面向惡意攻擊的安全穩(wěn)定控制系統(tǒng)信息物理協(xié)調(diào)防御方法

李滿禮，倪 明，顏云松，司慶華，薛 峰，許劍冰

（1.南瑞集團有限公司（國網(wǎng)電力科學(xué)研究院有限公司），江蘇省南京市 211106；2.國電南瑞科技股份有限公司，江蘇省南京市 211106；3.智能電網(wǎng)保護和運行控制國家重點實驗室，江蘇省南京市 211106）

0 引言

電力系統(tǒng)作為國家最重要的基礎(chǔ)設(shè)施之一，在復(fù)雜的國際形勢下面臨嚴峻的惡意攻擊形勢［1］。2015年 的 烏 克 蘭 大 停 電［2］和2019年 的 委 內(nèi) 瑞 拉 大停電就是典型的以電網(wǎng)為攻擊目標(biāo)的網(wǎng)絡(luò)安全事件［3］。隨著能源互聯(lián)網(wǎng)的發(fā)展，物理系統(tǒng)的安全越來越依賴信息系統(tǒng)的安全［4-5］。然而，現(xiàn)有信息系統(tǒng)安全防護體系和電力物理系統(tǒng)安全防御體系協(xié)調(diào)聯(lián)動不足［6］，現(xiàn)有電網(wǎng)應(yīng)對網(wǎng)絡(luò)安全的能力有待提升。

電力安全防御系統(tǒng)中缺乏應(yīng)對電力系統(tǒng)遭受惡意攻擊的能力。傳統(tǒng)的電力安全穩(wěn)定防御體系主要針對電力系統(tǒng)自然故障，通過電力三道防線進行防御［7-9］。在此基礎(chǔ)上，為了提升電力系統(tǒng)對自然災(zāi)害的應(yīng)對能力，將傳統(tǒng)電力安全穩(wěn)定防御體系向外拓展至外部環(huán)境［10］。隨著能源互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問題對電力系統(tǒng)安全性影響越來越大，現(xiàn)有的電力安全防御體系缺乏對網(wǎng)絡(luò)安全問題的分析與防御。因此，有必要將傳統(tǒng)電力安全穩(wěn)定防御體系向外拓展至信息通信系統(tǒng)，將網(wǎng)絡(luò)安全問題納入“三道防線”的體系，提高電力系統(tǒng)應(yīng)對網(wǎng)絡(luò)安全的能力。

網(wǎng)絡(luò)安全分析評估無法準(zhǔn)確地反映其對電力物理系統(tǒng)的影響，無法實現(xiàn)快速準(zhǔn)確應(yīng)對。14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》［11］總體思路是從邊界防護逐步向縱深防御發(fā)展，包括2個方面：一是擴大邊界防護的保護范圍；二是積極推進安全自主可控及工控威脅預(yù)警、可信計算等技術(shù)在電力監(jiān)控系統(tǒng)中的應(yīng)用，強化縱深防御［12］。另外，為了適應(yīng)外部信息的接入，2019年國家電網(wǎng)有限公司發(fā)布的《泛在電力物聯(lián)網(wǎng)全場景網(wǎng)絡(luò)安全防護方案》對電網(wǎng)信息網(wǎng)絡(luò)架構(gòu)進行了進一步的完善。近期，國家電網(wǎng)有限公司和中國南方電網(wǎng)有限責(zé)任公司都圍繞裝備的安全可控設(shè)計，著手從系統(tǒng)設(shè)計和建設(shè)階段解決二次系統(tǒng)的安全問題。網(wǎng)絡(luò)安全防御系統(tǒng)是縱深防御的重要手段，但是其評估指標(biāo)多基于統(tǒng)計分析或者專家經(jīng)驗［13-14］，無法準(zhǔn)確評估惡意攻擊影響，并且一旦發(fā)生網(wǎng)絡(luò)安全事件大多只能進行人工處置，針對網(wǎng)絡(luò)安全事件的閉環(huán)實時處置能力較弱。

目前，信息物理協(xié)調(diào)的分析與防御方面已有初步探索［15］，如基于信息物理事件鏈的協(xié)同辨識方法［16］、惡意攻擊對電力二次系統(tǒng)和電力系統(tǒng)安全性的影響分析［17-19］、針對惡意攻擊的信息物理協(xié)調(diào)防御的研究框架［20］。然而，現(xiàn)有電力信息物理系統(tǒng)方面的成果對電力業(yè)務(wù)系統(tǒng)的研究不夠深入，大多將信息通信對電力系統(tǒng)的影響等值為數(shù)據(jù)篡改、開關(guān)拒動和誤動等，對業(yè)務(wù)系統(tǒng)的模型做了較大簡化，從而影響分析結(jié)果的可信性。電力業(yè)務(wù)是連接信息通信系統(tǒng)和電力系統(tǒng)的樞紐，結(jié)合具體業(yè)務(wù)深入分析信息物理的交互影響是突破信息系統(tǒng)和物理系統(tǒng)邊界，實現(xiàn)信息物理融合的關(guān)鍵。因此，需要結(jié)合具體業(yè)務(wù)系統(tǒng)研究網(wǎng)絡(luò)攻擊對電力系統(tǒng)的影響與對應(yīng)的防御方法。

