电力信息物理系统内部威胁研究综述

陈清清，苏盛，畅广辉，李翔硕，鲁华永

(1. 长沙理工大学电气与信息工程学院，长沙410114；2. 国网河南省电力公司，郑州450052)

0 引言

现代电力系统已逐步演化成电力信息物理系统(cyber-physical power system，CPPS)[1]，其中内部人员误操作、违规操作乃至不确定对象的网络攻击都可能造成破坏性后果，威胁电网安全。近年来多次发生以工业控制系统为目标的网络攻击，世界各国纷纷加强关键性基础设施网络安防的研究[2 - 4]，在入侵检测[5]、防火墙[6]和信息加密[7]等领域取得了长足进步，显著提高了网络攻击的防护能力，但既有研究多侧重于防范外部攻击，对内部威胁的研究相对有限。

内部威胁一般指组织内部人员威胁组织安全的行为，主要包括误操作、违规操作和恶意攻击[8]。美国计算机安全学会专题报告分析指出，内部人员滥用权限造成的内部威胁超过传统外部攻击，是组织机构面临的主要安全威胁[9]。美国国土安全部发布的内部威胁白皮书认为，尽管外部攻击的数量和频率高于内部攻击，但受对核心资产了解程度和防护措施完善程度的影响，后者的损失超过了前者[10]。

我国电力行业高度重视网络安全。CPPS在物理隔离边界安全的防御体系基础上，采用网络准入、访问控制、网络异常检测和安全态势感知等进行纵深防护，遭外部攻击破坏的风险低于一般信息系统。尽管广为人知的多为Stuxnet、BlackEnergy等外部攻击，但内部人员造成的网络安全事故更常见，有些也造成了严重后果。2018年，某地发生配电自动化系统维护工程师直接输出调试指令，遥控上百条配电线路跳闸的恶性事故；2001年，南京银山公司离职总工在系统软件中埋设时间逻辑炸弹，造成147台故障录波器集体出现功能闭锁[11]；2001年12月11日，佛罗里达电网进行软件调试时，错误地将离线EMS数据库导入在线系统，触发广域保护系统启动减载，切除了1 200个用户。

内部威胁发生在安全防御边界内，主要依赖身份和权限认证进行防护。内部人员具有合法身份，又熟悉业务系统危险点，针对外部攻击的防御措施大多难以有效防护内部威胁，一旦突破身份和权限认证的屏障，可能造成严重危害。

本文围绕CPPS内部威胁进行综述和展望，首先梳理和分析了在一般信息系统基础上发展起来的内部威胁安全防护方法；然后结合具体业务系统分析指出了CPPS面临的内部威胁挑战，概述了CPPS内部威胁防护的研究现状；最后比对CPPS和一般信息系统的差异，提出可以从具体业务出发针对性设计防护措施来提高内部威胁防护水平，并展望了区块链技术和零信任在相关领域的应用前景。

表1 内部威胁类型对比Tab.1 Comparison of insider threat types

1 信息系统内部威胁研究

1.1 定义与分类

根据卡耐基梅隆大学计算机安全应急响应团队的定义，内部威胁是指具有计算机网络与系统及敏感数据访问权的员工、承包商以及商业合作伙伴等内部人员利用合法权限对计算机系统中信息的完整性、可用性和机密性造成负面影响[12 - 13]，可以对组织造成经济损失、业务中断和名声受损，甚至危及社会安全。由于内部人员具有逃避已部署信息安全机制的能力，攻击行为夹杂在大量正常行为中，在不清楚攻击行为特征的条件下很难通过数据挖掘识别攻击异常，是一类特殊的安全威胁防护问题。

企业人员流动性的加速使得企业人员构成越来越冗杂，在外部因素介入和经济利益驱使下，内部安全事件开始与外部人员关联。对内部威胁数据库的分析表明内部攻击一般表现为系统破坏、信息窃取、电子欺诈以及混合类[14]，主要特征如表1所示。

