劉廣生1,張松清2
(1.廣東電網(wǎng)有限責任公司韶關供電局,廣東 韶關 512027;2.中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京 100083)
摘要:智能電網(wǎng)是電網(wǎng)和現(xiàn)代信息技術融合于一體的新型電網(wǎng), 已成為解決21世紀全球能源問題的新戰(zhàn)略。智能電網(wǎng)信息安全在整個電網(wǎng)通信網(wǎng)絡中的重要性越來越突出,需要更多相關研究來制定標準以及開發(fā)相應技術來滿足智能電網(wǎng)信息安全需要。介紹了智能電網(wǎng)信息的特點、國內外發(fā)展現(xiàn)狀以及最新的電網(wǎng)信息安全事件,總結了智能電網(wǎng)面臨的安全威脅,對國家為保證智能電網(wǎng)信息安全制定的相關政策法規(guī)給出了說明,最后提出了應對智能電網(wǎng)信息安全威脅的具體防護措施。
關鍵詞:智能電網(wǎng);信息安全;威脅;防護措施
中圖分類號:TP309文獻標識碼:ADOI: 10.19358/j.issn.1674-7720.2017.05.003
引用格式:劉廣生,張松清.智能電網(wǎng)信息安全威脅及對策分析[J].微型機與應用,2017,36(5):8-10.
0引言
電力資源是國家能源的重要組成部分,能夠保障社會經(jīng)濟穩(wěn)定發(fā)展。全球范圍內的絕大多數(shù)國家都對智能電網(wǎng)這一全新的電能供給模式進行了探索。智能電網(wǎng)可以減少不必要的浪費,實現(xiàn)用戶高效用電,同時智能電網(wǎng)信息安全充滿挑戰(zhàn),為預防重大安全事故的發(fā)生,需要積極尋求智能電網(wǎng)信息安全防護措施。
1智能電網(wǎng)介紹
1.1概念及特點
目前,智能電網(wǎng)已成為世界各國爭相研究的熱點,尚沒有統(tǒng)一的定義。國家電網(wǎng)中國電力科學研究院對智能電網(wǎng)[1]的定義為“以物理電網(wǎng)為基礎(中國的智能電網(wǎng)是以特高壓電網(wǎng)為骨干網(wǎng)架、各電壓等級電網(wǎng)協(xié)調發(fā)展的堅強電網(wǎng)為基礎),將現(xiàn)代先進的傳感測量技術、通訊技術、信息技術、計算機技術和控制技術與物理電網(wǎng)高度集成而形成的新型電網(wǎng)”。
智能電網(wǎng)用以解決目前電力供應中遇到的問題,能夠充分利用狀態(tài)估計等技術來提升故障檢測能力,在無技術人員干預的情況下實現(xiàn)自我恢復。通過負載均衡技術降低用電高峰時出現(xiàn)的問題,合理安排發(fā)電機的使用,使用智能電表等智能設備采集數(shù)據(jù)調整用電價格從而降低用電高峰時的峰值。允許使用更多的可再生資源,如太陽能、風能等,而不需要考慮能量儲存的問題。
1.2國內外發(fā)展應用
在美國、日本等發(fā)達國家,智能電網(wǎng)戰(zhàn)略己成為國家重要戰(zhàn)略。美國智能電網(wǎng)發(fā)展分3個階段進行戰(zhàn)略推進,即“戰(zhàn)略規(guī)劃研究+立法保障+政府主導推進”的發(fā)展模式。歐洲的智能電網(wǎng)以支撐可再生能源以及分布式能源的靈活接入為目標,向用戶提供雙向互動的信息交流等功能。日本在2010年后由經(jīng)產(chǎn)省和超過500家企業(yè)以及團體成立官民協(xié)議會——“智能電網(wǎng)聯(lián)盟”。
隨著我國電力體制改革和特高壓電網(wǎng)建設的不斷深化,智能電網(wǎng)也將成為我國電網(wǎng)發(fā)展的一個新方向。目前,國家電網(wǎng)公司已建成包括智能變電站、智能充換電網(wǎng)絡、智能用電采集系統(tǒng)、多端柔性直流等一批先進的智能電網(wǎng)創(chuàng)新工程。截止2015年,國家電網(wǎng)公司累計建成投運智能電網(wǎng)試點項目342項。
