2015年12月23日, 乌克兰电网受到网络攻击, 乌克兰西部地区约70万户居民家中停电数小时, 该事件被认为是第一例网络攻击造成的大停电事件。乌克兰总人口约4 500万, 总装机容量约54 GW。在停电的伊万诺弗兰科夫斯克地区, 仅有一个较大的发电厂, 一个750 kV变电站, 少有500 kV以上的输电线路, 220 kV和330 kV输电网多为星形双回线网络。这就使得对重要变电站的网络攻击容易引发大规模的停电。
ESET公司的调查人员在乌克兰电网的一些配电单位中发现了BlackEnergy恶意软件系列的一个新变体BlackEnergy Lite, 以及KillDisk组件和SSH后门, 这些程序被认为是这次攻击的主导。此次BlackEnergy恶意软件网络攻击过程以及KillDisk组件执行流程如图2、图3所示。
图2 乌克兰电网攻击过程示意
图3 KillDisk执行流程
3、电力CPS网络攻击定义和分类
3.1网络安全概念
《美国标准技术研究院(NIST)7628号报告》指出网络安全三要素分别为保密性(confidentiality)、完整性(integrity)、可用性(availability), 简称网络“CIA”安全目标。网络攻击广义上是指任何一种破坏网络“CIA”安全目标的恶意攻击行为。本文给出网络攻击在电力CPS领域中的定义: 以破坏或降低电力CPS功能为目的, 在未经许可情况下对通信系统和控制系统的行为进行追踪, 利用电力信息通信网络存在的漏洞或安全缺陷对系统本身或资源进行攻击。
3.2电力CPS网络攻击分类
对电力CPS网络攻击的分类可以从通信网络覆盖范围和网络攻击目的两方面来阐述。
电力系统主要包括发电、输电、变电、配电、用电和调度六个环节。按照通信网络覆盖范围, 将网络攻击分为广域网络(WAN)攻击、邻域网络(NAN)攻击和家庭网络(HAN)攻击。各种攻击类型特点如表2所示。
表2 按覆盖范围的网络攻击分类