電力安全穩(wěn)定控制（簡稱安控）業(yè)務(wù)是電網(wǎng)安全的第二道防線，已在中國各級電網(wǎng)中廣泛應(yīng)用。目前，針對安控系統(tǒng)遭受惡意攻擊后應(yīng)對方案方面的研究較少。本文圍繞安控系統(tǒng)存在的風(fēng)險點，從空間和時間維度提出信息物理協(xié)調(diào)防御方法與體系，研究了安控裝置級和系統(tǒng)級的防御關(guān)鍵技術(shù)，并提出了網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架。

1 安控系統(tǒng)惡意攻擊的影響分析

1.1 針對安控系統(tǒng)的攻擊試驗

安控系統(tǒng)肩負保障故障下電力系統(tǒng)穩(wěn)定運行的重要責(zé)任，其一旦拒動或者誤動，將會嚴重影響電力系統(tǒng)的穩(wěn)定運行，甚至引起電力系統(tǒng)崩潰。安控系統(tǒng)一般由廠站側(cè)的安控裝置和調(diào)度側(cè)的安控集中管理系統(tǒng)構(gòu)成。在廠站側(cè)一般可分為協(xié)控總站、直流主站、抽水蓄能主站、精切主站和下層執(zhí)行站等多種類型，各層級裝置通過調(diào)度數(shù)據(jù)網(wǎng)與調(diào)度中心站進行通信，裝置間通過2 Mbit/s通道進行通信。

與其他工控裝置類似，安控裝置在設(shè)計階段更注重裝置控制功能的需求，對裝置的網(wǎng)絡(luò)安全方面考慮不足。通過與安控裝置開發(fā)人員充分溝通交流，在安控裝置網(wǎng)絡(luò)安全風(fēng)險充分暴露（通過錯誤配置、設(shè)置弱口令等）的情況下，通過直接接觸裝置的方式在實驗室中對實際安控裝置開展攻擊測試，驗證安控裝置可能存在的網(wǎng)絡(luò)安全風(fēng)險點。具體試驗結(jié)果見附錄A圖A1。

針對安控裝置本體的攻擊試驗可以實現(xiàn)鍵盤死鎖、內(nèi)存篡改、與主站通信接口關(guān)閉、安控裝置重啟等后果。針對安控裝置通信通道的攻擊試驗可以實現(xiàn)安控裝置動作指令或者定值的修改，會造成裝置誤動或者拒動。

雖然上述試驗是在比較極端的情況下進行的，實際運行裝置不可能被攻擊者輕易接觸，且實際運行裝置的風(fēng)險點也不會充分暴露。但是上述試驗也說明了在某些極端情況下安控裝置存在被攻擊的風(fēng)險。

1.2 惡意攻擊產(chǎn)生影響分析

基于安控系統(tǒng)存在的風(fēng)險點，本節(jié)從安控系統(tǒng)的管理功能、采集、決策、執(zhí)行等不同環(huán)節(jié)分析安控系統(tǒng)遭受不同攻擊方式（拒絕服務(wù)、數(shù)據(jù)篡改）可能產(chǎn)生的影響，如表1所示。

表1 不同環(huán)節(jié)遭受惡意攻擊下的影響分析Table 1 Impact analysis of malicious attack on different links

從表1可以發(fā)現(xiàn)，針對安控系統(tǒng)不同環(huán)節(jié)的攻擊可以造成裝置定制修改、裝置閉鎖、通信異常、采集量錯誤和控制指令外發(fā)執(zhí)行等后果，影響安控系統(tǒng)決策的正確性，造成裝置拒動/誤動等嚴重后果，嚴重影響電網(wǎng)安全穩(wěn)定。但是由于不同裝置、不同定值、不同攻擊方式等對電網(wǎng)安全穩(wěn)定的影響不同，需要結(jié)合具體安控系統(tǒng)建立安控裝置與不同攻擊方式之間接口模型，從而分析惡意攻擊對安控策略和電力系統(tǒng)的影響。

