面向恶意攻击的安全稳定控制系统信息物理协调防御方法

李满礼，倪 明，颜云松，司庆华，薛 峰，许剑冰

（1.南瑞集团有限公司（国网电力科学研究院有限公司），江苏省南京市 211106；2.国电南瑞科技股份有限公司，江苏省南京市 211106；3.智能电网保护和运行控制国家重点实验室，江苏省南京市 211106）

0 引言

电力系统作为国家最重要的基础设施之一，在复杂的国际形势下面临严峻的恶意攻击形势［1］。2015年 的 乌 克 兰 大 停 电［2］和2019年 的 委 内 瑞 拉 大停电就是典型的以电网为攻击目标的网络安全事件［3］。随着能源互联网的发展，物理系统的安全越来越依赖信息系统的安全［4-5］。然而，现有信息系统安全防护体系和电力物理系统安全防御体系协调联动不足［6］，现有电网应对网络安全的能力有待提升。

电力安全防御系统中缺乏应对电力系统遭受恶意攻击的能力。传统的电力安全稳定防御体系主要针对电力系统自然故障，通过电力三道防线进行防御［7-9］。在此基础上，为了提升电力系统对自然灾害的应对能力，将传统电力安全稳定防御体系向外拓展至外部环境［10］。随着能源互联网的发展，网络安全问题对电力系统安全性影响越来越大，现有的电力安全防御体系缺乏对网络安全问题的分析与防御。因此，有必要将传统电力安全稳定防御体系向外拓展至信息通信系统，将网络安全问题纳入“三道防线”的体系，提高电力系统应对网络安全的能力。

网络安全分析评估无法准确地反映其对电力物理系统的影响，无法实现快速准确应对。14号令《电力监控系统安全防护规定》［11］总体思路是从边界防护逐步向纵深防御发展，包括2个方面：一是扩大边界防护的保护范围；二是积极推进安全自主可控及工控威胁预警、可信计算等技术在电力监控系统中的应用，强化纵深防御［12］。另外，为了适应外部信息的接入，2019年国家电网有限公司发布的《泛在电力物联网全场景网络安全防护方案》对电网信息网络架构进行了进一步的完善。近期，国家电网有限公司和中国南方电网有限责任公司都围绕装备的安全可控设计，着手从系统设计和建设阶段解决二次系统的安全问题。网络安全防御系统是纵深防御的重要手段，但是其评估指标多基于统计分析或者专家经验［13-14］，无法准确评估恶意攻击影响，并且一旦发生网络安全事件大多只能进行人工处置，针对网络安全事件的闭环实时处置能力较弱。

目前，信息物理协调的分析与防御方面已有初步探索［15］，如基于信息物理事件链的协同辨识方法［16］、恶意攻击对电力二次系统和电力系统安全性的影响分析［17-19］、针对恶意攻击的信息物理协调防御的研究框架［20］。然而，现有电力信息物理系统方面的成果对电力业务系统的研究不够深入，大多将信息通信对电力系统的影响等值为数据篡改、开关拒动和误动等，对业务系统的模型做了较大简化，从而影响分析结果的可信性。电力业务是连接信息通信系统和电力系统的枢纽，结合具体业务深入分析信息物理的交互影响是突破信息系统和物理系统边界，实现信息物理融合的关键。因此，需要结合具体业务系统研究网络攻击对电力系统的影响与对应的防御方法。

电力安全稳定控制（简称安控）业务是电网安全的第二道防线，已在中国各级电网中广泛应用。目前，针对安控系统遭受恶意攻击后应对方案方面的研究较少。本文围绕安控系统存在的风险点，从空间和时间维度提出信息物理协调防御方法与体系，研究了安控装置级和系统级的防御关键技术，并提出了网络安全监视与分析应用框架。

1 安控系统恶意攻击的影响分析

1.1 针对安控系统的攻击试验

安控系统肩负保障故障下电力系统稳定运行的重要责任，其一旦拒动或者误动，将会严重影响电力系统的稳定运行，甚至引起电力系统崩溃。安控系统一般由厂站侧的安控装置和调度侧的安控集中管理系统构成。在厂站侧一般可分为协控总站、直流主站、抽水蓄能主站、精切主站和下层执行站等多种类型，各层级装置通过调度数据网与调度中心站进行通信，装置间通过2 Mbit/s通道进行通信。

