李滿禮，倪 明，顏云松，司慶華，薛 峰，許劍冰

（1.南瑞集團(tuán)有限公司（國(guó)網(wǎng)電力科學(xué)研究院有限公司），江蘇省南京市 211106；2.國(guó)電南瑞科技股份有限公司，江蘇省南京市 211106；3.智能電網(wǎng)保護(hù)和運(yùn)行控制國(guó)家重點(diǎn)實(shí)驗(yàn)室，江蘇省南京市 211106）

0 引言

電力系統(tǒng)作為國(guó)家最重要的基礎(chǔ)設(shè)施之一，在復(fù)雜的國(guó)際形勢(shì)下面臨嚴(yán)峻的惡意攻擊形勢(shì)［1］。2015年 的 烏 克 蘭 大 停 電［2］和2019年 的 委 內(nèi) 瑞 拉 大停電就是典型的以電網(wǎng)為攻擊目標(biāo)的網(wǎng)絡(luò)安全事件［3］。隨著能源互聯(lián)網(wǎng)的發(fā)展，物理系統(tǒng)的安全越來(lái)越依賴信息系統(tǒng)的安全［4-5］。然而，現(xiàn)有信息系統(tǒng)安全防護(hù)體系和電力物理系統(tǒng)安全防御體系協(xié)調(diào)聯(lián)動(dòng)不足［6］，現(xiàn)有電網(wǎng)應(yīng)對(duì)網(wǎng)絡(luò)安全的能力有待提升。

電力安全防御系統(tǒng)中缺乏應(yīng)對(duì)電力系統(tǒng)遭受惡意攻擊的能力。傳統(tǒng)的電力安全穩(wěn)定防御體系主要針對(duì)電力系統(tǒng)自然故障，通過(guò)電力三道防線進(jìn)行防御［7-9］。在此基礎(chǔ)上，為了提升電力系統(tǒng)對(duì)自然災(zāi)害的應(yīng)對(duì)能力，將傳統(tǒng)電力安全穩(wěn)定防御體系向外拓展至外部環(huán)境［10］。隨著能源互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題對(duì)電力系統(tǒng)安全性影響越來(lái)越大，現(xiàn)有的電力安全防御體系缺乏對(duì)網(wǎng)絡(luò)安全問(wèn)題的分析與防御。因此，有必要將傳統(tǒng)電力安全穩(wěn)定防御體系向外拓展至信息通信系統(tǒng)，將網(wǎng)絡(luò)安全問(wèn)題納入“三道防線”的體系，提高電力系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)安全的能力。

網(wǎng)絡(luò)安全分析評(píng)估無(wú)法準(zhǔn)確地反映其對(duì)電力物理系統(tǒng)的影響，無(wú)法實(shí)現(xiàn)快速準(zhǔn)確應(yīng)對(duì)。14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》［11］總體思路是從邊界防護(hù)逐步向縱深防御發(fā)展，包括2個(gè)方面：一是擴(kuò)大邊界防護(hù)的保護(hù)范圍；二是積極推進(jìn)安全自主可控及工控威脅預(yù)警、可信計(jì)算等技術(shù)在電力監(jiān)控系統(tǒng)中的應(yīng)用，強(qiáng)化縱深防御［12］。另外，為了適應(yīng)外部信息的接入，2019年國(guó)家電網(wǎng)有限公司發(fā)布的《泛在電力物聯(lián)網(wǎng)全場(chǎng)景網(wǎng)絡(luò)安全防護(hù)方案》對(duì)電網(wǎng)信息網(wǎng)絡(luò)架構(gòu)進(jìn)行了進(jìn)一步的完善。近期，國(guó)家電網(wǎng)有限公司和中國(guó)南方電網(wǎng)有限責(zé)任公司都圍繞裝備的安全可控設(shè)計(jì)，著手從系統(tǒng)設(shè)計(jì)和建設(shè)階段解決二次系統(tǒng)的安全問(wèn)題。網(wǎng)絡(luò)安全防御系統(tǒng)是縱深防御的重要手段，但是其評(píng)估指標(biāo)多基于統(tǒng)計(jì)分析或者專家經(jīng)驗(yàn)［13-14］，無(wú)法準(zhǔn)確評(píng)估惡意攻擊影響，并且一旦發(fā)生網(wǎng)絡(luò)安全事件大多只能進(jìn)行人工處置，針對(duì)網(wǎng)絡(luò)安全事件的閉環(huán)實(shí)時(shí)處置能力較弱。

目前，信息物理協(xié)調(diào)的分析與防御方面已有初步探索［15］，如基于信息物理事件鏈的協(xié)同辨識(shí)方法［16］、惡意攻擊對(duì)電力二次系統(tǒng)和電力系統(tǒng)安全性的影響分析［17-19］、針對(duì)惡意攻擊的信息物理協(xié)調(diào)防御的研究框架［20］。然而，現(xiàn)有電力信息物理系統(tǒng)方面的成果對(duì)電力業(yè)務(wù)系統(tǒng)的研究不夠深入，大多將信息通信對(duì)電力系統(tǒng)的影響等值為數(shù)據(jù)篡改、開關(guān)拒動(dòng)和誤動(dòng)等，對(duì)業(yè)務(wù)系統(tǒng)的模型做了較大簡(jiǎn)化，從而影響分析結(jié)果的可信性。電力業(yè)務(wù)是連接信息通信系統(tǒng)和電力系統(tǒng)的樞紐，結(jié)合具體業(yè)務(wù)深入分析信息物理的交互影響是突破信息系統(tǒng)和物理系統(tǒng)邊界，實(shí)現(xiàn)信息物理融合的關(guān)鍵。因此，需要結(jié)合具體業(yè)務(wù)系統(tǒng)研究網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的影響與對(duì)應(yīng)的防御方法。

