電力信息物理系統(tǒng)易損性分析方法

陳亞莎，馮富強，歐淵，石根柱，嚴雪飛

（中國人民解放軍32801 部隊，北京 100082）

隨著信息技術的快速發(fā)展，現(xiàn)代電力系統(tǒng)已發(fā)展為電力物理網(wǎng)、信息網(wǎng)深度融合的電力信息物理系統(tǒng)[1]，作為一類重要的國家關鍵基礎設施，電力系統(tǒng)的毀傷直接關系到國計民生、社會穩(wěn)定，甚至威脅國家安全. 而近年來世界范圍內(nèi)的數(shù)次大停電事故表明，電力CPS 正在越來越多地面臨傳統(tǒng)物理毀傷及網(wǎng)絡攻擊毀傷的雙重威脅[2-3]. 不管是因為失誤引起的電力故障還是因為敵對勢力惡意網(wǎng)絡攻擊、物理損毀造成電力系統(tǒng)事故，電力信息物理系統(tǒng)（CPS）在遭到打擊后表現(xiàn)出物理系統(tǒng)與信息網(wǎng)絡故障級聯(lián)，且作為復雜網(wǎng)絡和體系目標呈現(xiàn)出毀傷效果難以預估的特點. 因此，電力CPS 是打擊的重要目標，其易損性研究一方面為武器最佳毀傷方案的制定以及打擊方案的制定提供依據(jù)；另一方面也可服務于目標的生存力研究，為目標抗毀傷結構的設計提升提供支撐.

圍繞電力系統(tǒng)的易損性相關內(nèi)容，已有的研究主要集中在以下幾個方面：①為提高調(diào)度決策和應急預案效率與科學性、防止大面積停電而開展的安全性研究與安全評估；②為提高電力CPS 系統(tǒng)魯棒性，開展的電力系統(tǒng)連鎖故障方面研究；③為應對內(nèi)外部威脅而研究的攻擊威脅下的電網(wǎng)脆弱性評估與安全防御方法. 21 世紀初，針對恐怖襲擊對電力系統(tǒng)、重要城市建筑等國家關鍵基礎設施的攻擊，國內(nèi)外學者曾圍繞易損性和毀傷評估展開深入的探討[4-6]. 美國多年來都很重視對電力系統(tǒng)等關鍵基礎設施網(wǎng)絡的安全防護與毀傷評估方法，以橡樹嶺國家實驗室和能源部實驗室為代表的多家科研機構針對電力系統(tǒng)易損性和安全防護領域開展了大量研究，形成了一系列易損性分析方法，并且開發(fā)了仿真軟件用于提高評估效率[7-8]，國內(nèi)國防大學為仿真研究戰(zhàn)爭危機條件下的電力基礎設施網(wǎng)絡毀傷綜合效果，設計實現(xiàn)了電力基礎設施網(wǎng)絡節(jié)點級聯(lián)依賴度生成算法和級聯(lián)毀傷傳播算法[9]. 但鑒于電力CPS 系統(tǒng)的復雜性、動態(tài)性和體系性，目前對其易損性分析研究仍不夠深入，電力系統(tǒng)易損性模型尚未規(guī)范.

本文針對電力CPS 系統(tǒng)體系復雜、網(wǎng)絡耦合、易損性分析困難這一現(xiàn)狀，基于近年來國內(nèi)外的相關理論方法和研究成果，提出一種基于節(jié)點重要性的電力CPS 易損性分析方法，并建立了易損性模型，進而對易損性評估在電力系統(tǒng)安全能力建設中的應用和發(fā)展做出展望. 圖1 為電力CPS 易損性分析思路.

