摘 要:電網安全是電力的基礎,隨着智能電網的快速發展,越來越多的ICT信息通信技術被應用到電力網絡。本文分析了歷史上一些重大電網安全與網絡安全事故,介紹了電網安全與網絡安全、通信技術與電網安全的關係以及相應的電網安全標準,分享了中國國家電網公司保障電網安全的相關措施和成功經驗,並對5G、AI等新技術在電網安全和網絡安全方面的創新和應用做了分析和展望。
關鍵詞:電網安全;網絡安全;5G;人工智能
引言
從1882年世界首個發電廠建設開始,電網已經有一百多年的歷史,成爲人們生產和生活的重要基礎設施。電網從其誕生初始就與安全緊密相關。而隨着智能電網的快速發展,越來越多的通信技術被引入到電力系統,極大地提升了電網的運營效率。但新技術在給電網帶來高效便捷的同時是否也帶來潛在的安全隱患,成爲電力公司關注的焦點。有必要分析清楚電網安全與網絡安全、通信設備與電網安全的關係。5G和AI作爲通信領域的新技術正在引起各行業的廣泛關注,他們能給電網安全和網絡安全帶來哪些創新也是電力行業的熱點話題。這裏的電網安全和網絡安全在英文是不同的詞,電網安全是Safety,體現爲非主動無意識的事故。而網絡安全是Security,意指人爲策劃的有意識的事故。
電網安全事故
電網安全事故多種多樣,包括自然災害如雷電、暴風雨、積雪導致輸電線路故障和設備損環,人員操作不當導致各種停電事故,交通事故導致電線杆、輸電線纜的破壞,設備老化導致系統故障等。下表是2003年以來全球發生的重大電力事故,多數是自然災害和一次設備故障造成。
國際大電網組織CIGRE(法語International Council for Large Electric Systems縮寫)曾對歷史上70次大停電原因進行統計,其中火災、暴風雨等佔比35%,一次設備故障佔比29%,保護誤動佔比18%,其它故障包括人爲錯誤佔比18%。總體來看,網絡安全或者通信設備故障導致大停電事故的情況較少。
網絡安全事故
網絡安全是利用網絡的安全漏洞對電網進行攻擊,最有名的電網網絡安全事故有兩起,一個是烏克蘭電網黑客攻擊事件,另一個是伊朗核電站震網(Stuxnet)事件。
烏克蘭電網黑客攻擊發生在2015年12月23日。烏克蘭一個區域配電公司的SCADA(Supervisory Control And Data Acquisition)信息採集和控制系統被黑客控制,導致7個110KV變電站和23個35KV變電站關閉,造成22.5萬用戶停電3小時。黑客對這次攻擊進行了精心準備,在攻擊前6個月就通過釣魚郵件將蠕蟲病毒軟件植入烏克蘭電力公司的IT辦公系統,再通過仿造操作帳號和密碼、結合VPN等進入電力運營網絡獲得電力系統控制權限,同時修改了一些PLC(Programmable Logic Control)可編程邏輯設備的編碼阻止設備自動恢復,還攻擊了電力電話系統,影響客戶報障和電話通信,延緩運維人員獲得事故信息手動恢復。
伊朗核電站震網事件發生在2006年至2010年。伊朗生產濃縮鈾的離心機經常出現異常加速導致極高故障率,最終發現是遭遇了惡意軟件攻擊。由於伊朗核設施網絡與互聯網物理隔離,所以傳統遠程植入病毒方式無法攻擊,目前推測是美國和以色列特工利用U盤植入病毒到控制系統電腦。情報專家利用了windows操作系統的2個漏洞和西門子核電站設備控制系統軟件的7個漏洞編寫了震網攻擊軟件,通過修改程序命令,讓生產濃縮鈾的離心機異常加速,超越設計極限導致離心機報廢,而在運維告警系統中又一切顯示正常,致使該軟件攻擊持續多年未被發現。
從上述事件可以看出,電網需要有嚴格的網絡安全防護措施。否則就會被網絡軟件攻擊帶來電網安全問題。因此,電網標準組織發佈了系列標準來保證電網安全和網絡安全。
電網安全與網絡安全相關標準
