1停电事件
2015年12月23日,乌克兰电网遭遇突发停电事故,据媒体报道,本次停电事故由7个变电站开关动作引起,导致80000个用户停电,停电时间为3~6h不等。事故后,调查机构在电力调度通信网络中获取部分恶意软件的样本,结合停电过程的特征及影响,信息安全组织SANSICS于2016年1月9日明确宣称,本次事件确定为“网络协同攻击”造成的乌克兰电网停电事故(https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid)。过去,在研究电力系统信息安全问题时,往往将通信信息系统的问题简单归结为“信息扰动”或“二次系统扰动”,多从系统可用性的角度去分析信息通信基础架构可能会对电力物理系统运行造成的影响。但是,本次网络攻击事件的原理、手段及目标远远超出了信息扰动的范畴,很难将其归类为客观存在的概率性扰动问题,而是主观操作的计划性蓄意攻击问题。因此,其被认为是人类历史上信息安全影响电力系统运行的里程碑事件。
2网络协同攻击的作用过程推演
根据美国国防部“军事及相关术语词典”的定义:协同攻击是一种精心计划并执行的攻击行为,通过在攻击指令中融入多种因素,来获得最大化的打击效果。一般意义上,网络攻击行为可能会影响电力监控系统的某些功能运行,但未必会进一步导致停电事故,只有当攻击穿透了信息域与物理域的边界,最终作用于电力物理系统并造成失负荷甚至连锁故障时,才可认为达到了攻击效果。因此,定义针对电力系统的网络协同攻击为:采用多元化的网络攻击手段,攻击发生于信息域并明确作用于物理域目标,从时间和空间上造成电力系统停电损失最大化的组合攻击行为。
根据现有的数据样本、事故公开报道、事故后果与电力恢复过程,可以明确,本次事件属于网络协同攻击。其中,至少包含如下四类攻击。
1)攻击1:通过恶意软件影响了变电站监控系统的可用性,使得调度员无法远程监控变电站的状态。
2)攻击2:获取了变电站监控系统服务器的操作权限,进行了恶意倒闸操作,切除了变电站所带负荷。
3)攻击3:通过拒绝服务攻击(DDoS)对电力公司的网站和客户服务系统进行攻击,阻止了用户的事故报告,延长了停电时间。
4)攻击4:通过恶意软件擦写了变电站监控系统的服务器和工作站系统,不仅隐去了重要的攻击痕迹,还造成了监控系统到目前未完全恢复运行。
根据这四类攻击发生的前提条件及结果,可以推演电网受攻击时的运行状态变化如图1所示。需要说明的是,本文所描述的攻击过程是基于现有认知的一种可能性推测,图中的信息和物理基础架构仅代表实例效果,并不意味着与乌克兰电网的实际情况一一匹配。
图1网络协同攻击对电力系统的影响过程
通过攻击1,达到图1(b)所示的效果,此时,调度中心对右边多个变电站的运行状态完全无法感知,且无法进行控制。按目前所掌握的信息,攻击者是通过恶意软件来实现该过程,使得变电站监控系统的服务器及工作站与调度中心的连接中断。此处仍存在未知情况,比如恶意软件是如何进入变电站监控系统。目前,由于对乌克兰电网的实际情况并不了解,所以暂无法定论。
通过攻击2,达到图1(c)所示的效果。在调度中心无法感知的情况下,攻击者迅速获取了变电站监控系统主要服务器和工作站的访问权限,通过对关键开关设备的就地控制,断开各供电回路。这一攻击具体是如何实现的,现在公开的信息极为有限。逻辑上,要实现该过程,需要对变电站监控系统的软件平台有足够深入的了解,攻击者需要具有一定的电力系统工程背景。此外,按照目前电力系统的业务流程和应急手段,客户服务电话实际上是配电系统中实现故障区域定位、加快故障恢复过程的有效手段。但是,很明显攻击者不仅掌握了电力系统的运行特性,而且对电力企业的日常业务流程也非常了解。通过攻击3,在公网实现对客户服务系统的拒绝服务攻击,极大程度上延缓了故障恢复过程,延长了停电时间。
在攻击3完成后,攻击者继续实施了攻击4,实现对作案现场的清理,并导致变电站监控系统无法快速恢复功能,如图1(d)所示。电力企业为恢复供电,将变电站系统切换为手动运行模式,通过现场手动倒闸操作实现了变电站的恢复供电。但截至目前,受影响的变电站监控系统仍处于停运状态,该区域电网的运行仍存在安全风险。
由上述分析可知,攻击者对变电站监控系统软件及电网业务流程非常了解,通过有计划的协同攻击,实现了影响效果的最大化,攻击过程环环相套,每一层攻击都具有非常强的技术背景和破坏意图。最终的结果,本次网络攻击造成了区域配电系统停电,但协同攻击表现出极高的技术含量,有理由相信,攻击者已经具备了造成更大程度影响的技术实力和可能性。
3网络攻击事件对国内电力系统的启示
3.1信息基础设施的脆弱性是客观存在的