与其他工控装置类似，安控装置在设计阶段更注重装置控制功能的需求，对装置的网络安全方面考虑不足。通过与安控装置开发人员充分沟通交流，在安控装置网络安全风险充分暴露（通过错误配置、设置弱口令等）的情况下，通过直接接触装置的方式在实验室中对实际安控装置开展攻击测试，验证安控装置可能存在的网络安全风险点。具体试验结果见附录A图A1。

针对安控装置本体的攻击试验可以实现键盘死锁、内存篡改、与主站通信接口关闭、安控装置重启等后果。针对安控装置通信通道的攻击试验可以实现安控装置动作指令或者定值的修改，会造成装置误动或者拒动。

虽然上述试验是在比较极端的情况下进行的，实际运行装置不可能被攻击者轻易接触，且实际运行装置的风险点也不会充分暴露。但是上述试验也说明了在某些极端情况下安控装置存在被攻击的风险。

1.2 恶意攻击产生影响分析

基于安控系统存在的风险点，本节从安控系统的管理功能、采集、决策、执行等不同环节分析安控系统遭受不同攻击方式（拒绝服务、数据篡改）可能产生的影响，如表1所示。

表1 不同环节遭受恶意攻击下的影响分析Table 1 Impact analysis of malicious attack on different links

从表1可以发现，针对安控系统不同环节的攻击可以造成装置定制修改、装置闭锁、通信异常、采集量错误和控制指令外发执行等后果，影响安控系统决策的正确性，造成装置拒动/误动等严重后果，严重影响电网安全稳定。但是由于不同装置、不同定值、不同攻击方式等对电网安全稳定的影响不同，需要结合具体安控系统建立安控装置与不同攻击方式之间接口模型，从而分析恶意攻击对安控策略和电力系统的影响。

2 信息物理协调防御方法

信息物理紧密耦合虽然带来了网络安全的挑战，但同时也提供了信息物理协调的空间。因此，需要挖掘信息物理协调的潜力，研究协调的方法，提升电力信息物理系统对网络安全的防御能力。本文围绕安控业务，在传统信息侧的网络安全管理平台和电网安全稳定防御系统的基础上，分析现有系统在防御网络安全问题方面存在的不足，提出通过不同系统之间的数据交互，建立信息物理协调分析与防御框架，实现信息物理的协调防御，从而提升现有系统防御网络安全问题的能力。

2.1 信息物理协调防御系统架构

网络安全管理平台［21］通过对控制网络空间内计算机、网络设备、安防设备等进行实时监视、预警告警、定位溯源、审计分析等，推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”转变。但是目前的网络安全管理平台存在如下问题：①不能对电力二次系统进行监视与分析，如安控装置、保护装置等，仅针对常规的计算机、数据库、网络设备和安防设备等进行监视与分析；②风险评估多是统计分析或者是基于专家经验的一套评估体系，无法准确评估恶意攻击对电力一次和二次系统的影响；③闭环处置能力不足，对于网络安全事件主要还是依赖于人工处理。

安控集中管理系统［22］属于D5000系统的实时监控与预警类的电网实时监控与智能告警应用，通过在调度中心站对安控装置运行状态进行监视与分析，保障安控系统的安全可靠运行。但是目前安控集中管理系统存在以下问题：①仅涉及电气量、开入信号、压板状态、装置动作记录等，不涉及网络安全相关的信息，因而无法针对安控装置进行网络安全方面的监测与分析；②安控策略模型中无法反映每个安控装置的控制逻辑，策略模型无法反映出装置间信息交互过程，因而无法满足恶意攻击通信通道的分析需求。

电网安全稳定防御系统，以稳定性量化技术为支撑，通过广域量测、稳定量化分析和多道防线优化控制保障电网的安全稳定运行。目前，电网安全稳定防御系统与安稳集中管理系统进行数据交互，可以考虑安控装置闭锁等部分情况的影响。但是电网安全稳定防御系统仅仅针对传统故障设置了防御策略，没有考虑恶意攻击等威胁对电网安全稳定的影响，缺乏应对恶意攻击的能力。

