极端情况下电网遭受外部攻击的风险评估模型探索

雷傲宇，刘蔚，周剑，梅勇，杨荣照，毛振宇

(1.中国南方电网电力调度控制中心，广东 广州 510663；2.南方电网科学研究院有限责任公司，广东 广州 510663)

电力系统是国家关键基础设施，电力安全关系国计民生，国家的金融、通信、交通、供水、供气、互联网等领域基础设施安全可靠运行都建立在电力持续稳定供应的基础上。电力安全与政治安全、经济安全、网络安全、社会安全等总体国家安全体系[1]中的诸多领域密切关联。电力安全是国家安全的重要组成和保障，一旦发生大面积停电事故，可能引发跨领域连锁反应，导致重大经济财产损失，甚至引发社会恐慌，危及国家安全。

新时期电力安全的内涵正在发生深刻变化。世界百年变局与世纪疫情叠加震荡，世界进入新的动荡调整期，国际上恐怖主义、保护主义、遏制主义等有所抬头，冷战思维依然存在，世界大国对能源资源的争夺和尖端科技管制日益加剧。2015年乌克兰电网遭受网络攻击发生了大停电事故[2]，2019年委内瑞拉电网也疑似遭受网络攻击和物理攻击发生了大停电事故[3-4]。新时期下的网络攻击、电磁攻击和物理攻击等外部攻击形式对电力安全构成重大威胁，电力安全风险防控呈现对象更广、场景更多、要求更高、难度更大等新特点。

我国现有的电力系统安全防御主要依据《电力系统安全稳定导则》中的三级安全稳定标准[5]，国内学者和电力工作者开展了大量工作[6-11]，构建了成熟、卓有成效的3道防线。但是常规电力系统安全防御体系针对的场景主要是设备故障和自然灾害等，难以应对极端情况下的外部攻击。因此有必要开展极端情况下电网遭受网络攻击、电磁攻击、物理攻击等外部攻击的风险评估。

极端情况下电网遭受外部攻击的安全防御与电力系统常规防御模式差异较大，目前缺少对外部攻击行为的机理/破坏能力、攻击行为的推演、电网防御外部攻击的能力、外部攻击造成的电网安全风险以及极端情况下的电网运行策略等内容的深入研究。我国颁布了一些电力系统应对网络安全、电磁兼容、治安反恐等行为的相关标准和规范[12-23]，但均未针对极端情况下的外部攻击。国内学者虽然也针对部分攻击(如网络攻击的防范、电磁脉冲的威胁和防御、石墨炸弹的破坏机理和防护策略等)开展了初步研究[24-36]，但研究内容还不够深入，缺少极端情况下电网遭受外部攻击的风险评估方面的研究成果。

本文针对极端情况下电网遭受外部攻击的风险评估问题，首先从极端情况下外部攻击行为的机理/破坏能力、攻击行为的推演、电网防御外部攻击的能力、外部攻击造成的电网故障形态入手，结合风险理论，提出一种极端情况下电网遭受外部攻击的暂态稳定风险评估模型。然后，利用提出的评估模型建立网络攻击、电磁攻击、石墨炸弹攻击和暴恐袭击这4种典型外部攻击的暂态稳定风险评估指标和计算方法。最后，以某城市电网为算例，利用提出的模型评估了该城市电网遭受极端情况下4种典型外部攻击的暂态稳定风险的评估结果。

1 评估模型的构建

1.1 风险评估模型

综合极端情况下外部攻击行为的机理/破坏能力、电网防御外部攻击的能力、外部攻击造成的电网安全风险等因素，提出的模型框架由外部攻击、电网防御、故障形态、电网风险4部分组成，如图1所示。