1.2 安全防护研究

计算机领域的内部威胁防护研究主要分为前期的威胁模型研究和后期的心理学社会学、用户行为检测3类，具体如表2所示。

表2 内部威胁检测方法Tab.2 Insider threat testing methods

从组织成员主观或客观角度进行威胁建模来分析内部威胁行为特征，是设计防护措施的基础。前者从攻击者角度阐述了实施攻击所需具备的主客观条件，但准确判断攻击者的主观意向是可靠感知威胁的瓶颈[17 - 18]；后者借鉴应对外部威胁的成熟技术手段，分层量化内部威胁，克服了主观模型难以量化的缺陷，但也存在忽略主体特征、难以区分外部和内部威胁所致威胁检出率低的缺陷[19 - 20]。

在威胁模型的基础上，从心理学和社会学角度可补充解释内部威胁的动机。前者侧重从用户使用网络或主机的行为来推断其心理状态，后者侧重从社会表现和环境来推断其行为表现，判断带来威胁的可能性[21 - 28]。

具有异常心理的内部人员最终会体现为行为异常。基于行为检测识别内部威胁一般可分为误用检测和异常检测。前者通过比对用户行为与已知威胁特征来识别异常行为，具有检测效率和准确率高的优势，但要求明确知道内部威胁攻击模式。后者利用内部人员在业务工作上行为模式相对固定的特点，通过对组织成员行为模式的聚类画像，判断不同人群正常行为模式，并将同类人群中行为偏离正常模式的用户识别为可能造成内部威胁的异常行为人群[29 - 30]。

承载不同业务的信息系统可能有不同的内部威胁模式，但在不确定具体业务场景的条件下仅能提炼有限的共性误用检测规则，从异常检测角度识别内部威胁。为解决内部威胁数据匮乏的问题，一般采用针对内部威胁专门产生的或具有相近特征的入侵检测数据集开展异常检测研究，常用的数据集主要包括：入侵检测评估KDD99数据集[31]、在正常行为数据中随机插入攻击指令的SEA数据集[32]、记录用户文件访问行为的WUIL数据集[33]和在真实企业环境中采集数据构造的CERT-IT数据集[34]。

在这些数据集的基础上，研究人员提出了基于隐马尔可夫模型、高斯混合模型、属性图聚类等基于机器学习的内部威胁检测方法，文献[35]使用隐马尔可夫模型(hidden Markov model，HMM)学习用户每周的正常行为，通过异常行为与正常行为之间的偏差完成了合理误报率条件下的内部威胁检测。文献[36]使用高斯混合模型对员工正常行为进行建模，以似然性和标准分数作为异常检测指标，同时借助专家知识对异常进行分类。文献[37]在图异常检测仅考虑拓扑结构的基础上，增加相关定点/边属性值，提出属性图聚类异常检测方法，使用EDCAR和GAMER两种子空间/图聚类算法进行异常检测，同时采用了“GOutRank”离群值排名机制，发现EDCAR算法的受试者工作特征曲线(receiver operating characteristic curve, ROC)曲线具有最佳AUC值。文献[38]提出采用在线深度学习架构，动态建模以生成可解释的异常评估结果，提高了分析速度和准确性，利用CERT数据集验证了提出的长短期记忆(long and short term memory, LSTM)网络模型优于传统的支持向量机和主成分分析等模型，指出LSTM模型可能适用于复杂时间模式的大规模现实问题。文献[39]采用HMM、决策树(decision tree, DT)和自组织映射(self organizing mapping, SOM)来学习和建模数据以检测内部威胁，结果表明SOM具有最优的性能。文献[40]提出了一种PRODIGAL异常检测系统，该系统结合了多种机器学习异常检测技术，同时开发了一种可视化语言来综合使用这些检测方法。前述方法的具体性能如表2所示。近年来，也有研究开始应用深度前馈神经网络和卷积神经网络进行攻击特征的自动选择，以提高检测准确性[41 - 42]。

需要指出的是，基于异常检测识别内部威胁存在异常样本高度不平衡和适应性攻击等挑战。上述检测数据集和检测方法在脱离具体业务背景的一般信息系统基础上构建，难以表征与具体业务有关的内部威胁，限制了他们的适用范围。此外，既有研究主要从个体用户视角检测异常，当系统中有一定比例的用户异常时，会使得正常行为的模式发生倾斜，难以有效区分。