電力安全穩(wěn)定控制（簡(jiǎn)稱安控）業(yè)務(wù)是電網(wǎng)安全的第二道防線，已在中國(guó)各級(jí)電網(wǎng)中廣泛應(yīng)用。目前，針對(duì)安控系統(tǒng)遭受惡意攻擊后應(yīng)對(duì)方案方面的研究較少。本文圍繞安控系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)，從空間和時(shí)間維度提出信息物理協(xié)調(diào)防御方法與體系，研究了安控裝置級(jí)和系統(tǒng)級(jí)的防御關(guān)鍵技術(shù)，并提出了網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架。

1 安控系統(tǒng)惡意攻擊的影響分析

1.1 針對(duì)安控系統(tǒng)的攻擊試驗(yàn)

安控系統(tǒng)肩負(fù)保障故障下電力系統(tǒng)穩(wěn)定運(yùn)行的重要責(zé)任，其一旦拒動(dòng)或者誤動(dòng)，將會(huì)嚴(yán)重影響電力系統(tǒng)的穩(wěn)定運(yùn)行，甚至引起電力系統(tǒng)崩潰。安控系統(tǒng)一般由廠站側(cè)的安控裝置和調(diào)度側(cè)的安控集中管理系統(tǒng)構(gòu)成。在廠站側(cè)一般可分為協(xié)控總站、直流主站、抽水蓄能主站、精切主站和下層執(zhí)行站等多種類型，各層級(jí)裝置通過(guò)調(diào)度數(shù)據(jù)網(wǎng)與調(diào)度中心站進(jìn)行通信，裝置間通過(guò)2 Mbit/s通道進(jìn)行通信。

與其他工控裝置類似，安控裝置在設(shè)計(jì)階段更注重裝置控制功能的需求，對(duì)裝置的網(wǎng)絡(luò)安全方面考慮不足。通過(guò)與安控裝置開發(fā)人員充分溝通交流，在安控裝置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)充分暴露（通過(guò)錯(cuò)誤配置、設(shè)置弱口令等）的情況下，通過(guò)直接接觸裝置的方式在實(shí)驗(yàn)室中對(duì)實(shí)際安控裝置開展攻擊測(cè)試，驗(yàn)證安控裝置可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)。具體試驗(yàn)結(jié)果見附錄A圖A1。

針對(duì)安控裝置本體的攻擊試驗(yàn)可以實(shí)現(xiàn)鍵盤死鎖、內(nèi)存篡改、與主站通信接口關(guān)閉、安控裝置重啟等后果。針對(duì)安控裝置通信通道的攻擊試驗(yàn)可以實(shí)現(xiàn)安控裝置動(dòng)作指令或者定值的修改，會(huì)造成裝置誤動(dòng)或者拒動(dòng)。

雖然上述試驗(yàn)是在比較極端的情況下進(jìn)行的，實(shí)際運(yùn)行裝置不可能被攻擊者輕易接觸，且實(shí)際運(yùn)行裝置的風(fēng)險(xiǎn)點(diǎn)也不會(huì)充分暴露。但是上述試驗(yàn)也說(shuō)明了在某些極端情況下安控裝置存在被攻擊的風(fēng)險(xiǎn)。

1.2 惡意攻擊產(chǎn)生影響分析

基于安控系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)，本節(jié)從安控系統(tǒng)的管理功能、采集、決策、執(zhí)行等不同環(huán)節(jié)分析安控系統(tǒng)遭受不同攻擊方式（拒絕服務(wù)、數(shù)據(jù)篡改）可能產(chǎn)生的影響，如表1所示。

表1 不同環(huán)節(jié)遭受惡意攻擊下的影響分析Table 1 Impact analysis of malicious attack on different links

從表1可以發(fā)現(xiàn)，針對(duì)安控系統(tǒng)不同環(huán)節(jié)的攻擊可以造成裝置定制修改、裝置閉鎖、通信異常、采集量錯(cuò)誤和控制指令外發(fā)執(zhí)行等后果，影響安控系統(tǒng)決策的正確性，造成裝置拒動(dòng)/誤動(dòng)等嚴(yán)重后果，嚴(yán)重影響電網(wǎng)安全穩(wěn)定。但是由于不同裝置、不同定值、不同攻擊方式等對(duì)電網(wǎng)安全穩(wěn)定的影響不同，需要結(jié)合具體安控系統(tǒng)建立安控裝置與不同攻擊方式之間接口模型，從而分析惡意攻擊對(duì)安控策略和電力系統(tǒng)的影響。