图1所示为针对安控业务的信息物理协调防御系统架构，包括传统的网络安全管理平台、安控集中管理平台和电网安全稳定防御系统。为了解决各个孤立系统在应对恶意攻击方面存在的不足，如图1中红色部分所示，通过各个系统之间的信息交互，增加新功能，从而实现各个系统之间的协调联动。

信息物理的协调联动本质上需要从信息物理融合的角度解决以下3个问题：①哪些信息通信设备受到了攻击，以及受到了何种方式的攻击？②信息通信设备遭受攻击后会对安控系统和电力一次系统造成什么影响？③怎么防御恶意攻击？第1个问题实际上是针对信息通信设备（包括常规信息通信设备、安控设备等）的恶意攻击辨识问题。网络安全管理平台已针对计算机、数据库、网络设备和安防设备等常规的信息通信设备进行网络安全的监视与辨识。因此，还需要针对安控装置进行网络安全相关的信息采集与攻击辨识，即图1中新增功能①安控系统网络安全监视与辨识。第2个问题实际上是恶意攻击的影响分析问题，包括：信息通信设备遭受攻击后会对哪些安控业务有影响，即新增功能③信息通信设备与安控业务通道的逻辑映射关系分析；恶意攻击信息通信设备以后对安控策略和安控动作行为有何影响，即新增功能②考虑攻击影响的安控动作行为分析；恶意攻击可能会引起哪些电力故障，即新增功能⑤考虑攻击影响的预想故障集生成与筛选。第3个问题实际上是恶意攻击的防御问题，包括：信息侧对于被攻击信息通信设备的闭环处置方案，即新增功能④针对恶意攻击的闭环处置策略；电力侧对于恶意攻击下电力故障的防御，即新增功能⑥考虑攻击影响的辅助决策。

图1 信息物理协调防御系统架构(空间维度)Fig.1 Architecture of cyber-physical coordinated defense system(spatial dimension)

信息物理协调防御系统通过网络安全管理平台、安控集中管理系统和电网安全稳定防御系统之间的数据交互，实现信息物理协调的恶意攻击辨识、分析和防御，从而提升传统系统的网络安全防御能力，具体体现在以下几个方面。

1）对于网络安全管理平台，恶意攻击的评估从“安全事件的统计分析”转变为“计及电力一次系统影响的定量评估”；安全事件的处置从“安全事件处理主要靠人工”转变为“安全事件的闭环处置”。传统网络安全管理平台无法闭环处置的原因在于无法预知被攻击信息通信设备处置后会对电力业务造成什么影响。

2）对于安控集中管理系统，实现对所有和安控相关的通信信息设备的网络安全监视，能够分析恶意攻击对安控系统和安控策略的影响，甚至能够指导恶意攻击下安控装置的操作和控制。

3）对于电网安全稳定防御系统，具备考虑恶意攻击的故障集生成和辅助决策等功能，初步实现考虑恶意攻击的电网安全防御。

2.2 信息物理协调防御体系

2.1节从空间维度介绍了网络安全管理平台、安控集中管理系统和电网安全防御系统之间的协调配合，实现针对恶意攻击的信息物理协调综合防御。本节从时间维度，介绍安控系统的信息物理协调防御体系。借鉴传统电力系统三道防线概念，文献［20］中提出了针对恶意攻击的信息物理协调防御的框架，本文在此基础上结合安控业务对此框架进行深入研究。

如图2所示，基于恶意攻击影响在信息物理空间的传播时序，按攻击发生前、攻击发生但尚未影响电力一次系统、攻击影响到电力一次系统的划分原则，将恶意攻击对电力系统的影响划分为不同阶段。在各个阶段中通过不同系统的安全防御措施的时序配合及协调联动机制，实现针对恶意攻击的全过程防御，建立包含多道防线的协调防御体系，提升针对恶意攻击的防御能力。

图2 信息物理协调防御体系(时间维度)Fig.2 Architecture of cyber-physical coordinated defense（time dimension）