除了被动检测和识别异常外，美国国家网络安全和通信整合中心的研究认为还可以通过营造健康富有成效的工作环境和加强系统权限管理与内部人员意识培养来主动削减内部威胁[27]。

2 CPPS的内部威胁与防护

2.1 CPPS的内部威胁

电力系统运行管理中有大量控制管理决策需要人工完成。2006年11月西欧大停电事故中，调度人员凭经验认为电网可在N-1状态下安全运行而忽视了一系列越限告警信号，最终导致系统解列[43]。人为误操作是威胁系统的可靠运行的重要因素[44]。对电力事故关键诱因的筛选研究表明，知识技能不足、违规操作、监管不充分等人为因素是造成高等级安全事件的主要原因[45]。

CPPS面临的内部威胁主要包括3类。1)误操作，操作人员无法快速、准确完成业务操作，造成设备损坏、故障扩大等后果；2)违规操作，既可能表现为操作人员为方便操作而违反规范自行授权审批操作，也可能在利益驱动下窃取和售卖秘密信息获利；3)恶意攻击，内部人员由于个人原因泄愤报复或其他原因破坏系统。此外，内部人员也可能被外部攻击者收买，但在具体表现上与违规操作及恶意攻击相同，后续讨论中不加区分。

以下将从生产控制系统和市场营销系统两方面分析CPPS面临的内部威胁挑战。

2.1.1 生产控制系统

生产控制系统直接服务于电力生产，主要包括变电站自动化和调度自动化等系统。该两系统的可靠性、实时性和安全性要求高。内部威胁存在共性，选取各自具有代表性的威胁展开分析。

1)变电站自动化系统

承担变电站的监视与保护控制功能，采用3层两网架构进行数据上传和指令下发[46 - 47]，可能面临的内部安全风险如图1所示。

图1 变电站信息传播内部安全风险Fig.1 Substation information dissemination internal security risk

(1)入侵风险。运维及厂商售后等内部人员站内作业时可能发生运维笔记本与外网连接或用系统内部服务器主动连接外网等违规操作。内网联接外网不但可能泄漏机密数据，外部恶意攻击者还可能借此摆渡渗透进入内网。

(2)传播风险。内部人员违规/误操作导致信息传播的信道资源阻塞和网络资源耗尽等，导致报文传播失败或时延过大。

(3)失效风险。内部人员违规/误操作导致传递到信宿的报文时延过大失效、报文内容遭篡改失效以及非法报文被误用为有效信息导致保护控制等功能失效。

此外，智能变电站采用SCD文件记录全站设备配置与控制信息[48]，各种应用和业务信息存在强耦合，进行检修或改扩建时需局部改动，容易因操作失误导致版本控制混淆和信息错乱，使得监视与保护控制系统功能紊乱，甚至可能导致误动或拒动。

2)调度自动化系统

承担电网整体的监视与控制功能。内部人员可基于系统拓扑和配置知识，发起虚假数据注入攻击，从同步相量测量单元(phasor measurement unit，PMU)注入虚假测量数据，以规避状态估计器的检测，误导调度控制中心做出错误决策[49]，主要过程如下：假设x=(x1,x2,…,xn)′为电网的真实系统状态相量，z=(z1,z2,…,zm)′为PMU采集的测量数据，其中m、n为正整数，对于i=1,2…,n、j=1,2…,m、xi,zj∈R， 利用直流功率流模型，PMU读数和实际状态间的关系可表示为：

z=Hx+η

(1)

式中：H为m×n的雅克比矩阵，表示系统拓扑和配置；η=(η1,η2,…,ηm)′～N(0,W)为一个独立的测量误差向量，有零均值和协方差W。若用最大似然估计估计系统真实状态，其状态向量为：

(2)

zbad=z+Hc

(3)

式中：c为期望注入到x中的偏移量，系统的真实状态估计向量可能变成：

(4)

通过向PMU导入虚假数据，使得式(2)所示的状态向量变为式(4)所示，导致调度人员可能根据虚假数据做出错误决策，从而危害系统安全运行。

2.1.2 市场营销系统

市场营销系统包含面向终端用户的计量自动化与营销系统和面向发电商与大用户的电力市场竞价交易系统，两者都涉及重大经济利益，存在较突出的内部威胁。计量自动化与营销系统是实现电网与用户侧网络互动、优化资源配置的基础，主要由智能电表与计量终端、通信网络、计量主站与营销系统等4个部分组成，用电信息采集与营销系统风险分布图如图2所示。

