現(xiàn)場工作人員操作特點(diǎn),應(yīng)急人員需按照操作規(guī)定采取相應(yīng)防范措施,則應(yīng)急人員的失誤動作為規(guī)則型,參考應(yīng)急人員判斷設(shè)備損壞的時間數(shù)據(jù),各系數(shù)取值如下:α=0.8,β=0.6,γ=0.542。同時應(yīng)急人員的認(rèn)知能力、業(yè)務(wù)熟練程度一般,人機(jī)匹配度一般,當(dāng)發(fā)現(xiàn)預(yù)警時能有序進(jìn)行應(yīng)急措施,根據(jù)專家統(tǒng)計(jì)數(shù)據(jù)對修正因子取值如下:K1=0;K2=0.18;K3=0.05。
現(xiàn)對每個演練環(huán)節(jié)中的人因可靠性進(jìn)行HCR計(jì)算及初步Bowtie 分析,分析結(jié)果見表2。表中列出每個應(yīng)急演練環(huán)節(jié)中與人員失誤有關(guān)的風(fēng)險(xiǎn)源,并根據(jù)風(fēng)險(xiǎn)等級和失效原因,給出相應(yīng)的風(fēng)險(xiǎn)防護(hù)措施。如三級智能控制單元失效是嚴(yán)重程度最高的風(fēng)險(xiǎn),需嚴(yán)格加強(qiáng)關(guān)鍵設(shè)備的檢測和日常監(jiān)控,制定相關(guān)應(yīng)急預(yù)案等方面的措施進(jìn)行風(fēng)險(xiǎn)預(yù)控,并實(shí)施以減緩事故影響。一旦發(fā)生事故,網(wǎng)絡(luò)安全專員應(yīng)及時有效的處理危險(xiǎn)故障并及時向電網(wǎng)專員報(bào)備。針對二級斷路器失控環(huán)節(jié),不僅需加強(qiáng)日常的監(jiān)控與維護(hù),當(dāng)事故發(fā)生時,電網(wǎng)專員要在保證人身安全的前提下,做好搶修輸變電配送設(shè)備等應(yīng)急工作,確保系統(tǒng)運(yùn)行的連續(xù)性。
表2 風(fēng)險(xiǎn)等級圖
經(jīng)分析可知該站點(diǎn)的電力信息網(wǎng)絡(luò)系統(tǒng)使用傳統(tǒng)信息網(wǎng)絡(luò)架構(gòu),其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示。
圖4 電力信息系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D
由圖4 可知,此站點(diǎn)通過子網(wǎng)劃分、安全域劃分等安全策略,基本實(shí)現(xiàn)了業(yè)務(wù)隔離。但核心交換域采用單核心單鏈路架構(gòu),容易造成單點(diǎn)故障,無法保證業(yè)務(wù)的可靠性和連續(xù)性;同時,該站點(diǎn)在互聯(lián)網(wǎng)出口區(qū)域部署了防火墻,以實(shí)現(xiàn)邊界安全訪問控制,但其他區(qū)域邊界都沒有采用防火墻或者入侵防御系統(tǒng),單純的防火墻力量單薄,無法對網(wǎng)絡(luò)攻擊進(jìn)行深度防御和監(jiān)控;另外,此站點(diǎn)的物理設(shè)備數(shù)據(jù)采集終端未部署防病毒系統(tǒng),容易遭受惡意代碼攻擊。
結(jié)合表2 以及綜合能源電力信息網(wǎng)絡(luò)實(shí)際管理情況,從電網(wǎng)的設(shè)備設(shè)計(jì)、風(fēng)險(xiǎn)控制角度對關(guān)鍵設(shè)備進(jìn)行風(fēng)險(xiǎn)評估,發(fā)現(xiàn)此次網(wǎng)絡(luò)安全突發(fā)事件主要是由于網(wǎng)絡(luò)安全機(jī)制不完善、安全監(jiān)督不力、組織機(jī)構(gòu)職責(zé)不清楚、安全信息不暢通、風(fēng)險(xiǎn)管理不及時、安全教育培訓(xùn)不到位等諸多因素造成。更加驗(yàn)證了綜合能源環(huán)境下電力信息網(wǎng)絡(luò)環(huán)境復(fù)雜,具有作業(yè)環(huán)境復(fù)雜、作業(yè)方式特殊、事故原因多樣和事故影響重大等特點(diǎn)。為全面、系統(tǒng)地識別和評價綜合能源電力信息網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn),構(gòu)建基于HCR 改進(jìn)的Bowtie風(fēng)險(xiǎn)防護(hù)屏障見圖5,對保障綜合能源環(huán)境下電力系統(tǒng)安全穩(wěn)定運(yùn)行具有重要意義。
圖5 基于HCR的改進(jìn)Bowtie風(fēng)險(xiǎn)防護(hù)屏障
文中釆取定性分析和定量評價相結(jié)合的方式,提出基于HCR改進(jìn)的Bowtie風(fēng)險(xiǎn)分析模型。在綜合能源環(huán)境下,應(yīng)用于因某嵌入式終端遭受網(wǎng)絡(luò)安全攻擊而引發(fā)斷路器故障的應(yīng)急演練實(shí)踐中,其結(jié)果表明:此方法能夠有效針對人因可靠性進(jìn)行分析,并確定其風(fēng)險(xiǎn)等級,得出相應(yīng)的風(fēng)險(xiǎn)預(yù)防措施和事故應(yīng)急處置措施;另外,最終得到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)屏障通過Bowtie 實(shí)現(xiàn)可視化展示,以直觀體現(xiàn)應(yīng)急措施的形式,完善了現(xiàn)有的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制。
本方法不但適用于嵌入式終端遭受惡意網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)防護(hù)分析,同樣適用于各類受人因不確定性因素影響下,網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急響應(yīng)機(jī)制研究,如發(fā)電廠設(shè)備網(wǎng)絡(luò)安全事件、異網(wǎng)融合事故等。后續(xù)可以繼續(xù)開展基于Bowtie 風(fēng)險(xiǎn)分析的綜合能源環(huán)境下電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,進(jìn)一步提高風(fēng)險(xiǎn)分析的全面性,針對威脅、防護(hù)屏障、危險(xiǎn)源及控制措施之間的關(guān)系,為電力系統(tǒng)網(wǎng)絡(luò)安全管理提供科學(xué)有效的依據(jù)。