1）在攻击发生前，主要目标是通过信息通信系统和安控系统的网络安全防护手段阻止恶意攻击事件的发生。其中，信息通信系统的网络安全防护方案需要基于信息物理融合分析的结果，针对薄弱点，制定更有效的网络安全防护方案，如根据信息物理融合灵敏度分析的结果，制定防护方案或者布置蜜罐等。目前，安控系统对于网络安全方面考虑较少，存在被恶意攻击的风险。需要针对风险点，充分考虑安控业务需求，制定安控系统的网络安全防护方案。

2）在攻击发生但尚未影响到电力一次系统的阶段，主要目标是有效辨识恶意攻击并进行处置，以免恶意攻击的传播。同时，根据恶意攻击可能对电力一次系统产生的影响，分析可能产生的预想故障集并进行电力系统的预防控制。如图2所示，在攻击影响尚未扩散到安控系统时，基于传统信息侧的辨识方法识别攻击并基于信息物理融合分析对被攻击的信息通信设备进行隔离等处置。当攻击影响扩散至安控系统后，安控系统可以基于安控业务特性对恶意攻击进行辨识和处置。基于恶意攻击的辨识结果，通过信息物理融合分析确定潜在的电力故障集，并进行电力系统的预防控制，从而保障恶意攻击下电力系统的安全性。

3）在攻击影响到电力一次系统后，主要目标是采用电力系统的紧急和校正控制策略，从而实现针对恶意攻击引起的电力故障的安全防御。与传统电力系统紧急和校正控制策略不同的是，此处需要考虑恶意攻击导致的信息通信设备对安控策略可执行性的影响，实现考虑安控状态影响的辅助决策，从而保证策略的有效性，保障电网的安全。

信息物理的协调防御体系将传统的信息侧纵深防御体系拓展至安控系统和电力一次系统，将传统电网安全防御系统的信息采集拓展到信息通信系统，提前了故障预判的时间，提升了传统电网安全防御系统对恶意攻击的防御能力，实现了信息侧“纵深防御体系”和电力侧“三道防线”防御体系的统一。

3 安控系统网络安全监视与分析关键技术

前文从空间和时间维度介绍了安控系统的信息物理协调防御框架和体系，明确了需要解决的关键问题。本章内容聚焦安控系统网络安全监视与辨识功能，从安控装置级和安控系统级2个方面，挖掘信息、安控业务、电力一次系统之间的时空相关性，提出协调的防护、辨识和监视技术思路，实现安控系统的网络安全防护、识别与监视，提升网络安全防御能力。

3.1 安控装置级防护技术

传统安控装置由于对网络安全问题考虑不足，存在被恶意攻击的风险。本文第1章的恶意攻击试验也说明了目前安控装置存在的一些恶意攻击风险点。

一般信息系统的安全架构强调数据的保密性、完整性和可用性，普遍采用：防火墙在网络边界提供访问控制，入侵检测系统（IDS）提供入侵检测，虚拟专用网络（VPN）提供专用通道，对于病毒、木马等恶意软件，则采用查杀软件进行检测，给操作系统打补丁，增加密码强度，加强日志管理等手段［15，23］。但对于安控系统而言，由于安控业务的高实时性和安控装置计算资源有限，这些传统的信息防护手段直接应用于安控系统时存在明显的缺陷。因此，本章针对安控装置存在的网络安全风险，在传统信息侧防护手段的基础上考虑安控装置业务特性，从信息侧防护、装置配置合理性、操作合规性和装置响应合理性等角度提出信息与安控业务特性相结合的装置侧协调防御方案，具体如图3所示。

图3 安控装置级防护方案Fig.3 Protection scheme for security and stability control device

1）安控装置的信息防护是指针对安控装置具体风险点，分析传统信息防护技术手段的适应性，考虑到实时性和资源受限的情况对传统信息防护技术进行适应性的改造，从而防止恶意攻击事件的发生。具体包括：①加密技术的应用。针对安控站间通信的加密技术，现有的加密技术无法满足安控业务的实时性需求，需要专门针对安全业务系统特点研发加密技术和装备，以实现安控业务实时性和安全性的平衡。②认证技术的应用。针对弱口令、缺乏身份认证等风险点，采用传统的网络安全技术对其进行改造与加强。

