面向惡意攻擊的安全穩定控制系統信息物理協調防御方法

李滿禮，倪 明，顏云松，司慶華，薛 峰，許劍冰

（1.南瑞集團有限公司（國網電力科學研究院有限公司），江蘇省南京市 211106；2.國電南瑞科技股份有限公司，江蘇省南京市 211106；3.智能電網保護和運行控制國家重點實驗室，江蘇省南京市 211106）

0 引言

電力系統作為國家最重要的基礎設施之一，在復雜的國際形勢下面臨嚴峻的惡意攻擊形勢［1］。2015年 的 烏 克 蘭 大 停 電［2］和2019年 的 委 內 瑞 拉 大停電就是典型的以電網為攻擊目標的網絡安全事件［3］。隨著能源互聯網的發展，物理系統的安全越來越依賴信息系統的安全［4-5］。然而，現有信息系統安全防護體系和電力物理系統安全防御體系協調聯動不足［6］，現有電網應對網絡安全的能力有待提升。

電力安全防御系統中缺乏應對電力系統遭受惡意攻擊的能力。傳統的電力安全穩定防御體系主要針對電力系統自然故障，通過電力三道防線進行防御［7-9］。在此基礎上，為了提升電力系統對自然災害的應對能力，將傳統電力安全穩定防御體系向外拓展至外部環境［10］。隨著能源互聯網的發展，網絡安全問題對電力系統安全性影響越來越大，現有的電力安全防御體系缺乏對網絡安全問題的分析與防御。因此，有必要將傳統電力安全穩定防御體系向外拓展至信息通信系統，將網絡安全問題納入“三道防線”的體系，提高電力系統應對網絡安全的能力。

網絡安全分析評估無法準確地反映其對電力物理系統的影響，無法實現快速準確應對。14號令《電力監控系統安全防護規定》［11］總體思路是從邊界防護逐步向縱深防御發展，包括2個方面：一是擴大邊界防護的保護范圍；二是積極推進安全自主可控及工控威脅預警、可信計算等技術在電力監控系統中的應用，強化縱深防御［12］。另外，為了適應外部信息的接入，2019年國家電網有限公司發布的《泛在電力物聯網全場景網絡安全防護方案》對電網信息網絡架構進行了進一步的完善。近期，國家電網有限公司和中國南方電網有限責任公司都圍繞裝備的安全可控設計，著手從系統設計和建設階段解決二次系統的安全問題。網絡安全防御系統是縱深防御的重要手段，但是其評估指標多基于統計分析或者專家經驗［13-14］，無法準確評估惡意攻擊影響，并且一旦發生網絡安全事件大多只能進行人工處置，針對網絡安全事件的閉環實時處置能力較弱。

目前，信息物理協調的分析與防御方面已有初步探索［15］，如基于信息物理事件鏈的協同辨識方法［16］、惡意攻擊對電力二次系統和電力系統安全性的影響分析［17-19］、針對惡意攻擊的信息物理協調防御的研究框架［20］。然而，現有電力信息物理系統方面的成果對電力業務系統的研究不夠深入，大多將信息通信對電力系統的影響等值為數據篡改、開關拒動和誤動等，對業務系統的模型做了較大簡化，從而影響分析結果的可信性。電力業務是連接信息通信系統和電力系統的樞紐，結合具體業務深入分析信息物理的交互影響是突破信息系統和物理系統邊界，實現信息物理融合的關鍵。因此，需要結合具體業務系統研究網絡攻擊對電力系統的影響與對應的防御方法。

電力安全穩定控制（簡稱安控）業務是電網安全的第二道防線，已在中國各級電網中廣泛應用。目前，針對安控系統遭受惡意攻擊后應對方案方面的研究較少。本文圍繞安控系統存在的風險點，從空間和時間維度提出信息物理協調防御方法與體系，研究了安控裝置級和系統級的防御關鍵技術，并提出了網絡安全監視與分析應用框架。

1 安控系統惡意攻擊的影響分析

1.1 針對安控系統的攻擊試驗

安控系統肩負保障故障下電力系統穩定運行的重要責任，其一旦拒動或者誤動，將會嚴重影響電力系統的穩定運行，甚至引起電力系統崩潰。安控系統一般由廠站側的安控裝置和調度側的安控集中管理系統構成。在廠站側一般可分為協控總站、直流主站、抽水蓄能主站、精切主站和下層執行站等多種類型，各層級裝置通過調度數據網與調度中心站進行通信，裝置間通過2 Mbit/s通道進行通信。