電網安全的標準主要有IEC 61508和IEC 61511,他們的目的是保障相關係統的安全運行以及其他降低風險的措施,如安全儀表系統、報警系統和基本過程控制系統。IEC 61508的名稱是《電氣/電子/可編程電子安全相關係統的功能安全》,其目的是建立一個可應用於工業領域的基本功能安全標準。IEC 61511是過程工業領域安全儀表系統的功能安全標準,關注過程控制,涵蓋整個安全生命週期中安全儀表系統的設計和管理要求。IEC 61508和IEC 61511對應中國的國標分別爲GB/T 20438和GB/T 21109。
目前這兩個標準對通信設備的要求有兩種方式,一種是全部通信通道按照IEC 61508和IEC 61784-3或IEC 62280標準要求進行設計實現的,被稱爲“白色通道”。另一種是部分通信通道未按照IEC 61508要求進行設計或確認,被稱爲“黑色通道”。在這種情況下,需要在安全相關子系統或組件中實施必要措施。
通信設備在多數場景下屬於“黑色通道”,需要與兩端的設備一起保證功能安全。比如繼電保護設備通過IEC 60834-1標準在通信報文上加時間戳、限制最大信息傳輸時間,以及應對通信誤碼、抖動、延時等採取相應可靠性處理措施。而IEC 62351標準定義了“電力系統管理和相關信息交換 - 數據和通信安全”,並考慮智能電網的通信安全,包括安全訪問控制、密鑰管理和安全體系結構。通過對通信報文進行加密,可以規避通信設備從中間截獲報文,即使通信設備被網絡攻擊,兩端的設備在應用層仍能保障通信控制信息不會被篡改,從而保障電網安全。
多種通信技術保障電網安全
目前通信技術在電網應用中與安全相關的主要有繼電保護(Teleprotection)、電網SCADA信息採集和控制系統、數字電錶AMI(Advanced Metering Infrastructure)等。
過去輸電系統使用較多的是SDH傳輸設備,通過滿足IEC 61850要求的各種接口如C37.94、E1、X.21、RS232/485等與繼電保護裝置相連,中間對相關的信號進行透傳。隨着數據量的增大,現在越來越多地使用波分設備,即在同一根光纖裏傳輸多個波長,能夠傳送更多的數據,這些原則上都屬於管道設備,即按照OSI協議分層原理,設備只能做管道交換,將數據流送到不同的接口。設備沒有處理器去識別和終截管道中的數據,不具有數據處理能力,即使設備被黑客攻擊,也無法修改數據內容或者植入命令,操控遠端設備帶來安全隱患,因此這些通信管道的網絡安全影響相對要低。
隨着大量視頻監控的應用以及多業務融合通信的部署,IP設備的應用越來越多,而IP設備據有一定的數據報文處理能力,同時也會帶來報文的亂序、丟包、時延不一致等問題,因此安全標準也根據IP特點不斷改進和提升。不管是用傳輸還是IP,兩端設備都會基於不可信的“黑色管道”在其上構建通信層和應用層的安全保護機制來保障網絡安全。
在配電網絡,也有用PON(Passive Optical Network)設備通過手拉手保護來實現主機與遠端模塊RTU(Remote Terminal Unit)的通信。在沒有光纖或者部署光纖困難的情況下,可以採用微波或者eLTE無線方式進行通信。微波適合長距離點對點的傳輸,而eLTE更適合點對多點或者構建一個局域網絡通信系統。
繼電保護和SCADA的數據傳輸遵循IEC 60870通信標準,通過部署工業網關實現訪問控制、數據加密、入侵檢測等防護功能,並通過制定白名單策略,對傳輸數據進行過濾與管控,阻止互聯網非法訪問和惡意攻擊,防止數據在傳輸過程中被惡意篡改、破壞或竊取。