图2 用电信息采集与营销系统风险分布图Fig.2 Risk distribution map of electricity consumption information acquisition and marketing system

计量终端部署于用户侧，点多面广，多采用载波和无线虚拟专网通信。攻击方不但可能侵入智能电表和数据集中器等终端，篡改电费数据及控制用户供电，还可能以此为跳板渗透侵入主站，此后可攻击造成大量用户远程费控停电或使得主站闭锁，破坏后果远超针对单个用户的攻击。在终端层要求配置国密算法的嵌入式安全芯片，对与主站的通信进行身份认证并加密控制指令[50]；在主站为接入终端增设安全接入区，进行安全态势感知以构筑纵深防御体系。

内部人员具有计量与营销系统主站访问权限，攻击行为与外部攻击有明显差异，主要表现为以下几个方面。

1)用户数据失密。开放售电业务后，售电公司可能通过内部人员从营销系统违规获得优质客户信息。用户用电行为数据是开展用电增值服务的重要基础，是供电企业的核心资产；第三方综合能源服务商也有通过内部人员获取用户数据的利益冲动。

图3为远程费控业务流程。

图3 远程费控业务流程Fig.3 Business process of remote charge control

2)违规发布控制指令。供电企业按图3流程进行电费核发和欠费用户远程费控。完成电费核算后，形成需要进行远程费控的欠费用户列表；审核人员核查后执行远程费控停电。合法用户可能因习惯性违章或恶意破坏、跳过岗位权限分割，代为授权发布远程费控指令，可能造成导致大量用户停电的破坏性后果。

3)恶意攻击。在比特币等可逃避身份追查的新型支付方式掩护下，面向基础设施监控系统的定向勒索攻击快速增长，形成了成熟的攻击破坏与收益兑付业务模式。为扩大可接触到的高价值行业目标，部分勒索软件攻击方利用暗网招募目标企业内部人员，得手后再以比特币形式进行攻击收益分红。2021年8月，勒索软件攻击组织LockBit 2.0就被发现在暗网中招募高价值行业机构内部工作人员，随后攻击了位列财富500强的埃森哲公司并索要5 000万美元赎金[51]。接触系统后台的工作人员、特别是第三方人员进行技术服务时，可能带入此类安全风险。

电力市场中，发电公司与售电商在竞价交易系统中进行市场竞价，形成购电、售电申报曲线。获取其他市场主体的报价数据，可推断对手的报价策略等关键信息，获得竞价优势。在巨大的利益诱惑下，各市场主体均可能以包括通过内部人员窃取交易数据等方式获得竞争优势。为维护交易秩序，需要设计针对性的防护措施。

2.2 CPPS内部威胁防护

本文将CPPS内部威胁防护分为安全规程指导、防误技术研究、领域知识应用、权限分配研究和数据泄漏防护等5个大类，如表3所示。

表3 CPPS内部威胁防护方法Tab.3 Protection of insider threat in CPPS

2.2.1 安全规程指导

在内部威胁防护中，主管部门颁布的网络安全规范明确要求如下。

各业务系统应逐步采用数字证书，对系统登录和资源访问进行身份认证、访问控制和安全审计；生产控制大区需要具备日志数据收集和自动分析的审计功能，以便及时发现违规行为；在日常安全管理中强调加强内部人员保密教育、录用、离岗等的管理，内部人员应当签署并遵守保密协议[52]。

加强全体安全防护人员的安全管理和培训教育，特别要加强对厂家维护及评估检测第三方人员的安全管理，提高全体内部人员和相关外部人员的安全意识[53 - 54]。

在变电和配电部分都要求采用工作票、许可及监护制度，减少个人错误决策[55]。

要从访问控制、安全审计、管理制度、授权和审批以及人员离岗等方面保障系统安全；应授予管理用户所需的最小权限，实现管理用户的权限分离；对每个用户和重要的用户行为和安全事件启用安全审计功能；对管理人员或操作人员执行的日常管理操作建立操作规程；及时终止离岗人员的所有权限，取回身份识别证件及配备的物理设备。对内部用户非授权联接外网进行检查或限制；由授权主体配置访问控制策略并规定访问规则，访问控制粒度应达到主体为用户级或进程级[56]。

