网络攻击对电力系统典型场景全过程影响综述

林峰，梅勇，朱益华，常东旭，刘韧，郭恒道

（1.中国南方电网电力调度控制中心，广州 510663；2.直流输电技术全国重点实验室（南方电网科学研究院），广州 510663；3.国家能源大电网技术研发（实验）中心，广州 510663；4.广东省新能源电力系统智能运行与控制企业重点实验室，广州 510663；5.中国南方电网公司电网仿真重点实验室，广州 510663）

0 引言

随着电力物联网的兴起与发展，电力系统规模越来越庞大，复杂程度不断提高，传统的管理与调度模式已经无法适应电力系统发展的需求，电力系统的智能化与自动化水平亟待提高［1-2］。为了实现电网转型，业界将先进的感知、计算、通信与控制技术应用到电力系统中，在物理电力系统的基础上构建了能够对数据进行实时采集、分析与处理的信息系统［3-6］。电力业务的扩展以及对信息处理要求的提高加深了电网物理侧与信息侧的耦合程度，使电力系统发展成为规模庞大、结构复杂的电力信息物理系统（cyber physical system，CPS）。这一方面提高了系统的信息处理效率，但在另一方面却存在将信息侧的安全问题引入电力网的风险［7］。

我国的二次系统具有“安全分区、网络专用、横向隔离、纵向认证”的特点，长期以来被认为具有较高的安全性［8］。然而随着电力CPS 节点规模的扩大以及信息侧与物理侧融合程度的不断加深，信息系统与物理系统相互影响的机理会变得更加复杂，这将导致系统中出现新的薄弱环节，使得从信息侧发动的网络攻击对电力基础设施造成破坏成为可能。与直接破坏电气设备的物理攻击不同，网络攻击的隐蔽性高且攻击代价较小，它虽然不能直接破坏物理设备，但可以通过干扰信息侧运行导致物理系统失稳或停电，对政治安定和社会经济造成严重的影响［9-10］。2015 年的乌克兰大停电事故就是一起对信息侧发动网络攻击引发物理侧故障的典型事件。攻击者向电力工作人员发送含有恶意代码的邮件，当邮件被打开后，恶意代码攻击变电站的监控系统导致发电设备故障，该事件最终造成140 万人停电3～6 h［11］。

鉴于网络安全在电力系统中的重要性不断提升，该领域也得到了国内外学者的广泛关注。目前虚假数据注入（false data inject，FDI）攻击、拒绝服务（denial-of-service，DoS）攻击和中间人（man-inthe-middle，MITM）攻击等常见的网络攻击手段已经得到了广泛的研究与报道，并在实际网络攻击事件中得到了印证［12-15］。然而，目前针对网络攻击的研究大多局限于构建理论模型，而缺乏对网络攻击实施和影响过程的详细分析［16-17］。实际网络攻击并不是瞬间完成的，在攻击的持续时间内电力系统存在一个动态变化的过程。为了更好地下达调控指令与分配防御资源，电力工作人员不仅需要对系统中的薄弱环节进行评估，也需要清楚电力系统在网络攻击下的响应过程，这样才能制定出具有针对性的防御策略，使网络攻击对系统造成的损害降至最低［18-19］。鉴于此，本文归纳了电力系统发、输、配、用电侧容易遭受网络攻击的典型场景，对每个场景的网络攻击对象进行建模，总结了其中的薄弱性环节和可能存在的网络攻击形式，进一步分析了网络攻击对不同场景的影响过程及破坏效果，最后对现有研究进行了总结和展望。

1 发电侧攻击对电网安全运行的影响

发电系统主要由发电控制系统和发电厂组成。发电厂配备量测单元，可以将转速与功率测量数据通过通信链路上传至控制系统。发电控制系统则集成了通信、分析与控制功能，负责监视区域内的功率平衡情况并对发电机下达控制指令。发电控制系统对信息系统具有较强的依赖性，是网络攻击的重点对象。目前针对发电侧网络攻击的研究主要集中于自动发电控制（automatic generation control，AGC）系统［20-28］和分布式能源系统［29-33］，另外还有少数文献研究针对发电机并网过程的网络攻击［34-37］，本节将从以上3 个方面对网络攻击的影响具体展开介绍。

1.1 针对AGC系统的网络攻击影响分析

AGC 系统通过对控制区域内调频发电机的有功出力和区域联络线上的交换功率进行调节，使区域内的发电功率与负荷实时平衡，从而维持系统的电压和频率稳定性。AGC 系统属于高度自动化的控制系统，其运行高度依赖测控单元和通信链路的正常工作，因此比较容易受到网络攻击影响。

AGC 的工作原理是根据区域控制偏差（area control error，ACE）对控制区域内的机组出力进行调节。为了提高控制精度，目前多数AGC 在计算区域控制偏差时会同时考虑联络线的功率交换偏差和系统频率偏差［20］。ACE 其值用ACE表示，计算方法由式（1）表示，AGC 的控制原理示意图如图1所示。