2）配置合理性是指针对不同功能的安控装置，根据实际功能需求对安控装置做最小化配置，尽量减少可被利用的攻击点，降低安控装置被攻击的可能。具体包括：根据安控装置的实际功能关闭闲置的端口；退出不必要的压板；删除装置没有开启的相应功能的代码等，从而减少安控装置可被利用的风险点。

3）操作合规性是指结合安控装置的状态、电力系统的状态和安控装置的操作规程等，分析针对安控装置的操作是否合规或者动作是否合理，拒绝不合规或者不合理的操作，从而保证即使在攻击者获取了一定的操作权限后仍然无法执行关键的操作。具体包括：①基于装置状态的操作合规性分析，如只有在“远方定值修改”压板投入状态下才允许远方修改定值操作，否则为不合规操作，装置会拒绝执行此操作并产生相应的告警信息。②基于操作规程的合规性分析，包括装置重启、调试等操作需要在装置退出状态下进行，如果在装置正常运行状态下进行此操作则为不合规操作，装置会拒绝执行此操作并产生相应的告警信息。③基于电网状态的动作合理性分析，如安控装置收到动作命令，若电气量不满足条件则拒绝动作。

4）装置响应合理性是指基于安控装置的功能和原理，判别安控装置的动作是否符合装置动作逻辑，从而实现攻击后的识别。通过分析安控装置不同工况下（装置状态、压板投退状态、电力系统运行工况等）的响应规律（装置的动作、告警信息、报文收发过程等），建立安控装置的响应模型（类似于人的行为画像），分析安控装置实际响应行为与响应模型是否一致，从而判断安控系统的响应情况是否合理，辨识装置是否遭受恶意攻击。

信息侧防护和配置合理性分析是通过防止攻击的发生来保证装置的安全性。操作合规性是指即使恶意攻击者成功攻击安控装置，也能从业务层面进行分析判断，从而防止攻击者的恶意操作。装置响应合理性分析是指如果攻击造成了装置错误的响应，能够准确发现与定位，以保障对攻击行为的及时处置。装置侧的协调防护方案不仅可以防止针对装置的恶意攻击，还可以防御社会工程学的攻击，如潜入厂站直接操作装置，实现即使在攻击者获得一定操作权限的情况下依然可以保证装置的安全性，通过技术手段实现了管理方面的安全问题。基于上述装置级安全防护技术，针对某设备厂商具体的安控装置，通过与装置开发人员交流讨论，提出可以执行的12项具体的改造方案，涉及信息侧防护、配置合理性分析、操作合规性分析和装置响应合理性分析，用于指导安控装置的改造，从而提升安控装置应对恶意攻击的能力。

3.2 安控系统级防护技术

安控系统级协调防护技术通过利用安控系统级的数据冗余性和基于安控系统业务逻辑的信息物理相关性，辨识安控系统是否收到恶意攻击，从而在安控系统层面实现协调防护，如图4所示，具体技术手段包括多源数据比对和安控系统响应合理性分析。

图4 安控系统级协调防护方案Fig.4 Protection scheme for security and stability control system

1）多源数据比对是指通过利用安控系统中多源数据的冗余性，辨识被恶意篡改的数据，从而实现针对数据篡改攻击的防护。具体包括：①电气量比对，通过安控装置采集的数据与能量管理系统（EMS）中状态估计的电气量进行比对，从而辨识安控装置采集的电气量是否被篡改。②定值比对，通过安控集中管理系统中保存的基准定值和从安控装置召唤的装置定值进行比对，从而辨识安控装置的定值是否被篡改。③装置间交互报文比对，通过在安控集中管理系统中比对2个装置之间的报文是否一致来辨识装置间交互数据是否被篡改。附录A图A2给出了一个通过装置之间交互报文比对实现攻击辨识的例子：通过攻击安控主站发往安控子站的控制指令可以导致安控子站误动，通过比对安控集中管理系统收到的主子站报文可以发现安控主站并没有给子站发送动作指令，但是子站收到了主站的动作指令并出口动作，从而可以辨识安控装置间通信可能遭受了数据篡改攻击。