电力企业和研究人员根据规范要求进行了防护部署和相关研究，其中关于防误技术、领域知识应用、权限分配和数据泄漏防护研究相对成熟。

2.2.2 防误技术研究

内部人员误操作是CPPS最常见的内部威胁。智能变电站进行检修维护和改扩建时都要改动全站系统配置(substation configuration description，SCD)文件，容易出现失误。针对变电站内各IED的相互关系离散、模型结构层次多且涉及运维和厂商等不同部门人员，配置维护和管控困难的问题，文献[48]提出了基于角色的SCD文件安全访问控制方案，可实现文件版本管理、变更控制和在线监视，保障SCD文件的一致性、合法性和有效性。为了适应改动和确认SCD文件版本及内容一致性的需要，文献[57 - 58]提出利用循环冗余校验码校验来实现SCD文件的版本管理。

变电站运检调控时发生误操作较常见，传统上主要依赖五防系统防误。随着调控一体化运行模式的普及，大量场站现场操作改为远程控制。远程防误在防误信息、二次设备状态及主子站防误信息“源端维护”和逻辑一致性校核等方面发生明显变化[60]，研究人员围绕该类风险防控展开了大量研究。文献[59]提出了调控一体化指令票与防误系统的关联约束关系，建立电网调控端远方操作防误系统。在此基础上，文献[60]研究了基于主子站协同的二次设备防误技术，实现二次设备采集、模型扩展和防误规则建立，构建了设备与设备、站与站之间的防误逻辑，可以涵盖电网各种运行状态下一、二次设备操作防误。文献[61]以压板、空开、把手等二次设备信息为研究对象，采用非电量感应技术采集设备状态，提出了更具普适性的防误规则。

结合业务流程针对性设计防误流程，可有效提高应对内部威胁的能力。为提高防误设计的实用性，需要构建贴近实际电网的虚拟环境，进行防误流程的适用性验证，以提高防误检测的准确率。

2.2.3 领域知识应用

知识工程的快速发展促进了领域知识在智能电网中的应用，领域知识在电力调度和运检方面的研究应用为调度和运维人员提供了有力的辅助决策支持，突破了依赖经验的处理决策和操作瓶颈。

电力调度方面主要集中于自然语言识别处理与知识图谱技术的组合应用。文献[62]概述了知识工程在电力系统中的应用与发展，设计了基于不特定领域知识图(not only domain-specific knowledge graph, NoDKG)思想的电力领域知识图谱应用框架；文献[63]提出了面向电网调度故障处理的知识图谱框架，将大量以文本形式存在的操作规程、处置预案、调度细则等非结构化内容凝练为可表示、可操作、可推理的结构化知识网络；文献[64]提出了自底向上和自顶向下相结合的调度系统知识图谱构建方法；文献[65 - 66]基于人工智能技术对调控知识库构建、调控智能决策等关键技术给出了解决方案，克服了传统基于人工离线规则的调度决策机制难以为继的问题。

电力运检方面，领域知识应用主要集中应用于设备故障预测、诊断和推理。文献[67]构建了基于BiLSTM-CRF模型与知识图谱的二次设备功能缺陷智能诊断与辅助决策平台。文献[68]利用设备缺陷记录语料构建电力设备缺陷知识图谱，借助图搜索方法提升缺陷记录检索的效果。文献[69]以直流潮流模型和状态估计模型为基础，提取了3个行为规则来检测设备运行状态，折衷考虑检测精度和误报，取得了满意的效果。

领域知识是推动电力系统智能化的核心驱动力之一，应用领域知识进行内部威胁防护主要还存在以下挑战：研究主要集中于调控和运检辅助决策，对其他业务场景的研究 相对缺乏；电力业务场景复杂，知识信息多源异构，难以归纳出精确的知识，可能对辅助决策造成负面影响；某些业务场景专业人员可基于小样本和经验做出决策，而知识提炼需要大量样本，合理灵活的选取应用场景值得考量。

