一、電力系統(tǒng)概述
電力系統(tǒng)橫向來看是一個有機整體��,通過參與電能分配的一次設(shè)備將整個電力系統(tǒng)串接在一起����,電力系統(tǒng)按照業(yè)務(wù)來分��,一般分為發(fā)�、輸����、變、配���、用�、調(diào)度����,發(fā)電廠發(fā)出的電能需要經(jīng)過高壓變電后由輸電線路進行遠距離輸送,包含了從發(fā)電廠到供電公司配電系統(tǒng)的轉(zhuǎn)移過程�,配電通過將電力送達消費者完成電力系統(tǒng)的全部功能。此過程分一次��、二次系統(tǒng)�,一次系統(tǒng)直接參與電能的發(fā)輸、分配�、使用,二次系統(tǒng)對一次系統(tǒng)進行測控��、保護、調(diào)節(jié)�,而電力調(diào)度一定層度上保證電力系統(tǒng)的安全穩(wěn)定運行,對外可靠供電�,使電力生產(chǎn)有序進行采取的管理手段。
2009年5月21日����,我國公布了“堅強智能電網(wǎng)”計劃,隨著新技術(shù)的應用和更容易獲取的能源數(shù)據(jù)及設(shè)備的使用�����,越來越多的互通設(shè)備��,電力系統(tǒng)面臨的信息和生產(chǎn)安全威脅和影響也日益擴大���。下面分別從電力系統(tǒng)安全威脅與影響,電力系統(tǒng)攻擊場景分析����,第三方服務(wù)給電力系統(tǒng)帶來的安全隱患以及移動應用程序和移動設(shè)備在電力系統(tǒng)中安全說明。
二�、電力系統(tǒng)安全威脅與影響
- 面向消費者的安全威脅與影響
威脅:
消費者可能成為電力公司的威脅來源,也可能是威脅的受害者�。
- 個人和組織的威脅
盜竊:智能跟蹤者能夠利用電力公司對智能終端的訪問監(jiān)測信息完成惡意的行為,智能跟蹤者能夠根據(jù)電能的使用情況,分析出用戶的行為����,生活習慣等。
黑客:出于智力挑戰(zhàn)����、安全測試、惡作劇�、好奇心、金錢交易�����、權(quán)利�����、恐怖主義等動機入侵電力系統(tǒng)�。
金錢交易:出于金錢利益,利用惡意程序隱蔽植入電力系統(tǒng)��,進行贖回勒索��。
恐怖主義:通過攻擊電力系統(tǒng)�,恐怖分子能夠利用物理攻擊,如爆炸,也可以利用智能控制的數(shù)字化方式攻擊���,以此來引起關(guān)注或達到他們攻擊的目的����。
電力公司:來自電力公司內(nèi)部員工造成的電力干擾�����、隱私泄露�����、錯誤賬單等�����。
第三方服務(wù):電力系統(tǒng)中會依靠大量的第三方提供能夠增強電力系統(tǒng)效率和功能的核心服務(wù)及附加服務(wù)�。但是這些第三方也給電力系統(tǒng)帶來一些新的威脅和攻擊途徑。有決心的攻擊者在直接攻擊目標失敗后���,可能會轉(zhuǎn)而攻擊第三方再達到訪問原本目標的目的。
- 移動應用程序和移動設(shè)備
從提供數(shù)據(jù)訪問控制到運行系統(tǒng)遠程控制�����,移動應用程序?qū)⒃陔娏ο到y(tǒng)中發(fā)揮重要作用,隨著移動設(shè)備的繼續(xù)普及����,消費者和電力公司職員都將更多的把移動設(shè)備應用到他們的日常生活中,并將移動設(shè)備和電力系統(tǒng)進行交互�。因此,攻擊者會認為移動設(shè)備是更有攻擊價值的目標���。
移動設(shè)備通過專門為設(shè)備設(shè)計的移動應用程序訪問電力系統(tǒng)資源���。然而,移動應用程序會被各種可以訪問這些程序的設(shè)備攻擊�。由于大多數(shù)的移動應用程序可以訪問因特網(wǎng),攻擊者可以使用各種設(shè)備攻擊這些應用���。
- 自然威脅
如極端天氣和自然災害是接近50%的電力擾動事件的產(chǎn)生原因���,盡管可以通過在大部分電力系統(tǒng)區(qū)域構(gòu)造冗余減小威脅,對于消費者來說還是會出現(xiàn)單點失效的問題�,而自然威脅是不可能消除的。
?
