1、烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件分析

　　智能電網(wǎng)是一種典型的信息物理融合系統(tǒng), 由傳統(tǒng)電力基礎(chǔ)架構(gòu)與信息基礎(chǔ)架構(gòu)共同組成。智能電網(wǎng)的安全問題包括物理安全和信息安全兩個方面。智能電網(wǎng)信息化及其物理系統(tǒng)與信息系統(tǒng)的深度融合為其引入了新的安全隱患, 針對信息系統(tǒng)的網(wǎng)絡(luò)攻擊在破壞其功能的同時, 也會傳導(dǎo)至物理系統(tǒng)并威脅其安全運行。近幾年來, 通過網(wǎng)絡(luò)攻擊智能電網(wǎng)并進(jìn)行破壞的事件時有發(fā)生。

　　2015年12月23日, 烏克蘭電網(wǎng)遭遇突發(fā)停電事故, 引起烏克蘭西部地區(qū)約70萬戶居民家中停電數(shù)小時。事后達(dá)拉斯信息安全公司iSight Partners的研究人員表示, 這是由BlackEnergy(黑暗力量)惡意軟件/代碼導(dǎo)致的破壞性事件。BlackEnergy惡意軟件最早于2007年被發(fā)現(xiàn), 在此次攻擊事件中, 運用了其最新版本BlackEnergy Lite, 并增添了KillDisk組件和SSH(安全外殼協(xié)議)后門。KillDisk組件用于刪除計算機(jī)硬盤驅(qū)動器里的數(shù)據(jù)并導(dǎo)致系統(tǒng)無法重啟。SSH后門在獲得SSH服務(wù)器的訪問權(quán)限后, 開放連接SSH服務(wù)器的6789端口, 從而使攻擊者可以永久訪問或控制受感染的SSH服務(wù)器。該停電事故被視為實際出現(xiàn)的首例針對供電系統(tǒng)的惡意行為。

　　由媒體報道和事后分析可推測出烏克蘭電網(wǎng)可能遭受的網(wǎng)絡(luò)攻擊途徑/實現(xiàn)過程如圖1所示。

　　圖1 烏克蘭電網(wǎng)可能遭受的網(wǎng)絡(luò)攻擊途徑/實現(xiàn)過程

　　在CyberTech 2016大會上, 以色列能源與水力基礎(chǔ)設(shè)施部部長Yuval Steinitz披露稱在2016年1月25日, 以色列電力局遭受了一次嚴(yán)重的網(wǎng)絡(luò)攻擊。根據(jù)相關(guān)報道可知, 在此次攻擊事件中攻擊者發(fā)送包含勒索軟件(Ransomware)的釣魚郵件給電力局工作人員, 誘騙電力局工作人員執(zhí)行惡意代碼, 并加密其電腦中的相關(guān)內(nèi)容, 需要電力局工作人員付款才能解鎖。事發(fā)后以色列當(dāng)局被迫關(guān)閉了電力設(shè)施中被感染的計算機(jī), 以防止勒索軟件在網(wǎng)絡(luò)中進(jìn)一步傳播, 引發(fā)更大的事故。這是電力基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊的又一個實例。

　　由烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件可以得到如下啟示。

　　1) 電力系統(tǒng)作為國家關(guān)鍵性基礎(chǔ)設(shè)施已經(jīng)成為網(wǎng)絡(luò)攻擊的重要目標(biāo), 網(wǎng)絡(luò)攻擊能達(dá)到類似于物理攻擊的效果, 從而導(dǎo)致變電站乃至整個能源供給系統(tǒng)的癱瘓。

　　2) 攻擊者具備一定的電力系統(tǒng)工程背景, 對變電站監(jiān)控系統(tǒng)軟件及電網(wǎng)業(yè)務(wù)流程都非常了解, 其發(fā)動的針對電力系統(tǒng)的攻擊具有很高的技術(shù)含量。

