第35卷 第2期2011年1月25日Vol.35 No.2
,Jan.252011
互动用电方式下的信息安全风险与安全需求分析
刘 念,张建华
()华北电力大学电气与电子工程学院,北京市102206
摘要:互动用电是智能电网的基本特征之一,针对因互动用电方式而引入的信息安全风险和安全
从风险分析的角度,将互动用电方式下的信息安全与广域环境下的电力信息需求展开研究。首先,
安全进行定性比较,重点论述了二者在威胁产生的客观条件、主观动机和事故后果等方面的差异。在此基础上,结合互动用电的业务流程和高级量测体系的特点,从保密性、完整性和可用性等信息
提炼出可用性评估、密钥管理和异常行为检测等3个方面的难点问题。安全需求出发,
关键词:智能电网;互动用电;信息安全;风险;安全需求
0 引言
]15-
。为满互动化是智能电网的基本特征之一[
足电力用户与电力运营商之间的需求交互,通过信
角度,初步提出一些未来的研究课题。其中,因互动
在研究主题中占据相用电而带来的关键技术缺失,
9]
。国际电工委员会(当数量[的相关工作组也IEC)
进行了初步探索,提出了互动用电方式下具体的安
形成互动用电方式。信息互息和电能的双向流动,
动是互动用电的先决条件之一,电力运营商与各类用户之间,按一定的时间约束,通过必要的双向通信网络,实现数据的收集、处理和发布,以及控制指令
]67-
。信息互动建立在高级量测体系()的执行[AMI
的基础上,需要安装数以百万计的新型智能电表,用
全需求,并强调相应的解决方法应该与AMI的其他
11]
。功能同步展开研究[
在国内,信息化和互动化同属于“坚强智能电
网”的基本特征,国家电网公司就智能电网的信息化问题也明确指出,信息化是发展坚强智能电网的基础和保障,要始终把自主、可控放在重要位置,保障
12]
。依据国家电并促进国产化水平提升[信息安全,
网公司规划,2010年是全面实施坚强智能电网建设
户侧终端设备和部分通信网络都不可避免地以开放
]810-
。开形式存在,接入点和可探测路径显著增加[放的信息技术和用户参与的特性,将导致信息安全
事故发生的概率大大提高。正如美国国家标准与技术研究院(在“智能电网互操作标准的框架和NIST)发展蓝图”中所指出的“满足互动用电的信息安全需求,毫无疑问是智能电网建设中优先规划的关键环
[10]
。节”
在美国,由N整合学术界、电力运营IST牵头,商、监管机构和联邦政府机构的有效资源,成立了智
,能电网的信息安全工作组(重点针对SGIPCSWG)-智能电网环境下的信息安全策略和安全需求展开研
究,并逐步制定相关的信息安全标准。该组织2010年2月发布的研究报告中明确指出“目前信息安全的关键技术领域,还达不到智能电网预想功能、可靠
[9]
。因此,性和可扩展性的要求”报告中试图对智能
电网环境下的信息基础架构进行分析,力求做到综
的一年,未来2智能电网建设必定将成为电力0年,
行业的中心任务,但智能电网的信息安全建设如何进行、何时进行以及相关标准都还不清晰。
针对上述情况,本文通过比较研究的方法,对互动用电方式下的信息安全风险进行了初步分析,并结合国内外研究现状,提炼出互动用电方式下的信息安全特点与难点问题,以提升国内研究机构和电力运营商的重视程度,为智能电网的信息化建设提供探讨与思路。
1 互动用电方式下的信息安全风险
1.1 信息安全风险评估
风险是指灾害或事故发生的可能性和造成影响的严重程度。信息安全风险评估是评价网络与信息系统安全最常用的方法。运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度
13]
。地减少经济损失和负面影响[
—79合而彻底地理解安全需求,并从设备、网络和系统等
;修回日期:。收稿日期:2010062420100926----
;国家自然科学基金资助项目(中央高50877026,51007022))。校基本科研业务费专项资金资助项目(09QG03
()2011,352
通常情况下,风险由信息安全事故发生的可能
性及其造成的影响这2种指标来衡量。风险评估方定性方法是依据研究者法可分为定性和定量2种:
经验、历史教训、政策走向及特殊案例等非的知识、
量化资料对系统风险状况作出判断的过程;定量方
14]
。在定量法是运用数量指标来对风险进行评估[
评估过程中,又将事故发生的可能性和影响程度进
一步分解为资产、脆弱性和威胁等风险要素,用威胁发生的概率和系统的脆弱性来量化事故发生的可能性,用资产的价值来量化事故造成的影响程度。就电力系统的信息安全而言,定量方法在评估过程中
]1518-
。还存在一些困难,仍处于理论研究阶段[
本文在研究过程中采用定性的评估方法,初步
分析互动用电方式下的信息安全风险,并与传统电
力系统下的信息安全风险进行比较。具体过程仍从通过威胁产生事故发生的可能性和影响程度出发,
的客观条件和主观动机来判断事故发生的可能性;通过事故后果的分析,来判断事故的影响程度。1.2 威胁产生的客观条件
承担着信息互动AMI是互动用电的核心环节,
的主要任务。在功能上,收AMI是一个用来测量、集、存储、分析和运用用户用电信息,并实现对智能电表、智能家电等设备远程控制的实时网络处理系统。在组成上,家域网、用户网AMI包括智能电表、
[]
。其中,关、通信网络和AM见图1)I前端系统6-8(前三者属于用户端,往往以较为开放的形式存在
。
图1 基于AMI的信息基础架构
Fi.1 InformationinfrastructurebasedonAMI g
智能电表属于典型的实时 从信息技术的角度,
嵌入式系统,家域网是通过局域网技术将智能电表、用户网关和各类智能家电连接成的一个有机整体,用户网关是外网与家域网的接口,通常部署在其他设备(如个人电脑、智能电表)中。从通信技术的角度,AMI网络具体采用何种通信媒质并没有定论,
/但根据I通信过程必然会建立在TEC的规划,CP采用与IIP协议的基础上,EC61850标准一致的应
19]
。用层协议[
根据上述分析,智能电表将采用嵌入式系统实现,并且具备较强的网络功能,而用户网关则部署在个人计算机和智能电表上。理论上,既然可以在任何计算机和软件系统中找到漏洞,那么同样也可以
9]
。AM在智能电表和用户网关中找到[I网络采用开放的通信协议,也给网络攻击提供了可探测的空
间和可潜入的路径。因此,与现有电力系统相比,互动用电方式下的信息安全问题,大大增加了可利用的接入点和访问路径,具备了威胁产生的客观条件。1.3 威胁产生的主观动机
电力系统信息安全的威胁通常可分为2类:一
来源于通信和信息系统自身的故障,以是客观威胁,—80—
及工作人员的疏忽大意而导致的误操作;二是主观
威胁,指有预谋的攻击,来源于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、恐怖组织与敌对国家等。在研究主观威胁时,需要分析威胁产生的动机,动机的强弱往往决定了网络攻击发生的概率。
