智能电网信息安全防御体系与信息安全测试系统构建

1、乌克兰和以色列国家电网遭受网络攻击事件分析

智能电网是一种典型的信息物理融合系统, 由传统电力基础架构与信息基础架构共同组成。智能电网的安全问题包括物理安全和信息安全两个方面。智能电网信息化及其物理系统与信息系统的深度融合为其引入了新的安全隐患, 针对信息系统的网络攻击在破坏其功能的同时, 也会传导至物理系统并威胁其安全运行。近几年来, 通过网络攻击智能电网并进行破坏的事件时有发生。

2015年12月23日, 乌克兰电网遭遇突发停电事故, 引起乌克兰西部地区约70万户居民家中停电数小时。事后达拉斯信息安全公司iSight Partners的研究人员表示, 这是由BlackEnergy(黑暗力量)恶意软件/代码导致的破坏性事件。BlackEnergy恶意软件最早于2007年被发现, 在此次攻击事件中, 运用了其最新版本BlackEnergy Lite, 并增添了KillDisk组件和SSH(安全外壳协议)后门。KillDisk组件用于删除计算机硬盘驱动器里的数据并导致系统无法重启。SSH后门在获得SSH服务器的访问权限后, 开放连接SSH服务器的6789端口, 从而使攻击者可以永久访问或控制受感染的SSH服务器。该停电事故被视为实际出现的首例针对供电系统的恶意行为。

由媒体报道和事后分析可推测出乌克兰电网可能遭受的网络攻击途径/实现过程如图1所示。

图1 乌克兰电网可能遭受的网络攻击途径/实现过程

在CyberTech 2016大会上, 以色列能源与水力基础设施部部长Yuval Steinitz披露称在2016年1月25日, 以色列电力局遭受了一次严重的网络攻击。根据相关报道可知, 在此次攻击事件中攻击者发送包含勒索软件(Ransomware)的钓鱼邮件给电力局工作人员, 诱骗电力局工作人员执行恶意代码, 并加密其电脑中的相关内容, 需要电力局工作人员付款才能解锁。事发后以色列当局被迫关闭了电力设施中被感染的计算机, 以防止勒索软件在网络中进一步传播, 引发更大的事故。这是电力基础设施遭受网络攻击的又一个实例。

由乌克兰和以色列国家电网遭受网络攻击事件可以得到如下启示。

1) 电力系统作为国家关键性基础设施已经成为网络攻击的重要目标, 网络攻击能达到类似于物理攻击的效果, 从而导致变电站乃至整个能源供给系统的瘫痪。

2) 攻击者具备一定的电力系统工程背景, 对变电站监控系统软件及电网业务流程都非常了解, 其发动的针对电力系统的攻击具有很高的技术含量。

3) 工业界还没有为此类网络攻击做好准备, 电力系统中信息基础设施的脆弱性客观存在, 面对网络攻击时表现得非常敏感, 现有的信息安全防御体系难以完全有效抵御此类网络攻击。

2、智能电网信息安全需求和主要信息安全防御技术

为应对网络攻击和保证网络安全, 美国能源部(DOE)在2003年提出了《保护SCADA系统信息安全的21步》; 美国国土安全部(DHS)在2006年、2008年和2010年分别进行了3次网络风暴(网络Storm)演习。网络风暴演习模拟美国关键基础设施遭受大规模网络攻击时, 网络应急响应团体中各政府部门与相关企业联合应对的情况, 旨在检测并加强政企合作的网络防灾和响应能力; 2011年5月, 美国发布了《网络空间国际战略》, 阐述美国“在日益与网络相联的世界如何建立繁荣、增进安全和保护开放”。美国国防部高级研究计划局(DARPA)近期启动了一项名为“快速攻击检测、隔离和表征”的计划, 目标是发展一套能够应对电网遭受针对信息网络或基础设施的摧毁性攻击后, 7 d内恢复电力供应的自动化系统。针对电网的网络攻击很可能是出于政治、军事或者经济的目的, 可以说, 智能电网的信息安全防御已被提升为一个国家安全层面的重要问题。