2 信息物理協(xié)調(diào)防御方法

信息物理緊密耦合雖然帶來(lái)了網(wǎng)絡(luò)安全的挑戰(zhàn)，但同時(shí)也提供了信息物理協(xié)調(diào)的空間。因此，需要挖掘信息物理協(xié)調(diào)的潛力，研究協(xié)調(diào)的方法，提升電力信息物理系統(tǒng)對(duì)網(wǎng)絡(luò)安全的防御能力。本文圍繞安控業(yè)務(wù)，在傳統(tǒng)信息側(cè)的網(wǎng)絡(luò)安全管理平臺(tái)和電網(wǎng)安全穩(wěn)定防御系統(tǒng)的基礎(chǔ)上，分析現(xiàn)有系統(tǒng)在防御網(wǎng)絡(luò)安全問(wèn)題方面存在的不足，提出通過(guò)不同系統(tǒng)之間的數(shù)據(jù)交互，建立信息物理協(xié)調(diào)分析與防御框架，實(shí)現(xiàn)信息物理的協(xié)調(diào)防御，從而提升現(xiàn)有系統(tǒng)防御網(wǎng)絡(luò)安全問(wèn)題的能力。

2.1 信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)

網(wǎng)絡(luò)安全管理平臺(tái)［21］通過(guò)對(duì)控制網(wǎng)絡(luò)空間內(nèi)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等進(jìn)行實(shí)時(shí)監(jiān)視、預(yù)警告警、定位溯源、審計(jì)分析等，推動(dòng)網(wǎng)絡(luò)安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實(shí)時(shí)管控、縱深防御”轉(zhuǎn)變。但是目前的網(wǎng)絡(luò)安全管理平臺(tái)存在如下問(wèn)題：①不能對(duì)電力二次系統(tǒng)進(jìn)行監(jiān)視與分析，如安控裝置、保護(hù)裝置等，僅針對(duì)常規(guī)的計(jì)算機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和安防設(shè)備等進(jìn)行監(jiān)視與分析；②風(fēng)險(xiǎn)評(píng)估多是統(tǒng)計(jì)分析或者是基于專家經(jīng)驗(yàn)的一套評(píng)估體系，無(wú)法準(zhǔn)確評(píng)估惡意攻擊對(duì)電力一次和二次系統(tǒng)的影響；③閉環(huán)處置能力不足，對(duì)于網(wǎng)絡(luò)安全事件主要還是依賴于人工處理。

安控集中管理系統(tǒng)［22］屬于D5000系統(tǒng)的實(shí)時(shí)監(jiān)控與預(yù)警類的電網(wǎng)實(shí)時(shí)監(jiān)控與智能告警應(yīng)用，通過(guò)在調(diào)度中心站對(duì)安控裝置運(yùn)行狀態(tài)進(jìn)行監(jiān)視與分析，保障安控系統(tǒng)的安全可靠運(yùn)行。但是目前安控集中管理系統(tǒng)存在以下問(wèn)題：①僅涉及電氣量、開入信號(hào)、壓板狀態(tài)、裝置動(dòng)作記錄等，不涉及網(wǎng)絡(luò)安全相關(guān)的信息，因而無(wú)法針對(duì)安控裝置進(jìn)行網(wǎng)絡(luò)安全方面的監(jiān)測(cè)與分析；②安控策略模型中無(wú)法反映每個(gè)安控裝置的控制邏輯，策略模型無(wú)法反映出裝置間信息交互過(guò)程，因而無(wú)法滿足惡意攻擊通信通道的分析需求。

電網(wǎng)安全穩(wěn)定防御系統(tǒng)，以穩(wěn)定性量化技術(shù)為支撐，通過(guò)廣域量測(cè)、穩(wěn)定量化分析和多道防線優(yōu)化控制保障電網(wǎng)的安全穩(wěn)定運(yùn)行。目前，電網(wǎng)安全穩(wěn)定防御系統(tǒng)與安穩(wěn)集中管理系統(tǒng)進(jìn)行數(shù)據(jù)交互，可以考慮安控裝置閉鎖等部分情況的影響。但是電網(wǎng)安全穩(wěn)定防御系統(tǒng)僅僅針對(duì)傳統(tǒng)故障設(shè)置了防御策略，沒(méi)有考慮惡意攻擊等威脅對(duì)電網(wǎng)安全穩(wěn)定的影響，缺乏應(yīng)對(duì)惡意攻擊的能力。

圖1所示為針對(duì)安控業(yè)務(wù)的信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)，包括傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺(tái)、安控集中管理平臺(tái)和電網(wǎng)安全穩(wěn)定防御系統(tǒng)。為了解決各個(gè)孤立系統(tǒng)在應(yīng)對(duì)惡意攻擊方面存在的不足，如圖1中紅色部分所示，通過(guò)各個(gè)系統(tǒng)之間的信息交互，增加新功能，從而實(shí)現(xiàn)各個(gè)系統(tǒng)之間的協(xié)調(diào)聯(lián)動(dòng)。