在AMI數字電錶中,涉及電錶數據的防篡改和用戶隱私的保護,目前的通信技術有基於電力載波PLC-IoT的有線通信和基於eLTE-IoT的無線通信等。數據傳輸和管理遵循IEC 62056通信標準,通過採用互聯網安全協議(IPSec)、安全套接字層(SSL)、虛擬專網(VPN)、安全外殼(SSH)等安全協議,保障數據傳輸的安全。
技術發展提升網絡安全
通信產品的開發設計需要不斷髮展以滿足網絡安全的要求,比如PCB電路板過去爲了生產測試方便都有JTEG(Joint Test Action Group)測試頭,但這會給黑客破解和反編譯單板軟件提供方便必須去掉。主控板爲了配置調試都有本地串口、以太網口、USB口等,這在室外應用場景時,容易給黑客提供接入網絡的通道,因此這些接口的設計需要具備遠程關閉能力,只保留帶內管理通道。包括設備輔助調試用的Wi-Fi、藍牙等功能均要能遠程關閉。
而設備間的管理通信也需要採用具有加密功能的協議,比如用SNMP V3而不是V1/V2的設備管理協議,用SSH而不是Telnet進行遠程訪問控制等,對於不用的UDP端口都要關閉。設備管理的帳號和密碼採用獨立的AAA(Authentication, Authorization, Acing)服務器認證,支持加密存貯和傳輸等。
採用微波、eLTE等無線技術需要進行空口加密,防止黑客在中間對信號進行截獲破解。普遍採用的密鑰長度是128位,目前的超級計算還無法破解。當然未來量子計算出來有可能需要256位密鑰。
另外,電網的安全保護有着多道防線,通信設備本身會有雙電源、雙主控、雙接口等設備級保護,而通信系統還會有環網或鏈路保護,當一條通信鏈路故障時,會自動倒換到另一條鏈路上。此外,電力系統除了遠程通信保護外,還有本地保護裝置,包括電流、電壓、距離保護以及差動保護等。在極端情況下,即使所有電子設備都不可控,還可以切到手動操作保障電網安全。
國家電網公司成功經驗和措施
中國國家電網公司SGCC(State Grid Corporation of China)作爲全球最大的電力企業在電網安全方面積累了豐富經驗。通過發佈《電力監控系統安全防護規定》等法令與標準,指導建立“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護體系。
安全分區:根據系統中的業務重要性和對一次系統的影響程度進行分區防護,整個二次系統分爲實時控制區、非控制業務區、生產管理區、管理信息區四個安全工作區,重點保護生產和控制系統。
網絡專用:電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公用數據網的安全隔離。
橫向隔離:橫向隔離是電力二次系統安全防護體系的橫向防線,採用不同強度的安全設備隔離各安全區。在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。生產控制大區內部的安全區之間應當採用具有訪問控制功能的設備、防火牆或者相當功能的設施,實現邏輯隔離。
縱向認證:縱向加密認證是電力二次系統安全防護體系的縱向防線,採用認證、加密、訪問控制等技術實現數據的安全傳輸以及縱向邊界的安全防護。在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。
按照上述規範建立的電力二次系統的安全防護體系,可以有效防範黑客及惡意軟件等對電力二次系統包括電力調度自動化系統和調度數據網等的攻擊侵害,保障生產控制大區安全及電力系統安全穩定運行。
在電網智能化及“互聯網+”新形式下,智能電網、互聯網、物聯網等相互融合,用戶與各類用電設備廣泛交互,與電網雙向互動,電網安全風險增加。因此“十三五”期間,國家電網公司網絡安全的目標是實現 “可管可控、精準防護、可視可信、智能防禦”的電網安全防禦體系。
