物聯網安全 智慧電網之安全

大綱 環保與目前電力網路的挑戰 智慧電網的簡介 智慧電網的架構 智慧電網的特性 智慧電網的元件 智慧電網上的資安需求 智慧電網上的攻擊與後果 智慧電網上的資安保護 結論 https://en.wikipedia.org/wiki/Internet_of_Things

環保議題：全球暖化 節能(Energy Saving) 提高電力使用效率(Energy Efficiency) 碳收集及儲存(Carbon Capture and Storage) 將大型發電廠產生的二氧化碳收集，並用各種辦法儲存以避免其進入大氣層的技術 減低尖峰電力需求(Peak Demand)

傳統電力網路 基礎設施負荷過重 跨區域傳輸電力是有限的 無法與可再生能源(Renewable Energy)整合 電力提供的低可靠性–停電(Outage) 電力提供的品質波動很大 以化石燃料為來源–不環保 電力傳輸效率低 使用者不需要參與(Participation) 較低的計費與資料搜集效率

美加大停電–2003年8月14日 影響約北美5500萬人 美金6 billion的損失 每年因為電力中斷而有美金135 billions的損失 每年需要美金25–188的成本來處理電力干擾 Wiki：https://en.wikipedia.org/wiki/Northeast_blackout_of_2003

智慧電網定義 能力獨立與安全法案(Energy Independence and Security Act ; EISA)定義智慧電網為「國家的電力傳輸和分配系統的現代化，以保持安全可靠的電力基礎設施，而能夠滿足未來增長的需求」 關鍵的部分：增加智能(Smarter) 一個完整的電力測量和收集系統 在用戶端的電表(Meter) 用戶端與伺服器營運商的通訊網路 伺服器營運商的資料搜集與管理系統 ISO New England Inc.,“Overview of the smart grid: Policies, initiatives and needs,” Feb. 17, 2009.

SCADA 資料採集與監控系統(Supervisory Control And Data Acquisition ; SCADA) 三代 有監控程式及資料收集能力的電腦控制系統 應用於工業程式、基礎設施或是裝置上 三代 單體(Monolithic) 分散式 網路化(可應用於智慧電網上)

如何達到「智慧」電網？ 使用資訊與通訊技術的增進傳輸電力從發電廠到用戶端的過程 允許用戶端與電力系統做互動(Interaction) 將新型與改進的技術整合入目前的電力網路

智慧電網架構 雙層之相互依存(Inter-dependency)網路 上層的通訊網路 (Communication Network) 電力網路 (Power Grid) 每個節點皆有兩種網路鏈結

智慧電網特性 資運網路為基礎 分散式的電力資源產生 減低電力基礎設施的壓力 連續地網路監測與反饋(Feedback) 建立公用設施與用戶端的雙向溝通 分散式的電力資源產生 整合所有種類的電力來源，尤其是再生能源 減低電力基礎設施的壓力 減少和轉移高峰電力的需求 連續地自我學習 故障預測而提早處理而防止故障發生

智慧電網元件 電力能源端 網路基礎架構 用戶端 多樣的電力產生與控制 雙層之相互依存(Inter-dependency)網路 智慧偵測與量測(Measurement)

智慧偵測與量測(1/3) 增進電力系統量測，並可將量測結果轉化成有用資訊 評估設備的健康程度、電力網路的完整性 根據用戶端的需求幫助其做決策與自動化減輕壅塞

智慧偵測與量測(2/3) 進階電錶基礎設施 (Advanced Metering Infrastructure; AMI) 提供用戶與發電設施之間介面： 雙向的控制 進階的功能 即時電力計費 電力負荷特徵化 停電偵測與復電機制 美國加州已經要求所有的utilities 部署新型態的電錶

智慧偵測與量測(3/3) 健康監控器：面向量測元件 (Phasor measurement unit ; PMU) 分散式天氣偵測 量測電力waves並且決定設備是否健康 透過提早偵測錯誤(Faults)可以增加穩定性，必且讓作業系統隔離(Isolation)，進而避免在無預警下停電造成的嚴重後果 分散式天氣偵測 透過分散式地偵測太陽(Solar Irradiance)、風速、氣溫等，可提高再生能源的預測性 智慧電網系統可以透過偵測的結果動態地調整電力來源的支援

智慧電網網路架構

多樣的電力產生與控制(1/2) Fossil Wind Solar Nuclear

多樣的電力產生與控制(2/2) 目前狀況：固定的市場 未來：自由市場 目標 較少的生產者，導致較少的競爭 由政府規範(Regulate) 許多再生能源的生產者 較少的規範 目標 利己主義(對生產者、客戶與電力公司) 自由(沒有中央規範者) 電力有效率(電力供應不會超載、短缺)

智慧電網上的資安疑慮 資安攻擊在智慧電網上的目的 網絡物理系統(Cyber-Physical System)的特性使其資安更加複雜 經濟(Economic)因素：降低電力的付費 惡作劇 恐怖攻擊：控制電力這類與生活息息相關的資源 網絡物理系統(Cyber-Physical System)的特性使其資安更加複雜 網絡：傳遞資訊的通訊能力 物理：偵測電力等物理能力 A wide variety of motivations exist for launching an attack on the power grid, ranging from economic reasons (e.g., reducing electricity bills), to pranks, and all the way to terrorism (e.g., threatening people by controlling elec- tricity and other life-critical resources). The emerging smart grid, while benefiting the benign participants (con- sumers, utility companies), also provides powerful tools for adversaries.

