泛在電力物聯網環境下網絡安全攻擊研究

王海峰，李朝陽，呂政權，陳怡君，彭道剛

（1.國網上海市電力公司培訓中心，上海 200438；2.上海電力大學 自動化工程學院，上海 200090）

0 引言

泛在電力物聯網圍繞電力系統各環節，充分應用人工智能、移動互聯等先進通信技術和現代信息技術，實現電力系統各環節萬物互聯與人機交互。其智慧服務系統應用便捷靈活、信息處理高效、特征狀態感知全面。隨著智能電網建設的持續發展，電力系統的自動化程度總體處于較高水平，其傳感器數量、信息網絡規模和決策單元數量都大大增加[1]。和現行的電力系統相比，泛在電力物聯網的突出優勢在于利用大量傳感器和新一代電力通信網，從而實現全過程的全景全息感知。

如今的電力行業已逐步進入新型數字化全面互聯時代，電力信息網絡在整個電力系統中扮演著重要的角色，同現代網絡技術一樣，也向著多樣化、復雜化、綜合化發展。2010年9月爆發的伊朗核設施震網（Stuxnet）病毒入侵事件，使基礎設施網絡安全建設被世界各國提上日程。在我國，隨著《網絡安全法》的頒布以及《電力監控系統網絡安全防護導則》《電力信息系統安全等級保護實施指南》相關標準的實施，標志著我國已從法律的高度對待工業控制系統安全，尤其是信息安全部分。分析泛在電力物聯網中的網絡攻擊，對加強電網穩定運行、提高故障應急響應能力、預測安全態勢發展趨勢等方面都有顯著幫助。

目前，國內外關于泛在電力物聯網網絡攻擊方面的研究可參考資料較少，其中有關電力物理信息系統的研究與泛在電力物聯網有部分重疊之處。隱私、授權、驗證、訪問控制、系統配置、信息存儲和管理等安全問題是物聯網環境中的主要挑戰[2]，例如，以各式智能設備構筑的感知層因其面廣、量大的特點，受到網絡攻擊的風險較高，帶來的影響輕則中斷服務，嚴重的甚至損害關鍵基礎設施信息安全。電力系統安全穩定的三道防線和“安全分區、網絡專業、橫向隔離、縱向認證”的安全防護原則已逐漸不能適應網絡攻擊這種新型攻擊模式，固有的電網“N-1”標準也不能滿足信息攻擊的諸多場景[3]。物聯網的發展很大程度上取決于安全問題的解決[4]，本文闡述了泛在電力物聯網的有關概念并搭建體系架構，通過委內瑞拉大停電事例分析惡意網絡攻擊過程，總結泛在電力物聯網環境下網絡攻擊的分類、應用場景、防護體系和未來可研究方向，為電網更安全的運行、更精益的管理、更精準的投資、更優質的服務開辟出一條新路。

1 泛在電力物聯網概述

1995年，比爾蓋茨的著作《未來之路》初次給出有關物聯網的概念。IoT（物聯網）即“萬物相連的互聯網”，是在互聯網基礎上的延伸和擴展，將各種信息傳感設備與互聯網結合起來而形成的一個巨大網絡，實現在任何地點、任何時間，人、機、物的互聯互通[5]。2004年，日本政府推出“u-Japan”國家信息化戰略，使之成為首個利用“泛在（Ubiquitous）”一詞刻畫信息科技革命，并建立無所不在數字互聯社會的國家[6]。然而，傳統的泛在網及物聯網主要運用于家居、交通、通信產業以及公共安全方面，并沒有引入到電力系統領域。

面對更高要求的社會供電以及電網企業經營兩方面巨大挑戰，2019年1月17日，國家電網有限公司董事長寇偉在第三屆職工代表大會上作了關于《守正創新擔當作為奮力開創世界一流能源互聯網企業建設新局面》的主題報告[7]，創造性地提出“三型兩網、世界一流”的戰略目標以及“一個引領、三個變革”的戰略路徑，加快建設世界一流的互聯網企業。在電力系統的發電、輸電、變電、配電、用電和調度6個基本方面，全方位部署智能終端信息收集器（傳感器、RFID等），智能化精準運檢，提高邊緣計算，綜合能源管理。典型泛在電力物聯網的框架結構如圖1所示[8-9]。感知層主要解決數據的采集問題，包括現場采集部件、智能業務終端、本地通信接入和邊緣物聯代理，實現終端標準化統一接入。網絡層主要解決數據的傳輸問題，內容包括接入網、骨干網、業務網以及支撐網，網絡間互相融合與拓展，響應更高服務質量要求。平臺層主要解決數據的管理問題，建設一體化“國網云”平臺、企業中臺、物聯管理中心、全業務統一數據中心，解決數據存儲、檢索、使用、挖掘和防止機密信息泄露等問題。應用層主要解決數據的價值創造問題，包括對內業務和對外業務，實現業務協同和數據貫通，保證電網穩定運行，打造智慧能源互聯網產業集群與生態圈。

