泛在电力物联网环境下网络安全攻击研究

王海峰，李朝阳，吕政权，陈怡君，彭道刚

（1.国网上海市电力公司培训中心，上海 200438；2.上海电力大学 自动化工程学院，上海 200090）

0 引言

泛在电力物联网围绕电力系统各环节，充分应用人工智能、移动互联等先进通信技术和现代信息技术，实现电力系统各环节万物互联与人机交互。其智慧服务系统应用便捷灵活、信息处理高效、特征状态感知全面。随着智能电网建设的持续发展，电力系统的自动化程度总体处于较高水平，其传感器数量、信息网络规模和决策单元数量都大大增加[1]。和现行的电力系统相比，泛在电力物联网的突出优势在于利用大量传感器和新一代电力通信网，从而实现全过程的全景全息感知。

如今的电力行业已逐步进入新型数字化全面互联时代，电力信息网络在整个电力系统中扮演着重要的角色，同现代网络技术一样，也向着多样化、复杂化、综合化发展。2010年9月爆发的伊朗核设施震网（Stuxnet）病毒入侵事件，使基础设施网络安全建设被世界各国提上日程。在我国，随着《网络安全法》的颁布以及《电力监控系统网络安全防护导则》《电力信息系统安全等级保护实施指南》相关标准的实施，标志着我国已从法律的高度对待工业控制系统安全，尤其是信息安全部分。分析泛在电力物联网中的网络攻击，对加强电网稳定运行、提高故障应急响应能力、预测安全态势发展趋势等方面都有显著帮助。

目前，国内外关于泛在电力物联网网络攻击方面的研究可参考资料较少，其中有关电力物理信息系统的研究与泛在电力物联网有部分重叠之处。隐私、授权、验证、访问控制、系统配置、信息存储和管理等安全问题是物联网环境中的主要挑战[2]，例如，以各式智能设备构筑的感知层因其面广、量大的特点，受到网络攻击的风险较高，带来的影响轻则中断服务，严重的甚至损害关键基础设施信息安全。电力系统安全稳定的三道防线和“安全分区、网络专业、横向隔离、纵向认证”的安全防护原则已逐渐不能适应网络攻击这种新型攻击模式，固有的电网“N-1”标准也不能满足信息攻击的诸多场景[3]。物联网的发展很大程度上取决于安全问题的解决[4]，本文阐述了泛在电力物联网的有关概念并搭建体系架构，通过委内瑞拉大停电事例分析恶意网络攻击过程，总结泛在电力物联网环境下网络攻击的分类、应用场景、防护体系和未来可研究方向，为电网更安全的运行、更精益的管理、更精准的投资、更优质的服务开辟出一条新路。

1 泛在电力物联网概述

1995年，比尔盖茨的著作《未来之路》初次给出有关物联网的概念。IoT（物联网）即“万物相连的互联网”，是在互联网基础上的延伸和扩展，将各种信息传感设备与互联网结合起来而形成的一个巨大网络，实现在任何地点、任何时间，人、机、物的互联互通[5]。2004年，日本政府推出“u-Japan”国家信息化战略，使之成为首个利用“泛在（Ubiquitous）”一词刻画信息科技革命，并建立无所不在数字互联社会的国家[6]。然而，传统的泛在网及物联网主要运用于家居、交通、通信产业以及公共安全方面，并没有引入到电力系统领域。

面对更高要求的社会供电以及电网企业经营两方面巨大挑战，2019年1月17日，国家电网有限公司董事长寇伟在第三届职工代表大会上作了关于《守正创新担当作为奋力开创世界一流能源互联网企业建设新局面》的主题报告[7]，创造性地提出“三型两网、世界一流”的战略目标以及“一个引领、三个变革”的战略路径，加快建设世界一流的互联网企业。在电力系统的发电、输电、变电、配电、用电和调度6个基本方面，全方位部署智能终端信息收集器（传感器、RFID等），智能化精准运检，提高边缘计算，综合能源管理。典型泛在电力物联网的框架结构如图1所示[8-9]。感知层主要解决数据的采集问题，包括现场采集部件、智能业务终端、本地通信接入和边缘物联代理，实现终端标准化统一接入。网络层主要解决数据的传输问题，内容包括接入网、骨干网、业务网以及支撑网，网络间互相融合与拓展，响应更高服务质量要求。平台层主要解决数据的管理问题，建设一体化“国网云”平台、企业中台、物联管理中心、全业务统一数据中心，解决数据存储、检索、使用、挖掘和防止机密信息泄露等问题。应用层主要解决数据的价值创造问题，包括对内业务和对外业务，实现业务协同和数据贯通，保证电网稳定运行，打造智慧能源互联网产业集群与生态圈。

