茹葉棋，周斌，吳亦貝，李俊娥，袁凱，劉開(kāi)培

(1.武漢大學(xué)電氣工程學(xué)院，武漢市430072；2.國(guó)電南瑞科技股份有限公司，南京市 211106；3.武漢大學(xué)計(jì)算機(jī)學(xué)院，武漢市 430072； 4.空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室(武漢大學(xué))，武漢市 430072)

考慮網(wǎng)絡(luò)攻擊因素的電網(wǎng)信息物理系統(tǒng)業(yè)務(wù)可靠性分析

茹葉棋1，周斌2，吳亦貝1，李俊娥3，4，袁凱1，劉開(kāi)培1

(1.武漢大學(xué)電氣工程學(xué)院，武漢市430072；2.國(guó)電南瑞科技股份有限公司，南京市 211106；3.武漢大學(xué)計(jì)算機(jī)學(xué)院，武漢市 430072； 4.空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室(武漢大學(xué))，武漢市 430072)

電網(wǎng)信息物理系統(tǒng)(grid cyber physical system, GCPS)的主要特征是信息空間和電力空間的深度融合與交互影響。針對(duì)智能電網(wǎng)廣域?qū)崟r(shí)保護(hù)控制業(yè)務(wù)，首先研究了信息業(yè)務(wù)對(duì)物理系統(tǒng)可靠性影響的表征方式，建立信息設(shè)備關(guān)聯(lián)的業(yè)務(wù)可靠性模型。在此基礎(chǔ)上，引入設(shè)備可靠性因子，提出考慮攻擊因素的信息設(shè)備可靠性評(píng)估指標(biāo)，并給出了結(jié)合層次分析法(analytic hierarchy process, AHP)和貝葉斯網(wǎng)絡(luò)的業(yè)務(wù)可靠性量化評(píng)估方法。通過(guò)算例研究，確定了考慮攻擊因素的情況下系統(tǒng)的薄弱環(huán)節(jié)，并分析不同冗余程度的信息系統(tǒng)對(duì)業(yè)務(wù)可靠性的影響，并且與已有方法進(jìn)行對(duì)比，驗(yàn)證了所提方法的可行性和合理性。

電網(wǎng)信息物理系統(tǒng)(GCPS)；業(yè)務(wù)可靠性；網(wǎng)絡(luò)攻擊；層次分析法(AHP)；貝葉斯網(wǎng)絡(luò)

0 引 言

隨著智能電網(wǎng)戰(zhàn)略的推進(jìn)，電網(wǎng)數(shù)字化和信息化水平逐漸提高，能量流和信息流的交互影響愈發(fā)增強(qiáng)。在此背景下，提出將電力信息物理融合系統(tǒng)(cyber physical system，CPS)作為下一代電力系統(tǒng)基本架構(gòu)，也稱(chēng)為電網(wǎng)信息物理系統(tǒng)(grid cyber physical system，GCPS)[1]。GCPS可以充分反映電網(wǎng)正常運(yùn)行時(shí)的物理過(guò)程和信息過(guò)程，體現(xiàn)兩者的深度融合和交互影響，以期在達(dá)到系統(tǒng)安全穩(wěn)定運(yùn)行目標(biāo)的同時(shí)提升系統(tǒng)整體性能[2]。

由于GCPS對(duì)信息網(wǎng)絡(luò)的依存度越來(lái)越高，信息系統(tǒng)的失效也將顯著影響物理系統(tǒng)的運(yùn)行，甚至可能導(dǎo)致電力系統(tǒng)發(fā)生嚴(yán)重的停電事故。作為一個(gè)典型的例子，發(fā)生在2003年的“美加大停電”的主要原因就是信息系統(tǒng)失效，狀態(tài)估計(jì)功能退出運(yùn)行，控制中心失去對(duì)電網(wǎng)實(shí)時(shí)狀態(tài)的感知能力，繼而引發(fā)連鎖故障[3]。發(fā)生在2015年底的烏克蘭電網(wǎng)大停電事件，被認(rèn)為是第1例由網(wǎng)絡(luò)攻擊造成的停電事故，其主要成因是網(wǎng)絡(luò)攻擊導(dǎo)致能量管理系統(tǒng)喪失控制功能，造成部分設(shè)備運(yùn)行中斷[4]。此類(lèi)事件的發(fā)生讓人們認(rèn)識(shí)到針對(duì)GCPS的可靠性分析已經(jīng)不能局限在傳統(tǒng)電力系統(tǒng)的角度，來(lái)自信息系統(tǒng)的不確定因素也需要得到更多的重視。為此，GCPS 的信息系統(tǒng)可靠性分析是現(xiàn)階段亟需研究的重要問(wèn)題之一。