从信息安全的角度,系统脆弱性(vulnerability)又称系统漏洞,多指计算机系统在硬件、软件、协议设计与实现过程中,或系统安全策略上存在的缺陷和不足。非法用户可利用系统漏洞获得额外权限,在未经授权时访问系统资源,危害网络安全。为提高电力系统的自动化程度,各类电力监控系统中广泛采用含微处理器的设备,包括数据采集与监控(SCADA)系统中的服务器和工作站、带有可编程逻辑控制器(PLC)的变电站控制装置、远程终端单元(RTU)、测量仪表、继保装置、断路器、重合器等智能电子设备(IED)。这些设备采用常规的计算机操作系统或嵌入式系统,网络协议(如TCP/IP,Modbus,IEC61850等)也逐步公开化。理论上,电力监控系统中不仅存在常规计算机网络的系统漏洞,还存在由于嵌入式设备计算能力约束带来的特有的系统漏洞(如图2所示,对可能出现漏洞的位置用黄色惊叹号进行了标注)。由于物理网和信息网的互联互动,信息技术在给电力系统带来便利的同时,也引入了信息系统的脆弱性,使得电力网络的脆弱性更加复杂。
图2网络攻击下电力监控系统漏洞位置示意图
3.2现有安全防御体系难以抵御网络协同攻击
中国电力系统实施了比较严格的安全管理制度和防御体系,作为受攻击的核心对象,调度自动化及相关的变电站监控系统属于安全级别最高的安全Ⅰ区。为保证该区的信息安全,国内电网企业以安全分区、网络专用、横向隔离和纵向认证为原则,层层构建防护屏蔽,并在安全区内利用离线更新的方式进行木马和病毒检测。传统意义上,上述手段确实是解决信息安全问题最好的屏障,足以应对一般性的木马和病毒。
但问题在于,基于恶意软件的网络协同攻击并不同于一般性的木马和病毒,无论是2010年出现的震网病毒Stuxnet,还是本次乌克兰停电事件中涉及的新型恶意软件,可以毫不夸张地认为这些恶意软件已经达到了“武器级”的攻击水平。在渗入手段上,这些软件具有很强的漏洞利用和传播能力(比如震网病毒的传播扩散模式为通过巧妙设计的优盘传播机制,成功侵入物理隔离保护的核设施);在攻击手段上,这些软件具有自发的学习能力,在侵入核心设备后,通过对运行数据的读取及分析,能快速有效地选择攻击目标和方式;在潜伏性能上,这些恶意软件的运行样本很难获取,自然也很难研究出快速有效的检测机制。此外,国内调度自动化系统所使用的操作系统及业务软件大多属于商业化软件,根据公开渠道即可获取较多的重要信息,所采用主要通信规约(如IEC61850和IEC60870等)也属于公开的国际标准,理论上对网络协同攻击并不具备绝对的抵御能力。
3.3网络攻击不同于电力系统常规故障,也不同于物理攻击
常规故障由自然灾害、天气变化、过负荷、过电压、保护拒动或误动引起,表现为多种形式的短路和开路故障。常规故障造成的直接影响是物理网的元件故障,可能出现的严重后果是并列运行的发电机失去同步,破坏系统稳定,造成大面积停电事故。受客观因素影响,常规故障通常具有随机性;而网络攻击作用于电力信息基础设施后,受主观和客观两方面因素影响,能否引起电力一次元件故障虽存在不确定性,但目标性更强,事故概率更高。另外,常规故障下大量电力一次元件同时失效的可能性很小,但网络攻击下将较易出现大量电力一次元件互动失调(比如同时或先后误动作)的情况,造成递推式(cascading)系统失稳。
对电力系统的物理攻击可分为随机攻击和蓄意攻击两种。物理攻击主要来源于军事行动,以摧毁电力基础设施为根本目的,采用武力轰炸或石墨炸弹等手段,直接影响是造成大量输电线路、变电站、发电厂等退出运行,严重情况下将导致整个电力系统崩溃。对电力系统的网络攻击则不同,其利用信息域的系统漏洞,扰乱监控系统设备或通信网络的正常工作,借电力一次元件对信息基础设施的依存性将攻击造成的影响放大,达到引发电力系统停电甚至连锁故障的最终目的。网络攻击的整个过程隐蔽性强、潜伏期长、攻击代价小,或能达到类似于物理攻击的效果。
3.4现有的网络攻击分析方法仍存在不足
电力基础设施与信息基础设施之间存在相互依存关系,但二者却是两种完全不同的网络。从基础设施构成角度分析,电力基础设施由可以承受高电压、大电流的电力一次元件组成,而信息基础设施由负责通信和信息处理的电力二次元件组成,在构成上存在明显差异;从传输内容分析,电力基础设施中传输的是电流,而信息基础设施中传输的是信息流,传输内容明显不同。尽管针对每种基础设施的分析都可借鉴成熟的研究方法,但对于其依存关系的建模却刚刚起步,并因两基础设施的差异而存在较大困难。从复杂网络的视角,现代电力系统可视为信息网和物理网相互依存的超大规模二元复合网络,研究其安全理论特别是信息安全对整个电力系统运行的影响,在理论和工程两方面均具有重要意义。在这种情况下,就需要分析网络安全事件引起信息网故障,进而作用到物理网的动态过程与内在机理。到目前为止,针对该领域的研究仍缺乏完善的分析方法及工具。
相关阅读:
原标题:网络协同攻击—乌克兰停电事件的推演与启示
