電力信息物理系統內部威脅研究綜述

陳清清，蘇盛，暢廣輝，李翔碩，魯華永

(1. 長沙理工大學電氣與信息工程學院，長沙410114；2. 國網河南省電力公司，鄭州450052)

0 引言

現代電力系統已逐步演化成電力信息物理系統(cyber-physical power system，CPPS)[1]，其中內部人員誤操作、違規操作乃至不確定對象的網絡攻擊都可能造成破壞性后果，威脅電網安全。近年來多次發生以工業控制系統為目標的網絡攻擊，世界各國紛紛加強關鍵性基礎設施網絡安防的研究[2 - 4]，在入侵檢測[5]、防火墻[6]和信息加密[7]等領域取得了長足進步，顯著提高了網絡攻擊的防護能力，但既有研究多側重于防范外部攻擊，對內部威脅的研究相對有限。

內部威脅一般指組織內部人員威脅組織安全的行為，主要包括誤操作、違規操作和惡意攻擊[8]。美國計算機安全學會專題報告分析指出，內部人員濫用權限造成的內部威脅超過傳統外部攻擊，是組織機構面臨的主要安全威脅[9]。美國國土安全部發布的內部威脅白皮書認為，盡管外部攻擊的數量和頻率高于內部攻擊，但受對核心資產了解程度和防護措施完善程度的影響，后者的損失超過了前者[10]。

我國電力行業高度重視網絡安全。CPPS在物理隔離邊界安全的防御體系基礎上，采用網絡準入、訪問控制、網絡異常檢測和安全態勢感知等進行縱深防護，遭外部攻擊破壞的風險低于一般信息系統。盡管廣為人知的多為Stuxnet、BlackEnergy等外部攻擊，但內部人員造成的網絡安全事故更常見，有些也造成了嚴重后果。2018年，某地發生配電自動化系統維護工程師直接輸出調試指令，遙控上百條配電線路跳閘的惡性事故；2001年，南京銀山公司離職總工在系統軟件中埋設時間邏輯炸彈，造成147臺故障錄波器集體出現功能閉鎖[11]；2001年12月11日，佛羅里達電網進行軟件調試時，錯誤地將離線EMS數據庫導入在線系統，觸發廣域保護系統啟動減載，切除了1 200個用戶。

內部威脅發生在安全防御邊界內，主要依賴身份和權限認證進行防護。內部人員具有合法身份，又熟悉業務系統危險點，針對外部攻擊的防御措施大多難以有效防護內部威脅，一旦突破身份和權限認證的屏障，可能造成嚴重危害。

本文圍繞CPPS內部威脅進行綜述和展望，首先梳理和分析了在一般信息系統基礎上發展起來的內部威脅安全防護方法；然后結合具體業務系統分析指出了CPPS面臨的內部威脅挑戰，概述了CPPS內部威脅防護的研究現狀；最后比對CPPS和一般信息系統的差異，提出可以從具體業務出發針對性設計防護措施來提高內部威脅防護水平，并展望了區塊鏈技術和零信任在相關領域的應用前景。

表1 內部威脅類型對比Tab.1 Comparison of insider threat types

1 信息系統內部威脅研究

1.1 定義與分類

根據卡耐基梅隆大學計算機安全應急響應團隊的定義，內部威脅是指具有計算機網絡與系統及敏感數據訪問權的員工、承包商以及商業合作伙伴等內部人員利用合法權限對計算機系統中信息的完整性、可用性和機密性造成負面影響[12 - 13]，可以對組織造成經濟損失、業務中斷和名聲受損，甚至危及社會安全。由于內部人員具有逃避已部署信息安全機制的能力，攻擊行為夾雜在大量正常行為中，在不清楚攻擊行為特征的條件下很難通過數據挖掘識別攻擊異常，是一類特殊的安全威脅防護問題。

企業人員流動性的加速使得企業人員構成越來越冗雜，在外部因素介入和經濟利益驅使下，內部安全事件開始與外部人員關聯。對內部威脅數據庫的分析表明內部攻擊一般表現為系統破壞、信息竊取、電子欺詐以及混合類[14]，主要特征如表1所示。

