2019年11月07日 | 美国回击！突发性电网攻击的风险到底有多大？

2019年8月，美国政府问责署（GAO）发布了《关键基础设施保护：采取措施应对电网面临的巨大赛博安全风险》报告，对美国电网面临的赛博安全风险进行了分析。

图1 《关键基础设施保护：采取措施应对电网面临的巨大赛博安全风险》报告封面

一、背景

现代社会，电力已成为人类生产生活不可或缺的一部分。电网安全对于国家安全具有重要战略意义。美国电网的主要功能包括电能的生产和存储、传输及配送（如图2所示）。

美国电网全网由东部电力网（Eastern Interconnection）、西部电力网（Western Interconnection）及德克萨斯州电力可靠性委员会电力网（ElectricReliability Council of Texas Interconnection）三大子网构成（见图3）。三大子网近似独立运行，电网内部发的电供本电网使用。美国电网具有很强的恢复能力，能快速应对各类电网故障。即使面对飓风等大规模灾害，电网运行人员可通过事先采取措施，对关键设备设施进行保护，制定恢复计划，同时部署人员，以快速恢复灾后电力供应。但针对电网的赛博攻击往往是突发性的，电网运行人员没有时间提前准备应对方案，并且对电网的赛博攻击可能对大范围内的特定部件进行破坏。由于资源无法集中，应对这类攻击比应对特定区域的灾难事故难度更大。因此，针对电网的赛博攻击将构成巨大的安全挑战。当前，美国的电网存在巨大的赛博安全风险。

图2 美国电网电能的生产和存储、传输及配送

图3 美国电网的三大子网

二、美国电网面临巨大赛博安全风险

（一）赛博攻击的威胁来源

根据《美国情报界全球威胁评估报告》，敌对国家、犯罪集团、恐怖分子是发动针对美国电网等关键基础设施的赛博攻击的最大威胁来源。此外，黑客以及内部人员等也对电网赛博安全构成显著威胁。这些行为体发动针对电网工业控制系统（监控和控制电网功能的网络系统）的攻击能力在不断强化。随着一些探测电网工业控制系统漏洞的工具越来越容易获取，对电网发起赛博攻击的门槛也越来越低。

1、敌对国家

敌对国家或组织将赛博工具作为信息收集和间谍活动的手段。《2019年美国情报界全球威胁评估报告》指出：“主要竞争对手是美国赛博攻击威胁的最大来源；尤为引人关注的是，主要竞争对手具备对美国发起赛博攻击、对关键基础设施造成局部、短时中断的能力”。该报告举例说，部分主要对手具备使天然气管道中断数天至数周的能力（对应可移植到电网干扰上），而俄罗斯具备使电网中断至少数小时的能力。一个国家对另一个国家进行赛博攻击使其电网瘫痪已有先例。根据美国国家情报局长办公室的消息，2015年12月，一个有国家背景的组织对乌克兰电力网进行了赛博攻击，使变电站大规模断网，导致停电持续3个小时。

2、犯罪集团

犯罪集团寻求通过赛博攻击来敛财。根据《2019年美国情报界全球威胁评估报告》，未来数年内，以敛财为目的的犯罪集团将会扩大在美国的攻击目标。情报部门认为犯罪集团并不特定针对能源设施，但他们的行动会对电网造成影响。例如，犯罪集团经常使用勒索软件，可感染与电网工业控制系统相连的IT系统。根据美国国土安全部“工业控制系统电脑应急响应小组”的信息，勒索软件将对支持电网的IT和工业控制系统构成持续、重大威胁。此外，敌对国家也可雇佣犯罪集团来达到相应目的。

3、恐怖分子

恐怖分子寻求通过摧毁、瘫痪或者利用关键设施，来威胁美国的国家安全，造成大规模伤亡，破坏经济，制造公众恐慌。电网是恐怖分子重点破坏的对象，但根据《2019年美国情报界全球威胁评估报告》，目前恐怖分子尚不掌握此类复杂工具或具备必要的技能，来实施可使电网大规模停电或遭受重大破坏的赛博攻击。但恐怖分子还是能造成一定的干扰，例如破坏网站或者针对防护较弱的网络发起“拒绝服务”攻击。

