电力信息物理系统网络安全防护中的底线思维
2017-12-22杨洪明文福拴王冬青
李 田,苏 盛,杨洪明,文福拴,王冬青,朱 林
(1.智能电网运行与控制湖南省重点实验室(长沙理工大学),湖南省长沙市410004;2.浙江大学电气工程学院,浙江省杭州市 310027;3.文莱科技大学电机与电子工程系,斯里巴加湾 BE1410,文莱;4.南瑞集团公司(北京),北京市 102200;5.田纳西大学电气工程与计算科学系,田纳西州 37909,美国)
电力信息物理系统网络安全防护中的底线思维
李 田1,苏 盛1,杨洪明1,文福拴2,3,王冬青4,朱 林5
(1.智能电网运行与控制湖南省重点实验室(长沙理工大学),湖南省长沙市410004;2.浙江大学电气工程学院,浙江省杭州市 310027;3.文莱科技大学电机与电子工程系,斯里巴加湾 BE1410,文莱;4.南瑞集团公司(北京),北京市 102200;5.田纳西大学电气工程与计算科学系,田纳西州 37909,美国)
0 引言
电力信息物理系统(cyber-physical system,CPS)中,电网调度控制和生产管理高度依赖信息与通信系统,信息系统的异常及网络攻击都可能威胁电力系统的安全稳定运行。近期发生的Wanncry等勒索病毒事件表明网络安全领域真实存在能力远超一般个体的“国家队”。作为现代社会的关键性基础设施,电力系统是国家级网络对抗的重点目标[1]。因CPS与普通信息系统在攻击模式、途径和破坏后果上存在显著差异,需要结合这些差异性特征分析潜在的入侵攻击模式,才能有针对性地设计出适合电力CPS的安全防护方法。在网络攻击“国家队”面前,并不存在绝对的网络安全,有必要从风险管理角度出发,以既有安全防护措施失效为前提,研究潜在的攻击途径,多视角剖析最大化破坏效果的攻击模式,再以保障不造成大停电等恶性事故为底线,查漏补缺,针对性地部署防卫措施,实现电力CPS网络安全风险的有效管控。
1 电力CPS攻击行为差异分析
电力CPS和一般信息系统间及国内、外CPS间均存在明显差异,这将对攻击来源及攻击模式产生突出影响。
1.1 信息系统与电力CPS差异分析
电力CPS涉及一次设备的在线监视和实时保护控制,可用性和实时性要求远高于一般信息系统,在安全防护需求上也存在突出差异。
1)为强化安全防护,电力CPS多采用物理隔离或虚拟专网通信等方式构筑安全边界;重要性突出的电力调度自动化等系统还可能有系统级备用。
2)信息系统遭攻击后多可重启恢复正常运行,并不一定造成巨大损失;电力CPS信息系统重启往往意味着对应物理系统跳闸停机,可能造成巨大损失。某些场景下,甚至系统重启本身即已达成攻击目的。
3)电力CPS包含大量过程层控制智能电子设备,需在有限计算、通信资源约束下高实时完成工作任务。
4)信息系统可通过安装补丁升级包或更新软件版本强化安全防护水平;为避免应用软件和操作系统兼容性问题,电力CPS的过程层设备往往需经过严格的兼容性测试验证才能安装补丁升级包或更新软件。
电力CPS与一般信息系统差异性对比如图1所示。电力CPS结构复杂,包含信息系统、物理系统及其交互接口。对不同CPS发起同类型攻击可能造成明显不同的破坏效果,需要有深入的背景知识支撑,方可最大化破坏效果。以拒绝服务攻击为例,阻断变电站或调度自动化系统的网络通信,会导致变电站或电网暂时失去保护和监视控制,但并不会直接导致线路跳闸停运等事故;而对发电厂发起拒绝服务攻击时,机组控制系统将因失去状态量而跳闸停机。实际上,病毒软件经设备厂商维护渠道侵入生产控制区的现象并不罕见,只是因为这些病毒软件不是针对电力系统设计的,才没有产生严重后果。
图1 电力CPS与一般信息系统差异性对比Fig.1 Difference comparison of general ICT system and CPS