智慧電網的攻擊面向 交互影響 智慧電網的安全受到極大的重視(包含美國政府) 網路的介入讓原本在SCADA上的Stuxnet病毒更容易擴散 物理上攻擊電錶可讓網路忽略這電表的存在 智慧電網的安全受到極大的重視(包含美國政府) 結果 攻擊 網絡層 物理層 偷聽私密的資訊 Stuxnet 忽視電錶 因為物理破壞造成的不穩定 來源： Y. Mo; T. H.-H. Kim, K. Brancik, D. Dickinson, H. Lee, A. Perrig, and B. Sinopoli, “Cyber–Physical Security of a Smart Grid Infrastructure,” Proceedings of the IEEE, vol. 100, no. 1, Jan. 2012, pp. 195-209 cyber attacks can cause disruptions that transcend the cyber realm and affect the physical world. Stuxnet is a clear example of a cyber attack used to induce physical consequences. Conversely physical attacks can affect the cyber system. For example, the integrity of a meter can be compromised by using a shunt to bypass it. Secrecy can be broken by placing a compromised sensor beside a legitimate one. NIST, Guidelines for Smart Grid Cyber Security, Draft NISTIR 7628, Jul. 2010. NIST, NIST Framework and Roadmap for Smart Grid Interoperability Standards, Release 1.0, NIST Special Publication 1108, Jan. 2010.

傳統網路vs智慧電網 分類 傳統網路 智慧電網 資安目標 保密性>完整性>可用性 可用性>完整性>保密性 架構 彈性且動態的拓墣 中央伺服器需要更多的保護 類似樹狀的階層式拓墣 中央伺服器與某些週邊設備需要同樣的保護 技術 多種作業系統 公開的網路 以IP為主的通訊網路 所有者控制的作業系統(單一) 不公開的網路 以IEC61850與DNP為主的通訊網路 使用者品質 延遲與偶爾的連線失敗是可以忍受的 允許重新啟動 對於延遲與連線失敗有高度限制 不可以重新啟動 來源： J. Liu, Y. Xiao, S. Li, W. Liang, and C. L. Chen, “Cyber Security and Privacy Issues in Smart Grids,” IEEE Communications Surveys & Tutorials, vol. 14, no. 4, Apr. 2012, pp. 981-997

智慧電網上的資安需求(1/4) 智慧電網的資安需求 電力使用習慣的保密性 資料、指令、軟體的完整性 抵抗(分散)阻斷式攻擊的可用性 計費資訊 控制指令 電錶資料 軟體 保密性 低 中 完整性 高 可用性 無 來源： Y. Mo; T. H.-H. Kim, K. Brancik, D. Dickinson, H. Lee, A. Perrig, and B. Sinopoli, “Cyber–Physical Security of a Smart Grid Infrastructure,” Proceedings of the IEEE, vol. 100, no. 1, Jan. 2012, pp. 195-209

智慧電網上的資安需求(2/4) 電力使用習慣的保密性 電力使用資訊與應用程式的使用形式(Pattern)有關 透過監控此應用程式，會洩漏使用者的行為(Activity) 計費資訊與控制訊息的保密性沒那麼重要 因為是公開的 軟體的保密性也不那麼重要 資安不是建立在軟體的保密上

智慧電網上的資安需求(3/4) 資料、指令、軟體的完整性 計費資訊的完整性很重要 電錶數據與指令的完整性 軟體的完整性 攻擊者可以插入錯誤的價格會導致用電尖峰 許多設備會自動的更根據價格決定同樣的使用期間 電錶數據與指令的完整性 收入的損失 軟體的完整性 受損的軟體或惡意軟體可以控制任何設備和電網的元件

智慧電網上的資安需求(4/4) 抵抗(分散)阻斷式攻擊的可用性 阻斷式攻擊：發送假的請求到智慧電網 分散阻斷式攻擊：透過受損的智慧電錶與家電來消耗資源 價格資訊與電力的可用性是最為關鍵因素 造成嚴重的財務與法律的後果 過時的價格資訊對需求會造成負面影響 指令的可用性很重要 若指令沒有傳送到，使得付費之後電錶的內容被調整

