網(wǎng)絡(luò)攻擊下電力系統(tǒng)信息安全研究綜述*

黃鑫，陳德成，孫軍，付蓉

（1.智能電網(wǎng)保護(hù)和運(yùn)行控制國(guó)家重點(diǎn)實(shí)驗(yàn)室，南京210003；2.南京郵電大學(xué)，自動(dòng)化學(xué)院，南京210023；3.南京南瑞集團(tuán)公司，南京210003）

0 引 言

在現(xiàn)代的工業(yè)體系中信息物理融合系統(tǒng)正在得到廣泛的應(yīng)用，同時(shí)在智能電網(wǎng)領(lǐng)域中的研究也掀起一股熱潮。電力信息物理融合系統(tǒng)是指由3C（Computation，Communication，Control）技術(shù)把計(jì)算、通信和電力系統(tǒng)的物理環(huán)境融為一體，形成具有實(shí)時(shí)感知、動(dòng)態(tài)控制與信息服務(wù)融合的多維異構(gòu)復(fù)雜系統(tǒng)［1-2］。如圖1，信息系統(tǒng)的作用在電網(wǎng)中的體現(xiàn)為電網(wǎng)信息—控制信號(hào)—電網(wǎng)運(yùn)行狀態(tài)之間的不斷轉(zhuǎn)換。對(duì)比傳統(tǒng)電力系統(tǒng)，信息系統(tǒng)的融合可以利用信息通信和傳感器網(wǎng)絡(luò)實(shí)時(shí)采集電網(wǎng)詳細(xì)、全面的數(shù)據(jù)［3］。

圖1 信息系統(tǒng)的作用Fig.1 Role of information system

文獻(xiàn)［4-5］詳細(xì)介紹了信息系統(tǒng)與物理系統(tǒng)的日益復(fù)雜的交互機(jī)理和在電網(wǎng)上的應(yīng)用。隨著信息與通信技術(shù)的不斷廣泛應(yīng)用，網(wǎng)絡(luò)安全在整個(gè)電力系統(tǒng)中扮演著愈加重要的角色。網(wǎng)絡(luò)攻擊等信息故障問(wèn)題對(duì)電力系統(tǒng)有著巨大的威脅，不僅破壞信息系統(tǒng)，還會(huì)威脅物理系統(tǒng)和破壞電力系統(tǒng)的安全穩(wěn)定，此類問(wèn)題被定義為電力系統(tǒng)信息安全問(wèn)題［6-8］。如攻擊者入侵電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)，取得非法權(quán)限，執(zhí)行未經(jīng)許可的動(dòng)作來(lái)阻止或改變電網(wǎng)的數(shù)據(jù)流，從而對(duì)電網(wǎng)產(chǎn)生負(fù)荷丟失或電價(jià)調(diào)整等影響，甚至發(fā)生大停電事故。文獻(xiàn)［9-10］強(qiáng)調(diào)了網(wǎng)絡(luò)安全在電網(wǎng)中的作用并對(duì)網(wǎng)絡(luò)攻擊在運(yùn)行控制中造成的物理影響進(jìn)行了深入分析。網(wǎng)絡(luò)攻擊雖然不能直接攻擊物理設(shè)備，但可以通過(guò)削弱或破壞信息設(shè)備的正常功能來(lái)完成類似直接物理攻擊的效果［11］。信息設(shè)備的故障會(huì)造成量測(cè)數(shù)據(jù)的錯(cuò)誤或丟失，進(jìn)而對(duì)電網(wǎng)系統(tǒng)的準(zhǔn)確感知和判斷產(chǎn)生影響；當(dāng)二次系統(tǒng)發(fā)生網(wǎng)絡(luò)攻擊時(shí)，會(huì)造成數(shù)據(jù)采集與監(jiān)測(cè)系統(tǒng)（SCADA）、廣域量測(cè)系統(tǒng)等設(shè)備通信網(wǎng)絡(luò)發(fā)生信息中斷，通信延時(shí)、誤碼等情況，極可能導(dǎo)致控制決策中心下達(dá)錯(cuò)誤指令，比如開(kāi)關(guān)斷路器的拒動(dòng)、誤動(dòng)等，進(jìn)而引發(fā)系統(tǒng)振蕩或大范圍停電事故［12-13］。2015年，烏克蘭就是因?yàn)槭艿骄W(wǎng)絡(luò)攻擊而發(fā)生的大停電事件，造成約23萬(wàn)居民受到影響，被認(rèn)為是第一例由網(wǎng)絡(luò)攻擊造成的大停電事件。