1.2 安全防護研究

計算機領域的內部威脅防護研究主要分為前期的威脅模型研究和后期的心理學社會學、用戶行為檢測3類，具體如表2所示。

表2 內部威脅檢測方法Tab.2 Insider threat testing methods

從組織成員主觀或客觀角度進行威脅建模來分析內部威脅行為特征，是設計防護措施的基礎。前者從攻擊者角度闡述了實施攻擊所需具備的主客觀條件，但準確判斷攻擊者的主觀意向是可靠感知威脅的瓶頸[17 - 18]；后者借鑒應對外部威脅的成熟技術手段，分層量化內部威脅，克服了主觀模型難以量化的缺陷，但也存在忽略主體特征、難以區分外部和內部威脅所致威脅檢出率低的缺陷[19 - 20]。

在威脅模型的基礎上，從心理學和社會學角度可補充解釋內部威脅的動機。前者側重從用戶使用網絡或主機的行為來推斷其心理狀態，后者側重從社會表現和環境來推斷其行為表現，判斷帶來威脅的可能性[21 - 28]。

具有異常心理的內部人員最終會體現為行為異常。基于行為檢測識別內部威脅一般可分為誤用檢測和異常檢測。前者通過比對用戶行為與已知威脅特征來識別異常行為，具有檢測效率和準確率高的優勢，但要求明確知道內部威脅攻擊模式。后者利用內部人員在業務工作上行為模式相對固定的特點，通過對組織成員行為模式的聚類畫像，判斷不同人群正常行為模式，并將同類人群中行為偏離正常模式的用戶識別為可能造成內部威脅的異常行為人群[29 - 30]。

承載不同業務的信息系統可能有不同的內部威脅模式，但在不確定具體業務場景的條件下僅能提煉有限的共性誤用檢測規則，從異常檢測角度識別內部威脅。為解決內部威脅數據匱乏的問題，一般采用針對內部威脅專門產生的或具有相近特征的入侵檢測數據集開展異常檢測研究，常用的數據集主要包括：入侵檢測評估KDD99數據集[31]、在正常行為數據中隨機插入攻擊指令的SEA數據集[32]、記錄用戶文件訪問行為的WUIL數據集[33]和在真實企業環境中采集數據構造的CERT-IT數據集[34]。

在這些數據集的基礎上，研究人員提出了基于隱馬爾可夫模型、高斯混合模型、屬性圖聚類等基于機器學習的內部威脅檢測方法，文獻[35]使用隱馬爾可夫模型(hidden Markov model，HMM)學習用戶每周的正常行為，通過異常行為與正常行為之間的偏差完成了合理誤報率條件下的內部威脅檢測。文獻[36]使用高斯混合模型對員工正常行為進行建模，以似然性和標準分數作為異常檢測指標，同時借助專家知識對異常進行分類。文獻[37]在圖異常檢測僅考慮拓撲結構的基礎上，增加相關定點/邊屬性值，提出屬性圖聚類異常檢測方法，使用EDCAR和GAMER兩種子空間/圖聚類算法進行異常檢測，同時采用了“GOutRank”離群值排名機制，發現EDCAR算法的受試者工作特征曲線(receiver operating characteristic curve, ROC)曲線具有最佳AUC值。文獻[38]提出采用在線深度學習架構，動態建模以生成可解釋的異常評估結果，提高了分析速度和準確性，利用CERT數據集驗證了提出的長短期記憶(long and short term memory, LSTM)網絡模型優于傳統的支持向量機和主成分分析等模型，指出LSTM模型可能適用于復雜時間模式的大規模現實問題。文獻[39]采用HMM、決策樹(decision tree, DT)和自組織映射(self organizing mapping, SOM)來學習和建模數據以檢測內部威脅，結果表明SOM具有最優的性能。文獻[40]提出了一種PRODIGAL異常檢測系統，該系統結合了多種機器學習異常檢測技術，同時開發了一種可視化語言來綜合使用這些檢測方法。前述方法的具體性能如表2所示。近年來，也有研究開始應用深度前饋神經網絡和卷積神經網絡進行攻擊特征的自動選擇，以提高檢測準確性[41 - 42]。

需要指出的是，基于異常檢測識別內部威脅存在異常樣本高度不平衡和適應性攻擊等挑戰。上述檢測數據集和檢測方法在脫離具體業務背景的一般信息系統基礎上構建，難以表征與具體業務有關的內部威脅，限制了他們的適用范圍。此外，既有研究主要從個體用戶視角檢測異常，當系統中有一定比例的用戶異常時，會使得正常行為的模式發生傾斜，難以有效區分。