在传统的用电方式下:控制系统和重要业务系统以物理隔离的方式封闭运行,提供给威胁源的可操作机会较小;并且从普通用户的角度,进行网络攻击并不能给自己带来直接的经济利益。因此,主观动机并不强烈。
在互动用电方式下:一方面,由于终端和部分通信网络采用开放的方式,给威胁源提供了可操作的机会;另一方面,用电负荷将采用网络化的方式收集统计,一旦能通过某种手段篡改计量值,达到偷电的
9,11]
。在两方面因素目的,将产生直接的经济利益[
的作用下,主观动机将大大增强。
1.4 事故后果分析
根据威胁产生的客观条件和主观动机分析,互动用电方式下的信息安全事故应包括经济性和安全性两方面的后果。
·讨论园地· 刘 念,等 互动用电方式下的信息安全风险与安全需求分析
经济性后果是指攻击者通过篡改智能电表的计
达到窃电的目的,给运营商带来收益损失。量值,
安全性后果是指攻击者通过某种手段,影响电
目前存力系统的稳定运行。从发生的机理上分析,在2种可能:一是攻击者向智能电表伪造断开指令
使用户停电,极端情况下,能够向数以百万计的智能很可能造成大范围的停电事故;电表伪造断开指令,
二是在互动用电方式下,计量值是分析用电情况、制定分时电价和需求侧响应项目的基础,如果篡改计量值的用户达到一定数量,对电网的运行将产生较
11]
。大的影响,造成安全隐患[
户侧存在个人隐私问题,一些用户不希望公开他们
类型和其他信息,因此,智能电所使用的负荷数量、
表的计量数据需要保密,通过网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考
一些重要的运行数据需要保密,同时也有责任来虑,
9]
。保障用户的用电行为隐私[
)完整性需求2完整性需求是电力系统中最重要的信息安全需21]
,互动用电方式下这种需求同样存在。计量数求[
据和控制指令是AMI系统中传输的2类关键信息,必须防止它们被篡改或伪造。对于智能电表,首先需要有能力对控制指令进行鉴别,判断指令是否被篡改、伪造;其次,智能电表的物理保护未必完善,很难阻止对户外电表的物理攻击,其存储芯片有可能被替换或修改,需要有及时的补救措施,防止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能安装在连接因特网的计算机上,加大了控制命令被篡改、伪造的风
基于开放的险。通信过程将遵循IEC61850体系,
/也需要确保信息的完TCPIP来构建应用层协议,22]
。整性[)可用性需求3
自动抄表(系统的可用性并不是太过去,AMR)
大的问题,运营商在难以获取计量数据时可以延迟
11]
。但互动用电方式获取,或通过估算的方法获取[
下,量测值和控制指令需要实时或准实时地双向传输,对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信息不可用时,其对系统究竟有多大影响,具体多大的延时是可以接受的。智能电表和用户网关的可用性,一方面要考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为
如物理入侵、网络入侵和拒绝服务攻击等的影因素,
响。通信系统的可用性不仅要考虑客观存在的故障
还要考虑光纤终端、电磁干扰和流量变化等因因素,素。AM硬件故障的I前端系统的可用性除考虑软、
还需要考虑拒绝服务攻击的影响。影响外,
2.2 难点分析
针对上述信息安全需求,解决方法可分为2类。一类是属于典型的工程技术问题,根据现有的安全标准和研究成果,结合具体的应用对象,可设计相应的解决方案。包括:①通信过程的保密性需求、完整性需求,可根据IEC62351标准和安全通信机
结合计量数据和控制指令的传输需制的设计方法,
]2324-
;求,设计具体的认证与保密协议[②对于智能电表和量测数据管理系统的保密性需求和完整性需
求,可参照变电站智能电子设备(和常规数据IED)
—811.5 与广域环境下电力信息安全风险的比较
根据上述分析,可以从威胁产生的客观条件、主观动机和事故后果等3个方面,将互动用电方式下的电力系统信息安全与广域环境下的电力系统信息安全进行比较。
由表1可知,2种情况下的信息安全事故后果
但在互动用电方式下,决定事故发生可能基本一致,
性的主观动机和客观条件都更为充分,由此而引起的信息安全事故的概率将远远大于广域环境下引起
的。因此,互动用电方式的引入,对电力系统的信息安全问题提出了全新的需求,是未来智能电网建设不得不面对的关键问题。
表1 电力系统信息安全风险的影响因素Tab.1 Imactfactorsofcbersecuritrisksfor pyy
sstemsower yp
比较对象客观
条件主观动机事故后果
物理保护可接入点动机的目的动机的主体影响范围严重程度
广域环境下电力系统信息安全
强度高很少
互动用电方式下电力系统信息安全用户端难以实现
很多
恶意造成影响电网运行、直接经济利益、、大停电用户停电影响电网运行极少数
破坏份子区域电网
高
所有参与互动用电的用户都存在可能
区域电网
高
2 互动用电方式下的信息安全需求
2.1 需求分析
通常意义下,信息安全需求包括保密性、完整性和可用性等3个方面的需求。保密性需求是阻止非授权用户访问信息;完整性需求是阻止非授权用户对信息的篡改或伪造;可用性需求是保证授权用户
20]
。结合互动用电的主要功能和对信息的访问[
分别对3种信息安全需求进行分析。AMI的特点,
)保密性需求1
保密性需求可以从互动用电的双方来分析。用
()2011,352
]2526-
,库的访问控制方法[设计相应的权限模型和访
问安全模型。
另一类是由互动用电特性而引入的难点问题,从现有的研究成果中难以找到可直接应用的方法。总结起来包括如下3个方面。
)可1AMI的可用性评估问题。从宏观上来说,用性的定义是指:网络在给定的时间间隔内,处理阈
[]7
。多数情况下可量化为值以上工作参数的能力2
概率指标。AM在规定的时间I的可用性可定义为:间隔内,收集量测值和执行控制指令的能力。AMI的可用性评估是一个非常复杂的问题,主要原因包括:包括软件、硬件I系统中涉及的对象很多,①AM和通信系统;不同的类型有②传输的报文数量很大,不同的时间要求,而且重要程度也存在差异;③报文产生和传输过程表现出并发性、随机性等特点;④不
对系统的可用性影响很大。同的安全防御措施,
)大规模实时智能设备的密钥管理问题。密钥2
通常管理是解决保密性需求和完整性需求的基础,
包括密钥生成、密钥存储和保护、密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧
存在如下典型的智能电表或用户网关为主要对象,
特点:某些城市电网将需要数以千万的数①规模大,字证书或密钥,以满足用电需求;②对象以嵌入式系统为主,计算能力和资源有限;③密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越短,破译的机会越小,但过多的密钥分发又会
很可能对信息交换过程的实占用系统的网络带宽,