1.2 国内外电力CPS差异分析
网络攻防博弈中,防御方需要防护住所有可能缺陷,难免百密一疏,这往往使得防御方不对称地处于不利地位。中国电力企业高度重视信息安全问题,依托物理隔离调度数据专网,构筑了基于边界安全的纵深防护体系,在局部范围内形成了有利于防御方的网络环境,有效地保障了中国电力系统的网络安全。
国外电力企业主要依赖微波、载波和租用电信网络的虚拟专网通信,通信质量和安全环境明显劣于中国。不但存在更容易遭受攻击的先天不足,从2000年至2007年北美大停电记录来看,还会因微波、载波通信出错而频繁引发广域保护系统误动,并曾多次造成大停电事故。
需要特别指出的是,国内外电力系统安稳控制措施实施方式有别,数据采集与监控(SCADA)数据出错的后果明显不同。美国、加拿大电网为减少切机、切负荷,多根据SCADA实时数据进行优化紧急控制,容易因数据失真导致广域保护误动。国内安全自动装置按离线整定参数执行保护控制,SCADA数据异常主要影响自动电压控制(AVC)和自动发电控制(AGC)系统,影响相对有限。基于SCADA数据在线进行优化的紧急控制是现代电网发展的趋势,但也存在可能放大错误数据注入攻击破坏效果的问题,有必要研究利用状态估计等方法提高异常数据识别能力。
1.3 攻击来源差异分析
电力CPS结构复杂,且多设置有相对完善的网络安全防护措施,攻击难度明显高于一般信息系统。如要攻击破坏信息系统对应的物理电网,还需对目标对象有深刻认识,技术门槛远高于一般信息系统。因此,电力CPS的攻击来源与一般信息系统存在显著差异。
2015年攻击乌克兰电网的案例中,攻击方首先通过邮件在多座变电站的自动化系统植入BlackEnergy木马软件,获得监控系统操作权限后调整不间断电源(UPS)系统于不利运行方式,再遥控断路器跳闸造成大停电;事后还更换通信模块固件、格式化主机,瘫痪控制系统。整个过程中,基于对被攻击对象深刻认识发起的选择性精确攻击是造成恶性事故的要害。
高敏感CPS多采用物理隔离进行安全防护。作为第一种武器级病毒软件,在对西门子PLC控制系统逆向工程的基础上,震网病毒利用未曾公布的零日漏洞经优盘侵入与中国电力系统一样物理隔离的伊朗铀浓缩系统,精确攻击并破坏了上千台铀离心机。因该类恶意软件需由对计算机和工业控制系统有深刻认识的多名专家配合完成,所需人力、物力远非个人可以承担,一般认为背后有强力机构支持。
因为电力等工业CPS涉及国计民生,世界各国均高度重视其网络安全防护,纷纷组建网络部队,从事包括电力行业在内的基础设施的网络攻防研究。中国电力系统构建的基于边界安全的防护体系,在长期实践中有效抵御了既有的一般性网络安全威胁,未来需要着意防控的正是像BlackEnergy和震网病毒这样、由具有深刻行业背景知识和国家背景的机构组织发起的定向攻击。
2 中国电力CPS安全防护措施的反思
电力CPS信息安全防护多采用计算机领域商业化的标准技术方法,从中国的历史经验来看,足以应对一般性网络威胁。有国家机构背景的组织拥有充足资源,清楚了解攻击目标可能采用的安全防护措施,不但可以对调度和变电站自动化系统等目标对象进行逆向工程,深入分析运作机制并制定复杂的针对性精确攻击方法,甚至还可能直接破解密钥发起攻击,在攻击手段、方式和目标选择上都有异于一般病毒软件。采用既有安全防护方法应对此类攻击,是否仍然有效,存在疑问,有必要审视既有防护措施的局限性。
2.1 接入控制与病毒查杀
为避免恶意软件渗透侵入电力生产信息系统,中国电力企业实行了严格的接入控制,要求必须使用内部专用优盘,优盘接入时还需运行登录程序,确认获得授权并经病毒检测后方可访问;内网计算机插入非专用优盘即刻报警。因定向攻击恶意软件传播模式与常见病毒软件差异明显,该方法并不能阻挡定向攻击恶意软件。熟悉目标系统防卫措施的攻击方甚至可将包含登录程序的优盘判定为可接入内网的高价值目标,藉此进行精确导航和渗透入侵。