圖1 電力CPS 易損性分析思路Fig. 1 Vulnerability analysis flow chart of power CPS

1 電力CPS 系統(tǒng)功能模型

電力系統(tǒng)作為一個電力物理網(wǎng)與控制信息網(wǎng)深度融合的多維異構系統(tǒng)，以電網(wǎng)整體穩(wěn)定、可靠運行、最優(yōu)化控制為目標，其安全性依賴于組成電網(wǎng)的各種物理設備、傳感網(wǎng)絡、通信單元、控制系統(tǒng)及通用計算設施實現(xiàn)協(xié)同控制[10]. 從功能與業(yè)務環(huán)節(jié)角度，電力系統(tǒng)還包括了發(fā)電、輸電、變電、配電和用電5大環(huán)節(jié)，是一套能量傳輸動態(tài)平衡、信息流量繁雜多樣的復雜網(wǎng)絡系統(tǒng).

電力CPS 系統(tǒng)由電力網(wǎng)與信息系統(tǒng)深度耦合而成：在物理層，發(fā)電機組、變電站、配電站、分布式電源等節(jié)點通過電力線構成物理電網(wǎng)；在信息層，計算設備、數(shù)據(jù)采集設備、控制設備等信息設備通過通信鏈路構建信息網(wǎng). 而在各站點中，通信設備又因為電源供電而依托于物理電網(wǎng)，電力設備通過數(shù)據(jù)線接入信息網(wǎng)[11]. 電力信息物理相互依存網(wǎng)絡結構如圖2 所示. 該網(wǎng)絡中，各電力節(jié)點與其信息節(jié)點相互依存. 信息網(wǎng)由電力監(jiān)控節(jié)點和調(diào)度中心組成. 調(diào)度節(jié)點具備獨立的后備電源及發(fā)電設備，能夠獨立運行.

圖2 電力系統(tǒng)信息網(wǎng)與物理網(wǎng)的依存關系示意圖Fig. 2 Illustration of electrical cyber-physical interdependent networks

在電力CPS 系統(tǒng)的物理層，發(fā)電節(jié)點將電能傳輸?shù)诫娋W(wǎng)，變配電節(jié)點調(diào)節(jié)電壓、頻率、相位，負載消耗電能，在電力系統(tǒng)穩(wěn)定運行時，發(fā)電機產(chǎn)生的電能總和等于負載需求總和[12]，即

研究電力系統(tǒng)的易損性，首先須分析清楚電力系統(tǒng)自身的功能特性，以及與其功能特性相對應的安全屬性，之后才能判斷這些功能在受到攻擊后的損失情況. 在對電力系統(tǒng)的安全特性進行研究時，由于電網(wǎng)安全具有復雜性和多面性，張國華等[13]提出一套電網(wǎng)安全評價指標體系結構，如圖3 所示. 這套指標從安全供電能力、電壓安全性、拓撲結構、暫態(tài)安全和風險指標5 個不同維度，相對完善地反映了電力系統(tǒng)不同運行狀態(tài)的功能安全屬性以及遭受攻擊后的風險評價，可用于易損性分析中關鍵部件毀傷的毀傷準則指標.

圖3 電網(wǎng)安全評價指標體系Fig. 3 Structure of power grid security assessment index

1)安全供電能力.

當電力系統(tǒng)中元器件發(fā)生故障后，電力系統(tǒng)能夠?qū)ω摵烧３掷m(xù)供電的能力即為安全供電能力，構造N-1 校驗、N-2 校驗、系統(tǒng)N-K后失元件個數(shù)、短路電流水平4 類指標進行安全供電能力評價.

2)靜態(tài)電壓安全性.

為降低電壓崩潰事件的發(fā)生，構造有功裕度、電壓裕度、母線參與因子3 類指標進行靜態(tài)電壓安全綜合評價，此外還需要考慮負荷裕度、線路極限傳輸功率.

3)拓撲結構脆弱性.

為衡量電力系統(tǒng)拓撲結構脆弱性，利用復雜網(wǎng)絡理論從節(jié)點脆弱性、線路脆弱性、最大供電區(qū)域指標分析電網(wǎng)連鎖故障傳播機理，分析電力系統(tǒng)結構.

4)暫態(tài)安全性.