隨著網(wǎng)絡(luò)攻擊事件在工業(yè)控制系統(tǒng)尤其是電力系統(tǒng)中更加頻繁的發(fā)生，學(xué)術(shù)界科研人員對(duì)信息物理安全問(wèn)題變得高度關(guān)注［14］。Proceedings of the IEEE在2012年就對(duì)電網(wǎng)中網(wǎng)絡(luò)攻擊的實(shí)現(xiàn)模式與安全防護(hù)體系進(jìn)行深入研究［15-16］。國(guó)內(nèi)科研院所和各大高校已陸續(xù)開(kāi)始研究電力系統(tǒng)中的信息安全問(wèn)題。清華團(tuán)隊(duì)深入研究智能電網(wǎng)信息系統(tǒng)［17］。東南大學(xué)等高校展開(kāi)對(duì)信息和電力系統(tǒng)之間相互影響機(jī)理的研究［18-19］。南瑞集團(tuán)也已深入研究電網(wǎng)惡意攻擊的辨識(shí)方法以及電網(wǎng)側(cè)主動(dòng)防御策略。基于此背景，本文針對(duì)電力信息物理融合系統(tǒng)環(huán)境下的網(wǎng)絡(luò)攻擊展開(kāi)討論，分析網(wǎng)絡(luò)攻擊內(nèi)涵以及電力信息物理融合系統(tǒng)的綜合安全評(píng)估，最后對(duì)電力信息物理融合系統(tǒng)的研究進(jìn)行展望。

1 網(wǎng)絡(luò)攻擊內(nèi)涵

1.1 網(wǎng)絡(luò)攻擊定義

近些年，網(wǎng)絡(luò)攻擊逐漸成為黑客或其他非法人員入侵電力系統(tǒng)并對(duì)之進(jìn)行破壞的主要手段［20］。在電力系統(tǒng)中網(wǎng)絡(luò)攻擊的定義：以破壞或降低電力信息系統(tǒng)功能為目的，在未經(jīng)許可情況下對(duì)通信系統(tǒng)和控制系統(tǒng)的行為進(jìn)行追蹤，利用電力信息通信網(wǎng)絡(luò)存在的漏洞或安全缺陷對(duì)系統(tǒng)本身或資源進(jìn)行攻擊［21］。對(duì)比傳統(tǒng)物理意義的攻擊，網(wǎng)絡(luò)攻擊有著許多優(yōu)點(diǎn)，例如低成本、易攻擊和影響范圍廣等［22］。根據(jù)國(guó)際電工委員會(huì)（IEC）發(fā)布的標(biāo)準(zhǔn)，電力系統(tǒng)可分為電力基礎(chǔ)設(shè)施和信息基礎(chǔ)設(shè)施。網(wǎng)絡(luò)安全問(wèn)題對(duì)信息基礎(chǔ)設(shè)施有著嚴(yán)重的危害，破壞的程度決定于電力控制設(shè)備對(duì)信息設(shè)備的依賴性［23］。

1.2 網(wǎng)絡(luò)攻擊類別

根據(jù)網(wǎng)絡(luò)攻擊的目標(biāo)不同，可以對(duì)攻擊進(jìn)行分類：對(duì)電力基礎(chǔ)設(shè)施的攻擊、對(duì)信息通信網(wǎng)絡(luò)的攻擊、對(duì)電力系統(tǒng)數(shù)據(jù)的攻擊和對(duì)系統(tǒng)經(jīng)濟(jì)效益的攻擊。