图1 AGC控制原理示意图Fig.1 Schematic diagram of control principle of AGC system

式中：f和f0分别为系统的实际频率和设定频率；Ptie和P0分别为该区域所有联络线上的实际交换功率和计划交换功率；α和β为系统调节系数。

AGC 是一种典型的闭环控制方式，它从数据采集与监控系统（supervisory control and data acquisition，SCADA）中获取当前的系统频率与联络线交换功率，按式（1）计算当前的ACE 后，生成该时刻的机组功率调节指令，最后通过通信网络传输给各台发电机组执行。值得指出的是，AGC 的控制周期为秒级，每隔几秒便要完成从数据采集到指令下达的全过程操作，而电力系统状态估计周期为分钟级［21］，因此AGC 在进行决策时使用的是未经检测和修正的数据，从而增加AGC 系统遭受网络攻击的风险。

针对AGC 的网络攻击包括FDI 攻击［22-24］、拒绝服务DoS 攻击［22，25-26］和延时（time delay，TD）攻击［27］，各类攻击的具体攻击方法如下。

1）FDI攻击

虚假数据注入攻击是指通过非法篡改数据破坏数据完整性的一类攻击［10］。根据数据篡改方式的不同，可以将FDI 攻击分为斜坡攻击、跳变攻击、缩放攻击和随机攻击，具体建模方式可见文献［21，28］。FDI 攻击具有较高的灵活性，在系统稳态时即可诱导系统偏离正常运行状态，既可破坏系统稳定性，也可使系统在偏离计划值状态下运行。成功的虚假数据注入攻击需要满足一定的约束条件，即在不被保护机制检出的情况下实现预期攻击目标，例如使系统的频率降低至某个阈值以下，从而引发负荷切除等保护操作，严重时可能导致系统失稳［21］。

2）DoS攻击

DoS 攻击是一种资源耗尽型攻击，攻击者通过发送大量无用请求阻塞信息传输通道，导致系统的量测信息和控制指令无法正常上传和下达。与FDI攻击相比，发动DoS攻击并不需要严格设计能够躲避坏数据检测的攻击向量，所需的电气专业知识较少，实施难度较低。但由于DoS攻击没有明确的指向性，且系统对通信延时故障有一定保护机制，在系统正常运行时DoS攻击难以造成较大的破坏，只有当系统本身处于扰动或故障状态下时，DoS 攻击才能造成明显的影响［20］。

3）TD攻击

TD 攻击是通过给系统中传输的信息增加延时，从而导致控制中心无法在规定时间内完成决策或执行单元无法及时对控制指令做出响应。与DoS攻击类似，当系统处于稳态时TD 攻击的影响较小，仅当系统处于扰动状态时可以加剧系统的震荡。但是TD 攻击较难使系统向某一特定不正常运行状态偏离，攻击的灵活性与破坏效果要低于FDI攻击。

针对AGC 系统的网络攻击造成的影响包括对系统稳定性的破坏以及使部分电力市场主体非法获益。网络攻击对稳定性的破坏包括使系统频率降低至某个阈值以下导致负荷切除，或者使系统中的发电机无法及时获得控制指令或接收到错误的控制指令，从而破坏发电与负荷的平衡并造成系统运行的不稳定性。文献［22］分析了FDI 攻击的影响过程，攻击者篡改负荷功率的量测值，使控制中心误认为该区域出现了功率缺额，从而增加发电机的有功出力。这会导致该区域内发电和负荷功率不平衡，进而使系统频率增加。当系统频率偏移量超过阈值后，电力系统的保护机制触发，使系统中的一部分负荷被切除。值得指出的是，系统的频率量测往往存在备用量测单元，对系统频率数据篡改的FDI 攻击隐蔽性较低，目前多数攻击都是篡改联络线交换功率的量测值。文献［21］分析了以获取非法经济利益为目标的网络攻击影响过程，攻击者通过篡改联络线上的功率交换值，使控制中心认为一个区域有功出力不足而另一区域有功出力过剩，从而重新调整各区域发电机组的发电计划，增加有功出力不足区域的发电功率同时减少有功区域过剩区域的发电功率。然而实际上联络线上的功率交换值并没有改变，这一功率调整的结果会使得被认为有功出力不足的区域发出更多电能，从而让该区域的发电主体获得更高的售电收益。

1.2 针对分布式能源的网络攻击影响分析

分布式可再生能源发电技术已经得到人们的广泛关注，作为传统发电的补充，分布式新能源在低碳环保、持续可再生以及保护能源多样性等方面具有非常大的优势。为了配合分布式能源发电，电网侧也拓宽了协同控制模式，大力发展了电网物理信息系统，加强网络信息与物理信息的双向流动［29］，但这也增加了电网遭受网络攻击的风险。

文献［30-31］介绍了一种虚拟发电技术，该技术可以将多个小型分布式发电机组聚合为一个可控的整体并参与电网的运行，从而实现对电网中高密度发电设备的全面管理。但在分布式电源（distributed generation，DG）的分布式协同控制中包含频繁的信息传递以及分布式计算过程，因此易于遭受网络攻击的威胁，常见的对分布式能源系统的网络攻击有重放攻击和拒绝服务攻击。重放攻击通常针对领导DG，被恶意攻击的领导DG 将不利信息广泛传播到网络中的所有跟随DG，导致DG组群收敛到非最优状态。此外，网络攻击者可以故意增加其微增量率信息，以降低跟随DG 的微增量率，从而以牺牲跟随DG 的发电利益为代价实现自利。重放攻击还可以降低系统的稳定性，即通过攻击领导DG 并任意改变其微增量值，使总输出有功功率在大范围内振荡或导致系统负载严重不平衡，这将对系统的稳定运行构成威胁。

