2015年圣誕節(jié)期間,烏克蘭國內(nèi)多個(gè)區(qū)域的電網(wǎng)因遭遇黑客攻擊,導(dǎo)致發(fā)生大規(guī)模停電。達(dá)拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網(wǎng)中植入的惡意軟件導(dǎo)致了這次嚴(yán)重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網(wǎng)絡(luò)攻擊主要是竊取數(shù)據(jù)或者財(cái)物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網(wǎng)站的一篇報(bào)道稱烏克蘭停電是網(wǎng)絡(luò)攻擊的“里程碑”(cyberattackmilestone)。

     1烏克蘭停電事1件回顧

     2015年圣誕節(jié)期間,烏克蘭國內(nèi)多個(gè)區(qū)域的電網(wǎng)因遭遇黑客攻擊,導(dǎo)致發(fā)生大規(guī)模停電。達(dá)拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網(wǎng)中植入的惡意軟件導(dǎo)致了這次嚴(yán)重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網(wǎng)絡(luò)攻擊主要是竊取數(shù)據(jù)或者財(cái)物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網(wǎng)站的一篇報(bào)道稱烏克蘭停電是網(wǎng)絡(luò)攻擊的“里程碑”(cyberattackmilestone)。長(zhǎng)久以來,人們一直將電力系統(tǒng)視為一種負(fù)責(zé)能量產(chǎn)生、傳輸、分配與使用的物理系統(tǒng)。然而造成此次事故的關(guān)鍵原因,并不是因?yàn)槲锢黼娋W(wǎng)的元件故障,而是因病毒引起的能量管理系統(tǒng)(energymanagementsystem,EMS,一些報(bào)告中也寫作remotemanagementsystem)失效。換言之,在這次大停電事故中,信息系統(tǒng)的擾動(dòng)導(dǎo)致了物理電網(wǎng)運(yùn)行的失效。這次事故發(fā)生不久便獲得了世界范圍內(nèi)的廣泛關(guān)注,同時(shí)也將電力系統(tǒng)的信息安全問題擺在了人們面前,成為建設(shè)與完善電力系統(tǒng)乃至未來的能源互聯(lián)網(wǎng)所不可回避的重要挑戰(zhàn)。

     2停電過程的回顧與分析

     如上節(jié)所述,信息網(wǎng)絡(luò)的失效是導(dǎo)致此次事故的關(guān)鍵原因。現(xiàn)代電力系統(tǒng)中,以數(shù)據(jù)采集與監(jiān)控/能量管理系統(tǒng)/廣域測(cè)量系統(tǒng)(SCADA/EMS/WAMS)為典型代表的二次信息系統(tǒng),在現(xiàn)代電力系統(tǒng)的感知與控制中扮演著愈發(fā)關(guān)鍵的角色。一個(gè)典型的信息-物理耦合電力系統(tǒng)的架構(gòu)如圖1所示。

     在電力系統(tǒng)日常運(yùn)行中,SCADA/EMS/WAMS等可實(shí)現(xiàn)廣域信息實(shí)時(shí)感知(RTU/PMU)、信息傳輸(電力載波/光纖網(wǎng)、各種規(guī)約形式)、信息處理(壞數(shù)據(jù)辨識(shí)/狀態(tài)估計(jì))、信息決策(潮流分析/安全分析/優(yōu)化計(jì)算)、閉環(huán)控制(AGC/AVC)等多項(xiàng)功能,從空間上覆蓋上千千米,從時(shí)間上涵蓋毫秒到小時(shí)級(jí),從目標(biāo)上兼顧安全、優(yōu)質(zhì)和經(jīng)濟(jì)等多種要求。可以說,現(xiàn)代電力系統(tǒng)的正常運(yùn)行無時(shí)無刻不依賴于一個(gè)可靠的信息系統(tǒng),是一個(gè)典型的信息-能量融合系統(tǒng)(國內(nèi)專家也將其定義為信息能源系統(tǒng))。正因如此,信息系統(tǒng)的失效也將顯著影響物理電網(wǎng)。當(dāng)信息故障發(fā)生時(shí),如信息傳輸發(fā)生中斷或延時(shí)或被惡意修改,很可能誘使信息系統(tǒng)作出錯(cuò)誤的決策甚至直接失效,從而影響電網(wǎng)的運(yùn)行狀態(tài)。值得注意的是,惡意的信息攻擊文件可通過四通八達(dá)的信息網(wǎng)絡(luò)進(jìn)行快速而廣泛地復(fù)制與擴(kuò)散,這又進(jìn)一步提升了信息攻擊的作用范圍與影響。信息故障影響電力系統(tǒng)運(yùn)行的示意圖如圖2所示。

