吴家奇， 李 雪， 詹志宏， 谢 翔， 王 涛， 刘年国， 王 芬

(国网淮南供电公司， 安徽 淮南 232007)

0 引言

电力工控系统承担着为国家各行各业提供电能的重要责任和义务，它能否稳定安全的运行直接影响到国计民生，因此电力工控系统运行的稳定性和安全性一直是电力部门不得不关注和研究的问题。近年来随着信息通信技术和智能电网技术的发展，电力工控系统遭受网络攻击的概率越来越大，频率也越来越高。如2010年9月，伊朗核电站设施遭受了Stuxnet[1]病毒的攻击，位于伊朗纳坦兹的浓缩铀工厂首先遭到了Stuxnet病毒的攻击，导致用于浓缩铀材料的离心机受到了严重的破坏，大约百分之二十的离心机因此报废，进而导致浓缩铀的产量下降了百分之三十左右；2015年12月23日，乌克兰至少三个区域的电力工控系统遭遇网络攻击，伊万诺-弗兰科夫斯克地区部分变电站的控制系统遭到破坏，造成大面积停电，电力中断3～6小时，影响大约140万人的正常生活[2]；在CyberTech 2016大会上，以色列能源与水力基础设施部部长Yuval Steinitz披露称在2016年1月25日，以色列电力局遭受了一次严重的网络攻击[3]。此外，由于我国电力工控系统复杂度高，子系统繁多，且相互耦合性高，因此也倍受着各种网络攻击所带来的网络安全威胁。

和传统的电力一次系统攻击相比，网络攻击具有成本较低、攻击范围广、攻击对象多、攻击行为隐蔽等优点[4]。因此对于电力工控系统，网络攻击是一种不可忽视的潜在威胁。通过近年来各国屡屡遭受的网络攻击来看，网络攻击给电力工控系统带来的后果是非常严重的，甚至严重影响国家的正常运行，因此有必要研究电力工控系统遭受网络攻击的方式及防护措施。

1 电力工控系统网络攻击方式

当今，虽然电力部门实现了电力通信网络的隔离，构建了保证电力工控系统网络安全的三道防线，但是由于电力工控系统的重要性和网络攻击的复杂性，在隔离条件下依然对电力工控系统进行网络攻击也是可能的。本文根据电力工控系统遭受网络攻击事件的统计和相关文献，总结和分析电力工控系统遭受网络攻击的主要方式。主要从网络攻击原理的不同和网络攻击位置的不同来进行分析。

根据电力工控系统遭受网络攻击原理的不同，可以将网络攻击方式分为误导数据注入攻击、阻断网络通信攻击、重放网络攻击[5]。下面将对这三种攻击方式进行详细说明。

(1) 误导数据注入攻击是指攻击者通过网络入侵电力工控系统向仪表或传感器注入错误的监控数据进而导致电力工控系统无法正常运行工作。与阻断网络通信攻击和重放网络攻击相比，误导数据注入攻击具有攻击目标多、范围广且防护能力弱等特点。

(2) 阻断网络通信攻击是指攻击者在电力通信网络上频繁地发送大量的伪造数据包，导致电力工控系统控制中心与受控的远程终端无法进行正常通信工作，控制中心无法正常接收远程终端的请求，远程终端也无法接收控制中心的指令。这种网络攻击对于电力工控系统正常运行是致命的。由于这种网络攻击需要时间上的持续性，所以对于具有较高安全防御能力的电力工控系统来说，被攻击成功的可能性是比较小的。

(3) 重放网络攻击是指攻击者在网络通信过程中对网络数据流进行监听和分析，然后统计和识别其中重要动作控制指令(如高压断路器跳闸或合闸的控制信号)，等待时机，在适当时机重新释放这一条指令，造成类似误操作的事故。这种网络攻击需要对网络信息进行长时间的监听和分析，才能识别其中需要的重要动作网络信号。