圖1 泛在電力物聯網體系架構

2 電力系統網絡攻擊實例分析

自21世紀以來，國內外電力監控系統網絡安全事件頻發，如表1所示。傳統的基礎設施物理破壞逐漸被網絡的入侵攻擊手段所代替，信息系統的癱瘓也能對電力系統造成堪比物理設施損壞甚至更加惡劣的影響和威脅。針對電力系統脆弱性的攻擊一旦生效，很可能對經濟和社會造成災難性后果。美國能源局于2018年舉行了代號為“自由日蝕”的網絡攻擊斷電演習[10]，旨在測試并提升電力系統從網絡攻擊造成的損失中恢復的能力。中國南方電網有限責任公司也于今年開展網絡攻防演習[11]，目標是在真實生產環境中進行實時態勢感知，及時做出應急響應。

表1 網絡攻擊破壞電力系統實際案例

2019年3月7日，包括首都加拉加斯在內，委內瑞拉一度同時有20個州大面積停電超24 h[2]，2019年3月8日凌晨，各州陸續恢復供電。2019年4月11日，全國第二次大面積停電。委內瑞拉國家總人口量約為3 085萬，整體發電量約為117 000 GWh，造成停電事故的主要原因是發電量占全國用電量近四成的古里水電站遭受網絡攻擊進而發生故障。依據網絡入侵攻擊的前后背景、結果及相關報道，結合文獻[19]給出的分析方法，能夠推演委內瑞拉電力系統遭受攻擊的全過程，如圖2所示。需要指出的是，本文所展示的演化過程是綜合多方面資料的可能性推測，圖2中的基礎設施架構和信息僅表示實例效果，并不絕對與委內瑞拉電網的實際情況一一對應。

通過攻擊1，攻擊者預先植入惡意代碼，在設備采購的供應鏈環節植入震網病毒變體，適時誘導病毒發作；通過電子戰飛機攻開WiFi密碼，然后以此為入口，進行目標滲透，致使失去對絕大部分變電站的監測及控制，進而達到圖2（b）所示的狀態，此時，古里水電站的計算機系統中樞和加拉加斯控制中樞嚴重受損。通過攻擊2和3，電磁網絡炸彈發揮作用，通過向電力系統注入無線病毒槍，對網絡化控制系統進行接管，出現短路跳閘類似的事故或制造巨大過載，對硬件設施予以摧毀，進而達到圖2（c）所示的狀態。攻擊者通過移動設備中斷和逆轉恢復過程，截獲水電站自動控制系統部分渦輪機訪問權限和監控界面，利用對閥門開關的控制，修改監控界面顯示，以此欺騙工程師，最終造成停電事故。另外，對相關服務實施的拒絕服務攻擊，也很大程度上拖延了事故搶救時間。Alto Prado變電站遭受的物理損壞，更加劇了委內瑞拉整體電力系統癱瘓的程度。通過攻擊4，攻擊者通過修改日志、替換系統文件隱藏作案痕跡；留下后門，等待下一次攻擊機會，最終達到如圖2（d）所示的狀態，并采取相應手段間接阻礙自動控制系統，無法快速恢復功能。理論上，實現對這一系列攻擊步驟不僅需要充足的職業知識和背景，還必須對電力系統內部的運行特性和業務流程也十分熟悉。

圖2 委內瑞拉電力系統受網絡攻擊影響過程

由以上分析過程可知，針對性的網絡攻擊能夠按照攻擊者制定的攻擊路線發展，從而最大化入侵破壞的效果，每一步攻擊策略緊密聯系，相互支持，相互影響，直至大范圍停電目標的達成。可以認為，以基礎設施為攻擊對象的該類攻擊基本可以概括為泛在電力物聯網環境下的通用攻擊模式，深入研究該模式，能夠進一步衍生出電力事故應急推演方案和策略設計。

3 泛在電力物聯網下網絡攻擊內涵

3.1 網絡安全概念

泛在電力物聯網中，無處不在的設備產生的信息要么存儲在設備本身（如服務器、智能手機等），被稱為靜止數據；要么通過網絡傳輸，被稱為動態數據。為了保護靜止和動態數據，《美國標準技術研究院（NIST）7628號報告》認為信息安全三要素分別為保密性、完整性和可用性，簡稱網絡“CIA”安全目標[20]。宏觀上說，網絡攻擊可以是任意以“CIA”安全要素受損為目標的惡意攻擊手段[3]。本文梳理網絡攻擊在泛在電力物聯網環境下的內涵：通過電力系統固有安全性缺陷與漏洞，在未經授權的情況下對智能通信設備和自動控制系統的數據進行竊取，以破壞、揭露和修改泛在電力物聯網功能為目的，對系統本身、基礎設施或服務進行攻擊。

