一、電力系統(tǒng)概述

電力系統(tǒng)橫向來看是一個有機整體，通過參與電能分配的一次設備將整個電力系統(tǒng)串接在一起，電力系統(tǒng)按照業(yè)務來分，一般分為發(fā)、輸、變、配、用、調度，發(fā)電廠發(fā)出的電能需要經過高壓變電后由輸電線路進行遠距離輸送，包含了從發(fā)電廠到供電公司配電系統(tǒng)的轉移過程，配電通過將電力送達消費者完成電力系統(tǒng)的全部功能。此過程分一次、二次系統(tǒng)，一次系統(tǒng)直接參與電能的發(fā)輸、分配、使用，二次系統(tǒng)對一次系統(tǒng)進行測控、保護、調節(jié)，而電力調度一定層度上保證電力系統(tǒng)的安全穩(wěn)定運行，對外可靠供電，使電力生產有序進行采取的管理手段。

2009年5月21日，我國公布了“堅強智能電網”計劃，隨著新技術的應用和更容易獲取的能源數據及設備的使用，越來越多的互通設備，電力系統(tǒng)面臨的信息和生產安全威脅和影響也日益擴大。下面分別從電力系統(tǒng)安全威脅與影響，電力系統(tǒng)攻擊場景分析，第三方服務給電力系統(tǒng)帶來的安全隱患以及移動應用程序和移動設備在電力系統(tǒng)中安全說明。

二、電力系統(tǒng)安全威脅與影響

1. 面向消費者的安全威脅與影響

威脅：

消費者可能成為電力公司的威脅來源，也可能是威脅的受害者。

1. 個人和組織的威脅

盜竊：智能跟蹤者能夠利用電力公司對智能終端的訪問監(jiān)測信息完成惡意的行為，智能跟蹤者能夠根據電能的使用情況，分析出用戶的行為，生活習慣等。

黑客：出于智力挑戰(zhàn)、安全測試、惡作劇、好奇心、金錢交易、權利、恐怖主義等動機入侵電力系統(tǒng)。

金錢交易：出于金錢利益，利用惡意程序隱蔽植入電力系統(tǒng)，進行贖回勒索。

恐怖主義：通過攻擊電力系統(tǒng)，恐怖分子能夠利用物理攻擊，如爆炸，也可以利用智能控制的數字化方式攻擊，以此來引起關注或達到他們攻擊的目的。

電力公司：來自電力公司內部員工造成的電力干擾、隱私泄露、錯誤賬單等。

第三方服務：電力系統(tǒng)中會依靠大量的第三方提供能夠增強電力系統(tǒng)效率和功能的核心服務及附加服務。但是這些第三方也給電力系統(tǒng)帶來一些新的威脅和攻擊途徑。有決心的攻擊者在直接攻擊目標失敗后，可能會轉而攻擊第三方再達到訪問原本目標的目的。

2. 移動應用程序和移動設備

從提供數據訪問控制到運行系統(tǒng)遠程控制，移動應用程序將在電力系統(tǒng)中發(fā)揮重要作用，隨著移動設備的繼續(xù)普及，消費者和電力公司職員都將更多的把移動設備應用到他們的日常生活中，并將移動設備和電力系統(tǒng)進行交互。因此，攻擊者會認為移動設備是更有攻擊價值的目標。

移動設備通過專門為設備設計的移動應用程序訪問電力系統(tǒng)資源。然而，移動應用程序會被各種可以訪問這些程序的設備攻擊。由于大多數的移動應用程序可以訪問因特網，攻擊者可以使用各種設備攻擊這些應用。

3. 自然威脅

如極端天氣和自然災害是接近50%的電力擾動事件的產生原因，盡管可以通過在大部分電力系統(tǒng)區(qū)域構造冗余減小威脅，對于消費者來說還是會出現單點失效的問題，而自然威脅是不可能消除的。

?

影響：

1. 對生產影響：電力系統(tǒng)信息安全威脅，使生產安全得不到有效的保障，2015年烏克蘭電網事件證明了這一點。
2. 對隱私影響：隨著技術發(fā)展，智能電表會自動的收集大量的信息并將信息傳送到供電公司、消費者和第三方服務提供商，這些數據可能包含侵害個人隱私的個人識別信息，甚至可以根據當前電力負載得知什么設備正在運行。
3. 對可用性影響：電力系統(tǒng)的主要目的是保證消費者的用電，而“消費者威脅”大多仍會影響電力的可用性。
4. 經濟影響：如智能電表中被破壞的數據會導致不準確的賬單，導致消費者超額支付電力消費。

1. 面向電力公司的安全威脅與影響

場景1

1. 威脅：消費者侵入自己智能儀表來修改發(fā)送到電力公司的使用信息。
2. 攻擊途徑：當智能儀表內有漏洞的網絡設備驅動程序被恰當的利用時，能夠執(zhí)行遠程代碼，可以將定制的固件安裝到智能儀表上。
3. 影響：消費者能夠向電力公司瞞報自己的使用數據。

?

場景2

1. 威脅：入侵者通過研究并編寫一個發(fā)送錯誤傳感器數據的程序。
2. 攻擊途徑：傳感器數據以一種未加密的形式從智能儀表被傳送到電力公司。并捕獲智能儀表的流量和IP等信息，使用編寫的程序，提示自己附近失去電力供應。
3. 影響：電力公司收到斷電信息后派人到現場進行排查，僅僅將其定位為一次系統(tǒng)的錯誤運轉，低估了問題發(fā)生的性質。

?