除了被動檢測和識別異常外，美國國家網絡安全和通信整合中心的研究認為還可以通過營造健康富有成效的工作環境和加強系統權限管理與內部人員意識培養來主動削減內部威脅[27]。

2 CPPS的內部威脅與防護

2.1 CPPS的內部威脅

電力系統運行管理中有大量控制管理決策需要人工完成。2006年11月西歐大停電事故中，調度人員憑經驗認為電網可在N-1狀態下安全運行而忽視了一系列越限告警信號，最終導致系統解列[43]。人為誤操作是威脅系統的可靠運行的重要因素[44]。對電力事故關鍵誘因的篩選研究表明，知識技能不足、違規操作、監管不充分等人為因素是造成高等級安全事件的主要原因[45]。

CPPS面臨的內部威脅主要包括3類。1)誤操作，操作人員無法快速、準確完成業務操作，造成設備損壞、故障擴大等后果；2)違規操作，既可能表現為操作人員為方便操作而違反規范自行授權審批操作，也可能在利益驅動下竊取和售賣秘密信息獲利；3)惡意攻擊，內部人員由于個人原因泄憤報復或其他原因破壞系統。此外，內部人員也可能被外部攻擊者收買，但在具體表現上與違規操作及惡意攻擊相同，后續討論中不加區分。

以下將從生產控制系統和市場營銷系統兩方面分析CPPS面臨的內部威脅挑戰。

2.1.1 生產控制系統

生產控制系統直接服務于電力生產，主要包括變電站自動化和調度自動化等系統。該兩系統的可靠性、實時性和安全性要求高。內部威脅存在共性，選取各自具有代表性的威脅展開分析。

1)變電站自動化系統

承擔變電站的監視與保護控制功能，采用3層兩網架構進行數據上傳和指令下發[46 - 47]，可能面臨的內部安全風險如圖1所示。

圖1 變電站信息傳播內部安全風險Fig.1 Substation information dissemination internal security risk

(1)入侵風險。運維及廠商售后等內部人員站內作業時可能發生運維筆記本與外網連接或用系統內部服務器主動連接外網等違規操作。內網聯接外網不但可能泄漏機密數據，外部惡意攻擊者還可能借此擺渡滲透進入內網。

(2)傳播風險。內部人員違規/誤操作導致信息傳播的信道資源阻塞和網絡資源耗盡等，導致報文傳播失敗或時延過大。

(3)失效風險。內部人員違規/誤操作導致傳遞到信宿的報文時延過大失效、報文內容遭篡改失效以及非法報文被誤用為有效信息導致保護控制等功能失效。

此外，智能變電站采用SCD文件記錄全站設備配置與控制信息[48]，各種應用和業務信息存在強耦合，進行檢修或改擴建時需局部改動，容易因操作失誤導致版本控制混淆和信息錯亂，使得監視與保護控制系統功能紊亂，甚至可能導致誤動或拒動。

2)調度自動化系統

承擔電網整體的監視與控制功能。內部人員可基于系統拓撲和配置知識，發起虛假數據注入攻擊，從同步相量測量單元(phasor measurement unit，PMU)注入虛假測量數據，以規避狀態估計器的檢測，誤導調度控制中心做出錯誤決策[49]，主要過程如下：假設x=(x1,x2,…,xn)′為電網的真實系統狀態相量，z=(z1,z2,…,zm)′為PMU采集的測量數據，其中m、n為正整數，對于i=1,2…,n、j=1,2…,m、xi,zj∈R， 利用直流功率流模型，PMU讀數和實際狀態間的關系可表示為：

z=Hx+η

(1)

式中：H為m×n的雅克比矩陣，表示系統拓撲和配置；η=(η1,η2,…,ηm)′～N(0,W)為一個獨立的測量誤差向量，有零均值和協方差W。若用最大似然估計估計系統真實狀態，其狀態向量為：

(2)

zbad=z+Hc

(3)

式中：c為期望注入到x中的偏移量，系統的真實狀態估計向量可能變成：

(4)

通過向PMU導入虛假數據，使得式(2)所示的狀態向量變為式(4)所示，導致調度人員可能根據虛假數據做出錯誤決策，從而危害系統安全運行。

2.1.2 市場營銷系統

市場營銷系統包含面向終端用戶的計量自動化與營銷系統和面向發電商與大用戶的電力市場競價交易系統，兩者都涉及重大經濟利益，存在較突出的內部威脅。計量自動化與營銷系統是實現電網與用戶側網絡互動、優化資源配置的基礎，主要由智能電表與計量終端、通信網絡、計量主站與營銷系統等4個部分組成，用電信息采集與營銷系統風險分布圖如圖2所示。