2 信息物理協(xié)調(diào)防御方法

信息物理緊密耦合雖然帶來了網(wǎng)絡(luò)安全的挑戰(zhàn)，但同時也提供了信息物理協(xié)調(diào)的空間。因此，需要挖掘信息物理協(xié)調(diào)的潛力，研究協(xié)調(diào)的方法，提升電力信息物理系統(tǒng)對網(wǎng)絡(luò)安全的防御能力。本文圍繞安控業(yè)務(wù)，在傳統(tǒng)信息側(cè)的網(wǎng)絡(luò)安全管理平臺和電網(wǎng)安全穩(wěn)定防御系統(tǒng)的基礎(chǔ)上，分析現(xiàn)有系統(tǒng)在防御網(wǎng)絡(luò)安全問題方面存在的不足，提出通過不同系統(tǒng)之間的數(shù)據(jù)交互，建立信息物理協(xié)調(diào)分析與防御框架，實現(xiàn)信息物理的協(xié)調(diào)防御，從而提升現(xiàn)有系統(tǒng)防御網(wǎng)絡(luò)安全問題的能力。

2.1 信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)

網(wǎng)絡(luò)安全管理平臺［21］通過對控制網(wǎng)絡(luò)空間內(nèi)計算機、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等進行實時監(jiān)視、預(yù)警告警、定位溯源、審計分析等，推動網(wǎng)絡(luò)安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實時管控、縱深防御”轉(zhuǎn)變。但是目前的網(wǎng)絡(luò)安全管理平臺存在如下問題：①不能對電力二次系統(tǒng)進行監(jiān)視與分析，如安控裝置、保護裝置等，僅針對常規(guī)的計算機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和安防設(shè)備等進行監(jiān)視與分析；②風(fēng)險評估多是統(tǒng)計分析或者是基于專家經(jīng)驗的一套評估體系，無法準(zhǔn)確評估惡意攻擊對電力一次和二次系統(tǒng)的影響；③閉環(huán)處置能力不足，對于網(wǎng)絡(luò)安全事件主要還是依賴于人工處理。

安控集中管理系統(tǒng)［22］屬于D5000系統(tǒng)的實時監(jiān)控與預(yù)警類的電網(wǎng)實時監(jiān)控與智能告警應(yīng)用，通過在調(diào)度中心站對安控裝置運行狀態(tài)進行監(jiān)視與分析，保障安控系統(tǒng)的安全可靠運行。但是目前安控集中管理系統(tǒng)存在以下問題：①僅涉及電氣量、開入信號、壓板狀態(tài)、裝置動作記錄等，不涉及網(wǎng)絡(luò)安全相關(guān)的信息，因而無法針對安控裝置進行網(wǎng)絡(luò)安全方面的監(jiān)測與分析；②安控策略模型中無法反映每個安控裝置的控制邏輯，策略模型無法反映出裝置間信息交互過程，因而無法滿足惡意攻擊通信通道的分析需求。

電網(wǎng)安全穩(wěn)定防御系統(tǒng)，以穩(wěn)定性量化技術(shù)為支撐，通過廣域量測、穩(wěn)定量化分析和多道防線優(yōu)化控制保障電網(wǎng)的安全穩(wěn)定運行。目前，電網(wǎng)安全穩(wěn)定防御系統(tǒng)與安穩(wěn)集中管理系統(tǒng)進行數(shù)據(jù)交互，可以考慮安控裝置閉鎖等部分情況的影響。但是電網(wǎng)安全穩(wěn)定防御系統(tǒng)僅僅針對傳統(tǒng)故障設(shè)置了防御策略，沒有考慮惡意攻擊等威脅對電網(wǎng)安全穩(wěn)定的影響，缺乏應(yīng)對惡意攻擊的能力。

圖1所示為針對安控業(yè)務(wù)的信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)，包括傳統(tǒng)的網(wǎng)絡(luò)安全管理平臺、安控集中管理平臺和電網(wǎng)安全穩(wěn)定防御系統(tǒng)。為了解決各個孤立系統(tǒng)在應(yīng)對惡意攻擊方面存在的不足，如圖1中紅色部分所示，通過各個系統(tǒng)之間的信息交互，增加新功能，從而實現(xiàn)各個系統(tǒng)之間的協(xié)調(diào)聯(lián)動。