　　3) 工業(yè)界還沒有為此類網(wǎng)絡(luò)攻擊做好準(zhǔn)備, 電力系統(tǒng)中信息基礎(chǔ)設(shè)施的脆弱性客觀存在, 面對網(wǎng)絡(luò)攻擊時表現(xiàn)得非常敏感, 現(xiàn)有的信息安全防御體系難以完全有效抵御此類網(wǎng)絡(luò)攻擊。

　　2、智能電網(wǎng)信息安全需求和主要信息安全防御技術(shù)

　　為應(yīng)對網(wǎng)絡(luò)攻擊和保證網(wǎng)絡(luò)安全, 美國能源部(DOE)在2003年提出了《保護(hù)SCADA系統(tǒng)信息安全的21步》; 美國國土安全部(DHS)在2006年、2008年和2010年分別進(jìn)行了3次網(wǎng)絡(luò)風(fēng)暴(網(wǎng)絡(luò)Storm)演習(xí)。網(wǎng)絡(luò)風(fēng)暴演習(xí)模擬美國關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模網(wǎng)絡(luò)攻擊時, 網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)體中各政府部門與相關(guān)企業(yè)聯(lián)合應(yīng)對的情況, 旨在檢測并加強(qiáng)政企合作的網(wǎng)絡(luò)防災(zāi)和響應(yīng)能力; 2011年5月, 美國發(fā)布了《網(wǎng)絡(luò)空間國際戰(zhàn)略》, 闡述美國“在日益與網(wǎng)絡(luò)相聯(lián)的世界如何建立繁榮、增進(jìn)安全和保護(hù)開放”。美國國防部高級研究計劃局(DARPA)近期啟動了一項名為“快速攻擊檢測、隔離和表征”的計劃, 目標(biāo)是發(fā)展一套能夠應(yīng)對電網(wǎng)遭受針對信息網(wǎng)絡(luò)或基礎(chǔ)設(shè)施的摧毀性攻擊后, 7 d內(nèi)恢復(fù)電力供應(yīng)的自動化系統(tǒng)。針對電網(wǎng)的網(wǎng)絡(luò)攻擊很可能是出于政治、軍事或者經(jīng)濟(jì)的目的, 可以說, 智能電網(wǎng)的信息安全防御已被提升為一個國家安全層面的重要問題。

　　烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件發(fā)生后, 有人提出了類似的事件有沒有可能在中國發(fā)生的問題, 答案是有可能。隨著中國經(jīng)濟(jì)實力的增強(qiáng)和國際地位的上升, 對中國懷有敵意或防范意識的國家或組織愈來愈多。依照目前的國際形勢, 包括歐美國家在內(nèi)的其他國家, 與中國發(fā)生正面戰(zhàn)爭的機(jī)會微乎其微。然而, 發(fā)動黑客、罪犯和恐怖分子通過通信網(wǎng)絡(luò)對中國的重要基礎(chǔ)設(shè)施(如核電站、三峽水電站和國家電網(wǎng)等)進(jìn)行破壞, 從而阻止或延緩中國經(jīng)濟(jì)發(fā)展的可能性很大。

　　為滿足經(jīng)濟(jì)發(fā)展需求, 中國國家電網(wǎng)也處于快速發(fā)展壯大階段。國家電網(wǎng)已宣布投資4萬億人民幣用于電力基礎(chǔ)設(shè)施建設(shè), 其目標(biāo)是在2020年建成覆蓋全國的智能電網(wǎng)。隨著中國智能電網(wǎng)的發(fā)展和能源互聯(lián)網(wǎng)戰(zhàn)略的實施, 其信息安全問題也變得愈來愈突出。因此, 有必要基于已發(fā)生的針對電力基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件, 分析國內(nèi)智能電網(wǎng)面臨的信息安全威脅, 深入研究適用于智能電網(wǎng)的信息安全技術(shù), 并有針對性地構(gòu)建智能電網(wǎng)信息安全防御體系。

