鐘慧欣，俞洋，張朋偉

（江西交通職業(yè)技術(shù)學(xué)院，江西南昌 330013)

0 引言

現(xiàn)代電力系統(tǒng)建立在高度集成、網(wǎng)絡(luò)通信的基礎(chǔ)上，打破了傳統(tǒng)電力系統(tǒng)的孤島壁壘，是典型的電力信息物理融合系統(tǒng)(Cyber-Physical System,CPS)[1]。信息技術(shù)的融入使得現(xiàn)代電力系統(tǒng)變得智能化，提高了生產(chǎn)運營的效率。然而，由于在通信協(xié)議、設(shè)備認證、數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)确矫娴陌踩┒?，電力系統(tǒng)不可避免地暴露在網(wǎng)絡(luò)攻擊（如數(shù)據(jù)欺騙攻擊、拒絕服務(wù)攻擊等）之下。惡意的網(wǎng)絡(luò)攻擊可能會破壞電力系統(tǒng)的安全經(jīng)濟運行，甚至導(dǎo)致系統(tǒng)崩潰，這會對系統(tǒng)造成無可挽回的巨大損失。因此，電力系統(tǒng)中的網(wǎng)絡(luò)安全問題非常重要，得到了電力行業(yè)和學(xué)術(shù)界等的重視。

1 電力CPS概述

電力信息物理融合系統(tǒng)將計算機技術(shù)、通信技術(shù)及物聯(lián)網(wǎng)技術(shù)等應(yīng)用到電力系統(tǒng)中，通過電力、傳感、通信及計算等設(shè)備的有機結(jié)合，使電力系統(tǒng)能夠?qū)崿F(xiàn)高效且可靠的運行。如圖1 所示為電力CPS 網(wǎng)絡(luò)架構(gòu)，主要由電力網(wǎng)絡(luò)、信息網(wǎng)絡(luò)和電力CPS 網(wǎng)絡(luò)三部分組成。電力網(wǎng)絡(luò)是指包含各種物理設(shè)備（比如電力負載、智能電表、電力生產(chǎn)設(shè)備、電力傳輸設(shè)備、儲能裝置等）的電力系統(tǒng)物理網(wǎng)絡(luò)，現(xiàn)代電力網(wǎng)絡(luò)更是多源協(xié)同的，除了傳統(tǒng)的火力水力發(fā)電外還接入了各種新能源，這對電網(wǎng)的調(diào)度和安全穩(wěn)定運行帶來了新挑戰(zhàn)。信息網(wǎng)絡(luò)通過各種傳感設(shè)備、通信設(shè)備及計算設(shè)備獲取電力系統(tǒng)的狀態(tài)數(shù)據(jù)、量測數(shù)據(jù)，還會獲取電力系統(tǒng)之外的外部信息比如電價、天氣等，同時將這些實時和非實時的數(shù)據(jù)傳輸至控制中心，從而能夠準確、全面地掌握電力系統(tǒng)生產(chǎn)運行的實時情況。電力CPS 網(wǎng)絡(luò)則是綜合了電力網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的一個虛擬網(wǎng)絡(luò)概念，電力CPS網(wǎng)絡(luò)中的節(jié)點可同時與電力網(wǎng)絡(luò)和信息網(wǎng)絡(luò)進行交流[2]。

圖1 電力CPS網(wǎng)絡(luò)架構(gòu)

2 電力CPS網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 電力CPS網(wǎng)絡(luò)安全問題的主要來源

與傳統(tǒng)電力系統(tǒng)相比，現(xiàn)代電力系統(tǒng)中部署了大量智能儀表設(shè)備，這些智能設(shè)備采集的海量數(shù)據(jù)通過通信網(wǎng)絡(luò)進行快速實時的交換。目前，電力系統(tǒng)所面臨的安全問題主要在于電網(wǎng)基礎(chǔ)設(shè)施安全和網(wǎng)絡(luò)安全，《美國標準技術(shù)研究院(NIST)7628 號報告》指出網(wǎng)絡(luò)安全三要素分別為保密性(confidentiality)、完整性(integrity)和可用性(availability)，簡稱網(wǎng)絡(luò)“CIA”安全目標。