信息物理的協(xié)調(diào)聯(lián)動本質(zhì)上需要從信息物理融合的角度解決以下3個問題：①哪些信息通信設(shè)備受到了攻擊，以及受到了何種方式的攻擊？②信息通信設(shè)備遭受攻擊后會對安控系統(tǒng)和電力一次系統(tǒng)造成什么影響？③怎么防御惡意攻擊？第1個問題實際上是針對信息通信設(shè)備（包括常規(guī)信息通信設(shè)備、安控設(shè)備等）的惡意攻擊辨識問題。網(wǎng)絡(luò)安全管理平臺已針對計算機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和安防設(shè)備等常規(guī)的信息通信設(shè)備進行網(wǎng)絡(luò)安全的監(jiān)視與辨識。因此，還需要針對安控裝置進行網(wǎng)絡(luò)安全相關(guān)的信息采集與攻擊辨識，即圖1中新增功能①安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與辨識。第2個問題實際上是惡意攻擊的影響分析問題，包括：信息通信設(shè)備遭受攻擊后會對哪些安控業(yè)務(wù)有影響，即新增功能③信息通信設(shè)備與安控業(yè)務(wù)通道的邏輯映射關(guān)系分析；惡意攻擊信息通信設(shè)備以后對安控策略和安控動作行為有何影響，即新增功能②考慮攻擊影響的安控動作行為分析；惡意攻擊可能會引起哪些電力故障，即新增功能⑤考慮攻擊影響的預(yù)想故障集生成與篩選。第3個問題實際上是惡意攻擊的防御問題，包括：信息側(cè)對于被攻擊信息通信設(shè)備的閉環(huán)處置方案，即新增功能④針對惡意攻擊的閉環(huán)處置策略；電力側(cè)對于惡意攻擊下電力故障的防御，即新增功能⑥考慮攻擊影響的輔助決策。

圖1 信息物理協(xié)調(diào)防御系統(tǒng)架構(gòu)(空間維度)Fig.1 Architecture of cyber-physical coordinated defense system(spatial dimension)

信息物理協(xié)調(diào)防御系統(tǒng)通過網(wǎng)絡(luò)安全管理平臺、安控集中管理系統(tǒng)和電網(wǎng)安全穩(wěn)定防御系統(tǒng)之間的數(shù)據(jù)交互，實現(xiàn)信息物理協(xié)調(diào)的惡意攻擊辨識、分析和防御，從而提升傳統(tǒng)系統(tǒng)的網(wǎng)絡(luò)安全防御能力，具體體現(xiàn)在以下幾個方面。

1）對于網(wǎng)絡(luò)安全管理平臺，惡意攻擊的評估從“安全事件的統(tǒng)計分析”轉(zhuǎn)變?yōu)椤坝嫾半娏σ淮蜗到y(tǒng)影響的定量評估”；安全事件的處置從“安全事件處理主要靠人工”轉(zhuǎn)變?yōu)椤鞍踩录拈]環(huán)處置”。傳統(tǒng)網(wǎng)絡(luò)安全管理平臺無法閉環(huán)處置的原因在于無法預(yù)知被攻擊信息通信設(shè)備處置后會對電力業(yè)務(wù)造成什么影響。

2）對于安控集中管理系統(tǒng)，實現(xiàn)對所有和安控相關(guān)的通信信息設(shè)備的網(wǎng)絡(luò)安全監(jiān)視，能夠分析惡意攻擊對安控系統(tǒng)和安控策略的影響，甚至能夠指導(dǎo)惡意攻擊下安控裝置的操作和控制。

3）對于電網(wǎng)安全穩(wěn)定防御系統(tǒng)，具備考慮惡意攻擊的故障集生成和輔助決策等功能，初步實現(xiàn)考慮惡意攻擊的電網(wǎng)安全防御。

2.2 信息物理協(xié)調(diào)防御體系

2.1節(jié)從空間維度介紹了網(wǎng)絡(luò)安全管理平臺、安控集中管理系統(tǒng)和電網(wǎng)安全防御系統(tǒng)之間的協(xié)調(diào)配合，實現(xiàn)針對惡意攻擊的信息物理協(xié)調(diào)綜合防御。本節(jié)從時間維度，介紹安控系統(tǒng)的信息物理協(xié)調(diào)防御體系。借鑒傳統(tǒng)電力系統(tǒng)三道防線概念，文獻［20］中提出了針對惡意攻擊的信息物理協(xié)調(diào)防御的框架，本文在此基礎(chǔ)上結(jié)合安控業(yè)務(wù)對此框架進行深入研究。

如圖2所示，基于惡意攻擊影響在信息物理空間的傳播時序，按攻擊發(fā)生前、攻擊發(fā)生但尚未影響電力一次系統(tǒng)、攻擊影響到電力一次系統(tǒng)的劃分原則，將惡意攻擊對電力系統(tǒng)的影響劃分為不同階段。在各個階段中通過不同系統(tǒng)的安全防御措施的時序配合及協(xié)調(diào)聯(lián)動機制，實現(xiàn)針對惡意攻擊的全過程防御，建立包含多道防線的協(xié)調(diào)防御體系，提升針對惡意攻擊的防御能力。