　　所謂信息安全就是要保證信息的保密性、完整性、可用性和不可否認(rèn)性。信息安全防御技術(shù)主要包括加密/解密技術(shù)、身份認(rèn)證/數(shù)字簽名技術(shù)、入侵檢測和防御技術(shù)、基于角色訪問控制技術(shù)、防火墻技術(shù)、安全隔離技術(shù)和虛擬專用網(wǎng)絡(luò) (VPN)等。在保障信息安全各種功能/特性的諸多技術(shù)中, 加密技術(shù)和身份認(rèn)證技術(shù)是信息安全防御技術(shù)的核心和關(guān)鍵。加密技術(shù)是最基本、最常用且最有效的信息安全防御技術(shù), 可以有效限制非法偵聽、截獲、中斷、偽造的概率, 從而達(dá)到保證報文/信息安全的目的。入侵檢測技術(shù)是滿足機(jī)密性、完整性、可用性安全需求的關(guān)鍵技術(shù)之一。防火墻是一種安裝在組織機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的設(shè)備, 是保證網(wǎng)絡(luò)層安全的邊界安全工具。安全隔離裝置 (網(wǎng)閘)是一種網(wǎng)絡(luò)安全設(shè)備, 它包含帶有多種控制功能的專用硬件, 可在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接, 并能在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換。VPN為網(wǎng)絡(luò)間傳送數(shù)據(jù)和控制信息提供了一種安全的通信機(jī)制, 它在隧道模式下使用IPSec來提供保密性、完整性、數(shù)據(jù)源鑒別、重放保護(hù)和訪問控制的數(shù)據(jù)保護(hù)。

　　3、智能電網(wǎng)信息安全防御體系構(gòu)建

　　3.1變被動防御為積極主動防御

　　國內(nèi)外在智能電網(wǎng)信息安全研究上存在較大差異, 甚至可以說在研究思路上背道而馳。國外的研究是以“攻”為主線, 研究的問題包括: 網(wǎng)絡(luò)攻擊情況下系統(tǒng)的脆弱性、攻擊的難易程度、攻擊造成的影響、攻擊狀態(tài)下電力系統(tǒng)對信息系統(tǒng)的依存性, 等等。在這些問題的基礎(chǔ)上再進(jìn)一步去考慮如何防御, 并提供安全技術(shù)支持。而國內(nèi)的研究是以“防”為主線, 主要考慮如何來構(gòu)建防御體系, 包括建立等級保護(hù)制度、安全測評體系、安全防御的新技術(shù)及安全評估方法等, 但對網(wǎng)絡(luò)攻擊技術(shù)研究還很薄弱。筆者認(rèn)為需要在以下幾個方面重點加強(qiáng)基于積極主動防御思想的防御措施。

　　1) 加強(qiáng)電力系統(tǒng)人員的培訓(xùn)、管理和保密教育, 提高電力系統(tǒng)員工信息安全防范意識。人是信息系統(tǒng)中最不穩(wěn)定、最不確定, 也是最危險的因素;特別是內(nèi)部人員, 是信息安全的最大威脅。因此, 需加強(qiáng)管理、制定完善的信息安全制度。

　　2) 加強(qiáng)對遠(yuǎn)動終端設(shè)備(RTU)、配電變壓器終端設(shè)備(TTU)、繼電保護(hù)裝置和電力監(jiān)控裝置等智能電子設(shè)備(IED)的監(jiān)測和管理。這些物理設(shè)備在實現(xiàn)測量、保護(hù)、監(jiān)控、通信等功能的同時, 其本身作為底層通信節(jié)點, 是電力系統(tǒng)通信網(wǎng)絡(luò)的主要組成部分之一。黑客很有可能入侵并潛伏在這些IED物理設(shè)備中, 在滿足一定的觸發(fā)條件時才開始執(zhí)行惡意程序。這類攻擊具有很深的隱蔽性, 采用通用的入侵檢測技術(shù)很難發(fā)現(xiàn)。黑客對這些設(shè)備的攻擊效果一定會體現(xiàn)在某些物理特征上, 可以通過發(fā)現(xiàn)這些設(shè)備在時間、空間和控制指令執(zhí)行效果等方面的異常表現(xiàn)來檢測這類攻擊。