影響:
- 對生產(chǎn)影響:電力系統(tǒng)信息安全威脅��,使生產(chǎn)安全得不到有效的保障,2015年烏克蘭電網(wǎng)事件證明了這一點��。
- 對隱私影響:隨著技術(shù)發(fā)展���,智能電表會自動的收集大量的信息并將信息傳送到供電公司��、消費者和第三方服務(wù)提供商�,這些數(shù)據(jù)可能包含侵害個人隱私的個人識別信息���,甚至可以根據(jù)當前電力負載得知什么設(shè)備正在運行�。
- 對可用性影響:電力系統(tǒng)的主要目的是保證消費者的用電���,而“消費者威脅”大多仍會影響電力的可用性����。
- 經(jīng)濟影響:如智能電表中被破壞的數(shù)據(jù)會導致不準確的賬單�����,導致消費者超額支付電力消費����。
- 面向電力公司的安全威脅與影響
場景1
- 威脅:消費者侵入自己智能儀表來修改發(fā)送到電力公司的使用信息。
- 攻擊途徑:當智能儀表內(nèi)有漏洞的網(wǎng)絡(luò)設(shè)備驅(qū)動程序被恰當?shù)睦脮r���,能夠執(zhí)行遠程代碼�,可以將定制的固件安裝到智能儀表上���。
- 影響:消費者能夠向電力公司瞞報自己的使用數(shù)據(jù)�����。
?
場景2
- 威脅:入侵者通過研究并編寫一個發(fā)送錯誤傳感器數(shù)據(jù)的程序��。
- 攻擊途徑:傳感器數(shù)據(jù)以一種未加密的形式從智能儀表被傳送到電力公司����。并捕獲智能儀表的流量和IP等信息�����,使用編寫的程序���,提示自己附近失去電力供應�。
- 影響:電力公司收到斷電信息后派人到現(xiàn)場進行排查�����,僅僅將其定位為一次系統(tǒng)的錯誤運轉(zhuǎn),低估了問題發(fā)生的性質(zhì)�。
?
場景3
- 威脅:某具有前科的組織要求小N加入組織時,需要入侵電力公司����,并造成足以在晚間新聞報道的斷電。
- 攻擊途徑:小N利用某地管理站的脆弱物理安全措施����,直接進入管理站,并獲得電力公司內(nèi)部網(wǎng)絡(luò)的訪問權(quán)�,小N對該地管理站實施了拒絕服務(wù)攻擊(DOS)。
- 影響:該管理站受到了拒絕服務(wù)攻擊的沖擊���,工作設(shè)備獲取數(shù)據(jù)被破壞���,電力公司收費延遲,小N成功展示自己的攻擊能力��,獲得組織認可��。
?
場景4
- 威脅:一名職業(yè)黑客受雇于某基地組織�,該組織進行恐怖行動����。
- 攻擊途徑:職業(yè)黑客利用社工�,創(chuàng)造一個感染電力公司的蠕蟲�����,該蠕蟲具有命令控制功能���,獲取各個組織內(nèi)部基礎(chǔ)設(shè)施更大的訪問權(quán)限�,在執(zhí)行攻擊時����,他已經(jīng)控制了70%的較大的電力配電&變電的管理訪問權(quán)限。
- 影響:職業(yè)黑客關(guān)閉的70%配電或變電開關(guān)設(shè)備�����,使其斷電�,斷電造成大面積的恐慌,直到蠕蟲根除�,最終嚴重損害了國家利益。
三�、電力系統(tǒng)攻擊分析
以烏克蘭電網(wǎng)安全事件為例�����,烏克蘭首都基輔的部分地區(qū)和烏克蘭西部的 140 萬名居民突然遭遇了一次長達數(shù)小時的大規(guī)模停電��,事件證明信息安全對生產(chǎn)安全的影響�。
再以Slammer蠕蟲病毒入侵了俄亥俄州Davis-Besse核電站���,導致安全監(jiān)控系統(tǒng)崩潰為例����。保護電廠的防火墻封鎖了Slammer傳播使用的端口�����,但是�����,連接Davis-Besse公司網(wǎng)絡(luò)和其承包商的一根T1線開放的����。Slammer蠕蟲先感染承包商網(wǎng)絡(luò),然后通過T1線路旁路防火墻傳播給Davis-Besse公司的網(wǎng)絡(luò)。Davis-Besse公司再傳給電廠網(wǎng)絡(luò)�,導致冷卻系統(tǒng)核心溫度傳感器以及外部輻射傳感器的監(jiān)控系統(tǒng)崩潰。