圖2 信息物理協(xié)調(diào)防御體系(時間維度)Fig.2 Architecture of cyber-physical coordinated defense（time dimension）

1）在攻擊發(fā)生前，主要目標(biāo)是通過信息通信系統(tǒng)和安控系統(tǒng)的網(wǎng)絡(luò)安全防護手段阻止惡意攻擊事件的發(fā)生。其中，信息通信系統(tǒng)的網(wǎng)絡(luò)安全防護方案需要基于信息物理融合分析的結(jié)果，針對薄弱點，制定更有效的網(wǎng)絡(luò)安全防護方案，如根據(jù)信息物理融合靈敏度分析的結(jié)果，制定防護方案或者布置蜜罐等。目前，安控系統(tǒng)對于網(wǎng)絡(luò)安全方面考慮較少，存在被惡意攻擊的風(fēng)險。需要針對風(fēng)險點，充分考慮安控業(yè)務(wù)需求，制定安控系統(tǒng)的網(wǎng)絡(luò)安全防護方案。

2）在攻擊發(fā)生但尚未影響到電力一次系統(tǒng)的階段，主要目標(biāo)是有效辨識惡意攻擊并進行處置，以免惡意攻擊的傳播。同時，根據(jù)惡意攻擊可能對電力一次系統(tǒng)產(chǎn)生的影響，分析可能產(chǎn)生的預(yù)想故障集并進行電力系統(tǒng)的預(yù)防控制。如圖2所示，在攻擊影響尚未擴散到安控系統(tǒng)時，基于傳統(tǒng)信息側(cè)的辨識方法識別攻擊并基于信息物理融合分析對被攻擊的信息通信設(shè)備進行隔離等處置。當(dāng)攻擊影響擴散至安控系統(tǒng)后，安控系統(tǒng)可以基于安控業(yè)務(wù)特性對惡意攻擊進行辨識和處置。基于惡意攻擊的辨識結(jié)果，通過信息物理融合分析確定潛在的電力故障集，并進行電力系統(tǒng)的預(yù)防控制，從而保障惡意攻擊下電力系統(tǒng)的安全性。

3）在攻擊影響到電力一次系統(tǒng)后，主要目標(biāo)是采用電力系統(tǒng)的緊急和校正控制策略，從而實現(xiàn)針對惡意攻擊引起的電力故障的安全防御。與傳統(tǒng)電力系統(tǒng)緊急和校正控制策略不同的是，此處需要考慮惡意攻擊導(dǎo)致的信息通信設(shè)備對安控策略可執(zhí)行性的影響，實現(xiàn)考慮安控狀態(tài)影響的輔助決策，從而保證策略的有效性，保障電網(wǎng)的安全。

信息物理的協(xié)調(diào)防御體系將傳統(tǒng)的信息側(cè)縱深防御體系拓展至安控系統(tǒng)和電力一次系統(tǒng)，將傳統(tǒng)電網(wǎng)安全防御系統(tǒng)的信息采集拓展到信息通信系統(tǒng)，提前了故障預(yù)判的時間，提升了傳統(tǒng)電網(wǎng)安全防御系統(tǒng)對惡意攻擊的防御能力，實現(xiàn)了信息側(cè)“縱深防御體系”和電力側(cè)“三道防線”防御體系的統(tǒng)一。

3 安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與分析關(guān)鍵技術(shù)

前文從空間和時間維度介紹了安控系統(tǒng)的信息物理協(xié)調(diào)防御框架和體系，明確了需要解決的關(guān)鍵問題。本章內(nèi)容聚焦安控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視與辨識功能，從安控裝置級和安控系統(tǒng)級2個方面，挖掘信息、安控業(yè)務(wù)、電力一次系統(tǒng)之間的時空相關(guān)性，提出協(xié)調(diào)的防護、辨識和監(jiān)視技術(shù)思路，實現(xiàn)安控系統(tǒng)的網(wǎng)絡(luò)安全防護、識別與監(jiān)視，提升網(wǎng)絡(luò)安全防御能力。

3.1 安控裝置級防護技術(shù)

傳統(tǒng)安控裝置由于對網(wǎng)絡(luò)安全問題考慮不足，存在被惡意攻擊的風(fēng)險。本文第1章的惡意攻擊試驗也說明了目前安控裝置存在的一些惡意攻擊風(fēng)險點。