與其他工控裝置類似，安控裝置在設計階段更注重裝置控制功能的需求，對裝置的網絡安全方面考慮不足。通過與安控裝置開發人員充分溝通交流，在安控裝置網絡安全風險充分暴露（通過錯誤配置、設置弱口令等）的情況下，通過直接接觸裝置的方式在實驗室中對實際安控裝置開展攻擊測試，驗證安控裝置可能存在的網絡安全風險點。具體試驗結果見附錄A圖A1。

針對安控裝置本體的攻擊試驗可以實現鍵盤死鎖、內存篡改、與主站通信接口關閉、安控裝置重啟等后果。針對安控裝置通信通道的攻擊試驗可以實現安控裝置動作指令或者定值的修改，會造成裝置誤動或者拒動。

雖然上述試驗是在比較極端的情況下進行的，實際運行裝置不可能被攻擊者輕易接觸，且實際運行裝置的風險點也不會充分暴露。但是上述試驗也說明了在某些極端情況下安控裝置存在被攻擊的風險。

1.2 惡意攻擊產生影響分析

基于安控系統存在的風險點，本節從安控系統的管理功能、采集、決策、執行等不同環節分析安控系統遭受不同攻擊方式（拒絕服務、數據篡改）可能產生的影響，如表1所示。

表1 不同環節遭受惡意攻擊下的影響分析Table 1 Impact analysis of malicious attack on different links

從表1可以發現，針對安控系統不同環節的攻擊可以造成裝置定制修改、裝置閉鎖、通信異常、采集量錯誤和控制指令外發執行等后果，影響安控系統決策的正確性，造成裝置拒動/誤動等嚴重后果，嚴重影響電網安全穩定。但是由于不同裝置、不同定值、不同攻擊方式等對電網安全穩定的影響不同，需要結合具體安控系統建立安控裝置與不同攻擊方式之間接口模型，從而分析惡意攻擊對安控策略和電力系統的影響。

2 信息物理協調防御方法

信息物理緊密耦合雖然帶來了網絡安全的挑戰，但同時也提供了信息物理協調的空間。因此，需要挖掘信息物理協調的潛力，研究協調的方法，提升電力信息物理系統對網絡安全的防御能力。本文圍繞安控業務，在傳統信息側的網絡安全管理平臺和電網安全穩定防御系統的基礎上，分析現有系統在防御網絡安全問題方面存在的不足，提出通過不同系統之間的數據交互，建立信息物理協調分析與防御框架，實現信息物理的協調防御，從而提升現有系統防御網絡安全問題的能力。

2.1 信息物理協調防御系統架構

網絡安全管理平臺［21］通過對控制網絡空間內計算機、網絡設備、安防設備等進行實時監視、預警告警、定位溯源、審計分析等，推動網絡安全管理從“靜態布防、邊界監視”向“實時管控、縱深防御”轉變。但是目前的網絡安全管理平臺存在如下問題：①不能對電力二次系統進行監視與分析，如安控裝置、保護裝置等，僅針對常規的計算機、數據庫、網絡設備和安防設備等進行監視與分析；②風險評估多是統計分析或者是基于專家經驗的一套評估體系，無法準確評估惡意攻擊對電力一次和二次系統的影響；③閉環處置能力不足，對于網絡安全事件主要還是依賴于人工處理。

安控集中管理系統［22］屬于D5000系統的實時監控與預警類的電網實時監控與智能告警應用，通過在調度中心站對安控裝置運行狀態進行監視與分析，保障安控系統的安全可靠運行。但是目前安控集中管理系統存在以下問題：①僅涉及電氣量、開入信號、壓板狀態、裝置動作記錄等，不涉及網絡安全相關的信息，因而無法針對安控裝置進行網絡安全方面的監測與分析；②安控策略模型中無法反映每個安控裝置的控制邏輯，策略模型無法反映出裝置間信息交互過程，因而無法滿足惡意攻擊通信通道的分析需求。

電網安全穩定防御系統，以穩定性量化技術為支撐，通過廣域量測、穩定量化分析和多道防線優化控制保障電網的安全穩定運行。目前，電網安全穩定防御系統與安穩集中管理系統進行數據交互，可以考慮安控裝置閉鎖等部分情況的影響。但是電網安全穩定防御系統僅僅針對傳統故障設置了防御策略，沒有考慮惡意攻擊等威脅對電網安全穩定的影響，缺乏應對惡意攻擊的能力。

