1、烏克蘭和以色列國家電網遭受網絡攻擊事件分析

　　智能電網是一種典型的信息物理融合系統(tǒng), 由傳統(tǒng)電力基礎架構與信息基礎架構共同組成。智能電網的安全問題包括物理安全和信息安全兩個方面。智能電網信息化及其物理系統(tǒng)與信息系統(tǒng)的深度融合為其引入了新的安全隱患, 針對信息系統(tǒng)的網絡攻擊在破壞其功能的同時, 也會傳導至物理系統(tǒng)并威脅其安全運行。近幾年來, 通過網絡攻擊智能電網并進行破壞的事件時有發(fā)生。

　　2015年12月23日, 烏克蘭電網遭遇突發(fā)停電事故, 引起烏克蘭西部地區(qū)約70萬戶居民家中停電數小時。事后達拉斯信息安全公司iSight Partners的研究人員表示, 這是由BlackEnergy(黑暗力量)惡意軟件/代碼導致的破壞性事件。BlackEnergy惡意軟件最早于2007年被發(fā)現, 在此次攻擊事件中, 運用了其最新版本BlackEnergy Lite, 并增添了KillDisk組件和SSH(安全外殼協(xié)議)后門。KillDisk組件用于刪除計算機硬盤驅動器里的數據并導致系統(tǒng)無法重啟。SSH后門在獲得SSH服務器的訪問權限后, 開放連接SSH服務器的6789端口, 從而使攻擊者可以永久訪問或控制受感染的SSH服務器。該停電事故被視為實際出現的首例針對供電系統(tǒng)的惡意行為。

　　由媒體報道和事后分析可推測出烏克蘭電網可能遭受的網絡攻擊途徑/實現過程如圖1所示。

　　圖1 烏克蘭電網可能遭受的網絡攻擊途徑/實現過程

　　在CyberTech 2016大會上, 以色列能源與水力基礎設施部部長Yuval Steinitz披露稱在2016年1月25日, 以色列電力局遭受了一次嚴重的網絡攻擊。根據相關報道可知, 在此次攻擊事件中攻擊者發(fā)送包含勒索軟件(Ransomware)的釣魚郵件給電力局工作人員, 誘騙電力局工作人員執(zhí)行惡意代碼, 并加密其電腦中的相關內容, 需要電力局工作人員付款才能解鎖。事發(fā)后以色列當局被迫關閉了電力設施中被感染的計算機, 以防止勒索軟件在網絡中進一步傳播, 引發(fā)更大的事故。這是電力基礎設施遭受網絡攻擊的又一個實例。

　　由烏克蘭和以色列國家電網遭受網絡攻擊事件可以得到如下啟示。

　　1) 電力系統(tǒng)作為國家關鍵性基礎設施已經成為網絡攻擊的重要目標, 網絡攻擊能達到類似于物理攻擊的效果, 從而導致變電站乃至整個能源供給系統(tǒng)的癱瘓。

　　2) 攻擊者具備一定的電力系統(tǒng)工程背景, 對變電站監(jiān)控系統(tǒng)軟件及電網業(yè)務流程都非常了解, 其發(fā)動的針對電力系統(tǒng)的攻擊具有很高的技術含量。

　　3) 工業(yè)界還沒有為此類網絡攻擊做好準備, 電力系統(tǒng)中信息基礎設施的脆弱性客觀存在, 面對網絡攻擊時表現得非常敏感, 現有的信息安全防御體系難以完全有效抵御此類網絡攻擊。

　　2、智能電網信息安全需求和主要信息安全防御技術

　　為應對網絡攻擊和保證網絡安全, 美國能源部(DOE)在2003年提出了《保護SCADA系統(tǒng)信息安全的21步》; 美國國土安全部(DHS)在2006年、2008年和2010年分別進行了3次網絡風暴(網絡Storm)演習。網絡風暴演習模擬美國關鍵基礎設施遭受大規(guī)模網絡攻擊時, 網絡應急響應團體中各政府部門與相關企業(yè)聯合應對的情況, 旨在檢測并加強政企合作的網絡防災和響應能力; 2011年5月, 美國發(fā)布了《網絡空間國際戰(zhàn)略》, 闡述美國“在日益與網絡相聯的世界如何建立繁榮、增進安全和保護開放”。美國國防部高級研究計劃局(DARPA)近期啟動了一項名為“快速攻擊檢測、隔離和表征”的計劃, 目標是發(fā)展一套能夠應對電網遭受針對信息網絡或基礎設施的摧毀性攻擊后, 7 d內恢復電力供應的自動化系統(tǒng)。針對電網的網絡攻擊很可能是出于政治、軍事或者經濟的目的, 可以說, 智能電網的信息安全防御已被提升為一個國家安全層面的重要問題。