可管可控:健全網絡安全管理與內控治理體系,落實網絡安全職責,構建生命週期安全管理與內控治理體系,實現全過程各環節可管可控。
精準防護:深入結合發、輸、變、配、用、調及經營管理等環節業務特點,緊跟大數據、雲、物聯網、移動等新技術應用,動態優化防護體系,深入開展新業務新技術安全防護,實現業務差異化、精準化防護。
可視可信:利用視頻、物聯網、人工智能等新技術,全面提升信息安全基礎設施實時態勢感知能力和智能可信水平,實現網絡、主機、終端、應用及數據等各環節安全威脅全景可視。
智能防禦:利用大數據、人工智能等創新技術,實現安全威脅智能預防和自動發現,提高監測、防禦、處置、預警等能力,構建態勢感知、協同聯動、快速響應的智能防禦管理體系。
中國國家電網公司在通信技術的應用和電網數字化改造方面走在了世界的前列,35KV以上輸電地線均已支持OPGW(Optical Ground Wire)光纖化改造,在輸電和配電網絡中大量部署傳輸、IP、PON、eLTE等現代通信技術,電錶的數字化率超過99%,處於世界領先水平。中國國家電網公司的實踐表明,通過前瞻性的網絡安全頂層設計,配合嚴格的網絡安全標準規範和分區分級、立體縱深的網絡安全防護措施,結合現代通信和泛在電力物聯網技術,打造堅強智能電網,保障電網的安全穩定運行。
5G與網絡安全
5G作爲新一代通信技術正在成爲各行業關注熱點,目前第一階段主要是eMBB(Enhanced Mobile broadband)增強型移動寬帶的應用,下一步uRLLC(Ultra Reliable and Low Latency Communications)超高可靠低時延通信和mMTC(Massive Machine Type Communications)海量物聯網將滿足更多的工業應用需求,在保障網絡安全方面也有着更多的設計考慮。
5G網絡安全的頂層設計普遍採用NIST(National Institute of Standards and Technology)推薦的IPDRR(Identify Protect Detect Response Recover)方法論,即識別、保護、檢測、響應、恢復五個方面。識別是整個框架的基礎,實現對系統、資產、數據和能力的網絡安全風險的評估,如資產管理、風險評估等;保護是限制或抑制網絡安全事件的潛在影響,包括身份管理和訪問控制、數據安全、維護保護技術等;檢測可以及時發現網絡安全事件,如異常事件、安全持續監測等;響應用於遏制潛在網絡安全事件的影響,並進行根因分析、緩解損失等;恢復即快速恢復正常操作以減輕網絡安全事件的影響。
5G定義了管理面、控制面、用戶面三面嚴格分離,不能互相訪問。各功能模塊間使用HTTPS(Hyper Text Transfer Protocol Secure)協議保護傳遞信息安全,通過TLS(Transport Layer Security)對傳輸數據進行加密、完整性保護,採用TLS雙向身份認證防止假冒設備接入網絡。5G的網絡切片功能可以對不同的業務提供不同的資源,結合超高可靠低時延處理可以爲業務配置不同的服務質量,通過資源有效隔離和多重安全措施協同,削減各切片網絡間相互影響,以應對非法訪問和越權管理。
在空口加密的密鑰管理上,5G提供了256位密鑰選項,相對於128位密鑰,其破解複雜度相當於從秒級提升至百億年級,可以應對未來量子計算的破解能力。另外在用戶認證上,5G引入了用戶永久標識符SUPI(Subscriber Permanent Identifier)和用戶隱藏標識符SUCI(Subscriber Concealed Identifier)的概念,並用加密傳送的方式規避原先4G在認證前明文傳送設備標識IMSI(International Mobile Subscriber Identity)的安全隱患。針對DNS(Domain name system)域名地址解析的攻擊,5G增加了用戶面完整性保護,防止中間篡改報文接入到惡意DNS服務器。