乌克兰和以色列国家电网遭受网络攻击事件发生后, 有人提出了类似的事件有没有可能在中国发生的问题, 答案是有可能。随着中国经济实力的增强和国际地位的上升, 对中国怀有敌意或防范意识的国家或组织愈来愈多。依照目前的国际形势, 包括欧美国家在内的其他国家, 与中国发生正面战争的机会微乎其微。然而, 发动黑客、罪犯和恐怖分子通过通信网络对中国的重要基础设施(如核电站、三峡水电站和国家电网等)进行破坏, 从而阻止或延缓中国经济发展的可能性很大。

为满足经济发展需求, 中国国家电网也处于快速发展壮大阶段。国家电网已宣布投资4万亿人民币用于电力基础设施建设, 其目标是在2020年建成覆盖全国的智能电网。随着中国智能电网的发展和能源互联网战略的实施, 其信息安全问题也变得愈来愈突出。因此, 有必要基于已发生的针对电力基础设施的网络攻击事件, 分析国内智能电网面临的信息安全威胁, 深入研究适用于智能电网的信息安全技术, 并有针对性地构建智能电网信息安全防御体系。

所谓信息安全就是要保证信息的保密性、完整性、可用性和不可否认性。信息安全防御技术主要包括加密/解密技术、身份认证/数字签名技术、入侵检测和防御技术、基于角色访问控制技术、防火墙技术、安全隔离技术和虚拟专用网络 (VPN)等。在保障信息安全各种功能/特性的诸多技术中, 加密技术和身份认证技术是信息安全防御技术的核心和关键。加密技术是最基本、最常用且最有效的信息安全防御技术, 可以有效限制非法侦听、截获、中断、伪造的概率, 从而达到保证报文/信息安全的目的。入侵检测技术是满足机密性、完整性、可用性安全需求的关键技术之一。防火墙是一种安装在组织机构的内部网络与互联网之间的设备, 是保证网络层安全的边界安全工具。安全隔离装置 (网闸)是一种网络安全设备, 它包含带有多种控制功能的专用硬件, 可在电路上切断网络之间的链路层连接, 并能在网络间进行安全适度的应用数据交换。VPN为网络间传送数据和控制信息提供了一种安全的通信机制, 它在隧道模式下使用IPSec来提供保密性、完整性、数据源鉴别、重放保护和访问控制的数据保护。

3、智能电网信息安全防御体系构建

3.1变被动防御为积极主动防御

国内外在智能电网信息安全研究上存在较大差异, 甚至可以说在研究思路上背道而驰。国外的研究是以“攻”为主线, 研究的问题包括: 网络攻击情况下系统的脆弱性、攻击的难易程度、攻击造成的影响、攻击状态下电力系统对信息系统的依存性, 等等。在这些问题的基础上再进一步去考虑如何防御, 并提供安全技术支持。而国内的研究是以“防”为主线, 主要考虑如何来构建防御体系, 包括建立等级保护制度、安全测评体系、安全防御的新技术及安全评估方法等, 但对网络攻击技术研究还很薄弱。笔者认为需要在以下几个方面重点加强基于积极主动防御思想的防御措施。

1) 加强电力系统人员的培训、管理和保密教育, 提高电力系统员工信息安全防范意识。人是信息系统中最不稳定、最不确定, 也是最危险的因素;特别是内部人员, 是信息安全的最大威胁。因此, 需加强管理、制定完善的信息安全制度。

2) 加强对远动终端设备(RTU)、配电变压器终端设备(TTU)、继电保护装置和电力监控装置等智能电子设备(IED)的监测和管理。这些物理设备在实现测量、保护、监控、通信等功能的同时, 其本身作为底层通信节点, 是电力系统通信网络的主要组成部分之一。黑客很有可能入侵并潜伏在这些IED物理设备中, 在满足一定的触发条件时才开始执行恶意程序。这类攻击具有很深的隐蔽性, 采用通用的入侵检测技术很难发现。黑客对这些设备的攻击效果一定会体现在某些物理特征上, 可以通过发现这些设备在时间、空间和控制指令执行效果等方面的异常表现来检测这类攻击。