圖2 用電信息采集與營銷系統風險分布圖Fig.2 Risk distribution map of electricity consumption information acquisition and marketing system

計量終端部署于用戶側，點多面廣，多采用載波和無線虛擬專網通信。攻擊方不但可能侵入智能電表和數據集中器等終端，篡改電費數據及控制用戶供電，還可能以此為跳板滲透侵入主站，此后可攻擊造成大量用戶遠程費控停電或使得主站閉鎖，破壞后果遠超針對單個用戶的攻擊。在終端層要求配置國密算法的嵌入式安全芯片，對與主站的通信進行身份認證并加密控制指令[50]；在主站為接入終端增設安全接入區，進行安全態勢感知以構筑縱深防御體系。

內部人員具有計量與營銷系統主站訪問權限，攻擊行為與外部攻擊有明顯差異，主要表現為以下幾個方面。

1)用戶數據失密。開放售電業務后，售電公司可能通過內部人員從營銷系統違規獲得優質客戶信息。用戶用電行為數據是開展用電增值服務的重要基礎，是供電企業的核心資產；第三方綜合能源服務商也有通過內部人員獲取用戶數據的利益沖動。

圖3為遠程費控業務流程。

圖3 遠程費控業務流程Fig.3 Business process of remote charge control

2)違規發布控制指令。供電企業按圖3流程進行電費核發和欠費用戶遠程費控。完成電費核算后，形成需要進行遠程費控的欠費用戶列表；審核人員核查后執行遠程費控停電。合法用戶可能因習慣性違章或惡意破壞、跳過崗位權限分割，代為授權發布遠程費控指令，可能造成導致大量用戶停電的破壞性后果。

3)惡意攻擊。在比特幣等可逃避身份追查的新型支付方式掩護下，面向基礎設施監控系統的定向勒索攻擊快速增長，形成了成熟的攻擊破壞與收益兌付業務模式。為擴大可接觸到的高價值行業目標，部分勒索軟件攻擊方利用暗網招募目標企業內部人員，得手后再以比特幣形式進行攻擊收益分紅。2021年8月，勒索軟件攻擊組織LockBit 2.0就被發現在暗網中招募高價值行業機構內部工作人員，隨后攻擊了位列財富500強的埃森哲公司并索要5 000萬美元贖金[51]。接觸系統后臺的工作人員、特別是第三方人員進行技術服務時，可能帶入此類安全風險。

電力市場中，發電公司與售電商在競價交易系統中進行市場競價，形成購電、售電申報曲線。獲取其他市場主體的報價數據，可推斷對手的報價策略等關鍵信息，獲得競價優勢。在巨大的利益誘惑下，各市場主體均可能以包括通過內部人員竊取交易數據等方式獲得競爭優勢。為維護交易秩序，需要設計針對性的防護措施。

2.2 CPPS內部威脅防護

本文將CPPS內部威脅防護分為安全規程指導、防誤技術研究、領域知識應用、權限分配研究和數據泄漏防護等5個大類，如表3所示。

表3 CPPS內部威脅防護方法Tab.3 Protection of insider threat in CPPS

2.2.1 安全規程指導

在內部威脅防護中，主管部門頒布的網絡安全規范明確要求如下。

各業務系統應逐步采用數字證書，對系統登錄和資源訪問進行身份認證、訪問控制和安全審計；生產控制大區需要具備日志數據收集和自動分析的審計功能，以便及時發現違規行為；在日常安全管理中強調加強內部人員保密教育、錄用、離崗等的管理，內部人員應當簽署并遵守保密協議[52]。

加強全體安全防護人員的安全管理和培訓教育，特別要加強對廠家維護及評估檢測第三方人員的安全管理，提高全體內部人員和相關外部人員的安全意識[53 - 54]。

在變電和配電部分都要求采用工作票、許可及監護制度，減少個人錯誤決策[55]。

要從訪問控制、安全審計、管理制度、授權和審批以及人員離崗等方面保障系統安全；應授予管理用戶所需的最小權限，實現管理用戶的權限分離；對每個用戶和重要的用戶行為和安全事件啟用安全審計功能；對管理人員或操作人員執行的日常管理操作建立操作規程；及時終止離崗人員的所有權限，取回身份識別證件及配備的物理設備。對內部用戶非授權聯接外網進行檢查或限制；由授權主體配置訪問控制策略并規定訪問規則，訪問控制粒度應達到主體為用戶級或進程級[56]。