     圖2信息故障影響電力系統(tǒng)運(yùn)行的示意圖

     據(jù)SANSICS小組對(duì)本次事故的報(bào)告,外部電腦病毒被植入烏克蘭電網(wǎng)公司的EMS后,使底層發(fā)電機(jī)或變電站的控制服務(wù)器關(guān)機(jī)，喪失對(duì)相應(yīng)物理設(shè)備的感知與控制能力(theutilitybegantodisconnectpowersubstationsfornoapparentreason)，從而導(dǎo)致部分設(shè)備運(yùn)行中斷。此外,病毒利用通信網(wǎng)絡(luò)進(jìn)行了大范圍的傳播和感染,這使得烏克蘭電網(wǎng)公司失去了與底層多個(gè)發(fā)電站及變電站的通信聯(lián)系,從而進(jìn)一步喪失了對(duì)電網(wǎng)的實(shí)時(shí)感知與控制能力,無法進(jìn)行正確決策,進(jìn)而引發(fā)大范圍停電。事故發(fā)生后,烏克蘭電網(wǎng)公司被迫停止EMS,啟動(dòng)人工控制以恢復(fù)供電。截至當(dāng)前,即使供電已經(jīng)恢復(fù),原有的EMS/SCADA系統(tǒng)的部分功能因被病毒攻擊依然長(zhǎng)時(shí)間處于離線狀態(tài),本次網(wǎng)絡(luò)攻擊的影響仍在持續(xù)。

     3信息能源系統(tǒng)的薄弱環(huán)節(jié)評(píng)估

     本次的烏克蘭大停電事故中,惡意信息攻擊使得電力信息系統(tǒng)部分環(huán)節(jié)失效(控制服務(wù)器關(guān)機(jī)),從而影響物理電網(wǎng)的運(yùn)行,造成了區(qū)域性大停電的嚴(yán)重后果。目前關(guān)于事件的詳細(xì)報(bào)道和分析尚不多見,因此還難以判斷很多內(nèi)部技術(shù)細(xì)節(jié)。從最終效果來看,此次事故毫無疑問造成了重大的經(jīng)濟(jì)與社會(huì)影響,攻擊者也達(dá)到了預(yù)期目標(biāo)。然而值得注意的是,這是一次“簡(jiǎn)單粗暴”的攻擊,使用的BlackEnergy惡意軟件也并非為電力系統(tǒng)量身打造的“定制版”,攻擊者是通過大面積、無差別的攻擊電力信息網(wǎng)絡(luò)中的相關(guān)設(shè)備,使其強(qiáng)制關(guān)機(jī),從而影響系統(tǒng)安全運(yùn)行。