计算机恶意软件检测以病毒特征代码比对分析为基础,前提是该病毒已造成危害且相应特征代码已录入特征代码库。近年来兴起的云安全病毒软件检测机制,将病毒特征代码库置于云端并在云端比对检测病毒,在网络中检测到新型病毒软件时只要更新云端特征代码库而无需客户端下载更新,可显著缩短新兴病毒传播发展周期,降低危害。
与普通恶意软件不同,电力CPS的定向攻击恶意软件意在窃取机密信息或破坏电网安全。在充足资源支持下,攻击方可根据目标对象特点定制恶意软件,利用零日漏洞渗透入侵发起精确攻击。如Symantec于2016年发现黑客组织选择性攻击中国、俄国、瑞典等国家7个机构的36台电脑。如定向攻击恶意软件不攻击非目标系统,将很难检测发现、也无从提取其病毒特征代码。因此,即便是基于云安全的病毒检测,也不足以应对针对电力CPS定制的新兴病毒。
2.2 既有安全防护体系的缺陷
传统上,中国电力企业主要依赖基于边界安全的纵深防护体系保障网络安全。具有国家机构背景的攻击方可在逆向工程基础上制作定向攻击恶意软件,经设备厂商渠道绕过安全边界侵入生产控制安全区。病毒软件检测系统在特征代码库中找不到新兴病毒软件特征码,无从判断厂商优盘接入是否带入恶意软件;入侵检测是以入侵者行为模式有异于正常主体或入侵活动服从特定模式为前提,通过对网络行为的统计分析和模式识别来检测入侵,存在误报、漏报率高的问题,如恶意软件行为模式无明显异常,将难以准确捕获。因此,基于物理隔离的边界防护可能失效。
近年来,为提高网络安全防护水平,中国电力企业开始构建基于可信计算技术的安全防护体系。基于该技术研制的D5000调度自动化系统,采用国产的服务器、网络设备和操作系统、安全数据库及中间件,能有效避免基础软、硬件系统后门和缺陷引入的安全隐患。即便恶意软件成功侵入,还是会因无法通过可信认证而被后台监控进程扼杀。可信计算技术存在信度的动态评价难题,此外,可信计算的安全性依赖于可信程序数字签名所用加密算法的安全性。加密算法以数学复杂度来保障其很难破解,但并非不可破解,如震网病毒就曾伪造过RealTek等公司产品的数字签名。因此,基于可信计算技术的安全防护体系也存在失效可能。
构建威胁模型、识别潜在威胁是有的放矢地做好网络安全防护的前提。中国电力系统已构建有较完善的安全防卫体系,加之CPS构成复杂,普通恶意软件难以渗透侵入造成恶性事故。要进一步提高网络安全防护水平,需要以有国家机构背景组织发起的定向攻击为主要对手,根据其可能采用的攻击模式设计针对性的防护措施。
3 电力CPS攻防新思路
电力系统既有信息安全防护方法主要侧重于御敌于千里之外,防止恶意软件侵入生产控制安全区进行攻击。然而,根据不完备性定理,并不存在完美无缺的系统,也无法杜绝网络攻击的威胁,敌对组织发起的定向攻击是可以绕过安全屏障侵入电力生产控制安全区的。作者认为:有必要调整思路,以定向攻击恶意软件可以侵入为前提,着力提高电力CPS的容侵性(resilience),从风险管理的角度管控攻击可能造成的危害水平。
电力系统是保障现代社会正常运行的关键性基础设施,具有国家机构背景的组织攻击电力系统的合理目的是最大程度地破坏电网安全、造成大停电。本文结合渗透侵入调度、变电站自动化系统和高级计量系统后可能的攻击模式,讨论了相应的应对思路。
3.1 调度自动化系统
调度自动化系统涉及电网全局,可遥控断路器进行倒闸操作,是定向攻击的首选目标。作为标准软件系统,调度自动化系统采用如图2所示的标准化数据库结构。在逆向工程摸清调度自动化系统工作机制和数据库表结构的基础上,定向攻击恶意软件可利用零日漏洞经厂商维护渠道侵入调度自动化系统,根据数据库表结构查找各线路及对应控制端口信息,再按通信协议发送跳闸控制命令和返校信号,诱使线路跳闸。有电力系统背景知识的攻击方编制的恶意软件还可搜集数据库中线路拓扑连接和电压等级信息,辅以结构脆弱性分析,再选择关键线路逐个遥控跳闸,即可将电网推进自组织临界态,引发连锁故障大停电。
