2015年圣誕節(jié)期間,烏克蘭國內(nèi)多個區(qū)域的電網(wǎng)因遭遇黑客攻擊,導致發(fā)生大規(guī)模停電。達拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網(wǎng)中植入的惡意軟件導致了這次嚴重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網(wǎng)絡攻擊主要是竊取數(shù)據(jù)或者財物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網(wǎng)站的一篇報道稱烏克蘭停電是網(wǎng)絡攻擊的“里程碑”(cyberattackmilestone)。

     1烏克蘭停電事1件回顧

     2015年圣誕節(jié)期間,烏克蘭國內(nèi)多個區(qū)域的電網(wǎng)因遭遇黑客攻擊,導致發(fā)生大規(guī)模停電。達拉斯信息安全公司iSightPartners的研究人員表示,黑客在烏克蘭國家電網(wǎng)中植入的惡意軟件導致了這次嚴重的停電事故。資料顯示,這是首次由信息攻擊引發(fā)的大規(guī)模停電事故。傳統(tǒng)網(wǎng)絡攻擊主要是竊取數(shù)據(jù)或者財物,而此次則直接誘發(fā)了重要公用事業(yè)系統(tǒng)的失效。因此,CNET網(wǎng)站的一篇報道稱烏克蘭停電是網(wǎng)絡攻擊的“里程碑”(cyberattackmilestone)。長久以來,人們一直將電力系統(tǒng)視為一種負責能量產(chǎn)生、傳輸、分配與使用的物理系統(tǒng)。然而造成此次事故的關(guān)鍵原因,并不是因為物理電網(wǎng)的元件故障,而是因病毒引起的能量管理系統(tǒng)(energymanagementsystem,EMS,一些報告中也寫作remotemanagementsystem)失效。換言之,在這次大停電事故中,信息系統(tǒng)的擾動導致了物理電網(wǎng)運行的失效。這次事故發(fā)生不久便獲得了世界范圍內(nèi)的廣泛關(guān)注,同時也將電力系統(tǒng)的信息安全問題擺在了人們面前,成為建設與完善電力系統(tǒng)乃至未來的能源互聯(lián)網(wǎng)所不可回避的重要挑戰(zhàn)。

     2停電過程的回顧與分析

     如上節(jié)所述,信息網(wǎng)絡的失效是導致此次事故的關(guān)鍵原因。現(xiàn)代電力系統(tǒng)中,以數(shù)據(jù)采集與監(jiān)控/能量管理系統(tǒng)/廣域測量系統(tǒng)(SCADA/EMS/WAMS)為典型代表的二次信息系統(tǒng),在現(xiàn)代電力系統(tǒng)的感知與控制中扮演著愈發(fā)關(guān)鍵的角色。一個典型的信息-物理耦合電力系統(tǒng)的架構(gòu)如圖1所示。

     在電力系統(tǒng)日常運行中,SCADA/EMS/WAMS等可實現(xiàn)廣域信息實時感知(RTU/PMU)、信息傳輸(電力載波/光纖網(wǎng)、各種規(guī)約形式)、信息處理(壞數(shù)據(jù)辨識/狀態(tài)估計)、信息決策(潮流分析/安全分析/優(yōu)化計算)、閉環(huán)控制(AGC/AVC)等多項功能,從空間上覆蓋上千千米,從時間上涵蓋毫秒到小時級,從目標上兼顧安全、優(yōu)質(zhì)和經(jīng)濟等多種要求。可以說,現(xiàn)代電力系統(tǒng)的正常運行無時無刻不依賴于一個可靠的信息系統(tǒng),是一個典型的信息-能量融合系統(tǒng)(國內(nèi)專家也將其定義為信息能源系統(tǒng))。正因如此,信息系統(tǒng)的失效也將顯著影響物理電網(wǎng)。當信息故障發(fā)生時,如信息傳輸發(fā)生中斷或延時或被惡意修改,很可能誘使信息系統(tǒng)作出錯誤的決策甚至直接失效,從而影響電網(wǎng)的運行狀態(tài)。值得注意的是,惡意的信息攻擊文件可通過四通八達的信息網(wǎng)絡進行快速而廣泛地復制與擴散,這又進一步提升了信息攻擊的作用范圍與影響。信息故障影響電力系統(tǒng)運行的示意圖如圖2所示。

