互动用电方式下的信息安全风险与安全需求分析
0引言
互动化是智能电网的基本特征之_。为满足电力用户与电力运营商之间的需求交互,通过信息和电能的双向流动,形成互动用电方式。信息互动是互动用电的先决条件之一,电力运营商与各类用户之间,按一定的时间约束,通过必要的双向通信网络,实现数据的收集、处理和发布,以及控制指令的执行。信息互动建立在高级量测体系(AMI)的基础上,需要安装数以百万计的新型智能电表,用户侧终端设备和部分通信网络都不可避免地以开放形式存在,接入点和可探测路径显著增加。开放的信息技术和用户参与的特性,将导致信息安全事故发生的概率大大提高。正如美国国家标准与技术研究院(NIST)在“智能电网互操作标准的框架和发展蓝图”中所指出的“满足互动用电的信息安全需求,毫无疑问是智能电网建设中优先规划的关键环节。
在美国,由NIST牵头,整合学术界、电力运营商、监管机构和联邦政府机构的有效资源,成立了智能电网的信息安全工作组(SGIP-CSWG),重点针对智能电网环境下的信息安全策略和安全需求展开研究,并逐步制定相关的信息安全标准。该组织2010年2月发布的研究报告中明确指出“目前信息安全的关键技术领域,还达不到智能电网预想功能、可靠性和可扩展性的要求”。因此,报告中试图对智能电网环境下的信息基础架构进行分析,力求做到综合而彻底地理解安全需求,并从设备、网络和系统等
国家自然科学基金资助项目(50877026,51007022);中央高校基本科研业务费专项资金资助项目(09QG03)。角度,初步提出一些未来的研究课题。其中,因互动用电而带来的关键技术缺失,在研究主题中占据相当数量。国际电工委员会(IEC)的相关工作组也进行了初步探索,提出了互动用电方式下具体的安全需求,并强调相应的解决方法应该与AMI的其他功能同步展开研究。
在国内,信息化和互动化同属于“坚强智能电网”的基本特征,国家电网公司就智能电网的信息化问题也明确指出,信息化是发展坚强智能电网的基础和保障,要始终把自主、可控放在重要位置,保障信息安全,并促进国产化水平提升[12]。依据国家电网公司规划,2010年是全面实施坚强智能电网建设的一年,未来20年,智能电网建设必定将成为电力行业的中心任务,但智能电网的信息安全建设如何进行、何时进行以及相关标准都还不清晰。
针对上述情况,本文通过比较研究的方法,对互动用电方式下的信息安全风险进行了初步分析,并结合国内外研究现状,提炼出互动用电方式下的信息安全特点与难点问题,以提升国内研究机构和电力运营商的重视程度,为智能电网的信息化建设提供探讨与思路。
1互动用电方式下的信息安全风险
1. 1信息安全风险评估
风险是指灾害或事故发生的可能性和造成影响的严重程度。信息安全风险评估是评价网络与信息系统安全最常用的方法。运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。
通常情况下,风险由信息安全事故发生的可能性及其造成的影响这2种指标来衡量。风险评估方法可分为定性和定量2种:定性方法是依据研究者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况作出判断的过程;定量方法是运用数量指标来对风险进行评估。在定量评估过程中,又将事故发生的可能性和影响程度进一步分解为资产、脆弱性和威胁等风险要素,用威胁发生的概率和系统的脆弱性来量化事故发生的可能性,用资产的价值来量化事故造成的影响程度。就电力系统的信息安全而言,定量方法在评估过程中还存在一些困难,仍处于理论研究阶段。
本文在研究过程中采用定性的评估方法,初步分析互动用电方式下的信息安全风险,并与传统电力系统下的信息安全风险进行比较。具体过程仍从事故发生的可能性和影响程度出发,通过威胁产生的客观条件和主观动机来判断事故发生的可能性;通过事故后果的分析,来判断事故的影响程度。
1.2威胁产生的客观条件
AMI是互动用电的核心环节,承担着信息互动的主要任务。在功能上,AMI是一个用来测量、收集、存储、分析和运用用户用电信息,并实现对智能电表、智能家电等设备远程控制的实时网络处理系统。在组成上,AMI包括智能电表、家域网、用户网关、通信网络和AMI前端系统(见图1)。其中,前三者属于用户端,往往以较为开放的形式存在。