时性产生影响;④不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要求。
)互动用电过程的异常行为检测问题。即使采3
用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏洞。在传统计算机网络中,一个普通的蠕虫病毒就可能造成整个网络瘫痪,同样,一个被病毒感染的智能电表,很可能将病毒迅速传播到AM通过控制I系统中的其他智能电表中:开关断开,造成城市配电网的停电事故;通过篡改计量值,造成运营商对用电量的错误统计,并导致直接经济损失和分析决策错误。在计算机网络中,用户
键问题。该问题不仅继承了广域环境下电力系统信
还兼顾了常规信息息安全的实时性和关键性特点,
安全中大规模、易接入和动机强等特点,对电力系统信息安全的研究提出了全新的挑战。通过需求分析
研究难点体现在密钥管理、异常行为检测和可可知,
用性评估等3个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟需解决的问题。
参考文献
[]张钦,]王锡凡,付敏,等.需求响应视角下的智能电网[电力系1J.
():统自动化,2009,33174955.-
,ZHANG Qin,WANGXifanFU Min,etal.Smartfromrid g
[]theofdemandresonseJ.AutomationofElectricersective ppp,():PowerSstems2009,33174955. -y
[]常康,薛峰,杨卫东.中国智能电网基本特征及其技术进展评述2
[]():电力系统自动化,J.2009,33171015.-
,XU,YANG KanEFenWeidon.ReviewontheCHANG gggbasiccharacteristicsanditstechnicalroressofsmartridin pgg
[,2ChinaJ].AutomationofElectricPowerSstems009,33 y():171015.-
[]3USDeartmentofEnerOfficeofElectricTransmissionand pgy
:aDistribution.“Grid2030”nationalvisionforelectricits y’
/://second00years[EBOL].[20100528].htt 1--p////dfsclimatevision.ovsectorselectriowerelectric_vision.pgpdf.p
[]张伯明,孙宏斌,吴文传,等.智能电网控制中心技术的未来发展4
[]():电力系统自动化,J.2009,33172128.-
,,BominSUN Honbin,WU Wenchuanetal.FutureZHANG gg]develomentofcontrolcentertechnoloiesforsmartJ.rid[ pgg
,():AutomationofElectricPowerSstems2009,33172128. -y[]肖世杰.]构建中国智能电网技术思考[电力系统自动化,5J.
():2009,33914.-
Shiie.ConsiderationfechnolooronstructinXIAO o t cjgyg f
[],ChineseridsmartJ.AutomationofElectricPowerSstems gy():2009,33914.-
[]余贻鑫.]智能电网的技术组成和实现顺序[南方电网技术,6J.
():2009,3215.-
YU Yixin.Technicalomositionfmartndtsrid c o s g a ip
imlementationeuence[J].Southernowerstem s P Sqyp,():Technolo2009,3215.-gy[]栾文鹏.]():高级量测体系[南方电网技术,7J.2009,32610.-
LUAN Wenen.Advancedeterinnfrastructure[J]. mpgg i
,():SouthernPowerSstem Technolo2009,32610. -ygy[]:8CLEVELANDF,SMALLF,BRUNETTOT.Smartrid g:a/interoerabilitandstandardsnintroductorreview[EB pyy
:///OL].[20100529].httxanthusconsultin.com---pgPublications.
[]N9IST,USDeartmentofCommerce.DraftNISTIR7628, p
/smartridcbersecuritstrateandreuirements[EBOL]. gyygyq
[]://///ublications20100529.httcsrc.nist.ovdraftsnistir---pgp/7628draftnistir7628.df.--p[]N10IST,USDeartmentofCommerce.NISTsecialublication ppp
1108,NISTrameworkndoadmaormartrid f a r s gp f
,/interoerabilitstandardsrelease1.0[EBOL].[201005 --py ]:///_//27.httwww.nist.ovublicaffairsreleasessmartridpgpg
可以通过计算机的状态或防病毒软件来判断计算机
是否被感染,但智能电表如果存在长期潜伏的病毒或木马,用户和运营商都很难直观地判断出来或察觉到。因此,就引出了互动用电过程的异常行为检测问题,这是一个未知但又充满风险的领域。
3 结语
综上所述,因互动用电方式而引入的信息安全
是智能电网建设过程中不得不面对的关需求问题,—82—
·讨论园地· 刘 念,等 互动用电方式下的信息安全风险与安全需求分析
_interoerabilit.df.pyp
[]11CLEVELANDF M.Cberecuritssuesordvanced s f ayy i
//Pmeterininfrastructure(AMI)[C]roceedinsof2008 gg
:IEEEPowerandEnerSocietGeneralMeetinConversion gyyg
,DeliverofElectricalEnerinthe21stCenturJul20and -ygyyy 24,2008,Pittsburh,PA,USA:15.-g
[]中华人民共和国工业和信息化部.国家电网调研:信息化是发12
/[展统一坚强智能电网的基础和保障[EBOL].20100601].--
://////httwww.miit.ov.cnn11293472n11293832n12843986pg12854879.html.