     圖2信息故障影響電力系統(tǒng)運行的示意圖

     據(jù)SANSICS小組對本次事故的報告,外部電腦病毒被植入烏克蘭電網(wǎng)公司的EMS后,使底層發(fā)電機或變電站的控制服務器關(guān)機，喪失對相應物理設備的感知與控制能力(theutilitybegantodisconnectpowersubstationsfornoapparentreason)，從而導致部分設備運行中斷。此外,病毒利用通信網(wǎng)絡進行了大范圍的傳播和感染,這使得烏克蘭電網(wǎng)公司失去了與底層多個發(fā)電站及變電站的通信聯(lián)系,從而進一步喪失了對電網(wǎng)的實時感知與控制能力,無法進行正確決策,進而引發(fā)大范圍停電。事故發(fā)生后,烏克蘭電網(wǎng)公司被迫停止EMS,啟動人工控制以恢復供電。截至當前,即使供電已經(jīng)恢復,原有的EMS/SCADA系統(tǒng)的部分功能因被病毒攻擊依然長時間處于離線狀態(tài),本次網(wǎng)絡攻擊的影響仍在持續(xù)。

     3信息能源系統(tǒng)的薄弱環(huán)節(jié)評估

     本次的烏克蘭大停電事故中,惡意信息攻擊使得電力信息系統(tǒng)部分環(huán)節(jié)失效(控制服務器關(guān)機),從而影響物理電網(wǎng)的運行,造成了區(qū)域性大停電的嚴重后果。目前關(guān)于事件的詳細報道和分析尚不多見,因此還難以判斷很多內(nèi)部技術(shù)細節(jié)。從最終效果來看,此次事故毫無疑問造成了重大的經(jīng)濟與社會影響,攻擊者也達到了預期目標。然而值得注意的是,這是一次“簡單粗暴”的攻擊,使用的BlackEnergy惡意軟件也并非為電力系統(tǒng)量身打造的“定制版”,攻擊者是通過大面積、無差別的攻擊電力信息網(wǎng)絡中的相關(guān)設備,使其強制關(guān)機,從而影響系統(tǒng)安全運行。

     這讓筆者聯(lián)想起《笑傲江湖》一書中令狐沖在破廟外奮起一劍,刺瞎十五名高手的眼睛,正類似于通過攻擊“信息采集系統(tǒng)”最終迫使這些高手退出“物理運行”。但此時令狐沖處于劍法尚未大成的境界,隨著情節(jié)進展,會逐漸修煉到專門看穿別人招數(shù)中的破綻,然后一招制勝,完美攻擊。同樣令人擔憂的是,未來能源系統(tǒng)所面對的惡意攻擊者會不會也通過“修煉”來使得攻擊日益“完美”。相比于此次事故中的“無差別攻擊”,這類直奔“命門”而去的信息攻擊雖然難度更大、代價較高,但是其目的明確、攻擊手段隱蔽、識別難度大,且攻擊者可根據(jù)自身需求針對性地影響系統(tǒng)運行狀態(tài),對未來能源系統(tǒng)的影響更為惡劣,因而更值得大家關(guān)注。

     事實上,已有研究表明,當攻擊者具備一定電力系統(tǒng)知識時,可制定精確的攻擊策略,通過針對性的壞數(shù)據(jù)注入和權(quán)限獲取,能夠在無法被控制中心辨識的條件下影響電力系統(tǒng)的運行或使自己獲得不正當利益。例如,針對狀態(tài)估計(stateestimation)應用,攻擊者可通過修正部分量測信號,影響控制中心狀態(tài)估計結(jié)果(如開關(guān)狀態(tài)、量測狀態(tài)、系統(tǒng)拓撲辨識出錯),進而導致系統(tǒng)決策錯誤。又如,電力市場環(huán)境下,攻擊者可通過惡意信息注入影響系統(tǒng)的邊際電價決策結(jié)果,提升自身收益。

     這次事故敲響了惡意信息攻擊可以誘發(fā)電網(wǎng)運行風險的警鐘。而實際電網(wǎng)運行時,信息系統(tǒng)除受到惡意攻擊外,還可能頻繁面臨由于無意錯誤(如工作人員失誤)導致的功能失效,這種信息環(huán)節(jié)的功能失效同樣會誘發(fā)物理環(huán)節(jié)的運行風險。2003年美加“8•14”大停電是一個最典型的示例。其發(fā)生的一個重要原因是EMS中的狀態(tài)估計功能退出運行,調(diào)度人員失去了對電網(wǎng)實時狀態(tài)的感知能力,未能及時發(fā)現(xiàn)、評估和遏制故障蔓延。