     這讓筆者聯(lián)想起《笑傲江湖》一書中令狐沖在破廟外奮起一劍,刺瞎十五名高手的眼睛,正類似于通過攻擊“信息采集系統(tǒng)”最終迫使這些高手退出“物理運(yùn)行”。但此時(shí)令狐沖處于劍法尚未大成的境界,隨著情節(jié)進(jìn)展,會(huì)逐漸修煉到專門看穿別人招數(shù)中的破綻,然后一招制勝,完美攻擊。同樣令人擔(dān)憂的是,未來能源系統(tǒng)所面對(duì)的惡意攻擊者會(huì)不會(huì)也通過“修煉”來使得攻擊日益“完美”。相比于此次事故中的“無差別攻擊”,這類直奔“命門”而去的信息攻擊雖然難度更大、代價(jià)較高,但是其目的明確、攻擊手段隱蔽、識(shí)別難度大,且攻擊者可根據(jù)自身需求針對(duì)性地影響系統(tǒng)運(yùn)行狀態(tài),對(duì)未來能源系統(tǒng)的影響更為惡劣,因而更值得大家關(guān)注。

     事實(shí)上,已有研究表明,當(dāng)攻擊者具備一定電力系統(tǒng)知識(shí)時(shí),可制定精確的攻擊策略,通過針對(duì)性的壞數(shù)據(jù)注入和權(quán)限獲取,能夠在無法被控制中心辨識(shí)的條件下影響電力系統(tǒng)的運(yùn)行或使自己獲得不正當(dāng)利益。例如,針對(duì)狀態(tài)估計(jì)(stateestimation)應(yīng)用,攻擊者可通過修正部分量測(cè)信號(hào),影響控制中心狀態(tài)估計(jì)結(jié)果(如開關(guān)狀態(tài)、量測(cè)狀態(tài)、系統(tǒng)拓?fù)浔孀R(shí)出錯(cuò)),進(jìn)而導(dǎo)致系統(tǒng)決策錯(cuò)誤。又如,電力市場(chǎng)環(huán)境下,攻擊者可通過惡意信息注入影響系統(tǒng)的邊際電價(jià)決策結(jié)果,提升自身收益。

     這次事故敲響了惡意信息攻擊可以誘發(fā)電網(wǎng)運(yùn)行風(fēng)險(xiǎn)的警鐘。而實(shí)際電網(wǎng)運(yùn)行時(shí),信息系統(tǒng)除受到惡意攻擊外,還可能頻繁面臨由于無意錯(cuò)誤(如工作人員失誤)導(dǎo)致的功能失效,這種信息環(huán)節(jié)的功能失效同樣會(huì)誘發(fā)物理環(huán)節(jié)的運(yùn)行風(fēng)險(xiǎn)。2003年美加“8•14”大停電是一個(gè)最典型的示例。其發(fā)生的一個(gè)重要原因是EMS中的狀態(tài)估計(jì)功能退出運(yùn)行,調(diào)度人員失去了對(duì)電網(wǎng)實(shí)時(shí)狀態(tài)的感知能力,未能及時(shí)發(fā)現(xiàn)、評(píng)估和遏制故障蔓延。

    “破綻”即薄弱環(huán)節(jié)。電力系統(tǒng)在運(yùn)行過程中需要在線進(jìn)行靜態(tài)或暫態(tài)安全評(píng)估,其目標(biāo)就是讓運(yùn)行人員了解電力系統(tǒng)運(yùn)行的薄弱環(huán)節(jié)。而隨著信息環(huán)節(jié)與能量系統(tǒng)的日益融合,整個(gè)信息能源系統(tǒng)的薄弱環(huán)節(jié)可能不再局限于物理系統(tǒng)內(nèi)部,信息環(huán)節(jié)或?qū)⒊蔀樾碌陌⒖α鹚怪唷＿@種薄弱環(huán)節(jié)可能成為“點(diǎn)穴式”惡意攻擊的理想標(biāo)靶,也可能由于某種無意錯(cuò)誤誘發(fā)意外風(fēng)險(xiǎn)。尤其是在閉環(huán)決策與控制日益增加的情境下,信息故障將變得更為普遍而多樣化,極可能進(jìn)一步殃及能量系統(tǒng)。因此,通過信息-能量耦合建模、分析與安全評(píng)估,定位整個(gè)信息能源系統(tǒng)的薄弱環(huán)節(jié),將是一個(gè)全新的研究課題。