1.2.1 對(duì)電力基礎(chǔ)設(shè)施的攻擊

電力基礎(chǔ)設(shè)施與信息基礎(chǔ)設(shè)施是工業(yè)服務(wù)的物質(zhì)工程基礎(chǔ)，對(duì)國(guó)家的平穩(wěn)運(yùn)行有著巨大的推進(jìn)。IEC提出：“未來(lái)電力系統(tǒng)的發(fā)展是電力基礎(chǔ)設(shè)施與信息基礎(chǔ)設(shè)施共同建設(shè)、管理的過(guò)程”［24］。

電力基礎(chǔ)設(shè)施分為一次設(shè)備和二次設(shè)備［25］。對(duì)現(xiàn)場(chǎng)的計(jì)量傳感等設(shè)備進(jìn)行攻擊破壞，設(shè)備無(wú)法實(shí)現(xiàn)對(duì)電網(wǎng)數(shù)據(jù)的正常采集與上傳，使電力系統(tǒng)失去對(duì)一些節(jié)點(diǎn)的監(jiān)視或者控制功能。Liu率先提出虛假數(shù)據(jù)注入攻擊［26］，有組織和有預(yù)謀的將量測(cè)設(shè)備遠(yuǎn)方數(shù)據(jù)終端（RTU）的密碼破解進(jìn)行數(shù)據(jù)修改，或者通過(guò)光纖竊聽(tīng)技術(shù)截獲并破壞數(shù)據(jù)采集與監(jiān)測(cè)系統(tǒng)的測(cè)量功能，導(dǎo)致電力系統(tǒng)無(wú)法收到實(shí)時(shí)正確的控制指令，進(jìn)而引發(fā)負(fù)荷丟失等故障［27］。

1.2.2 對(duì)信息通信網(wǎng)絡(luò)的攻擊

一個(gè)信息系統(tǒng)不可能是完美的，而存在的漏洞和缺陷就是“黑客”進(jìn)行攻擊的首選目標(biāo)，攻擊者頻繁入侵電力網(wǎng)絡(luò)內(nèi)部的主要原因在于相關(guān)業(yè)務(wù)的脆弱性和防御系統(tǒng)的不完善［28］。主要通過(guò)電力系統(tǒng)中通信網(wǎng)絡(luò)設(shè)備或協(xié)議的不完善或反饋信息的不同步，攻擊使得系統(tǒng)的性能下降功能失效，嚴(yán)重時(shí)造成系統(tǒng)的癱瘓［29］。

文獻(xiàn)［30］把通信系統(tǒng)和一次系統(tǒng)作為耦合復(fù)雜系統(tǒng)，進(jìn)行由通信故障引發(fā)的連鎖故障機(jī)理分析。信息通信網(wǎng)絡(luò)故障的影響主要體現(xiàn)在對(duì)電力業(yè)務(wù)的影響，例如繼電保護(hù)的功能受影響，將造成線路保護(hù)拒動(dòng)和誤動(dòng)，加大電網(wǎng)的故障擴(kuò)散。造成信息通信網(wǎng)絡(luò)故障主要有大數(shù)據(jù)攻擊、重組攻擊等。

1.2.3 對(duì)電力系統(tǒng)數(shù)據(jù)的攻擊

隨著電力系統(tǒng)內(nèi)信息融合不斷地深化，數(shù)據(jù)采集與 監(jiān) 測(cè) 系 統(tǒng) （SCADA）［31］、相 角 測(cè) 量 裝 置（PMU）［32］等變得越來(lái)越重要。向電網(wǎng)中注入無(wú)用或惡意數(shù)據(jù)，改變系統(tǒng)的狀態(tài)估計(jì)并成功躲過(guò)入侵檢測(cè)機(jī)制，此攻擊目的為系統(tǒng)中的數(shù)據(jù)，以各種方式篡改數(shù)據(jù)和破壞系統(tǒng)的狀態(tài)和操作［8］。

通過(guò)搜索電力系統(tǒng)中存在的脆弱性，破壞電力系統(tǒng)中重要的數(shù)據(jù)信息，進(jìn)而干擾控制中心基于此數(shù)據(jù)發(fā)出的指令。主要的攻擊有數(shù)據(jù)污染［33］、數(shù)據(jù)篡改［34］等，電力系統(tǒng)中采集與上傳的數(shù)據(jù)作為現(xiàn)場(chǎng)控制和決策的重要依據(jù)，保密性和重要性有著不可小覷的意義［35］。數(shù)據(jù)的丟失和篡改可能造成電網(wǎng)嚴(yán)重的故障。