場景3

1. 威脅：某具有前科的組織要求小N加入組織時，需要入侵電力公司，并造成足以在晚間新聞報道的斷電。
2. 攻擊途徑：小N利用某地管理站的脆弱物理安全措施，直接進入管理站，并獲得電力公司內部網絡的訪問權，小N對該地管理站實施了拒絕服務攻擊（DOS）。
3. 影響：該管理站受到了拒絕服務攻擊的沖擊，工作設備獲取數據被破壞，電力公司收費延遲，小N成功展示自己的攻擊能力，獲得組織認可。

?

場景4

1. 威脅：一名職業(yè)黑客受雇于某基地組織，該組織進行恐怖行動。
2. 攻擊途徑：職業(yè)黑客利用社工，創(chuàng)造一個感染電力公司的蠕蟲，該蠕蟲具有命令控制功能，獲取各個組織內部基礎設施更大的訪問權限，在執(zhí)行攻擊時，他已經控制了70%的較大的電力配電&變電的管理訪問權限。
3. 影響：職業(yè)黑客關閉的70%配電或變電開關設備，使其斷電，斷電造成大面積的恐慌，直到蠕蟲根除，最終嚴重損害了國家利益。

三、電力系統(tǒng)攻擊分析

以烏克蘭電網安全事件為例，烏克蘭首都基輔的部分地區(qū)和烏克蘭西部的 140 萬名居民突然遭遇了一次長達數小時的大規(guī)模停電，事件證明信息安全對生產安全的影響。

再以Slammer蠕蟲病毒入侵了俄亥俄州Davis-Besse核電站，導致安全監(jiān)控系統(tǒng)崩潰為例。保護電廠的防火墻封鎖了Slammer傳播使用的端口，但是，連接Davis-Besse公司網絡和其承包商的一根T1線開放的。Slammer蠕蟲先感染承包商網絡，然后通過T1線路旁路防火墻傳播給Davis-Besse公司的網絡。Davis-Besse公司再傳給電廠網絡，導致冷卻系統(tǒng)核心溫度傳感器以及外部輻射傳感器的監(jiān)控系統(tǒng)崩潰。

對于漏洞的利用能夠產生很多結果，包括拒絕服務、信息泄露、遠程代碼執(zhí)行等。遠程代碼執(zhí)行通常通過產生一個允許攻擊者在目標系統(tǒng)上執(zhí)行操作系統(tǒng)命令的遠程命令shell來完成，然后配合上傳腳本，竊取密碼文件和本地緩沖區(qū)中的網絡域名憑證等。電力系統(tǒng)中，SCADA系統(tǒng)、測控、保護裝置等使用通用的協(xié)議，存在大量的漏洞，這些漏洞或許是已經發(fā)現的，通過很多開源的漏洞掃描器如OpenVAS等都能夠掃出一些漏洞，也有未知的漏洞，對電網工控協(xié)議，設備自身等進行fuzzing，能夠發(fā)現不少未知的漏洞。

另外，對應用程序的攻擊，如CRSF，在客戶端自動地將用戶會話身份標識附加在請求里面，CSRF負載包含一個或更多的偽造用戶賬戶簽名的請求等。對電力系統(tǒng)中WIFI、藍牙、蜂窩網絡、RFID等無線攻擊從而旁路邊界安全控制。利用社工及物理等攻擊都會給電力生產系統(tǒng)造成直接或間接的破壞。

四、電力系統(tǒng)安全技術防護建議

對于電力系統(tǒng)面臨的安全威脅，提供以下建議：

1. 威脅建模，為了讓方案設計師、開發(fā)者或者軟件能夠識別其部署存在的潛在攻擊路徑。
2. 白名單，建立白名單機制，在電力工控系統(tǒng)的上位機，關鍵節(jié)點的服務器上部署應用白名單軟件，阻止惡意代碼執(zhí)行和非法外聯(lián)，其工控網絡通過深度解析電力系統(tǒng)工控協(xié)議如IEC 61850\60870系列、Modbus、S7等阻止或監(jiān)測工控網絡非法流量。
3. 代碼命令簽名，利用哈希加密驗證來驗證軟件ID及準備運行的代碼完整性，對關鍵電力系統(tǒng)命令實施簽名。
4. 蜜罐，在實際環(huán)境隔離的虛擬環(huán)境中，識別和跟蹤攻擊者。
5. 數據加密，防止數據收到損害或內部威脅。
6. 漏洞管理，通過了解電力系統(tǒng)中存在的漏洞位置，電力公司根據基于有效的處理風險的方法管理漏洞，避免電力系統(tǒng)無法處置經常性的威脅和攻擊。
7. 滲透測試，應聘請滲透測試專家對電力系統(tǒng)的關鍵環(huán)境進行周期性安全評定。
8. 源代碼審查，通過審查軟件源代碼尋找漏洞。
9. 配置加強，建議使用加固后的系統(tǒng)映像來建立系統(tǒng)，然后在加固后的系統(tǒng)映像上進行滲透測試實驗，漏洞挖掘等。
10. 強認證，防止對資產的未授權訪問。
11. 日志和監(jiān)控，用于識別攻擊以及在安全事件發(fā)生時重構系統(tǒng)事件。

建立和發(fā)展一個信息安全方案是電力系統(tǒng)安全的基礎，不能按照一個特定的模式來實施，應根據實際需要，建立一套安全可行的安全防御體系和方案。