文献［32］详细介绍了关于乌克兰停电事件、伊朗核电站震网病毒事件以及风电场渗透测试，前两者都是不法分子的精心策划的网络攻击，使用了包括BlackEnergy、分布式DoS 攻击、Stuxnet 等多种网络攻击手段，破坏了电网的稳定安全运行。而关于风电场渗透测试的研究则对分布式能源遭受网络攻击的方向提供了警示性的提醒。2015 至2016 两年间，塔尔萨大学的研究人员到得到授权后对多家风电场进行了渗透测试，测试风电场的信息安全防护水平，结果表明风电场安全防护措施薄弱，容易受到黑客攻击而异常动作［32］。文献［33］在对分布式能源协同控制技术做了详细研究后表明，对于风电、光伏、天然气、生物质能等分布式能源发电技术所采用的分布式协同控制由于缺少中央控制机构并且安全等级较低，基于分布式控制的模式比集中式控制模式更容易受到网络攻击。同时，由于每个受控对象的状态更新相互依存，对单个受控对象的攻击可能会使整个系统偏离最优解，甚至失稳。

1.3 网络攻击对发电机同步过程的影响分析

在电网的运行调度中，为了维持功率的实时平衡、提高供电的经济性与可靠性，需要对发电机进行停运和并网操作。然而目前的并网通信和控制系统中存在一定安全漏洞，若被潜在攻击者利用，可能会导致发电机无法及时执行控制指令，影响系统的稳定性。例如，目前多数SCADA 采用旧版windows 操作系统，攻击者可以通过黑客手段侵入控制中心，进而修改控制指令或使系统闭锁［34］。此外，发电系统的工业控制器采用的Codesys 运行环境缺乏完善的安全认证机制，攻击者很容易侵入系统获得控制权限并修改其中预设的逻辑模块［35］。

发电机在并网时需要满足以下约束条件：发电机频率与系统频率相同；发电机电压幅值与其连接的母线的电压幅值相差不超过5%；发电机电压相位与其连接的母线电压相位相同。若网络攻击使上述任一条件无法满足，发电机就无法实现并网。文献［36］指出，攻击者可以修改发电机端电压的测量值，使发电机端电压与其连接的母线电压保持恒定的相位差，从而推迟发电机的并网过程。此外，攻击者通过篡改发电机并网时刻使其非同期并网，可以产生巨大的冲击电流，在对机组造成损伤的同时也会使系统产生功率的震荡，严重时可能影响系统的正常运行。文献［37］提出了另一种直接针对发电控制系统的网络攻击。攻击者首先通过黑客软件侵入发电机的SCADA 系统，当获得系统修改权限后创建新的管理账户，该账户可以通过虚拟机在远程主机登陆。攻击者利用该账户侵入系统后可以修改系统的控制指令或直接使系统闭锁，使发电机无法及时完成并网过程。然而该攻击的隐蔽性较差，当控制人员发现发电机长时间无法正常并网后很容易定位故障原因，通过重启系统并删除恶意账户清除故障。

针对发电机同步过程的网络攻击造成的影响与系统运行状态有关。如果在攻击发动时系统运行机组有充足的备用发电容量，则该攻击不会对系统的稳定性造成明显影响，仅仅会增加系统的发电成本；若系统中负荷在短时间内大幅抬升（如夏日高温天气空调用电激增），超过了目前运行机组的最大出力，则发电机无法及时并网将会严重影响系统的频率稳定性，甚至会导致系统失稳。因此，成功实施的网络攻击往往是分阶段的协同攻击，攻击者在获得系统修改权限后先潜伏，等系统出现功率缺额后发动攻击，从而造成最大限度的破坏。

2 输电侧攻击对电网安全运行的影响

现代输电系统由输电调度中心与物理输电网络构成，其中输电调度中心由SCADA、能量管理系统（energy management system，EMS）和广域量测系统（wide-area measurement system，WAMS）组成，负责测量数据的采集、分析与命令下达。物理输电网络由输电线路、变电站、开关站和换流站组成，负责将发电机生产的电能传输至各用电负荷，二者的相互配合是输电系统安全与经济运行的基础。

目前输电系统采用的通信协议与保护机制主要按照提高系统的运行效率与应对常规电力故障的能力设计，对网络攻击的防御能力不足，其中的安全漏洞可能被潜在的攻击者利用。输电线路和变电站是输电系统的主要组成部分，其正常运行对系统供电的安全可靠性具有至关重要的意义，目前针对输电侧网络攻击的研究主要集中于上述两个场景。然而输电线路本身不具备分析与控制单元，其投/切操作由稳控系统决定，因此针对输电线路的网络攻击也可视为针对稳控系统的攻击。