1.3信息安全
近年來,國家電網(wǎng)公司大力推進電力通信、SG186工程和特高壓電網(wǎng)等建設,信息化企業(yè)、數(shù)字化電網(wǎng)的藍圖逐步實現(xiàn),為智能電網(wǎng)建設奠定了扎實的基礎。隨著我國智能電網(wǎng)的建設,信息安全問題越來越突出,繼電保護、電網(wǎng)調度自動化和安全裝置、變電站自動化、發(fā)電廠控制自動化、配網(wǎng)自動化、電力市場交易、電力負荷控制、電力用戶信息采集、智能用電等多個領域均可能面臨信息安全的威脅。
2智能電網(wǎng)信息安全威脅
大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)和軟件定義網(wǎng)絡、寬帶無線等信息通信技術的應用,使得智能電網(wǎng)面臨病毒、木馬、系統(tǒng)漏洞、拒絕服務等網(wǎng)絡攻擊,對原先以物理防護為主的電網(wǎng)安全防護體系帶來了挑戰(zhàn)。
2.1信息安全事件
2015年12月23日, 烏克蘭電網(wǎng)遭遇突發(fā)停電事故, 引起烏克蘭西部地區(qū)約70萬戶居民家中停電數(shù)小時。事后達拉斯信息安全公司iSight Partners的研究人員表示, 這是由BlackEnergy(黑暗力量)惡意軟件/代碼導致的破壞性事件[2]。2016年12月17日,烏克蘭基輔北部330 kV變電所發(fā)生停機,導致基輔地區(qū)大面積停電。
在CyberTech 2016大會上, 以色列能源與水力基礎設施部部長披露稱,以色列電力局在2016年1月25日遭受了一次嚴重的網(wǎng)絡攻擊。事發(fā)后以色列當局被迫對電力設施中被感染的計算機進行了關閉。
2016年12月初,有媒體[3]報道國家電網(wǎng)旗下兩款APP電e寶、掌上電力出現(xiàn)數(shù)據(jù)泄露,已經(jīng)涉及超過千萬級用戶規(guī)模,部分數(shù)據(jù)可能已流入黑產(chǎn)。對此,國家電網(wǎng)已于12月13日夜間回應,并不存在數(shù)據(jù)泄漏事件。
2.2安全威脅
智能電網(wǎng)是一個復雜的系統(tǒng),本身存在很多脆弱性,容易受到多種類型的攻擊。智能電網(wǎng)信息安全面臨以下幾個方面的威脅和挑戰(zhàn)[4]:
(1)智能儀表等基礎設施攻擊
①物理儀表攻擊:儀表可能會被黑客訪問內存數(shù)據(jù)而直接被攻擊,進而讀取診斷端口等其他網(wǎng)絡接口。黑客可以通過購買一些硬件類的工具或者開源軟件工具實施攻擊。
?、诰W(wǎng)絡接入點(Network Access Node,NAN)嗅探和竊聽:NAN嗅探通過破解網(wǎng)絡加密來捕獲智能儀表的數(shù)據(jù),從而使攻擊者可以獲知智能儀表中使用的網(wǎng)絡通信協(xié)議;竊聽攻擊則可以獲得對方儀表中的保密性文檔。
?、鄹蓴_和訪問限制:干擾攻擊多通過無線的噪音數(shù)據(jù)阻止儀表與正常的公用事業(yè)公司進行通信;限制訪問攻擊則在MAC層中斷儀表運行。
?、苣茉幢I竊攻擊:攻擊者可以修改儀表中過去或現(xiàn)在記錄的數(shù)據(jù),從而進行能源盜竊。
(2)控制器及監(jiān)視器攻擊
工業(yè)網(wǎng)絡協(xié)議包括DNP3、Modbus、PROFIBUS以及CIP(Common Industrial Protocol)等。這些協(xié)議都符合設備通信的主從(masterslave)模型。許多協(xié)議缺少認證機制并且沒有加密措施,使得使用現(xiàn)場總線協(xié)議的系統(tǒng)容易受到各種類型的攻擊,包括:發(fā)送非法數(shù)據(jù)包導致協(xié)議解析失??;一些協(xié)議命令可以使從設備強制停機或者重啟而擾亂正常的工序;某些代碼可以對數(shù)據(jù)進行修改。