在海量物聯網應用場景中,針對IoT設備被劫持在空口發起DDOS攻擊耗盡網絡資源的情況,5G定義了基於流量控制機制來規避空口DDoS風險。另外,5G針對安全證書失效問題的管理也從靜態升級爲動態,安全策略隨網元生命週期自動編排,縮短安全防護失效時間。5G技術未來必將在電網安全中發揮出重大作用。
AI與電網安全
隨着物聯網、大數據、雲計算的快速發展,人工智能就有了學習、分析、預測的基礎。現在人工智能已經在語言識別、圖像處理、自動駕駛、智慧家庭、智能醫療等領域開始應用。在電網安全領域,人工智能可以在設備主動運維、操作規範檢測、網絡安全防護方面發揮出重要作用。
過去設備的運維往往是被動響應,等設備出現告警或者出了問題後纔去維護,此時往往已經出現業務中斷或者產生設備故障,而採用人工智能技術,通過歷史數據分析對比,可以變被動響應爲主動運維,提前發現問題。比如光纖連接可以通過歷史數據的學習,利用人工智能主動學習光連接器信號衰減曲線,在出現問題前主動維護。設備運維也可以通過電流、電壓、電感或者運轉噪聲等歷史數據分析和學習,通過細微數據變化提前預測潛在的故障風險。還有現在電力巡檢已經採用無人機和機器人進行視頻和照片的拍攝,但靠人眼去分析圖片和視頻的效率很低,而且準確度也打折扣,而利用人工智能和機器學習對圖片和視頻分析就能更加高效快捷,準確度也大大提高。
在一些無人值守的電力場所如變電站、配電房等都裝有視頻監控攝像頭,結合人工智能,可以對周邊異常人員和車輛的闖入和反常舉止發出告警,保障電力場所的安全。另外就是維護人員電網操作規範性檢測,人工智能技術結合視頻監測可以自動識別操作人員是否配戴安全帽、正確穿着工裝、操作是否規範等。另外結合可穿戴設備測量心跳血壓以及監視操作人員的步伐姿態,與歷史數據做學習對比,主動分析操作人員當時的身體狀態是否健康,是否適合上塔、上杆等維護操作,保障電網操作維護安全。
在網絡安全方面,人工智能技術已經開始廣泛應用。比如智能反釣魚郵件和垃圾郵件系統,通過掃描郵件及附件進行智能識別,及時發現文件中的異常信息,採取有效措施阻止惡意郵件激活和傳播。智能防火牆通過人工智能技術主動對數據流量進行分析和過濾,有效攔截對網絡有害的數據流和異常報文,還可以結合模糊信息識別、規則專家系統等技術,有效地發現、識別、過濾、攔截不法網絡行爲和不良網絡信息,提升病毒軟件入侵檢測效率,更好地保障網絡安全。人工智能還能主動監管操作流程,通過對歷史操作行爲的學習對異常操作進行規避,包括對異常時間、異常地點、異常數量的操作自動發出告警並進行阻止,類似烏克蘭黑客攻擊事件就可以利用人工智能進行防範。未來人工智能技術將是網絡安全的基礎。
結束語
電網是關係國計民生的國家重要基礎設施,有着極高的安全防護要求。電網安全是電力行業的立足之本,伴隨着電網發展的整個歷史。而網絡安全是人類邁入數字化和智能化社會所面對的共同問題,不只限於電力行業,在其它行業如何通信、金融、交通、製造等行業的網絡安全經驗同樣適用於電力行業。新ICT信息通信技術正在加速推進全聯接智能電網的快速發展,全方位端到端地提升電網運營效率。電網嚴格的網絡安全標準和規範規避了通信設備可能給電網帶來的網絡安全隱患,電網多層級的安全防護設計也降低了通信設備被網絡攻擊可能帶來的安全風險。5G通信技術從架構設計上採取了更加嚴格的標準和措施來保證網絡安全,而人工智能技術的快速發展和大量應用將極大提升網絡安全防護能力,保障電網的安全穩定運行。