泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全攻擊研究

王海峰，李朝陽，呂政權(quán)，陳怡君，彭道剛

（1.國網(wǎng)上海市電力公司培訓(xùn)中心，上海 200438；2.上海電力大學(xué) 自動化工程學(xué)院，上海 200090）

0 引言

泛在電力物聯(lián)網(wǎng)圍繞電力系統(tǒng)各環(huán)節(jié)，充分應(yīng)用人工智能、移動互聯(lián)等先進通信技術(shù)和現(xiàn)代信息技術(shù)，實現(xiàn)電力系統(tǒng)各環(huán)節(jié)萬物互聯(lián)與人機交互。其智慧服務(wù)系統(tǒng)應(yīng)用便捷靈活、信息處理高效、特征狀態(tài)感知全面。隨著智能電網(wǎng)建設(shè)的持續(xù)發(fā)展，電力系統(tǒng)的自動化程度總體處于較高水平，其傳感器數(shù)量、信息網(wǎng)絡(luò)規(guī)模和決策單元數(shù)量都大大增加[1]。和現(xiàn)行的電力系統(tǒng)相比，泛在電力物聯(lián)網(wǎng)的突出優(yōu)勢在于利用大量傳感器和新一代電力通信網(wǎng)，從而實現(xiàn)全過程的全景全息感知。

如今的電力行業(yè)已逐步進入新型數(shù)字化全面互聯(lián)時代，電力信息網(wǎng)絡(luò)在整個電力系統(tǒng)中扮演著重要的角色，同現(xiàn)代網(wǎng)絡(luò)技術(shù)一樣，也向著多樣化、復(fù)雜化、綜合化發(fā)展。2010年9月爆發(fā)的伊朗核設(shè)施震網(wǎng)（Stuxnet）病毒入侵事件，使基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全建設(shè)被世界各國提上日程。在我國，隨著《網(wǎng)絡(luò)安全法》的頒布以及《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護導(dǎo)則》《電力信息系統(tǒng)安全等級保護實施指南》相關(guān)標準的實施，標志著我國已從法律的高度對待工業(yè)控制系統(tǒng)安全，尤其是信息安全部分。分析泛在電力物聯(lián)網(wǎng)中的網(wǎng)絡(luò)攻擊，對加強電網(wǎng)穩(wěn)定運行、提高故障應(yīng)急響應(yīng)能力、預(yù)測安全態(tài)勢發(fā)展趨勢等方面都有顯著幫助。

目前，國內(nèi)外關(guān)于泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊方面的研究可參考資料較少，其中有關(guān)電力物理信息系統(tǒng)的研究與泛在電力物聯(lián)網(wǎng)有部分重疊之處。隱私、授權(quán)、驗證、訪問控制、系統(tǒng)配置、信息存儲和管理等安全問題是物聯(lián)網(wǎng)環(huán)境中的主要挑戰(zhàn)[2]，例如，以各式智能設(shè)備構(gòu)筑的感知層因其面廣、量大的特點，受到網(wǎng)絡(luò)攻擊的風(fēng)險較高，帶來的影響輕則中斷服務(wù)，嚴重的甚至損害關(guān)鍵基礎(chǔ)設(shè)施信息安全。電力系統(tǒng)安全穩(wěn)定的三道防線和“安全分區(qū)、網(wǎng)絡(luò)專業(yè)、橫向隔離、縱向認證”的安全防護原則已逐漸不能適應(yīng)網(wǎng)絡(luò)攻擊這種新型攻擊模式，固有的電網(wǎng)“N-1”標準也不能滿足信息攻擊的諸多場景[3]。物聯(lián)網(wǎng)的發(fā)展很大程度上取決于安全問題的解決[4]，本文闡述了泛在電力物聯(lián)網(wǎng)的有關(guān)概念并搭建體系架構(gòu)，通過委內(nèi)瑞拉大停電事例分析惡意網(wǎng)絡(luò)攻擊過程，總結(jié)泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)攻擊的分類、應(yīng)用場景、防護體系和未來可研究方向，為電網(wǎng)更安全的運行、更精益的管理、更精準的投資、更優(yōu)質(zhì)的服務(wù)開辟出一條新路。