图2 调度自动化系统数据库结构Fig.2 Database structure of dispatching automation system
中国电力企业采用的调度数据专网形成了有利于防御方的局部不对称优势,入侵的定向攻击软件不能与外界通信,只能根据逆向工程分析结果按预设逻辑进行攻击破坏。利用这种不对称优势,可以在SCADA实时数据库中插入大量虚构电网元件,引诱侵入的定向攻击软件向虚构元件对应的断路器发送跳闸控制命令。因调度系统所有通信均需经交换机对外发布,可在交换机中设置跳闸指令筛选机制,在检测到发送给虚构断路器的跳闸指令时即可准确判断入侵攻击行为,闭锁调度系统控制功能并切换到备用系统或闭锁遥控功能,从而强化调度系统的容侵性,避免极端恶性事故。
调度系统的状态估计、AGC等高级应用软件需要使用实时数据库数据,应设计相应机制保障其正常工作。因调度系统采用标准化的数据存储模式是可以通过反向工程进行精确攻击的前提,可将真实元件列表以个性化方式存储为其他文件。高级应用软件启动后先读入真实元件列表文件,之后即可与正常工作流程一样从SCADA数据库中读取真实元件对应数据,以避免虚构元件对业务系统的影响。因真实电网元件的非标准化存储会增加系统维护和高级应用软件配合的工作量,所述方法适用于重要性较高而数量较少的省级及以上电网调度中心。
3.2 变电站自动化系统
变电站自动化系统涉及断路器的倒闸控制,是网络攻击的重点对象。变电站采用如图3所示的标准化配置描述文件记录站内信息。有组织攻击方通过逆向工程获取相关知识后,可有针对性地编制定向攻击软件。渗透侵入后可按变电站自动化系统工作机制,读取配置文件、获取站内断路器控制信息,再进行倒闸操作,攻击破坏电网安全。
图3 变电站配置描述文件结构Fig.3 Structure of substation configuration description
尽管采用非标准化的方式同样可能阻断针对变电站的精确攻击,但变电站数量庞大,采用该方式来提高防护水平将带来庞大的系统维护工作量,实际生产中难以接受。因电网确定运行方式需要进行N-1安全校核,单一线路或变压器停运并不一定会影响电网安全。尽管网络攻击单个变电站可能造成一定的负荷损失,但并不一定足以破坏电网整体安全。相较于物理破坏,网络攻击更易达成多个变电站的协同攻击,如渗透入侵的恶意软件同时在多个220 kV及以上电压等级变电站中发起跳闸攻击,极可能触发Ⅲ级及以上较大风险大停电事故。在此,变电站之间的广域协同是达成最大化攻击效果的关键。
调度数据专网中,侵入变电站的恶意软件难以确认其他变电站有否渗透入侵的恶意软件。因站间通信数据包均需通过安全检查,通信实现站间协同将显著增加暴露风险,势必需要采用无通信的协同机制进行攻击才可以最大化攻击效果。变电站自动化系统均配置有全球卫星同步时钟,利用同步时钟可简单高效地实现多个变电站的无通信协同。从底线思维的角度出发,为避免协同攻击造成大停电,可考虑人为岔开全球卫星同步时钟,使得高重要度的枢纽变电站同步时钟相互保持一定日数的差异。即便恶意软件侵入多个变电站,并约定在同一时间跳闸,也会因各站时钟差异而不会同时故障,显著降低大停电风险。
继电保护系统为保障可靠性,要求可不依赖于同步时钟独立工作,调整全球同步时钟对其无明显影响。故障录波、行波定位、广域测量和事件顺序记录在调度主站侧汇总各站数据后进行故障扰动分析,要求保持时钟同步。可考虑在调度端高级应用中读取数据时进行时间反校,以降低对上述业务系统的影响。
3.3 高级计量系统
高级计量体系的安防需求和调度及变电站自动化系统存在显著差异。一方面,智能电表分布点多面广,多采用无线专网方式通信,攻击的技术门槛较低;另一方面,智能电表计算和通信资源有限,只能依赖基于密钥的身份认证和通信加密保障安全。一旦破解加密算法,智能电表将直面网络攻击的威胁。
