泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全攻擊研究

王海峰，李朝陽，呂政權(quán)，陳怡君，彭道剛

（1.國網(wǎng)上海市電力公司培訓(xùn)中心，上海 200438；2.上海電力大學(xué) 自動(dòng)化工程學(xué)院，上海 200090）

0 引言

泛在電力物聯(lián)網(wǎng)圍繞電力系統(tǒng)各環(huán)節(jié)，充分應(yīng)用人工智能、移動(dòng)互聯(lián)等先進(jìn)通信技術(shù)和現(xiàn)代信息技術(shù)，實(shí)現(xiàn)電力系統(tǒng)各環(huán)節(jié)萬物互聯(lián)與人機(jī)交互。其智慧服務(wù)系統(tǒng)應(yīng)用便捷靈活、信息處理高效、特征狀態(tài)感知全面。隨著智能電網(wǎng)建設(shè)的持續(xù)發(fā)展，電力系統(tǒng)的自動(dòng)化程度總體處于較高水平，其傳感器數(shù)量、信息網(wǎng)絡(luò)規(guī)模和決策單元數(shù)量都大大增加[1]。和現(xiàn)行的電力系統(tǒng)相比，泛在電力物聯(lián)網(wǎng)的突出優(yōu)勢(shì)在于利用大量傳感器和新一代電力通信網(wǎng)，從而實(shí)現(xiàn)全過程的全景全息感知。

如今的電力行業(yè)已逐步進(jìn)入新型數(shù)字化全面互聯(lián)時(shí)代，電力信息網(wǎng)絡(luò)在整個(gè)電力系統(tǒng)中扮演著重要的角色，同現(xiàn)代網(wǎng)絡(luò)技術(shù)一樣，也向著多樣化、復(fù)雜化、綜合化發(fā)展。2010年9月爆發(fā)的伊朗核設(shè)施震網(wǎng)（Stuxnet）病毒入侵事件，使基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全建設(shè)被世界各國提上日程。在我國，隨著《網(wǎng)絡(luò)安全法》的頒布以及《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》《電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》相關(guān)標(biāo)準(zhǔn)的實(shí)施，標(biāo)志著我國已從法律的高度對(duì)待工業(yè)控制系統(tǒng)安全，尤其是信息安全部分。分析泛在電力物聯(lián)網(wǎng)中的網(wǎng)絡(luò)攻擊，對(duì)加強(qiáng)電網(wǎng)穩(wěn)定運(yùn)行、提高故障應(yīng)急響應(yīng)能力、預(yù)測(cè)安全態(tài)勢(shì)發(fā)展趨勢(shì)等方面都有顯著幫助。

目前，國內(nèi)外關(guān)于泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊方面的研究可參考資料較少，其中有關(guān)電力物理信息系統(tǒng)的研究與泛在電力物聯(lián)網(wǎng)有部分重疊之處。隱私、授權(quán)、驗(yàn)證、訪問控制、系統(tǒng)配置、信息存儲(chǔ)和管理等安全問題是物聯(lián)網(wǎng)環(huán)境中的主要挑戰(zhàn)[2]，例如，以各式智能設(shè)備構(gòu)筑的感知層因其面廣、量大的特點(diǎn)，受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)較高，帶來的影響輕則中斷服務(wù)，嚴(yán)重的甚至損害關(guān)鍵基礎(chǔ)設(shè)施信息安全。電力系統(tǒng)安全穩(wěn)定的三道防線和“安全分區(qū)、網(wǎng)絡(luò)專業(yè)、橫向隔離、縱向認(rèn)證”的安全防護(hù)原則已逐漸不能適應(yīng)網(wǎng)絡(luò)攻擊這種新型攻擊模式，固有的電網(wǎng)“N-1”標(biāo)準(zhǔn)也不能滿足信息攻擊的諸多場(chǎng)景[3]。物聯(lián)網(wǎng)的發(fā)展很大程度上取決于安全問題的解決[4]，本文闡述了泛在電力物聯(lián)網(wǎng)的有關(guān)概念并搭建體系架構(gòu)，通過委內(nèi)瑞拉大停電事例分析惡意網(wǎng)絡(luò)攻擊過程，總結(jié)泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)攻擊的分類、應(yīng)用場(chǎng)景、防護(hù)體系和未來可研究方向，為電網(wǎng)更安全的運(yùn)行、更精益的管理、更精準(zhǔn)的投資、更優(yōu)質(zhì)的服務(wù)開辟出一條新路。