關(guān)于電網(wǎng)信息物理系統(tǒng)的可靠性分析，國(guó)內(nèi)外學(xué)者已經(jīng)進(jìn)行了一定研究。文獻(xiàn)[5]定性分析了電網(wǎng)信息物理系統(tǒng)安全評(píng)估的必要性，考慮信息故障對(duì)物理系統(tǒng)的影響，提出電網(wǎng)CPS的綜合安全評(píng)估體系，但文章并沒(méi)有進(jìn)行深入的可靠性和安全性量化評(píng)估。文獻(xiàn)[6]總結(jié)概述了電力空間和信息空間之間存在的交互關(guān)系，提出以狀態(tài)概率表的方法量化分析信息故障的系統(tǒng)可靠性，但是對(duì)信息系統(tǒng)作用方式的分析過(guò)于簡(jiǎn)單。文獻(xiàn)[7]提出了信息系統(tǒng)功能可靠性模型。該模型基于信息設(shè)備的物理特征對(duì)信息系統(tǒng)進(jìn)行可靠性量化評(píng)估，但沒(méi)有考慮系統(tǒng)安全措施和網(wǎng)絡(luò)攻擊隱患等環(huán)境條件。此外，也有一部分研究重點(diǎn)聚焦于特定系統(tǒng)的可靠性和安全性評(píng)估，如智能變電站自動(dòng)化系統(tǒng)和數(shù)據(jù)采集與監(jiān)控(supervisory control and data acquisition, SCADA)系統(tǒng)等[8-12]。這些研究從不同的角度研究了GCPS中信息空間與電力空間的交互作用，但存在對(duì)信息系統(tǒng)考慮不全面，交互機(jī)制研究不深入且缺乏系統(tǒng)性等不足。

在GCPS中，信息空間與電力空間的交互影響主要依賴(lài)于控制業(yè)務(wù)，因此分析和評(píng)估影響控制業(yè)務(wù)可靠性的因素，是考慮信息空間因素的GCPS可靠性評(píng)估的重要內(nèi)容。保護(hù)控制業(yè)務(wù)是電網(wǎng)主要的控制業(yè)務(wù)，具有最高的實(shí)時(shí)性要求，且正在從本地和非實(shí)時(shí)控制發(fā)展為廣域?qū)崟r(shí)控制。本文針對(duì)智能電網(wǎng)中的廣域?qū)崟r(shí)保護(hù)控制業(yè)務(wù)，建立與信息設(shè)備關(guān)聯(lián)的業(yè)務(wù)可靠性模型。分析信息設(shè)備失效對(duì)物理系統(tǒng)的影響方式，提出業(yè)務(wù)失效對(duì)物理系統(tǒng)影響的信息-物理作用形式化表示。在此基礎(chǔ)上，提出考慮攻擊因素的信息設(shè)備評(píng)估指標(biāo)，建立業(yè)務(wù)可靠性評(píng)估流程，并利用層次分析法(analytic hierarchy process, AHP)和貝葉斯網(wǎng)絡(luò)計(jì)算業(yè)務(wù)可用率。運(yùn)用該方法可以定量分析GCPS系統(tǒng)通信業(yè)務(wù)的可靠性。

1 GCPS信息空間與電力空間影響關(guān)系

1.1 GCPS信息空間的影響方式

信息空間對(duì)GCPS的影響方式主要有以下3種：傳輸延時(shí)、傳輸中斷和傳輸錯(cuò)誤[13]。

1.1.1 傳輸延時(shí)和傳輸中斷

傳輸延時(shí)和傳輸中斷對(duì)系統(tǒng)的影響從本質(zhì)上分析是一樣的，通過(guò)這2種方式阻礙信息的正常傳輸，影響通信的正常接收和送達(dá)功能，導(dǎo)致數(shù)據(jù)不能及時(shí)到達(dá)目標(biāo)設(shè)備。在SCADA系統(tǒng)中，如果下級(jí)子站上傳至控制中心的電壓、電流信號(hào)延遲甚至中斷，將會(huì)影響上級(jí)中心的決策。