根据电力工控系统遭受网络攻击位置的不同，可以将网络攻击方式分为远距离攻击和本地攻击。下面将对这两种方式进行详细说明。

(1) 远距离攻击是指攻击者在目标网络外部对目标网络进行攻击，攻击目标一般是电力工控系统通信网络的远程终端单元。为了达到对电力工控系统控制中心或其他关键设备的攻击，攻击者不仅需要具备网络技术知识，还需要相关的电力工控系统知识。

(2) 本地攻击是指发生在电力数据采集系统(SCADA)或能源管理系统(EMS)内部局域网的网络攻击，这类网络攻击需要物理上接近目标网络，由于电力工控系统具有完备的物理隔离技术，如果没有内部人员的协助配合攻击，攻击者很难完成攻击任务。

通过上述对电力工控系统网络攻击方式的研究和分析可知，对于电力工控系统，网络攻击种类多、危害大，因此有必要研究有关电力工控系统网络安全防护措施。

2 电力工控系统网络安全防护措施

2.1 强化全员网络信息安全意识

加强全员网络信息安全教育和技术培训，思想上增强网络信息安全防范意识，结合公司系统发生的实际案例，通俗易懂地将信息安全知识传授给公司每位员工。此外工作中需要掌握必要的防范技能，加强工作现场系统用户权限管理，严格遵守网络信息系统身份认证，有效阻止外来非法访问、非法入侵，杜绝人为原因引起信息安全事件发生。

2.2 落实网络信息安全管控措施

加强电网工控系统的运行监控、日常巡视、安全审计、漏洞扫描等常规工作，做好漏洞与安全风险预警工作。严格执行国家电网相关安全措施，确保电力工控系统信息安全防线。此外还要加强电力工控系统信息安全防御和检测系统的部署，提高网络安全监测能力，能够及时发现各种病毒和木马，并采取对应的安全措施。

2.3 开展网络信息安全隐患排查

深入开展网络信息专项安全检查和风险评估，全面排查电网系统中的工控系统、厂站端设备操作系统等影响电网安全稳定运行的安全风险和薄弱环节，根据安全漏洞类型、攻击手段、影响后果等，制定反攻击措施，明确整改计划，完善电网工控安全防护体系。

2.4 强化网络信息安全应急处置

健全电力工控系统网络安全应急体系，定期组织网络重要设备反事故演练，通过事故预想和实践演练，提高公司重要业务系统在核心网络设备单点故障的情况下短时间内恢复的应急能力，从而提升网络信息安全应急处置能力。

2.5 加强电网工控系统安全防护研究

实时掌握电网工控领域网络信息安全技术的前沿知识和先进的攻防技术，加快网络安全人才的培养，不断提升电力工控系统安全防护手段。结合电力工控系统的现实情况，研究和分析网络危险的传播途径，模拟电力工控系统遭受网络攻击的情景，研究相关措施，形成对应的网络安全典型经验，提升电力工控系统网络安全风险抵御能力。

2.6 利用数据挖掘技术进行网络攻击检测

数据挖掘是指从海量数据中提取有价值的数据，而这些数据是潜在有用的信息，并且不容易被发现。数据挖掘技术正是通过寻找海量数据中潜在的联系，发现被忽略的要素，进而挖掘有用的信息[6,7]。由于电力工控系统的庞大，网络设备和工控系统每天都会产生大量审计日志和网络流量数据，因此可以利用数据挖掘技术对海量的审计日志或网络数据进行分析和处理，从这些数据本身潜在的规律中发现网络攻击行为的模式，从而提高网络自身的防御能力[8,9]。

3 总结

随着我国智能电网的快速发展以及各行各业对信息安全的日趋重视，越来越有必要对电力工控系统遭受网络攻击进行研究。本文首先通过阐述乌克兰等国家遭受网络攻击的事件，来说明电力工控系统遭受网络攻击的普遍性和危害性，从而引出有必要研究电力工控系统遭受网络攻击的方式及防护措施，然后总结并分析了电力工控系统遭受网络攻击的主要方式，最后结合电力工控系统的实际现状，提出了相关安全防护措施。