Authors:汤奕等。
引言
针对电力系统的网络攻击具有 隐蔽性强、潜伏时间长、攻击代价小 的特点,它不是直接攻击系统一次设备,而是通过削弱甚至完全破坏二次系统的正常功能,达到类似于物理攻击的效果,对系统的安全稳定、经济运行、社会安定造成严重影响。
在一次系统发生故障时,若继电保护装置、SCADA/EMS/WAMS等二次系统的通信网络发生故障或受到恶意攻击,出现信息中断、延时、篡改等情况,极可能导致控制中心发达错误指令、决策单元误动或退出运行等电力一次系统的故障,从而引发一次电力系统的振荡和大范围停电事故。
乌克兰大停电事故就是一起电力二次系统遭遇网络攻击后引发一次系统故障的典型案例。
2015年12月23日,乌克兰电网遭受网络攻击,SCADA系统受到重创,乌克兰西部地区约70万户居民家中停电数小时,该事件被认为是第一例网络攻击造成的大停电事件[32]。经调查,本次乌克兰电网攻击事件的主导是部分配电单位出现了BlackEnergy恶意软件系列的新变体 BlackEnergyLite,以 及KillDisk清除组件和安全外壳协议(SSH)后门。
本次针对电力网络的攻击属于鱼叉式网络钓鱼类型,以含有恶意宏的Microsoft Office文件为载体进行攻击,具体攻击流程如图2所示。
攻击者向被攻击者发送包含恶意宏文件的邮件;当受攻击者运行了文件中的宏,就会被BlackEnergy木马感染。该木马为KillDisk组件提供后门,而后者会损坏或改写受侵入计算机上存储的文件,导致操作系统无法启动。
本次攻击中的KillDisk组件被设置了延时启动,降低其破坏性操作被发现的可能;同时删除了含有系统应用、安全和设置信息的Windows事件日志,增加了查杀难度[35]。启动后的KillDisk 会终止两个分属工业控制系统(ICS)常用软件平台ASEM Ubiquity 和ELTIMA连接以太网串口的非标准进程,并用随机数据重写相关的可执行文件,加大系统恢复难度[36]。其入侵后执行流程如图3所示。
此次攻击还采用了一种新的网络攻击方式,即SSH后门服务器(SSH backdoor)攻击。这个被称为Dropbear SSH的SSH服务器看似合法,却会允许某个特定端口的连接,使攻击者可随时进入系统进行攻击。
以中国电网三道防线为代表的电力系统安全稳定控制体系已经考虑各种电网故障情况下的控制对策,但值得探讨的是,虽然中国实行“安全分区、网络专用、横向隔离、纵向认证”原则的电力通信体系在网络架构上安全性较高,但在电力 CPS环境下,信息攻击者依然可以通过注入虚假信息(例如新能源预测信息、电力市场信息等外部信息)等方式,达到攻击电网的目的。这一新的攻击形式与传统电网遭受“N-1”或“N-2”故障引发对电网安全稳定运行的影响可能存在机理和控制手段上的差异。
电力CPS概述
电力CPS 是一个充分融合 电力系统物理网络和信息网络的多维异构系统,通过传感设备、物理设备、计算设备和通信设备等的相互协同,实现电力系统整体运行性能的最优化。
电力CPS架构主要有 多源电力网络、多元信息网络和电力CPS网络三个部分。
电力CPS网络 是整合多源电力网络和多元信息网络的一个虚拟网络概念。它的每个节点由信息网络和电力网络中的对应节点映射得到,节点可同时与多源电力网络、多元信息网络进行实时交互,通过信息设备实时感知并处理能量流/信息流数据。
电力流交互是对物理网络连续过程的描述,信息流交互则是以离散化数据结构为基础的计算机科学。
传统电力系统分析与控制方法基本是将两者割裂开的,电力CPS网络理论和控制方法 必须能融合电力网络和信息网络,准确反映这种连续性和离散性并存的特点。
电力CPS网络攻击内涵
网络安全三要素:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability),简称“CIA”。
电力CPS网络攻击定义为:以破坏or降低电力CPS功能为目的,在未经允许的情况下,对通信系统和控制系统的行为进行追踪,利用电力信息通信网络存在的漏洞和安全缺陷,对系统本身或资源进行攻击。
电力CPS功能:
- 实现全系统状态感知 系统运行信息、装置信息以及外部信息。
- 满足装置“即插即用” 兼容多种通信协议、信息模型。
实现集中控制与局部自治 应用分布式协同控制技术,实现系统集中控制与局部自治的有机结合,就地协调分布式电源处理,用户智能需求响应,故障就地快速自愈等应用功能,形成“源-网-荷”友好互动的“集中式-分布式”协同。
电力CPS网络攻击分类
主要按 通信网络覆盖范围、网络攻击目的和攻击应用场景进行分类。