4、黑客

黑客可能由于各种各样的原因侵入网络。随着一些网络工具越来越容易获得，黑客也不再需要具备极高的IT技能。尽管黑客对电网的威胁不像前述几个组织那么大，但威胁仍然存在。

5、内部人员

内部人员主要包括通过合法授权进入信息系统的雇员、承包商或供货商等，以及潜在的可以损坏、关闭、修改数据或关闭服务等方式造成危害的企业。例如，2009年德克萨斯电厂一名心怀不满的前IT雇员瘫痪了该公司的能量预报系统。

（二）美国电网面对赛博攻击变得越来越脆弱

对电网的赛博攻击主要通过三个途径：（1）电网工业控制系统；（2）连入配电系统网络的物联网设备；（3）全球定位系统。

1、工业控制系统

电网工业控制系统中集成了大量使用传统IT网络协议的廉价且通用的设备。使用这些协议以及传统的计算机和操作系统，为对电网的赛博攻击提供了大量的侵入点，尤其是很多工业控制系统设备具备远程接入能力，且越来越多的工业控制系统被接入到公司商业网络中（见图4）。很多传统的电网工业控制系统在设计时并未考虑赛博安全，使电网赛博安全风险进一步增加。

图4 赛博通过工业控制系统进行攻击

2、连入电网的消费者物联网设备

消费者的物联网设备连入到电网的配电网络中也会增加赛博安全风险。2018年一项大学的研究利用大规模真实网络模型，模拟了操纵智能家用设备对电网进行攻击的可行性及影响。研究者发现攻击者可以利用大量高压物联网设备（例如空调和加热器）组成僵尸网络，并利用其操纵电网的用电需求，最终可达到使电网瘫痪的目的。

3、全球定位系统

电网依赖于全球定位系统授时，以监测和控制发电、传输和配电功能。根据美国能源部的信息，全球定位系统信号容易被恶意攻击者利用。例如，恶意攻击者可能注入一个伪造的GPS信号，从而对电网运行造成干扰。

（三）目前美国还没有赛博攻击造成电网停电的案例

根据美国负责收集电网相关的赛博安全事故信息的三个机构——国土安全局、能源部以及北美电力可靠性协会的数据，目前在美国尚没有赛博安全事故影响到电网可靠性或电网运行、造成停电的案例。但此类事故在其他国家已有发生。

（四）美国在应对电网赛博风险方面面临严峻挑战

在应对电网赛博风险方面，美国主要面临以下挑战：（1）难以雇佣足够的赛博安全方面的人力；（2）信息共享机制不足；（3）投入赛博安全防护的资源不足；（4）电力系统依赖的其它关键设施（如天然气管道）也易受赛博攻击；（5）引入赛博安全标准和指南仍存在不确定性。

三、美国采取多项措施应对电网赛博安全风险

美国能源部、国土安全局及其它联邦机构已采取一系列保护关键基础设施的措施，以应对电网赛博安全风险。这些措施与美国国家标准技术研究所（NIST）的赛博安全框架相一致，主要包括：（1）对系统进行防护以缓解赛博安全风险和漏洞；（2）对赛博安全威胁和漏洞进行确认，并侦测潜在的赛博安全事故；（3）对事故进行应急响应和修复。

联邦能源监管委员会也出台了相应的监管措施来解决赛博安全问题，包括：（1）批准适用于大规模电力系统的强制性赛博安全标准；（2）以民事处罚手段来强化监管；（3）对电力可靠性委员会的运作情况进行稽查；（4）对电网机构遵守强制性赛博安全标准的情况进行稽查。

但美国政府问责署的调查也指出，能源部应对电网赛博安全风险和挑战的战略并不充分，联邦能源监管委员会批准的标准也并未能完全解决电网赛博安全问题。

来源：蓝海星智库