钟慧欣,俞洋,张朋伟
(江西交通职业技术学院,江西南昌 330013)
现代电力系统建立在高度集成、网络通信的基础上,打破了传统电力系统的孤岛壁垒,是典型的电力信息物理融合系统(Cyber-Physical System,CPS)[1]。信息技术的融入使得现代电力系统变得智能化,提高了生产运营的效率。然而,由于在通信协议、设备认证、数据网络传输等方面的安全漏洞,电力系统不可避免地暴露在网络攻击(如数据欺骗攻击、拒绝服务攻击等)之下。恶意的网络攻击可能会破坏电力系统的安全经济运行,甚至导致系统崩溃,这会对系统造成无可挽回的巨大损失。因此,电力系统中的网络安全问题非常重要,得到了电力行业和学术界等的重视。
电力信息物理融合系统将计算机技术、通信技术及物联网技术等应用到电力系统中,通过电力、传感、通信及计算等设备的有机结合,使电力系统能够实现高效且可靠的运行。如图1 所示为电力CPS 网络架构,主要由电力网络、信息网络和电力CPS 网络三部分组成。电力网络是指包含各种物理设备(比如电力负载、智能电表、电力生产设备、电力传输设备、储能装置等)的电力系统物理网络,现代电力网络更是多源协同的,除了传统的火力水力发电外还接入了各种新能源,这对电网的调度和安全稳定运行带来了新挑战。信息网络通过各种传感设备、通信设备及计算设备获取电力系统的状态数据、量测数据,还会获取电力系统之外的外部信息比如电价、天气等,同时将这些实时和非实时的数据传输至控制中心,从而能够准确、全面地掌握电力系统生产运行的实时情况。电力CPS 网络则是综合了电力网络和信息网络的一个虚拟网络概念,电力CPS网络中的节点可同时与电力网络和信息网络进行交流[2]。
图1 电力CPS网络架构
与传统电力系统相比,现代电力系统中部署了大量智能仪表设备,这些智能设备采集的海量数据通过通信网络进行快速实时的交换。目前,电力系统所面临的安全问题主要在于电网基础设施安全和网络安全,《美国标准技术研究院(NIST)7628 号报告》指出网络安全三要素分别为保密性(confidentiality)、完整性(integrity)和可用性(availability),简称网络“CIA”安全目标。
目前,电力系统中的网络安全问题一方面来自内部原因,比如员工的网络安全意识不足、公司内部安全管理制度不够规范等;另一方面,日益增多的外部网络攻击已成为电力系统的主要威胁来源。针对电力信息物理系统的网络安全威胁主要可以分为四个方面[3]:攻击者针对计算机系统漏洞进行的入侵破坏、人为的恶意攻击如黑客的攻击和病毒的侵入、日益复杂的网络和系统软件中越来越多的可攻击点和系统安全漏洞、大量Web应用系统部署导致的未加密信息的泄漏。
近年来,电力系统遭受网络攻击的事件时有发生,详见表1。恶意的网络攻击已经造成大范围的停电事件,很多大停电事件发生的起因仅仅是电力系统中某一局部区域的故障,但由于电力CPS的耦合连接最终扩大了停电范围和停电规模[4]。由于电力网和信息网的融合特性,当某一边系统产生微小故障,经耦合连接传播到另一侧系统时,另一侧系统可能会继续将故障迭代传播下去,从而形成级联故障,这会对电力系统的安全稳定经济运行产生严重威胁。
表1 电力行业网络攻击事件
2015年圣诞的前两天,乌克兰国内多个区域的家庭突然发生停电,原因是电力系统遭到了黑客攻击。根据乌克兰停电事故的新闻,电力公司员工被诱导下载了一款恶意软件,很快乌克兰电网公司的能量管理系统被植入了病毒,使主控主机全部瘫痪并与变电站发生断联,从而丧失对相应物理设备的感知与控制能力。而且,病毒通过通信网络在大范围的电力系统进行了传播,使乌克兰电力公司无法与底层的发电站和变电站取得联系,受停电影响的居民也无法联系上电力公司,从而控制中心更加难以做出正确的决策,进而引发了大规模停电[5]。
从这次的乌克兰大规模停电事件可以看出,现代电力系统作为典型的信息物理融合系统,其信息网和电力网相互依存且高度融合,即使电力网是正常状态,若信息网遭遇网络攻击而瘫痪,电力系统同样会受到严重影响。因此,电力系统的安全体系建设既要考虑物理电力网的安全,也要重视信息网的网络安全。
拒绝服务攻击(Denial-of-Service Attack,简称DoS攻击)是一种被称为洪水攻击的网络攻击,攻击者通常抓住各种漏洞向目标系统发送大量不合理的请求,以消耗应用系统的资源和带宽,导致合法用户无法访问,服务中断甚至系统死机。