2014年,研究人员破解了西班牙电网公司智能电表采用的AES-128bit对称加密算法,侵入表计后注入恶意代码,不但可篡改电表标识码、调整电量读数实现窃电,还可以此为跳板攻击相邻电表,甚至可能控制切断用户供电。如不能及时检测,可能广为传播后造成大停电事故。中国智能电表采用和西班牙类似的加密算法,前述破解和攻击方法同样适用。
因智能电表等智能硬件计算和通信资源有限,用传统方法难以检测渗透侵入的恶意软件。应用云安全技术,可将恶意软件检测等工作转移到云端服务器完成,能在智能电表有限的计算和通信资源条件下完成恶意软件检测。该方法也可用于强化电力CPS中其他智能硬件的网络安全防护水平。
4 讨论
电力CPS的安全稳定运行直接影响社会生产生活,是国家级网络对抗的重要目标。因中国电力系统已构筑较完善的安全防御体系,普通病毒软件很难跨越高技术门槛渗透攻击,未来应以具有国家背景的定向攻击为主要防护对象。因此类攻击方拥有充足资源,清楚了解目标对象采用的防护措施,不但可对攻击目标逆向工程,深入分析运作机制并编制定向攻击软件,甚至还可能直接破解密钥发起攻击;有必要以其能侵入生产安全控制区为前提,以保障电网不发生大停电事故为底线,结合攻击模式分析,设计风险管控措施。
本文抛砖引玉,讨论了调度、变电站自动化和高级计量体系几种可能攻击模式的应对思路。实际上,电力CPS结构复杂,可能的攻击来源和攻击模式繁多,需要集思广益,查漏补缺,多视角地分析潜在的网络攻击渠道和可能的破坏模式,尽可能避免恶性事故。作者认为,该领域有以下几点需要注意。
1)网络对抗中,攻防双方都存在成本问题。具有国家机构背景的攻击方,可耗费大量资源组织复杂的定向攻击。以震网病毒为例,赛门铁克公司估计该病毒需要组织5至30名计算机领域和过程控制领域的专家,耗费6个月左右时间进行研发,远非一般机构组织所能承担。电力系统网络攻防博弈中国家背景机构的参与将显著提高攻击复杂度,使得攻防双方的平衡明显偏向攻击方,并将对防卫方提出巨大的挑战。
2)电力系统网络安全防御需考虑应对普通恶意软件和针对性定向攻击等两类,这两类攻击行为本身及所需防护方法上的差异可用电力系统元件随机失效和连锁故障大停电进行类比。前者发生概率较高,危害机理清晰,可用较成熟的可靠性理论和信息安全理论与方法进行分析与应对;后者极少发生甚至无先例可循,需深入研究方可明晰机理,进而针对性地制定应对措施。由于电力系统在规划建设时考虑了冗余设计,普通恶意软件即便侵入中国物理隔离的电力调度数据网,在不清楚信息与物理系统接口的条件下也只能造成小规模扰动,并不会对电网安全稳定造成突出影响。而以最大化破坏效果为目标的定向攻击却极可能以最不利的方式进行选择性攻击破坏,是电力系统网络安全的心腹大患。在世界各国纷纷成立网络部队的今天,除强化一般性网络攻击的防护研究外,更应针对性地研究定向攻击模式特征并逆向设计防护方法。
3)本文利用调度数据专网形成的不对称优势,针对调度系统定向攻击提出基于虚构电网数据诱骗攻击的主动入侵检测方法,引诱恶意软件攻击虚构系统,从而触发入侵检测与防护机制;针对变电站自动化系统定向攻击需进行无通信协同方可实现多站协同跳闸攻击以最大化破坏效果的特点,提出基于差异化调整全球同步时钟的方式来破坏多站协同机制,以最小化破坏效果。需要指出的是,这两种方法均涉及高级应用现有业务流程的调整,要付诸使用需要付出高昂代价,可选择性地在特别重要的电网调度和变电站进行应用以降低成本。
4)网络对抗中,防护手段只能对特定攻击模式有效。考虑到实际攻击工业控制系统的震网病毒和BlackEnergy病毒均采用了可直接造成攻击破坏效果的旁路控制,本文仅针对电力系统旁路控制跳闸攻击分析提出应对思路,未考虑其他攻击模式。结合业务流程和攻击模式分析,可设计针对性的防护措施,提高对其他攻击模式的入侵检测和防卫能力。