2.1 针对稳控装置的网络攻击影响分析

稳控系统是使电力系统在发生故障后能够恢复至安全稳定运行的二次系统，一般由多套稳控装置经通信通道连接配合而成。按照功能的不同，可以将稳控系统分为决策控制层、数据传输层和感知执行层［38］，其层次架构如图2 所示。其中决策控制层负责汇总分析本站和下属站点的信息，发出控制指令；数据传输层负责将下层采集的信息上传和上层控制指令下达，是上下层连接的枢纽；感知执行层负责感知系统的运行状态并生成相应的状态信息，执行接收的控制指令。

图2 稳控系统层次架构Fig.2 Hierarchical structure of stability control system

目前的稳控系统安全体系尚不完善，无法有效抵御潜在的网络攻击，其安全漏洞具体体现在以下方面［39］。

1）网络安全管理平台与实际电力系统耦合松散。安全平台只能获取和分析存储在计算机和数据库中的信息，不能直接对二次系统进行直接监视；风险评估多采用统计分析和专家经验打分法，评估的准确性不足。

2）安控集中管理系统对网络攻击的考虑不足。系统中记录的数据仅包括电气量、开关量、装置动作等与传统电力故障相关的数据，无法对网络攻击进行检测和分析。此外，控制策略模型无法反映设备之间的信息交互过程，难以分析针对通信通道的网络攻击。

针对稳控系统网络攻击的主要目的是造成控制中心的错误决策，导致错误的设备切除操作。按攻击发生的位置，可以将针对稳控系统的网络攻击分为设备层的攻击和通信层面的攻击。文献［39］指出，可以将针对设备的网络攻击按攻击对象分为硬件装置层的网络攻击、装置系统层的网络攻击和应用层的网络攻击，攻击手段为在硬件中植入木马，当木马在特定逻辑下触发后会导致错误的切机切负荷操作。文献［40］指出，可以将针对通信层面的网络攻击按信息处理过程分为针对采集过程、决策过程和控制过程的网络攻击，攻击手段包括拒绝服务攻击、虚假数据注入攻击等，成功实施的网络攻击可以造成装置闭锁、定值修改、控制指令无法执行或错误执行等后果。然而，上述文献只是将现有的网络攻击分类应用到了稳控领域，没有针对稳控领域特有的网络攻击进行深入分析。在未来的电力系统中，电力电子设备将会得到越来越广泛的应用，很多稳控装置作为电力电子设备的输出级，其正常动作会受到电力电子设备输出信号的影响。文献［41］分析了一种针对新能源发电系统的网络攻击，攻击者可以侵入逆变器的控制系统，通过改变逆变器的输出电流使与之相连的稳控装置误动作。

当考虑信息传输环节时，针对稳控装置的网络攻击下的系统响应流程如图3 所示，全过程影响可分为如下环节［42］。

图3 针对稳控装置的网络攻击影响流程Fig.3 Flow chart of cyber attack impact on stability control devices

1）攻击者通过攻击稳控装置导致系统拓扑结构或电气参数变化，影响系统的潮流分布；

2）如果潮流重新分布使部分线路过载，则这些线路上的断路器跳闸，实行就地保护；

3）感知层稳控装置获取系统当前的故障和过载信息，并通过上行通道将其上传至控制层设备；

4）控制中心决策，生成控制指令；

5）执行单元通过下行通道接收控制指令，随后立刻执行；

6）循环执行上述1）—5）操作，直到系统达到新的稳态或解列。

由上述全过程影响分析可知，针对稳控装置的网络攻击有引起级联故障的可能，且初始故障集越大，引起级联故障的可能性越高。此外故障扩散的可能性与信息通路的完整性有关，若信息通道遭到堵塞或破坏，则可能造成信息传输延时或通讯中断，影响控制中心的决策和执行单元的正常动作，使系统发生级联故障的风险增加。

然而，对系统造成更大的破坏往往意味着攻击者要掌握更多的系统信息和攻击资源，文献［43］通过选取三种具体攻击策略（分别是随机选择攻击对象、基于保护区域选择攻击对象和以造成级联故障为目标选择攻击对象）对网络攻击的影响进行分析。结果发现系统对随机攻击具有较强的抵抗能力，只有当攻击者成功对系统中的关键节点（往往是连通度较高的控制设备）或相互依存的设备发动攻击时，才有可能对系统造成较大的破坏，而这种攻击方式往往需要攻击者对系统信息具备较全面的了解并获取一定的访问权限。

2.2 针对数字化变电站的网络攻击影响分析

随着智能电网的兴起，数字化变电站得到了越来越广泛的应用。目前数字化变电站主要采用以太网在IEC 61850 标准框架下进行通信，后者允许在不同设备间进行互操作，是实现数字化变电站内设备间的数据交换以及变电站与其他变电站和控制中心进行通信的基础。IEC 61850 标准的采用提高了变电站的性能，包括提高测量精度、设备配置的便捷性与实时性等，然而该标准在设计时仅考虑实时性与可用性，欠缺安全保护机制，数字化通信方式的大规模应用会为系统带来一定的安全风险［44］。文献［45］表明，由于保护系统对跳闸信号通信的实时性要求较高，不会对传输的信息进行加密处理，信息存在被监听和篡改的风险。文献［46］指出，密钥管理是保障智能变电站信息网络安全的核心，然而目前缺乏针对数字化变电站的密钥管理体系，现有的方案也因为过于复杂而缺乏工程实用性。

