IoT智能电网的安全防护

图源： KoSSSmoSSS/Shutterstock.com

引言

增加更多物联网 (IoT) 功能是智能电网发展的未来趋势。物联网技术在电网监控中的广泛应用有望增强电网经济高效地提供可持续电力的能力。不幸的是，越来越多引入物联网技术的智能电网将拥有数百万个节点，导致针对物联网的网络攻击有了更多的攻击目标，相当于为网络攻击打开了一扇新的大门。

来自黑客的传统威胁，一直令人担忧，其中包括直接进入控制室并关闭资源，或在进入控制室和其他指挥控制基础设施之前对变电站等易受攻击的站点进行欺骗攻击，绕开安全防护。物联网的出现带来了新的威胁目标，并且其中一部分不受公用事业公司的直接控制。例如，黑客可以访问数千个接入物联网的家用电器和/或商业及工业设备，同时打开和关闭它们，导致整个电网发生连锁故障。

今天，公用事业电力部门的物联网面临着无数的安全威胁。公用事业公司引入物联网技术的电网不断变化的性质和日益复杂化，让与其直接相关的各种发展将能源环境变成了安全雷区。与工业4.0一样，智能电网也是一个由网络物理系统组成的系统。有鉴于此，美国国家科学技术研究院 (NIST) 开发了智能电网框架4.0。本文介绍了几种潜在的网络威胁，列举了恶意软件攻击平台的例子，并总结了一些建议来降低未来的安全风险。

来自内部和外部的网络威胁

随着电网的日益互联，网络威胁也在不断增加。从用超大流量堵塞通信到操纵数据流，潜在的攻击通过一系列行动威胁着有线和无线通信。无论是哪种情况，运营商控制网络的能力都可能受到严重损害。风险不仅仅存在于电网指挥控制系统内部；在整个电网基础设施和客户端，越来越多支持物联网的电网连接设备，都可能受到旁路攻击。潜在的攻击行为可能来自电网外部，也可能来自对公司不满的员工。

为了减少攻击的潜在影响，智能电网的设计应能实时隔离大型网段和受损网段，以防止局部攻击扩散。例如，需要改进在分布式控制和SCADA系统上识别风险和快速检测攻击的方法，以降低和控制网络威胁的破坏力。变电站不一定总有人员值守，变电站中的SCADA系统可能特别脆弱（图1）。

图1：变电站中的SCADA系统尤其容易遭受网络攻击。（图源：BBSTUDIOPHOTO/Shutterstock.com）

误报可能是一个特别麻烦的问题。有数十万个无线连接的传感器监控着电网，而坏人可以获得这些传感器的控制权并发送虚假数据。诱骗工作人员响应假警报可能会对电网造成重大损害。我们需要改进算法来验证主动式入侵报警，并识别对传感器和其他数据的篡改。所谓的“自愈”机制需要密切监控，以避免引入更多问题。监测至关重要，单个受损设备会成为整个电网的漏洞。一次成功的大规模网络攻击可能会导致整个城市或地区的电力供应中断，造成巨大的经济损失。电网面临着多种形式的威胁。下面列举了三个示例，包括：

让电网断电。除了直接的经济损失外，大面积停电还可能导致恐怖活动或大规模犯罪活动。

通过欺骗来干扰指挥中心资源，攻击者可以成功控制变电站或其他关键基础设施，从而导致大规模服务中断和网络犯罪。

使用恶意僵尸网络操纵需求是一种新兴的攻击威胁，需要新的方法来保证电网安全。

MadIoT、Mirai和KRACK

Wi-Fi网络对于各种网络威胁非常有吸引力。Wi-Fi连接的设备通过物联网 (MadIoT) 攻击来操纵需求是一个主要问题。支持Wi-Fi的大功率电器，如可通过互联网控制的空调（通常约1kW功耗）、热水器 (5kW)、烤箱 (4kW) 和空间加热器 (1.5kW) 正变得越来越普遍。电力研究所 (EPRI) 将这些支持Wi-Fi的设备称为并网设备 (GCD)。

国家鼓励使用GCD，因为它能为公用事业公司带来诸多好处，包括能够帮助这些公司监控、调度和控制本地设备，以及改进需求响应方法。大功率GCD的物联网僵尸网络有可能被用于操纵电网的电力需求。MadIoT攻击的示例包括：

频率剧烈变动：通过同时打开或关闭许多大功率GCD，电力需求的突然上升或下降可导致电网频率的急剧下降。如果变化超过临界阈值，则可能导致大规模停电。

连锁故障和线路故障：即使失衡情况低于临界阈值且频率稳定，需求增加仍可能导致局部过载和故障。局部的不平衡可能叠加，并在系统中发生连锁反应，特别是当一个地区的需求增加，而另一个相邻地区的需求减少时。