2）安控系统响应合理性分析是指基于安控系统的业务逻辑，分析安控装置在电网故障情况下的响应规律，通过分析安控装置实际动作情况与电网故障情况下的响应规律是否一致，判断安控系统的响应情况是否合理，从而辨识是否是恶意攻击引起的安控系统的动作。具体包括：①基于装置启动过程的合理性分析。电网故障情况下装置的启动过程一般是安控子站先启动，然后根据安控系统结构，主站、总站顺序启动，通过对比装置实际的启动过程和电网故障情况下的装置启动过程可以辨识装置动作是否是由于恶意攻击引起的。附录A图A2所示的恶意攻击场景下，实际上只有子站启动，主站和总站并没有启动，与电网故障下的启动过程存在明显差异。②基于安控策略的合理性分析。根据安控系统的策略，分析安控系统的动作过程是否符合安控动作的逻辑，从而辨识恶意攻击等引起的安控装置非正常动作。文献［20］提到的根据信息物理事件链的辨识方法也属于这一类。另外，还可以根据安控系统的其他响应特征量进行分析和辨识恶意攻击，包括装置告警信息、闭锁信息等。在实际应用时，可以根据不同响应特征量的特性采用不同的方法形成安控系统的影响合理性模型，如基于安控策略合理性分析可以采用模型驱动的方法实现，基于装置启动过程的合理性分析可以采用数据驱动的方法实现。

通过多源数据比对和安控系统响应合理性分析，可以辨识安控系统级的恶意攻击导致的安控系统误动，进一步提升了安控系统防御恶意攻击的能力。

3.3 网络安全监视与分析应用框架

安控系统的装置级和系统级防护技术通过信息、安控业务和一次系统之间的时空相关性，实现了针对恶意攻击的事前防护、事中辨识和事后分析，保障了安控系统的网络安全。基于上述安全防护技术，图5给出了安控系统的网络安全监视与分析的应用框架。

图5 网络安全监视与分析应用框架Fig.5 Application framework of monitoring and analysis of network security

在装置侧，针对安控装置现在典型的风险点，分别采用信息侧防护、状态合规性分析和操作合规性分析的装置级防护技术对现有安控装置进行加固和改造，并采集装置侧与网络安全相关的告警信息上送至主站侧进行监视与分析。

在主站侧，基于安控系统级的数据，采用多源数据比对和响应合理性分析的方法对安控系统进行网络安全的辨识与分析，并同时对安控装置侧上传的告警信息进行集中监视与分析。

通过上述方案，可以初步实现（仅考虑了安控装置）安控系统的网络安全防护、监视与分析功能，提升安控系统防御恶意攻击的能力。

4 结语

本文针对安控系统，从空间和时间维度提出了网络安全协调防御系统的架构和防御体系，实现了信息侧“纵深防御体系”和电力侧“三道防线”防御体系的统一。在此基础上，聚焦于安控装置和系统存在的风险点，结合传统网络安全技术和业务逻辑分别提出了装置侧和主站侧的网络安全的防护方案和辨识方法，并给出了网络安全监视与分析的应用框架，初步实现安控系统的网络安全防护、监视与分析功能，提升安控系统恶意攻击的防御能力。

围绕图1所示的安控系统信息物理协调防御框架，本文仅仅针对安控装置提出了装置级和系统级的网络安全防护技术和网络安全监视与分析应用框架。后续还需要围绕此协调防御框架，研究考虑信息通信系统、业务系统和电力一次系统的恶意攻击融合风险分析技术（即图1中新增功能②③⑤）和协调防御技术（即图1中新增功能④⑥），从而突破信息物理界限，实现安控系统的信息物理协调防御。另外，本文仅围绕安控业务提出了信息物理协调防御的框架，该协调防御框架还可以拓展至其他业务系统，从而实现考虑多业务的信息物理协调防御系统，提升电力业务系统和信息物理电力系统整体的网络安全防御能力。

东南大学电气工程学院王琦副教授在本文撰写过程中参与了交流与探讨，特此致谢。

附录见本刊网络版（http：//www.aeps-info.com/aeps/ch/index.aspx），扫英文摘要后二维码可以阅读网络全文。