按照不同的逻辑功能可以将数字化变电站的架构分为3 层，分别是过程层、间隔层和变电站层［47］，结构如图4 所示。其中，控制层实现与一次设备的交互，包括对一次设备状态量进行采集、进行一次设备的开/断控制等；间隔层是连接变电站层与控制层的纽带，负责接收控制设备传递的信息并对下层设备发布指令；变电站层的功能是对全站的一次设备进行监视和控制，并与其他变电站或远方控制中心进行数据通信。

图4 智能变电站分层架构Fig.4 Architecture of intelligent substation

目前针对数字化变电站的网络攻击主要有报文攻击、泛洪攻击和恶意代码攻击3 种类型。变电站内的系统状态信息和断路器的开、合闸操作命令采用通用对象的变电站事件（generic object-oriented substation event，GOOSE）协议在不同的智能电子设备（intelligent electronic devices，IEDs）之间进行实时通信［46］。文献［45］指出攻击者可以监视信息传输链路并窃取实时传输的GOOSE 报文，通过伪造关键数据标签来构造虚假断路信号使IED 误动作，影响系统的正常运行。文献［48］指出攻击者可以伪造目标主机IP，在较短时间内向目标主机发送大量ICMP 请求报文，致使目标主机忙于响应，影响正常服务的提供。文献［49］指出攻击者可以制造恶意软件侵入变电站的生产控制区，解析获取站内的配置文件和生产控制信息，等待预设逻辑条件满足后发动攻击使断路器跳闸。然而，上述文献对网络攻击的研究仅停留在理论分析阶段，未能在现实生产或符合工程实际的仿真平台中对网络攻击的演化过程与影响进行分析。文献［44］通过搭建符合智能变电站物理特性的仿真平台，模拟了泛洪攻击和报文攻击的实施与影响过程，具有一定的工程实际意义。

泛洪攻击是攻击者向信息链路发送大量报文，通过耗尽网络资源使智能终端无法及时响应的一类攻击。测试结果表明，泛洪攻击对变电站的影响与变电站的网络资源和主机监控系统的运行状态有关。若变电站的网络资源较少且主机监控系统无法正常运行，则终端对泛洪攻击的抵抗能力较弱，攻击者只需利用较少的攻击主机便可以让目标终端无法响应，导致终端监控的设备不可控，加剧系统运行的不稳定性。泛洪攻击的实现方法简单，且并不需要攻击者具有很强的电力专业背景，是智能变电站极易遭受的一类网络攻击。

报文攻击是攻击者通过篡改或伪造报文使目标终端发生误动作的一类攻击。若伪造报文中包含了断路器跳闸信号，会使系统中正常运行的线路被切除，导致其他线路的潮流越限、降低系统的电压与频率稳定性。这时为了维持系统的正常运行保护单元往往会采用削减负荷操作。一旦系统中的电压或频率降低至阈值以下，该保护功能将会被激活，导致一些负荷与电网断开［45］。测试结果表明，系统在遭受网络攻击后的响应过程与网络攻击的强度和攻击者掌握的电网运行信息有关。

若网络攻击仅仅使一条或随机少数几条线路断开，尽管会导致其他线路的负载增加，但由于电力系统在设计时考虑了一定的裕度，遭受攻击后仍有可能保持正常运行。当攻击者掌握的资源较多时可以同时攻击多个目标对象使相应的线路断开，导致部分节点无法得到电能供应而停电。若攻击者掌握电力系统的运行状态信息，可以通过精心选择攻击对象使未被攻击的线路过载，这可能引发一系列级联故障，最终导致大范围停电。级联故障的扩散程度与输电网络的类型有关，由于电缆有更严格的过载限制，级联故障往往更容易在电缆网络中扩散。架空线路虽然并不容易过载，但持续的过载会在导线上造成更严重的下垂，使系统的不稳定性增加。

3 配电侧攻击对电网安全运行的影响

配电系统是电力系统中关键的电压转换节点，由多种配电装置组成，作为电力系统的最后环节直接与用户相连接。配电网具有电压等级多、网络结构复杂、设备类型多样、作业点多面广、安全环境相对较差等特点，因此配电网遭受攻击的风险也较大。此外，配电网作为用户获取电力能源的最主要来源，其安全稳定方面的要求也尤为重要。配电系统能否安全运行决定了我国用户的用电质量和用电安全，因此配电侧的网络攻击影响研究有着重要意义。目前我国用户的停电时间95%以上都是由配电网引起的，提高配电网的供电可靠性和供电质量是实现人民安居乐业、经济发展、生活富裕的重要保证。对配电侧的网络攻击可分为针对配电CPS 系统、分布式能源、高级量测体系（advanced metering infrastructure，AMI）等攻击场景［10］。为更加深入研究网络攻击对配电网安全运行的影响，表1 总结了近年部分电力系统网络攻击的实例。