1 泛在電力物聯(lián)網(wǎng)概述

1995年，比爾蓋茨的著作《未來之路》初次給出有關(guān)物聯(lián)網(wǎng)的概念。IoT（物聯(lián)網(wǎng)）即“萬物相連的互聯(lián)網(wǎng)”，是在互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴(kuò)展，將各種信息傳感設(shè)備與互聯(lián)網(wǎng)結(jié)合起來而形成的一個(gè)巨大網(wǎng)絡(luò)，實(shí)現(xiàn)在任何地點(diǎn)、任何時(shí)間，人、機(jī)、物的互聯(lián)互通[5]。2004年，日本政府推出“u-Japan”國家信息化戰(zhàn)略，使之成為首個(gè)利用“泛在（Ubiquitous）”一詞刻畫信息科技革命，并建立無所不在數(shù)字互聯(lián)社會(huì)的國家[6]。然而，傳統(tǒng)的泛在網(wǎng)及物聯(lián)網(wǎng)主要運(yùn)用于家居、交通、通信產(chǎn)業(yè)以及公共安全方面，并沒有引入到電力系統(tǒng)領(lǐng)域。

面對(duì)更高要求的社會(huì)供電以及電網(wǎng)企業(yè)經(jīng)營兩方面巨大挑戰(zhàn)，2019年1月17日，國家電網(wǎng)有限公司董事長寇偉在第三屆職工代表大會(huì)上作了關(guān)于《守正創(chuàng)新?lián)?dāng)作為奮力開創(chuàng)世界一流能源互聯(lián)網(wǎng)企業(yè)建設(shè)新局面》的主題報(bào)告[7]，創(chuàng)造性地提出“三型兩網(wǎng)、世界一流”的戰(zhàn)略目標(biāo)以及“一個(gè)引領(lǐng)、三個(gè)變革”的戰(zhàn)略路徑，加快建設(shè)世界一流的互聯(lián)網(wǎng)企業(yè)。在電力系統(tǒng)的發(fā)電、輸電、變電、配電、用電和調(diào)度6個(gè)基本方面，全方位部署智能終端信息收集器（傳感器、RFID等），智能化精準(zhǔn)運(yùn)檢，提高邊緣計(jì)算，綜合能源管理。典型泛在電力物聯(lián)網(wǎng)的框架結(jié)構(gòu)如圖1所示[8-9]。感知層主要解決數(shù)據(jù)的采集問題，包括現(xiàn)場(chǎng)采集部件、智能業(yè)務(wù)終端、本地通信接入和邊緣物聯(lián)代理，實(shí)現(xiàn)終端標(biāo)準(zhǔn)化統(tǒng)一接入。網(wǎng)絡(luò)層主要解決數(shù)據(jù)的傳輸問題，內(nèi)容包括接入網(wǎng)、骨干網(wǎng)、業(yè)務(wù)網(wǎng)以及支撐網(wǎng)，網(wǎng)絡(luò)間互相融合與拓展，響應(yīng)更高服務(wù)質(zhì)量要求。平臺(tái)層主要解決數(shù)據(jù)的管理問題，建設(shè)一體化“國網(wǎng)云”平臺(tái)、企業(yè)中臺(tái)、物聯(lián)管理中心、全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心，解決數(shù)據(jù)存儲(chǔ)、檢索、使用、挖掘和防止機(jī)密信息泄露等問題。應(yīng)用層主要解決數(shù)據(jù)的價(jià)值創(chuàng)造問題，包括對(duì)內(nèi)業(yè)務(wù)和對(duì)外業(yè)務(wù)，實(shí)現(xiàn)業(yè)務(wù)協(xié)同和數(shù)據(jù)貫通，保證電網(wǎng)穩(wěn)定運(yùn)行，打造智慧能源互聯(lián)網(wǎng)產(chǎn)業(yè)集群與生態(tài)圈。

