2015年圣誕節(jié)期間,烏克蘭國內多個區(qū)域的電網因遭遇黑客攻擊,導致發(fā)生大規(guī)模停電。達拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網中植入的惡意軟件導致了這次嚴重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網絡攻擊主要是竊取數據或者財物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網站的一篇報道稱烏克蘭停電是網絡攻擊的“里程碑”(cyberattackmilestone)。

     1烏克蘭停電事1件回顧

     2015年圣誕節(jié)期間,烏克蘭國內多個區(qū)域的電網因遭遇黑客攻擊,導致發(fā)生大規(guī)模停電。達拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網中植入的惡意軟件導致了這次嚴重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網絡攻擊主要是竊取數據或者財物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網站的一篇報道稱烏克蘭停電是網絡攻擊的“里程碑”(cyberattackmilestone)。長久以來,人們一直將電力系統(tǒng)視為一種負責能量產生、傳輸、分配與使用的物理系統(tǒng)。然而造成此次事故的關鍵原因,并不是因為物理電網的元件故障,而是因病毒引起的能量管理系統(tǒng)(energymanagementsystem,EMS,一些報告中也寫作remotemanagementsystem)失效。換言之,在這次大停電事故中,信息系統(tǒng)的擾動導致了物理電網運行的失效。這次事故發(fā)生不久便獲得了世界范圍內的廣泛關注,同時也將電力系統(tǒng)的信息安全問題擺在了人們面前,成為建設與完善電力系統(tǒng)乃至未來的能源互聯(lián)網所不可回避的重要挑戰(zhàn)。

     2停電過程的回顧與分析

     如上節(jié)所述,信息網絡的失效是導致此次事故的關鍵原因。現代電力系統(tǒng)中,以數據采集與監(jiān)控/能量管理系統(tǒng)/廣域測量系統(tǒng)(SCADA/EMS/WAMS)為典型代表的二次信息系統(tǒng),在現代電力系統(tǒng)的感知與控制中扮演著愈發(fā)關鍵的角色。一個典型的信息-物理耦合電力系統(tǒng)的架構如圖1所示。

     在電力系統(tǒng)日常運行中,SCADA/EMS/WAMS等可實現廣域信息實時感知(RTU/PMU)、信息傳輸(電力載波/光纖網、各種規(guī)約形式)、信息處理(壞數據辨識/狀態(tài)估計)、信息決策(潮流分析/安全分析/優(yōu)化計算)、閉環(huán)控制(AGC/AVC)等多項功能,從空間上覆蓋上千千米,從時間上涵蓋毫秒到小時級,從目標上兼顧安全、優(yōu)質和經濟等多種要求。可以說,現代電力系統(tǒng)的正常運行無時無刻不依賴于一個可靠的信息系統(tǒng),是一個典型的信息-能量融合系統(tǒng)(國內專家也將其定義為信息能源系統(tǒng))。正因如此,信息系統(tǒng)的失效也將顯著影響物理電網。當信息故障發(fā)生時,如信息傳輸發(fā)生中斷或延時或被惡意修改,很可能誘使信息系統(tǒng)作出錯誤的決策甚至直接失效,從而影響電網的運行狀態(tài)。值得注意的是,惡意的信息攻擊文件可通過四通八達的信息網絡進行快速而廣泛地復制與擴散,這又進一步提升了信息攻擊的作用范圍與影響。信息故障影響電力系統(tǒng)運行的示意圖如圖2所示。

     圖2信息故障影響電力系統(tǒng)運行的示意圖

     據SANSICS小組對本次事故的報告,外部電腦病毒被植入烏克蘭電網公司的EMS后,使底層發(fā)電機或變電站的控制服務器關機，喪失對相應物理設備的感知與控制能力(theutilitybegantodisconnectpowersubstationsfornoapparentreason)，從而導致部分設備運行中斷。此外,病毒利用通信網絡進行了大范圍的傳播和感染,這使得烏克蘭電網公司失去了與底層多個發(fā)電站及變電站的通信聯(lián)系,從而進一步喪失了對電網的實時感知與控制能力,無法進行正確決策,進而引發(fā)大范圍停電。事故發(fā)生后,烏克蘭電網公司被迫停止EMS,啟動人工控制以恢復供電。截至當前,即使供電已經恢復,原有的EMS/SCADA系統(tǒng)的部分功能因被病毒攻擊依然長時間處于離線狀態(tài),本次網絡攻擊的影響仍在持續(xù)。

     3信息能源系統(tǒng)的薄弱環(huán)節(jié)評估

     本次的烏克蘭大停電事故中,惡意信息攻擊使得電力信息系統(tǒng)部分環(huán)節(jié)失效(控制服務器關機),從而影響物理電網的運行,造成了區(qū)域性大停電的嚴重后果。目前關于事件的詳細報道和分析尚不多見,因此還難以判斷很多內部技術細節(jié)。從最終效果來看,此次事故毫無疑問造成了重大的經濟與社會影響,攻擊者也達到了預期目標。然而值得注意的是,這是一次“簡單粗暴”的攻擊,使用的BlackEnergy惡意軟件也并非為電力系統(tǒng)量身打造的“定制版”,攻擊者是通過大面積、無差別的攻擊電力信息網絡中的相關設備,使其強制關機,從而影響系統(tǒng)安全運行。