1.2.4 對(duì)系統(tǒng)經(jīng)濟(jì)效益的攻擊

竊電是一種以獲取經(jīng)濟(jì)利益為目標(biāo)的攻擊行為［36］。電網(wǎng)的實(shí)時(shí)電價(jià)或與能源相關(guān)等信息必須使用高級(jí)量測(cè)體系（AMI）［37］、Internet等數(shù)據(jù)通道傳送，在傳輸中，定價(jià)信息的整體性、可用性和可信度都非常關(guān)鍵。特別是智能表計(jì)在用戶和工廠中已大面積普及，用電信息與電價(jià)的傳輸尤為重要［38-39］。對(duì)此主要有口令攻擊、中間人攻擊（MIMT）等方式假冒合法用戶獲取電力系統(tǒng)中不同用戶的等級(jí)特權(quán)。破壞電力系統(tǒng)中識(shí)別異常用電客戶［40］和技術(shù)甄別用戶的功能，進(jìn)而對(duì)電力系統(tǒng)經(jīng)濟(jì)上造成不可估量的損失［41］。

1.3 網(wǎng)絡(luò)攻擊建模方式

由于信息通信技術(shù)的發(fā)展，使得網(wǎng)絡(luò)攻擊方式和路徑變得多樣化，特別能源互聯(lián)趨勢(shì)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題將會(huì)變得更加嚴(yán)重。亟需對(duì)網(wǎng)絡(luò)攻擊進(jìn)行相應(yīng)的建模仿真，并利用得到的模型為系統(tǒng)的安全分析和評(píng)估提供正確的指導(dǎo)。傳統(tǒng)的建模多集中于單一攻擊，而忽略在現(xiàn)有通信技術(shù)下，攻擊者可以從多個(gè)地點(diǎn)發(fā)起攻擊，這大大提升了對(duì)系統(tǒng)的危害。目前主要的攻擊建模方法有：

1.3.1 基于貝葉斯網(wǎng)絡(luò)的攻擊建模

貝葉斯網(wǎng)絡(luò)是概率論與圖論的結(jié)合，是變量節(jié)點(diǎn)和有向弧構(gòu)成的有向圖，是一種能夠有效處理不確定性信息和推斷理論的概率圖形化網(wǎng)絡(luò)模型，基于貝葉斯網(wǎng)絡(luò)建模能夠針對(duì)已發(fā)生的事實(shí)不斷調(diào)整攻擊發(fā)生的概率，最終對(duì)網(wǎng)絡(luò)攻擊過(guò)程有效的量化和影響分析。法國(guó)G2Elab實(shí)驗(yàn)室在文獻(xiàn)［42］中就采用了貝葉斯網(wǎng)絡(luò)模型評(píng)估電力信息物理融合系統(tǒng)遭受攻擊的后果。文獻(xiàn)［43］中構(gòu)建了兩個(gè)貝葉斯攻擊模型分別來(lái)說(shuō)明攻擊者掃描零日漏洞過(guò)程和評(píng)估攻擊成功的概率。然而貝葉斯網(wǎng)絡(luò)評(píng)估模型有著一定的局限性，主觀性太強(qiáng)并且對(duì)信息網(wǎng)絡(luò)系統(tǒng)建模過(guò)程太過(guò)抽象缺乏一定的客觀性。在文獻(xiàn)［44］中基于動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)能夠更加準(zhǔn)確的反映構(gòu)建故障率和維修率的實(shí)際值。相對(duì)于此，針對(duì)不確定性問(wèn)題的大數(shù)據(jù)貝葉斯算法和貝葉斯機(jī)器學(xué)習(xí)得到越來(lái)越廣泛的應(yīng)用［45-46］。