5)所提应对思路中,调度自动化系统中将真实元件列表个性化存储于其他文件中,高级应用读取真实元件列表后再到实时数据库中获取对应元件状态信息。因各电网公司所用个性化存储模式有异,定向攻击恶意软件入侵后需将调度系统文件外传后,经人为解析确认真实元件列表文件名称和数据结构后,再按目标系统个性化存储文件格式定制定向攻击软件才可发起精确攻击。变电站自动化系统中,在变电站全球同步授时模块中调整同步时钟后,在调度端故障录波等高级应用读取数据进行业务分析时进行时间反校。如敌对组织从调度端获取各变电站同步时钟调整方案后再针对性地编制定向攻击恶意软件,将仍可在厂站经侧借全球同步时钟机制进行协同攻击。
感谢石东源、曹玉胜和何飞跃老师的深入交流和讨论,以及国家自然科学基金(51777015,91547113)、湖南省科技重大专项(2015GK1002)、湖南省教育厅科学研究项目(15A005,14C0023)、清洁能源与智能电网2011协同创新中心资助。
[1] 高昆仑,王志皓,安宁钰,等.基于可信计算技术构建电力监测控制系统网络安全免疫系统[J].工程科学与技术,2017,49(2):28-35.
GAO Kunlun,WANG Zhihao,AN Ningyu,et al.Construction of the immune system of cyber security for electric power supervise and control system based on trusted computing[J].Advanced Engineering Sciences,2017,49(2):28-35.
Bottom-lineThinkinginCyberSecurityDefenseofCyber-physicalPowerSystem
LITian1,SUSheng1,YANGHongming1,WENFushuan2,3,WANGDongqing4,ZHULin5
(1.Hunan Province Key Laboratory of Smart Grids Operation and Control(Changsha University of Science and Technology),Changsha 410004,China;2.College of Electrical Engineering,Zhejiang University,Hangzhou 310027,China;3.Department of Electrical and Electronic Engineering,Universiti Teknologi Brunei,Bandar Seri Begawan BE1410,Brunei;4.NARI Group Corporation (Beijing),Beijing 102200,China;5.Department of Electrical Engineering and Computer Science,The University of Tennessee,TN 37909,USA)
2017-08-06;
2017-09-06。
上网日期: 2017-09-25。
李 田(1994—),女,硕士研究生,主要研究方向:电力系统网络安全防护。E-mail:649081337@qq.com
苏 盛(1975—),男,通信作者,博士,副教授,主要研究方向:电力系统大停电风险分析。E-mail:eessheng@163.com
杨洪明(1972—),女,通信作者,博士,教授,主要研究方向:电力系统运行与控制、电力市场,能源互联网。
(编辑代长振 许文杨)