电力信息物理系统的攻击行为与安全防护.docVIP

电力信息物理系统的攻击行为与安全防 护 李田苏盛杨洪明文福拴王冬青朱林 智能电网运行与控制湖南省重点实验室（长沙理工大 组浙江大学电气工程学院文莱科技大学电机与电 子工程系南瑞集团公司（北京）田纳西大学电气工 程与计算科学系 李田（1994一），女，研宂生，主要研宂方向：电力系统网络安 全防护。E-mail: 649081337@：苏盛（1975—），男，通信作者士，副教授，主耍研究方向：电 力系统大停电风险分析。E-mail:eessheng@163. com 杨洪明（1972_），女，通信作者，，教授，主要研究方向：电 力控制、电力市场，能源互联网。期:20-08-06 基金:国家自然科学基金 Attacks and Cyber Security Defense in Cyber-physical Power System LI Tian SU Sheng YANG Hongming WEN Fushuan WANG Dongqing ZHU Lin Hunan Province Key Laboratory of Smart Grids Operation and Control (Changsha University of Science and Technology) ; College of Electrical Engineering, Zhejiang University; NARI Group Corporation (Beijing) ; Department of Electrical Engineering and Computer Science, The University of Tennessee; Received： 2017-08-06 0引言 电力信息物理系统(cyber-physical system, CPS)中，电网调度控制和生产管 理高度依赖信息与通信系统，信息系统的异常及网络攻击都可能威胁电力系统 的安全稳定运行。近期发生的Wanncry等勒索病毒事件表明网络安全领域真实存 在能力远超一般个体的“国家队”。作为现代社会的关键性棊础设施，电力系统 是国家级网络对抗的重点目标U1。因CPS与普通信息系统在攻击模式、途径和 破坏后果上存在显著差异，需要结合这些差异性特征分析潜在的入侵攻击模式， 才能有针对性地设计出适合电力CPS的安全防护方法。在网络攻击“国家队”面 前，并不存在绝对的网络安全，有必要从风险管理角度出发，以既有安全防护 措施失效为前提，研宄潜在的攻击途径，多视角剖析最大化破坏效果的攻击模 式，再以保障不造成大停电等恶性事故为底线，查漏补缺，针对性地部署防上 措施，实现电力CPS网络安全风险的有效管控。 1电力CPS攻击行为差异分析 电力CPS和一般信息系统间及国内、外CPS间均存在明显差异，这将对攻击來源 及攻击模式产生突出影响。 1.1信息系统与电力CPS差异分析 电力CPS涉及一次设备的在线监视和实时保护控制，可用性和实时性要求远高 于一般信息系统，在安全防护需求上也存在突出差异。 为强化安全防护，电力CPS多采用物理隔离或虚拟专网通信等方式构筑安全 边界;重要性突出的电力调度自动化等系统还可能有系统级备用。 信息系统遭攻击后多可重启恢复正常运行，并不一定造成巨大损失；电力 CPS信息系统重启往往意味着对应物理系统跳闸停机，可能造成巨大损失。某些 场景下，甚至系统重启本身即已达成攻击目的。 电力CPS包含大量过程层控制智能电子设备，需在有限计算、通信资源约束 下高实吋完成工作任务。 信息系统可通过安装补丁升级包或更新软件版本强化安全防护水平;为避免 应用软件和操作系统兼容性问题，电力CPS的过程层设备往往需经过严格的兼 容性测试验证冰能安装补丁升级包或更新软件。 电力CPS与一般信息系统差异性对比如图1所示。电力CPS结构复杂，包含信息 系统、物理系统及其交互接U。对不同CPS发起同类型攻击可能造成明显不同的 破坏效果，需要有深入的背景知识支撑，方可最大化破坏效果。以祀绝服务攻击 为例，阻断变电站或调度自动化系统的网络通信，会导致变电站或电网暂时失 去保护和监视控制，但并不会直接异致线路跳闸停运等事故;而对发电厂发起拒 绝服务攻击时，机组控制系统将因失去状态量而跳闸停机。实际上，病毒软件经 设备厂商维护渠道侵入生产控制区的现象并不罕见，只是因为这些病毒软件不 是针对电力系统设计的，才没有产生严重后果。 图1电力CPS与一般信息系统差异性对比Fig. 1 Difference comparison of general ICT system and CPS图 1.2国内外电力CPS差异分析 网络攻防博弈中，防御方需要防护住所