图1 极端情况下电网遭受外部攻击的风险评估模型

a)外部攻击。外部攻击由外部攻击方式和基于外部攻击特性的破坏能力过滤器构成。

本文研究的极端情况下电网可能遭受的外部攻击行为主要包括网络攻击、电磁攻击和物理攻击(暴恐石墨炸弹攻击、暴恐袭击)。

基于外部攻击特性的破坏能力过滤器主要用于表征外部攻击的行为特点，用来评估分析攻击行为带来的破坏能力和过滤掉不具威胁的攻击行为。构建过滤器模型时主要考虑以下原则：①最大效能原则——不同攻击方式具有不同特性和优缺点，攻击方会最大限度利用攻击方式的优势，发挥最大效能，实现对电网最大程度的破坏；②优先原则——外部攻击具有较强的目的性，因此会优先选择重要目标作为攻击对象。

b)电网防御。电网防御由基于电网防护能力的防御拦截器和被攻击对象构成。

被攻击对象是指可能会被攻击的具体电网设施，如母线、变压器等一次设备、继电保护等二次设备和系统。

基于电网防护能力的防御拦截器主要用于表征电网针对具体被攻击对象所采取的防护措施特性。构建拦截器模型时主要考虑以下原则：①合理拦截原则——电网对不同攻击形式具有不同的防护水平和能力，拦截程度和效果也不同；②随机突破原则——考虑电网防护能力有限和可能存在的缺陷及漏洞所造成的部分攻击突破拦截的情况。

c)故障形态。故障形态包括外部攻击行为作用在被攻击对象后，在电网中表现出来的各种可能的电网故障形式，例如一次设备短路和继电保护误动等。故障形态主要按最严重后果原则确定，即从攻击者角度考虑攻击行为特性能造成的对电网安全稳定威胁最大的故障形式。

d)电网风险评估。电网风险由故障形态的仿真模拟和风险分析构成。本文主要研究外部攻击对电网暂态稳定造成的影响，因此故障形态的仿真模拟主要用于分析故障对电网暂态稳定的影响，得到具体的负荷损失量。基于仿真结果，可以评估外部攻击造成的电网风险。

1.2 电网风险评估指标和方法

风险理论认为风险是不确定性对事物的影响，是概率和损失的结合，一般以事故发生的概率和事故造成的损失的乘积表示。

本文根据风险理论，将图1风险评估模型中的各环节量化。其中电网风险评估指标

(1)

Pi=MiAiDi,

(2)

(3)

式(1)—(3)中：R为电网遭受外部攻击的整体风险；Pi为目标i遭受外部攻击的概率，由基于外部攻击特性的破坏能力过滤器和基于电网防护能力的防御拦截器量化后得到；Ci为目标i的故障损失风险；n为电网中被攻击目标的总数；Mi为目标i被选择的概率；Ai为攻击目标i成功的概率；Di为防护目标i失败的概率；Fij为目标i遭受外部攻击后导致故障j的概率；Lij为故障j给电网造成的损失；mi为目标i遭受外部攻击后可能导致的故障总数。

式(2)中的Mi反映了攻击方认为的目标重要程度，目标越重要被选择的可能性越大；Ai反映了攻击方的破坏能力，能力越大，成功攻击的可能性越高；Di反映了电网的防护能力，防护能力越强，攻击成功的可能性越低。式(3)中具体故障及其概率根据故障形态确定。电网损失是通过仿真得到的故障造成负荷损失量。

式(2)中目标被选择的概率Mi取决于攻击者对目标的综合判断。这里给出一种用目标的设备系数、负荷系数、线路系数、攻击难度系数4个指标并结合不同系数的权重进行综合判断的方法。

(4)

式中Jui为向量Ju中第i个元素的值。

2 4种典型攻击行为的评估模型

基于第1章的风险评估模型和指标计算方法，对网络攻击、电磁攻击、石墨炸弹攻击和暴恐袭击4种极端情况下的典型外部攻击行为，建立风险评估模型并给出指标的具体计算公式。

2.1 网络攻击的风险评估模型

网络攻击是针对电力系统中用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络的攻击行为。

2.1.1 基于外部攻击特性的破坏能力过滤器模型

a)最大效能原则。网络攻击的破坏效能包括窃取、泄露、破坏和控制网络系统，其中对电网的最大破坏效能是控制或破坏电力监控系统。

b)优先原则。网络攻击会优先选择电力监控系统中具有最大权限或直接涉及电网实时稳定运行的业务系统或功能模块作为攻击对象。

网络攻击的破坏能力主要依赖资金和技术的投入。文献[37]提出利用自然指数函数描述资金和技术投入对破坏和防护能力概率关系的方法。这里也采用该方法描述网络攻击的破坏能力和防护能力。

将式(2)中Ai具体表达为

Ai=1-e-NSi.