對于漏洞的利用能夠產(chǎn)生很多結(jié)果���,包括拒絕服務(wù)��、信息泄露�、遠程代碼執(zhí)行等�。遠程代碼執(zhí)行通常通過產(chǎn)生一個允許攻擊者在目標系統(tǒng)上執(zhí)行操作系統(tǒng)命令的遠程命令shell來完成����,然后配合上傳腳本,竊取密碼文件和本地緩沖區(qū)中的網(wǎng)絡(luò)域名憑證等���。電力系統(tǒng)中�,SCADA系統(tǒng)����、測控、保護裝置等使用通用的協(xié)議�����,存在大量的漏洞,這些漏洞或許是已經(jīng)發(fā)現(xiàn)的��,通過很多開源的漏洞掃描器如OpenVAS等都能夠掃出一些漏洞����,也有未知的漏洞,對電網(wǎng)工控協(xié)議�����,設(shè)備自身等進行fuzzing��,能夠發(fā)現(xiàn)不少未知的漏洞����。
另外,對應用程序的攻擊�����,如CRSF�,在客戶端自動地將用戶會話身份標識附加在請求里面,CSRF負載包含一個或更多的偽造用戶賬戶簽名的請求等��。對電力系統(tǒng)中WIFI�、藍牙�、蜂窩網(wǎng)絡(luò)�、RFID等無線攻擊從而旁路邊界安全控制。利用社工及物理等攻擊都會給電力生產(chǎn)系統(tǒng)造成直接或間接的破壞�����。
四����、電力系統(tǒng)安全技術(shù)防護建議
對于電力系統(tǒng)面臨的安全威脅,提供以下建議:
- 威脅建模����,為了讓方案設(shè)計師����、開發(fā)者或者軟件能夠識別其部署存在的潛在攻擊路徑。
- 白名單�����,建立白名單機制���,在電力工控系統(tǒng)的上位機����,關(guān)鍵節(jié)點的服務(wù)器上部署應用白名單軟件,阻止惡意代碼執(zhí)行和非法外聯(lián)���,其工控網(wǎng)絡(luò)通過深度解析電力系統(tǒng)工控協(xié)議如IEC 61850\60870系列���、Modbus、S7等阻止或監(jiān)測工控網(wǎng)絡(luò)非法流量���。
- 代碼命令簽名�,利用哈希加密驗證來驗證軟件ID及準備運行的代碼完整性�����,對關(guān)鍵電力系統(tǒng)命令實施簽名�����。
- 蜜罐��,在實際環(huán)境隔離的虛擬環(huán)境中���,識別和跟蹤攻擊者�。
- 數(shù)據(jù)加密,防止數(shù)據(jù)收到損害或內(nèi)部威脅���。
- 漏洞管理����,通過了解電力系統(tǒng)中存在的漏洞位置���,電力公司根據(jù)基于有效的處理風險的方法管理漏洞���,避免電力系統(tǒng)無法處置經(jīng)常性的威脅和攻擊。
- 滲透測試���,應聘請滲透測試專家對電力系統(tǒng)的關(guān)鍵環(huán)境進行周期性安全評定����。
- 源代碼審查�����,通過審查軟件源代碼尋找漏洞���。
- 配置加強��,建議使用加固后的系統(tǒng)映像來建立系統(tǒng)�����,然后在加固后的系統(tǒng)映像上進行滲透測試實驗����,漏洞挖掘等��。
- 強認證��,防止對資產(chǎn)的未授權(quán)訪問�。
- 日志和監(jiān)控,用于識別攻擊以及在安全事件發(fā)生時重構(gòu)系統(tǒng)事件����。
建立和發(fā)展一個信息安全方案是電力系統(tǒng)安全的基礎(chǔ),不能按照一個特定的模式來實施�����,應根據(jù)實際需要���,建立一套安全可行的安全防御體系和方案�����。