1 泛在電力物聯(lián)網(wǎng)概述

1995年，比爾蓋茨的著作《未來之路》初次給出有關(guān)物聯(lián)網(wǎng)的概念。IoT（物聯(lián)網(wǎng)）即“萬物相連的互聯(lián)網(wǎng)”，是在互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴展，將各種信息傳感設(shè)備與互聯(lián)網(wǎng)結(jié)合起來而形成的一個巨大網(wǎng)絡(luò)，實現(xiàn)在任何地點、任何時間，人、機、物的互聯(lián)互通[5]。2004年，日本政府推出“u-Japan”國家信息化戰(zhàn)略，使之成為首個利用“泛在（Ubiquitous）”一詞刻畫信息科技革命，并建立無所不在數(shù)字互聯(lián)社會的國家[6]。然而，傳統(tǒng)的泛在網(wǎng)及物聯(lián)網(wǎng)主要運用于家居、交通、通信產(chǎn)業(yè)以及公共安全方面，并沒有引入到電力系統(tǒng)領(lǐng)域。

面對更高要求的社會供電以及電網(wǎng)企業(yè)經(jīng)營兩方面巨大挑戰(zhàn)，2019年1月17日，國家電網(wǎng)有限公司董事長寇偉在第三屆職工代表大會上作了關(guān)于《守正創(chuàng)新?lián)斪鳛閵^力開創(chuàng)世界一流能源互聯(lián)網(wǎng)企業(yè)建設(shè)新局面》的主題報告[7]，創(chuàng)造性地提出“三型兩網(wǎng)、世界一流”的戰(zhàn)略目標以及“一個引領(lǐng)、三個變革”的戰(zhàn)略路徑，加快建設(shè)世界一流的互聯(lián)網(wǎng)企業(yè)。在電力系統(tǒng)的發(fā)電、輸電、變電、配電、用電和調(diào)度6個基本方面，全方位部署智能終端信息收集器（傳感器、RFID等），智能化精準運檢，提高邊緣計算，綜合能源管理。典型泛在電力物聯(lián)網(wǎng)的框架結(jié)構(gòu)如圖1所示[8-9]。感知層主要解決數(shù)據(jù)的采集問題，包括現(xiàn)場采集部件、智能業(yè)務(wù)終端、本地通信接入和邊緣物聯(lián)代理，實現(xiàn)終端標準化統(tǒng)一接入。網(wǎng)絡(luò)層主要解決數(shù)據(jù)的傳輸問題，內(nèi)容包括接入網(wǎng)、骨干網(wǎng)、業(yè)務(wù)網(wǎng)以及支撐網(wǎng)，網(wǎng)絡(luò)間互相融合與拓展，響應(yīng)更高服務(wù)質(zhì)量要求。平臺層主要解決數(shù)據(jù)的管理問題，建設(shè)一體化“國網(wǎng)云”平臺、企業(yè)中臺、物聯(lián)管理中心、全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心，解決數(shù)據(jù)存儲、檢索、使用、挖掘和防止機密信息泄露等問題。應(yīng)用層主要解決數(shù)據(jù)的價值創(chuàng)造問題，包括對內(nèi)業(yè)務(wù)和對外業(yè)務(wù)，實現(xiàn)業(yè)務(wù)協(xié)同和數(shù)據(jù)貫通，保證電網(wǎng)穩(wěn)定運行，打造智慧能源互聯(lián)網(wǎng)產(chǎn)業(yè)集群與生態(tài)圈。

圖1 泛在電力物聯(lián)網(wǎng)體系架構(gòu)

2 電力系統(tǒng)網(wǎng)絡(luò)攻擊實例分析

自21世紀以來，國內(nèi)外電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)，如表1所示。傳統(tǒng)的基礎(chǔ)設(shè)施物理破壞逐漸被網(wǎng)絡(luò)的入侵攻擊手段所代替，信息系統(tǒng)的癱瘓也能對電力系統(tǒng)造成堪比物理設(shè)施損壞甚至更加惡劣的影響和威脅。針對電力系統(tǒng)脆弱性的攻擊一旦生效，很可能對經(jīng)濟和社會造成災(zāi)難性后果。美國能源局于2018年舉行了代號為“自由日蝕”的網(wǎng)絡(luò)攻擊斷電演習(xí)[10]，旨在測試并提升電力系統(tǒng)從網(wǎng)絡(luò)攻擊造成的損失中恢復(fù)的能力。中國南方電網(wǎng)有限責(zé)任公司也于今年開展網(wǎng)絡(luò)攻防演習(xí)[11]，目標是在真實生產(chǎn)環(huán)境中進行實時態(tài)勢感知，及時做出應(yīng)急響應(yīng)。