2.2.4 权限分配研究

合理的权限分配有利于防范内部攻击，需要采用访问控制模型来提供必要的权限管理，防止恶意使用。基于角色的访问控制(role-based access control，RBAC)模型引入的角色概念可在用户和权限间建立连接，显著降低了授权管理的复杂性，应用最为普及[70 - 72]。电力系统现有相关研究基本上都是对RBAC模型的适应性改进。图4为数据采集与监视控制系统(supervisory control and data acquisition，SCADA)系统RBAC模型。

图4 SCADA系统RBAC模型Fig.4 RBAC model of SCADA system

文献[70]提出了考虑SCADA调度员行为异常告警来动态调整角色权限的扩展RBAC模型，可在威胁变化、出现异常使用告警和不同的运行状态下动态调整用户权限。根据该扩展模型设计了基于反馈操作员命令和系统状态实现动态信任管理的自适应信任管理器，结构示意如图4所示。文献[71]将用户身份可信与行为可信相结合，基于登录时间、地点和口令的异常程度评价用户可信度，进而提出基于可信度的访问控制模型，通过设置可信度激活阈值来实现系统的灵活授权。文献[72]针对电力企业资源计划(enterprise resource planning, ERP)用户数量众多、角色定义随时间和业务调整频繁变化的特点，对RBAC模型进行细粒度扩充，实现角色、操作和对象的多级管理及细化控制。针对经典RBAC模型缺少责任区划分、难以在电力系统多区域、多层次复杂环境下进行权限控制和避免跨管辖范围误操作的问题。文献[73]提出了基于多区域的访问控制模型，将SCADA系统权限分为区域权限和公共权限，以区域分配权限，既降低了权限管理工作的难度，又可避免合法用户跨管辖范围的误操作，提高了系统的可靠性。

权限分配的细化设计有助于管控人为因素带来的内部威胁所能造成的危害后果。但在实施层面上还存在一些问题，如用户可能违规借用他人用户权限，这种管理上的问题很难通过权限分配来解决。

2.2.5 数据泄漏防护

智能电表采集的用电数据需经低压载波和无线通信传输，攻击界面大。为保障用户数据安全，科研人员从密钥管理、数据加密聚合和双向认证等方面展开研究。文献[74]基于密码技术，面向用户用电隐私数据提出了图5所示添加致盲因素的数据聚合方案；文献[75]指出该方案存在秘钥安全缺陷，难以满足数据安全性要求，并提出通过绑定用户公钥与对应ID的CA证书来消除安全漏洞。针对秘钥安全性问题，文献[76]提出了基于区块链的智能电表密钥管理方法，提高秘钥管理安全性与时效性。文献[77 - 78]提出采用同态加密算法保证量测数据的机密性。文献[79]构建了一种支持第三方参与仲裁的具有隐私保护和完整性验证的数据聚合安全方案，具有良好的运算效率和通信效率。文献[80]提出向用户电量添加掩蔽随机数。相比于同态加密，该方法隐私保护效果较好，但存在计算开销大的弊端。

图5 用电数据聚合系统模型Fig.5 Power consumption data aggregation system model

需要指出的是，内部威胁造成的数据泄露更多的是合法人员从主站系统大量导出敏感数据所致，前述计量数据泄露防护研究主要面向计量终端，难以应对主站侧数据泄漏。针对影音视频文件的盗版现象，文献[81]提出了基于数字水印的文件朔源识别技术，对于文本文件和数据文件也可采用文本格式或数字尾数等隐秘位置标记水印来对失密文件朔源[82]。与计算机领域版权保护要求不同，窃取的数据一般只会私下牟利而不公开，该类技术同样不适用于防止主站数据泄漏。