图1 泛在电力物联网体系架构

2 电力系统网络攻击实例分析

自21世纪以来，国内外电力监控系统网络安全事件频发，如表1所示。传统的基础设施物理破坏逐渐被网络的入侵攻击手段所代替，信息系统的瘫痪也能对电力系统造成堪比物理设施损坏甚至更加恶劣的影响和威胁。针对电力系统脆弱性的攻击一旦生效，很可能对经济和社会造成灾难性后果。美国能源局于2018年举行了代号为“自由日蚀”的网络攻击断电演习[10]，旨在测试并提升电力系统从网络攻击造成的损失中恢复的能力。中国南方电网有限责任公司也于今年开展网络攻防演习[11]，目标是在真实生产环境中进行实时态势感知，及时做出应急响应。

表1 网络攻击破坏电力系统实际案例

2019年3月7日，包括首都加拉加斯在内，委内瑞拉一度同时有20个州大面积停电超24 h[2]，2019年3月8日凌晨，各州陆续恢复供电。2019年4月11日，全国第二次大面积停电。委内瑞拉国家总人口量约为3 085万，整体发电量约为117 000 GWh，造成停电事故的主要原因是发电量占全国用电量近四成的古里水电站遭受网络攻击进而发生故障。依据网络入侵攻击的前后背景、结果及相关报道，结合文献[19]给出的分析方法，能够推演委内瑞拉电力系统遭受攻击的全过程，如图2所示。需要指出的是，本文所展示的演化过程是综合多方面资料的可能性推测，图2中的基础设施架构和信息仅表示实例效果，并不绝对与委内瑞拉电网的实际情况一一对应。

通过攻击1，攻击者预先植入恶意代码，在设备采购的供应链环节植入震网病毒变体，适时诱导病毒发作；通过电子战飞机攻开WiFi密码，然后以此为入口，进行目标渗透，致使失去对绝大部分变电站的监测及控制，进而达到图2（b）所示的状态，此时，古里水电站的计算机系统中枢和加拉加斯控制中枢严重受损。通过攻击2和3，电磁网络炸弹发挥作用，通过向电力系统注入无线病毒枪，对网络化控制系统进行接管，出现短路跳闸类似的事故或制造巨大过载，对硬件设施予以摧毁，进而达到图2（c）所示的状态。攻击者通过移动设备中断和逆转恢复过程，截获水电站自动控制系统部分涡轮机访问权限和监控界面，利用对阀门开关的控制，修改监控界面显示，以此欺骗工程师，最终造成停电事故。另外，对相关服务实施的拒绝服务攻击，也很大程度上拖延了事故抢救时间。Alto Prado变电站遭受的物理损坏，更加剧了委内瑞拉整体电力系统瘫痪的程度。通过攻击4，攻击者通过修改日志、替换系统文件隐藏作案痕迹；留下后门，等待下一次攻击机会，最终达到如图2（d）所示的状态，并采取相应手段间接阻碍自动控制系统，无法快速恢复功能。理论上，实现对这一系列攻击步骤不仅需要充足的职业知识和背景，还必须对电力系统内部的运行特性和业务流程也十分熟悉。

图2 委内瑞拉电力系统受网络攻击影响过程

由以上分析过程可知，针对性的网络攻击能够按照攻击者制定的攻击路线发展，从而最大化入侵破坏的效果，每一步攻击策略紧密联系，相互支持，相互影响，直至大范围停电目标的达成。可以认为，以基础设施为攻击对象的该类攻击基本可以概括为泛在电力物联网环境下的通用攻击模式，深入研究该模式，能够进一步衍生出电力事故应急推演方案和策略设计。

3 泛在电力物联网下网络攻击内涵

3.1 网络安全概念

泛在电力物联网中，无处不在的设备产生的信息要么存储在设备本身（如服务器、智能手机等），被称为静止数据；要么通过网络传输，被称为动态数据。为了保护静止和动态数据，《美国标准技术研究院（NIST）7628号报告》认为信息安全三要素分别为保密性、完整性和可用性，简称网络“CIA”安全目标[20]。宏观上说，网络攻击可以是任意以“CIA”安全要素受损为目标的恶意攻击手段[3]。本文梳理网络攻击在泛在电力物联网环境下的内涵：通过电力系统固有安全性缺陷与漏洞，在未经授权的情况下对智能通信设备和自动控制系统的数据进行窃取，以破坏、揭露和修改泛在电力物联网功能为目的，对系统本身、基础设施或服务进行攻击。