1.3.2 基于攻擊樹(shù)的攻擊建模

攻擊樹(shù)的建模方式最早由文獻(xiàn)［47］提出，可作為是故障樹(shù)模型的一種深入。如圖4中用樹(shù)來(lái)表示攻擊步驟之間的依賴關(guān)系。在許多文獻(xiàn)研究中，攻擊樹(shù)被直接用來(lái)描述攻擊行為，文獻(xiàn)［48］在考慮了物理、網(wǎng)絡(luò)拓?fù)浜瓦h(yuǎn)動(dòng)規(guī)約等方面的問(wèn)題，根據(jù)網(wǎng)絡(luò)安全威脅與潛在攻擊方式，構(gòu)造了攻擊樹(shù)模型，直觀的反映了系統(tǒng)受到惡意攻擊是攻擊者可能采用的攻擊圖景。文獻(xiàn)［49］中提出了一種基于攻擊樹(shù)的網(wǎng)絡(luò)攻擊評(píng)估方法。文獻(xiàn)［50］在攻擊樹(shù)模型的基礎(chǔ)上研究了廣域監(jiān)測(cè)系統(tǒng)（WAMS）的通信基礎(chǔ)設(shè)施面對(duì)網(wǎng)絡(luò)入侵的脆弱性。然而攻擊樹(shù)建模還存在著一些明顯的缺點(diǎn)，比如攻擊行為發(fā)生前后網(wǎng)絡(luò)狀態(tài)的變化無(wú)法具體描述，缺乏對(duì)攻擊過(guò)程中協(xié)作性和并發(fā)性的表現(xiàn)能力。以攻擊樹(shù)模型為基礎(chǔ)結(jié)合概率風(fēng)險(xiǎn)評(píng)估技術(shù)的定量分析方法，可以對(duì)工業(yè)系統(tǒng)的信息安全風(fēng)險(xiǎn)進(jìn)行量化的評(píng)估，這利于針對(duì)系統(tǒng)的漏洞和薄弱點(diǎn)來(lái)制定相應(yīng)的防護(hù)措施。

圖2 攻擊樹(shù)模型Fig.2 Attack treemodel

1.3.3 基于Petri網(wǎng)的攻擊建模

基于Petri網(wǎng)的攻擊建模方式最早由McDemott提出，Petri網(wǎng)作為一個(gè)數(shù)學(xué)建模工具，在大型復(fù)雜系統(tǒng)中的異步、并發(fā)等問(wèn)題中展現(xiàn)了強(qiáng)大的建模能力［51］。因此，電力通信網(wǎng)中各種復(fù)雜的攻擊行為都可以基于Petri網(wǎng)來(lái)進(jìn)行建模。如圖3所示，p表示系統(tǒng)局部狀態(tài)；t表示受到攻擊等之后的狀態(tài)變遷。Petri網(wǎng)可以分析檢驗(yàn)?zāi)Ｐ偷挠行裕軌驅(qū)?fù)雜的大型系統(tǒng)進(jìn)行精確地描述［52］。Petri網(wǎng)最早在文獻(xiàn)［53］中提到，構(gòu)造簡(jiǎn)單卻擁有嚴(yán)密的數(shù)學(xué)背景和易于理解的圖形特征；由于Petri網(wǎng)建模有著足夠的靈活性，既可以模擬動(dòng)態(tài)又可以模擬靜態(tài)，文獻(xiàn)［54］擴(kuò)展了攻擊樹(shù)模型，開(kāi)發(fā)出一種彩色Petri網(wǎng)建模方式為SCADA系統(tǒng)的網(wǎng)絡(luò)攻擊進(jìn)行建模分析。文獻(xiàn)［55］研究了Petri網(wǎng)在智能電網(wǎng)中對(duì)網(wǎng)絡(luò)攻擊的建模應(yīng)用，提出了一種新的分層方法，由一些較小的Petri網(wǎng)來(lái)構(gòu)建大Petri網(wǎng)的方法，相同位置不同Petri網(wǎng)的建模來(lái)促進(jìn)模型語(yǔ)言的描述。文獻(xiàn)［56］中對(duì)于網(wǎng)絡(luò)物理系統(tǒng)的敵對(duì)和防御行為之間動(dòng)態(tài)過(guò)程的捕捉，開(kāi)發(fā)出了一種基于隨機(jī)Petri網(wǎng)的分析模型。Petri網(wǎng)能夠?qū)暨^(guò)程的并發(fā)性和協(xié)作性進(jìn)行描述，然而攻擊只有單一行為的時(shí)候，Petri網(wǎng)無(wú)法準(zhǔn)確地描述攻擊場(chǎng)景。