傳輸延時(shí)和傳輸中斷產(chǎn)生的原因可能是信息設(shè)備、通信信道的物理故障，通信網(wǎng)絡(luò)的拓?fù)涓淖?，也可能是網(wǎng)絡(luò)攻擊，比如拒絕服務(wù)攻擊、黑洞攻擊等。

1.1.2 傳輸錯(cuò)誤

產(chǎn)生數(shù)據(jù)傳輸錯(cuò)誤類(lèi)故障時(shí)，某些信息支路的實(shí)際輸出數(shù)據(jù)與理想數(shù)據(jù)存在一定偏差，將可能直接影響一次設(shè)備的正確動(dòng)作。例如，當(dāng)控制中心需要下發(fā)功率調(diào)節(jié)指令到廠站的某臺(tái)發(fā)電機(jī)時(shí)，可能將來(lái)自其他發(fā)電機(jī)或者不真實(shí)的調(diào)度指令錯(cuò)誤地下發(fā)到了這臺(tái)發(fā)電機(jī)，進(jìn)而影響正常的潮流轉(zhuǎn)移，引起電網(wǎng)波動(dòng)。

導(dǎo)致傳輸錯(cuò)誤類(lèi)故障的原因有多種，可能由來(lái)自固有的系統(tǒng)量測(cè)誤差、數(shù)據(jù)傳輸時(shí)誤碼率過(guò)大等原因的壞數(shù)據(jù)引起，也可能由錯(cuò)誤數(shù)據(jù)注入攻擊、重放攻擊等人為的惡意攻擊導(dǎo)致的虛假信息造成。

1.2 GCPS信息空間與電力空間關(guān)聯(lián)模型

信息空間對(duì)于電力空間的影響分為直接作用和間接作用[14]。由于間接作用不會(huì)直接導(dǎo)致電力一次設(shè)備故障，其作用方式不容易進(jìn)行形式化表述，所以，本文主要考慮直接作用的關(guān)聯(lián)模型，研究其對(duì)電力系統(tǒng)可靠性的影響。

定義1 信息系統(tǒng)設(shè)備是指智能電子設(shè)備(intelligent electronic device，IED)、服務(wù)器、交換機(jī)、網(wǎng)絡(luò)接口和其他設(shè)備的總和。IED從電力設(shè)備收集數(shù)據(jù)并且傳送給服務(wù)器，同時(shí)也將從調(diào)度中心接收的控制命令應(yīng)用于電力設(shè)備。

定義2 信息系統(tǒng)業(yè)務(wù)是指為保證電力系統(tǒng)運(yùn)行，電力信息系統(tǒng)需要執(zhí)行的多種任務(wù)。這里的業(yè)務(wù)主要指能夠?qū)σ淮卧O(shè)備動(dòng)作產(chǎn)生直接作用的業(yè)務(wù)，如斷路器控制業(yè)務(wù)。

定義3 電力系統(tǒng)元件是指電力一次系統(tǒng)中可以被信息網(wǎng)絡(luò)直接控制執(zhí)行動(dòng)作的各類(lèi)設(shè)備，如斷路器、變壓器等[15]。

采用圖的串聯(lián)模型表征信息空間與電力空間的直接作用關(guān)聯(lián)模型，如圖1所示。其關(guān)聯(lián)關(guān)系為

FU=AU·FB,E

(1)

式中：FU為考慮了信息業(yè)務(wù)影響的電力一次元件可用率；AU為未考慮信息業(yè)務(wù)時(shí)的電力一次元件可用率；FB,E為信息業(yè)務(wù)的可用率，與業(yè)務(wù)關(guān)聯(lián)的信息設(shè)備的可靠性相關(guān)。

圖1 信息空間與電力空間的直接作用關(guān)聯(lián)模型
Fig. 1 Relational model of direct impact between cyber space and power space