3.2 網絡攻擊分類

泛在電力物聯網強調全息感知、泛在連接、開放共享、融合創新，對應它的四層結構，旨在全面實現業務協同、基本實現數據貫通和初步實現統一物聯管理。泛在電力物聯網環境下網絡攻擊按對象分類可以從感知層、網絡層、平臺層及應用層四方面來闡述。每一層都提供自己的專業技術支持，這是其他層都無法替代的，泛在電力物聯網必須通過保護所有層面以保障整個系統的安全穩定運行[21-22]。本文提出基于分層的泛在電力物聯網安全方法，如圖3所示。

在泛在電力物聯網環境下，按照AMI（高級計量）系統網絡架構，根據信號傳輸速率和覆蓋范圍，可將網絡攻擊分為WAN（廣域網絡）攻擊、FAN（區域網絡）攻擊和IAN（工業區域網絡）攻擊[23]。各種攻擊類型特點如表2所示。區別于傳統IT安全需求的CIA特性，電力系統對數據傳輸的延時性和可靠性有較高的要求，而對網絡的吞吐量并沒有特殊的要求。因此，泛在電力物聯網中對可用性的安全需求要高于完整性和保密性[24]。基于網絡攻擊的宏觀定義，以破壞網絡可用性、完整性、保密性為攻擊目標，以攻擊者的視覺考慮，總結了由于其破壞而造成的相應影響及相關攻擊手段，如表3所示。

圖3 泛在電力物聯網的網絡安全分類

表2 按AMI系統層次架構分類

表3 按攻擊目標的網絡攻擊分類

4 泛在電力物聯網攻擊場景與防護

4.1 網絡攻擊應用場景

泛在電力物聯網中涉及網絡安全的典型應用場合總體上可分為控制和采集兩大類。其中控制類包含分布式能源調控、用電符合需求側響應、智能分布式配電自動化；采集類主要包括智能電網大視頻應用、高級計量。本節擬結合上述應用場景，根據電力系統發、輸、變、配、用戶側和調度6個環節，對可能發生網絡攻擊的具體場景進行歸納與總結[26-28]，如表4所示。

表4 電力系統各環節的攻擊場景

4.2 安全防護體系架構

泛在電力物聯網是對現有電網業務的提升、完善和創新拓展，相應的網絡安全防護也應基于現有防護體系進一步優化、加強和發展，以滿足泛在電力物聯網新的防護需求。對應泛在電力物聯網的架構，從感知層、網絡層、平臺層和應用層4個層面考慮，按照《泛在電力物聯網建設大綱》要求，構建與電力公司“三型兩網”相適應的全層次安全防護體系，開展可信互聯、安全互動、智能防御相關技術的研究及應用，為各類物聯網業務做好全環節安全服務保障。填補傳統電網防護缺陷，動態感知安全態勢，及時響應各類處置措施，確保公司網絡安全穩定運行。全層次的網絡安全防護體系總體架構如圖4所示[25]。

圖4 全層次網絡安全防護體系總體架構

5 結語

電力系統運行的安全穩定與社會生產生活休戚與共。泛在電力物聯網的發展面臨信息安全失效的潛在風險，網絡攻擊的對象和目的已經分別轉向關鍵基礎設施和獲取政治利益。端到端物聯網安全體系、數據安全、移動互聯安全、物聯終端安全等都是網絡信息安全建設中的關鍵技術。本文以委內瑞拉停電事故為例，討論了針對泛在電力物聯網網絡攻擊可能的通用事故模式、攻擊分類以及應用場景。未來圍繞泛在電力物聯網網絡攻擊可研究的方向著重應包含以下幾點：

（1）建立網絡測繪數據處理系統，對我國電力行業相關的關鍵基礎設施進行全方位的網絡測繪，自動普查智能設備標簽化管理，實時動態分析威脅存在，精準量化評估電網整體風險，多維度展現網絡空間可視化。

（2）建立面向電力工業的威脅態勢感知系統，完善安全風險知識庫，結合5G通信技術和AI實現真正的人機交互。自動分析事件的起源和目標設備、匹配規則，能夠按照策略管理要求對設備劃分安全域分別管理。

（3）建立泛在電力物聯網網絡安全仿真模型，考慮將電力安全突發事件與數據庫中完整應急情景鏈結合，設計加入電力系統元件、情景的推演系統框架。

（4）建立國家級響應機制。針對國家信息資源進行網絡攻擊的偵測、預警及后果消除機制，及時傳送有關信息到應急部門，最后匯總至國家計算機事故協調中心，最小化網絡攻擊造成的傷害。