圖1 泛在電力物聯(lián)網(wǎng)體系架構(gòu)

2 電力系統(tǒng)網(wǎng)絡(luò)攻擊實(shí)例分析

自21世紀(jì)以來，國內(nèi)外電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)，如表1所示。傳統(tǒng)的基礎(chǔ)設(shè)施物理破壞逐漸被網(wǎng)絡(luò)的入侵攻擊手段所代替，信息系統(tǒng)的癱瘓也能對(duì)電力系統(tǒng)造成堪比物理設(shè)施損壞甚至更加惡劣的影響和威脅。針對(duì)電力系統(tǒng)脆弱性的攻擊一旦生效，很可能對(duì)經(jīng)濟(jì)和社會(huì)造成災(zāi)難性后果。美國能源局于2018年舉行了代號(hào)為“自由日蝕”的網(wǎng)絡(luò)攻擊斷電演習(xí)[10]，旨在測(cè)試并提升電力系統(tǒng)從網(wǎng)絡(luò)攻擊造成的損失中恢復(fù)的能力。中國南方電網(wǎng)有限責(zé)任公司也于今年開展網(wǎng)絡(luò)攻防演習(xí)[11]，目標(biāo)是在真實(shí)生產(chǎn)環(huán)境中進(jìn)行實(shí)時(shí)態(tài)勢(shì)感知，及時(shí)做出應(yīng)急響應(yīng)。

表1 網(wǎng)絡(luò)攻擊破壞電力系統(tǒng)實(shí)際案例

2019年3月7日，包括首都加拉加斯在內(nèi)，委內(nèi)瑞拉一度同時(shí)有20個(gè)州大面積停電超24 h[2]，2019年3月8日凌晨，各州陸續(xù)恢復(fù)供電。2019年4月11日，全國第二次大面積停電。委內(nèi)瑞拉國家總?cè)丝诹考s為3 085萬，整體發(fā)電量約為117 000 GWh，造成停電事故的主要原因是發(fā)電量占全國用電量近四成的古里水電站遭受網(wǎng)絡(luò)攻擊進(jìn)而發(fā)生故障。依據(jù)網(wǎng)絡(luò)入侵攻擊的前后背景、結(jié)果及相關(guān)報(bào)道，結(jié)合文獻(xiàn)[19]給出的分析方法，能夠推演委內(nèi)瑞拉電力系統(tǒng)遭受攻擊的全過程，如圖2所示。需要指出的是，本文所展示的演化過程是綜合多方面資料的可能性推測(cè)，圖2中的基礎(chǔ)設(shè)施架構(gòu)和信息僅表示實(shí)例效果，并不絕對(duì)與委內(nèi)瑞拉電網(wǎng)的實(shí)際情況一一對(duì)應(yīng)。