(5)

式中NSi为攻击方投入的资金和技术资源系数。如果NSi=0，则攻击成功概率Ai=0；如果NSi=∞，则Ai=1，即投入无限多资金和技术资源后才能保证成功概率为1。

2.1.2 基于电网网络防护能力的防御拦截器模型

a)合理拦截原则。电力监控系统安全防护是依据国家信息安全等级保护制度，按照安全分区、网络专用、横向隔离、纵向认证原则建立的网络攻击防护能力。

b)随机破坏原则。电力监控系统的网络防护能力受资源投入限制和可能存在的技术漏洞，仍存在部分网络攻击突破拦截的情况。网络攻击的防护能力也主要依赖资金和技术的投入。

对于网络攻击，式(2)中Di的表达为

Di=e-NGi.

(6)

式中NGi为为防护网络攻击目标i投入的资金和技术资源系数。如果NGi=0，则Di=1，即没有防护时失败的概率为1；如果NGi=∞，则Di=0，即投入无限多资金和技术资源后防护失败概率为0。

2.1.3 故障形态

网络攻击的对象是电力监控系统，主要针对电力监控系统的遥控模块、自动发电控制(automatic generation control，AGC)模块、自动电压控制(automatic voltage control，AVC)模块、继电保护系统和安稳控制系统等重要控制业务系统或功能模块。

按照最严重后果原则，选出可能对电网稳定造成严重后果的故障形态和具体故障，见表1。

表1 网络攻击的故障形态表

为简化分析，假设网络攻击每次攻击仅导致1种故障形态，不考虑同时出现多种故障形态的情况。

2.1.4 风险评估

利用式(1)—(6)和表1可以评估网络攻击造成的电网风险。

2.2 电磁攻击的风险评估模型

电磁攻击是通过电磁脉冲武器如电磁炸弹等产生的脉冲对电子设备进行干扰或破坏的攻击行为。本文研究飞机空投电磁炸弹的攻击方式。

2.2.1 基于外部攻击特性的破坏能力过滤器模型

a)最大效能原则。电磁攻击的破坏效能包括干扰、降能、损伤或损毁电子元器件，对电网的最大破坏效能是损伤或损毁电力监控系统的电子元器件。

b)优先原则。电磁攻击会优先将电力监控系统作为攻击对象。

电磁炸弹对电子设备的破坏能力取决于爆炸后电磁辐射到达电子设备时的功率密度值，只要达到密度值就会产生攻击效果，因此电磁炸弹成功的概率取决于是否在目标上空成功引爆。可将式(2)中Ai表达为

Ai=MSi.

(7)

式中MSi为电磁炸弹在目标i上空成功引爆的概率。

2.2.2 基于电网电磁防护能力的防御拦截器模型

电网对电磁攻击的防护能力有2个方面：

a)防空能力。空投电磁炸弹首先要突破国家的防空系统，如果攻击目标在防空区内，则飞机会遭到防空力量攻击。这里假设防空失败的概率为1-λMGi。其中MGi为攻击目标i在防空区内的概率，λ为防空区内攻击方飞机被击落的概率。

b)电力监控系统的电磁兼容能力。目前电力监控系统设计和设备配置满足国家电磁兼容相关标准和规范要求，具有较好的防护能力。考虑电磁攻击时功率密度差异和电子设备元器件质量差异，存在电子设备随机损坏情况。

综合以上分析，定义式(2)中防护目标i失败的概率

Di=(1-λMGi)(1-MPi).

(8)