表1 电力系统的网络攻击实例Tab.1 Example of cyber attack on power system

3.1 针对配电CPS的网络攻击影响分析

近年来随着科技的发展以及信息技术的不断融合，传统配电网在配置了大量信息传感设备以及数据控制设备后物理设备与信息系统进一步融合，成为配电网CPS 系统。信息侧大量的数据传输与数控技术的应用使得网络攻击有机可乘，不法分子针对配电自动化系统研究了DoS攻击、虚假数据注入攻击、信息盗取与恶意软件安装等一系列网络攻击形式［15，50-52］，发生在配电网的网络攻击可能产生对整个电网以及用户侧的连锁反应。对配电网的网络攻击影响研究有利于配电网针对网络攻击的检测、防御与恢复。

配电网CPS 将传统配电网与信息、物理技术相结合，成为先进技术装备的配电网，通过多种信息装置与终端装置的连接，提高了电力企业在网络攻击、故障预警和自我防护方面的综合应用，逐步达到了电力调度中心的全过程自动化［15］。标准结构的配电网CPS 构架可分为物理实体层、二次设备层、通信网络层以及决策分析层的四层结构，如表2 所示，其中决策分析层决定整个配电网的安全运行，也是网络攻击的首要目标。

表2 配电网CPS构架、配置及主要功能Tab.2 Architecture,configuration and main functions of distribution network CPS

文献［15］在介绍了配电网CPS 研究现状与层次建模后指出，按照安全的三要素对配电自动化的影响可以分为保密性、可用性和完整性攻击。保密性攻击对配电网的影响体现在重要信息的泄露或者被非法利用，配电网中潜在的网络攻击如图5所示。

图5 配电网CPS中潜在的网络攻击Fig.5 Potential cyber attacks in distribution network CPS

可用性攻击在配电网CPS 中的影响是通过干扰通讯链路的正常运行使系统无法获得任何可以访问的数据，导致系统无法正常工作甚至使系统瘫痪。以可用性为目标的攻击方式包括DoS攻击、黑洞攻击等［52］。完整性攻击主要在配电网CPS 侧的考虑中，体现在攻击造成配电网的数据采集设备所采集到的数据不准确，使其无法正确地判定系统的工作状态，从而导致自动装置的故障或误动。

3.2 针对AMI系统网络攻击影响分析

高级量测体系AMI 为智能配电网的状态评估、故障诊断、孤岛控制、新能源接入等高级应用提供数据采集服务［53］，掌握着用户、电网以及第三方机构的重要信息和信息控制权限，因此对AMI的恶意网络攻击会对数据保密性、可用性和完整性三方面进行破坏。具体体现在量测数据的真实性遭到破坏，用户端接收到的实时电价异常以及量测动作的远程控制命令权限被篡改等，其最容易遭受到FDI攻击的影响，AMI 系统面临的信息网络威胁如表3所示。

表3 AMI系统面临的信息网络威胁Tab.3 Information network threats of AMI system

文献［54］对FDI攻击在AMI的状态估计过程中产生的影响做了深刻研究后表示，FDI 攻击能够在AMI的测量值中注入虚假的数据并且避开一定的检测规则，进而影响到系统状态估计的结果。具体而言，攻击者通过向原量测值中注入事先设定好的虚假数据，使得输入数据产生攻击者预期的偏移，估计状态量将由原来的准确值变成错误估计值。相关文献表明，只要满足设定的虚假数据等于雅可比矩阵乘以估计误差的条件，目标函数将保持不变。也就是说，虽然测量值被篡改，但由于注入的虚假数据满足特定条件，不良数据检测的目标函数没有改变，因此无法检测到虚假数据［54］。成功实施的FDI攻击能够篡改电网原始数据，进而影响到控制系统的决策，导致电气设备的误动作甚至引起电网的不稳定运行。此外，FDI 攻击还可能对电价市场造成严重影响，例如进行虚拟或错误标价行为，造成巨大的经济损失。

4 用电侧攻击对电网安全运行的影响

随着社会的进步、人们的生活水平的不断提高，电力用户的用电量也在逐年增加，因此用电侧的电力安全问题也愈加重要。用电侧遭受网络攻击引起的安全问题大致可从两个方面进行研究，一是用户的用电安全，即用电设备是否会对用户造成物理上的伤害；二是用户的信息安全，包括用户的个人隐私信息安全、用户的实时电价信息完整度与可信度安全、用户的能源信息访问安全等。

4.1 针对智能家居的网络攻击影响分析

随着科技的不断发展，智能家居的出现以及智能家电接入互联网并共享云端数据成为了家电业发展的主流，但这也引出了一系列的安全问题，例如隐私泄露、数据窃取、恶意控制等，严重威胁到用户的人身安全和隐私信息安全。目前智能家居的信息安全问题主要发生在存储端尤其是云端存储。据统计，国内外智能家电品牌90%都使用了云端存储。据此，文献［55］提出现代智能家居框架及三端通信，分别是平台服务端、家电设备端与移动控制端，而网络攻击根据三端通信行为在绑定场景、身份鉴别、通信保护、Web接口安全及权限管理等过程进行攻击，具体网络攻击汇总信息如表4所示。