計(jì)算電力一次元件可用率的目的是對(duì)電力系統(tǒng)的可靠性進(jìn)行分析[16-17]。因此，信息系統(tǒng)業(yè)務(wù)的可用率是電力空間和信息空間作用的關(guān)鍵，對(duì)其進(jìn)行研究是理解GCPS交互作用的重要環(huán)節(jié)。

2 GCPS信息系統(tǒng)業(yè)務(wù)模型

信息系統(tǒng)業(yè)務(wù)由與業(yè)務(wù)關(guān)聯(lián)的信息設(shè)備、通訊網(wǎng)絡(luò)以及它們之間的信息交互共同完成。由于信息系統(tǒng)中單個(gè)設(shè)備可以影響業(yè)務(wù)的多個(gè)過(guò)程的正常運(yùn)行，單個(gè)業(yè)務(wù)的完成也可能包含多個(gè)設(shè)備的參與，簡(jiǎn)單地用傳統(tǒng)的二次設(shè)備失效概率不能反映GCPS系統(tǒng)中的信息業(yè)務(wù)特性。因此，需要從整體出發(fā)，考慮信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)和冗余配置，使用可靠性框圖的方法，進(jìn)行保護(hù)控制業(yè)務(wù)的業(yè)務(wù)可靠性建模。

2.1 典型信息系統(tǒng)結(jié)構(gòu)模型

根據(jù) IEC 61850標(biāo)準(zhǔn)[18]，構(gòu)建信息系統(tǒng)典型結(jié)構(gòu)模型，如圖 2 所示。

圖2 信息系統(tǒng)典型結(jié)構(gòu)模型Fig.2 Typical structure model of information system

信息系統(tǒng)擁有IED、保護(hù)測(cè)控模塊、交換機(jī)、服務(wù)器等設(shè)備，包括調(diào)度中心、電力通信網(wǎng)、智能變電站等三大部分。在不影響系統(tǒng)結(jié)構(gòu)的前提下，本文考慮能夠完成保護(hù)控制業(yè)務(wù)的主要信息系統(tǒng)設(shè)備。

2.2 設(shè)備關(guān)聯(lián)的業(yè)務(wù)模型

以IEC 61850 標(biāo)準(zhǔn)為基礎(chǔ)，針對(duì)圖 2所示的信息系統(tǒng)典型結(jié)構(gòu)模型，構(gòu)建業(yè)務(wù)的可靠性框圖?；趯?shí)際網(wǎng)絡(luò)中通信設(shè)備和鏈路的物理冗余結(jié)構(gòu)，本文假設(shè)信息系統(tǒng)中交換機(jī)和通信網(wǎng)絡(luò)物理結(jié)構(gòu)完全可靠，與設(shè)備關(guān)聯(lián)的保護(hù)控制業(yè)務(wù)模型如圖 3 所示。

圖3 保護(hù)控制業(yè)務(wù)模型Fig.3 Model of protection and control business

為了簡(jiǎn)化起見(jiàn)，本文將保護(hù)控制業(yè)務(wù)分為數(shù)據(jù)上傳和指令下發(fā)2個(gè)過(guò)程，合并單元從電力設(shè)備采集數(shù)據(jù)，最終傳輸?shù)秸{(diào)度中心服務(wù)器。在調(diào)度中心，數(shù)據(jù)經(jīng)過(guò)處理后，調(diào)度人員從調(diào)度中心工作站發(fā)送控制指令，下發(fā)到控制單元控制對(duì)應(yīng)的電力設(shè)備動(dòng)作。數(shù)據(jù)上傳和指令下發(fā)過(guò)程共同構(gòu)成了保護(hù)控制業(yè)務(wù)[19]。

需要指出的是，本文將GCPS重要的物理設(shè)備——斷路器作為信息系統(tǒng)與物理系統(tǒng)的信息-物理作用交互點(diǎn)，保護(hù)控制業(yè)務(wù)控制斷路器的開(kāi)斷動(dòng)作。因此，當(dāng)業(yè)務(wù)發(fā)生故障時(shí)會(huì)直接導(dǎo)致物理系統(tǒng)的拓?fù)浜统绷靼l(fā)生變化，其對(duì)于物理系統(tǒng)的作用屬于直接作用。