　　烏克蘭和以色列國家電網遭受網絡攻擊事件發(fā)生后, 有人提出了類似的事件有沒有可能在中國發(fā)生的問題, 答案是有可能。隨著中國經濟實力的增強和國際地位的上升, 對中國懷有敵意或防范意識的國家或組織愈來愈多。依照目前的國際形勢, 包括歐美國家在內的其他國家, 與中國發(fā)生正面戰(zhàn)爭的機會微乎其微。然而, 發(fā)動黑客、罪犯和恐怖分子通過通信網絡對中國的重要基礎設施(如核電站、三峽水電站和國家電網等)進行破壞, 從而阻止或延緩中國經濟發(fā)展的可能性很大。

　　為滿足經濟發(fā)展需求, 中國國家電網也處于快速發(fā)展壯大階段。國家電網已宣布投資4萬億人民幣用于電力基礎設施建設, 其目標是在2020年建成覆蓋全國的智能電網。隨著中國智能電網的發(fā)展和能源互聯網戰(zhàn)略的實施, 其信息安全問題也變得愈來愈突出。因此, 有必要基于已發(fā)生的針對電力基礎設施的網絡攻擊事件, 分析國內智能電網面臨的信息安全威脅, 深入研究適用于智能電網的信息安全技術, 并有針對性地構建智能電網信息安全防御體系。

　　所謂信息安全就是要保證信息的保密性、完整性、可用性和不可否認性。信息安全防御技術主要包括加密/解密技術、身份認證/數字簽名技術、入侵檢測和防御技術、基于角色訪問控制技術、防火墻技術、安全隔離技術和虛擬專用網絡 (VPN)等。在保障信息安全各種功能/特性的諸多技術中, 加密技術和身份認證技術是信息安全防御技術的核心和關鍵。加密技術是最基本、最常用且最有效的信息安全防御技術, 可以有效限制非法偵聽、截獲、中斷、偽造的概率, 從而達到保證報文/信息安全的目的。入侵檢測技術是滿足機密性、完整性、可用性安全需求的關鍵技術之一。防火墻是一種安裝在組織機構的內部網絡與互聯網之間的設備, 是保證網絡層安全的邊界安全工具。安全隔離裝置 (網閘)是一種網絡安全設備, 它包含帶有多種控制功能的專用硬件, 可在電路上切斷網絡之間的鏈路層連接, 并能在網絡間進行安全適度的應用數據交換。VPN為網絡間傳送數據和控制信息提供了一種安全的通信機制, 它在隧道模式下使用IPSec來提供保密性、完整性、數據源鑒別、重放保護和訪問控制的數據保護。

　　3、智能電網信息安全防御體系構建

　　3.1變被動防御為積極主動防御

　　國內外在智能電網信息安全研究上存在較大差異, 甚至可以說在研究思路上背道而馳。國外的研究是以“攻”為主線, 研究的問題包括: 網絡攻擊情況下系統(tǒng)的脆弱性、攻擊的難易程度、攻擊造成的影響、攻擊狀態(tài)下電力系統(tǒng)對信息系統(tǒng)的依存性, 等等。在這些問題的基礎上再進一步去考慮如何防御, 并提供安全技術支持。而國內的研究是以“防”為主線, 主要考慮如何來構建防御體系, 包括建立等級保護制度、安全測評體系、安全防御的新技術及安全評估方法等, 但對網絡攻擊技術研究還很薄弱。筆者認為需要在以下幾個方面重點加強基于積極主動防御思想的防御措施。

　　1) 加強電力系統(tǒng)人員的培訓、管理和保密教育, 提高電力系統(tǒng)員工信息安全防范意識。人是信息系統(tǒng)中最不穩(wěn)定、最不確定, 也是最危險的因素;特別是內部人員, 是信息安全的最大威脅。因此, 需加強管理、制定完善的信息安全制度。

　　2) 加強對遠動終端設備(RTU)、配電變壓器終端設備(TTU)、繼電保護裝置和電力監(jiān)控裝置等智能電子設備(IED)的監(jiān)測和管理。這些物理設備在實現測量、保護、監(jiān)控、通信等功能的同時, 其本身作為底層通信節(jié)點, 是電力系統(tǒng)通信網絡的主要組成部分之一。黑客很有可能入侵并潛伏在這些IED物理設備中, 在滿足一定的觸發(fā)條件時才開始執(zhí)行惡意程序。這類攻擊具有很深的隱蔽性, 采用通用的入侵檢測技術很難發(fā)現。黑客對這些設備的攻擊效果一定會體現在某些物理特征上, 可以通過發(fā)現這些設備在時間、空間和控制指令執(zhí)行效果等方面的異常表現來檢測這類攻擊。