式中MPi为电力监控系统未损坏的概率。

2.2.3 故障形态

电磁攻击的对象是电力监控系统的电子设备，对因电力监控系统损失或损坏导致部分业务系统和功能模块的误发指令或功能失效等具有随机性。

按照最严重后果原则，选出可能对电网稳定造成严重后果的故障形态和具体故障，见表2。

表2 电磁攻击的故障形态表

2.2.4 风险评估

利用式(1)—(4)、(7)、(8)和表2可以评估电磁攻击造成的电网风险。

2.3 石墨炸弹攻击的风险评估模型

石墨炸弹攻击是利用石墨炸弹在目标厂站上空释放出导电纤维网，造成厂站内的户外裸露带电设备短路的攻击行为。

2.3.1 基于外部攻击特性的破坏能力过滤器模型

a)最大效能原则。石墨炸弹的最大破坏效能是造成电厂和变电站内的大量户外裸露带电一次设备短路。

b)优先原则。石墨炸弹攻击会优先选择电厂和变电站的户外裸露一次设备作为攻击对象。

石墨炸弹对一次设备的破坏能力取决于炸弹产生的导电纤维网是否能覆盖到裸露带电设备上。假设石墨炸弹的爆炸点在厂站上空，爆炸后形成的导电纤维网是以爆炸点为原点半径的圆。为方便分析，将导电纤维网形状简化为圆形，目标厂站形状简化为矩形，将导电纤维网覆盖到厂站设备上的概率作为攻击目标i成功的概率。因此式(2)中的Ai表达为

(9)

式中：Li、Wi为目标厂站i的长度、宽度；Ri为石墨炸弹释放的导电纤维网的半径。

2.3.2 基于电网石墨炸弹能力的防御拦截器模型

目前电网没有专门针对石墨炸弹攻击的防护措施，对石墨炸弹攻击的防护能力取决于国家的防空能力。式(2)中Di的表达为

Di=1-λCGi.

(10)

式中CGi为目标i在防空区内的概率。

2.3.3 故障形态

石墨炸弹攻击的对象是厂站内的户外裸露一次设备。按照最严重后果原则，石墨炸弹攻击后表现出来的电网故障形态主要是厂站大量的户外裸露的带电设备短路，见表3。

表3 石墨炸弹攻击的故障形态表

2.3.4 风险评估

利用式(1)—(4)、(9)、(10)和表3可以评估石墨炸弹攻击造成的电网风险。

2.4 暴恐袭击的风险评估模型

暴恐袭击是指以制造恐慌、危害电力安全等为目的，采取暴力破坏等手段，造成或意图造成人员伤亡、电力设施损坏、社会秩序混乱等的攻击行为。

2.4.1 基于外部攻击特性的破坏能力过滤器模型

a)最大效能原则。暴恐袭击的破坏效能包括爆炸、劫持人质等。因此对电网的最大破坏效能是通过爆炸破坏电力设施、劫持人质、恶意操作等危害电网安全运行。

b)优先原则。暴恐袭击会将调度部门、重要厂站作为优先攻击对象。

暴恐袭击的破坏能力主要依赖人员和装备的投入。这里参照网络攻击，定义式(2)中攻击目标i成功的概率

Ai=1-e-CSi.

(11)

式中CSi为攻击方的人员和装备资源系数。如果CSi=0，则成功概率Ai=0；如果CSi=∞，则Ai=1，即投入无限多人员和装备后成功概率为1。

2.4.2 基于暴恐袭击防护能力的防御拦截器模型

a)合理拦截原则。电力系统防御暴恐袭击的防护是基于国家2021年颁布的GA 1800—2021《电力系统治安反恐防范要求》规定建立的暴恐袭击防护能力。

b)随机破坏原则。考虑受反恐资源投入的限制和可能存在的安全漏洞，暴恐袭击有可能突破防御，对电网目标进行随机破坏活动。暴恐袭击的防护能力主要依赖反恐人员和装备的投入，式(2)中

Di=e-CGi.

(12)

式中CGi为为防护暴恐袭击目标i投入的人员和装备资源系数。如果CGi=0，则Di=1，即没有防护时失败概率为1；如果CGi=∞，则Di=0，即投入无限多人员和装备资源后，防护失败概率为0。

2.4.3 故障形态

暴恐袭击的对象是调度部门和厂站，主要针对调度系统、厂站的一次设备和自动化系统等。按照最严重后果原则，选出可能对电网稳定造成严重后果的故障形态和具体故障，见表4。

表4 暴恐袭击的故障形态表

2.4.4 电网风险

利用式(1)—(4)、(11)、(12)和表4可以评估暴恐袭击造成的电网风险。

3 算例分析

以某典型城市电网为算例，采用本文所述方法评估该电网遭受4种典型外部攻击时的风险。

3.1 算例电网

该城市电网有8座500 kV变电站和1座500 kV电厂，其拓扑结构如图2所示。

图2 某城市电网网络拓扑图

图2中电厂编号8，有1个调度中心负责调控，编号0，其余为500 kV变电站。假设外部攻击将以上10个电厂、变电站和调度中心作为攻击目标。

仿真数据采用该城市电网所在大电网的典型夏季大负荷方式数据，并加入3道防线。如果故障后电网稳定，则将切除的负荷作为损失负荷，如果失稳则认为损失城市电网所有负荷。损失负荷用其占城市电网总负荷的百分比表示。