圖1所示為針對安控業務的信息物理協調防御系統架構，包括傳統的網絡安全管理平臺、安控集中管理平臺和電網安全穩定防御系統。為了解決各個孤立系統在應對惡意攻擊方面存在的不足，如圖1中紅色部分所示，通過各個系統之間的信息交互，增加新功能，從而實現各個系統之間的協調聯動。

信息物理的協調聯動本質上需要從信息物理融合的角度解決以下3個問題：①哪些信息通信設備受到了攻擊，以及受到了何種方式的攻擊？②信息通信設備遭受攻擊后會對安控系統和電力一次系統造成什么影響？③怎么防御惡意攻擊？第1個問題實際上是針對信息通信設備（包括常規信息通信設備、安控設備等）的惡意攻擊辨識問題。網絡安全管理平臺已針對計算機、數據庫、網絡設備和安防設備等常規的信息通信設備進行網絡安全的監視與辨識。因此，還需要針對安控裝置進行網絡安全相關的信息采集與攻擊辨識，即圖1中新增功能①安控系統網絡安全監視與辨識。第2個問題實際上是惡意攻擊的影響分析問題，包括：信息通信設備遭受攻擊后會對哪些安控業務有影響，即新增功能③信息通信設備與安控業務通道的邏輯映射關系分析；惡意攻擊信息通信設備以后對安控策略和安控動作行為有何影響，即新增功能②考慮攻擊影響的安控動作行為分析；惡意攻擊可能會引起哪些電力故障，即新增功能⑤考慮攻擊影響的預想故障集生成與篩選。第3個問題實際上是惡意攻擊的防御問題，包括：信息側對于被攻擊信息通信設備的閉環處置方案，即新增功能④針對惡意攻擊的閉環處置策略；電力側對于惡意攻擊下電力故障的防御，即新增功能⑥考慮攻擊影響的輔助決策。

圖1 信息物理協調防御系統架構(空間維度)Fig.1 Architecture of cyber-physical coordinated defense system(spatial dimension)

信息物理協調防御系統通過網絡安全管理平臺、安控集中管理系統和電網安全穩定防御系統之間的數據交互，實現信息物理協調的惡意攻擊辨識、分析和防御，從而提升傳統系統的網絡安全防御能力，具體體現在以下幾個方面。

1）對于網絡安全管理平臺，惡意攻擊的評估從“安全事件的統計分析”轉變為“計及電力一次系統影響的定量評估”；安全事件的處置從“安全事件處理主要靠人工”轉變為“安全事件的閉環處置”。傳統網絡安全管理平臺無法閉環處置的原因在于無法預知被攻擊信息通信設備處置后會對電力業務造成什么影響。

2）對于安控集中管理系統，實現對所有和安控相關的通信信息設備的網絡安全監視，能夠分析惡意攻擊對安控系統和安控策略的影響，甚至能夠指導惡意攻擊下安控裝置的操作和控制。

3）對于電網安全穩定防御系統，具備考慮惡意攻擊的故障集生成和輔助決策等功能，初步實現考慮惡意攻擊的電網安全防御。

2.2 信息物理協調防御體系

2.1節從空間維度介紹了網絡安全管理平臺、安控集中管理系統和電網安全防御系統之間的協調配合，實現針對惡意攻擊的信息物理協調綜合防御。本節從時間維度，介紹安控系統的信息物理協調防御體系。借鑒傳統電力系統三道防線概念，文獻［20］中提出了針對惡意攻擊的信息物理協調防御的框架，本文在此基礎上結合安控業務對此框架進行深入研究。

如圖2所示，基于惡意攻擊影響在信息物理空間的傳播時序，按攻擊發生前、攻擊發生但尚未影響電力一次系統、攻擊影響到電力一次系統的劃分原則，將惡意攻擊對電力系統的影響劃分為不同階段。在各個階段中通過不同系統的安全防御措施的時序配合及協調聯動機制，實現針對惡意攻擊的全過程防御，建立包含多道防線的協調防御體系，提升針對惡意攻擊的防御能力。

圖2 信息物理協調防御體系(時間維度)Fig.2 Architecture of cyber-physical coordinated defense（time dimension）