表1 網(wǎng)絡(luò)攻擊破壞電力系統(tǒng)實際案例

2019年3月7日，包括首都加拉加斯在內(nèi)，委內(nèi)瑞拉一度同時有20個州大面積停電超24 h[2]，2019年3月8日凌晨，各州陸續(xù)恢復(fù)供電。2019年4月11日，全國第二次大面積停電。委內(nèi)瑞拉國家總?cè)丝诹考s為3 085萬，整體發(fā)電量約為117 000 GWh，造成停電事故的主要原因是發(fā)電量占全國用電量近四成的古里水電站遭受網(wǎng)絡(luò)攻擊進而發(fā)生故障。依據(jù)網(wǎng)絡(luò)入侵攻擊的前后背景、結(jié)果及相關(guān)報道，結(jié)合文獻[19]給出的分析方法，能夠推演委內(nèi)瑞拉電力系統(tǒng)遭受攻擊的全過程，如圖2所示。需要指出的是，本文所展示的演化過程是綜合多方面資料的可能性推測，圖2中的基礎(chǔ)設(shè)施架構(gòu)和信息僅表示實例效果，并不絕對與委內(nèi)瑞拉電網(wǎng)的實際情況一一對應(yīng)。

通過攻擊1，攻擊者預(yù)先植入惡意代碼，在設(shè)備采購的供應(yīng)鏈環(huán)節(jié)植入震網(wǎng)病毒變體，適時誘導(dǎo)病毒發(fā)作；通過電子戰(zhàn)飛機攻開WiFi密碼，然后以此為入口，進行目標滲透，致使失去對絕大部分變電站的監(jiān)測及控制，進而達到圖2（b）所示的狀態(tài)，此時，古里水電站的計算機系統(tǒng)中樞和加拉加斯控制中樞嚴重受損。通過攻擊2和3，電磁網(wǎng)絡(luò)炸彈發(fā)揮作用，通過向電力系統(tǒng)注入無線病毒槍，對網(wǎng)絡(luò)化控制系統(tǒng)進行接管，出現(xiàn)短路跳閘類似的事故或制造巨大過載，對硬件設(shè)施予以摧毀，進而達到圖2（c）所示的狀態(tài)。攻擊者通過移動設(shè)備中斷和逆轉(zhuǎn)恢復(fù)過程，截獲水電站自動控制系統(tǒng)部分渦輪機訪問權(quán)限和監(jiān)控界面，利用對閥門開關(guān)的控制，修改監(jiān)控界面顯示，以此欺騙工程師，最終造成停電事故。另外，對相關(guān)服務(wù)實施的拒絕服務(wù)攻擊，也很大程度上拖延了事故搶救時間。Alto Prado變電站遭受的物理損壞，更加劇了委內(nèi)瑞拉整體電力系統(tǒng)癱瘓的程度。通過攻擊4，攻擊者通過修改日志、替換系統(tǒng)文件隱藏作案痕跡；留下后門，等待下一次攻擊機會，最終達到如圖2（d）所示的狀態(tài)，并采取相應(yīng)手段間接阻礙自動控制系統(tǒng)，無法快速恢復(fù)功能。理論上，實現(xiàn)對這一系列攻擊步驟不僅需要充足的職業(yè)知識和背景，還必須對電力系統(tǒng)內(nèi)部的運行特性和業(yè)務(wù)流程也十分熟悉。

圖2 委內(nèi)瑞拉電力系統(tǒng)受網(wǎng)絡(luò)攻擊影響過程

由以上分析過程可知，針對性的網(wǎng)絡(luò)攻擊能夠按照攻擊者制定的攻擊路線發(fā)展，從而最大化入侵破壞的效果，每一步攻擊策略緊密聯(lián)系，相互支持，相互影響，直至大范圍停電目標的達成?？梢哉J為，以基礎(chǔ)設(shè)施為攻擊對象的該類攻擊基本可以概括為泛在電力物聯(lián)網(wǎng)環(huán)境下的通用攻擊模式，深入研究該模式，能夠進一步衍生出電力事故應(yīng)急推演方案和策略設(shè)計。