KRACK（密钥重装攻击）使用负责保护Wi-Fi连接的Wi-Fi访问保护协议（图2）。攻击者可以通过反复重置WPA2握手第三步中传输的nonce，逐渐匹配加密的数据包并了解用于加密Wi-Fi流量的完整密钥链。这是Wi-Fi标准的缺陷，但不是具体Wi-Fi实现的缺陷。因此，许多Wi-Fi设备中的安全协议都可以绕过。攻击者可以使用KRACK攻击特定的高价值目标。

图2：KRACK攻击可以绕过负责保护Wi-Fi设备的安全协议，让攻击者能够控制设备。（图源：Nicescene/Shutterstock.com）

KRACK可以用来攻击特定目标，而Mirai恶意软件及其众多变体却可以组建大规模僵尸网络。一旦被Mirai感染，恶意软件会持续扫描附近接入物联网的设备的IP地址。它使用一个包含数十个默认用户名和密码的表来识别有漏洞的设备。被感染的设备将继续正常运行，直到僵尸网络被激活。不幸的是，用户不更改出厂默认用户名和密码的情况太普遍了，这使得成千上万的设备，包括大功率GCD，都很容易受到Mirai攻击。

网络安全风险管理

NIST的国家网络安全卓越中心 (NCCoE) 建立了一个实验室，用来试验识别和防范网络攻击的方法。作为NCCoE的工作成果，NIST发布了一个用于提高关键基础设施网络安全的框架，以帮助组织更好地管理和降低关键基础设施及其他方面的网络安全风险。该框架基于五个功能：识别、保护、检测、响应和恢复（图3）。网络安全是一种循环往复的活动，是一个连续过程，永远没有尽头。

图3：网络安全风险管理的核心功能。（图源：NIST）

识别是一种基本活动，用于理解和管理系统、数据和资产的网络安全风险。它可以帮助用户理解实现关键功能所需的业务环境和资源，包括风险评估和风险管理策略。

保护包括制定和实施必要的保障措施，以确保正常提供关键服务。保护功能包括人员身份管理和访问控制、数据安全、信息保护以及人员安全意识和培训。

检测包括开发和实现所需的系统，以便及时识别网络安全事件和恶意活动，并尽量减少误报。这需要了解异常情况、持续进行安全监控并对威胁级别进行快速准确的分类。

响应包括针对检测到的网络攻击所采取的行动。响应的规划、组织内外的沟通、事件的分析、危机的缓解以及响应改进措施的制订都属于响应的关键部分。

恢复将支持快速恢复正常活动，以减少任何网络攻击入侵的影响，并确保电网的恢复能力。由于已有众多威胁类型，并且新的威胁类型也在不断出现，因此恢复的规划是一个复杂且长期持续的过程。

结语

物联网设备在智能电网监控中不断攀升的广泛应用，将会增强电网经济高效地提供可持续电力的能力。不幸的是，越来越多引入物联网技术的智能电网将拥有数百万个节点，导致针对物联网的网络攻击有了更多的攻击目标，相当于为网络攻击打开了一扇新的大门。例如，使用Mirai僵尸网络的MadIoT攻击可以将不安全的物联网设备变成大规模破坏性武器，其破坏后果远远超出个人安全或隐私损失。这就需要对物联网设备的安全性进行严格和永无止境的管理，因为它是更好地管理和降低关键基础设施网络安全风险这个总体目标中的一个关键要素。

作者简介

Jeff在电力电子、电子元器件和其他技术主题方面有着30多年的写作经验。他从担任《EETimes》杂志的高级编辑时就开始撰写电力电子方面的文章。他创办了《Powertechniques》，这是一本有关电力电子设计的杂志，每月发行量超过3万份。随后，他又创立了全球电力电子研究和出版公司Darnell Group。Darnell Group发布了PowerPulse.net，为全球电力电子工程社区提供每日新闻。Jeff曾编写过一本开关电源教科书《Power Supplies》，由普伦蒂斯霍尔出版社的雷斯顿分部出版。Jeff是Jeta电力系统公司的联合创始人，该公司是一家被Computer Products公司收购的大功率开关电源制造商。Jeff还是个发明家，他在热能采集和光学超材料领域拥有17项美国专利。他是业内知名人士，经常就电力电子领域的全球趋势发表演讲。他曾受邀在许多行业活动上发表演讲，包括IEEE应用电力电子会议全会、Semico West、全球半导体联盟新机遇会议、IBM电力和冷却研讨会以及Delta Electronics全球电信电力高级员工研讨会。Jeff拥有加州大学戴维斯分校的定量方法和数学硕士学位。