3.2 目标被选择的概率

表5给出了这10个目标的设备系数、负荷系数、线路系数和攻击容易系数的评判矩阵系数。

表5 目标评判系数表

其中设施系数根据一次设备数量确定，设备最多的目标的设施系数设为1，其余按比例确定；调度中心由于考虑其重要性，设施系数设为10。负荷系数根据目标的供电负荷确定，将负荷最大的目标的负荷系数设为1，其余按比例确定。潮流系数根据目标连接线路上的潮流确定。攻击容易系数考虑目标各种防护措施配备条件后给定，将最弱的目标的攻击容易系数设为1，调度中心最强，攻击容易系数为0。

为方便对比，假设4种攻击方式都采用表5的评判系数，权重也相同，即We=[0.1 0.2 0.2 0.5]。根据式(4)得到目标被选择的概率，见表6。其中石墨炸弹攻击的目标是厂站一次设备，因此攻击调度中心概率为0。

表6 目标被选择的概率表

3.3 网络攻击的风险评估

为了计算网络攻击风险，需要给定式(5)中攻击方投入的资金和技术资源系数和式(6)中防护方投入的资金和技术资源系数。这2个系数较难确定，本文将防护方防守失败概率为0.5%时投入的资金和技术资源系数NGE作为基准值。

假设双方在目标i投入的资源系数分别等于1倍基准值和10倍基准值，即NSi=NGE，NGi=10NGE。

表1中网络攻击的每种故障形态的概率较难评估，本文人为给定可能造成的损失，其中开关误动概率为0.35，保护误动概率为0.35，AGC误动、AVC误动和稳控误动概率均为0.1。故障形态内各故障的概率相等。根据以上给定参数和式(1)—(3)，计算得到网络攻击造成的风险，见表7。

表7 网络攻击造成的风险表

作为对比，表8中给出了防守方投入的资源系数等于10倍和20倍基准值时，攻击方投入不同资源导致不同的攻击成功概率下风险的变化情况。

由表8可以看出：投入资源为1倍基准值时，对网络攻击风险的防护有限；投入10倍时，网络风险降低了500倍，投入20倍时，网络风险又降低了1 000倍。因此保持足够的资源投入可以极大降低网络攻击风险。

表8 不同资源投入下的网络攻击风险表

3.4 电磁攻击的风险评估

假设式(7)中电磁炸弹在各目标上空成功引爆的概率均为A=0.95。

假设式(8)中国家防空系统覆盖了所有厂站，即MG=1，飞机被击落的概率均为λ=0.8，电力监控系统未损坏的概率均为MP=0.8，则各厂站防护失败的概率均为Di=0.04。

电磁攻击后的拒动故障不会直接影响电网稳定，因此不考虑拒动故障，仅考虑误动故障。考虑到调度中心电力监控系统防误操作逻辑较复杂，电子设备损坏后拒动概率为1，误动概率为0；假设厂站内单个保护在损坏后拒动的概率0.8，误动概率0.2。故障集中考虑保护设备的各种误动组合情况，例如厂站中有K套保护，则共有2K种误动组合。

