电力系统工控安全威胁浅析-1--4-电力系统工控安全威胁浅析电力系统横向来看是一个有机整体通过参与电能分配的一次设备将整个电力系统串接在一起电力系统按照业务来分一般分为发、输、变、配、用、调度发电厂发出的电能需要经过高压变电后由输电线路进行远距离输送包含了从发电厂到供电公司配电系统的转移过程配电通过将电力送达消费者完成电力系统的全部功能。此过程分一次、二次系统一次系统直接参与电能的发输、分配、使用二次系统对一次系统进行测控、保护、调节而电力调度一定层度上保证电力系统的安全稳定运转对外可靠供电使电力生产有序进行采取的管理手段。2022年5月21日我国公布了“坚强智能电网”计划随着新技术的应用和更容易获取的能源数据及设备的使用越来越多的互通设备电力系统面临的信息和生产安全威胁和影响也日益扩大。下面分别从电力系统安全威胁与影响电力系统攻击场景分析第三方服务给电力系统带来的安全隐患以及移动应用程序和移动设备在电力系统中安全说明。威胁：消费者可能成为电力公司的威胁来源也可能是威胁的受害者。盗窃：智能跟踪者能够利用电力公司对智能终端的访问监测信息完成恶意的行为智能跟踪者能够根据电能的使用情况分析出用户的行为生活习惯等。黑客：出于智力挑战、安全测试、恶作剧、好奇心、金钱交易、权利、恐怖主义等动机入侵电力系统。金钱交易：出于金钱利益利用恶意程序隐蔽植入电力系统进行赎回勒索。恐怖主义：通过攻击电力系统恐怖分子能够利用物理攻击如爆炸也可以利用智能控制的数字化方式攻击以此来引起关注或达到他们攻击的目的。电力公司：来自电力公司内部员工造成的电力干扰、隐私泄露、错误账单等。第三方服务：电力系统中会依靠大量的第三方提供能够增强电力系统效率和功能的核心服务及附加服务。但是这些第三方也给电力系统带来一些新的威胁和攻击途径。有下定决心的攻击者在直接攻击目标失败后可能会转而攻击第三方再达到访问原本目标的目的。从提供数据访问控制到运转系统远程控制移动应用程序将在电力系统中发挥重要作用随着移动设备的继续普及消费者和电力公司职员都将更多的把移动设备应用到他们的日常生活中并将移动设备和电力系统进行交互。因此攻击者会认为移动设备是更有攻击价值的目标。移动设备通过专门为设备设计的移动应用程序访问电力系统资源。然而移动应用程序会被各种可以访问这些程序的设备攻击。由于大多数的移动应用程序可以访问因特网攻击者可以使用各种设备攻击这些应用。如极端天气和自然灾害是接近50%的电力扰动事件的产生的原因尽管可以通过在大部分电力系统区域构造冗余减小威胁对于消费者来说还是会出现单点失效的问题而自然威胁是不可能消除的。影响：场景1场景2场景3场景4以乌克兰电网安全事件为例乌克兰首都基辅的部分地区和乌克兰西部的140万名居民突然遭遇了一次长达数小时的大规模停电事件证明信息安全对生产安全的影响。再以Slammer蠕虫病毒入侵了俄亥俄州Davis-Besse核电站导致安全监控系统崩溃为例。保护电厂的防火墙封锁了Slammer传播使用的端口但是连接Davis-Besse公司网络和其承包商的一根T1线开放的。Slammer蠕虫先感染承包商网络然后通过T1线路旁路防火墙传播给Davis-Besse公司的网络。Davis-Besse公司再传给电厂网络导致冷却系统核心温度传感器以及外部辐射传感器的监控系统崩溃。对于漏洞的利用能够产生很多结果包括拒绝服务、信息泄露、远程代码执行等。远程代码执行通常通过产生一个允许攻击者在目标系统上执行操作系统命令的远程命令shell来完成然后配合上传脚本窃取密码文件和本地缓冲区中的网络域名凭证等。电力系统中SCADA系统、测控、保护装置等使用通用的协议存在大量的漏洞这些漏洞或许是已经发现的通过很多开源的漏洞扫描器如OpenVAS等都能够扫出一些漏洞也有未知的漏洞对电网工控协议设备自身等进行fuzzing能够发现不少未知的漏洞。另外对应用程序的攻击如CRSF在客户端自动地将用户会话身份标识附加在请求里面CSRF负载包含一个或更多的伪造用户账户签名的请求等。对电力系统中WIFI、蓝牙、蜂窝网络、RFID等无线攻击从而旁路边界安全控制。利用社工及物理等攻击都会给电力生产系统造成直接或间接的破坏。对于电力系统面临的安全威胁提供以下建议：建立和发展一个信息安全方案是电力系统安全的基础不能按照一个特定的模式来实施应根据实际需要建立一套安全可行的安全防御体系和方案。