3) 电力系统各个单位办公系统/网络与电力监控系统/网络进行物理隔离, 禁止U盘和移动硬盘等存储介质在两个系统/网络之间交叉使用, 禁止在电力监控计算机中打开办公文档或电子邮件。攻击乌克兰和以色列国家电网的病毒软件即是通过电子邮件传播。

4) 协同各单位采用统一的信息安全防御策略, 构建一体化信息安全防御体系。电力系统主要包括发电、输电、变电、配电、用电和调度6个环节, 涵盖运行、管理、控制和市场等方方面面, 各环节的信息安全体现出不同的需求。整个电力系统的信息安全水平遵从“木桶原理”, 哪个环节或组成部分的信息安全防御水平最低, 该环节或组成部分即成为电力系统信息安全防御最薄弱、最易攻破之处。因此, 需要协同各单位进行统一部署。

3.2适用于底层IED的加密/解密算法和身份认证/数字签名算法

继电保护装置、电力监控装置、RTU和TTU等IED常采用单片机、数字信号处理器(DSP)、ARM和实时操作系统实现, 可用的软硬件资源相对有限。现有的信息安全技术和信息安全产品并不完全适用于这类装置, 因此, 有必要综合考虑算法实时性、保密性和实施成本, 研究适用于软硬件资源有限的底层IED的加密/解密算法和身份认证/数字签名算法。

3.3智能电网一体化信息安全防御体系构建

从严格意义上讲, 不存在绝对安全的网络, 系统的安全和开放本身就是互相矛盾的。因此, 需基于“适度安全”和“尽可能透明”的策略, 明确智能电网的信息安全需求和为实现信息安全保障要求所增加的投入, 在保证信息传输的可靠性、实时性前提下制定智能电网信息安全策略, 定义信息的共享方式和安全级别, 寻找信息安全和共享(开放)、信息传输实时性与系统安全性之间的平衡点, 提出信息安全最佳实施方案。

中国智能电网信息安全实施方案可由如下模型进行描述:

式中: Ru 为智能电网受信息安全威胁类型, 1≤u≤j; Av 为智能电网中传输的(业务)数据类型, 1≤v≤k; Bw为智能电网中所采用的各种信息安全防御技术, 1≤w≤l; Cy为智能电网中所采用的各种信息安全防御技术对应的实施成本, 1≤y≤m; Xz为智能电网中所采用的各种信息安全防御技术对通信实时性的影响, 1≤z≤q。

基于以上分析, 本文拟构建的智能电网一体化信息安全防御体系结构如图2所示。

图2 智能电网一体化信息安全防御体系结构

在具体部署本文所构建的智能电网一体化信息安全体系时, 需依据以下原则进行。

1) 充分考虑中国智能电网特点、存在的信息安全威胁及其信息安全防御特殊需求, 综合应用加密、认证、入侵检测和防御、基于角色的访问控制、防火墙、安全隔离和VPN等各种信息安全防御技术, 确定不同防御技术的具体实施位置;在中国智能电网及其通信系统构建、实施的不同阶段, 完成不同信息安全防御措施的实施。

2) 基于“适度安全”和“尽可能透明”策略, 设计中国智能电网信息安全防御策略和防御方案, 考虑其保密等级要求、安全水平、实施成本和复杂性, 兼顾传输信息的安全性和实时性, 保证其通信可靠性, 避免影响其供电可靠性。

3) 不同(业务)系统、不同报文(所传输的信息)对信息安全和实时性的要求亦不同, 因此需“量体裁衣”地确定不同的信息安全需求和保密级别, 制定不同的安全防御方案, 采用不同的信息安全防御技术; 根据装置硬件平台性能和计算能力的不同, 采用不同的信息安全防御技术; 借鉴IT领域和工业控制领域信息安全防御先进技术和成功经验, 开发具有自主知识产权的中国智能电网信息安全防御专用技术。

4) 深入分析各种现有智能电网信息安全标准, 充分吸收和参考其先进思想, 尽可能满足各种现有智能电网通信标准要求; 考虑如何协调/解决智能电网通信标准、信息安全标准的开放性与智能电网的安全性之间的矛盾。