从信息技术的角度,智能电表属于典型的实时嵌入式系统,家域网是通过局域网技术将智能电表、用户网关和各类智能家电连接成的一个有机整体,用户网关是外网与家域网的接口,通常部署在其他设备(如个人电脑、智能电表)中。从通信技术的角度,AMI网络具体采用何种通信媒质并没有定论,但根据IEC的规划,通信过程必然会建立在TCP/IP协议的基础上,采用与IEC61850标准一致的应用层协议™。
根据上述分析,智能电表将采用嵌入式系统实现,并且具备较强的网络功能,而用户网关则部署在个人计算机和智能电表上。理论上,既然可以在任何计算机和软件系统中找到漏洞,那么同样也可以在智能电表和用户网关中找到。AMI网络采用开放的通信协议,也给网络攻击提供了可探测的空间和可潜入的路径。因此,与现有电力系统相比,互动用电方式下的信息安全问题,大大增加了可利用的接入点和访问路径,具备了威胁产生的客观条件。
1.3 威胁产生的主观动机
电力系统信息安全的威胁通常可分为2类:_是客观威胁,来源于通信和信息系统自身的故障,以及工作人员的疏忽大意而导致的误操作;二是主观威胁,指有预谋的攻击,来源于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、恐怖组织与敌对国家等。在研究主观威胁时,需要分析威胁产生的动机,动机的强弱往往决定了网络攻击发生的概率。
在传统的用电方式下:控制系统和重要业务系统以物理隔离的方式封闭运行,提供给威胁源的可操作机会较小;并且从普通用户的角度,进行网络攻击并不能给自己带来直接的经济利益。因此,主观动机并不强烈。
在互动用电方式下:一方面,由于终端和部分通信网络采用开放的方式,给威胁源提供了可操作的机会;另方面,用电负荷将采用网络化的方式收集统计,一旦能通过某种手段篡改计量值,达到偷电的目的,将产生直接的经济利益。在两方面因素的作用下,主观动机将大大增强。
1.4 事故后果分析
根据威胁产生的客观条件和主观动机分析,互动用电方式下的信息安全事故应包括经济性和安全性两方面的后果。经济性后果是指攻击者通过篡改智能电表的计量值,达到窃电的目的,给运营商带来收益损失。
安全性后果是指攻击者通过某种手段,影响电力系统的稳定运行。从发生的机理上分析,目前存在2种可能:_是攻击者向智能电表伪造断开指令使用户停电,极端情况下,能够向数以百万计的智能电表伪造断开指令,很可能造成大范围的停电事故;二是在互动用电方式下,计量值是分析用电情况、制定分时电价和需求侧响应项目的基础,如果篡改计量值的用户达到一定数量,对电网的运行将产生较大的影响,造成安全隐患。
1.5与广域环境下电力信息安全风险的比较
根据上述分析,可以从威胁产生的客观条件、主观动机和事故后果等3个方面,将互动用电方式下的电力系统信息安全与广域环境下的电力系统信息安全进行比较。
由表1可知,2种情况下的信息安全事故后果基本一致,但在互动用电方式下,决定事故发生可能性的主观动机和客观条件都更为充分,由此而引起的信息安全事故的概率将远远大于广域环境下引起的。因此,互动用电方式的引入,对电力系统的信息安全问题提出了全新的需求,是未来智能电网建设不得不面对的关键问题。
2互动用电方式下的信息安全需求
2. 1需求分析
通常意义下,信息安全需求包括保密性、完整性和可用性等3个方面的需求。保密性需求是阻止非授权用户访问信息;完整性需求是阻止非授权用户对信息的篡改或伪造;可用性需求是保证授权用户对信息的访问[2°]。结合互动用电的主要功能和AMI的特点,分别对3种信息安全需求进行分析。
1) 保密性需求
保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题,一些用户不希望公开他们所使用的负荷数量、类型和其他信息,因此,智能电表的计量数据需要保密,通过网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考虑,一些重要的运行数据需要保密,同时也有责任来保障用户的用电行为隐私[]。
2) 完整性需求
完整性需求是电力系统中最重要的信息安全需求[21],互动用电方式下这种需求同样存在。计量数据和控制指令是AMI系统中传输的2类关键信息,必须防止它们被篡改或伪造。对于智能电表,首先需要有能力对控制指令进行鉴别,判断指令是否被篡改、伪造;其次,智能电表的物理保护未必完善,很难阻止对户外电表的物理攻击,其存储芯片有可能被替换或修改,需要有及时的补救措施,防止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能安装在连接因特网的计算机上,加大了控制命令被篡改、伪造的风险。通信过程将遵循IEC61850体系,基于开放的TCP/IP来构建应用层协议,也需要确保信息的完整性。
