电力系统由物理系统与信息系统共同构成。这样, 电力系统的安全问题自然就包括物理安全和信息安全两个层面。长期以来, 电力系统物理安全强调系统在遇到扰动时能维持正常运行, 而信息安全则针对保护与通信网络及计算机系统。信息物理融合是电力系统的长期发展趋势, 目的是通过信息化提高电力系统的安全性、可靠性和运行效率。随着电力系统信息化程度的快速提高, 电力系统内物理层与信息层的交互作用不断深化, 两者的界限越来越模糊。在物理系统与信息系统深度融合后, 信息系统故障与网络攻击不仅会破坏信息系统的功能, 还可能进一步传导至物理系统, 威胁物理系统的安全运行。这类新的安全问题被称为电力系统信息物理安全(cyber physical security)问题。近年来, 随着针对工业系统特别是电力系统的网络攻击事件越来越多, 信息物理安全问题已经引发电力公司和学术界的高度关注。
2016年1月15日, 以色列电力局遭受了一次严重的网络攻击。1月16日, 以色列能源和水资源部部长Yuval Steinitz在2016年度特拉维夫CyberTech大会上证实了该次攻击事件, 并指出这是基础设施遭受网络攻击的一个最新例子。Dragos Security的CEO Robert Lee在SANS工控系统安全博客中指出, 此次攻击是通过邮件传播勒索软件, 即通过发送钓鱼邮件诱骗以色列电力局工作人员执行恶意代码。受感染的计算机相关信息被加密, 需受害人付费才能解锁。以色列电力局采取切换大量计算机至离线状态来将其隔离并避免更多系统受到传染。目前尚不知道事故的确切原因和造成的经济损失。
2015年12月23日, 乌克兰国家电网发生突发停电事故, 导致伊万诺-弗兰科夫斯克地区近一半的家庭(约140万人口)失去供电3~6 h。经调查证实, 一款名为“BlackEnergy”的恶意软件入侵了乌克兰国家电网。该恶意软件最早于2007年就被发现过。在此次攻击事件中, 该恶意软件较早期的软件做了更新升级, 不仅增添了名为KillDisk的清除组件, 用于删除计算机磁盘驱动器内的数据并导致系统无法重启, 而且还包括了一个安全外壳协议(SSH)后门, 用于方便攻击者永久访问受感染计算机。在这次攻击事件中, 电力数据采集与监控(SCADA)系统受到了重创, 不仅大量的存储数据被清除, 而且在停电后期SCADA服务器的恢复工作也受到阻碍。
随着网络攻击导致电网停电事故的发生, 如何有效认识、检测和抵御各类恶意网络攻击是近年来电力系统网络安全领域的热门研究课题。本文讨论一种专门针对电力SCADA系统的网络攻击形式, 总结并分析其原理、影响及防范措施。
2、虚假数据注入攻击的原理
电力系统控制中心通过SCADA系统对全系统的运行状态进行数据采集、监测和控制。SCADA系统将收集到的资料传送给能量管理系统(EMS)中的高级应用软件, 如拓扑分析、状态估计、坏数据识别与校正、预想事故分析等, 得到的结果可供调度决策参考。
随着电力系统内信息物理系统融合的不断深化, SCADA系统的脆弱性越来越受到重视。SCADA系统往往会成为网络攻击的着手环节, 一般称为“SCADA Hacking”。能够用于攻击SCADA系统的网络攻击手段有很多类型, 这里着重介绍虚假数据注入攻击(false data injection attack, FDIA)。FDIA通过向分布在电网中的计量装置注入虚假数据, 导致状态估计结果较非攻击状态发生偏移, 并成功躲避坏数据检测机制, 达到影响电力系统运行控制的目的。一般情况下, FDIA的研究基于如下假设:
1) 实施攻击行为的主体具有一定的电力系统知识, 即在一定程度上了解电力系统配置信息、拓扑结构、状态估计原理和坏数据检测机制等。
2) 实施攻击行为的主体具有对全部或部分计量装置的测量值进行篡改的能力。
以直流潮流为基础的状态估计模型可简要描述为: z=Hx+e。其中, z为量测量, H为拓扑矩阵, x为待估计的状态量, e为测量误差。状态估计问题以冗余测量值为基础, 可通过采用加权最小二乘法或其他方法求解目标函数J(x)=(z-Hx)TW(z-Hx)的最小值, 来获得状态估计结果; W为与系统误差相关的对角矩阵。其解析解为:=(HTWH)-1HTWz。由于状态估计是以冗余测量为基础的, 而测量值中可能有坏数据, 这样就需要对坏数据进行检测和判断分析, 以确保状态估计结果是可信的。识别坏数据的判据为:, C为判断阈值。当成立时, 可认为没有坏数据; 否则就要剔除相应坏数据并重新进行状态估计, 直至通过坏数据检测为止。