3 泛在電力物聯(lián)網(wǎng)下網(wǎng)絡(luò)攻擊內(nèi)涵

3.1 網(wǎng)絡(luò)安全概念

泛在電力物聯(lián)網(wǎng)中，無處不在的設(shè)備產(chǎn)生的信息要么存儲在設(shè)備本身（如服務(wù)器、智能手機等），被稱為靜止數(shù)據(jù)；要么通過網(wǎng)絡(luò)傳輸，被稱為動態(tài)數(shù)據(jù)。為了保護靜止和動態(tài)數(shù)據(jù)，《美國標準技術(shù)研究院（NIST）7628號報告》認為信息安全三要素分別為保密性、完整性和可用性，簡稱網(wǎng)絡(luò)“CIA”安全目標[20]。宏觀上說，網(wǎng)絡(luò)攻擊可以是任意以“CIA”安全要素受損為目標的惡意攻擊手段[3]。本文梳理網(wǎng)絡(luò)攻擊在泛在電力物聯(lián)網(wǎng)環(huán)境下的內(nèi)涵：通過電力系統(tǒng)固有安全性缺陷與漏洞，在未經(jīng)授權(quán)的情況下對智能通信設(shè)備和自動控制系統(tǒng)的數(shù)據(jù)進行竊取，以破壞、揭露和修改泛在電力物聯(lián)網(wǎng)功能為目的，對系統(tǒng)本身、基礎(chǔ)設(shè)施或服務(wù)進行攻擊。

3.2 網(wǎng)絡(luò)攻擊分類

泛在電力物聯(lián)網(wǎng)強調(diào)全息感知、泛在連接、開放共享、融合創(chuàng)新，對應(yīng)它的四層結(jié)構(gòu)，旨在全面實現(xiàn)業(yè)務(wù)協(xié)同、基本實現(xiàn)數(shù)據(jù)貫通和初步實現(xiàn)統(tǒng)一物聯(lián)管理。泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)攻擊按對象分類可以從感知層、網(wǎng)絡(luò)層、平臺層及應(yīng)用層四方面來闡述。每一層都提供自己的專業(yè)技術(shù)支持，這是其他層都無法替代的，泛在電力物聯(lián)網(wǎng)必須通過保護所有層面以保障整個系統(tǒng)的安全穩(wěn)定運行[21-22]。本文提出基于分層的泛在電力物聯(lián)網(wǎng)安全方法，如圖3所示。

在泛在電力物聯(lián)網(wǎng)環(huán)境下，按照AMI（高級計量）系統(tǒng)網(wǎng)絡(luò)架構(gòu)，根據(jù)信號傳輸速率和覆蓋范圍，可將網(wǎng)絡(luò)攻擊分為WAN（廣域網(wǎng)絡(luò)）攻擊、FAN（區(qū)域網(wǎng)絡(luò)）攻擊和IAN（工業(yè)區(qū)域網(wǎng)絡(luò)）攻擊[23]。各種攻擊類型特點如表2所示。區(qū)別于傳統(tǒng)IT安全需求的CIA特性，電力系統(tǒng)對數(shù)據(jù)傳輸?shù)难訒r性和可靠性有較高的要求，而對網(wǎng)絡(luò)的吞吐量并沒有特殊的要求。因此，泛在電力物聯(lián)網(wǎng)中對可用性的安全需求要高于完整性和保密性[24]?；诰W(wǎng)絡(luò)攻擊的宏觀定義，以破壞網(wǎng)絡(luò)可用性、完整性、保密性為攻擊目標，以攻擊者的視覺考慮，總結(jié)了由于其破壞而造成的相應(yīng)影響及相關(guān)攻擊手段，如表3所示。

圖3 泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全分類

表2 按AMI系統(tǒng)層次架構(gòu)分類

表3 按攻擊目標的網(wǎng)絡(luò)攻擊分類

4 泛在電力物聯(lián)網(wǎng)攻擊場景與防護

4.1 網(wǎng)絡(luò)攻擊應(yīng)用場景

泛在電力物聯(lián)網(wǎng)中涉及網(wǎng)絡(luò)安全的典型應(yīng)用場合總體上可分為控制和采集兩大類。其中控制類包含分布式能源調(diào)控、用電符合需求側(cè)響應(yīng)、智能分布式配電自動化；采集類主要包括智能電網(wǎng)大視頻應(yīng)用、高級計量。本節(jié)擬結(jié)合上述應(yīng)用場景，根據(jù)電力系統(tǒng)發(fā)、輸、變、配、用戶側(cè)和調(diào)度6個環(huán)節(jié)，對可能發(fā)生網(wǎng)絡(luò)攻擊的具體場景進行歸納與總結(jié)[26-28]，如表4所示。