電力系統(tǒng)暫態(tài)安全性是指電力系統(tǒng)受到較大擾動后，功角、頻率、電壓穩(wěn)定性，構造功角失穩(wěn)風險指標、頻率穩(wěn)定性判別指標、暫態(tài)電壓穩(wěn)定性判別指標、線路極限傳輸功率、線路極限切除時間衡量電力系統(tǒng)暫態(tài)安全性.5)風險指標.

電力系統(tǒng)運行過程中，存在隨機發(fā)生擾動的可能. 該擾動可能會影響電力系統(tǒng)的正常運行. 評價電力系統(tǒng)風險的指標包括過負荷風險、低電壓風險、電壓崩潰風險、功角失穩(wěn)風險4 類.

2 電力CPS 系統(tǒng)毀傷樹

由于電力CPS 系統(tǒng)作為雙層耦合網(wǎng)絡的復雜性和級聯(lián)效應，以電力CPS 系統(tǒng)為目標的攻擊手段，往往可以通過打擊單個目標/子系統(tǒng)，或者若干關鍵控制節(jié)點，誘發(fā)整個電網(wǎng)的毀傷傳播和大面積級聯(lián)癱瘓現(xiàn)象. 因此，首先通過單目標、單手段建立電力CPS毀傷樹，之后再探索系統(tǒng)的毀傷傳播與體系損毀.

世界范圍內(nèi)近20 年來的多次電力事故表明，排除自然災害，威脅電力系統(tǒng)的外部攻擊輸入可以大致上分為硬毀傷和軟毀傷兩類[14]，硬毀傷主要指物理毀傷，包括人為破壞、恐怖襲擊、傳統(tǒng)彈藥、石墨炸彈、核爆等，軟毀傷主要指網(wǎng)絡攻擊、電磁干擾、社工攻擊等. 電力CPS 系統(tǒng)與毀傷模式示意圖如圖4 所示.

圖4 電力CPS 系統(tǒng)與毀傷模式示意圖Fig. 4 Illustration of power grid CPS and attack methods

2.1 物理攻擊毀傷

根據(jù)電力系統(tǒng)結構及功能特征分析，把電力系統(tǒng)物理毀傷分為發(fā)電功能毀傷、輸電功能毀傷、變電功能毀傷、通信功能毀傷、控制功能毀傷共5 個子系統(tǒng)功能毀傷. 圖5 為電力CPS 系統(tǒng)物理毀傷樹，以輸電功能毀傷為例，物理毀傷可通過爆炸等方式形成毀傷元破壞輸電線路、桿塔等基礎設施，也可損毀斷路器、隔離開關等電力網(wǎng)受控對象.

圖5 電力CPS 系統(tǒng)物理毀傷樹Fig. 5 Physical damage tree of power CPS

2.2 網(wǎng)絡攻擊毀傷

近10 年來的電力系統(tǒng)事件呈現(xiàn)出針對電網(wǎng)二次系統(tǒng)的攻擊事件越來越多、網(wǎng)絡攻擊毀傷效果越來越強的新態(tài)勢，與針對電網(wǎng)一次系統(tǒng)進行物理攻擊相比，網(wǎng)絡等非物理攻擊成為打擊電力CPS 的新首選，具有成本低、攻擊范圍大、不易察覺等特點，一旦攻擊成功會造成不同程度的停電事故. 網(wǎng)絡攻擊毀傷元主要包括拒絕服務攻擊、虛假數(shù)據(jù)注入攻擊、重放攻擊、高級持續(xù)性威脅（advanced persistent threat，APT）等[15]，構建電力CPS 系統(tǒng)網(wǎng)絡攻擊情況下的毀傷樹，如圖6 所示.

拒絕服務攻擊是針對電力信息網(wǎng)數(shù)據(jù)的可用性開展的攻擊，主要利用電力CPS 中信息系統(tǒng)的軟件缺陷或協(xié)議漏洞，強行消耗計算資源或網(wǎng)絡資源，占用通信帶寬，以大量無用數(shù)據(jù)包阻礙正常通信數(shù)據(jù)的收發(fā)，造成二次系統(tǒng)通信中斷或延遲，控制中心無法與遠程終端單元（remote terminal unit, RTU）進行通信等. 拒絕服務攻擊的對象可以包括電力信息網(wǎng)的計算節(jié)點、數(shù)據(jù)采集與監(jiān)視控制（supervisory control and data acquisition, SCADA）系統(tǒng)、通信鏈路與網(wǎng)絡設備、遠程測控單元等.

