3.2现有安全防御体系难以抵御网络协同攻击
中国电力系统实施了比较严格的安全管理制度和防御体系, 作为受攻击的核心对象, 调度自动化及相关的变电站监控系统属于安全级别最高的安全Ⅰ区。为保证该区的信息安全, 国内电网企业以安全分区、网络专用、横向隔离和纵向认证为原则, 层层构建防护屏蔽, 并在安全区内利用离线更新的方式进行木马和病毒检测。传统意义上, 上述手段确实是解决信息安全问题最好的屏障, 足以应对一般性的木马和病毒。
但问题在于, 基于恶意软件的网络协同攻击并不同于一般性的木马和病毒, 无论是2010年出现的震网病毒Stuxnet, 还是本次乌克兰停电事件中涉及的新型恶意软件, 可以毫不夸张地认为这些恶意软件已经达到了“武器级”的攻击水平。在渗入手段上, 这些软件具有很强的漏洞利用和传播能力(比如震网病毒的传播扩散模式为通过巧妙设计的优盘传播机制, 成功侵入物理隔离保护的核设施); 在攻击手段上, 这些软件具有自发的学习能力, 在侵入核心设备后, 通过对运行数据的读取及分析, 能快速有效地选择攻击目标和方式; 在潜伏性能上, 这些恶意软件的运行样本很难获取, 自然也很难研究出快速有效的检测机制。此外, 国内调度自动化系统所使用的操作系统及业务软件大多属于商业化软件, 根据公开渠道即可获取较多的重要信息, 所采用主要通信规约(如IEC 61850和IEC 60870等)也属于公开的国际标准, 理论上对网络协同攻击并不具备绝对的抵御能力。
3.3网络攻击不同于电力系统常规故障, 也不同于物理攻击
常规故障由自然灾害、天气变化、过负荷、过电压、保护拒动或误动引起, 表现为多种形式的短路和开路故障。常规故障造成的直接影响是物理网的元件故障, 可能出现的严重后果是并列运行的发电机失去同步, 破坏系统稳定, 造成大面积停电事故。受客观因素影响, 常规故障通常具有随机性; 而网络攻击作用于电力信息基础设施后, 受主观和客观两方面因素影响, 能否引起电力一次元件故障虽存在不确定性, 但目标性更强, 事故概率更高。另外, 常规故障下大量电力一次元件同时失效的可能性很小, 但网络攻击下将较易出现大量电力一次元件互动失调(比如同时或先后误动作)的情况, 造成递推式(cascading)系统失稳。
对电力系统的物理攻击可分为随机攻击和蓄意攻击两种。物理攻击主要来源于军事行动, 以摧毁电力基础设施为根本目的, 采用武力轰炸或石墨炸弹等手段, 直接影响是造成大量输电线路、变电站、发电厂等退出运行, 严重情况下将导致整个电力系统崩溃。对电力系统的网络攻击则不同, 其利用信息域的系统漏洞, 扰乱监控系统设备或通信网络的正常工作, 借电力一次元件对信息基础设施的依存性将攻击造成的影响放大, 达到引发电力系统停电甚至连锁故障的最终目的。网络攻击的整个过程隐蔽性强、潜伏期长、攻击代价小, 或能达到类似于物理攻击的效果。
3.4现有的网络攻击分析方法仍存在不足
电力基础设施与信息基础设施之间存在相互依存关系, 但二者却是两种完全不同的网络。从基础设施构成角度分析, 电力基础设施由可以承受高电压、大电流的电力一次元件组成, 而信息基础设施由负责通信和信息处理的电力二次元件组成, 在构成上存在明显差异; 从传输内容分析, 电力基础设施中传输的是电流, 而信息基础设施中传输的是信息流, 传输内容明显不同。尽管针对每种基础设施的分析都可借鉴成熟的研究方法, 但对于其依存关系的建模却刚刚起步, 并因两基础设施的差异而存在较大困难。从复杂网络的视角, 现代电力系统可视为信息网和物理网相互依存的超大规模二元复合网络, 研究其安全理论特别是信息安全对整个电力系统运行的影响, 在理论和工程两方面均具有重要意义。在这种情况下, 就需要分析网络安全事件引起信息网故障, 进而作用到物理网的动态过程与内在机理。到目前为止, 针对该领域的研究仍缺乏完善的分析方法及工具。