1）在攻擊發生前，主要目標是通過信息通信系統和安控系統的網絡安全防護手段阻止惡意攻擊事件的發生。其中，信息通信系統的網絡安全防護方案需要基于信息物理融合分析的結果，針對薄弱點，制定更有效的網絡安全防護方案，如根據信息物理融合靈敏度分析的結果，制定防護方案或者布置蜜罐等。目前，安控系統對于網絡安全方面考慮較少，存在被惡意攻擊的風險。需要針對風險點，充分考慮安控業務需求，制定安控系統的網絡安全防護方案。

2）在攻擊發生但尚未影響到電力一次系統的階段，主要目標是有效辨識惡意攻擊并進行處置，以免惡意攻擊的傳播。同時，根據惡意攻擊可能對電力一次系統產生的影響，分析可能產生的預想故障集并進行電力系統的預防控制。如圖2所示，在攻擊影響尚未擴散到安控系統時，基于傳統信息側的辨識方法識別攻擊并基于信息物理融合分析對被攻擊的信息通信設備進行隔離等處置。當攻擊影響擴散至安控系統后，安控系統可以基于安控業務特性對惡意攻擊進行辨識和處置。基于惡意攻擊的辨識結果，通過信息物理融合分析確定潛在的電力故障集，并進行電力系統的預防控制，從而保障惡意攻擊下電力系統的安全性。

3）在攻擊影響到電力一次系統后，主要目標是采用電力系統的緊急和校正控制策略，從而實現針對惡意攻擊引起的電力故障的安全防御。與傳統電力系統緊急和校正控制策略不同的是，此處需要考慮惡意攻擊導致的信息通信設備對安控策略可執行性的影響，實現考慮安控狀態影響的輔助決策，從而保證策略的有效性，保障電網的安全。

信息物理的協調防御體系將傳統的信息側縱深防御體系拓展至安控系統和電力一次系統，將傳統電網安全防御系統的信息采集拓展到信息通信系統，提前了故障預判的時間，提升了傳統電網安全防御系統對惡意攻擊的防御能力，實現了信息側“縱深防御體系”和電力側“三道防線”防御體系的統一。

3 安控系統網絡安全監視與分析關鍵技術

前文從空間和時間維度介紹了安控系統的信息物理協調防御框架和體系，明確了需要解決的關鍵問題。本章內容聚焦安控系統網絡安全監視與辨識功能，從安控裝置級和安控系統級2個方面，挖掘信息、安控業務、電力一次系統之間的時空相關性，提出協調的防護、辨識和監視技術思路，實現安控系統的網絡安全防護、識別與監視，提升網絡安全防御能力。

3.1 安控裝置級防護技術

傳統安控裝置由于對網絡安全問題考慮不足，存在被惡意攻擊的風險。本文第1章的惡意攻擊試驗也說明了目前安控裝置存在的一些惡意攻擊風險點。

一般信息系統的安全架構強調數據的保密性、完整性和可用性，普遍采用：防火墻在網絡邊界提供訪問控制，入侵檢測系統（IDS）提供入侵檢測，虛擬專用網絡（VPN）提供專用通道，對于病毒、木馬等惡意軟件，則采用查殺軟件進行檢測，給操作系統打補丁，增加密碼強度，加強日志管理等手段［15，23］。但對于安控系統而言，由于安控業務的高實時性和安控裝置計算資源有限，這些傳統的信息防護手段直接應用于安控系統時存在明顯的缺陷。因此，本章針對安控裝置存在的網絡安全風險，在傳統信息側防護手段的基礎上考慮安控裝置業務特性，從信息側防護、裝置配置合理性、操作合規性和裝置響應合理性等角度提出信息與安控業務特性相結合的裝置側協調防御方案，具體如圖3所示。

圖3 安控裝置級防護方案Fig.3 Protection scheme for security and stability control device

1）安控裝置的信息防護是指針對安控裝置具體風險點，分析傳統信息防護技術手段的適應性，考慮到實時性和資源受限的情況對傳統信息防護技術進行適應性的改造，從而防止惡意攻擊事件的發生。具體包括：①加密技術的應用。針對安控站間通信的加密技術，現有的加密技術無法滿足安控業務的實時性需求，需要專門針對安全業務系統特點研發加密技術和裝備，以實現安控業務實時性和安全性的平衡。②認證技術的應用。針對弱口令、缺乏身份認證等風險點，采用傳統的網絡安全技術對其進行改造與加強。