　　3) 電力系統(tǒng)各個單位辦公系統(tǒng)/網絡與電力監(jiān)控系統(tǒng)/網絡進行物理隔離, 禁止U盤和移動硬盤等存儲介質在兩個系統(tǒng)/網絡之間交叉使用, 禁止在電力監(jiān)控計算機中打開辦公文檔或電子郵件。攻擊烏克蘭和以色列國家電網的病毒軟件即是通過電子郵件傳播。

　　4) 協(xié)同各單位采用統(tǒng)一的信息安全防御策略, 構建一體化信息安全防御體系。電力系統(tǒng)主要包括發(fā)電、輸電、變電、配電、用電和調度6個環(huán)節(jié), 涵蓋運行、管理、控制和市場等方方面面, 各環(huán)節(jié)的信息安全體現出不同的需求。整個電力系統(tǒng)的信息安全水平遵從“木桶原理”, 哪個環(huán)節(jié)或組成部分的信息安全防御水平最低, 該環(huán)節(jié)或組成部分即成為電力系統(tǒng)信息安全防御最薄弱、最易攻破之處。因此, 需要協(xié)同各單位進行統(tǒng)一部署。

　　3.2適用于底層IED的加密/解密算法和身份認證/數字簽名算法

　　繼電保護裝置、電力監(jiān)控裝置、RTU和TTU等IED常采用單片機、數字信號處理器(DSP)、ARM和實時操作系統(tǒng)實現, 可用的軟硬件資源相對有限?，F有的信息安全技術和信息安全產品并不完全適用于這類裝置, 因此, 有必要綜合考慮算法實時性、保密性和實施成本, 研究適用于軟硬件資源有限的底層IED的加密/解密算法和身份認證/數字簽名算法。

　　3.3智能電網一體化信息安全防御體系構建

　　從嚴格意義上講, 不存在絕對安全的網絡, 系統(tǒng)的安全和開放本身就是互相矛盾的。因此, 需基于“適度安全”和“盡可能透明”的策略, 明確智能電網的信息安全需求和為實現信息安全保障要求所增加的投入, 在保證信息傳輸的可靠性、實時性前提下制定智能電網信息安全策略, 定義信息的共享方式和安全級別, 尋找信息安全和共享(開放)、信息傳輸實時性與系統(tǒng)安全性之間的平衡點, 提出信息安全最佳實施方案。

　　在具體部署本文所構建的智能電網一體化信息安全體系時, 需依據以下原則進行。

　　1) 充分考慮中國智能電網特點、存在的信息安全威脅及其信息安全防御特殊需求, 綜合應用加密、認證、入侵檢測和防御、基于角色的訪問控制、防火墻、安全隔離和VPN等各種信息安全防御技術, 確定不同防御技術的具體實施位置;在中國智能電網及其通信系統(tǒng)構建、實施的不同階段, 完成不同信息安全防御措施的實施。

　　2) 基于“適度安全”和“盡可能透明”策略, 設計中國智能電網信息安全防御策略和防御方案, 考慮其保密等級要求、安全水平、實施成本和復雜性, 兼顧傳輸信息的安全性和實時性, 保證其通信可靠性, 避免影響其供電可靠性。

　　3) 不同(業(yè)務)系統(tǒng)、不同報文(所傳輸的信息)對信息安全和實時性的要求亦不同, 因此需“量體裁衣”地確定不同的信息安全需求和保密級別, 制定不同的安全防御方案, 采用不同的信息安全防御技術; 根據裝置硬件平臺性能和計算能力的不同, 采用不同的信息安全防御技術; 借鑒IT領域和工業(yè)控制領域信息安全防御先進技術和成功經驗, 開發(fā)具有自主知識產權的中國智能電網信息安全防御專用技術。

　　4) 深入分析各種現有智能電網信息安全標準, 充分吸收和參考其先進思想, 盡可能滿足各種現有智能電網通信標準要求; 考慮如何協(xié)調/解決智能電網通信標準、信息安全標準的開放性與智能電網的安全性之間的矛盾。

　　5) 充分重視管理與運營安全、組織與人員安全。管理與運營安全包括制度的制定和執(zhí)行、系統(tǒng)規(guī)劃和驗收、緊急事務處理、存儲媒體的管理、信息和軟件的使用等; 組織與人員安全包括安全責任落實、部門間的合作、人力資源安全、用戶培訓和故障響應等。