通過攻擊1，攻擊者預(yù)先植入惡意代碼，在設(shè)備采購的供應(yīng)鏈環(huán)節(jié)植入震網(wǎng)病毒變體，適時(shí)誘導(dǎo)病毒發(fā)作；通過電子戰(zhàn)飛機(jī)攻開WiFi密碼，然后以此為入口，進(jìn)行目標(biāo)滲透，致使失去對(duì)絕大部分變電站的監(jiān)測(cè)及控制，進(jìn)而達(dá)到圖2（b）所示的狀態(tài)，此時(shí)，古里水電站的計(jì)算機(jī)系統(tǒng)中樞和加拉加斯控制中樞嚴(yán)重受損。通過攻擊2和3，電磁網(wǎng)絡(luò)炸彈發(fā)揮作用，通過向電力系統(tǒng)注入無線病毒槍，對(duì)網(wǎng)絡(luò)化控制系統(tǒng)進(jìn)行接管，出現(xiàn)短路跳閘類似的事故或制造巨大過載，對(duì)硬件設(shè)施予以摧毀，進(jìn)而達(dá)到圖2（c）所示的狀態(tài)。攻擊者通過移動(dòng)設(shè)備中斷和逆轉(zhuǎn)恢復(fù)過程，截獲水電站自動(dòng)控制系統(tǒng)部分渦輪機(jī)訪問權(quán)限和監(jiān)控界面，利用對(duì)閥門開關(guān)的控制，修改監(jiān)控界面顯示，以此欺騙工程師，最終造成停電事故。另外，對(duì)相關(guān)服務(wù)實(shí)施的拒絕服務(wù)攻擊，也很大程度上拖延了事故搶救時(shí)間。Alto Prado變電站遭受的物理損壞，更加劇了委內(nèi)瑞拉整體電力系統(tǒng)癱瘓的程度。通過攻擊4，攻擊者通過修改日志、替換系統(tǒng)文件隱藏作案痕跡；留下后門，等待下一次攻擊機(jī)會(huì)，最終達(dá)到如圖2（d）所示的狀態(tài)，并采取相應(yīng)手段間接阻礙自動(dòng)控制系統(tǒng)，無法快速恢復(fù)功能。理論上，實(shí)現(xiàn)對(duì)這一系列攻擊步驟不僅需要充足的職業(yè)知識(shí)和背景，還必須對(duì)電力系統(tǒng)內(nèi)部的運(yùn)行特性和業(yè)務(wù)流程也十分熟悉。

圖2 委內(nèi)瑞拉電力系統(tǒng)受網(wǎng)絡(luò)攻擊影響過程

由以上分析過程可知，針對(duì)性的網(wǎng)絡(luò)攻擊能夠按照攻擊者制定的攻擊路線發(fā)展，從而最大化入侵破壞的效果，每一步攻擊策略緊密聯(lián)系，相互支持，相互影響，直至大范圍停電目標(biāo)的達(dá)成。可以認(rèn)為，以基礎(chǔ)設(shè)施為攻擊對(duì)象的該類攻擊基本可以概括為泛在電力物聯(lián)網(wǎng)環(huán)境下的通用攻擊模式，深入研究該模式，能夠進(jìn)一步衍生出電力事故應(yīng)急推演方案和策略設(shè)計(jì)。

3 泛在電力物聯(lián)網(wǎng)下網(wǎng)絡(luò)攻擊內(nèi)涵

3.1 網(wǎng)絡(luò)安全概念

泛在電力物聯(lián)網(wǎng)中，無處不在的設(shè)備產(chǎn)生的信息要么存儲(chǔ)在設(shè)備本身（如服務(wù)器、智能手機(jī)等），被稱為靜止數(shù)據(jù)；要么通過網(wǎng)絡(luò)傳輸，被稱為動(dòng)態(tài)數(shù)據(jù)。為了保護(hù)靜止和動(dòng)態(tài)數(shù)據(jù)，《美國標(biāo)準(zhǔn)技術(shù)研究院（NIST）7628號(hào)報(bào)告》認(rèn)為信息安全三要素分別為保密性、完整性和可用性，簡(jiǎn)稱網(wǎng)絡(luò)“CIA”安全目標(biāo)[20]。宏觀上說，網(wǎng)絡(luò)攻擊可以是任意以“CIA”安全要素受損為目標(biāo)的惡意攻擊手段[3]。本文梳理網(wǎng)絡(luò)攻擊在泛在電力物聯(lián)網(wǎng)環(huán)境下的內(nèi)涵：通過電力系統(tǒng)固有安全性缺陷與漏洞，在未經(jīng)授權(quán)的情況下對(duì)智能通信設(shè)備和自動(dòng)控制系統(tǒng)的數(shù)據(jù)進(jìn)行竊取，以破壞、揭露和修改泛在電力物聯(lián)網(wǎng)功能為目的，對(duì)系統(tǒng)本身、基礎(chǔ)設(shè)施或服務(wù)進(jìn)行攻擊。