2）配置合理性是指針對不同功能的安控裝置，根據實際功能需求對安控裝置做最小化配置，盡量減少可被利用的攻擊點，降低安控裝置被攻擊的可能。具體包括：根據安控裝置的實際功能關閉閑置的端口；退出不必要的壓板；刪除裝置沒有開啟的相應功能的代碼等，從而減少安控裝置可被利用的風險點。

3）操作合規性是指結合安控裝置的狀態、電力系統的狀態和安控裝置的操作規程等，分析針對安控裝置的操作是否合規或者動作是否合理，拒絕不合規或者不合理的操作，從而保證即使在攻擊者獲取了一定的操作權限后仍然無法執行關鍵的操作。具體包括：①基于裝置狀態的操作合規性分析，如只有在“遠方定值修改”壓板投入狀態下才允許遠方修改定值操作，否則為不合規操作，裝置會拒絕執行此操作并產生相應的告警信息。②基于操作規程的合規性分析，包括裝置重啟、調試等操作需要在裝置退出狀態下進行，如果在裝置正常運行狀態下進行此操作則為不合規操作，裝置會拒絕執行此操作并產生相應的告警信息。③基于電網狀態的動作合理性分析，如安控裝置收到動作命令，若電氣量不滿足條件則拒絕動作。

4）裝置響應合理性是指基于安控裝置的功能和原理，判別安控裝置的動作是否符合裝置動作邏輯，從而實現攻擊后的識別。通過分析安控裝置不同工況下（裝置狀態、壓板投退狀態、電力系統運行工況等）的響應規律（裝置的動作、告警信息、報文收發過程等），建立安控裝置的響應模型（類似于人的行為畫像），分析安控裝置實際響應行為與響應模型是否一致，從而判斷安控系統的響應情況是否合理，辨識裝置是否遭受惡意攻擊。

信息側防護和配置合理性分析是通過防止攻擊的發生來保證裝置的安全性。操作合規性是指即使惡意攻擊者成功攻擊安控裝置，也能從業務層面進行分析判斷，從而防止攻擊者的惡意操作。裝置響應合理性分析是指如果攻擊造成了裝置錯誤的響應，能夠準確發現與定位，以保障對攻擊行為的及時處置。裝置側的協調防護方案不僅可以防止針對裝置的惡意攻擊，還可以防御社會工程學的攻擊，如潛入廠站直接操作裝置，實現即使在攻擊者獲得一定操作權限的情況下依然可以保證裝置的安全性，通過技術手段實現了管理方面的安全問題。基于上述裝置級安全防護技術，針對某設備廠商具體的安控裝置，通過與裝置開發人員交流討論，提出可以執行的12項具體的改造方案，涉及信息側防護、配置合理性分析、操作合規性分析和裝置響應合理性分析，用于指導安控裝置的改造，從而提升安控裝置應對惡意攻擊的能力。

3.2 安控系統級防護技術

安控系統級協調防護技術通過利用安控系統級的數據冗余性和基于安控系統業務邏輯的信息物理相關性，辨識安控系統是否收到惡意攻擊，從而在安控系統層面實現協調防護，如圖4所示，具體技術手段包括多源數據比對和安控系統響應合理性分析。

圖4 安控系統級協調防護方案Fig.4 Protection scheme for security and stability control system

1）多源數據比對是指通過利用安控系統中多源數據的冗余性，辨識被惡意篡改的數據，從而實現針對數據篡改攻擊的防護。具體包括：①電氣量比對，通過安控裝置采集的數據與能量管理系統（EMS）中狀態估計的電氣量進行比對，從而辨識安控裝置采集的電氣量是否被篡改。②定值比對，通過安控集中管理系統中保存的基準定值和從安控裝置召喚的裝置定值進行比對，從而辨識安控裝置的定值是否被篡改。③裝置間交互報文比對，通過在安控集中管理系統中比對2個裝置之間的報文是否一致來辨識裝置間交互數據是否被篡改。附錄A圖A2給出了一個通過裝置之間交互報文比對實現攻擊辨識的例子：通過攻擊安控主站發往安控子站的控制指令可以導致安控子站誤動，通過比對安控集中管理系統收到的主子站報文可以發現安控主站并沒有給子站發送動作指令，但是子站收到了主站的動作指令并出口動作，從而可以辨識安控裝置間通信可能遭受了數據篡改攻擊。