3 業(yè)務(wù)可靠性分析流程

可靠性是指系統(tǒng)無(wú)故障地完成規(guī)定功能的能力，不僅包括設(shè)備在物理特性上可靠，也關(guān)注系統(tǒng)業(yè)務(wù)功能的正確執(zhí)行。在系統(tǒng)規(guī)劃設(shè)計(jì)和運(yùn)行維護(hù)階段，可靠性都是一個(gè)重要的技術(shù)性能指標(biāo)。

當(dāng)信息系統(tǒng)設(shè)計(jì)設(shè)置足夠的冗余度后，網(wǎng)絡(luò)攻擊成為影響電力控制業(yè)務(wù)可靠性的主要因素。本文提出的考慮攻擊因素的GCPS業(yè)務(wù)可靠性分析流程如圖4所示。具體步驟如下詳述。

(1)明確研究的信息業(yè)務(wù)對(duì)象，建立與設(shè)備關(guān)聯(lián)的業(yè)務(wù)模型；

(2)構(gòu)建考慮攻擊因素的信息設(shè)備評(píng)估指標(biāo)；

(3)利用AHP量化每個(gè)設(shè)備的可靠性因子，并計(jì)算設(shè)備可靠性概率；

(4)根據(jù)設(shè)備的冗余結(jié)構(gòu)，構(gòu)建業(yè)務(wù)可靠性框圖；

(5)利用最小路集建立貝葉斯網(wǎng)絡(luò)，計(jì)算業(yè)務(wù)可用率。

圖4 考慮攻擊因素的GCPS業(yè)務(wù)可靠性分析流程圖Fig.4 Flow chart of business reliability analysis in GCPS considering attack factors

3.1 考慮攻擊因素的信息設(shè)備評(píng)估指標(biāo)

考慮GCPS系統(tǒng)的特征和網(wǎng)絡(luò)攻擊的特點(diǎn)，本文構(gòu)建了3層評(píng)估指標(biāo)體系，如圖5所示。從攻擊者水平、系統(tǒng)部署的防御措施和設(shè)備管理3個(gè)角度，全面地對(duì)設(shè)備的可靠性進(jìn)行評(píng)估，用于量化設(shè)備的可靠性因子。

圖5 考慮攻擊因素的設(shè)備可靠性評(píng)估指標(biāo)Fig.5 Evaluation indexes of equipment reliability considering attack factors

3.1.1 攻擊者水平

攻擊者水平與攻擊者的漏洞利用方法、掌握的攻擊知識(shí)和攻擊成本等因素相關(guān)。以震網(wǎng)病毒攻擊[20]為例，攻擊者首先通過(guò)內(nèi)部電腦將病毒注入目標(biāo)系統(tǒng)，同時(shí)利用MS10-046、MS10-061等多個(gè)零日漏洞使系統(tǒng)防御措施無(wú)法察覺(jué)攻擊的發(fā)生，體現(xiàn)了較高的攻擊水平。同時(shí)，常規(guī)的網(wǎng)絡(luò)攻擊也會(huì)用到一些已知的系統(tǒng)可利用漏洞，所以，攻擊者掌握越多的已知漏洞，就越容易實(shí)現(xiàn)攻擊。

不同于一般信息網(wǎng)絡(luò)，GCPS是電力信息物理融合的復(fù)雜系統(tǒng)，攻擊者不僅需要考慮如何從信息網(wǎng)絡(luò)側(cè)發(fā)起攻擊，也要考慮到攻擊對(duì)于GCPS的整體影響，同時(shí)電力通信網(wǎng)絡(luò)實(shí)行安全分區(qū)[21]，具備復(fù)雜系統(tǒng)知識(shí)會(huì)更有利于攻擊的成功實(shí)施。

攻擊成本則與攻擊時(shí)間、所需人力和資金成本等因素有關(guān)。當(dāng)實(shí)施常見(jiàn)的網(wǎng)絡(luò)攻擊時(shí)，實(shí)現(xiàn)攻擊所需要的時(shí)間和資本相對(duì)較少，因而攻擊成本低。而當(dāng)需要使用特殊攻擊手段，如實(shí)施針對(duì)SCADA系統(tǒng)的震網(wǎng)病毒攻擊時(shí)，攻擊者的準(zhǔn)備周期較長(zhǎng)，所投入的人力和資金成本較大，顯然攻擊成本會(huì)比較高。這種情況下，攻擊者需要權(quán)衡攻擊成本與攻擊帶來(lái)的收益之間的關(guān)系。