電力企業和研究人員根據規范要求進行了防護部署和相關研究，其中關于防誤技術、領域知識應用、權限分配和數據泄漏防護研究相對成熟。

2.2.2 防誤技術研究

內部人員誤操作是CPPS最常見的內部威脅。智能變電站進行檢修維護和改擴建時都要改動全站系統配置(substation configuration description，SCD)文件，容易出現失誤。針對變電站內各IED的相互關系離散、模型結構層次多且涉及運維和廠商等不同部門人員，配置維護和管控困難的問題，文獻[48]提出了基于角色的SCD文件安全訪問控制方案，可實現文件版本管理、變更控制和在線監視，保障SCD文件的一致性、合法性和有效性。為了適應改動和確認SCD文件版本及內容一致性的需要，文獻[57 - 58]提出利用循環冗余校驗碼校驗來實現SCD文件的版本管理。

變電站運檢調控時發生誤操作較常見，傳統上主要依賴五防系統防誤。隨著調控一體化運行模式的普及，大量場站現場操作改為遠程控制。遠程防誤在防誤信息、二次設備狀態及主子站防誤信息“源端維護”和邏輯一致性校核等方面發生明顯變化[60]，研究人員圍繞該類風險防控展開了大量研究。文獻[59]提出了調控一體化指令票與防誤系統的關聯約束關系，建立電網調控端遠方操作防誤系統。在此基礎上，文獻[60]研究了基于主子站協同的二次設備防誤技術，實現二次設備采集、模型擴展和防誤規則建立，構建了設備與設備、站與站之間的防誤邏輯，可以涵蓋電網各種運行狀態下一、二次設備操作防誤。文獻[61]以壓板、空開、把手等二次設備信息為研究對象，采用非電量感應技術采集設備狀態，提出了更具普適性的防誤規則。

結合業務流程針對性設計防誤流程，可有效提高應對內部威脅的能力。為提高防誤設計的實用性，需要構建貼近實際電網的虛擬環境，進行防誤流程的適用性驗證，以提高防誤檢測的準確率。

2.2.3 領域知識應用

知識工程的快速發展促進了領域知識在智能電網中的應用，領域知識在電力調度和運檢方面的研究應用為調度和運維人員提供了有力的輔助決策支持，突破了依賴經驗的處理決策和操作瓶頸。

電力調度方面主要集中于自然語言識別處理與知識圖譜技術的組合應用。文獻[62]概述了知識工程在電力系統中的應用與發展，設計了基于不特定領域知識圖(not only domain-specific knowledge graph, NoDKG)思想的電力領域知識圖譜應用框架；文獻[63]提出了面向電網調度故障處理的知識圖譜框架，將大量以文本形式存在的操作規程、處置預案、調度細則等非結構化內容凝練為可表示、可操作、可推理的結構化知識網絡；文獻[64]提出了自底向上和自頂向下相結合的調度系統知識圖譜構建方法；文獻[65 - 66]基于人工智能技術對調控知識庫構建、調控智能決策等關鍵技術給出了解決方案，克服了傳統基于人工離線規則的調度決策機制難以為繼的問題。

電力運檢方面，領域知識應用主要集中應用于設備故障預測、診斷和推理。文獻[67]構建了基于BiLSTM-CRF模型與知識圖譜的二次設備功能缺陷智能診斷與輔助決策平臺。文獻[68]利用設備缺陷記錄語料構建電力設備缺陷知識圖譜，借助圖搜索方法提升缺陷記錄檢索的效果。文獻[69]以直流潮流模型和狀態估計模型為基礎，提取了3個行為規則來檢測設備運行狀態，折衷考慮檢測精度和誤報，取得了滿意的效果。

領域知識是推動電力系統智能化的核心驅動力之一，應用領域知識進行內部威脅防護主要還存在以下挑戰：研究主要集中于調控和運檢輔助決策，對其他業務場景的研究 相對缺乏；電力業務場景復雜，知識信息多源異構，難以歸納出精確的知識，可能對輔助決策造成負面影響；某些業務場景專業人員可基于小樣本和經驗做出決策，而知識提煉需要大量樣本，合理靈活的選取應用場景值得考量。