2）安控系統響應合理性分析是指基于安控系統的業務邏輯，分析安控裝置在電網故障情況下的響應規律，通過分析安控裝置實際動作情況與電網故障情況下的響應規律是否一致，判斷安控系統的響應情況是否合理，從而辨識是否是惡意攻擊引起的安控系統的動作。具體包括：①基于裝置啟動過程的合理性分析。電網故障情況下裝置的啟動過程一般是安控子站先啟動，然后根據安控系統結構，主站、總站順序啟動，通過對比裝置實際的啟動過程和電網故障情況下的裝置啟動過程可以辨識裝置動作是否是由于惡意攻擊引起的。附錄A圖A2所示的惡意攻擊場景下，實際上只有子站啟動，主站和總站并沒有啟動，與電網故障下的啟動過程存在明顯差異。②基于安控策略的合理性分析。根據安控系統的策略，分析安控系統的動作過程是否符合安控動作的邏輯，從而辨識惡意攻擊等引起的安控裝置非正常動作。文獻［20］提到的根據信息物理事件鏈的辨識方法也屬于這一類。另外，還可以根據安控系統的其他響應特征量進行分析和辨識惡意攻擊，包括裝置告警信息、閉鎖信息等。在實際應用時，可以根據不同響應特征量的特性采用不同的方法形成安控系統的影響合理性模型，如基于安控策略合理性分析可以采用模型驅動的方法實現，基于裝置啟動過程的合理性分析可以采用數據驅動的方法實現。

通過多源數據比對和安控系統響應合理性分析，可以辨識安控系統級的惡意攻擊導致的安控系統誤動，進一步提升了安控系統防御惡意攻擊的能力。

3.3 網絡安全監視與分析應用框架

安控系統的裝置級和系統級防護技術通過信息、安控業務和一次系統之間的時空相關性，實現了針對惡意攻擊的事前防護、事中辨識和事后分析，保障了安控系統的網絡安全。基于上述安全防護技術，圖5給出了安控系統的網絡安全監視與分析的應用框架。

圖5 網絡安全監視與分析應用框架Fig.5 Application framework of monitoring and analysis of network security

在裝置側，針對安控裝置現在典型的風險點，分別采用信息側防護、狀態合規性分析和操作合規性分析的裝置級防護技術對現有安控裝置進行加固和改造，并采集裝置側與網絡安全相關的告警信息上送至主站側進行監視與分析。

在主站側，基于安控系統級的數據，采用多源數據比對和響應合理性分析的方法對安控系統進行網絡安全的辨識與分析，并同時對安控裝置側上傳的告警信息進行集中監視與分析。

通過上述方案，可以初步實現（僅考慮了安控裝置）安控系統的網絡安全防護、監視與分析功能，提升安控系統防御惡意攻擊的能力。

4 結語

本文針對安控系統，從空間和時間維度提出了網絡安全協調防御系統的架構和防御體系，實現了信息側“縱深防御體系”和電力側“三道防線”防御體系的統一。在此基礎上，聚焦于安控裝置和系統存在的風險點，結合傳統網絡安全技術和業務邏輯分別提出了裝置側和主站側的網絡安全的防護方案和辨識方法，并給出了網絡安全監視與分析的應用框架，初步實現安控系統的網絡安全防護、監視與分析功能，提升安控系統惡意攻擊的防御能力。

圍繞圖1所示的安控系統信息物理協調防御框架，本文僅僅針對安控裝置提出了裝置級和系統級的網絡安全防護技術和網絡安全監視與分析應用框架。后續還需要圍繞此協調防御框架，研究考慮信息通信系統、業務系統和電力一次系統的惡意攻擊融合風險分析技術（即圖1中新增功能②③⑤）和協調防御技術（即圖1中新增功能④⑥），從而突破信息物理界限，實現安控系統的信息物理協調防御。另外，本文僅圍繞安控業務提出了信息物理協調防御的框架，該協調防御框架還可以拓展至其他業務系統，從而實現考慮多業務的信息物理協調防御系統，提升電力業務系統和信息物理電力系統整體的網絡安全防御能力。

東南大學電氣工程學院王琦副教授在本文撰寫過程中參與了交流與探討，特此致謝。

附錄見本刊網絡版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網絡全文。