表4 针对智能家居的网络攻击汇总Tab.4 A summary of cyber attacks on smart homes

文献［56］研究了潜伏在智能家居中的网络攻击，表明物联网漏洞攻击（IoT Skimmer）是目前智能家居最容易遭受的网络攻击类型之一，它可以通过接管被攻击的智能家电的物联网控制器来“挟持”智能家电，通过随意开启和关闭智能家电来增加或者减少电力消耗。这种攻击会造成用户的电费增加，带给用户一定的经济损失并且如果频繁地进行开关动作也会加快智能家电的寿命并损坏设备。此外，若此项攻击技术被用来进行行业竞争或干预国家经济，则可能造成电力市场价格扰动。由于这种扰动是轻微的，因此很难被检测出来，但是却可以按照有利于攻击者的情况来左右电力市场价格以创造业务优势或造成敌方经济损失。

文献［57-58］介绍了网络攻击在智能家居的实例，Mirai 僵尸网络攻击作为一种可以自我传播的蠕虫，可以使用已经受到感染的摄像头和路由器网络来攻击关键网络基础架构。Mirai 不仅可以散布自身的蠕虫，它通过发现、攻击和感染漏洞来实现自我复制。同时，Mirai 也是一个僵尸网络，它将通过一组中央命令（command and control，C＆C）控制服务器来控制感染的设备。这些服务器将在下一步中判断哪些站点要攻击受感染的设备。总体而言，Mirai 由两个核心组成部分组成：复制模块和攻击模块。复制模块负责扩大僵尸网络的大小，具体方法是尽可能感染具有漏洞的IoT 设备。该模块被随机扫描以找到可用的目标并发动攻击，一旦成功攻击了具有漏洞的设备，该模块将向C＆C 服务器报告此设备，以便使用最新的Mirai 负载感染该设备。攻击过程如图6所示。

图6 Mirai病毒复制模块Fig.6 Mirai virus replication module

而在攻击模块中，主要由被感染的主控机命令C&C 服务器来指定攻击的对象，然后被挟持的IoT设备就会发起大量包括针对HTTPS 泛洪攻击、针对用户数据报协议（user datagram protocol，UDP）泛洪攻击在内的DDoS 攻击。Marai 的攻击库中包括了针对应用层、容量耗尽、传输控制协议（transmission control protocol，TCP）状态耗尽的多种攻击模式，并且能够选择单一攻击或组合攻击形式。Mirai病毒攻击模块如图7所示。

图7 Mirai病毒攻击模块Fig.7 Mirai virus attack module

Mirai作为DDoS的典型攻击类型，通过僵尸网络发起大规模的主流站点攻击。在2016 年9 月份Mirai攻击浪潮达到了有史以来的峰值，包括OVH、Dyn 在内的数个主流站点出现瘫痪情况，攻击流量峰值甚至超过了1Tbps。据统计，Mirai 在2016 年9月总计控制了超过60 万个存在漏洞的IoT 设备，发起了超过14.5 万次攻击，使得多家网站服务商站点瘫痪，造成严重的经济损失。

4.2 针对智能电表的网络攻击影响分析

智能电表作为高级量测体系AMI的重要组成部分，在智能电网的运行中实现信息在用户与电力公司之间的双向高速流动，电力公司借此掌握用户用电量，制定合理的电价和发电量。用户也可以掌握重要信息，包括实时电价、用电量等，以便制定家庭用电量计划和控制支出。然而，智能电表的双向信息流不仅在运营商和提供需求响应和节能服务的用户之间建立了一座桥梁，也为网络攻击和入侵提供了机会。如果存在大量IP地址表示网络地址的网络设备（智能电表等），则用户端终端设备和一些通信网络将不可避免地以开放形式存在，接入点和可检测路径将显著增加［59］，安全风险将相应增加，基于信息完整性、可用性和依赖性的网络攻击会对用户的信息安全造成威胁，甚至可以通过信息传输渠道攻击电网，威胁电网的安全运行。针对智能电表攻击的逻辑如图8所示。

图8 智能电表网络攻击逻辑图Fig.8 Logic diagram of cyber attack on smart meters

文献［59］总结了部分全球发生过的针对智能电表的网络攻击事件。在2009年，IOActive安全公司宣布已经出现了能够模拟病毒传播的智能电表病毒编码，理论上可以通过传播使大规模电表陷入瘫痪，甚至攻击智能电表公司的中央控制系统。就在2010年，波多黎各电力公司的一名前雇员接受调查时发现，他曾使用光纤转换器连接笔记本电脑和智能电表，重新编码并更改电表计费程序，以获取巨额利润。2012 年4 月，美国智能电表系统也遭到黑客攻击，电表数据被修改。

根据智能电表具有的可用性、完整性、机密性和不可否认性等特点，网络攻击者设计了多种形式的攻击方式和攻击方向，能够对智能电表造成不同类型和程度的威胁［60］。文献［60］从用户层面和通信层面两个角度对智能电表可能遭受的网络攻击进行了归类。在用户层面涉及数据的访问权、用户数据的传输安全等，而在通信方面则可能遭受到信息截获、通信中断、报文篡改、信息伪造这四类攻击，而第一种常被认为是被动攻击，即攻击者只是观察和分析某一协议数据单元（protocol data unit，PDU）而对信息流不造成干扰。这种被动攻击又称作“流量分析”，后面3 种攻击及其任意组合被认为是主动攻击，其手段则是通过任意的延迟、删除或更改这些PDU 对系统造成攻击，攻击者甚至可以伪造或选用已使用过的PDU 重新接入系统［53］。例如，针对智能电表的拒绝服务攻击便是通过不断地向服务器发送大量无用请求导致服务器的可用资源被消耗殆尽，此时服务器无法将准确的电力信息传送到用户端，用户也无法通过智能电表将实时电价传送到服务器，攻击者便达到了破坏供电商与用户两方利益的目的。如果攻击者掌握了能够能改数据信息流的技术，那便会对通信网络造成更为严重的危害，所产生的经济损失也是无法估量的。