[]吴亚非,李新友,禄凯.信息安全风险评估[北京:清华大学13M].
出版社,2006.[]冯登国,]张阳,张玉清.信息安全风险评估综述[通信学报,14J.
():2004,2571018.-
,,FENGDenuoZHANGYanZHANGYuin.Surveof gggqgy
informationsecuritriskassessment[J].JournalofChina y ,():InstituteofCommunications2004,2571018. -[],,,网络环境下变电站自动化通信系统脆15刘念张建华段斌等.
]():电力系统自动化,弱性评估[J.2008,3282833.-
,,LIU NianZHANGJianhuaDUANBin,etal.Vulnerabilit yassessmentorommunicationstemfetworkbased f c s o n-yautomationsstem[J].AutomationofElectricsubstation y,():PowerSstems2008,3282833. -y
[]刘念,张建华,张昊.网络环境下变电站自动化系统资产识别16
[]():电力系统自动化,J.2009,33135357.-
,,NianZHANGJianhuaZHANG Hao.InformationassetLIU identificationfornetworkbasedsubstationautomationsstems - y[],():J.AutomationofElectricPowerSstems2009,3313 y5357.-[]17ERICSSON G N.Towardrameworkoranain a f f mgg
:CsecuritforanelectricutilitIGREinformationower yyp
[],():exeriencesJ.IEEETransonPowerDeliver2007,223 py14611469.-
[],Z,Z,18LIU NianHANGJianhuaHANG Haoetal.Securit y
assessmentforcommunicationnetworksofontrolower p c
]sstemsusinattackrahandMCDM[J.IEEETranson yggp ,():PowerDeliver2010,25314921500. -y
[]19IEC618507420 Communicationnetworksandsstemsfor -- y
:Powerutilitautomationart7420 basiccommunication - py
—distributedenerresourcesloicalnodes[S].structure gyg 2009.
[]20IECTS623511 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—1 communicationnetworkandsstemsecuritintroduction yy[]tosecuritissuesS.2007. y []21CLEVELANDF.IECTC57securitstandardsfortheower yp
—bsinformationinfrastructureeondsimleencrtionsstem’ ypypy
[//P/C]roceedinsof20052006IEEEPESTransmissionand g
,,DistributionConferenceandExhibitionMa21242006, -y ,DellasTX,USA:10791087.-
[]22IECTS623516 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—s6 communicationnetworkandsstemsecuritecuritfor yyy
[]IEC61850S.2007. []23IECTS623513 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—p3 communicationnetworkandsstemsecuritrofiles yy
/]includinTCPIP[S.2007.g []24IECTS623514 Powersstemsmanaementandassociated - yg
—d:exchaneataandcommunicationssecuritPartinformation gy
—p4 communicationnetworkandsstemsecuritrofiles yy[]includinMMSS.2007.g [],DUAN,e25LIU NianBin,WANGJiantal.StudonPMI y
//basedaccesscontrolofsubstationautomationsstem[C] y
,Proceedinsof2006IEEEPESGeneralMeetinJune1822, -gg
,:2006,MontrealCanada17.-[]26IEC618505 Communicationetworksndstemsn - n a s iy:substationPart5 communicationreuirementforfunctions q
[]devicemodelsS.2003.and []裴波,张衡,张宁,等.基于可靠拓扑的高可用性网络核心问题27
]():计算机研究与发展,分析[J.2004,411117791888.-
,,,BoZHANG HenZHANG Ninetal.AnalsisofkePEI ggyy
]issuesofreliabletoolobasedhihavailabilitnetwork[J. - pgygy ,2fomuteresearchndeveloment004,Journal o C R a Dpp
():411117791888.-
,刘 念(男,通信作者,博士,讲师,主要研究方1981—)
向:电力系统信息安全、风险评估、变电站通信系统与网络。:_E-mailnianliu63.com@1
,张建华(男,教授,博士生导师,主要研究方向:1952—)
电力系统安全评估、城市电网规划和应急管理。
CberSecuritRisksandReuirementsforCustomerInteractionofSmartGrid yyq
LIU Nian,ZHANG Jianhua
,()NorthChinaElectricPowerUniversitBeiin102206,China yjg
Abstract:Customerinteractionisoneofthebasicfeaturesofthesmartrid.Thestudisfocusedontheriskanddemandof gy
,,cbersecuritstemminfromcustomerinteraction.Firstintheersectiveofriskanalsisthecbersecuritofcustomer yygppyyy interactionisualitativelcomaredwiththatofwideareaowercbersecuritwithemhasisonthedifferencebetweenthe qyppyyp
