□巴斯替 骆德汉
传统的电力系统一般包括发电、传输、配电和消费等环节。发电厂所产生的电通常是超高压的,通过低压配电网将高压转换为低压,才能供给终端用户使用[1]。传统的电力系统由于各个环节没有信息交互,因此电力调配成本高,并且一旦出现问题,需要大面积排查,维修成本也极其昂贵。利用信息技术,可以将传统的电网改造为智能电网,使得每个环节变得清晰可控。通过在电网系统中任意两个或两个以上单元之间建立多方位的信息流以达到使电网变得智能化的目的,从而提高电网安全性、弹性以及对设备和服务有效的监控。具体是通过将微处理器集成到电力系统的每个单元中来实现的,每个单元都有通信模块,这些模块连接到后台服务器,形成一个大的分布式计算平台。这使后台能够监测每个单元的状态,因此可以及时发现诸如断路器故障、变压器故障等问题。但是,如同互联网一样,智能电网中也存在网络安全问题,每个环节出现问题都可能干扰智能电网的稳定性。而且由于智能电网系统中存储着用户个人信息,盗窃或更改这些数据可能会侵犯隐私并带来财产损失。近年来,攻击智能电网的手段也日益增多[2]。使用网络攻击技术,黑客可以闯入、拦截变电站,可以窃取电网运营商和用户之间的通信,还可以篡改智能电表读数,为行业带来数量巨大的经济损失[3]。
(一)智能电网架构。根据美国国家标准与技术研究院(NIST)的定义,智能电网系统内存在七个领域:生产、传输、分销、客户、市场、运营及服务,如图1所示。每个领域都由硬件设备和软件系统组成[4]。智能电网需要存储、分析来自市场、服务提供商及客户的大量操作管理数据,需要一个分布式、分层次的通信网络来传输和处理收集到的信息。电力数据传输和管理都依赖于有线和无线网络技术。SCADA(监控和数据采集)系统由通信网络、控制设备和监控设备组成,用于采集智能电网领域各个环节产生的数据,并可以监测、控制运行的设备。
图1 智能电网的模型
(二)智能电网组件。智能电网由多个的分布式组件构成,如监控和采集系统(SCADA)、高级计量架构(AMI)、自动化变电站和家庭能源管理(HEM)等。但是,本文只讨论智能电网中的三个易受攻击的关键部分:SCADA、AMI和自动化变电站。
1.监控和采集(SCADA)系统。监控和采集(SCADA)系统属于运营环节,用于电网的测量、监控和控制,由三个部分组成:远程终端(RTU)、主控终端(MTU)和人机接口(HMI)。RTU是一种由三个部分组成的设备:数据采集模块、通信模块、执行模块。其中,执行模块用于执行来自MTU的指令。MTU负责控制RTU,HMI是SCADA系统的图形界面。
2.高级计量架构(AMI)。高级计量架构(AMI)属于配电领域,其要求实现电力公司到计量设备之间的双向通信。它由三个部分组成:智能电表、通信网络以及后台软件[5]。智能电表有微处理器及存储功能,负责测量、存储用电设备的功耗,并且其拥有唯一的网络地址,可以实时地将数据传输至AMI系统的后台。AMI后台由电表信息管理系统(MDMS)组成,记录读表过程的状态和事件,并支持充值、查询等事物。
3.自动化变电站。变电站是智能电网的关键要素,属于传输和分发领域。它主要作用包括从发电设施接收电力能源、调配电力和限制电涌[6]。由诸如远程终端单元(RTU)、全球定位系统(GPS)、智能电子设备(IED)等部分组成。变电站将电网运行中产生的数据发送到SCADA,用于控制电力系统。为了提高电网的可靠性,变电站内许多操作都是自动化的[2]。
由于智能电网系统中包括大量的电子元器件以及通信网络,因此可能会存在与网络系统相关的潜在漏洞,从而导致系统损坏甚至瘫痪。并且由于网络规模越来越大,对于智能电网来说,这种威胁越来越不容忽视。美国国家标准与技术研究所(NIST)定义了维护智能电网中信息安全的三个标准,分别是保密性、完整性和可用性。
一般来讲,黑客攻击智能电网系统包括四个步骤。第一步,攻击者搜集有关目标信息;第二步,攻击者尝试找出系统漏洞,并识别在每个端口上运行的服务及其弱点;第三步,攻击者将获得对目标的完全控制。一旦攻击者完全控制了目标,其会安装一个隐蔽的、难以检测的程序。最后一步,他就可以轻松地窃取系统数据,甚至控制系统从事恶意的非法活动[7]。具体的攻击手段包括以下几点。