(3)網(wǎng)絡安全
?、俜欠ㄆ平夤簦汗粽呖梢酝ㄟ^獲取網(wǎng)絡數(shù)據(jù)包中的物理幀進行大量存儲,以至于能夠通過合適的算法對加密密鑰進行破解。
?、谄垓_攻擊:通過冒充儀表在網(wǎng)絡中的身份進行攻擊,這是由于一些設備并不能及時對儀表的更新信息進行驗證。
③中間人攻擊:攻擊方將自身連接到通信的設備之間進而獲取到它們之間的網(wǎng)絡流量,復雜的中間人攻擊可以通過傳遞假的加密密鑰而進行解密。
?、芫芙^服務(Denial of Service,DoS)攻擊:這種攻擊試圖通過耗盡電網(wǎng)網(wǎng)絡的計算資源,阻斷正常的通信來影響正常的設備運行,從而使它不能提供電力服務而達到破壞的目的。
(4)數(shù)據(jù)安全
?、儆脩綦[私:智能電網(wǎng)中智能儀表的引入給用戶的隱私帶來了很大的隱患。智能儀表不僅可以獲取用戶的用電量,也可能泄露用戶重要的隱私數(shù)據(jù)。攻擊者利用這些信息可以推斷出用戶的日?;顒印?/p>
?、趷阂鈹?shù)據(jù)注入:攻擊者一旦獲取訪問權限,通過發(fā)送大量偽造的數(shù)據(jù)和指令而使得受害方的資源消失殆盡。
(5)軟件脆弱性
軟件可能會遭受包括惡意軟件、病毒等多種類型的攻擊,電力SCADA系統(tǒng)由多種通用的技術組成,這都可能導致系統(tǒng)的脆弱性。
3應對措施及依據(jù)
3.1政策法規(guī)
國家、行業(yè)主管部門及國家電網(wǎng)公司一直以來高度重視網(wǎng)絡與信息安全工作,陸續(xù)頒布實施了《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(2014第14號令)、國能安全[2014]318號文《電力行業(yè)信息安全等級保護管理辦法》等規(guī)章制度,構建了較完整的電力行業(yè)網(wǎng)絡與信息安全法規(guī)體系,進一步明確了電網(wǎng)信息安全的重要性。
《電力發(fā)展“十三五”規(guī)劃》對智能電網(wǎng)的信息安全建設提出了要求?!赌茉醇夹g創(chuàng)新“十三五”規(guī)劃》中涉及智能電網(wǎng)的集中攻關類任務有兩項,分別是智能電網(wǎng)信息采集及通信技術和智能電網(wǎng)信息安全自主化關鍵技術研究。
2016年10月,工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護指南》,從11個方面對工控安全防護提出了要求。2016年11月7日通過的《網(wǎng)絡安全法》將關鍵信息基礎設施安全保護制度確立為國家網(wǎng)絡空間基本制度,并為關鍵信息基礎設施安全保護搭建了制度框架,電力系統(tǒng)是重要的關鍵基礎設施行業(yè)之一。
3.2應對措施
智能電網(wǎng)信息安全是一個重要課題,已經(jīng)引起研究者和工業(yè)領域專家們的重視。針對智能電網(wǎng)信息安全中存在的問題,依據(jù)國家相關的政策法規(guī),制定以下智能電網(wǎng)信息安全防護措施[4]:
(1)基礎設施保護
?、倌茉幢I竊偵測:將消費者使用的電量等數(shù)據(jù)使用其他形式的數(shù)據(jù)表示,使得攻擊者無法準確地對電量進行修改。
?、谑褂秒[私保護儀表:智能電網(wǎng)的信息網(wǎng)絡中經(jīng)常會傳輸用戶的私密數(shù)據(jù),如用戶身份、地理位置、相關的電子設備以及用電量等。為保護這些數(shù)據(jù)不被竊取,智能儀表傳輸數(shù)據(jù)時采用安全信道,限制用戶計費信息傳輸來保護用戶隱私。
(2)電網(wǎng) SCADA系統(tǒng)防護