信息物理的協(xié)調(diào)聯(lián)動(dòng)本質(zhì)上需要從信息物理融合的角度解決以下3個(gè)問(wèn)題：①哪些信息通信設(shè)備受到了攻擊，以及受到了何種方式的攻擊？②信息通信設(shè)備遭受攻擊后會(huì)對(duì)安控系統(tǒng)和電力一次系統(tǒng)造成什么影響？③怎么防御惡意攻擊？第1個(gè)問(wèn)題實(shí)際上是針對(duì)信息通信設(shè)備（包括常規(guī)信息通信設(shè)備、安控設(shè)備等）的惡意攻擊辨識(shí)問(wèn)題。網(wǎng)絡(luò)安全管理平臺(tái)已針對(duì)計(jì)算機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和安防設(shè)備等常規(guī)的信息通信設(shè)備進(jìn)行網(wǎng)絡(luò)安全的監(jiān)視與辨識(shí)。因此，還需要針對(duì)安控裝置進(jìn)行網(wǎng)絡(luò)安全相關(guān)的信息采集與攻擊辨識(shí)，即圖1中新增功能①安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與辨識(shí)。第2個(gè)問(wèn)題實(shí)際上是惡意攻擊的影響分析問(wèn)題，包括：信息通信設(shè)備遭受攻擊后會(huì)對(duì)哪些安控業(yè)務(wù)有影響，即新增功能③信息通信設(shè)備與安控業(yè)務(wù)通道的邏輯映射關(guān)系分析；惡意攻擊信息通信設(shè)備以后對(duì)安控策略和安控動(dòng)作行為有何影響，即新增功能②考慮攻擊影響的安控動(dòng)作行為分析；惡意攻擊可能會(huì)引起哪些電力故障，即新增功能⑤考慮攻擊影響的預(yù)想故障集生成與篩選。第3個(gè)問(wèn)題實(shí)際上是惡意攻擊的防御問(wèn)題，包括：信息側(cè)對(duì)于被攻擊信息通信設(shè)備的閉環(huán)處置方案，即新增功能④針對(duì)惡意攻擊的閉環(huán)處置策略；電力側(cè)對(duì)于惡意攻擊下電力故障的防御，即新增功能⑥考慮攻擊影響的輔助決策。

圖1 信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)(空間維度)Fig.1 Architecture of cyber-physical coordinated defense system(spatial dimension)

信息物理協(xié)調(diào)防御系統(tǒng)通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)、安控集中管理系統(tǒng)和電網(wǎng)安全穩(wěn)定防御系統(tǒng)之間的數(shù)據(jù)交互，實(shí)現(xiàn)信息物理協(xié)調(diào)的惡意攻擊辨識(shí)、分析和防御，從而提升傳統(tǒng)系統(tǒng)的網(wǎng)絡(luò)安全防御能力，具體體現(xiàn)在以下幾個(gè)方面。

1）對(duì)于網(wǎng)絡(luò)安全管理平臺(tái)，惡意攻擊的評(píng)估從“安全事件的統(tǒng)計(jì)分析”轉(zhuǎn)變?yōu)椤坝?jì)及電力一次系統(tǒng)影響的定量評(píng)估”；安全事件的處置從“安全事件處理主要靠人工”轉(zhuǎn)變?yōu)椤鞍踩录拈]環(huán)處置”。傳統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)無(wú)法閉環(huán)處置的原因在于無(wú)法預(yù)知被攻擊信息通信設(shè)備處置后會(huì)對(duì)電力業(yè)務(wù)造成什么影響。

2）對(duì)于安控集中管理系統(tǒng)，實(shí)現(xiàn)對(duì)所有和安控相關(guān)的通信信息設(shè)備的網(wǎng)絡(luò)安全監(jiān)視，能夠分析惡意攻擊對(duì)安控系統(tǒng)和安控策略的影響，甚至能夠指導(dǎo)惡意攻擊下安控裝置的操作和控制。

3）對(duì)于電網(wǎng)安全穩(wěn)定防御系統(tǒng)，具備考慮惡意攻擊的故障集生成和輔助決策等功能，初步實(shí)現(xiàn)考慮惡意攻擊的電網(wǎng)安全防御。

2.2 信息物理協(xié)調(diào)防御體系

2.1節(jié)從空間維度介紹了網(wǎng)絡(luò)安全管理平臺(tái)、安控集中管理系統(tǒng)和電網(wǎng)安全防御系統(tǒng)之間的協(xié)調(diào)配合，實(shí)現(xiàn)針對(duì)惡意攻擊的信息物理協(xié)調(diào)綜合防御。本節(jié)從時(shí)間維度，介紹安控系統(tǒng)的信息物理協(xié)調(diào)防御體系。借鑒傳統(tǒng)電力系統(tǒng)三道防線概念，文獻(xiàn)［20］中提出了針對(duì)惡意攻擊的信息物理協(xié)調(diào)防御的框架，本文在此基礎(chǔ)上結(jié)合安控業(yè)務(wù)對(duì)此框架進(jìn)行深入研究。

如圖2所示，基于惡意攻擊影響在信息物理空間的傳播時(shí)序，按攻擊發(fā)生前、攻擊發(fā)生但尚未影響電力一次系統(tǒng)、攻擊影響到電力一次系統(tǒng)的劃分原則，將惡意攻擊對(duì)電力系統(tǒng)的影響劃分為不同階段。在各個(gè)階段中通過(guò)不同系統(tǒng)的安全防御措施的時(shí)序配合及協(xié)調(diào)聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)針對(duì)惡意攻擊的全過(guò)程防御，建立包含多道防線的協(xié)調(diào)防御體系，提升針對(duì)惡意攻擊的防御能力。

圖2 信息物理協(xié)調(diào)防御體系(時(shí)間維度)Fig.2 Architecture of cyber-physical coordinated defense（time dimension）