电磁攻击造成的厂站故障损失风险见表9。作为对比，表9给出了误动概率为0.1和0.4时的风险值，可以看出，误动概率取值对风险值的影响较大。

表9 电磁攻击造成的厂站故障损失风险表

电磁攻击造成的风险见表10。作为对比，表10给出了没有防护即Di=1时的风险值。可以看出，没有防护时的风险是有防护时的25倍。

表10 电磁攻击造成风险表

3.5 石墨炸弹攻击的风险评估

根据式(9)，可以得到石墨炸弹成功攻击各厂站的概率，见表11。其中石墨炸弹释放的导电纤维网直径约为250 m。

表11 石墨炸弹攻击成功的概率表

假设式(10)中国家防空系统覆盖所有厂站，即CG=1，飞机被击落的概率均为0.8，则各厂站防护失败的概率均为0.2。

石墨炸弹的导电纤维网覆盖到厂站内一次设备的概率计算较复杂，考虑到导电纤维网和厂站的面积相差不大，在仿真中只考虑厂站内的500 kV母线、线路和主变设备有80%以上随机被覆盖导致短路故障情况，每种情况的概率相同。

根据以上给定参数和式(1)—(3)，计算得到石墨炸弹攻击造成的风险，见表12。

表12 石墨炸弹攻击造成的风险表

3.6 暴恐袭击的风险评估

为了计算暴恐袭击攻击风险，需要给定式(11)中攻击方投入的人员和装备资源系数和式(12)中防护方投入的反恐人员和装备资源系数。这2个系数较难确定，本文将防护方防守失败概率为0.5%时投入的的资金和技术资源系数CGE作为基准值。

假设双方在目标i投入的资源系数分别等于1倍基准值和10倍基准值，即CSi=CGE，CGi=10CGE。

表4中暴恐袭击的每种故障形态的概率较难评估，本文人为给定可能造成的损失，其中调度中心的开关误动概率为0.35，保护误动概率为0.35，AGC误动、AVC误动和稳控误动概率均为0.1。电厂和变电站的开关误动概率为0.5，设备短路概率为0.5。故障形态内的各故障的概率相等。

根据以上给定参数和式(1)—(3)，计算得到暴恐袭击造成的风险，见表13。

表13 暴恐袭击造成的风险表

作为对比，表14给出了防守方投入的资源系数等于10倍和20倍基准值时，攻击方投入不同资源导致不同的攻击成功概率下风险的变化情况。

表14 不同资源投入下的暴恐系统风险表

由表14可以看出：投入的人力和装备资源为1倍基准值时，对网络攻击风险的防护有限；投入10倍时，风险降低了500倍，投入20倍时，风险又降低了1 000倍。因此保持足够的资源投入可以极大降低暴恐袭击风险，具有很高的性价比。

表15汇总了不同攻击方式造成的风险及关键影响因素。

表15 不同攻击方式造成的风险及关键影响因素

综合以上仿真和分析结果，可以看出：

a)从风险看，石墨炸弹攻击造成的电网暂态稳定风险最大，比其他攻击方式风险高1个数量级，主要原因是电网没有专门防护石墨炸弹攻击的防护措施，而且石墨炸弹释放的导电纤维网覆盖范围大，容易引起大量设备短路跳闸，对电网暂态稳定影响较大。另外3种攻击方式造成的电网暂态稳定风险没有数量级上的差异。

b)从影响因素看，网络攻击和暴恐袭击造成的电网暂态稳定风险主要受相应资源投入量的影响很大，只要保障足够的资源投入，就可以明显降低风险。电磁攻击造成的风险主要由电子设备被攻击后的误动概率影响，只要在技术上降低误动概率，就可以明显降低风险。而石墨炸弹攻击在电网侧没有防护措施，可以通过研究防护措施来降低风险。

4 结束语

本文提出了一种极端情况下电网遭受外部攻击的暂态稳定风险评估模型，通过基于外部攻击特性的破坏能力过滤器来表征外部攻击的行为特点，通过基于电网防护能力的防御拦截器来表征电网的防护特性，通过用外部攻击行为作用在被攻击对象后在电网中表现出来的电网故障形式来定量计算暂态稳定风险。利用提出的模型，建立了网络攻击、电磁攻击、石墨炸弹攻击和暴恐袭击4种典型外部攻击的暂态稳定风险评估方法。以某城市电网为算例，给出了电网遭受4种典型外部攻击的风险评估结果，分析了不同外部攻击的特点和影响因素，研究结论对于构建极端情况下电网遭受外部攻击的电网安全防御具有参考意义。

由于外部攻击的行为特性较为复杂，文中在风险评估建模过程中对部分模型和参数进行了简化处理，后续将针对这部分内容开展进一步深入研究。