据SANS ICS小组对本次事故的报告, 外部电脑病毒被植入乌克兰电网公司的EMS后, 使底层发电机或变电站的控制服务器关机, 丧失对相应物理设备的感知与控制能力(the utility began to disconnect power substations for no apparent reason), 从而导致部分设备运行中断。此外, 病毒利用通信网络进行了大范围的传播和感染, 这使得乌克兰电网公司失去了与底层多个发电站及变电站的通信联系, 从而进一步丧失了对电网的实时感知与控制能力, 无法进行正确决策, 进而引发大范围停电。事故发生后, 乌克兰电网公司被迫停止EMS, 启动人工控制以恢复供电。截至当前, 即使供电已经恢复, 原有的EMS/SCADA系统的部分功能因被病毒攻击依然长时间处于离线状态, 本次网络攻击的影响仍在持续。
3、信息能源系统的薄弱环节评估
本次的乌克兰大停电事故中, 恶意信息攻击使得电力信息系统部分环节失效(控制服务器关机), 从而影响物理电网的运行, 造成了区域性大停电的严重后果。目前关于事件的详细报道和分析尚不多见, 因此还难以判断很多内部技术细节。从最终效果来看, 此次事故毫无疑问造成了重大的经济与社会影响, 攻击者也达到了预期目标。然而值得注意的是, 这是一次“简单粗暴”的攻击, 使用的BlackEnergy恶意软件也并非为电力系统量身打造的“定制版”, 攻击者是通过大面积、无差别的攻击电力信息网络中的相关设备, 使其强制关机, 从而影响系统安全运行。
这让笔者联想起《笑傲江湖》一书中令狐冲在破庙外奋起一剑, 刺瞎十五名高手的眼睛, 正类似于通过攻击“信息采集系统”最终迫使这些高手退出“物理运行”。但此时令狐冲处于剑法尚未大成的境界, 随着情节进展, 会逐渐修炼到专门看穿别人招数中的破绽, 然后一招制胜, 完美攻击。同样令人担忧的是, 未来能源系统所面对的恶意攻击者会不会也通过“修炼”来使得攻击日益“完美”。相比于此次事故中的“无差别攻击”, 这类直奔“命门”而去的信息攻击虽然难度更大、代价较高, 但是其目的明确、攻击手段隐蔽、识别难度大, 且攻击者可根据自身需求针对性地影响系统运行状态, 对未来能源系统的影响更为恶劣, 因而更值得大家关注。
事实上, 已有研究表明, 当攻击者具备一定电力系统知识时, 可制定精确的攻击策略, 通过针对性的坏数据注入和权限获取, 能够在无法被控制中心辨识的条件下影响电力系统的运行或使自己获得不正当利益。例如, 针对状态估计(state estimation)应用, 攻击者可通过修正部分量测信号, 影响控制中心状态估计结果(如开关状态、量测状态、系统拓扑辨识出错), 进而导致系统决策错误。又如, 电力市场环境下, 攻击者可通过恶意信息注入影响系统的边际电价决策结果, 提升自身收益。
这次事故敲响了恶意信息攻击可以诱发电网运行风险的警钟。而实际电网运行时, 信息系统除受到恶意攻击外, 还可能频繁面临由于无意错误(如工作人员失误)导致的功能失效, 这种信息环节的功能失效同样会诱发物理环节的运行风险。2003年美加“8•14”大停电是一个最典型的示例。其发生的一个重要原因是EMS中的状态估计功能退出运行, 调度人员失去了对电网实时状态的感知能力, 未能及时发现、评估和遏制故障蔓延。
“破绽”即薄弱环节。电力系统在运行过程中需要在线进行静态或暂态安全评估, 其目标就是让运行人员了解电力系统运行的薄弱环节。而随着信息环节与能量系统的日益融合, 整个信息能源系统的薄弱环节可能不再局限于物理系统内部, 信息环节或将成为新的阿喀琉斯之踵。这种薄弱环节可能成为“点穴式”恶意攻击的理想标靶, 也可能由于某种无意错误诱发意外风险。尤其是在闭环决策与控制日益增加的情境下, 信息故障将变得更为普遍而多样化, 极可能进一步殃及能量系统。因此, 通过信息-能量耦合建模、分析与安全评估, 定位整个信息能源系统的薄弱环节, 将是一个全新的研究课题。
4、对中国的启示
此次乌克兰大停电事故告诉大家, 即使物理电网状态正常, 信息系统的失效也同样可对系统造成严重的影响。换言之, 物理电网的安全评估结果并不等价于全系统的安全, 信息系统评估应当成为电力系统评估体系的重要组成部分。
信息网络的数据交互途径、接入点数量、传输内容与网络参与者等多个因素都将影响网络的信息安全。在国外, 尤其是欧美发达国家, 随着电力服务的细化与电力市场的普及, 电力系统运行对信息与通信有着更高的需求。现有研究及报告显示, 欧美国家的电力信息系统, 可依托于专用有线信息网络(如主网的EMS服务), 公共信息网络Internet(如市场报价、需求侧响应、分布式能源、电动汽车优化充电服务), 甚至无线网络(如电厂及小规模电网的能量管理服务)实现, 且参与者可获得的网络资源更多, 信息权限更大, 更容易接入并影响信息系统乃至整个电力系统的运行。这为恶意攻击者提供了方便之门。
现阶段中国的电网调度运行主要基于较为封闭的调度数据专网, 而且实现了严格的网络分区、物理隔离等安全技术, 这在很大程度上提高了中国电力系统应对网络攻击的能力。但仍必须看到, 随着国内电力系统的保护、控制水平的不断提高, 对信息网络可靠性的依赖也日益增加, 即使没有恶意攻击, 信息环节失效也可能诱发电网运行风险, 这在一些电网公司已经出现了类似的案例。因此着手从信息-能量耦合的视角, 开展信息环节对能量系统安全性的定量评估是保证中国复杂电力系统可靠运行的当务之急。
而随着能源互联网等概念的兴起及电力市场改革的不断推进, 未来海量终端用户可能通过无线通信、互联网等方式与能源系统产生信息互动, 在这一未来愿景下, 已经不再是简单的信息流调控能量流, 而是信息流与能量流实现真正的融合, 变成信息能源系统中密不可分、环环相套的组成部分。因此, 考虑信息能量相互作用机理的信息能源系统综合安全评估将具有重要的现实意义, 尽快开展相关研究已不是未雨绸缪, 而是迫在眉睫。