,,,twointermsoftheobectiveconditionsubectivemotivationandconseuenceofthreat.Furthermorebreferrintothe jjqyg ,trocessbusinessofcustomerinteractionandfeaturesofadvancedmeterininfrastructure(AMI)herelateddifficulties pg ,k,aincludinavailabilitassessmentemanaementandabnormalactiondetectionreextractedfromthecbersecurit gyygyy ,suchasconfidentialitinteritandavailabilit.reuirements ygyyq
ThisworkissuortedbNationalNaturalScienceFoundationofChina(No.50877026,No.51007022)andthe ppy
FundamentalResearchFundsfortheCentralUniversities(No.09QG03). ;;;Kewords:smartridcustomerinteractioncbersecuritrisk;securitreuirements gyyyqy
—83
第35卷 第2期2011年1月25日Vol.35 No.2
,Jan.252011
互动用电方式下的信息安全风险与安全需求分析
刘 念,张建华
()华北电力大学电气与电子工程学院,北京市102206
摘要:互动用电是智能电网的基本特征之一,针对因互动用电方式而引入的信息安全风险和安全
从风险分析的角度,将互动用电方式下的信息安全与广域环境下的电力信息需求展开研究。首先,
安全进行定性比较,重点论述了二者在威胁产生的客观条件、主观动机和事故后果等方面的差异。在此基础上,结合互动用电的业务流程和高级量测体系的特点,从保密性、完整性和可用性等信息
提炼出可用性评估、密钥管理和异常行为检测等3个方面的难点问题。安全需求出发,
关键词:智能电网;互动用电;信息安全;风险;安全需求
0 引言
]15-
。为满互动化是智能电网的基本特征之一[
足电力用户与电力运营商之间的需求交互,通过信
角度,初步提出一些未来的研究课题。其中,因互动
在研究主题中占据相用电而带来的关键技术缺失,
9]
。国际电工委员会(当数量[的相关工作组也IEC)
进行了初步探索,提出了互动用电方式下具体的安
形成互动用电方式。信息互息和电能的双向流动,
动是互动用电的先决条件之一,电力运营商与各类用户之间,按一定的时间约束,通过必要的双向通信网络,实现数据的收集、处理和发布,以及控制指令
]67-
。信息互动建立在高级量测体系()的执行[AMI
的基础上,需要安装数以百万计的新型智能电表,用
全需求,并强调相应的解决方法应该与AMI的其他
11]
。功能同步展开研究[
在国内,信息化和互动化同属于“坚强智能电
网”的基本特征,国家电网公司就智能电网的信息化问题也明确指出,信息化是发展坚强智能电网的基础和保障,要始终把自主、可控放在重要位置,保障
12]
。依据国家电并促进国产化水平提升[信息安全,
网公司规划,2010年是全面实施坚强智能电网建设
户侧终端设备和部分通信网络都不可避免地以开放
]810-
。开形式存在,接入点和可探测路径显著增加[放的信息技术和用户参与的特性,将导致信息安全
事故发生的概率大大提高。正如美国国家标准与技术研究院(在“智能电网互操作标准的框架和NIST)发展蓝图”中所指出的“满足互动用电的信息安全需求,毫无疑问是智能电网建设中优先规划的关键环
[10]
。节”
在美国,由N整合学术界、电力运营IST牵头,商、监管机构和联邦政府机构的有效资源,成立了智
,能电网的信息安全工作组(重点针对SGIPCSWG)-智能电网环境下的信息安全策略和安全需求展开研
究,并逐步制定相关的信息安全标准。该组织2010年2月发布的研究报告中明确指出“目前信息安全的关键技术领域,还达不到智能电网预想功能、可靠
[9]
。因此,性和可扩展性的要求”报告中试图对智能
电网环境下的信息基础架构进行分析,力求做到综
的一年,未来2智能电网建设必定将成为电力0年,
行业的中心任务,但智能电网的信息安全建设如何进行、何时进行以及相关标准都还不清晰。
针对上述情况,本文通过比较研究的方法,对互动用电方式下的信息安全风险进行了初步分析,并结合国内外研究现状,提炼出互动用电方式下的信息安全特点与难点问题,以提升国内研究机构和电力运营商的重视程度,为智能电网的信息化建设提供探讨与思路。
1 互动用电方式下的信息安全风险
1.1 信息安全风险评估
风险是指灾害或事故发生的可能性和造成影响的严重程度。信息安全风险评估是评价网络与信息系统安全最常用的方法。运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度
13]
。地减少经济损失和负面影响[
—79合而彻底地理解安全需求,并从设备、网络和系统等
;修回日期:。收稿日期:2010062420100926----
;国家自然科学基金资助项目(中央高50877026,51007022))。校基本科研业务费专项资金资助项目(09QG03
()2011,352
通常情况下,风险由信息安全事故发生的可能
性及其造成的影响这2种指标来衡量。风险评估方定性方法是依据研究者法可分为定性和定量2种:
经验、历史教训、政策走向及特殊案例等非的知识、
量化资料对系统风险状况作出判断的过程;定量方
14]
。在定量法是运用数量指标来对风险进行评估[
评估过程中,又将事故发生的可能性和影响程度进
一步分解为资产、脆弱性和威胁等风险要素,用威胁发生的概率和系统的脆弱性来量化事故发生的可能性,用资产的价值来量化事故造成的影响程度。就电力系统的信息安全而言,定量方法在评估过程中
]1518-
。还存在一些困难,仍处于理论研究阶段[
本文在研究过程中采用定性的评估方法,初步
分析互动用电方式下的信息安全风险,并与传统电
力系统下的信息安全风险进行比较。具体过程仍从通过威胁产生事故发生的可能性和影响程度出发,
的客观条件和主观动机来判断事故发生的可能性;通过事故后果的分析,来判断事故的影响程度。1.2 威胁产生的客观条件
承担着信息互动AMI是互动用电的核心环节,
的主要任务。在功能上,收AMI是一个用来测量、集、存储、分析和运用用户用电信息,并实现对智能电表、智能家电等设备远程控制的实时网络处理系统。在组成上,家域网、用户网AMI包括智能电表、
[]
。其中,关、通信网络和AM见图1)I前端系统6-8(前三者属于用户端,往往以较为开放的形式存在
。
图1 基于AMI的信息基础架构
Fi.1 InformationinfrastructurebasedonAMI g
智能电表属于典型的实时 从信息技术的角度,
嵌入式系统,家域网是通过局域网技术将智能电表、用户网关和各类智能家电连接成的一个有机整体,用户网关是外网与家域网的接口,通常部署在其他设备(如个人电脑、智能电表)中。从通信技术的角度,AMI网络具体采用何种通信媒质并没有定论,
/但根据I通信过程必然会建立在TEC的规划,CP采用与IIP协议的基础上,EC61850标准一致的应
19]