目前，電力系統(tǒng)中的網(wǎng)絡(luò)安全問題一方面來自內(nèi)部原因，比如員工的網(wǎng)絡(luò)安全意識不足、公司內(nèi)部安全管理制度不夠規(guī)范等；另一方面，日益增多的外部網(wǎng)絡(luò)攻擊已成為電力系統(tǒng)的主要威脅來源。針對電力信息物理系統(tǒng)的網(wǎng)絡(luò)安全威脅主要可以分為四個方面[3]：攻擊者針對計算機系統(tǒng)漏洞進行的入侵破壞、人為的惡意攻擊如黑客的攻擊和病毒的侵入、日益復(fù)雜的網(wǎng)絡(luò)和系統(tǒng)軟件中越來越多的可攻擊點和系統(tǒng)安全漏洞、大量Web應(yīng)用系統(tǒng)部署導(dǎo)致的未加密信息的泄漏。

2.2 電力系統(tǒng)遭受各種網(wǎng)絡(luò)攻擊實際案例

近年來，電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊的事件時有發(fā)生，詳見表1。惡意的網(wǎng)絡(luò)攻擊已經(jīng)造成大范圍的停電事件，很多大停電事件發(fā)生的起因僅僅是電力系統(tǒng)中某一局部區(qū)域的故障，但由于電力CPS的耦合連接最終擴大了停電范圍和停電規(guī)模[4]。由于電力網(wǎng)和信息網(wǎng)的融合特性，當(dāng)某一邊系統(tǒng)產(chǎn)生微小故障，經(jīng)耦合連接傳播到另一側(cè)系統(tǒng)時，另一側(cè)系統(tǒng)可能會繼續(xù)將故障迭代傳播下去，從而形成級聯(lián)故障，這會對電力系統(tǒng)的安全穩(wěn)定經(jīng)濟運行產(chǎn)生嚴重威脅。

表1 電力行業(yè)網(wǎng)絡(luò)攻擊事件

2.3 對烏克蘭停電事件的回顧和分析

2015年圣誕的前兩天，烏克蘭國內(nèi)多個區(qū)域的家庭突然發(fā)生停電，原因是電力系統(tǒng)遭到了黑客攻擊。根據(jù)烏克蘭停電事故的新聞，電力公司員工被誘導(dǎo)下載了一款惡意軟件，很快烏克蘭電網(wǎng)公司的能量管理系統(tǒng)被植入了病毒，使主控主機全部癱瘓并與變電站發(fā)生斷聯(lián)，從而喪失對相應(yīng)物理設(shè)備的感知與控制能力。而且，病毒通過通信網(wǎng)絡(luò)在大范圍的電力系統(tǒng)進行了傳播，使烏克蘭電力公司無法與底層的發(fā)電站和變電站取得聯(lián)系，受停電影響的居民也無法聯(lián)系上電力公司，從而控制中心更加難以做出正確的決策，進而引發(fā)了大規(guī)模停電[5]。

從這次的烏克蘭大規(guī)模停電事件可以看出，現(xiàn)代電力系統(tǒng)作為典型的信息物理融合系統(tǒng)，其信息網(wǎng)和電力網(wǎng)相互依存且高度融合，即使電力網(wǎng)是正常狀態(tài)，若信息網(wǎng)遭遇網(wǎng)絡(luò)攻擊而癱瘓，電力系統(tǒng)同樣會受到嚴重影響。因此，電力系統(tǒng)的安全體系建設(shè)既要考慮物理電力網(wǎng)的安全，也要重視信息網(wǎng)的網(wǎng)絡(luò)安全。

3 電力CPS的三種攻擊類型

3.1 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(Denial-of-Service Attack，簡稱DoS攻擊）是一種被稱為洪水攻擊的網(wǎng)絡(luò)攻擊，攻擊者通常抓住各種漏洞向目標系統(tǒng)發(fā)送大量不合理的請求，以消耗應(yīng)用系統(tǒng)的資源和帶寬，導(dǎo)致合法用戶無法訪問，服務(wù)中斷甚至系統(tǒng)死機。