　　4、智能電網信息安全測試系統(tǒng)構建

　　為進一步分析智能電網存在的信息安全隱患, 提高智能電網信息安全水平, 推進智能電網信息安全標準的研究與推廣, 歐美有多家研究機構和國家實驗室構建了智能電網信息安全測試系統(tǒng)/平臺。

　　1) 美國愛達荷州國家實驗室(Idaho Nation Laboratory)采用實際的智能電網發(fā)電、輸電裝置/系統(tǒng)和標準的工業(yè)軟件構建了SCADA信息安全測試系統(tǒng)/平臺NSTB(National SCADA TestBed)。

　　2) 美國桑迪亞國家實驗室(Sandia Nation Laboratory)采用OPNET網絡仿真軟件、Power World電力系統(tǒng)仿真軟件和部分實際裝置/系統(tǒng)構建了半實物的虛擬控制系統(tǒng)環(huán)境(virtual control system environment, VCSE)。

　　3) 美國亞利桑那大學(University of Arizona)利用OPNET網絡仿真軟件、Power World電力系統(tǒng)仿真軟件構建了用于異常檢測(如入侵檢測)研究的SCADA控制系統(tǒng)信息安全分析測試平臺/系統(tǒng)(testbed for analyzing security of SCADA control system, TASSCS)。

　　4) 歐洲CRUTIAL項目開發(fā)了兩個不同的智能電網信息安全測試平臺/系統(tǒng), 用于研究各種網絡攻擊所造成的影響。

　　5) 愛爾蘭都柏林大學(University College Dubin)利用DIgSILENT電力系統(tǒng)仿真軟件和工業(yè)標準軟硬件構建了半實物的智能電網信息安全測試平臺/系統(tǒng)。

　　目前, 基于這些測試系統(tǒng)/平臺的研究成果, 正在制定和推出一些新的智能電網信息安全標準?？蓪⑸鲜鲋悄茈娋W信息安全測試系統(tǒng)/平臺概括為兩類。

　　1) 完全由實際的裝置、系統(tǒng)和工業(yè)標準軟件構成的實物系統(tǒng)。這類系統(tǒng)能實時、直觀、真實地反映實際運行結果和網絡攻擊對智能電網一次系統(tǒng)、二次系統(tǒng)/通信網絡所造成的影響和后果, 但投資較大。

　　2) 由OPNET網絡仿真軟件、Power World和DIgSILENT PowerFactory電力系統(tǒng)仿真軟件等和部分工業(yè)標準軟硬件構建的半實物仿真系統(tǒng)。這類系統(tǒng)投資較少, 能反映網絡攻擊對智能電網二次系統(tǒng)/通信網絡所造成的影響和后果, 基本可以模擬/估計網絡攻擊對智能電網一次系統(tǒng)所造成的影響和后果, 但不夠直觀、真實。由于智能電網一次系統(tǒng)由仿真軟件構建, 因此該方案的另一個優(yōu)勢是智能電網一次系統(tǒng)可以靈活配置、修改, 一次系統(tǒng)靈活性和適應性強。

　　據初步調研, 迄今為止國內尚沒有此類智能電網信息安全測試系統(tǒng)/平臺, 為驗證智能電網信息安全防御技術和信息安全標準的有效性, 為進行攻防演練和發(fā)現現有信息安全防御措施的漏洞和不足之處, 有必要構建適用于智能電網的信息安全測試系統(tǒng)/平臺。鑒于構建實物系統(tǒng)投資較大, 建議先構建半實物仿真系統(tǒng)。

　　5、結語

　　智能電網由電力一次系統(tǒng)、二次系統(tǒng)及其通信網絡組成, 是典型的信息物理融合系統(tǒng)。智能電網包括發(fā)電、輸電、變電、配電、用電和調度六大環(huán)節(jié), 涵蓋運行、管理、控制和市場等方方面面, 其信息安全需求和面臨的信息安全威脅具有不同于互聯網的獨特特征。針對智能電網的網絡攻擊具有隱蔽性、復雜性、技術性強和危害性大等特點。智能電網信息安全防御涉及加密/解密、身份認證/數字簽名、入侵檢測、基于角色的訪問控制、防火墻、安全隔離和VPN等技術, 具有涉及面廣、實施難度大等問題。要想抵御類似于烏克蘭和以色列國家電網受到的網絡攻擊, 提高中國智能電網信息安全水平, 還需國內各研究機構、專家學者和電網公司的共同努力、協(xié)同攻關。

　　以上內容是筆者在烏克蘭與以色列國家電網遭受網絡攻擊事件后的一點思考和總結, 尚不夠深入和全面, 希望能夠拋磚引玉, 引起國內專家學者的廣泛討論。