2.2.4 權限分配研究

合理的權限分配有利于防范內部攻擊，需要采用訪問控制模型來提供必要的權限管理，防止惡意使用。基于角色的訪問控制(role-based access control，RBAC)模型引入的角色概念可在用戶和權限間建立連接，顯著降低了授權管理的復雜性，應用最為普及[70 - 72]。電力系統現有相關研究基本上都是對RBAC模型的適應性改進。圖4為數據采集與監視控制系統(supervisory control and data acquisition，SCADA)系統RBAC模型。

圖4 SCADA系統RBAC模型Fig.4 RBAC model of SCADA system

文獻[70]提出了考慮SCADA調度員行為異常告警來動態調整角色權限的擴展RBAC模型，可在威脅變化、出現異常使用告警和不同的運行狀態下動態調整用戶權限。根據該擴展模型設計了基于反饋操作員命令和系統狀態實現動態信任管理的自適應信任管理器，結構示意如圖4所示。文獻[71]將用戶身份可信與行為可信相結合，基于登錄時間、地點和口令的異常程度評價用戶可信度，進而提出基于可信度的訪問控制模型，通過設置可信度激活閾值來實現系統的靈活授權。文獻[72]針對電力企業資源計劃(enterprise resource planning, ERP)用戶數量眾多、角色定義隨時間和業務調整頻繁變化的特點，對RBAC模型進行細粒度擴充，實現角色、操作和對象的多級管理及細化控制。針對經典RBAC模型缺少責任區劃分、難以在電力系統多區域、多層次復雜環境下進行權限控制和避免跨管轄范圍誤操作的問題。文獻[73]提出了基于多區域的訪問控制模型，將SCADA系統權限分為區域權限和公共權限，以區域分配權限，既降低了權限管理工作的難度，又可避免合法用戶跨管轄范圍的誤操作，提高了系統的可靠性。

權限分配的細化設計有助于管控人為因素帶來的內部威脅所能造成的危害后果。但在實施層面上還存在一些問題，如用戶可能違規借用他人用戶權限，這種管理上的問題很難通過權限分配來解決。

2.2.5 數據泄漏防護

智能電表采集的用電數據需經低壓載波和無線通信傳輸，攻擊界面大。為保障用戶數據安全，科研人員從密鑰管理、數據加密聚合和雙向認證等方面展開研究。文獻[74]基于密碼技術，面向用戶用電隱私數據提出了圖5所示添加致盲因素的數據聚合方案；文獻[75]指出該方案存在秘鑰安全缺陷，難以滿足數據安全性要求，并提出通過綁定用戶公鑰與對應ID的CA證書來消除安全漏洞。針對秘鑰安全性問題，文獻[76]提出了基于區塊鏈的智能電表密鑰管理方法，提高秘鑰管理安全性與時效性。文獻[77 - 78]提出采用同態加密算法保證量測數據的機密性。文獻[79]構建了一種支持第三方參與仲裁的具有隱私保護和完整性驗證的數據聚合安全方案，具有良好的運算效率和通信效率。文獻[80]提出向用戶電量添加掩蔽隨機數。相比于同態加密，該方法隱私保護效果較好，但存在計算開銷大的弊端。

圖5 用電數據聚合系統模型Fig.5 Power consumption data aggregation system model

需要指出的是，內部威脅造成的數據泄露更多的是合法人員從主站系統大量導出敏感數據所致，前述計量數據泄露防護研究主要面向計量終端，難以應對主站側數據泄漏。針對影音視頻文件的盜版現象，文獻[81]提出了基于數字水印的文件朔源識別技術，對于文本文件和數據文件也可采用文本格式或數字尾數等隱秘位置標記水印來對失密文件朔源[82]。與計算機領域版權保護要求不同，竊取的數據一般只會私下牟利而不公開，該類技術同樣不適用于防止主站數據泄漏。

3 研究展望

3.1 CPPS內部威脅的針對性防護方法

當前，CPPS防護內部威脅多沿用一般信息系統內部威脅防護措施，未來需要結合自身特點針對性地設計防護方法。

3.1.1 CPPS與一般信息系統差異性分析

CPPS是現代社會的關鍵性基礎設施，遭攻擊破壞可能嚴重危及國家與社會安全。區別于傳統信息安全需求的保密性、完整性和可用性特性，在絕大部分業務場景中，CPPS對信息的可用性、完整性、機密性要求更高。應對外部攻擊時，一般信息系統常用的入侵檢測、防火墻和病毒檢測等安防措施難以滿足CPPS的防護要求。與之類似的，一般信息系統應付內部威脅常用的權限管理及異常檢測，也不足以有效管控CPPS的相關風險。