文獻[6]定義了針對網(wǎng)絡(luò)控制系統(tǒng)的欺騙和拒絕服務(wù)攻擊。文獻[7]闡述了分布式拒絕服務(wù)攻擊模擬系統(tǒng)設(shè)計與實現(xiàn)，由于分布式拒絕服務(wù)攻擊的特點，決定了其檢測和防御的高誤報率、低準確性和低時效性；該課題在現(xiàn)有的實驗條件下，搭建合適的網(wǎng)絡(luò)環(huán)境來進行分布式拒絕服務(wù)攻擊的實驗?zāi)M，并通過編寫流量檢測軟件，針對在發(fā)生攻擊時的網(wǎng)絡(luò)流量進行統(tǒng)計概率學(xué)分析，構(gòu)建數(shù)學(xué)模型，并將該數(shù)學(xué)模型用軟件實現(xiàn)，編寫了一個能夠檢測分布式拒絕服務(wù)攻擊的檢測軟件。文獻[8]介紹了CCN 網(wǎng)絡(luò)對抗已有DoS攻擊的方法，并總結(jié)了CCN網(wǎng)絡(luò)中新型DoS攻擊的多種特點，盡管新提出的針對CCN網(wǎng)絡(luò)的DoS攻擊防御方法對目前大多數(shù)的DoS攻擊是有效的，但還是會引出新型的DoS攻擊。

3.2 重放攻擊

重放攻擊(Replay Attacks) 也稱回放攻擊或重播攻擊，其攻擊手段是截獲一個通信會話，并在稍后的時間點重放整個會話或會話的某些部分，目標主機會誤認為是正常用戶發(fā)出的請求，則會給出相應(yīng)的回復(fù)，攻擊者從而獲得內(nèi)部信息。

文獻[9]從4 個攻擊層面即密碼協(xié)議消息塊、塊間、步間和協(xié)議間，給出了針對不同攻擊層面的重放攻擊分類。這種分類方法不僅包含了Syverson 的分類，還將重放攻擊擴展到了協(xié)議層次，給出了各層次可行的重放攻擊實施的方式。文獻[10]介紹了ASP.net Forms 認證一般性實施方法，分析了Forms 認證的原理，給出重放攻擊的原理性實施方法，并對重放攻擊得逞的原因進行分析。在此基礎(chǔ)上，針對引入更加嚴密的會話解釋，給出了抵御用于會話識別的異源重放攻擊的解決方法。文獻[11]分析了重放攻擊的內(nèi)因和阻止重放攻擊的對策，使用認證測試方法分析了一個更改了的安全協(xié)議，分析得出該協(xié)議是正確的；另外可以通過認證測試方法的缺陷來定位協(xié)議的重放攻擊。文獻[12]首先從協(xié)議層次和攻擊層次對密碼協(xié)議中重放攻擊進行分類，然后對重放攻擊成功時協(xié)議存在的缺陷進行分析，能夠更清楚地認識到重放攻擊的原理和本質(zhì)，并給出了重放攻擊檢測一般方法和防范的策略。

3.3 虛假數(shù)據(jù)注入攻擊

虛假數(shù)據(jù)注入攻擊利用電力系統(tǒng)控制中心中不良數(shù)據(jù)檢測單元的漏洞，通過注入虛假數(shù)據(jù)到數(shù)據(jù)采集與監(jiān)控系統(tǒng)(Supervisory Control And Data Acquisition，SCADA)系統(tǒng)中，從而實現(xiàn)非法目的比如電力系統(tǒng)測量信息和狀態(tài)信息的篡改、電力系統(tǒng)運行狀態(tài)的控制甚至取得經(jīng)濟利益[13]。