使用現(xiàn)場取證技術,在不關閉SCADA系統(tǒng)的情況下進行實時檢測,對SCADA系統(tǒng)的大數(shù)據(jù)進行分析。使用白名單技術對工業(yè)協(xié)議進行過濾,從而阻止可疑的網(wǎng)絡流量。安裝入侵檢測/防御系統(tǒng),對網(wǎng)絡數(shù)據(jù)包進行檢測、解析,對日志文件進行分析。使用機器學習的技術對未知攻擊進行檢測和防御。
(3)網(wǎng)絡安全措施
?、賾獙oS攻擊:應對電網(wǎng)網(wǎng)絡的DoS攻擊可以采用DoS攻擊檢測及緩解措施??梢酝ㄟ^數(shù)據(jù)包的內容、攻擊特征、信號強度、傳輸失敗數(shù)以及其他屬性對DoS攻擊進行檢測。一旦檢測到DoS攻擊,智能電網(wǎng)應能夠采用相應措施保護各網(wǎng)絡節(jié)點,降低系統(tǒng)故障時間。DoS緩解技術通常部署在網(wǎng)絡層和物理層。
?、趹獙ψ⑷爰捌垓_攻擊:進行嚴格的認證機制,將TLS、SSL等協(xié)議與SHA、HMAC等加密技術進行配合使用,從而對網(wǎng)絡通信信道數(shù)據(jù)進行校驗。使用動態(tài)密鑰管理,定期對數(shù)據(jù)流中的密鑰進行更新。
?、蹜獙Ψ欠ㄆ平猓簯獙﹄姶殴艉凸姆治龉糇畛S玫姆椒ㄊ菧p少設備能量消費量與儀表中數(shù)據(jù)之間的關系。
?、苁褂镁W(wǎng)絡安全協(xié)議:智能電網(wǎng)系統(tǒng)需要使用更合適的協(xié)議和標準,包括安全的DNP3協(xié)議、IEC61850 以及IEC62351。這些協(xié)議對智能電網(wǎng)通信協(xié)議進行了修改,加入了安全層的實現(xiàn)。
(4)數(shù)據(jù)安全保護措施
采用密碼學技術以及算法對數(shù)據(jù)進行加密,從而保障通信安全,保護用戶的信息,對用戶進行驗證來防止數(shù)據(jù)完整性攻擊。在電網(wǎng)網(wǎng)絡中可以采用對稱密鑰加密和公用密鑰加密。公用密鑰加密已經(jīng)成為認證機構將公共密鑰和用戶身份進行綁定的標準。使用對稱密鑰管理則具有速度快、效率高的特點。
(5)軟件保護措施
在智能電網(wǎng)系統(tǒng)中部署殺毒軟件以及防間諜軟件,從而對惡意軟件進行檢測和移除。為保護系統(tǒng)免受已知威脅的攻擊,及時進行補丁升級。
4結論
智能電網(wǎng)信息安全已成為相關研究人員以及工業(yè)領域專家們關注的熱點。本文對智能電網(wǎng)信息安全威脅進行了總結和概述,最后依據(jù)國家政策法規(guī)提出了應對智能電網(wǎng)信息安全威脅的保護措施。智能電網(wǎng)信息安全仍處在研究階段,還需要更多的探索和實踐來應對智能電網(wǎng)的威脅和脆弱性。
參考文獻
[1] 王萍, 何夢雪. 淺談云計算對智能電網(wǎng)的推動力[J]. 中國新通信, 2015(7):9.
?。?] 李中偉, 佟為明, 金顯吉. 智能電網(wǎng)信息安全防御體系與信息安全測試系統(tǒng)構建 烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡攻擊事件的思考與啟示[J]. 電力系統(tǒng)自動化, 2016, 40(8):147-151.
[3] 陳寶亮. 國家電網(wǎng)APP出現(xiàn)數(shù)據(jù)泄露 涉及用戶已超千萬[EB/OL]. (20161213)[2017-01-31].http://finance.21cn.com/news/cjyw/a/2016/1213/14/31778086.shtml.
?。?] LOPEZ C, SARGOLZAEI A, SANTANA H, et al. Smart grid cyber security: an overview of threats and countermeasures[J]. Journal of Power & Energy Engineering, 2015, 9(7):632-647.