1）在攻擊發(fā)生前，主要目標(biāo)是通過(guò)信息通信系統(tǒng)和安控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段阻止惡意攻擊事件的發(fā)生。其中，信息通信系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方案需要基于信息物理融合分析的結(jié)果，針對(duì)薄弱點(diǎn)，制定更有效的網(wǎng)絡(luò)安全防護(hù)方案，如根據(jù)信息物理融合靈敏度分析的結(jié)果，制定防護(hù)方案或者布置蜜罐等。目前，安控系統(tǒng)對(duì)于網(wǎng)絡(luò)安全方面考慮較少，存在被惡意攻擊的風(fēng)險(xiǎn)。需要針對(duì)風(fēng)險(xiǎn)點(diǎn)，充分考慮安控業(yè)務(wù)需求，制定安控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方案。

2）在攻擊發(fā)生但尚未影響到電力一次系統(tǒng)的階段，主要目標(biāo)是有效辨識(shí)惡意攻擊并進(jìn)行處置，以免惡意攻擊的傳播。同時(shí)，根據(jù)惡意攻擊可能對(duì)電力一次系統(tǒng)產(chǎn)生的影響，分析可能產(chǎn)生的預(yù)想故障集并進(jìn)行電力系統(tǒng)的預(yù)防控制。如圖2所示，在攻擊影響尚未擴(kuò)散到安控系統(tǒng)時(shí)，基于傳統(tǒng)信息側(cè)的辨識(shí)方法識(shí)別攻擊并基于信息物理融合分析對(duì)被攻擊的信息通信設(shè)備進(jìn)行隔離等處置。當(dāng)攻擊影響擴(kuò)散至安控系統(tǒng)后，安控系統(tǒng)可以基于安控業(yè)務(wù)特性對(duì)惡意攻擊進(jìn)行辨識(shí)和處置。基于惡意攻擊的辨識(shí)結(jié)果，通過(guò)信息物理融合分析確定潛在的電力故障集，并進(jìn)行電力系統(tǒng)的預(yù)防控制，從而保障惡意攻擊下電力系統(tǒng)的安全性。

3）在攻擊影響到電力一次系統(tǒng)后，主要目標(biāo)是采用電力系統(tǒng)的緊急和校正控制策略，從而實(shí)現(xiàn)針對(duì)惡意攻擊引起的電力故障的安全防御。與傳統(tǒng)電力系統(tǒng)緊急和校正控制策略不同的是，此處需要考慮惡意攻擊導(dǎo)致的信息通信設(shè)備對(duì)安控策略可執(zhí)行性的影響，實(shí)現(xiàn)考慮安控狀態(tài)影響的輔助決策，從而保證策略的有效性，保障電網(wǎng)的安全。

信息物理的協(xié)調(diào)防御體系將傳統(tǒng)的信息側(cè)縱深防御體系拓展至安控系統(tǒng)和電力一次系統(tǒng)，將傳統(tǒng)電網(wǎng)安全防御系統(tǒng)的信息采集拓展到信息通信系統(tǒng)，提前了故障預(yù)判的時(shí)間，提升了傳統(tǒng)電網(wǎng)安全防御系統(tǒng)對(duì)惡意攻擊的防御能力，實(shí)現(xiàn)了信息側(cè)“縱深防御體系”和電力側(cè)“三道防線”防御體系的統(tǒng)一。

3 安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與分析關(guān)鍵技術(shù)

前文從空間和時(shí)間維度介紹了安控系統(tǒng)的信息物理協(xié)調(diào)防御框架和體系，明確了需要解決的關(guān)鍵問(wèn)題。本章內(nèi)容聚焦安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與辨識(shí)功能，從安控裝置級(jí)和安控系統(tǒng)級(jí)2個(gè)方面，挖掘信息、安控業(yè)務(wù)、電力一次系統(tǒng)之間的時(shí)空相關(guān)性，提出協(xié)調(diào)的防護(hù)、辨識(shí)和監(jiān)視技術(shù)思路，實(shí)現(xiàn)安控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、識(shí)別與監(jiān)視，提升網(wǎng)絡(luò)安全防御能力。

3.1 安控裝置級(jí)防護(hù)技術(shù)

傳統(tǒng)安控裝置由于對(duì)網(wǎng)絡(luò)安全問(wèn)題考慮不足，存在被惡意攻擊的風(fēng)險(xiǎn)。本文第1章的惡意攻擊試驗(yàn)也說(shuō)明了目前安控裝置存在的一些惡意攻擊風(fēng)險(xiǎn)點(diǎn)。

一般信息系統(tǒng)的安全架構(gòu)強(qiáng)調(diào)數(shù)據(jù)的保密性、完整性和可用性，普遍采用：防火墻在網(wǎng)絡(luò)邊界提供訪問(wèn)控制，入侵檢測(cè)系統(tǒng)（IDS）提供入侵檢測(cè)，虛擬專用網(wǎng)絡(luò)（VPN）提供專用通道，對(duì)于病毒、木馬等惡意軟件，則采用查殺軟件進(jìn)行檢測(cè)，給操作系統(tǒng)打補(bǔ)丁，增加密碼強(qiáng)度，加強(qiáng)日志管理等手段［15，23］。但對(duì)于安控系統(tǒng)而言，由于安控業(yè)務(wù)的高實(shí)時(shí)性和安控裝置計(jì)算資源有限，這些傳統(tǒng)的信息防護(hù)手段直接應(yīng)用于安控系統(tǒng)時(shí)存在明顯的缺陷。因此，本章針對(duì)安控裝置存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在傳統(tǒng)信息側(cè)防護(hù)手段的基礎(chǔ)上考慮安控裝置業(yè)務(wù)特性，從信息側(cè)防護(hù)、裝置配置合理性、操作合規(guī)性和裝置響應(yīng)合理性等角度提出信息與安控業(yè)務(wù)特性相結(jié)合的裝置側(cè)協(xié)調(diào)防御方案，具體如圖3所示。