虛假數(shù)據(jù)注入攻擊是一種針對電力系統(tǒng)狀態(tài)估計的數(shù)據(jù)完整性攻擊。圖2為電力系統(tǒng)中虛假數(shù)據(jù)注入攻擊示意圖，虛假數(shù)據(jù)注入攻擊發(fā)生的場景有三種[14]，分別為：1)攻擊者對遠程終端采集到的量測信息進行修改；其通過監(jiān)聽通信網(wǎng)絡(luò)、獲取設(shè)備后門等安全漏洞得到智能電表、網(wǎng)關(guān)等設(shè)備的控制權(quán)，使得非授權(quán)用戶對目標進行訪問。2)攻擊者入侵RTUs與SCADA系統(tǒng)間的通信網(wǎng)絡(luò)；攻擊者利用智能電網(wǎng)通信規(guī)約中信息安全技術(shù)的不規(guī)范或通信協(xié)議漏洞，對在網(wǎng)絡(luò)傳輸中的量測信息進行惡意修改。3)攻擊者入侵SCADA 系統(tǒng)，使控制中心接收到的是精心篡改過的量測數(shù)據(jù)。虛假數(shù)據(jù)注入攻擊無論以哪種方式發(fā)生都能成功繞過傳統(tǒng)不良數(shù)據(jù)檢測機制，使控制中心做出錯誤決策進而達到破壞智能電網(wǎng)安全穩(wěn)定運行的目的。

圖2 電力系統(tǒng)中虛假數(shù)據(jù)注入攻擊示意圖

文獻[15]重點對虛假數(shù)據(jù)注入攻擊下的攻擊模式進行討論，研究對電壓、電流互感器輸出的采樣序列成功實施不可觀測攻擊的條件以及最小攻擊代價。研究結(jié)果表明了互感器的配置冗余度及合理性在防御攻擊方面的重要性，為制定量測保護策略奠定了基礎(chǔ)。文獻[16]構(gòu)立了最小攻擊向量的數(shù)學(xué)模型，約束條件為電力系統(tǒng)中特定的狀態(tài)信息和部分量測信息難以被篡改。文獻[17]在此基礎(chǔ)上，建立了多個狀態(tài)信息被攻擊的數(shù)學(xué)模型。文獻[18]指出由于控制中的保護措施，攻擊者往往只能得到電網(wǎng)的部分參數(shù)，如局部的拓撲結(jié)構(gòu)和輸電線路參數(shù)。然而，攻擊者在獲取部分電網(wǎng)參數(shù)條件下也能實施虛假數(shù)據(jù)注入攻擊。文獻[19]提出了基于電力系統(tǒng)狀態(tài)估計的虛假數(shù)據(jù)注入攻擊構(gòu)造方法，并指出通過該方法修改指定智能電表的測量數(shù)據(jù)，能夠?qū)е洛e誤的狀態(tài)估計結(jié)果，并躲過基于殘差的不良數(shù)據(jù)檢測單元，從而對電力系統(tǒng)的安全穩(wěn)定運行造成影響。

4 結(jié)束語

電力CPS 通過網(wǎng)絡(luò)通信技術(shù)實現(xiàn)了整個電網(wǎng)能量流和信息流的頻繁交互，從而能夠提供更加經(jīng)濟、可靠、可持續(xù)的電力服務(wù)。而物理電力網(wǎng)和信息網(wǎng)的深度融合得益于大量帶有網(wǎng)絡(luò)通信功能的智能儀表設(shè)備的部署，這些智能設(shè)備采集的海量數(shù)據(jù)通過網(wǎng)絡(luò)傳送到控制中心，控制中心的核心組成部分能量管理系統(tǒng)則根據(jù)狀態(tài)估計器得到的智能電網(wǎng)運行狀態(tài)實時發(fā)出指令，保證電網(wǎng)正常運行。然而，這些智能設(shè)備大多數(shù)暴露在一個未加密的網(wǎng)絡(luò)環(huán)境下，使得采集到的海量數(shù)據(jù)極易受到網(wǎng)絡(luò)攻擊（如拒絕服務(wù)攻擊、重放攻擊和虛假數(shù)據(jù)注入攻擊）。因此，研究電力系統(tǒng)中各種網(wǎng)絡(luò)攻擊是必要的，能為設(shè)計出針對網(wǎng)絡(luò)攻擊的抵御策略做鋪墊。