在外部威脅防護研究中，研究人員充分利用CPPS與一般信息系統的差異特性，提出了一些行之有效的措施。首先，利用調度數據專網的優勢，在控制區邊界部署單向網閘，構建了邊界安全的基礎；其次，利用業務系統為封閉環境的特點，采用訪問控制措施，只有得到授權認可的設備才可接入控制區；最后，利用控制系統運行環境明確固定的特點，設置通信IP和端口的白名單，只允許入網設備與限定的IP地址和端口通信。上述措施極大地降低了外部威脅滲透入侵的概率，即便攻擊滲透侵入控制區，在不具備專業知識的條件下也很容易暴露行蹤，難以實現攻擊破壞。

本文認為，內部威脅的防護完全可以借鑒前述思路，基于CPPS的差異特性提出針對性的防護措施。既有的內部威脅防護措施主要面向一般信息系統中共性的內部威脅進行檢測防護。CPPS是執行具體業務功能的系統，具有業務流程確定等特性。可以結合承載的業務分析內部威脅潛在的危害模式，進而從業務流程等細節上來針對性地設計防護措施。

3.1.2 從業務出發的針對性防護方法設計

一般信息系統中，除用戶角色和權限分組外很難提煉共性特點來進行內部威脅防護。而CPPS承載具體業務功能，可以根據業務功能分析確認內部威脅造成破壞的模式及所要達成的目的，進而針對性地設計防護措施。

1)基于業務的內部威脅分析與異常檢測

營銷系統數據泄漏是有突出風險的內部威脅，具有崗位權限的工作人員同樣可能導出用戶信息牟利，現有身份權限管理機制難以準確識別該類內部威脅。

識別竊取用戶信息的內部威脅需要給出行為異常的判別標準。該類行為可能表現為大量檢索和導出用戶數據，分析用戶訪問數據庫導出數據所用的SQL語句，是判斷行為異常的一種方式。因為竊取信息往往需要大量導出數據，根據用戶是否大量拷貝或郵件發送數據，是更直觀可行的異常檢測方式。

2)基于業務的內部威脅攻擊樣本構建

對工作人員網絡行為數據進行數據挖掘，是檢測內部威脅的重要途徑。利用深度學習可以自動提取特征項，可以提高內部威脅的異常檢測效果。基于異常的內部威脅檢測面臨突出的樣本不平衡問題，由于缺乏實際內部威脅的樣本數據，目前都是采用入侵檢測等標準數據集或在其基礎上按特定規則產生的異常樣本。負面樣本的缺乏嚴重制約了基于異常的內部威脅檢測應用。因為一般信息系統中攻擊破壞模式不確定，該問題很難解決。

在具有確定業務功能的CPPS中，可以根據系統業務功能，從工作人員的目的出發分析內部威脅的破壞模式，然后在生產環境或安全靶場中按設定的攻擊模式產生異常樣本，即可消除內部威脅攻擊樣本不足的不利影響，提高對預設模式內部威脅攻擊的檢測和防護效果。

3)基于業務流程合規性校核的防誤設計

操作防誤是內部威脅防護的重點對象。利用實際業務往往有特定流程的特點，可以設計基于流程合規性校核的防誤方法。計量與營銷系統的遠程費控業務流程如圖6所示。執行欠費用戶遠程停電操作前，需根據前一賬務周期凍結表碼測算本周期電費，確認用戶賬戶扣減電費后余額小于零；經審批后，方可由營銷系統密碼機加密再由計量系統執行遠程費控，計量系統在遠程費控指令下發過程中僅起到透明傳輸作用。含指令合規性校核的遠程費控業務流程圖如圖7所示。

圖6 遠程費控業務流程圖Fig.6 Flowchart of tariff based remote control of meters

圖7 含指令合規性校核的遠程費控業務流程圖Fig.7 Flowchart of remote control of meters with compliance check