3.2 網(wǎng)絡(luò)攻擊分類

泛在電力物聯(lián)網(wǎng)強(qiáng)調(diào)全息感知、泛在連接、開放共享、融合創(chuàng)新，對(duì)應(yīng)它的四層結(jié)構(gòu)，旨在全面實(shí)現(xiàn)業(yè)務(wù)協(xié)同、基本實(shí)現(xiàn)數(shù)據(jù)貫通和初步實(shí)現(xiàn)統(tǒng)一物聯(lián)管理。泛在電力物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)攻擊按對(duì)象分類可以從感知層、網(wǎng)絡(luò)層、平臺(tái)層及應(yīng)用層四方面來闡述。每一層都提供自己的專業(yè)技術(shù)支持，這是其他層都無法替代的，泛在電力物聯(lián)網(wǎng)必須通過保護(hù)所有層面以保障整個(gè)系統(tǒng)的安全穩(wěn)定運(yùn)行[21-22]。本文提出基于分層的泛在電力物聯(lián)網(wǎng)安全方法，如圖3所示。

在泛在電力物聯(lián)網(wǎng)環(huán)境下，按照AMI（高級(jí)計(jì)量）系統(tǒng)網(wǎng)絡(luò)架構(gòu)，根據(jù)信號(hào)傳輸速率和覆蓋范圍，可將網(wǎng)絡(luò)攻擊分為WAN（廣域網(wǎng)絡(luò)）攻擊、FAN（區(qū)域網(wǎng)絡(luò)）攻擊和IAN（工業(yè)區(qū)域網(wǎng)絡(luò)）攻擊[23]。各種攻擊類型特點(diǎn)如表2所示。區(qū)別于傳統(tǒng)IT安全需求的CIA特性，電力系統(tǒng)對(duì)數(shù)據(jù)傳輸?shù)难訒r(shí)性和可靠性有較高的要求，而對(duì)網(wǎng)絡(luò)的吞吐量并沒有特殊的要求。因此，泛在電力物聯(lián)網(wǎng)中對(duì)可用性的安全需求要高于完整性和保密性[24]。基于網(wǎng)絡(luò)攻擊的宏觀定義，以破壞網(wǎng)絡(luò)可用性、完整性、保密性為攻擊目標(biāo)，以攻擊者的視覺考慮，總結(jié)了由于其破壞而造成的相應(yīng)影響及相關(guān)攻擊手段，如表3所示。

圖3 泛在電力物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全分類

表2 按AMI系統(tǒng)層次架構(gòu)分類

表3 按攻擊目標(biāo)的網(wǎng)絡(luò)攻擊分類

4 泛在電力物聯(lián)網(wǎng)攻擊場(chǎng)景與防護(hù)

4.1 網(wǎng)絡(luò)攻擊應(yīng)用場(chǎng)景

泛在電力物聯(lián)網(wǎng)中涉及網(wǎng)絡(luò)安全的典型應(yīng)用場(chǎng)合總體上可分為控制和采集兩大類。其中控制類包含分布式能源調(diào)控、用電符合需求側(cè)響應(yīng)、智能分布式配電自動(dòng)化；采集類主要包括智能電網(wǎng)大視頻應(yīng)用、高級(jí)計(jì)量。本節(jié)擬結(jié)合上述應(yīng)用場(chǎng)景，根據(jù)電力系統(tǒng)發(fā)、輸、變、配、用戶側(cè)和調(diào)度6個(gè)環(huán)節(jié)，對(duì)可能發(fā)生網(wǎng)絡(luò)攻擊的具體場(chǎng)景進(jìn)行歸納與總結(jié)[26-28]，如表4所示。

表4 電力系統(tǒng)各環(huán)節(jié)的攻擊場(chǎng)景

4.2 安全防護(hù)體系架構(gòu)