     4對(duì)中國的啟示

     此次烏克蘭大停電事故告訴大家,即使物理電網(wǎng)狀態(tài)正常,信息系統(tǒng)的失效也同樣可對(duì)系統(tǒng)造成嚴(yán)重的影響。換言之,物理電網(wǎng)的安全評(píng)估結(jié)果并不等價(jià)于全系統(tǒng)的安全,信息系統(tǒng)評(píng)估應(yīng)當(dāng)成為電力系統(tǒng)評(píng)估體系的重要組成部分。

     信息網(wǎng)絡(luò)的數(shù)據(jù)交互途徑、接入點(diǎn)數(shù)量、傳輸內(nèi)容與網(wǎng)絡(luò)參與者等多個(gè)因素都將影響網(wǎng)絡(luò)的信息安全。在國外,尤其是歐美發(fā)達(dá)國家,隨著電力服務(wù)的細(xì)化與電力市場(chǎng)的普及,電力系統(tǒng)運(yùn)行對(duì)信息與通信有著更高的需求。現(xiàn)有研究及報(bào)告顯示,歐美國家的電力信息系統(tǒng),可依托于專用有線信息網(wǎng)絡(luò)(如主網(wǎng)的EMS服務(wù)),公共信息網(wǎng)絡(luò)Internet(如市場(chǎng)報(bào)價(jià)、需求側(cè)響應(yīng)、分布式能源、電動(dòng)汽車優(yōu)化充電服務(wù)),甚至無線網(wǎng)絡(luò)(如電廠及小規(guī)模電網(wǎng)的能量管理服務(wù))實(shí)現(xiàn),且參與者可獲得的網(wǎng)絡(luò)資源更多,信息權(quán)限更大,更容易接入并影響信息系統(tǒng)乃至整個(gè)電力系統(tǒng)的運(yùn)行。這為惡意攻擊者提供了方便之門。

     現(xiàn)階段中國的電網(wǎng)調(diào)度運(yùn)行主要基于較為封閉的調(diào)度數(shù)據(jù)專網(wǎng),而且實(shí)現(xiàn)了嚴(yán)格的網(wǎng)絡(luò)分區(qū)、物理隔離等安全技術(shù),這在很大程度上提高了中國電力系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。但仍必須看到,隨著國內(nèi)電力系統(tǒng)的保護(hù)、控制水平的不斷提高,對(duì)信息網(wǎng)絡(luò)可靠性的依賴也日益增加,即使沒有惡意攻擊,信息環(huán)節(jié)失效也可能誘發(fā)電網(wǎng)運(yùn)行風(fēng)險(xiǎn),這在一些電網(wǎng)公司已經(jīng)出現(xiàn)了類似的案例。因此著手從信息-能量耦合的視角,開展信息環(huán)節(jié)對(duì)能量系統(tǒng)安全性的定量評(píng)估是保證中國復(fù)雜電力系統(tǒng)可靠運(yùn)行的當(dāng)務(wù)之急。

     而隨著能源互聯(lián)網(wǎng)等概念的興起及電力市場(chǎng)改革的不斷推進(jìn),未來海量終端用戶可能通過無線通信、互聯(lián)網(wǎng)等方式與能源系統(tǒng)產(chǎn)生信息互動(dòng),在這一未來愿景下,已經(jīng)不再是簡(jiǎn)單的信息流調(diào)控能量流,而是信息流與能量流實(shí)現(xiàn)真正的融合,變成信息能源系統(tǒng)中密不可分、環(huán)環(huán)相套的組成部分。因此,考慮信息能量相互作用機(jī)理的信息能源系統(tǒng)綜合安全評(píng)估將具有重要的現(xiàn)實(shí)意義,盡快開展相關(guān)研究已不是未雨綢繆,而是迫在眉睫。