圖3 Petri網(wǎng)模型Fig.3 Petri netmodel

1.3.4 基于攻擊文法的攻擊建模

攻擊文法是一種上下文無(wú)關(guān)文法［57］，如圖4為攻擊文法的生成過(guò)程。從本質(zhì)來(lái)看是把攻擊場(chǎng)景下漏洞或者利用漏洞之間的關(guān)系通過(guò)文法的形式進(jìn)行描述出來(lái)，經(jīng)過(guò)采集的數(shù)據(jù)使用下推自動(dòng)機(jī)（PDA）來(lái)進(jìn)行直觀的構(gòu)造和簡(jiǎn)化。攻擊的起點(diǎn)和終點(diǎn)之間的多步攻擊動(dòng)作可以當(dāng)作無(wú)絕對(duì)關(guān)系的過(guò)程，攻擊者可以依據(jù)當(dāng)前的能力對(duì)某些特定的位置發(fā)起新一輪的攻擊［58］。基于以上思維，攻擊者的每一行為可以看成是與上下文無(wú)關(guān)文法中的一個(gè)字符，它們之間的關(guān)系通過(guò)文法來(lái)確定。在攻擊模型中，我們就可以把攻擊序列轉(zhuǎn)化成對(duì)攻擊文法的分析。因此，攻擊文法是一種概念性建模方式和安全分析工具，適合應(yīng)用于入侵檢測(cè)系統(tǒng)報(bào)警關(guān)聯(lián)。但缺少具體細(xì)節(jié)的建模方法理論，在實(shí)際的建模中可能需要與其它的方式相結(jié)合。

圖4 攻擊文法的生成Fig.4 Generation of attack grammars

2 信息物理融合系統(tǒng)的綜合安全評(píng)估

如上文所述，蓄意或無(wú)意地網(wǎng)絡(luò)事件都可能會(huì)對(duì)電力系統(tǒng)產(chǎn)生物理影響，為量化評(píng)估這些影響，僅僅基于信息理論來(lái)理解網(wǎng)絡(luò)事件的影響是不完善的，需要對(duì)電力信息物理融合系統(tǒng)進(jìn)行綜合安全評(píng)估。文獻(xiàn)［59］定性分析了電力信息物理融合系統(tǒng)進(jìn)行安全評(píng)估的必要性，考慮了網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的影響，提出電力信息物理融合系統(tǒng)的安全評(píng)估體系，但并沒(méi)有進(jìn)行具體的安全性評(píng)估。

電力系統(tǒng)的可靠性評(píng)估可以通過(guò)“N－1”或“N－2”方法來(lái)對(duì)所有可能發(fā)生故障的主路進(jìn)行掃描，分析各故障對(duì)應(yīng)的系統(tǒng)響應(yīng)。信息系統(tǒng)中，攻擊導(dǎo)致信息故障生成不恰當(dāng)?shù)目刂浦噶睿瑥亩绊懳锢硐到y(tǒng)。同樣通過(guò)對(duì)比有無(wú)故障下系統(tǒng)運(yùn)行或安全指標(biāo)可得到對(duì)系統(tǒng)的有效評(píng)估。文獻(xiàn)［60］在拒絕服務(wù)（DOS）攻擊下根據(jù)電力SCADA通信鏈路的保護(hù)措施實(shí)施程度利用貝葉斯推理計(jì)算了攻擊者能夠成功攻擊的概率，但是只局限于信息通信網(wǎng)絡(luò)中。文獻(xiàn)［61］基于圖論的中心性措施進(jìn)一步分析惡意攻擊在有限的系統(tǒng)信息協(xié)調(diào)下對(duì)電網(wǎng)的攻擊能力。文獻(xiàn)［62-63］建立了信息設(shè)備關(guān)聯(lián)的業(yè)務(wù)可靠性模型，引入設(shè)備的可靠性因子，結(jié)合層次分析法和貝葉斯網(wǎng)絡(luò)的業(yè)務(wù)可靠性評(píng)估方法提出了考慮攻擊因素的信息設(shè)備可靠性評(píng)估指標(biāo)。