3.2 网络攻击分类

泛在电力物联网强调全息感知、泛在连接、开放共享、融合创新，对应它的四层结构，旨在全面实现业务协同、基本实现数据贯通和初步实现统一物联管理。泛在电力物联网环境下网络攻击按对象分类可以从感知层、网络层、平台层及应用层四方面来阐述。每一层都提供自己的专业技术支持，这是其他层都无法替代的，泛在电力物联网必须通过保护所有层面以保障整个系统的安全稳定运行[21-22]。本文提出基于分层的泛在电力物联网安全方法，如图3所示。

在泛在电力物联网环境下，按照AMI（高级计量）系统网络架构，根据信号传输速率和覆盖范围，可将网络攻击分为WAN（广域网络）攻击、FAN（区域网络）攻击和IAN（工业区域网络）攻击[23]。各种攻击类型特点如表2所示。区别于传统IT安全需求的CIA特性，电力系统对数据传输的延时性和可靠性有较高的要求，而对网络的吞吐量并没有特殊的要求。因此，泛在电力物联网中对可用性的安全需求要高于完整性和保密性[24]。基于网络攻击的宏观定义，以破坏网络可用性、完整性、保密性为攻击目标，以攻击者的视觉考虑，总结了由于其破坏而造成的相应影响及相关攻击手段，如表3所示。

图3 泛在电力物联网的网络安全分类

表2 按AMI系统层次架构分类

表3 按攻击目标的网络攻击分类

4 泛在电力物联网攻击场景与防护

4.1 网络攻击应用场景

泛在电力物联网中涉及网络安全的典型应用场合总体上可分为控制和采集两大类。其中控制类包含分布式能源调控、用电符合需求侧响应、智能分布式配电自动化；采集类主要包括智能电网大视频应用、高级计量。本节拟结合上述应用场景，根据电力系统发、输、变、配、用户侧和调度6个环节，对可能发生网络攻击的具体场景进行归纳与总结[26-28]，如表4所示。

表4 电力系统各环节的攻击场景

4.2 安全防护体系架构

泛在电力物联网是对现有电网业务的提升、完善和创新拓展，相应的网络安全防护也应基于现有防护体系进一步优化、加强和发展，以满足泛在电力物联网新的防护需求。对应泛在电力物联网的架构，从感知层、网络层、平台层和应用层4个层面考虑，按照《泛在电力物联网建设大纲》要求，构建与电力公司“三型两网”相适应的全层次安全防护体系，开展可信互联、安全互动、智能防御相关技术的研究及应用，为各类物联网业务做好全环节安全服务保障。填补传统电网防护缺陷，动态感知安全态势，及时响应各类处置措施，确保公司网络安全稳定运行。全层次的网络安全防护体系总体架构如图4所示[25]。

图4 全层次网络安全防护体系总体架构

5 结语

电力系统运行的安全稳定与社会生产生活休戚与共。泛在电力物联网的发展面临信息安全失效的潜在风险，网络攻击的对象和目的已经分别转向关键基础设施和获取政治利益。端到端物联网安全体系、数据安全、移动互联安全、物联终端安全等都是网络信息安全建设中的关键技术。本文以委内瑞拉停电事故为例，讨论了针对泛在电力物联网网络攻击可能的通用事故模式、攻击分类以及应用场景。未来围绕泛在电力物联网网络攻击可研究的方向着重应包含以下几点：

（1）建立网络测绘数据处理系统，对我国电力行业相关的关键基础设施进行全方位的网络测绘，自动普查智能设备标签化管理，实时动态分析威胁存在，精准量化评估电网整体风险，多维度展现网络空间可视化。

（2）建立面向电力工业的威胁态势感知系统，完善安全风险知识库，结合5G通信技术和AI实现真正的人机交互。自动分析事件的起源和目标设备、匹配规则，能够按照策略管理要求对设备划分安全域分别管理。

（3）建立泛在电力物联网网络安全仿真模型，考虑将电力安全突发事件与数据库中完整应急情景链结合，设计加入电力系统元件、情景的推演系统框架。

（4）建立国家级响应机制。针对国家信息资源进行网络攻击的侦测、预警及后果消除机制，及时传送有关信息到应急部门，最后汇总至国家计算机事故协调中心，最小化网络攻击造成的伤害。