3 研究展望

3.1 CPPS内部威胁的针对性防护方法

当前，CPPS防护内部威胁多沿用一般信息系统内部威胁防护措施，未来需要结合自身特点针对性地设计防护方法。

3.1.1 CPPS与一般信息系统差异性分析

CPPS是现代社会的关键性基础设施，遭攻击破坏可能严重危及国家与社会安全。区别于传统信息安全需求的保密性、完整性和可用性特性，在绝大部分业务场景中，CPPS对信息的可用性、完整性、机密性要求更高。应对外部攻击时，一般信息系统常用的入侵检测、防火墙和病毒检测等安防措施难以满足CPPS的防护要求。与之类似的，一般信息系统应付内部威胁常用的权限管理及异常检测，也不足以有效管控CPPS的相关风险。

在外部威胁防护研究中，研究人员充分利用CPPS与一般信息系统的差异特性，提出了一些行之有效的措施。首先，利用调度数据专网的优势，在控制区边界部署单向网闸，构建了边界安全的基础；其次，利用业务系统为封闭环境的特点，采用访问控制措施，只有得到授权认可的设备才可接入控制区；最后，利用控制系统运行环境明确固定的特点，设置通信IP和端口的白名单，只允许入网设备与限定的IP地址和端口通信。上述措施极大地降低了外部威胁渗透入侵的概率，即便攻击渗透侵入控制区，在不具备专业知识的条件下也很容易暴露行踪，难以实现攻击破坏。

本文认为，内部威胁的防护完全可以借鉴前述思路，基于CPPS的差异特性提出针对性的防护措施。既有的内部威胁防护措施主要面向一般信息系统中共性的内部威胁进行检测防护。CPPS是执行具体业务功能的系统，具有业务流程确定等特性。可以结合承载的业务分析内部威胁潜在的危害模式，进而从业务流程等细节上来针对性地设计防护措施。

3.1.2 从业务出发的针对性防护方法设计

一般信息系统中，除用户角色和权限分组外很难提炼共性特点来进行内部威胁防护。而CPPS承载具体业务功能，可以根据业务功能分析确认内部威胁造成破坏的模式及所要达成的目的，进而针对性地设计防护措施。

1)基于业务的内部威胁分析与异常检测

营销系统数据泄漏是有突出风险的内部威胁，具有岗位权限的工作人员同样可能导出用户信息牟利，现有身份权限管理机制难以准确识别该类内部威胁。

识别窃取用户信息的内部威胁需要给出行为异常的判别标准。该类行为可能表现为大量检索和导出用户数据，分析用户访问数据库导出数据所用的SQL语句，是判断行为异常的一种方式。因为窃取信息往往需要大量导出数据，根据用户是否大量拷贝或邮件发送数据，是更直观可行的异常检测方式。

2)基于业务的内部威胁攻击样本构建

对工作人员网络行为数据进行数据挖掘，是检测内部威胁的重要途径。利用深度学习可以自动提取特征项，可以提高内部威胁的异常检测效果。基于异常的内部威胁检测面临突出的样本不平衡问题，由于缺乏实际内部威胁的样本数据，目前都是采用入侵检测等标准数据集或在其基础上按特定规则产生的异常样本。负面样本的缺乏严重制约了基于异常的内部威胁检测应用。因为一般信息系统中攻击破坏模式不确定，该问题很难解决。

在具有确定业务功能的CPPS中，可以根据系统业务功能，从工作人员的目的出发分析内部威胁的破坏模式，然后在生产环境或安全靶场中按设定的攻击模式产生异常样本，即可消除内部威胁攻击样本不足的不利影响，提高对预设模式内部威胁攻击的检测和防护效果。

3)基于业务流程合规性校核的防误设计

操作防误是内部威胁防护的重点对象。利用实际业务往往有特定流程的特点，可以设计基于流程合规性校核的防误方法。计量与营销系统的远程费控业务流程如图6所示。执行欠费用户远程停电操作前，需根据前一账务周期冻结表码测算本周期电费，确认用户账户扣减电费后余额小于零；经审批后，方可由营销系统密码机加密再由计量系统执行远程费控，计量系统在远程费控指令下发过程中仅起到透明传输作用。含指令合规性校核的远程费控业务流程图如图7所示。

图6 远程费控业务流程图Fig.6 Flowchart of tariff based remote control of meters

图7 含指令合规性校核的远程费控业务流程图Fig.7 Flowchart of remote control of meters with compliance check