　　3) 電力系統(tǒng)各個單位辦公系統(tǒng)/網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)/網(wǎng)絡(luò)進(jìn)行物理隔離, 禁止U盤和移動硬盤等存儲介質(zhì)在兩個系統(tǒng)/網(wǎng)絡(luò)之間交叉使用, 禁止在電力監(jiān)控計算機(jī)中打開辦公文檔或電子郵件。攻擊烏克蘭和以色列國家電網(wǎng)的病毒軟件即是通過電子郵件傳播。

　　4) 協(xié)同各單位采用統(tǒng)一的信息安全防御策略, 構(gòu)建一體化信息安全防御體系。電力系統(tǒng)主要包括發(fā)電、輸電、變電、配電、用電和調(diào)度6個環(huán)節(jié), 涵蓋運行、管理、控制和市場等方方面面, 各環(huán)節(jié)的信息安全體現(xiàn)出不同的需求。整個電力系統(tǒng)的信息安全水平遵從“木桶原理”, 哪個環(huán)節(jié)或組成部分的信息安全防御水平最低, 該環(huán)節(jié)或組成部分即成為電力系統(tǒng)信息安全防御最薄弱、最易攻破之處。因此, 需要協(xié)同各單位進(jìn)行統(tǒng)一部署。

　　3.2適用于底層IED的加密/解密算法和身份認(rèn)證/數(shù)字簽名算法

　　繼電保護(hù)裝置、電力監(jiān)控裝置、RTU和TTU等IED常采用單片機(jī)、數(shù)字信號處理器(DSP)、ARM和實時操作系統(tǒng)實現(xiàn), 可用的軟硬件資源相對有限?，F(xiàn)有的信息安全技術(shù)和信息安全產(chǎn)品并不完全適用于這類裝置, 因此, 有必要綜合考慮算法實時性、保密性和實施成本, 研究適用于軟硬件資源有限的底層IED的加密/解密算法和身份認(rèn)證/數(shù)字簽名算法。

　　3.3智能電網(wǎng)一體化信息安全防御體系構(gòu)建

　　從嚴(yán)格意義上講, 不存在絕對安全的網(wǎng)絡(luò), 系統(tǒng)的安全和開放本身就是互相矛盾的。因此, 需基于“適度安全”和“盡可能透明”的策略, 明確智能電網(wǎng)的信息安全需求和為實現(xiàn)信息安全保障要求所增加的投入, 在保證信息傳輸?shù)目煽啃?、實時性前提下制定智能電網(wǎng)信息安全策略, 定義信息的共享方式和安全級別, 尋找信息安全和共享(開放)、信息傳輸實時性與系統(tǒng)安全性之間的平衡點, 提出信息安全最佳實施方案。

　　在具體部署本文所構(gòu)建的智能電網(wǎng)一體化信息安全體系時, 需依據(jù)以下原則進(jìn)行。

　　1) 充分考慮中國智能電網(wǎng)特點、存在的信息安全威脅及其信息安全防御特殊需求, 綜合應(yīng)用加密、認(rèn)證、入侵檢測和防御、基于角色的訪問控制、防火墻、安全隔離和VPN等各種信息安全防御技術(shù), 確定不同防御技術(shù)的具體實施位置;在中國智能電網(wǎng)及其通信系統(tǒng)構(gòu)建、實施的不同階段, 完成不同信息安全防御措施的實施。

　　2) 基于“適度安全”和“盡可能透明”策略, 設(shè)計中國智能電網(wǎng)信息安全防御策略和防御方案, 考慮其保密等級要求、安全水平、實施成本和復(fù)雜性, 兼顧傳輸信息的安全性和實時性, 保證其通信可靠性, 避免影響其供電可靠性。

