2) 加强电力系统信息安全的防御体系
此次乌克兰停电事件, 首先是信息安全事件, 通过网络进行攻击是其主要手段, 攻击的对象首先是信息系统, 最终导致一次设备的跳闸。对于信息行业, 信息安全是几十年来一直研究的问题, 不断提出了许多算法和技术方案, 对信息系统提出了机密性、完整性、可用性、可认证性、可识别性、可追溯性等一些重要的评估指标。
已有信息安全的威胁原因很多, 包括恶意主机及其所控傀儡机的恶意攻击、软件设计漏洞(代码bug、缓冲区溢出、解析错误等)、通信安全漏洞、远程调试后门、业务容错性处理不好、操作人员的不慎或恶意操作等。传统的密码学采用口令、加密、签名、公钥基础设施PKI等技术, 信息安全专家提出了可疑代码与进程扫描、防火墙、虚拟专网、口令认证、反查毒软件(如图1中网关具有的功能)等方案, 虽然它们极大地增加了恶意攻击的难度和代价, 但仍不能完全防范病毒入侵。
近几年来信息行业可信计算组TCG提出了可信计算理论, 认为“如果一个实体行为总是以预期方式达到预期目标则称其为可信的”。IBM推出4785安全协处理器构造可信平台模块TPM, 提供平台完整性检查、公钥签名、身份认证、数字签名及加密等功能, 将计算机和工控机置于可信的环境中运行, 以减少不可信的恶意行为,应引起国内信息行业重视, 尤其在打造电力可信运行平台及其环境方面。
国内的360、金山等信息安全公司为各种个人计算机、手机研发的杀毒软件, 通过查杀各种病毒与可疑代码来建立安全的计算机运行环境。对于BlackEnergy病毒攻击, 金山网站给出了防范与拦截措施: ①用户对收到的邮件所包含的所有文件进行动态行为鉴定, 如果具有恶意行为, 则删除或隔离该文件。②对系统关键进程进行监控, 一旦发现可疑操作, 立即阻断其执行。③阻断恶意代码对外连接, 设置一个IP黑白名单库, 对系统外连的IP地址进行过滤, 拦截与恶意服务器交互的所有网络数据包。能否在电力信息安全环境的搭建时借鉴和运用当前先进的信息安全技术手段是一个研究方向。
国内外一些学者已认识到信息安全对于电力系统运行的重要性, 但电力系统如调度中心、变电站等由于其业务安全方面有其一定的特点, 如尚未建立专门统一的安全认证中心CA, 变电站国际标准IEC 61850未涉及报文加密传输, 各保护与测控装置均是嵌入式系统, 在无认证中心CA认证下进行点对点通信。采用现有加密算法对变电站内各类报文加密, 其防攻击的能力有待于验证, 而GOOSE等快速报文的传输延时有专门要求(小于3 毫秒), 研究轻量级且安全的加密算法迫在眉睫。每台装置缺乏平台完整性、身份认证、可疑进程与异常行为检测等可信运行环境的支持, 而商用可信平台模块TPM也不能直接嵌入到其中。
3) 电力业务的安全与容错处理的思考
对于潮流计算、状态估计、安全风险评估等电力高级功能, 目前或以后都是在电力与信息混合的运行环境中运行, 其数据大多要通过通信网络传输获得, 在网络遭到攻击或者攻击者有意破坏与损坏数据、提供假数据、发出恶意指令等异常情况下, 各类电力高级模块能否正常运行、受影响程度、灵敏度、波及范围等问题都值得研究。
电力工作者研究了对潮流计算、状态估计等模块在数据缺失情况下算法的容错性处理, 也研究了保护与电气量报文部分缺失、通信部分失效等异常情况下, 状态估计、广域控制系统等的受影响程度, 还研究了在高度数、高介数、关键断面或线路等连续受攻击下, 电力系统的安全风险指标及与耐受度之间的关系等。
假设网络攻击者包含一些电力专家, 对当前被攻击电网具有同等的知识和相关分析工具, 或者凭借其经验与一些策略, 在网络攻击过程中有针对性地对电网关键点或薄弱环节进行攻击, 运行中的电力运行系统是否有正确的应对、如何应对, 也值得研究。
2.3网络化分层协同信息安全防护体系
1) 顶层设计
针对电力与信息混合系统及正在发展的能源互联系统, 预想构建一个新型的电力网络化分层分布主动型安全防御体系。需要联合电力科研人员、信息安全专家、电力运行人员等, 对该信息安全协同防范体系进行顶层设计, 从异常检测与防御的网络化信息安全可信平台、电力业务模块对异常数据与行为的检测与容错算法、各装置的可信环境、传输加密算法及对异常代码与行为的抑制、电力人员安全防范意识和制度的检查落实等多个角度提高整体防御能力。
2) 网络化安全防御系统的构建与技术研究