以上都是對(duì)電力系統(tǒng)中的信息系統(tǒng)進(jìn)行安全評(píng)估，沒(méi)有結(jié)合網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的影響進(jìn)行綜合評(píng)估。由于通信和電力設(shè)施之間的依賴關(guān)系，綜合信息安全和物理安全綜合評(píng)估有助于更好的理解電力信息物理融合系統(tǒng)的特性。文獻(xiàn)［64］提出了應(yīng)用概率表的方法量化評(píng)估信息故障后系統(tǒng)的可靠性，但是信息系統(tǒng)與電力系統(tǒng)之間作用方式的分析過(guò)于簡(jiǎn)單。文獻(xiàn)［65］提出了綜合CP指標(biāo)來(lái)衡量基礎(chǔ)的網(wǎng)絡(luò)側(cè)電力裝置的安全級(jí)別，其中將網(wǎng)絡(luò)側(cè)的配置參數(shù)、電力系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，以及入侵檢測(cè)警報(bào)值作為輸入，綜合加權(quán)信息故障傳遞概率與物理故障事件中心性指數(shù)計(jì)算相應(yīng)網(wǎng)絡(luò)側(cè)故障排名。文獻(xiàn)［66］模擬了在惡意攻擊下電力系統(tǒng)對(duì)保護(hù)系統(tǒng)設(shè)置和參數(shù)的物理響應(yīng)，提出了考慮保護(hù)系統(tǒng)作用的電力系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法。在信息系統(tǒng)與電力系統(tǒng)深度融合下，信息系統(tǒng)發(fā)生故障將會(huì)影響電力系統(tǒng)的安全運(yùn)行，量化評(píng)估這些影響，主要包含信息本身的安全性和對(duì)電網(wǎng)正常運(yùn)行的貢獻(xiàn)以及發(fā)生信息故障時(shí)對(duì)電網(wǎng)影響的嚴(yán)重性，主要表現(xiàn)為負(fù)荷的丟失，線路的斷開(kāi)，發(fā)電機(jī)出力的改變等。綜合信息安全與電力安全的量化評(píng)估有助于提出保障電力信息物理融合系統(tǒng)安全性和可靠性的理論方法和關(guān)鍵技術(shù)。

3 結(jié)束語(yǔ)

目前，網(wǎng)絡(luò)攻擊對(duì)電力基礎(chǔ)設(shè)施的影響在很多國(guó)家中已經(jīng)上升到了國(guó)家安全層面，美國(guó)早已經(jīng)演習(xí)了數(shù)次網(wǎng)絡(luò)攻擊風(fēng)暴。中國(guó)隨著信息物理融合系統(tǒng)的深入研究，電力信息化逐步推進(jìn)。但隨著能源互聯(lián)網(wǎng)的建設(shè)發(fā)展和信息物理融合系統(tǒng)的構(gòu)建，電力信息物理融合系統(tǒng)將面臨著更多潛在的威脅。未來(lái)電力信息物理融合系統(tǒng)主要的研究會(huì)有以下方向：

（1）信息物理融合系統(tǒng)下的網(wǎng)絡(luò)攻擊建模：基于網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)作用的不同目的和方式，其結(jié)果不容易直接形式化表達(dá)，串聯(lián)信息與物理的網(wǎng)絡(luò)攻擊建模方式是研究電力系統(tǒng)信息安全重要環(huán)節(jié)；

（2）網(wǎng)絡(luò)攻擊下更加全面可靠的安全評(píng)估方法：網(wǎng)絡(luò)攻擊造成的信息中斷，通信延時(shí)、誤碼等故障有可能導(dǎo)致物理系統(tǒng)的不正常運(yùn)行或引發(fā)連鎖停電事故，提出更加全面合理的安全評(píng)估方法，能夠正確指導(dǎo)我們識(shí)別系統(tǒng)關(guān)鍵測(cè)量和控制設(shè)備，指導(dǎo)網(wǎng)絡(luò)防御體系的構(gòu)建。