一般信息系統(tǒng)的安全架構(gòu)強調(diào)數(shù)據(jù)的保密性、完整性和可用性，普遍采用：防火墻在網(wǎng)絡(luò)邊界提供訪問控制，入侵檢測系統(tǒng)（IDS）提供入侵檢測，虛擬專用網(wǎng)絡(luò)（VPN）提供專用通道，對于病毒、木馬等惡意軟件，則采用查殺軟件進行檢測，給操作系統(tǒng)打補丁，增加密碼強度，加強日志管理等手段［15，23］。但對于安控系統(tǒng)而言，由于安控業(yè)務(wù)的高實時性和安控裝置計算資源有限，這些傳統(tǒng)的信息防護手段直接應(yīng)用于安控系統(tǒng)時存在明顯的缺陷。因此，本章針對安控裝置存在的網(wǎng)絡(luò)安全風(fēng)險，在傳統(tǒng)信息側(cè)防護手段的基礎(chǔ)上考慮安控裝置業(yè)務(wù)特性，從信息側(cè)防護、裝置配置合理性、操作合規(guī)性和裝置響應(yīng)合理性等角度提出信息與安控業(yè)務(wù)特性相結(jié)合的裝置側(cè)協(xié)調(diào)防御方案，具體如圖3所示。

圖3 安控裝置級防護方案Fig.3 Protection scheme for security and stability control device

1）安控裝置的信息防護是指針對安控裝置具體風(fēng)險點，分析傳統(tǒng)信息防護技術(shù)手段的適應(yīng)性，考慮到實時性和資源受限的情況對傳統(tǒng)信息防護技術(shù)進行適應(yīng)性的改造，從而防止惡意攻擊事件的發(fā)生。具體包括：①加密技術(shù)的應(yīng)用。針對安控站間通信的加密技術(shù)，現(xiàn)有的加密技術(shù)無法滿足安控業(yè)務(wù)的實時性需求，需要專門針對安全業(yè)務(wù)系統(tǒng)特點研發(fā)加密技術(shù)和裝備，以實現(xiàn)安控業(yè)務(wù)實時性和安全性的平衡。②認證技術(shù)的應(yīng)用。針對弱口令、缺乏身份認證等風(fēng)險點，采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)對其進行改造與加強。

2）配置合理性是指針對不同功能的安控裝置，根據(jù)實際功能需求對安控裝置做最小化配置，盡量減少可被利用的攻擊點，降低安控裝置被攻擊的可能。具體包括：根據(jù)安控裝置的實際功能關(guān)閉閑置的端口；退出不必要的壓板；刪除裝置沒有開啟的相應(yīng)功能的代碼等，從而減少安控裝置可被利用的風(fēng)險點。

3）操作合規(guī)性是指結(jié)合安控裝置的狀態(tài)、電力系統(tǒng)的狀態(tài)和安控裝置的操作規(guī)程等，分析針對安控裝置的操作是否合規(guī)或者動作是否合理，拒絕不合規(guī)或者不合理的操作，從而保證即使在攻擊者獲取了一定的操作權(quán)限后仍然無法執(zhí)行關(guān)鍵的操作。具體包括：①基于裝置狀態(tài)的操作合規(guī)性分析，如只有在“遠方定值修改”壓板投入狀態(tài)下才允許遠方修改定值操作，否則為不合規(guī)操作，裝置會拒絕執(zhí)行此操作并產(chǎn)生相應(yīng)的告警信息。②基于操作規(guī)程的合規(guī)性分析，包括裝置重啟、調(diào)試等操作需要在裝置退出狀態(tài)下進行，如果在裝置正常運行狀態(tài)下進行此操作則為不合規(guī)操作，裝置會拒絕執(zhí)行此操作并產(chǎn)生相應(yīng)的告警信息。③基于電網(wǎng)狀態(tài)的動作合理性分析，如安控裝置收到動作命令，若電氣量不滿足條件則拒絕動作。

4）裝置響應(yīng)合理性是指基于安控裝置的功能和原理，判別安控裝置的動作是否符合裝置動作邏輯，從而實現(xiàn)攻擊后的識別。通過分析安控裝置不同工況下（裝置狀態(tài)、壓板投退狀態(tài)、電力系統(tǒng)運行工況等）的響應(yīng)規(guī)律（裝置的動作、告警信息、報文收發(fā)過程等），建立安控裝置的響應(yīng)模型（類似于人的行為畫像），分析安控裝置實際響應(yīng)行為與響應(yīng)模型是否一致，從而判斷安控系統(tǒng)的響應(yīng)情況是否合理，辨識裝置是否遭受惡意攻擊。