虛假數(shù)據(jù)注入攻擊是針對電力信息網(wǎng)數(shù)據(jù)的完整性和保密性開展的攻擊，主要是利用設備或協(xié)議中存在的安全漏洞，繞過身份認證或加密機制獲取訪問權限，通過注入符合電力系統(tǒng)協(xié)議規(guī)范的虛假數(shù)據(jù)來達到破壞電力系統(tǒng)穩(wěn)定運行的目的. 虛假數(shù)據(jù)注入的攻擊對象通常包括控制中心的SCADA 系統(tǒng)和遠端控制設備的執(zhí)行器.

重放攻擊是針對電力信息網(wǎng)數(shù)據(jù)的完整性開展的攻擊，指將非法獲取的電力二次系統(tǒng)狀態(tài)數(shù)據(jù)或測控指令在某一時刻向攻擊對象惡意重復發(fā)送，引起誤判或誤操作. 比如通過重復發(fā)送非法監(jiān)聽到的斷路器分合閘指令來篡改系統(tǒng)調(diào)度信息或斷路器的狀態(tài)信息，造成斷路器誤動作. 重放攻擊的攻擊對象通常包括調(diào)度中心、控制設備、遠程測控單元和通信設備等.

APT 攻擊是利用先進的攻擊手段對電力CPS 系統(tǒng)進行長期持續(xù)性的網(wǎng)絡攻擊形式，它不僅是破壞電力信息網(wǎng)數(shù)據(jù)的保密性，且相對于上述3 種攻擊形式更為高級，主要體現(xiàn)在攻擊前對目標對象情報的精準收集、攻擊過程的精心設計、目標信息系統(tǒng)的漏洞挖掘與利用等. 2012 年的“震網(wǎng)”病毒和2015年的烏克蘭電網(wǎng)攻擊事件都是APT 攻擊的典型代表.

3 電力CPS 系統(tǒng)易損性分析

拓撲結構作為電網(wǎng)的本質(zhì)特點之一，從圖2 電力系統(tǒng)結構特性的分析可知，復雜網(wǎng)絡理論可以作為研究電網(wǎng)特性的有效手段，同時也能夠利用電網(wǎng)拓撲結構和參數(shù)的變化反應電力系統(tǒng)在受到攻擊或引發(fā)故障后，揭示電網(wǎng)結構屬性、故障演化和系統(tǒng)損失之間的關系，達到毀傷評估的目的. 基于小世界模型，丁明等[16]提出了電網(wǎng)脆弱性評估綜合算法，構造了加權電網(wǎng)拓撲模型，得出小世界電網(wǎng)自身結構脆弱性是連鎖故障迅速蔓延的內(nèi)因. 丁理杰等[17]對具有小世界拓撲和無標度拓撲的人工電網(wǎng)分別進行仿真，發(fā)現(xiàn)負荷熵在故障傳播期間的動態(tài)可反映節(jié)點失去機制，結合無標度網(wǎng)絡建立新的連鎖故障模型，在故障初期快速識別連鎖故障. 冀星沛等[18]基于復雜網(wǎng)絡理論以及電力網(wǎng)與信息網(wǎng)的結構特點，研究了低度數(shù)節(jié)點加邊策略及其分配策略對電力CPS 相互依存網(wǎng)絡的脆弱性具有重要影響. 王珂等[19]提出了基于多重區(qū)域毀傷的基礎設施網(wǎng)絡抗毀性評估模型，通過使用毀傷圓仿真物理攻擊，將模型適用范圍拓展到含有曲線邊的電力網(wǎng)絡等，利用加權聚類分析法計算網(wǎng)絡的關鍵區(qū)域，并采用歸一化結果比較網(wǎng)絡間的抗毀性. 但基于拓撲結構的易損性分析難以反應電力CPS 系統(tǒng)中不同節(jié)點的重要性差異.