    “破綻”即薄弱環(huán)節(jié)。電力系統(tǒng)在運行過程中需要在線進行靜態(tài)或暫態(tài)安全評估,其目標就是讓運行人員了解電力系統(tǒng)運行的薄弱環(huán)節(jié)。而隨著信息環(huán)節(jié)與能量系統(tǒng)的日益融合,整個信息能源系統(tǒng)的薄弱環(huán)節(jié)可能不再局限于物理系統(tǒng)內(nèi)部,信息環(huán)節(jié)或?qū)⒊蔀樾碌陌⒖α鹚怪唷＿@種薄弱環(huán)節(jié)可能成為“點穴式”惡意攻擊的理想標靶,也可能由于某種無意錯誤誘發(fā)意外風險。尤其是在閉環(huán)決策與控制日益增加的情境下,信息故障將變得更為普遍而多樣化,極可能進一步殃及能量系統(tǒng)。因此,通過信息-能量耦合建模、分析與安全評估,定位整個信息能源系統(tǒng)的薄弱環(huán)節(jié),將是一個全新的研究課題。

     4對中國的啟示

     此次烏克蘭大停電事故告訴大家,即使物理電網(wǎng)狀態(tài)正常,信息系統(tǒng)的失效也同樣可對系統(tǒng)造成嚴重的影響。換言之,物理電網(wǎng)的安全評估結(jié)果并不等價于全系統(tǒng)的安全,信息系統(tǒng)評估應當成為電力系統(tǒng)評估體系的重要組成部分。

     信息網(wǎng)絡的數(shù)據(jù)交互途徑、接入點數(shù)量、傳輸內(nèi)容與網(wǎng)絡參與者等多個因素都將影響網(wǎng)絡的信息安全。在國外,尤其是歐美發(fā)達國家,隨著電力服務的細化與電力市場的普及,電力系統(tǒng)運行對信息與通信有著更高的需求。現(xiàn)有研究及報告顯示,歐美國家的電力信息系統(tǒng),可依托于專用有線信息網(wǎng)絡(如主網(wǎng)的EMS服務),公共信息網(wǎng)絡Internet(如市場報價、需求側(cè)響應、分布式能源、電動汽車優(yōu)化充電服務),甚至無線網(wǎng)絡(如電廠及小規(guī)模電網(wǎng)的能量管理服務)實現(xiàn),且參與者可獲得的網(wǎng)絡資源更多,信息權(quán)限更大,更容易接入并影響信息系統(tǒng)乃至整個電力系統(tǒng)的運行。這為惡意攻擊者提供了方便之門。

     現(xiàn)階段中國的電網(wǎng)調(diào)度運行主要基于較為封閉的調(diào)度數(shù)據(jù)專網(wǎng),而且實現(xiàn)了嚴格的網(wǎng)絡分區(qū)、物理隔離等安全技術(shù),這在很大程度上提高了中國電力系統(tǒng)應對網(wǎng)絡攻擊的能力。但仍必須看到,隨著國內(nèi)電力系統(tǒng)的保護、控制水平的不斷提高,對信息網(wǎng)絡可靠性的依賴也日益增加,即使沒有惡意攻擊,信息環(huán)節(jié)失效也可能誘發(fā)電網(wǎng)運行風險,這在一些電網(wǎng)公司已經(jīng)出現(xiàn)了類似的案例。因此著手從信息-能量耦合的視角,開展信息環(huán)節(jié)對能量系統(tǒng)安全性的定量評估是保證中國復雜電力系統(tǒng)可靠運行的當務之急。

     而隨著能源互聯(lián)網(wǎng)等概念的興起及電力市場改革的不斷推進,未來海量終端用戶可能通過無線通信、互聯(lián)網(wǎng)等方式與能源系統(tǒng)產(chǎn)生信息互動,在這一未來愿景下,已經(jīng)不再是簡單的信息流調(diào)控能量流,而是信息流與能量流實現(xiàn)真正的融合,變成信息能源系統(tǒng)中密不可分、環(huán)環(huán)相套的組成部分。因此,考慮信息能量相互作用機理的信息能源系統(tǒng)綜合安全評估將具有重要的現(xiàn)實意義,盡快開展相關(guān)研究已不是未雨綢繆,而是迫在眉睫。