信息側(cè)防護和配置合理性分析是通過防止攻擊的發(fā)生來保證裝置的安全性。操作合規(guī)性是指即使惡意攻擊者成功攻擊安控裝置，也能從業(yè)務(wù)層面進行分析判斷，從而防止攻擊者的惡意操作。裝置響應(yīng)合理性分析是指如果攻擊造成了裝置錯誤的響應(yīng)，能夠準(zhǔn)確發(fā)現(xiàn)與定位，以保障對攻擊行為的及時處置。裝置側(cè)的協(xié)調(diào)防護方案不僅可以防止針對裝置的惡意攻擊，還可以防御社會工程學(xué)的攻擊，如潛入廠站直接操作裝置，實現(xiàn)即使在攻擊者獲得一定操作權(quán)限的情況下依然可以保證裝置的安全性，通過技術(shù)手段實現(xiàn)了管理方面的安全問題?；谏鲜鲅b置級安全防護技術(shù)，針對某設(shè)備廠商具體的安控裝置，通過與裝置開發(fā)人員交流討論，提出可以執(zhí)行的12項具體的改造方案，涉及信息側(cè)防護、配置合理性分析、操作合規(guī)性分析和裝置響應(yīng)合理性分析，用于指導(dǎo)安控裝置的改造，從而提升安控裝置應(yīng)對惡意攻擊的能力。

3.2 安控系統(tǒng)級防護技術(shù)

安控系統(tǒng)級協(xié)調(diào)防護技術(shù)通過利用安控系統(tǒng)級的數(shù)據(jù)冗余性和基于安控系統(tǒng)業(yè)務(wù)邏輯的信息物理相關(guān)性，辨識安控系統(tǒng)是否收到惡意攻擊，從而在安控系統(tǒng)層面實現(xiàn)協(xié)調(diào)防護，如圖4所示，具體技術(shù)手段包括多源數(shù)據(jù)比對和安控系統(tǒng)響應(yīng)合理性分析。

圖4 安控系統(tǒng)級協(xié)調(diào)防護方案Fig.4 Protection scheme for security and stability control system

1）多源數(shù)據(jù)比對是指通過利用安控系統(tǒng)中多源數(shù)據(jù)的冗余性，辨識被惡意篡改的數(shù)據(jù)，從而實現(xiàn)針對數(shù)據(jù)篡改攻擊的防護。具體包括：①電氣量比對，通過安控裝置采集的數(shù)據(jù)與能量管理系統(tǒng)（EMS）中狀態(tài)估計的電氣量進行比對，從而辨識安控裝置采集的電氣量是否被篡改。②定值比對，通過安控集中管理系統(tǒng)中保存的基準(zhǔn)定值和從安控裝置召喚的裝置定值進行比對，從而辨識安控裝置的定值是否被篡改。③裝置間交互報文比對，通過在安控集中管理系統(tǒng)中比對2個裝置之間的報文是否一致來辨識裝置間交互數(shù)據(jù)是否被篡改。附錄A圖A2給出了一個通過裝置之間交互報文比對實現(xiàn)攻擊辨識的例子：通過攻擊安控主站發(fā)往安控子站的控制指令可以導(dǎo)致安控子站誤動，通過比對安控集中管理系統(tǒng)收到的主子站報文可以發(fā)現(xiàn)安控主站并沒有給子站發(fā)送動作指令，但是子站收到了主站的動作指令并出口動作，從而可以辨識安控裝置間通信可能遭受了數(shù)據(jù)篡改攻擊。

2）安控系統(tǒng)響應(yīng)合理性分析是指基于安控系統(tǒng)的業(yè)務(wù)邏輯，分析安控裝置在電網(wǎng)故障情況下的響應(yīng)規(guī)律，通過分析安控裝置實際動作情況與電網(wǎng)故障情況下的響應(yīng)規(guī)律是否一致，判斷安控系統(tǒng)的響應(yīng)情況是否合理，從而辨識是否是惡意攻擊引起的安控系統(tǒng)的動作。具體包括：①基于裝置啟動過程的合理性分析。電網(wǎng)故障情況下裝置的啟動過程一般是安控子站先啟動，然后根據(jù)安控系統(tǒng)結(jié)構(gòu)，主站、總站順序啟動，通過對比裝置實際的啟動過程和電網(wǎng)故障情況下的裝置啟動過程可以辨識裝置動作是否是由于惡意攻擊引起的。附錄A圖A2所示的惡意攻擊場景下，實際上只有子站啟動，主站和總站并沒有啟動，與電網(wǎng)故障下的啟動過程存在明顯差異。②基于安控策略的合理性分析。根據(jù)安控系統(tǒng)的策略，分析安控系統(tǒng)的動作過程是否符合安控動作的邏輯，從而辨識惡意攻擊等引起的安控裝置非正常動作。文獻［20］提到的根據(jù)信息物理事件鏈的辨識方法也屬于這一類。另外，還可以根據(jù)安控系統(tǒng)的其他響應(yīng)特征量進行分析和辨識惡意攻擊，包括裝置告警信息、閉鎖信息等。在實際應(yīng)用時，可以根據(jù)不同響應(yīng)特征量的特性采用不同的方法形成安控系統(tǒng)的影響合理性模型，如基于安控策略合理性分析可以采用模型驅(qū)動的方法實現(xiàn)，基于裝置啟動過程的合理性分析可以采用數(shù)據(jù)驅(qū)動的方法實現(xiàn)。