营销人员盗用审核权限违规向大量用户发起远程费控，可能导致严重后果。简单基于身份进行权限管理，并不能杜绝此类问题。利用计量与营销系统在业务上紧密关联又相互独立的特点，可如图7在计量系统中增设电费校核模块，对营销系统下发的费控指令进行合规性校核，只有电费扣减后账户电费余额小于0时才允许执行费控操作。因计量是与营销相对独立的系统，营销人员违规操作难以绕过计量系统的合规性校核，因而可避免营销工作人员和厂商维护人员的内部威胁。

3.2 基于区块链技术的内部威胁防护

新型电力系统将形成大量分布式新能源并网、跨区域输电、用户深度参与需求响应的环境，电力市场参与者众多，用户既是售电方也是购电方，内外部边界模糊，传统的内部威胁定义及对应的防护措施均可能失效。

区块链技术以其去中心化、安全透明、不可篡改等特性在能源市场交易中具有广泛应用前景。文献[83]基于对自动需求响应业务的需求分析，提出了区块链技术解决方案。文献[84]提出了基于有向无环图拓扑的公平委托权益证明共识机制区块链技术的分布式能源交易管理方法，确保交易市场的安全、高效、稳定运行。文献[85]利用区块链具备的数据透明性和可靠性，提出基于区块链技术的多微网系统竞争博弈模型，有效减少恶性竞争，各市场主体可在完全信息条件下实现动态博弈。此外，区块链技术的跟踪回溯机制可从用户侧查验历史行为，挖掘用户特征，实现事件溯源。区块链目前主要在能源交易市场应用，未来如何在生产控制等系统中推广应用，协助防护内部威胁，值得进一步研究。

3.3 基于零信任的内部威胁防护

云计算与物联网技术的发展催生了电力物联网的发展，移动办公与业务上云在业务灵活需求下快速演进，传统的内部威胁防御体系在电网向无边界方向发展过程中愈发捉襟见肘。

零信任强调网络边界内外的任何访问主体(人/设备/应用)在未经验证前都不予信任，需要基于持续的验证和授权建立动态访问信任，突破了传统身份权限模型的局限性，保证了合法内部人员基于合法受控终端通过合法应用和进程，发起对客体的合法访问。文献[86]在全面分析电力移动互联网业务风险的基础上，从用户、终端和应用多个角度设计了一个基于零信任的电力移动互联业务安全防护框架，打破了传统预设内网安全假设。文献[87]借鉴信任度计算和动态访问控制，提出了一种PIoT终端零信任安全防护方案，提高了终端设备安全运行的可靠性。文献[88]针对内部人员带来的数据泄漏问题，提出了一种基于零信任原则的数据防御机制，并基于真实场景进行了可行性验证。不少研究表明，零信任可突破传统身份认证静态瓶颈，持续可信认证以保证内部操作的合法性。但是，零信任需要系统具备强大的身份验证机制，某些电力终端有限的计算资源可能难以满足性能需求，另外，身份认证的耗时可能减弱业务敏捷性，对时限要求高的场景可能并不适用。因此，选取合适的业务场景以发挥零信任持续可信认证优势在内部威胁防护中的应用值得进一步探讨。

4 结语

CPPS系统中，内部人员的误操作、违规操作和恶意攻击行为夹杂在大量正常行为当中，具有隐蔽性强、破坏性大和检测困难的特点，容易造成严重的攻击破坏后果。本文围绕CPPS内部威胁的安全防护展开分析，开展的工作如下。

1)从内部威胁的定义和分类出发，梳理了内部威胁的模型、动机与异常行为分析及用户行为检测方面的研究，分析指出在一般信息系统基础上发展起来的内部威胁检测方法和测试数据集脱离具体业务背景，存在比较明显的局限性。

2)结合具体业务系统分析指出了CPPS面临的内部威胁；从安全规程指导、防误技术研究、领域知识应用、权限分配研究和数据泄漏防护等方面归纳分析了既有的CPPS内部威胁防护方法。

3)对比CPPS和一般信息系统的差异，提出可利用CPPS承载具体业务的特点，根据业务逻辑分析潜在攻击模式和构建攻击样本，针对性设计防误机制，并展望了区块链技术和零信任在相关领域的应用前景。