圍繞連鎖故障路徑搜索及脆弱性評估，YU 等[20]將蒙特卡羅模擬法用于連鎖故障模式搜索，皺欣等[21]采用遞歸算法生成連鎖故障樹來對電網(wǎng)連鎖故障模式進行搜索，張海翔等[22]提出了基于連鎖故障序列分析的電網(wǎng)脆弱性評估方法. 在事故鏈搜索的基礎上，研究者對電力系統(tǒng)風險評估方法進行了系統(tǒng)研究，孫啟明等[23]在事故鏈搜索過程中考慮了故障的多種形式、故障相關性、安穩(wěn)措施的作用等，并結合專家打分法提出了一種基于連鎖故障事故鏈搜索的輸電網(wǎng)風險評估方法. 為仿真研究戰(zhàn)爭危機條件下的電力基礎設施網(wǎng)絡毀傷綜合效果，康文杰[24]依據(jù)復雜系統(tǒng)實體依賴關系和毀傷傳播機理，設計實現(xiàn)了電力基礎設施網(wǎng)絡節(jié)點級聯(lián)依賴度生成算法和級聯(lián)毀傷傳播算法，較好體現(xiàn)出電力網(wǎng)絡級聯(lián)毀傷過程. 但單純的研究連鎖故障以及毀傷傳播，難以將物理信息協(xié)同跨域攻擊、受損系統(tǒng)修復、人員響應等因素對電力CPS 體系的總體影響體現(xiàn)出來.

對電力CPS 系統(tǒng)進行易損性分析，首先考慮對節(jié)點進行打擊造成的效果. 電力CPS 網(wǎng)絡中，越重要的節(jié)點，對其打擊造成的損失越大. 例如，發(fā)電節(jié)點的重要性超過配電節(jié)點，破壞發(fā)電節(jié)點的損失就大.

4 案例分析

以烏克蘭停電事件為例，基本的攻擊過程還原如下：Black Energy 病毒首先通過郵件或其他手段，植入外網(wǎng)“跳板機”，然后橫向滲透進入電網(wǎng)監(jiān)控系統(tǒng)的關鍵主機，進而獲取SCADA 系統(tǒng)的控制能力，通過信息網(wǎng)對控制系統(tǒng)下達斷電指令，導致7 個110 kV變電站和23 個35 kV 變電站異常動作而斷電，同時攻擊相關計算節(jié)點的數(shù)據(jù)和存儲系統(tǒng)，導致系統(tǒng)無法重啟恢復，造成數(shù)據(jù)實質(zhì)性損失的同時避免事后被發(fā)現(xiàn). 攻擊者一方面通過網(wǎng)絡攻擊電力CPS 信息系統(tǒng)導致變電站斷電，另一方面還對電力客服中心進行電話DDoS 攻擊，阻止電力恢復的機制響應，導致80 000 用戶斷電數(shù)小時. 整體的攻擊全景如圖7所示.

圖7 烏克蘭電力事件示意圖Fig. 7 Schematic diagram of power incident in Ukraine

從本案例的攻擊過程來看，對應于圖6 的毀傷樹，攻擊者利用APT 攻擊手段，對電力CPS 系統(tǒng)的信息層計算節(jié)點、控制設備和通信設備進行了攻擊，然后利用信息系統(tǒng)與電力一次系統(tǒng)的耦合性，切斷電力物理系統(tǒng)的變電節(jié)點，造成電網(wǎng)大規(guī)模解列，大面積停電. 同時，利用拒絕服務攻擊手段，對目標系統(tǒng)中的計算節(jié)點和關鍵通信節(jié)點進行了有效打擊，遲滯了系統(tǒng)修復，暴露了烏克蘭電力CPS 的體系易損性.