文献[6]定义了针对网络控制系统的欺骗和拒绝服务攻击。文献[7]阐述了分布式拒绝服务攻击模拟系统设计与实现,由于分布式拒绝服务攻击的特点,决定了其检测和防御的高误报率、低准确性和低时效性;该课题在现有的实验条件下,搭建合适的网络环境来进行分布式拒绝服务攻击的实验模拟,并通过编写流量检测软件,针对在发生攻击时的网络流量进行统计概率学分析,构建数学模型,并将该数学模型用软件实现,编写了一个能够检测分布式拒绝服务攻击的检测软件。文献[8]介绍了CCN 网络对抗已有DoS攻击的方法,并总结了CCN网络中新型DoS攻击的多种特点,尽管新提出的针对CCN网络的DoS攻击防御方法对目前大多数的DoS攻击是有效的,但还是会引出新型的DoS攻击。
重放攻击(Replay Attacks) 也称回放攻击或重播攻击,其攻击手段是截获一个通信会话,并在稍后的时间点重放整个会话或会话的某些部分,目标主机会误认为是正常用户发出的请求,则会给出相应的回复,攻击者从而获得内部信息。
文献[9]从4 个攻击层面即密码协议消息块、块间、步间和协议间,给出了针对不同攻击层面的重放攻击分类。这种分类方法不仅包含了Syverson 的分类,还将重放攻击扩展到了协议层次,给出了各层次可行的重放攻击实施的方式。文献[10]介绍了ASP.net Forms 认证一般性实施方法,分析了Forms 认证的原理,给出重放攻击的原理性实施方法,并对重放攻击得逞的原因进行分析。在此基础上,针对引入更加严密的会话解释,给出了抵御用于会话识别的异源重放攻击的解决方法。文献[11]分析了重放攻击的内因和阻止重放攻击的对策,使用认证测试方法分析了一个更改了的安全协议,分析得出该协议是正确的;另外可以通过认证测试方法的缺陷来定位协议的重放攻击。文献[12]首先从协议层次和攻击层次对密码协议中重放攻击进行分类,然后对重放攻击成功时协议存在的缺陷进行分析,能够更清楚地认识到重放攻击的原理和本质,并给出了重放攻击检测一般方法和防范的策略。
虚假数据注入攻击利用电力系统控制中心中不良数据检测单元的漏洞,通过注入虚假数据到数据采集与监控系统(Supervisory Control And Data Acquisition,SCADA)系统中,从而实现非法目的比如电力系统测量信息和状态信息的篡改、电力系统运行状态的控制甚至取得经济利益[13]。
虚假数据注入攻击是一种针对电力系统状态估计的数据完整性攻击。图2为电力系统中虚假数据注入攻击示意图,虚假数据注入攻击发生的场景有三种[14],分别为:1)攻击者对远程终端采集到的量测信息进行修改;其通过监听通信网络、获取设备后门等安全漏洞得到智能电表、网关等设备的控制权,使得非授权用户对目标进行访问。2)攻击者入侵RTUs与SCADA系统间的通信网络;攻击者利用智能电网通信规约中信息安全技术的不规范或通信协议漏洞,对在网络传输中的量测信息进行恶意修改。3)攻击者入侵SCADA 系统,使控制中心接收到的是精心篡改过的量测数据。虚假数据注入攻击无论以哪种方式发生都能成功绕过传统不良数据检测机制,使控制中心做出错误决策进而达到破坏智能电网安全稳定运行的目的。
图2 电力系统中虚假数据注入攻击示意图
文献[15]重点对虚假数据注入攻击下的攻击模式进行讨论,研究对电压、电流互感器输出的采样序列成功实施不可观测攻击的条件以及最小攻击代价。研究结果表明了互感器的配置冗余度及合理性在防御攻击方面的重要性,为制定量测保护策略奠定了基础。文献[16]构立了最小攻击向量的数学模型,约束条件为电力系统中特定的状态信息和部分量测信息难以被篡改。文献[17]在此基础上,建立了多个状态信息被攻击的数学模型。文献[18]指出由于控制中的保护措施,攻击者往往只能得到电网的部分参数,如局部的拓扑结构和输电线路参数。然而,攻击者在获取部分电网参数条件下也能实施虚假数据注入攻击。文献[19]提出了基于电力系统状态估计的虚假数据注入攻击构造方法,并指出通过该方法修改指定智能电表的测量数据,能够导致错误的状态估计结果,并躲过基于残差的不良数据检测单元,从而对电力系统的安全稳定运行造成影响。
电力CPS 通过网络通信技术实现了整个电网能量流和信息流的频繁交互,从而能够提供更加经济、可靠、可持续的电力服务。而物理电力网和信息网的深度融合得益于大量带有网络通信功能的智能仪表设备的部署,这些智能设备采集的海量数据通过网络传送到控制中心,控制中心的核心组成部分能量管理系统则根据状态估计器得到的智能电网运行状态实时发出指令,保证电网正常运行。然而,这些智能设备大多数暴露在一个未加密的网络环境下,使得采集到的海量数据极易受到网络攻击(如拒绝服务攻击、重放攻击和虚假数据注入攻击)。因此,研究电力系统中各种网络攻击是必要的,能为设计出针对网络攻击的抵御策略做铺垫。