圖3 安控裝置級(jí)防護(hù)方案Fig.3 Protection scheme for security and stability control device

1）安控裝置的信息防護(hù)是指針對(duì)安控裝置具體風(fēng)險(xiǎn)點(diǎn)，分析傳統(tǒng)信息防護(hù)技術(shù)手段的適應(yīng)性，考慮到實(shí)時(shí)性和資源受限的情況對(duì)傳統(tǒng)信息防護(hù)技術(shù)進(jìn)行適應(yīng)性的改造，從而防止惡意攻擊事件的發(fā)生。具體包括：①加密技術(shù)的應(yīng)用。針對(duì)安控站間通信的加密技術(shù)，現(xiàn)有的加密技術(shù)無(wú)法滿足安控業(yè)務(wù)的實(shí)時(shí)性需求，需要專門針對(duì)安全業(yè)務(wù)系統(tǒng)特點(diǎn)研發(fā)加密技術(shù)和裝備，以實(shí)現(xiàn)安控業(yè)務(wù)實(shí)時(shí)性和安全性的平衡。②認(rèn)證技術(shù)的應(yīng)用。針對(duì)弱口令、缺乏身份認(rèn)證等風(fēng)險(xiǎn)點(diǎn)，采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)對(duì)其進(jìn)行改造與加強(qiáng)。

2）配置合理性是指針對(duì)不同功能的安控裝置，根據(jù)實(shí)際功能需求對(duì)安控裝置做最小化配置，盡量減少可被利用的攻擊點(diǎn)，降低安控裝置被攻擊的可能。具體包括：根據(jù)安控裝置的實(shí)際功能關(guān)閉閑置的端口；退出不必要的壓板；刪除裝置沒(méi)有開啟的相應(yīng)功能的代碼等，從而減少安控裝置可被利用的風(fēng)險(xiǎn)點(diǎn)。

3）操作合規(guī)性是指結(jié)合安控裝置的狀態(tài)、電力系統(tǒng)的狀態(tài)和安控裝置的操作規(guī)程等，分析針對(duì)安控裝置的操作是否合規(guī)或者動(dòng)作是否合理，拒絕不合規(guī)或者不合理的操作，從而保證即使在攻擊者獲取了一定的操作權(quán)限后仍然無(wú)法執(zhí)行關(guān)鍵的操作。具體包括：①基于裝置狀態(tài)的操作合規(guī)性分析，如只有在“遠(yuǎn)方定值修改”壓板投入狀態(tài)下才允許遠(yuǎn)方修改定值操作，否則為不合規(guī)操作，裝置會(huì)拒絕執(zhí)行此操作并產(chǎn)生相應(yīng)的告警信息。②基于操作規(guī)程的合規(guī)性分析，包括裝置重啟、調(diào)試等操作需要在裝置退出狀態(tài)下進(jìn)行，如果在裝置正常運(yùn)行狀態(tài)下進(jìn)行此操作則為不合規(guī)操作，裝置會(huì)拒絕執(zhí)行此操作并產(chǎn)生相應(yīng)的告警信息。③基于電網(wǎng)狀態(tài)的動(dòng)作合理性分析，如安控裝置收到動(dòng)作命令，若電氣量不滿足條件則拒絕動(dòng)作。

4）裝置響應(yīng)合理性是指基于安控裝置的功能和原理，判別安控裝置的動(dòng)作是否符合裝置動(dòng)作邏輯，從而實(shí)現(xiàn)攻擊后的識(shí)別。通過(guò)分析安控裝置不同工況下（裝置狀態(tài)、壓板投退狀態(tài)、電力系統(tǒng)運(yùn)行工況等）的響應(yīng)規(guī)律（裝置的動(dòng)作、告警信息、報(bào)文收發(fā)過(guò)程等），建立安控裝置的響應(yīng)模型（類似于人的行為畫像），分析安控裝置實(shí)際響應(yīng)行為與響應(yīng)模型是否一致，從而判斷安控系統(tǒng)的響應(yīng)情況是否合理，辨識(shí)裝置是否遭受惡意攻擊。