。用层协议[
根据上述分析,智能电表将采用嵌入式系统实现,并且具备较强的网络功能,而用户网关则部署在个人计算机和智能电表上。理论上,既然可以在任何计算机和软件系统中找到漏洞,那么同样也可以
9]
。AM在智能电表和用户网关中找到[I网络采用开放的通信协议,也给网络攻击提供了可探测的空
间和可潜入的路径。因此,与现有电力系统相比,互动用电方式下的信息安全问题,大大增加了可利用的接入点和访问路径,具备了威胁产生的客观条件。1.3 威胁产生的主观动机
电力系统信息安全的威胁通常可分为2类:一
来源于通信和信息系统自身的故障,以是客观威胁,—80—
及工作人员的疏忽大意而导致的误操作;二是主观
威胁,指有预谋的攻击,来源于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、恐怖组织与敌对国家等。在研究主观威胁时,需要分析威胁产生的动机,动机的强弱往往决定了网络攻击发生的概率。
在传统的用电方式下:控制系统和重要业务系统以物理隔离的方式封闭运行,提供给威胁源的可操作机会较小;并且从普通用户的角度,进行网络攻击并不能给自己带来直接的经济利益。因此,主观动机并不强烈。
在互动用电方式下:一方面,由于终端和部分通信网络采用开放的方式,给威胁源提供了可操作的机会;另一方面,用电负荷将采用网络化的方式收集统计,一旦能通过某种手段篡改计量值,达到偷电的
9,11]
。在两方面因素目的,将产生直接的经济利益[
的作用下,主观动机将大大增强。
1.4 事故后果分析
根据威胁产生的客观条件和主观动机分析,互动用电方式下的信息安全事故应包括经济性和安全性两方面的后果。
·讨论园地· 刘 念,等 互动用电方式下的信息安全风险与安全需求分析
经济性后果是指攻击者通过篡改智能电表的计
达到窃电的目的,给运营商带来收益损失。量值,
安全性后果是指攻击者通过某种手段,影响电
目前存力系统的稳定运行。从发生的机理上分析,在2种可能:一是攻击者向智能电表伪造断开指令
使用户停电,极端情况下,能够向数以百万计的智能很可能造成大范围的停电事故;电表伪造断开指令,
二是在互动用电方式下,计量值是分析用电情况、制定分时电价和需求侧响应项目的基础,如果篡改计量值的用户达到一定数量,对电网的运行将产生较
11]
。大的影响,造成安全隐患[
户侧存在个人隐私问题,一些用户不希望公开他们
类型和其他信息,因此,智能电所使用的负荷数量、
表的计量数据需要保密,通过网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考
一些重要的运行数据需要保密,同时也有责任来虑,
9]
。保障用户的用电行为隐私[
)完整性需求2完整性需求是电力系统中最重要的信息安全需21]
,互动用电方式下这种需求同样存在。计量数求[
据和控制指令是AMI系统中传输的2类关键信息,必须防止它们被篡改或伪造。对于智能电表,首先需要有能力对控制指令进行鉴别,判断指令是否被篡改、伪造;其次,智能电表的物理保护未必完善,很难阻止对户外电表的物理攻击,其存储芯片有可能被替换或修改,需要有及时的补救措施,防止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能安装在连接因特网的计算机上,加大了控制命令被篡改、伪造的风
基于开放的险。通信过程将遵循IEC61850体系,
/也需要确保信息的完TCPIP来构建应用层协议,22]
。整性[)可用性需求3
自动抄表(系统的可用性并不是太过去,AMR)
大的问题,运营商在难以获取计量数据时可以延迟
11]
。但互动用电方式获取,或通过估算的方法获取[
下,量测值和控制指令需要实时或准实时地双向传输,对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信息不可用时,其对系统究竟有多大影响,具体多大的延时是可以接受的。智能电表和用户网关的可用性,一方面要考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为
如物理入侵、网络入侵和拒绝服务攻击等的影因素,
响。通信系统的可用性不仅要考虑客观存在的故障
还要考虑光纤终端、电磁干扰和流量变化等因因素,素。AM硬件故障的I前端系统的可用性除考虑软、
还需要考虑拒绝服务攻击的影响。影响外,
2.2 难点分析
针对上述信息安全需求,解决方法可分为2类。一类是属于典型的工程技术问题,根据现有的安全标准和研究成果,结合具体的应用对象,可设计相应的解决方案。包括:①通信过程的保密性需求、完整性需求,可根据IEC62351标准和安全通信机
结合计量数据和控制指令的传输需制的设计方法,
]2324-
;求,设计具体的认证与保密协议[②对于智能电表和量测数据管理系统的保密性需求和完整性需
求,可参照变电站智能电子设备(和常规数据IED)
—811.5 与广域环境下电力信息安全风险的比较
根据上述分析,可以从威胁产生的客观条件、主观动机和事故后果等3个方面,将互动用电方式下的电力系统信息安全与广域环境下的电力系统信息安全进行比较。
由表1可知,2种情况下的信息安全事故后果
但在互动用电方式下,决定事故发生可能基本一致,
性的主观动机和客观条件都更为充分,由此而引起的信息安全事故的概率将远远大于广域环境下引起
的。因此,互动用电方式的引入,对电力系统的信息安全问题提出了全新的需求,是未来智能电网建设不得不面对的关键问题。
表1 电力系统信息安全风险的影响因素Tab.1 Imactfactorsofcbersecuritrisksfor pyy
sstemsower yp
比较对象客观
条件主观动机事故后果
物理保护可接入点动机的目的动机的主体影响范围严重程度
广域环境下电力系统信息安全
强度高很少
互动用电方式下电力系统信息安全用户端难以实现
很多
恶意造成影响电网运行、直接经济利益、、大停电用户停电影响电网运行极少数
破坏份子区域电网
高
所有参与互动用电的用户都存在可能
区域电网
高
2 互动用电方式下的信息安全需求
2.1 需求分析
通常意义下,信息安全需求包括保密性、完整性和可用性等3个方面的需求。保密性需求是阻止非授权用户访问信息;完整性需求是阻止非授权用户对信息的篡改或伪造;可用性需求是保证授权用户
20]
。结合互动用电的主要功能和对信息的访问[
分别对3种信息安全需求进行分析。AMI的特点,
)保密性需求1
保密性需求可以从互动用电的双方来分析。用
()2011,352
]2526-
,库的访问控制方法[设计相应的权限模型和访
问安全模型。
另一类是由互动用电特性而引入的难点问题,从现有的研究成果中难以找到可直接应用的方法。总结起来包括如下3个方面。
)可1AMI的可用性评估问题。从宏观上来说,用性的定义是指:网络在给定的时间间隔内,处理阈
[]7
。多数情况下可量化为值以上工作参数的能力2
概率指标。AM在规定的时间I的可用性可定义为:间隔内,收集量测值和执行控制指令的能力。AMI的可用性评估是一个非常复杂的问题,主要原因包括:包括软件、硬件I系统中涉及的对象很多,①AM和通信系统;不同的类型有②传输的报文数量很大,不同的时间要求,而且重要程度也存在差异;③报文产生和传输过程表现出并发性、随机性等特点;④不
对系统的可用性影响很大。同的安全防御措施,
)大规模实时智能设备的密钥管理问题。密钥2
通常管理是解决保密性需求和完整性需求的基础,
包括密钥生成、密钥存储和保护、密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧
存在如下典型的智能电表或用户网关为主要对象,
特点:某些城市电网将需要数以千万的数①规模大,字证书或密钥,以满足用电需求;②对象以嵌入式系统为主,计算能力和资源有限;③密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越短,破译的机会越小,但过多的密钥分发又会
很可能对信息交换过程的实占用系统的网络带宽,
时性产生影响;④不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要求。
)互动用电过程的异常行为检测问题。即使采3
用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏洞。在传统计算机网络中,一个普通的蠕虫病毒就可能造成整个网络瘫痪,同样,一个被病毒感染的智能电表,很可能将病毒迅速传播到AM通过控制I系统中的其他智能电表中:开关断开,造成城市配电网的停电事故;通过篡改计量值,造成运营商对用电量的错误统计,并导致直接经济损失和分析决策错误。在计算机网络中,用户
键问题。该问题不仅继承了广域环境下电力系统信
还兼顾了常规信息息安全的实时性和关键性特点,
安全中大规模、易接入和动机强等特点,对电力系统信息安全的研究提出了全新的挑战。通过需求分析
研究难点体现在密钥管理、异常行为检测和可可知,
用性评估等3个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟需解决的问题。
参考文献
[]张钦,]王锡凡,付敏,等.需求响应视角下的智能电网[电力系1J.
():统自动化,2009,33174955.-
,ZHANG Qin,WANGXifanFU Min,etal.Smartfromrid g
[]theofdemandresonseJ.AutomationofElectricersective ppp,():PowerSstems2009,33174955. -y
[]常康,薛峰,杨卫东.中国智能电网基本特征及其技术进展评述2
[]():电力系统自动化,J.2009,33171015.-
,XU,YANG KanEFenWeidon.ReviewontheCHANG gggbasiccharacteristicsanditstechnicalroressofsmartridin pgg
[,2ChinaJ].AutomationofElectricPowerSstems009,33 y():171015.-
[]3USDeartmentofEnerOfficeofElectricTransmissionand pgy
:aDistribution.“Grid2030”nationalvisionforelectricits y’
/://second00years[EBOL].[20100528].htt 1--p////dfsclimatevision.ovsectorselectriowerelectric_vision.pgpdf.p
[]张伯明,孙宏斌,吴文传,等.智能电网控制中心技术的未来发展4
[]():电力系统自动化,J.2009,33172128.-
,,BominSUN Honbin,WU Wenchuanetal.FutureZHANG gg]develomentofcontrolcentertechnoloiesforsmartJ.rid[ pgg
,():AutomationofElectricPowerSstems2009,33172128. -y[]肖世杰.]构建中国智能电网技术思考[电力系统自动化,5J.
():2009,33914.-
Shiie.ConsiderationfechnolooronstructinXIAO o t cjgyg f
[],ChineseridsmartJ.AutomationofElectricPowerSstems gy():2009,33914.-
[]余贻鑫.]智能电网的技术组成和实现顺序[南方电网技术,6J.
():2009,3215.-
YU Yixin.Technicalomositionfmartndtsrid c o s g a ip
imlementationeuence[J].Southernowerstem s P Sqyp,():Technolo2009,3215.-gy[]栾文鹏.]():高级量测体系[南方电网技术,7J.2009,32610.-
LUAN Wenen.Advancedeterinnfrastructure[J]. mpgg i
,():SouthernPowerSstem Technolo2009,32610. -ygy[]:8CLEVELANDF,SMALLF,BRUNETTOT.Smartrid g:a/interoerabilitandstandardsnintroductorreview[EB pyy
:///OL].[20100529].httxanthusconsultin.com---pgPublications.
[]N9IST,USDeartmentofCommerce.DraftNISTIR7628, p
/smartridcbersecuritstrateandreuirements[EBOL]. gyygyq
[]://///ublications20100529.httcsrc.nist.ovdraftsnistir---pgp/7628draftnistir7628.df.--p[]N10IST,USDeartmentofCommerce.NISTsecialublication ppp
1108,NISTrameworkndoadmaormartrid f a r s gp f
,/interoerabilitstandardsrelease1.0[EBOL].[201005 --py ]:///_//27.httwww.nist.ovublicaffairsreleasessmartridpgpg
可以通过计算机的状态或防病毒软件来判断计算机
是否被感染,但智能电表如果存在长期潜伏的病毒或木马,用户和运营商都很难直观地判断出来或察觉到。因此,就引出了互动用电过程的异常行为检测问题,这是一个未知但又充满风险的领域。
3 结语
综上所述,因互动用电方式而引入的信息安全
是智能电网建设过程中不得不面对的关需求问题,—82—
·讨论园地· 刘 念,等 互动用电方式下的信息安全风险与安全需求分析
_interoerabilit.df.pyp
[]11CLEVELANDF M.Cberecuritssuesordvanced s f ayy i
//Pmeterininfrastructure(AMI)[C]roceedinsof2008 gg
:IEEEPowerandEnerSocietGeneralMeetinConversion gyyg
,DeliverofElectricalEnerinthe21stCenturJul20and -ygyyy 24,2008,Pittsburh,PA,USA:15.-g
[]中华人民共和国工业和信息化部.国家电网调研:信息化是发12
/[展统一坚强智能电网的基础和保障[EBOL].20100601].--
://////httwww.miit.ov.cnn11293472n11293832n12843986pg12854879.html.