高质量的物资不是采购出来的,是标准规范出来的。标准规范下,物资采购意味着油田需要严把物资本质安全第一关,质量不过关一律“回炉”再造。
(一)拒绝服务(DOS)攻击。DOS攻击属于网络攻击的一种,黑客将误导性指令分发至服务器或网络,暂时或无限期地中断用户服务。攻击者会向目标服务器或主站注入大量的请求,以至于系统超载,这样正常的用户请求就无法得到及时响应。
(二)中间人攻击(MITM)。攻击者在两个合法设备之间插入恶意代码并侦听或拦截设备之间的通信。攻击者通常在两个设备之间插入中继通信,因此,合法设备看起来是直接通信时,其实它们是通过第三方设备通信间接通信[8]。intercepet/alt攻击是另一种类型的MITM攻击。它尝试拦截、更改和修改通过网络传输或存储在特定设备中的数据。例如,为了拦截AMI中网络中的无线通信数据,攻击者使用电磁波干扰无线频率并对其进行拦截。所有这些MITM攻击都试图破坏保密性、完整性。
(三)病毒。病毒是黑客用来感染智能电网中的特定设备或服务的程序。例如蠕虫病毒是一个自我复制程序,它可以在网络中传播并复制自己,感染其它设备。木马病毒是针对特定系统,在后台运行恶意代码的程序。
(四)数据注入攻击。这种攻击也称为“完整性违规攻击”,其目的是通过更改存储在网络设备中的数据,从而破坏智能电网的完整性。例如,执行此攻击可以更改智能电表数据,以减少电费。这种攻击也可针对远程终端单元(RTU),将错误的数据报告给控制中心,从而增加停机时间[9]。一般来说,控制中心的关键步骤之一就是状态估计,它处理和过滤SCADA系统中的原始测量数据,根据每个总线的状态作出相应的响应。电力系统大量的动作都依赖于状态估计的结果,因此能源管理系统(EMS)被恶意信息误导带来的后果可能是灾难性的。
(五)重放攻击。当工业控制信息以纯文本格式传输时,攻击者可能会捕获数据包,注入特定数据包,并将其重播到合法目的地,从而损害通信的完整性。智能电子设备(IED)用于控制与SCADA系统通信的设备[8],它可能会成为重放攻击的目标。重放攻击也可用于改变可编程逻辑控制器(PLC)[2]的行为。例如,在AMI中,智能电表与后台服务之间需要身份验证,重放攻击可以恶意拦截从智能电表发出的身份验证数据包,并在以后的某个时间点重新发送这些数据包,这样就可以获得未经授权的身份验证进入网络,以从事非法活动。
(六)干扰攻击。在干扰信道攻击中,攻击者利用无线网络的共享性质,发送随机或连续的数据流,使信道繁忙,从而阻止合法设备通信[10]。这种攻击会严重降低其性能。
(七)后门攻击。攻击者使用一种特殊类型的攻击来获得对目标的永久访问。后门程序通常具有隐蔽性并且难以检测,其主要目的就是方便以后再次秘密进入或者控制系统[1]。如果攻击者成功地将后门程序嵌入到SCADA控制中心的服务器中,攻击者就可以对系统发起多次攻击,对电力系统造成严重破坏。
智能电网应该有灵活的解决方案来抵御各种网络攻击,保护系统和信息安全。通过将多种技术组合部署到智能电网的每个环节,电网可以拥有由多种技术组成的可靠的网络安全对策。
(一)网络安全防护。通过使用软硬件防火墙与其它监测技术[2]来保护通信网络安全。防火墙是位于内网和外网之间的屏障,它按照系统管理员预先设置的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。但是高级或未知的攻击手段可能绕过许多防火墙,因此,防火墙应与其它安全系统配合使用,如入侵检测系统(IDS)、安全和事件管理系统(SIEM)以及数据丢失防护(DLP)[2,5]。
(二)设备安全防护。设备保护可以通过使用合规性检测来完成。此类工具对所有智能网格组件执行检查,以验证每个设备的配置是最新的,尤其是设备的固件和配置。由于智能电网组件联系高度紧密,一个组件的漏洞可能会使整个系统面临风险,因此合规性检测是至关重要的工具。同时,还可以配合其他几种安全技术使用,例如主机IDS、防病毒和数据丢失防护(DLP)。