信息側(cè)防護(hù)和配置合理性分析是通過(guò)防止攻擊的發(fā)生來(lái)保證裝置的安全性。操作合規(guī)性是指即使惡意攻擊者成功攻擊安控裝置，也能從業(yè)務(wù)層面進(jìn)行分析判斷，從而防止攻擊者的惡意操作。裝置響應(yīng)合理性分析是指如果攻擊造成了裝置錯(cuò)誤的響應(yīng)，能夠準(zhǔn)確發(fā)現(xiàn)與定位，以保障對(duì)攻擊行為的及時(shí)處置。裝置側(cè)的協(xié)調(diào)防護(hù)方案不僅可以防止針對(duì)裝置的惡意攻擊，還可以防御社會(huì)工程學(xué)的攻擊，如潛入廠站直接操作裝置，實(shí)現(xiàn)即使在攻擊者獲得一定操作權(quán)限的情況下依然可以保證裝置的安全性，通過(guò)技術(shù)手段實(shí)現(xiàn)了管理方面的安全問(wèn)題?；谏鲜鲅b置級(jí)安全防護(hù)技術(shù)，針對(duì)某設(shè)備廠商具體的安控裝置，通過(guò)與裝置開發(fā)人員交流討論，提出可以執(zhí)行的12項(xiàng)具體的改造方案，涉及信息側(cè)防護(hù)、配置合理性分析、操作合規(guī)性分析和裝置響應(yīng)合理性分析，用于指導(dǎo)安控裝置的改造，從而提升安控裝置應(yīng)對(duì)惡意攻擊的能力。

3.2 安控系統(tǒng)級(jí)防護(hù)技術(shù)

安控系統(tǒng)級(jí)協(xié)調(diào)防護(hù)技術(shù)通過(guò)利用安控系統(tǒng)級(jí)的數(shù)據(jù)冗余性和基于安控系統(tǒng)業(yè)務(wù)邏輯的信息物理相關(guān)性，辨識(shí)安控系統(tǒng)是否收到惡意攻擊，從而在安控系統(tǒng)層面實(shí)現(xiàn)協(xié)調(diào)防護(hù)，如圖4所示，具體技術(shù)手段包括多源數(shù)據(jù)比對(duì)和安控系統(tǒng)響應(yīng)合理性分析。

圖4 安控系統(tǒng)級(jí)協(xié)調(diào)防護(hù)方案Fig.4 Protection scheme for security and stability control system

1）多源數(shù)據(jù)比對(duì)是指通過(guò)利用安控系統(tǒng)中多源數(shù)據(jù)的冗余性，辨識(shí)被惡意篡改的數(shù)據(jù)，從而實(shí)現(xiàn)針對(duì)數(shù)據(jù)篡改攻擊的防護(hù)。具體包括：①電氣量比對(duì)，通過(guò)安控裝置采集的數(shù)據(jù)與能量管理系統(tǒng)（EMS）中狀態(tài)估計(jì)的電氣量進(jìn)行比對(duì)，從而辨識(shí)安控裝置采集的電氣量是否被篡改。②定值比對(duì)，通過(guò)安控集中管理系統(tǒng)中保存的基準(zhǔn)定值和從安控裝置召喚的裝置定值進(jìn)行比對(duì)，從而辨識(shí)安控裝置的定值是否被篡改。③裝置間交互報(bào)文比對(duì)，通過(guò)在安控集中管理系統(tǒng)中比對(duì)2個(gè)裝置之間的報(bào)文是否一致來(lái)辨識(shí)裝置間交互數(shù)據(jù)是否被篡改。附錄A圖A2給出了一個(gè)通過(guò)裝置之間交互報(bào)文比對(duì)實(shí)現(xiàn)攻擊辨識(shí)的例子：通過(guò)攻擊安控主站發(fā)往安控子站的控制指令可以導(dǎo)致安控子站誤動(dòng)，通過(guò)比對(duì)安控集中管理系統(tǒng)收到的主子站報(bào)文可以發(fā)現(xiàn)安控主站并沒(méi)有給子站發(fā)送動(dòng)作指令，但是子站收到了主站的動(dòng)作指令并出口動(dòng)作，從而可以辨識(shí)安控裝置間通信可能遭受了數(shù)據(jù)篡改攻擊。

2）安控系統(tǒng)響應(yīng)合理性分析是指基于安控系統(tǒng)的業(yè)務(wù)邏輯，分析安控裝置在電網(wǎng)故障情況下的響應(yīng)規(guī)律，通過(guò)分析安控裝置實(shí)際動(dòng)作情況與電網(wǎng)故障情況下的響應(yīng)規(guī)律是否一致，判斷安控系統(tǒng)的響應(yīng)情況是否合理，從而辨識(shí)是否是惡意攻擊引起的安控系統(tǒng)的動(dòng)作。具體包括：①基于裝置啟動(dòng)過(guò)程的合理性分析。電網(wǎng)故障情況下裝置的啟動(dòng)過(guò)程一般是安控子站先啟動(dòng)，然后根據(jù)安控系統(tǒng)結(jié)構(gòu)，主站、總站順序啟動(dòng)，通過(guò)對(duì)比裝置實(shí)際的啟動(dòng)過(guò)程和電網(wǎng)故障情況下的裝置啟動(dòng)過(guò)程可以辨識(shí)裝置動(dòng)作是否是由于惡意攻擊引起的。附錄A圖A2所示的惡意攻擊場(chǎng)景下，實(shí)際上只有子站啟動(dòng)，主站和總站并沒(méi)有啟動(dòng)，與電網(wǎng)故障下的啟動(dòng)過(guò)程存在明顯差異。②基于安控策略的合理性分析。根據(jù)安控系統(tǒng)的策略，分析安控系統(tǒng)的動(dòng)作過(guò)程是否符合安控動(dòng)作的邏輯，從而辨識(shí)惡意攻擊等引起的安控裝置非正常動(dòng)作。文獻(xiàn)［20］提到的根據(jù)信息物理事件鏈的辨識(shí)方法也屬于這一類。另外，還可以根據(jù)安控系統(tǒng)的其他響應(yīng)特征量進(jìn)行分析和辨識(shí)惡意攻擊，包括裝置告警信息、閉鎖信息等。在實(shí)際應(yīng)用時(shí)，可以根據(jù)不同響應(yīng)特征量的特性采用不同的方法形成安控系統(tǒng)的影響合理性模型，如基于安控策略合理性分析可以采用模型驅(qū)動(dòng)的方法實(shí)現(xiàn)，基于裝置啟動(dòng)過(guò)程的合理性分析可以采用數(shù)據(jù)驅(qū)動(dòng)的方法實(shí)現(xiàn)。