通過多源數(shù)據(jù)比對和安控系統(tǒng)響應(yīng)合理性分析，可以辨識安控系統(tǒng)級的惡意攻擊導(dǎo)致的安控系統(tǒng)誤動，進一步提升了安控系統(tǒng)防御惡意攻擊的能力。

3.3 網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架

安控系統(tǒng)的裝置級和系統(tǒng)級防護技術(shù)通過信息、安控業(yè)務(wù)和一次系統(tǒng)之間的時空相關(guān)性，實現(xiàn)了針對惡意攻擊的事前防護、事中辨識和事后分析，保障了安控系統(tǒng)的網(wǎng)絡(luò)安全?；谏鲜霭踩雷o技術(shù)，圖5給出了安控系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)視與分析的應(yīng)用框架。

圖5 網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架Fig.5 Application framework of monitoring and analysis of network security

在裝置側(cè)，針對安控裝置現(xiàn)在典型的風(fēng)險點，分別采用信息側(cè)防護、狀態(tài)合規(guī)性分析和操作合規(guī)性分析的裝置級防護技術(shù)對現(xiàn)有安控裝置進行加固和改造，并采集裝置側(cè)與網(wǎng)絡(luò)安全相關(guān)的告警信息上送至主站側(cè)進行監(jiān)視與分析。

在主站側(cè)，基于安控系統(tǒng)級的數(shù)據(jù)，采用多源數(shù)據(jù)比對和響應(yīng)合理性分析的方法對安控系統(tǒng)進行網(wǎng)絡(luò)安全的辨識與分析，并同時對安控裝置側(cè)上傳的告警信息進行集中監(jiān)視與分析。

通過上述方案，可以初步實現(xiàn)（僅考慮了安控裝置）安控系統(tǒng)的網(wǎng)絡(luò)安全防護、監(jiān)視與分析功能，提升安控系統(tǒng)防御惡意攻擊的能力。

4 結(jié)語

本文針對安控系統(tǒng)，從空間和時間維度提出了網(wǎng)絡(luò)安全協(xié)調(diào)防御系統(tǒng)的架構(gòu)和防御體系，實現(xiàn)了信息側(cè)“縱深防御體系”和電力側(cè)“三道防線”防御體系的統(tǒng)一。在此基礎(chǔ)上，聚焦于安控裝置和系統(tǒng)存在的風(fēng)險點，結(jié)合傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和業(yè)務(wù)邏輯分別提出了裝置側(cè)和主站側(cè)的網(wǎng)絡(luò)安全的防護方案和辨識方法，并給出了網(wǎng)絡(luò)安全監(jiān)視與分析的應(yīng)用框架，初步實現(xiàn)安控系統(tǒng)的網(wǎng)絡(luò)安全防護、監(jiān)視與分析功能，提升安控系統(tǒng)惡意攻擊的防御能力。

圍繞圖1所示的安控系統(tǒng)信息物理協(xié)調(diào)防御框架，本文僅僅針對安控裝置提出了裝置級和系統(tǒng)級的網(wǎng)絡(luò)安全防護技術(shù)和網(wǎng)絡(luò)安全監(jiān)視與分析應(yīng)用框架。后續(xù)還需要圍繞此協(xié)調(diào)防御框架，研究考慮信息通信系統(tǒng)、業(yè)務(wù)系統(tǒng)和電力一次系統(tǒng)的惡意攻擊融合風(fēng)險分析技術(shù)（即圖1中新增功能②③⑤）和協(xié)調(diào)防御技術(shù)（即圖1中新增功能④⑥），從而突破信息物理界限，實現(xiàn)安控系統(tǒng)的信息物理協(xié)調(diào)防御。另外，本文僅圍繞安控業(yè)務(wù)提出了信息物理協(xié)調(diào)防御的框架，該協(xié)調(diào)防御框架還可以拓展至其他業(yè)務(wù)系統(tǒng)，從而實現(xiàn)考慮多業(yè)務(wù)的信息物理協(xié)調(diào)防御系統(tǒng)，提升電力業(yè)務(wù)系統(tǒng)和信息物理電力系統(tǒng)整體的網(wǎng)絡(luò)安全防御能力。

東南大學(xué)電氣工程學(xué)院王琦副教授在本文撰寫過程中參與了交流與探討，特此致謝。

附錄見本刊網(wǎng)絡(luò)版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網(wǎng)絡(luò)全文。