智慧電網上的攻擊與後果 智慧電網上攻擊造成的後果 網絡層面 物理層面 計價資訊 控制指令 電錶資料 軟體 保密性 計價資訊的洩漏 控制架構的暴露 在無授權下存取智慧電錶數據 偷取周邊的軟體程式 完整性 錯誤的計價資訊 控制指令的改變 錯誤的智慧電錶數據 惡意軟體 可用性 無法取得計價資訊 無法使用智慧電網 無法取得付費資訊 無 來源： Y. Mo; T. H.-H. Kim, K. Brancik, D. Dickinson, H. Lee, A. Perrig, and B. Sinopoli, “Cyber–Physical Security of a Smart Grid Infrastructure,” Proceedings of the IEEE, vol. 100, no. 1, Jan. 2012, pp. 195-209

智慧電網上的 攻擊與後果：網路面(1/5) 惡意軟體擴散與惡意控制設備 協定中的漏洞 開發惡意程式並在智慧電網中擴散 惡意軟體可以針對設備或系統替換或添加任何功能 發送敏感訊息 控制設備 協定中的漏洞 現有協議若被智慧電網採用，其漏洞也會存在 TCP/IP Remote Procedure Call ; RPC

智慧電網上的 攻擊與後果：網路面(2/5) 透過資料庫的存取 通訊設備的損害 控制系統會將其行為記錄到資料庫中，並Mirror Log到企業網路上 有經驗的攻擊者會以企業網路為目標 其提供了路徑到控制網路 現有的資料庫若沒有正確設定容易產生此漏洞 通訊設備的損害 重新配置或損害一些通訊設備

智慧電網上的 攻擊與後果：網路面(3/5) 價格與智慧電錶數據上的錯誤資訊 針對目前與未來的電價插入錯誤的資訊 造成電力短缺 傳送錯誤的電錶數據(較低電費)給電力公司 電力公司的經濟損失 電力市場的巨大財務影響

智慧電網上的 攻擊與後果：網路面(4/5) 竊聽攻擊 透過監聽網路流量得到私密資訊 透過搜集的訊息做接下來的攻擊或犯罪 侵犯隱私：電力使用行為 智慧電網控制架構的揭露 未來電價的預測 透過搜集的訊息做接下來的攻擊或犯罪 搜集並檢查流量來推斷一些資訊 即便加密過後的數據都可以拿來分析

智慧電網上的 攻擊與後果：網路面(5/5) Modbus資安議題(源於SCADA協定) 廣泛應用於工業控制應用系統 水，油，瓦斯等的基礎設施 定義控制系統上訊息架構與溝通規則來交換SCADA資訊以營運企業的程序 被設計在低速串行通信網路 若應用在智慧電網有極大的資安疑慮 P. Huitsing, R. Chandia, M. Papa, and S. Shenoi, BAttack taxonomies for the Modbus protocols,[ Int. J. Critical Infrastructure Protection, vol. 1, pp. 37–44, Dec. 2008.

智慧電網上的 攻擊與後果：物理面(1/2) SCADA訊框(Frame)攔截 針對工業控制系統的惡意軟體 利用協定分析工具的攔截SCADA Distributed Network Protocol 3.0 的訊框並 搜集沒有加密明文 來源或目的地址等有價值的資料 資料可作日後中斷服務的攻擊 針對工業控制系統的惡意軟體 Stuxnet

智慧電網上的 攻擊與後果：物理面(2/2) 對網路與伺服器的阻斷式攻擊 傳送假指令給區域內的智慧電錶 任何的智慧電網元件：智慧電錶、網路設備、通訊鏈結、電力公司伺服器 在攻擊目標內的電力無法控制 電源供應可能會暫停 傳送假指令給區域內的智慧電錶 傳送「斷線」指令 停止電力的輸送 對電力設備做無效的切換指令 不安全的連接甚至失火

智慧電網上的資安保護(1/2) 金鑰管理 系統與設備安全 共享金鑰可以達到保密性與認證性 要定義信任的根本 公開金鑰密碼系統需要信任的憑證 挑戰：需要跨廣大且特性不同的基礎設施與設備 系統與設備安全 抵抗惡意病毒碼 E. Barker, D. Branstad, S. Chokhani, and M. Smid, A Framework for Designing Cryptographic Key Management Systems, NIST DRAFT Special Publication 800-130, Jun. 2010. S. McLaughlin, D. Podkuiko, A. Delozier, S. Mizdzvezhanka, and P. McDaniel, BEmbedded firmware diversity for smart electric meters,[ in Proc. USENIX Workshop Hot Topics in Security, 2010,

智慧電網上的資安保護(2/2) 安全的通訊架構 網路拓墣設計 安全的繞送(Routing)協定 安全的遞送(Forwarding) 影響網路對於攻擊的穩固性(Robustness) 安全的繞送(Routing)協定 其讓節點之間建立邏輯的連接 安全的遞送(Forwarding) End-to-End通訊 安全的廣播 阻斷式攻擊的防禦 Jamming攻擊的防禦

結論 具有通訊、偵測能力的智慧電網使得有更多攻擊的途徑 計費的智慧電網具有更多的攻擊動機 攻擊造成的物理結果甚至可能對人類生命造成影響 金鑰管理、安全通訊、安全程式碼執行、入侵偵測系統為保護智慧電網資安之重點