營銷人員盜用審核權限違規向大量用戶發起遠程費控，可能導致嚴重后果。簡單基于身份進行權限管理，并不能杜絕此類問題。利用計量與營銷系統在業務上緊密關聯又相互獨立的特點，可如圖7在計量系統中增設電費校核模塊，對營銷系統下發的費控指令進行合規性校核，只有電費扣減后賬戶電費余額小于0時才允許執行費控操作。因計量是與營銷相對獨立的系統，營銷人員違規操作難以繞過計量系統的合規性校核，因而可避免營銷工作人員和廠商維護人員的內部威脅。

3.2 基于區塊鏈技術的內部威脅防護

新型電力系統將形成大量分布式新能源并網、跨區域輸電、用戶深度參與需求響應的環境，電力市場參與者眾多，用戶既是售電方也是購電方，內外部邊界模糊，傳統的內部威脅定義及對應的防護措施均可能失效。

區塊鏈技術以其去中心化、安全透明、不可篡改等特性在能源市場交易中具有廣泛應用前景。文獻[83]基于對自動需求響應業務的需求分析，提出了區塊鏈技術解決方案。文獻[84]提出了基于有向無環圖拓撲的公平委托權益證明共識機制區塊鏈技術的分布式能源交易管理方法，確保交易市場的安全、高效、穩定運行。文獻[85]利用區塊鏈具備的數據透明性和可靠性，提出基于區塊鏈技術的多微網系統競爭博弈模型，有效減少惡性競爭，各市場主體可在完全信息條件下實現動態博弈。此外，區塊鏈技術的跟蹤回溯機制可從用戶側查驗歷史行為，挖掘用戶特征，實現事件溯源。區塊鏈目前主要在能源交易市場應用，未來如何在生產控制等系統中推廣應用，協助防護內部威脅，值得進一步研究。

3.3 基于零信任的內部威脅防護

云計算與物聯網技術的發展催生了電力物聯網的發展，移動辦公與業務上云在業務靈活需求下快速演進，傳統的內部威脅防御體系在電網向無邊界方向發展過程中愈發捉襟見肘。

零信任強調網絡邊界內外的任何訪問主體(人/設備/應用)在未經驗證前都不予信任，需要基于持續的驗證和授權建立動態訪問信任，突破了傳統身份權限模型的局限性，保證了合法內部人員基于合法受控終端通過合法應用和進程，發起對客體的合法訪問。文獻[86]在全面分析電力移動互聯網業務風險的基礎上，從用戶、終端和應用多個角度設計了一個基于零信任的電力移動互聯業務安全防護框架，打破了傳統預設內網安全假設。文獻[87]借鑒信任度計算和動態訪問控制，提出了一種PIoT終端零信任安全防護方案，提高了終端設備安全運行的可靠性。文獻[88]針對內部人員帶來的數據泄漏問題，提出了一種基于零信任原則的數據防御機制，并基于真實場景進行了可行性驗證。不少研究表明，零信任可突破傳統身份認證靜態瓶頸，持續可信認證以保證內部操作的合法性。但是，零信任需要系統具備強大的身份驗證機制，某些電力終端有限的計算資源可能難以滿足性能需求，另外，身份認證的耗時可能減弱業務敏捷性，對時限要求高的場景可能并不適用。因此，選取合適的業務場景以發揮零信任持續可信認證優勢在內部威脅防護中的應用值得進一步探討。

4 結語

CPPS系統中，內部人員的誤操作、違規操作和惡意攻擊行為夾雜在大量正常行為當中，具有隱蔽性強、破壞性大和檢測困難的特點，容易造成嚴重的攻擊破壞后果。本文圍繞CPPS內部威脅的安全防護展開分析，開展的工作如下。

1)從內部威脅的定義和分類出發，梳理了內部威脅的模型、動機與異常行為分析及用戶行為檢測方面的研究，分析指出在一般信息系統基礎上發展起來的內部威脅檢測方法和測試數據集脫離具體業務背景，存在比較明顯的局限性。

2)結合具體業務系統分析指出了CPPS面臨的內部威脅；從安全規程指導、防誤技術研究、領域知識應用、權限分配研究和數據泄漏防護等方面歸納分析了既有的CPPS內部威脅防護方法。

3)對比CPPS和一般信息系統的差異，提出可利用CPPS承載具體業務的特點，根據業務邏輯分析潛在攻擊模式和構建攻擊樣本，針對性設計防誤機制，并展望了區塊鏈技術和零信任在相關領域的應用前景。