     這讓筆者聯(lián)想起《笑傲江湖》一書中令狐沖在破廟外奮起一劍,刺瞎十五名高手的眼睛,正類似于通過攻擊“信息采集系統(tǒng)”最終迫使這些高手退出“物理運行”。但此時令狐沖處于劍法尚未大成的境界,隨著情節(jié)進展,會逐漸修煉到專門看穿別人招數中的破綻,然后一招制勝,完美攻擊。同樣令人擔憂的是,未來能源系統(tǒng)所面對的惡意攻擊者會不會也通過“修煉”來使得攻擊日益“完美”。相比于此次事故中的“無差別攻擊”,這類直奔“命門”而去的信息攻擊雖然難度更大、代價較高,但是其目的明確、攻擊手段隱蔽、識別難度大,且攻擊者可根據自身需求針對性地影響系統(tǒng)運行狀態(tài),對未來能源系統(tǒng)的影響更為惡劣,因而更值得大家關注。

     事實上,已有研究表明,當攻擊者具備一定電力系統(tǒng)知識時,可制定精確的攻擊策略,通過針對性的壞數據注入和權限獲取,能夠在無法被控制中心辨識的條件下影響電力系統(tǒng)的運行或使自己獲得不正當利益。例如,針對狀態(tài)估計(stateestimation)應用,攻擊者可通過修正部分量測信號,影響控制中心狀態(tài)估計結果(如開關狀態(tài)、量測狀態(tài)、系統(tǒng)拓撲辨識出錯),進而導致系統(tǒng)決策錯誤。又如,電力市場環(huán)境下,攻擊者可通過惡意信息注入影響系統(tǒng)的邊際電價決策結果,提升自身收益。

     這次事故敲響了惡意信息攻擊可以誘發(fā)電網運行風險的警鐘。而實際電網運行時,信息系統(tǒng)除受到惡意攻擊外,還可能頻繁面臨由于無意錯誤(如工作人員失誤)導致的功能失效,這種信息環(huán)節(jié)的功能失效同樣會誘發(fā)物理環(huán)節(jié)的運行風險。2003年美加“8•14”大停電是一個最典型的示例。其發(fā)生的一個重要原因是EMS中的狀態(tài)估計功能退出運行,調度人員失去了對電網實時狀態(tài)的感知能力,未能及時發(fā)現、評估和遏制故障蔓延。

    “破綻”即薄弱環(huán)節(jié)。電力系統(tǒng)在運行過程中需要在線進行靜態(tài)或暫態(tài)安全評估,其目標就是讓運行人員了解電力系統(tǒng)運行的薄弱環(huán)節(jié)。而隨著信息環(huán)節(jié)與能量系統(tǒng)的日益融合,整個信息能源系統(tǒng)的薄弱環(huán)節(jié)可能不再局限于物理系統(tǒng)內部,信息環(huán)節(jié)或將成為新的阿喀琉斯之踵。這種薄弱環(huán)節(jié)可能成為“點穴式”惡意攻擊的理想標靶,也可能由于某種無意錯誤誘發(fā)意外風險。尤其是在閉環(huán)決策與控制日益增加的情境下,信息故障將變得更為普遍而多樣化,極可能進一步殃及能量系統(tǒng)。因此,通過信息-能量耦合建模、分析與安全評估,定位整個信息能源系統(tǒng)的薄弱環(huán)節(jié),將是一個全新的研究課題。

     4對中國的啟示

     此次烏克蘭大停電事故告訴大家,即使物理電網狀態(tài)正常,信息系統(tǒng)的失效也同樣可對系統(tǒng)造成嚴重的影響。換言之,物理電網的安全評估結果并不等價于全系統(tǒng)的安全,信息系統(tǒng)評估應當成為電力系統(tǒng)評估體系的重要組成部分。

     信息網絡的數據交互途徑、接入點數量、傳輸內容與網絡參與者等多個因素都將影響網絡的信息安全。在國外,尤其是歐美發(fā)達國家,隨著電力服務的細化與電力市場的普及,電力系統(tǒng)運行對信息與通信有著更高的需求。現有研究及報告顯示,歐美國家的電力信息系統(tǒng),可依托于專用有線信息網絡(如主網的EMS服務),公共信息網絡Internet(如市場報價、需求側響應、分布式能源、電動汽車優(yōu)化充電服務),甚至無線網絡(如電廠及小規(guī)模電網的能量管理服務)實現,且參與者可獲得的網絡資源更多,信息權限更大,更容易接入并影響信息系統(tǒng)乃至整個電力系統(tǒng)的運行。這為惡意攻擊者提供了方便之門。

     現階段中國的電網調度運行主要基于較為封閉的調度數據專網,而且實現了嚴格的網絡分區(qū)、物理隔離等安全技術,這在很大程度上提高了中國電力系統(tǒng)應對網絡攻擊的能力。但仍必須看到,隨著國內電力系統(tǒng)的保護、控制水平的不斷提高,對信息網絡可靠性的依賴也日益增加,即使沒有惡意攻擊,信息環(huán)節(jié)失效也可能誘發(fā)電網運行風險,這在一些電網公司已經出現了類似的案例。因此著手從信息-能量耦合的視角,開展信息環(huán)節(jié)對能量系統(tǒng)安全性的定量評估是保證中國復雜電力系統(tǒng)可靠運行的當務之急。

     而隨著能源互聯(lián)網等概念的興起及電力市場改革的不斷推進,未來海量終端用戶可能通過無線通信、互聯(lián)網等方式與能源系統(tǒng)產生信息互動,在這一未來愿景下,已經不再是簡單的信息流調控能量流,而是信息流與能量流實現真正的融合,變成信息能源系統(tǒng)中密不可分、環(huán)環(huán)相套的組成部分。因此,考慮信息能量相互作用機理的信息能源系統(tǒng)綜合安全評估將具有重要的現實意義,盡快開展相關研究已不是未雨綢繆,而是迫在眉睫。