本實例中共涉及信息網(wǎng)關鍵節(jié)點超過38 個，電力網(wǎng)節(jié)點超過30 個，如表1 所示，采用第3 節(jié)中對發(fā)電節(jié)點、變電節(jié)點的類型權值賦值0.95 和0.80，而用電節(jié)點因為對整個電網(wǎng)的重要性和影響力較低，賦值0.01. 利用公式（4）計算信息節(jié)點的重要性，由于本案例中不涉及電網(wǎng)的功率傳輸，因此忽略掉功率因素，計算結果如表1 所示. 從表1 中可以看出，調(diào)度中心SCADA 系統(tǒng)的重要性最高，辦公區(qū)計算節(jié)點因為沒有控制電網(wǎng)物理節(jié)點而重要性最低，110 kV變電站測控節(jié)點因為電壓等級高于35 kV 變電站，因而重要性也更高. 重要性越高的節(jié)點遭到攻擊后造成的毀傷效應也越大，結果與實際相符.

表1 烏克蘭電力事件攻擊設備表Tab. 1 List of Ukrainian power incident equipment

該事件的結果還表明，針對電力CPS 系統(tǒng)的跨域協(xié)同打擊，可以用較小的代價造成巨大的毀傷效果. 在精心設計APT 攻擊鏈的過程中，通過毀傷效果預估的攻擊目標探測有助于確認目標，制定最優(yōu)毀傷鏈，針對調(diào)度中心等核心信息網(wǎng)節(jié)點的攻擊效果遠大于一般計算節(jié)點，辦公計算節(jié)點雖然從單節(jié)點重要性上微不足道，但可以成為攻擊鏈中的一環(huán)，多手段融合的APT 攻擊，更容易造成電網(wǎng)級聯(lián)失效. 反之，站在防御角度，通過易損性分析和毀傷效果評估，更容易發(fā)現(xiàn)電力CPS 的薄弱環(huán)節(jié)，可針對性的加強防御措施部署實施.

5 電力CPS 系統(tǒng)易損性分析技術發(fā)展思路

目前，美國等少部分發(fā)達國家己經(jīng)從利用毀傷評估模型進行評估的階段過渡到采用毀傷評估系統(tǒng)進行評估的階段，而且己經(jīng)具備較為成熟的評估系統(tǒng)，大大領先于其他國家[25-26]. 隨著計算機與仿真技術、系統(tǒng)理論與技術、目標毀傷理論技術的快速發(fā)展，對電力CPS 系統(tǒng)易損性和毀傷效果評估的研究將更加有效地用于指導實踐. 一方面，結合電網(wǎng)歷史數(shù)據(jù)的積累，將大數(shù)據(jù)技術與傳統(tǒng)評估模型方法結合，將有效提升評估的合理性；另一方面，運用信息與智能技術，大量部署新型智能傳感器，加強目標毀傷信息收集技術研究，結合5G 技術改進毀傷信息的傳輸手段，持續(xù)完善電力CPS 系統(tǒng)易損性評估模型和評估方法，將會開發(fā)出多功能、自動化、全時域的毀傷評估系統(tǒng)，可彌補當下模型計算時效性不強、體系化不夠全面等缺點.

6 結 論

本文在分析了電力CPS 系統(tǒng)特點的基礎上，結合物理毀傷和網(wǎng)絡毀傷兩種攻擊途徑建立了電力CPS 系統(tǒng)毀傷樹，基于近年來電力系統(tǒng)易損性相關技術與理論的研究，以電力CPS 節(jié)點重要性與故障級聯(lián)毀傷特性為主要依據(jù)，提出了一種基于節(jié)點重要性的電力CPS 易損性分析方法，設計了易損性評估模型，并結合烏克蘭電力攻擊事件實例進行了分析說明，該模型可用于電力信息物理系統(tǒng)的生存力研究，為目標抗毀傷結構的設計提升提供支撐. 最后，提出了電力CPS 系統(tǒng)易損性分析技術發(fā)展與應用的思路.