　　3) 不同(業(yè)務(wù))系統(tǒng)、不同報文(所傳輸?shù)男畔?對信息安全和實時性的要求亦不同, 因此需“量體裁衣”地確定不同的信息安全需求和保密級別, 制定不同的安全防御方案, 采用不同的信息安全防御技術(shù); 根據(jù)裝置硬件平臺性能和計算能力的不同, 采用不同的信息安全防御技術(shù); 借鑒IT領(lǐng)域和工業(yè)控制領(lǐng)域信息安全防御先進(jìn)技術(shù)和成功經(jīng)驗, 開發(fā)具有自主知識產(chǎn)權(quán)的中國智能電網(wǎng)信息安全防御專用技術(shù)。

　　4) 深入分析各種現(xiàn)有智能電網(wǎng)信息安全標(biāo)準(zhǔn), 充分吸收和參考其先進(jìn)思想, 盡可能滿足各種現(xiàn)有智能電網(wǎng)通信標(biāo)準(zhǔn)要求; 考慮如何協(xié)調(diào)/解決智能電網(wǎng)通信標(biāo)準(zhǔn)、信息安全標(biāo)準(zhǔn)的開放性與智能電網(wǎng)的安全性之間的矛盾。

　　5) 充分重視管理與運營安全、組織與人員安全。管理與運營安全包括制度的制定和執(zhí)行、系統(tǒng)規(guī)劃和驗收、緊急事務(wù)處理、存儲媒體的管理、信息和軟件的使用等; 組織與人員安全包括安全責(zé)任落實、部門間的合作、人力資源安全、用戶培訓(xùn)和故障響應(yīng)等。

　　4、智能電網(wǎng)信息安全測試系統(tǒng)構(gòu)建

　　為進(jìn)一步分析智能電網(wǎng)存在的信息安全隱患, 提高智能電網(wǎng)信息安全水平, 推進(jìn)智能電網(wǎng)信息安全標(biāo)準(zhǔn)的研究與推廣, 歐美有多家研究機(jī)構(gòu)和國家實驗室構(gòu)建了智能電網(wǎng)信息安全測試系統(tǒng)/平臺。

　　1) 美國愛達(dá)荷州國家實驗室(Idaho Nation Laboratory)采用實際的智能電網(wǎng)發(fā)電、輸電裝置/系統(tǒng)和標(biāo)準(zhǔn)的工業(yè)軟件構(gòu)建了SCADA信息安全測試系統(tǒng)/平臺NSTB(National SCADA TestBed)。

　　2) 美國桑迪亞國家實驗室(Sandia Nation Laboratory)采用OPNET網(wǎng)絡(luò)仿真軟件、Power World電力系統(tǒng)仿真軟件和部分實際裝置/系統(tǒng)構(gòu)建了半實物的虛擬控制系統(tǒng)環(huán)境(virtual control system environment, VCSE)。

　　3) 美國亞利桑那大學(xué)(University of Arizona)利用OPNET網(wǎng)絡(luò)仿真軟件、Power World電力系統(tǒng)仿真軟件構(gòu)建了用于異常檢測(如入侵檢測)研究的SCADA控制系統(tǒng)信息安全分析測試平臺/系統(tǒng)(testbed for analyzing security of SCADA control system, TASSCS)。

　　4) 歐洲CRUTIAL項目開發(fā)了兩個不同的智能電網(wǎng)信息安全測試平臺/系統(tǒng), 用于研究各種網(wǎng)絡(luò)攻擊所造成的影響。

　　5) 愛爾蘭都柏林大學(xué)(University College Dubin)利用DIgSILENT電力系統(tǒng)仿真軟件和工業(yè)標(biāo)準(zhǔn)軟硬件構(gòu)建了半實物的智能電網(wǎng)信息安全測試平臺/系統(tǒng)。