表4 電力系統(tǒng)各環(huán)節(jié)的攻擊場景

4.2 安全防護體系架構(gòu)

泛在電力物聯(lián)網(wǎng)是對現(xiàn)有電網(wǎng)業(yè)務(wù)的提升、完善和創(chuàng)新拓展，相應(yīng)的網(wǎng)絡(luò)安全防護也應(yīng)基于現(xiàn)有防護體系進一步優(yōu)化、加強和發(fā)展，以滿足泛在電力物聯(lián)網(wǎng)新的防護需求。對應(yīng)泛在電力物聯(lián)網(wǎng)的架構(gòu)，從感知層、網(wǎng)絡(luò)層、平臺層和應(yīng)用層4個層面考慮，按照《泛在電力物聯(lián)網(wǎng)建設(shè)大綱》要求，構(gòu)建與電力公司“三型兩網(wǎng)”相適應(yīng)的全層次安全防護體系，開展可信互聯(lián)、安全互動、智能防御相關(guān)技術(shù)的研究及應(yīng)用，為各類物聯(lián)網(wǎng)業(yè)務(wù)做好全環(huán)節(jié)安全服務(wù)保障。填補傳統(tǒng)電網(wǎng)防護缺陷，動態(tài)感知安全態(tài)勢，及時響應(yīng)各類處置措施，確保公司網(wǎng)絡(luò)安全穩(wěn)定運行。全層次的網(wǎng)絡(luò)安全防護體系總體架構(gòu)如圖4所示[25]。

圖4 全層次網(wǎng)絡(luò)安全防護體系總體架構(gòu)

5 結(jié)語

電力系統(tǒng)運行的安全穩(wěn)定與社會生產(chǎn)生活休戚與共。泛在電力物聯(lián)網(wǎng)的發(fā)展面臨信息安全失效的潛在風(fēng)險，網(wǎng)絡(luò)攻擊的對象和目的已經(jīng)分別轉(zhuǎn)向關(guān)鍵基礎(chǔ)設(shè)施和獲取政治利益。端到端物聯(lián)網(wǎng)安全體系、數(shù)據(jù)安全、移動互聯(lián)安全、物聯(lián)終端安全等都是網(wǎng)絡(luò)信息安全建設(shè)中的關(guān)鍵技術(shù)。本文以委內(nèi)瑞拉停電事故為例，討論了針對泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊可能的通用事故模式、攻擊分類以及應(yīng)用場景。未來圍繞泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊可研究的方向著重應(yīng)包含以下幾點：

（1）建立網(wǎng)絡(luò)測繪數(shù)據(jù)處理系統(tǒng)，對我國電力行業(yè)相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施進行全方位的網(wǎng)絡(luò)測繪，自動普查智能設(shè)備標簽化管理，實時動態(tài)分析威脅存在，精準量化評估電網(wǎng)整體風(fēng)險，多維度展現(xiàn)網(wǎng)絡(luò)空間可視化。

（2）建立面向電力工業(yè)的威脅態(tài)勢感知系統(tǒng)，完善安全風(fēng)險知識庫，結(jié)合5G通信技術(shù)和AI實現(xiàn)真正的人機交互。自動分析事件的起源和目標設(shè)備、匹配規(guī)則，能夠按照策略管理要求對設(shè)備劃分安全域分別管理。

（3）建立泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)安全仿真模型，考慮將電力安全突發(fā)事件與數(shù)據(jù)庫中完整應(yīng)急情景鏈結(jié)合，設(shè)計加入電力系統(tǒng)元件、情景的推演系統(tǒng)框架。

（4）建立國家級響應(yīng)機制。針對國家信息資源進行網(wǎng)絡(luò)攻擊的偵測、預(yù)警及后果消除機制，及時傳送有關(guān)信息到應(yīng)急部門，最后匯總至國家計算機事故協(xié)調(diào)中心，最小化網(wǎng)絡(luò)攻擊造成的傷害。