美电网威胁预警工具都有哪些功能？

更多全球网络安全资讯尽在E安全官网www.easyaq.com

2013年4月，美国加利福利亚硅谷附近的美国太平洋天然气和电力公司（PG&E) Metcalf 变电站遭遇枪击事件。美国能源部因此计划开发一款新工具，该工具不仅可以帮助电网运营商更好地检测物理攻击，还可以用来发现黑客在电网关键链路中寻找漏洞的蛛丝马迹。

变电站安全有多重要？

• 北约电网有成千上万个变电站为企业和家庭供电。电网运营商认为，仅少数几个关键变电站出现问题也可能会导致地区断电，进而导致大型城市中心瘫痪。

• 据华尔街日报报道，2014年美国联邦能源监管委员会（简称FERC）一份机密报告发现：美国有30个变电站在电网运作中发挥了巨大的作用，而破坏其中的9个变电站可能会导致大规模停电，甚至使美国电网陷入瘫痪。

变电站面临的物理/网络威胁案例

2013年美国太平洋天然气和电力公司（PG&E) Metcalf 变电站遭遇的枪击事件后，研究人员认为，攻击者的真正意图是引发大范围停电。

在这起案件中，恶意攻击者切断了光纤电缆，之后用枪打中17个变压器，最终造成1500万美元的损失。PG&E 公司不得不在受损的变电站周围重新规划输电线路，直到维修完成。

这起事件意味着攻击者足够靠近才能使变电站爆炸。然而对于电网运营商而言，更令人担忧的是遭遇远程网络攻击。2015年乌克兰电网遭遇的网络攻击足以说明这一切并非庸人自扰。在乌克兰遭遇的这场攻击中，黑客关掉了三个能源配电公司的30个变电站，停电长达6个小时，影响了约23万居民。这些事件让美国能源部进一步认识到保护电网安全的紧迫性。

2017年初，美国能源部劳伦斯伯克利国家实验室一组研究人员完成了一个专注于设计和实现工具的项目，该机构称这款工具能检测配电网络上的网络攻击和物理攻击。

研究小组历经三年研发的这款工具使用微相量测量装置（μPMU）收集配电网的物理状态信息。该工具将这些数据与 SCADA （以计算机为基础的DCS与电力自动化监控系统）信息相结合就能对系统性能提供实时分析，并向电网运营商发出预警。

北美的电网运营商将频率视为衡量系统安全的主要指标（北美的标准频率是60Hz，欧洲为50Hz）。同步相量测量装置（PMU）能够衡量电力中正弦波幅度和相位角以帮助运营商监控频率。如果将 PMU 安装在变电站，就可以密切关注频率，并提醒运营商注意系统异常。

伯克利国家实验室计算研究部门的电脑科学家肖恩·裴瑟特表示，该实验室开发的威胁检测应用结合了安全工程和计算机安全。除了伯克利国家实验室，美国亚利桑那州立大学、电力标准实验室、电力研究院、软件厂商 OSISoft、Riverside Public Utilities 和美国南方电力公司也参与了威胁检测应用的开发。

OSISoft 客户创新与学术总监约翰·马特兰格表示，这种结合至关重要。裴瑟特提出的概念是：数据是决定电网网络状态的关键因素。将控制系统中的硬数据与第一性原理（First Principle，描述电网应当如何运作的原理）进行比较，电网运营商可以确定是否存在可疑事件。

2015年乌克兰电网攻击事件的事后倒查发现，一名或多名入侵者获得了设备控制功能的访问权，并暗中寻找了漏洞，这些入侵行动在变电站遭受攻击前几个月就已开始。

伯克利国家实验室的高级科学助理工程师夏兰·罗伯特表示，此类“侦察攻击”可能会微调设备的运作方式，如调整临界值。为了帮助应对此类探测型威胁，新的检测工具利用了机器学习，以便将系统上长期的运作模式和实时 SCADA 数据进行比较。如此一来，异常行为将变得显而易见，而操作系统工程师也可快速让其信息技术同行更好地了解具体情况。

研究范围拓宽至太阳能电池板

伯克利国家实验室这支研究小组正在拓展研究范围，从变电站拓展到分散式发电资源，例如屋顶的太阳能电池板。令人担忧的是，成千上万太阳能电池板及其电子设备可能会让黑客访问逆变器，进而破坏某个地区的电网。这类入侵可简单通过设备供应商的软件更新来实现。

伯克利国家实验室将牵头开发算法，通过发送相反的信号以抵消恶意软件针对逆变器的攻击，这是一种类似于降噪耳机的做法。这个为期三年的项目于2018年3月初启动，预算约250万美元，包括美国国家农村电气合作协会（NRECA）和萨克拉门托市政事业部（SMUD）在内的行业合作伙伴也将参与其中。