　　目前, 基于這些測試系統(tǒng)/平臺的研究成果, 正在制定和推出一些新的智能電網(wǎng)信息安全標(biāo)準(zhǔn)?？蓪⑸鲜鲋悄茈娋W(wǎng)信息安全測試系統(tǒng)/平臺概括為兩類。

　　1) 完全由實際的裝置、系統(tǒng)和工業(yè)標(biāo)準(zhǔn)軟件構(gòu)成的實物系統(tǒng)。這類系統(tǒng)能實時、直觀、真實地反映實際運行結(jié)果和網(wǎng)絡(luò)攻擊對智能電網(wǎng)一次系統(tǒng)、二次系統(tǒng)/通信網(wǎng)絡(luò)所造成的影響和后果, 但投資較大。

　　2) 由OPNET網(wǎng)絡(luò)仿真軟件、Power World和DIgSILENT PowerFactory電力系統(tǒng)仿真軟件等和部分工業(yè)標(biāo)準(zhǔn)軟硬件構(gòu)建的半實物仿真系統(tǒng)。這類系統(tǒng)投資較少, 能反映網(wǎng)絡(luò)攻擊對智能電網(wǎng)二次系統(tǒng)/通信網(wǎng)絡(luò)所造成的影響和后果, 基本可以模擬/估計網(wǎng)絡(luò)攻擊對智能電網(wǎng)一次系統(tǒng)所造成的影響和后果, 但不夠直觀、真實。由于智能電網(wǎng)一次系統(tǒng)由仿真軟件構(gòu)建, 因此該方案的另一個優(yōu)勢是智能電網(wǎng)一次系統(tǒng)可以靈活配置、修改, 一次系統(tǒng)靈活性和適應(yīng)性強(qiáng)。

　　據(jù)初步調(diào)研, 迄今為止國內(nèi)尚沒有此類智能電網(wǎng)信息安全測試系統(tǒng)/平臺, 為驗證智能電網(wǎng)信息安全防御技術(shù)和信息安全標(biāo)準(zhǔn)的有效性, 為進(jìn)行攻防演練和發(fā)現(xiàn)現(xiàn)有信息安全防御措施的漏洞和不足之處, 有必要構(gòu)建適用于智能電網(wǎng)的信息安全測試系統(tǒng)/平臺。鑒于構(gòu)建實物系統(tǒng)投資較大, 建議先構(gòu)建半實物仿真系統(tǒng)。

　　5、結(jié)語

　　智能電網(wǎng)由電力一次系統(tǒng)、二次系統(tǒng)及其通信網(wǎng)絡(luò)組成, 是典型的信息物理融合系統(tǒng)。智能電網(wǎng)包括發(fā)電、輸電、變電、配電、用電和調(diào)度六大環(huán)節(jié), 涵蓋運行、管理、控制和市場等方方面面, 其信息安全需求和面臨的信息安全威脅具有不同于互聯(lián)網(wǎng)的獨特特征。針對智能電網(wǎng)的網(wǎng)絡(luò)攻擊具有隱蔽性、復(fù)雜性、技術(shù)性強(qiáng)和危害性大等特點。智能電網(wǎng)信息安全防御涉及加密/解密、身份認(rèn)證/數(shù)字簽名、入侵檢測、基于角色的訪問控制、防火墻、安全隔離和VPN等技術(shù), 具有涉及面廣、實施難度大等問題。要想抵御類似于烏克蘭和以色列國家電網(wǎng)受到的網(wǎng)絡(luò)攻擊, 提高中國智能電網(wǎng)信息安全水平, 還需國內(nèi)各研究機(jī)構(gòu)、專家學(xué)者和電網(wǎng)公司的共同努力、協(xié)同攻關(guān)。

　　以上內(nèi)容是筆者在烏克蘭與以色列國家電網(wǎng)遭受網(wǎng)絡(luò)攻擊事件后的一點思考和總結(jié), 尚不夠深入和全面, 希望能夠拋磚引玉, 引起國內(nèi)專家學(xué)者的廣泛討論。