4.3 针对智能充电站的网络攻击影响分析

近年来智能电动车与智能汽车蓬勃发展，作为智能交通系统与智能电网的共同产物，一同成为了未来智能生活的重要组成部分。随着越来越多的智能电车进入人们的生活，智能充电站的建设同步开展。然而，智能充电站自身设计的不完善和存在的漏洞会被不法分子利用来进行网络攻击，可能会对用户以及电网安全造成威胁［61］。目前智能充电站存在的安全问题主要在用户的个人隐私与电网运行安全两个方面，具体来说包括用户关键信息泄露、用户的充电权限被篡改、用户的车辆安全、电网被窃电风险以及电网的稳定运行风险等。

电动汽车接入电网（vehicle to grid，V2G）技术是以满足电动汽车充放电需求为目的所研究的一项调度技术，其核心离不开智能电网的技术支撑，并且在电网管理中将电动汽车作为可移动分布式充能设备进行统一调度［62］。文献［63］在分析了智能充电系统需求以及V2G 体系架构，如图9 所示，后总结了云环境下智能充电系统的安全问题，在电动汽车（electric vehicle，EV）用户与智能充电桩进行信息传输交互时会受到以下如表5 所示对于数据信息机密性、完整性和可用性的攻击。

表5 电动汽车智能充电面临的网络攻击威胁Tab.5 Cyber attack threats of electric vehicle intelligent charging

图9 V2G体系架构Fig.9 Architecture of V2G

除了上述针对智能充电的网络攻击外，文献［64］针对智能充电桩的“窃电”风险做了详细总结，智能充电桩窃电事件早有实例，窃电手段层出不穷。2017 年一网约车司机在北京半年内使用“卡秒法”、“捏枪法”窃电数百次，2018 年蔡某在北京改装充电桩线路偷电100 余次，涉案金额上万元。目前针对智能充电桩的窃电手段以电磁脉冲干扰以及感应卡的复制为主。

5 结语与展望

在“工业4.0”和“中国制造2025”的时代背景下，随着能源互联网的发展，电力CPS 建设进一步推进，电网所面临的网络攻击威胁已经达到了不容小觑的程度，电力CPS 目前已存在较多的安全隐患。据此，本文旨在通过研究网络攻击对电力CPS影响过程来帮助电力工作人员更好地制定针对性的识别、预警与防御策略，以减少网络攻击造成的损失。本文首先归纳了电力系统发、输、配、用电侧容易遭受网络攻击的典型场景，介绍了每个场景的模型、系统在网络攻击下的响应过程以及网络攻击的破坏效果。同时对每个场景的网络攻击对象进行建模，总结了其中的脆弱性环节和可能存在的网络攻击形式，在此基础上进一步分析了网咯攻击对各个场景造成的全过程影响。

经过分析可以发现，电力CPS 的面临的安全隐患主要包括缺乏完善的加密认证机制、远程量测设备安全防护等级较低导致系统容易遭到非法入侵、对网络攻击的检测和应急保护能力不足等，需要在今后对电力CPS 的建设过程中不断完善和加强。具体来说，在发电侧需要提高边缘设备的安全等级，提高对量测数据的检测与恢复能力。在输电侧，可以通过提高通信协议的安全性与可靠性，提高主机防火墙的安全等级，制定合理有效的故障响应策略等方式防止网络攻击的入侵。配电侧的安全风险主要在于大量的传感设备容易遭受网络攻击侵入，因此应当加强重要配电基础设备的安全监控系统设计并重视对设备的定期检查与维护。用电侧的脆弱点在通信服务器和用户，提高用户侧的安全等级一是需要着重考虑通信入侵安全，如家用WIFI 的绑定过程、web 接入过程、智能家电的身份识别过程等；二是需要加强用户的安全隐私意识培养，不浏览危险网站、安装无信任保护的软件等，不让伪装攻击、非法隐私获取攻击等网络攻击有机可乘。

在后续的工作中，将结合本文所总结的各个场景的网络攻击形式、手段及破坏效果进行有针对性的识别、预防以及防御工作的研究，同时可以根据文中总结的系统遭到相应网络攻击后的动态响应制定一系列快速恢复电网稳定与安全运行的措施，使得系统损失最小化。此外，在网络攻击的破坏力方面将结合负荷损失量、节点损失量和支路损失量等指标进行量化评估。在恢复控制方面将采用负荷削减、发电机减载、增加发电机组出力以及网络重构等方法的配合使用，阻止电力系统故障的进一步扩散，使受到攻击的系统尽快恢复供电、减少设备故障和停电损失。