5) 充分重视管理与运营安全、组织与人员安全。管理与运营安全包括制度的制定和执行、系统规划和验收、紧急事务处理、存储媒体的管理、信息和软件的使用等; 组织与人员安全包括安全责任落实、部门间的合作、人力资源安全、用户培训和故障响应等。

4、智能电网信息安全测试系统构建

为进一步分析智能电网存在的信息安全隐患, 提高智能电网信息安全水平, 推进智能电网信息安全标准的研究与推广, 欧美有多家研究机构和国家实验室构建了智能电网信息安全测试系统/平台。

1) 美国爱达荷州国家实验室(Idaho Nation Laboratory)采用实际的智能电网发电、输电装置/系统和标准的工业软件构建了SCADA信息安全测试系统/平台NSTB(National SCADA TestBed)。

2) 美国桑迪亚国家实验室(Sandia Nation Laboratory)采用OPNET网络仿真软件、Power World电力系统仿真软件和部分实际装置/系统构建了半实物的虚拟控制系统环境(virtual control system environment, VCSE)。

3) 美国亚利桑那大学(University of Arizona)利用OPNET网络仿真软件、Power World电力系统仿真软件构建了用于异常检测(如入侵检测)研究的SCADA控制系统信息安全分析测试平台/系统(testbed for analyzing security of SCADA control system, TASSCS)。

4) 欧洲CRUTIAL项目开发了两个不同的智能电网信息安全测试平台/系统, 用于研究各种网络攻击所造成的影响。

5) 爱尔兰都柏林大学(University College Dubin)利用DIgSILENT电力系统仿真软件和工业标准软硬件构建了半实物的智能电网信息安全测试平台/系统。

目前, 基于这些测试系统/平台的研究成果, 正在制定和推出一些新的智能电网信息安全标准。可将上述智能电网信息安全测试系统/平台概括为两类。

1) 完全由实际的装置、系统和工业标准软件构成的实物系统。这类系统能实时、直观、真实地反映实际运行结果和网络攻击对智能电网一次系统、二次系统/通信网络所造成的影响和后果, 但投资较大。

2) 由OPNET网络仿真软件、Power World和DIgSILENT PowerFactory电力系统仿真软件等和部分工业标准软硬件构建的半实物仿真系统。这类系统投资较少, 能反映网络攻击对智能电网二次系统/通信网络所造成的影响和后果, 基本可以模拟/估计网络攻击对智能电网一次系统所造成的影响和后果, 但不够直观、真实。由于智能电网一次系统由仿真软件构建, 因此该方案的另一个优势是智能电网一次系统可以灵活配置、修改, 一次系统灵活性和适应性强。

据初步调研, 迄今为止国内尚没有此类智能电网信息安全测试系统/平台, 为验证智能电网信息安全防御技术和信息安全标准的有效性, 为进行攻防演练和发现现有信息安全防御措施的漏洞和不足之处, 有必要构建适用于智能电网的信息安全测试系统/平台。鉴于构建实物系统投资较大, 建议先构建半实物仿真系统。

5、结语

智能电网由电力一次系统、二次系统及其通信网络组成, 是典型的信息物理融合系统。智能电网包括发电、输电、变电、配电、用电和调度六大环节, 涵盖运行、管理、控制和市场等方方面面, 其信息安全需求和面临的信息安全威胁具有不同于互联网的独特特征。针对智能电网的网络攻击具有隐蔽性、复杂性、技术性强和危害性大等特点。智能电网信息安全防御涉及加密/解密、身份认证/数字签名、入侵检测、基于角色的访问控制、防火墙、安全隔离和VPN等技术, 具有涉及面广、实施难度大等问题。要想抵御类似于乌克兰和以色列国家电网受到的网络攻击, 提高中国智能电网信息安全水平, 还需国内各研究机构、专家学者和电网公司的共同努力、协同攻关。

以上内容是笔者在乌克兰与以色列国家电网遭受网络攻击事件后的一点思考和总结, 尚不够深入和全面, 希望能够抛砖引玉, 引起国内专家学者的广泛讨论。

北极星智能电网在线官方微信