3) 可用性需求
过去,自动抄表(AMR)系统的可用性并不是太大的问题,运营商在难以获取计量数据时可以延迟获取,或通过估算的方法获取[11]。但互动用电方式下,量测值和控制指令需要实时或准实时地双向传输,对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信息不可用时,其对系统究竟有多大影响,具体多大的延时是可以接受的。智能电表和用户网关的可用性,一方面要考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为因素,如物理入侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在的故障因素,还要考虑光纤终端、电磁干扰和流量变化等因素。AMI前端系统的可用性除考虑软、硬件故障的影响外,还需要考虑拒绝服务攻击的影响。
2.2 难点分析
针对上述信息安全需求,解决方法可分为2类。
一类是属于典型的工程技术问题,根据现有的安全标准和研究成果,结合具体的应用对象,可设计相应的解决方案。包括:①通信过程的保密性需求、完整性需求,可根据IEC62351标准和安全通信机制的设计方法,结合计量数据和控制指令的传输需求,设计具体的认证与保密协议;②对于智能电表和量测数据管理系统的保密性需求和完整性需求,可参照变电站智能电子设备(IED)和常规数据://—库的访问控制方法,设计相应的权限模型和访问安全模型。另一类是由互动用电特性而引入的难点问题,从现有的研究成果中难以找到可直接应用的方法。总结起来包括如下3个方面。
1) AMI的可用性评估问题。从宏观上来说,可用性的定义是指:网络在给定的时间间隔内,处理阈值以上工作参数的能力。多数情况下可量化为概率指标。AMI的可用性可定义为:在规定的时间间隔内,收集量测值和执行控制指令的能力。AMI的可用性评估是一个非常复杂的问题,主要原因包括:①AMI系统中涉及的对象很多,包括软件、硬件和通信系统丨②传输的报文数量很大,不同的类型有不同的时间要求,而且重要程度也存在差异报文产生和传输过程表现出并发性、随机性等特点不同的安全防御措施,对系统的可用性影响很大。
2) 大规模实时智能设备的密钥管理问题。密钥管理是解决保密性需求和完整性需求的基础,通常包括密钥生成、密钥存储和保护、密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧的智能电表或用户网关为主要对象,存在如下典型特点:①规模大,某些城市电网将需要数以千万的数字证书或密钥,以满足用电需求丨②对象以嵌入式系统为主,计算能力和资源有限;③密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越短,破译的机会越小,但过多的密钥分发又会占用系统的网络带宽,很可能对信息交换过程的实时性产生影响不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要求。
3)互动用电过程的异常行为检测问题。即使采用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏洞。在传统计算机网络中,一个普通的蠕虫病毒就可能造成整个网络瘫痪,同样,一个被病毒感染的智能电表,很可能将病毒迅速传播到AMI系统中的其他智能电表中:通过控制开关断开,造成城市配电网的停电事故;通过篡改计量值,造成运营商对用电量的错误统计,并导致直接经济损失和分析决策错误。在计算机网络中,用户可以通过计算机的状态或防病毒软件来判断计算机是否被感染,但智能电表如果存在长期潜伏的病毒或木马,用户和运营商都很难直观地判断出来或察觉到。因此,就引出了互动用电过程的异常行为检测问题,这是一个未知但又充满风险的领域。
3结语
综上所述,因互动用电方式而引入的信息安全需求问题,是智能电网建设过程中不得不面对的关键问题。该问题不仅继承了广域环境下电力系统信息安全的实时性和关键性特点,还兼顾了常规信息安全中大规模、易接入和动机强等特点,对电力系统信息安全的研究提出了全新的挑战。通过需求分析可知,研究难点体现在密钥管理、异常行为检测和可用性评估等3个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟需解决的问题。