(三)数据安全加密。加密系统旨在确保数据的机密性、完整性和不可否认性。密钥加密有两种类型:对称加密和非对称加密。对称密钥加密或单密钥加密中,使用一个密钥对数据进行加密和解密。对称加密最常用的算法是高级加密标准(AES)、三重DES和数据加密标准(DES)。非对称密钥加密或公钥加密使用两个密钥来加密和解密数据:私钥和公钥。公钥可以被广泛传播,而私钥只有所有者知道。任何人都可以使用公钥对信息进行加密,而接收者只能使用自己的私钥解密消息,数字签名算法(DSA)和rist-shamir-adlman(RSA)是典型的非对称加密算法。具体使用哪种加密算法取决于几个因素,包括数据重要程度、响应时间要求和计算能力[11]。在智能电网中,具有不同计算能力的各种组件共存,因此可以组合使用对称加密和非对称加密策略。
(四)DOS攻击检测。DOS攻击是智能电网面临的严重威胁之一,因为它可能导致通信系统和控制系统的故障甚至瘫痪。检测是使用适当的对策来抵御攻击之前的主要工作,主要有如下检测方法。
图2 DOS攻击检测方案的分类
1.基于信号的检测。此检测位于物理mac层。探测器接收并测量信号强度,以检测攻击的发生。
2.基于分组的检测。它不是查看通过网络的所有数据包,而是查看相关网络流量数据包的聚合信,因此减少了要分析的数据量。
3.主动方法。此检测方法主动发送探测数据包,以识别DOS攻击并测试潜在的攻击者的状态。
4.混合方法。该方法设计一种组合方法,将两种或两种以上的方案组合在一起,以保证攻击检测的准确性。
(五)DOS攻击防御。检测到潜在攻击后,可以应用攻击缓解机制来防止网络受到DOS攻击。一般有两种方法:网络层缓解和物理层缓解。
1.网络层缓解。网络层缓解是广泛应用于DOS攻击防御的方法。他的主要功能之一是过滤机制,是通过对比数据包地址和黑名单实现的,以筛选出有问题的请求。
2.物理层缓解。物理层缓解,顾名思义是在物理层防御DOS攻击的手段。该方案包括协同扩频和非协同扩频两种方式。
(1)协同扩频。该方法是一种传统的抗干扰对策,在无线通信领域得到广泛应用。有三种方案,直接序列扩频(DSSS)、调频扩频(FHSS)和线性调频扩频(CSS)。FHSS中的跳跃模式和DSSS中的序列应该严格保密,因为当攻击者获取到协议信息时,这种方案很容易被攻破。
(2)非协同扩频。此方法为每个会话随机创建一个密钥,并防止攻击者获取足够的信息来中断信息传输。这种方法不要求发射机和接收机使用同一个密钥,在分布式情况下,它变得更加可靠。
IDS、防火墙和加密方法等安全解决方案在保护网络安全方面发挥着重要作用。但是,这些策略有许多限制,有些不适用于具有不同响应要求(如延迟和带宽)的分布式环境中[6]。此外,智能电网中有多个逻辑域(生成、传输、分发、市场、客户和服务提供商),不同域的安全要求各不相同。例如,在生成域中,拒绝服务(DOS)攻击需要快速检测,而市场域、客户域或服务提供商域的情况并非如此。此外,传输域需要延迟高效密钥管理,而市场域需要大规模密钥管理[8]。
此外,在智能电网系统中,不同的设备之间通过各种异构的网络协议共存和通信。设备之间的通信需要数据聚合和协议的转换。任意环节的恶意破坏或漏洞,都会导致协议无法正常转换,这也是智能电网中存在的潜在威胁[12]。不可否认的是,智能电网中大多物理设备已过时,这些设备内存空间不足,计算能力有限,因此无法支持高级安全机制。例如,考虑到功耗问题,智能电表的内存和计算资源通常都非常有限,因此它们不能支持随机数生成器和加密加速器。尽管这些组件对智能电网正常运行的影响较小,但如果它们受到威胁,电网的完整性则遭到破坏,可能对电力公司带来巨大经济损失。
将多个安全机制结合起来,可以更有效地阻止攻击,而不是采用简单的安全防御方法或特定的安全技术。组合安全策略是智能电网系统安全领域未来发展的主要方向。
智能电网是一个由分布式异构组件组成的系统,通过集成可再生能源技术,可以更有效率地提供供配电服务。然而,这一系统引入新的网络安全问题。本文对智能电网中的常见的、不同类型的攻击手段进行全面的总结,并针对每种攻击提出了相应的安全对策,该策略由一系列技术组成:通过保护网络、保护设备、加密数据、检测攻击以及防御攻击来保障智能电网的保密性、完整性和可用性。最后提出了当前防御技术面临的挑战,这些挑战主要来自于智能电网本身存在的多元异构网络,组合安全策略是未来发展的主要方向。