泛在電力物聯(lián)網(wǎng)是對(duì)現(xiàn)有電網(wǎng)業(yè)務(wù)的提升、完善和創(chuàng)新拓展，相應(yīng)的網(wǎng)絡(luò)安全防護(hù)也應(yīng)基于現(xiàn)有防護(hù)體系進(jìn)一步優(yōu)化、加強(qiáng)和發(fā)展，以滿足泛在電力物聯(lián)網(wǎng)新的防護(hù)需求。對(duì)應(yīng)泛在電力物聯(lián)網(wǎng)的架構(gòu)，從感知層、網(wǎng)絡(luò)層、平臺(tái)層和應(yīng)用層4個(gè)層面考慮，按照《泛在電力物聯(lián)網(wǎng)建設(shè)大綱》要求，構(gòu)建與電力公司“三型兩網(wǎng)”相適應(yīng)的全層次安全防護(hù)體系，開展可信互聯(lián)、安全互動(dòng)、智能防御相關(guān)技術(shù)的研究及應(yīng)用，為各類物聯(lián)網(wǎng)業(yè)務(wù)做好全環(huán)節(jié)安全服務(wù)保障。填補(bǔ)傳統(tǒng)電網(wǎng)防護(hù)缺陷，動(dòng)態(tài)感知安全態(tài)勢(shì)，及時(shí)響應(yīng)各類處置措施，確保公司網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。全層次的網(wǎng)絡(luò)安全防護(hù)體系總體架構(gòu)如圖4所示[25]。

圖4 全層次網(wǎng)絡(luò)安全防護(hù)體系總體架構(gòu)

5 結(jié)語

電力系統(tǒng)運(yùn)行的安全穩(wěn)定與社會(huì)生產(chǎn)生活休戚與共。泛在電力物聯(lián)網(wǎng)的發(fā)展面臨信息安全失效的潛在風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊的對(duì)象和目的已經(jīng)分別轉(zhuǎn)向關(guān)鍵基礎(chǔ)設(shè)施和獲取政治利益。端到端物聯(lián)網(wǎng)安全體系、數(shù)據(jù)安全、移動(dòng)互聯(lián)安全、物聯(lián)終端安全等都是網(wǎng)絡(luò)信息安全建設(shè)中的關(guān)鍵技術(shù)。本文以委內(nèi)瑞拉停電事故為例，討論了針對(duì)泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊可能的通用事故模式、攻擊分類以及應(yīng)用場(chǎng)景。未來圍繞泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊可研究的方向著重應(yīng)包含以下幾點(diǎn)：

（1）建立網(wǎng)絡(luò)測(cè)繪數(shù)據(jù)處理系統(tǒng)，對(duì)我國電力行業(yè)相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行全方位的網(wǎng)絡(luò)測(cè)繪，自動(dòng)普查智能設(shè)備標(biāo)簽化管理，實(shí)時(shí)動(dòng)態(tài)分析威脅存在，精準(zhǔn)量化評(píng)估電網(wǎng)整體風(fēng)險(xiǎn)，多維度展現(xiàn)網(wǎng)絡(luò)空間可視化。

（2）建立面向電力工業(yè)的威脅態(tài)勢(shì)感知系統(tǒng)，完善安全風(fēng)險(xiǎn)知識(shí)庫，結(jié)合5G通信技術(shù)和AI實(shí)現(xiàn)真正的人機(jī)交互。自動(dòng)分析事件的起源和目標(biāo)設(shè)備、匹配規(guī)則，能夠按照策略管理要求對(duì)設(shè)備劃分安全域分別管理。

（3）建立泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)安全仿真模型，考慮將電力安全突發(fā)事件與數(shù)據(jù)庫中完整應(yīng)急情景鏈結(jié)合，設(shè)計(jì)加入電力系統(tǒng)元件、情景的推演系統(tǒng)框架。

（4）建立國家級(jí)響應(yīng)機(jī)制。針對(duì)國家信息資源進(jìn)行網(wǎng)絡(luò)攻擊的偵測(cè)、預(yù)警及后果消除機(jī)制，及時(shí)傳送有關(guān)信息到應(yīng)急部門，最后匯總至國家計(jì)算機(jī)事故協(xié)調(diào)中心，最小化網(wǎng)絡(luò)攻擊造成的傷害。