通過(guò)多源數(shù)據(jù)比對(duì)和安控系統(tǒng)響應(yīng)合理性分析，可以辨識(shí)安控系統(tǒng)級(jí)的惡意攻擊導(dǎo)致的安控系統(tǒng)誤動(dòng)，進(jìn)一步提升了安控系統(tǒng)防御惡意攻擊的能力。

3.3 網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架

安控系統(tǒng)的裝置級(jí)和系統(tǒng)級(jí)防護(hù)技術(shù)通過(guò)信息、安控業(yè)務(wù)和一次系統(tǒng)之間的時(shí)空相關(guān)性，實(shí)現(xiàn)了針對(duì)惡意攻擊的事前防護(hù)、事中辨識(shí)和事后分析，保障了安控系統(tǒng)的網(wǎng)絡(luò)安全?；谏鲜霭踩雷o(hù)技術(shù)，圖5給出了安控系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)視與分析的應(yīng)用框架。

圖5 網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架Fig.5 Application framework of monitoring and analysis of network security

在裝置側(cè)，針對(duì)安控裝置現(xiàn)在典型的風(fēng)險(xiǎn)點(diǎn)，分別采用信息側(cè)防護(hù)、狀態(tài)合規(guī)性分析和操作合規(guī)性分析的裝置級(jí)防護(hù)技術(shù)對(duì)現(xiàn)有安控裝置進(jìn)行加固和改造，并采集裝置側(cè)與網(wǎng)絡(luò)安全相關(guān)的告警信息上送至主站側(cè)進(jìn)行監(jiān)視與分析。

在主站側(cè)，基于安控系統(tǒng)級(jí)的數(shù)據(jù)，采用多源數(shù)據(jù)比對(duì)和響應(yīng)合理性分析的方法對(duì)安控系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全的辨識(shí)與分析，并同時(shí)對(duì)安控裝置側(cè)上傳的告警信息進(jìn)行集中監(jiān)視與分析。

通過(guò)上述方案，可以初步實(shí)現(xiàn)（僅考慮了安控裝置）安控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、監(jiān)視與分析功能，提升安控系統(tǒng)防御惡意攻擊的能力。

4 結(jié)語(yǔ)

本文針對(duì)安控系統(tǒng)，從空間和時(shí)間維度提出了網(wǎng)絡(luò)安全協(xié)調(diào)防御系統(tǒng)的架構(gòu)和防御體系，實(shí)現(xiàn)了信息側(cè)“縱深防御體系”和電力側(cè)“三道防線”防御體系的統(tǒng)一。在此基礎(chǔ)上，聚焦于安控裝置和系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)，結(jié)合傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和業(yè)務(wù)邏輯分別提出了裝置側(cè)和主站側(cè)的網(wǎng)絡(luò)安全的防護(hù)方案和辨識(shí)方法，并給出了網(wǎng)絡(luò)安全監(jiān)視與分析的應(yīng)用框架，初步實(shí)現(xiàn)安控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、監(jiān)視與分析功能，提升安控系統(tǒng)惡意攻擊的防御能力。

圍繞圖1所示的安控系統(tǒng)信息物理協(xié)調(diào)防御框架，本文僅僅針對(duì)安控裝置提出了裝置級(jí)和系統(tǒng)級(jí)的網(wǎng)絡(luò)安全防護(hù)技術(shù)和網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架。后續(xù)還需要圍繞此協(xié)調(diào)防御框架，研究考慮信息通信系統(tǒng)、業(yè)務(wù)系統(tǒng)和電力一次系統(tǒng)的惡意攻擊融合風(fēng)險(xiǎn)分析技術(shù)（即圖1中新增功能②③⑤）和協(xié)調(diào)防御技術(shù)（即圖1中新增功能④⑥），從而突破信息物理界限，實(shí)現(xiàn)安控系統(tǒng)的信息物理協(xié)調(diào)防御。另外，本文僅圍繞安控業(yè)務(wù)提出了信息物理協(xié)調(diào)防御的框架，該協(xié)調(diào)防御框架還可以拓展至其他業(yè)務(wù)系統(tǒng)，從而實(shí)現(xiàn)考慮多業(yè)務(wù)的信息物理協(xié)調(diào)防御系統(tǒng)，提升電力業(yè)務(wù)系統(tǒng)和信息物理電力系統(tǒng)整體的網(wǎng)絡(luò)安全防御能力。

東南大學(xué)電氣工程學(xué)院王琦副教授在本文撰寫過(guò)程中參與了交流與探討，特此致謝。

附錄見本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。