[]吴亚非,李新友,禄凯.信息安全风险评估[北京:清华大学13M].
出版社,2006.[]冯登国,]张阳,张玉清.信息安全风险评估综述[通信学报,14J.
():2004,2571018.-
,,FENGDenuoZHANGYanZHANGYuin.Surveof gggqgy
informationsecuritriskassessment[J].JournalofChina y ,():InstituteofCommunications2004,2571018. -[],,,网络环境下变电站自动化通信系统脆15刘念张建华段斌等.
]():电力系统自动化,弱性评估[J.2008,3282833.-
,,LIU NianZHANGJianhuaDUANBin,etal.Vulnerabilit yassessmentorommunicationstemfetworkbased f c s o n-yautomationsstem[J].AutomationofElectricsubstation y,():PowerSstems2008,3282833. -y
[]刘念,张建华,张昊.网络环境下变电站自动化系统资产识别16
[]():电力系统自动化,J.2009,33135357.-
,,NianZHANGJianhuaZHANG Hao.InformationassetLIU identificationfornetworkbasedsubstationautomationsstems - y[],():J.AutomationofElectricPowerSstems2009,3313 y5357.-[]17ERICSSON G N.Towardrameworkoranain a f f mgg
:CsecuritforanelectricutilitIGREinformationower yyp
[],():exeriencesJ.IEEETransonPowerDeliver2007,223 py14611469.-
[],Z,Z,18LIU NianHANGJianhuaHANG Haoetal.Securit y
assessmentforcommunicationnetworksofontrolower p c
]sstemsusinattackrahandMCDM[J.IEEETranson yggp ,():PowerDeliver2010,25314921500. -y
[]19IEC618507420 Communicationnetworksandsstemsfor -- y
:Powerutilitautomationart7420 basiccommunication - py
—distributedenerresourcesloicalnodes[S].structure gyg 2009.
[]20IECTS623511 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—1 communicationnetworkandsstemsecuritintroduction yy[]tosecuritissuesS.2007. y []21CLEVELANDF.IECTC57securitstandardsfortheower yp
—bsinformationinfrastructureeondsimleencrtionsstem’ ypypy
[//P/C]roceedinsof20052006IEEEPESTransmissionand g
,,DistributionConferenceandExhibitionMa21242006, -y ,DellasTX,USA:10791087.-
[]22IECTS623516 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—s6 communicationnetworkandsstemsecuritecuritfor yyy
[]IEC61850S.2007. []23IECTS623513 Powersstemsmanaementandassociated - yg
—d:informationexchaneataandcommunicationssecuritPart gy
—p3 communicationnetworkandsstemsecuritrofiles yy
/]includinTCPIP[S.2007.g []24IECTS623514 Powersstemsmanaementandassociated - yg
—d:exchaneataandcommunicationssecuritPartinformation gy
—p4 communicationnetworkandsstemsecuritrofiles yy[]includinMMSS.2007.g [],DUAN,e25LIU NianBin,WANGJiantal.StudonPMI y
//basedaccesscontrolofsubstationautomationsstem[C] y
,Proceedinsof2006IEEEPESGeneralMeetinJune1822, -gg
,:2006,MontrealCanada17.-[]26IEC618505 Communicationetworksndstemsn - n a s iy:substationPart5 communicationreuirementforfunctions q
[]devicemodelsS.2003.and []裴波,张衡,张宁,等.基于可靠拓扑的高可用性网络核心问题27
]():计算机研究与发展,分析[J.2004,411117791888.-
,,,BoZHANG HenZHANG Ninetal.AnalsisofkePEI ggyy
]issuesofreliabletoolobasedhihavailabilitnetwork[J. - pgygy ,2fomuteresearchndeveloment004,Journal o C R a Dpp
():411117791888.-
,刘 念(男,通信作者,博士,讲师,主要研究方1981—)
向:电力系统信息安全、风险评估、变电站通信系统与网络。:_E-mailnianliu63.com@1
,张建华(男,教授,博士生导师,主要研究方向:1952—)
电力系统安全评估、城市电网规划和应急管理。
CberSecuritRisksandReuirementsforCustomerInteractionofSmartGrid yyq
LIU Nian,ZHANG Jianhua
,()NorthChinaElectricPowerUniversitBeiin102206,China yjg
Abstract:Customerinteractionisoneofthebasicfeaturesofthesmartrid.Thestudisfocusedontheriskanddemandof gy
,,cbersecuritstemminfromcustomerinteraction.Firstintheersectiveofriskanalsisthecbersecuritofcustomer yygppyyy interactionisualitativelcomaredwiththatofwideareaowercbersecuritwithemhasisonthedifferencebetweenthe qyppyyp
,,,twointermsoftheobectiveconditionsubectivemotivationandconseuenceofthreat.Furthermorebreferrintothe jjqyg ,trocessbusinessofcustomerinteractionandfeaturesofadvancedmeterininfrastructure(AMI)herelateddifficulties pg ,k,aincludinavailabilitassessmentemanaementandabnormalactiondetectionreextractedfromthecbersecurit gyygyy ,suchasconfidentialitinteritandavailabilit.reuirements ygyyq
ThisworkissuortedbNationalNaturalScienceFoundationofChina(No.50877026,No.51007022)andthe ppy
FundamentalResearchFundsfortheCentralUniversities(No.09QG03). ;;;Kewords:smartridcustomerinteractioncbersecuritrisk;securitreuirements gyyyqy
—83