如上所述，從攻擊者角度分析系統(tǒng)的可靠性，所設(shè)置的3個(gè)指標(biāo)項(xiàng)符合GCPS攻擊特征，具有一定的合理性。攻擊者水平評(píng)分標(biāo)準(zhǔn)見(jiàn)表1。

表1 攻擊者水平指標(biāo)評(píng)分標(biāo)準(zhǔn)
Table 1 Index scoring standard of level of attackers

3.1.2 安全措施和設(shè)備管理

對(duì)“安全措施”和“設(shè)備管理”中的評(píng)估指標(biāo)打分，分為極低、較低、中等、較高和極高5個(gè)不同的可靠性等級(jí), 并分別賦值為1、2、3、4和5。例如，“身份認(rèn)證”主要與使用的算法強(qiáng)度相關(guān)，需要考慮算法類(lèi)型、密鑰長(zhǎng)度和算法新鮮度等相關(guān)因素，而“入侵檢測(cè)”與入侵檢測(cè)系統(tǒng)(intrusion detection systems，IDS)的狀態(tài)息息相關(guān)，若IDS能夠及時(shí)準(zhǔn)確發(fā)現(xiàn)系統(tǒng)存在的異常信息并產(chǎn)生報(bào)警信息，說(shuō)明其可靠性高。“設(shè)備安全性要求”則主要是考慮設(shè)備被攻擊或故障失效后在系統(tǒng)運(yùn)行中的影響范圍。具體的賦值需要由專(zhuān)家在實(shí)際情況中根據(jù)特定條件和經(jīng)驗(yàn)打分。

3.2 設(shè)備的可靠性概率計(jì)算

為了結(jié)合業(yè)務(wù)來(lái)分析信息系統(tǒng)可靠性，必須要對(duì)信息系統(tǒng)的業(yè)務(wù)可靠性進(jìn)行量化評(píng)估。本文采用AHP[22]對(duì)信息設(shè)備可靠性進(jìn)行量化評(píng)估。

3.2.1 確定評(píng)估指標(biāo)權(quán)重

設(shè)利用AHP自上而下建立準(zhǔn)則層對(duì)目標(biāo)層以及指標(biāo)層對(duì)準(zhǔn)則層的判斷矩陣，并計(jì)算矩陣的歸一化特征向量：

di=mΠmj=1aij

(2)

wi=di/∑mk=1dk

(3)

式中：aij為判斷矩陣A的第i行、第j列的元素；di為特征向量D的第i個(gè)分量；wi為歸一化后的特征向量W的第i個(gè)分量。

指標(biāo)層的組合權(quán)重為

WI=(WIP1,WIP2,…,WIPn)·WP

(4)

式中：WI為指標(biāo)層的組合權(quán)重向量；WP為準(zhǔn)則層對(duì)目標(biāo)層的權(quán)重向量；WIPi為指標(biāo)層相對(duì)于準(zhǔn)則層元素i的權(quán)重矩陣；n為準(zhǔn)則層的元素?cái)?shù)量。

指標(biāo)層的組合權(quán)重的計(jì)算中需要驗(yàn)證一致性指標(biāo)來(lái)保證數(shù)據(jù)的可信度，具體方法參考文獻(xiàn)[23]。

3.2.2 可靠性因子的確定

利用專(zhuān)家打分的方法對(duì)指標(biāo)層每個(gè)指標(biāo)進(jìn)行打分，經(jīng)歸一化處理后確定每個(gè)設(shè)備的可靠性因子λi為：

λi=Si/∑lj=1Sj

(5)

Si=Xi1,Xi2,Xi3,…,Xik·WI

(6)

式中：λi為歸一化后第i個(gè)設(shè)備的可靠性因子；Si為專(zhuān)家對(duì)第i個(gè)設(shè)備的評(píng)分矩陣；l為被評(píng)估設(shè)備的數(shù)量；Xi為專(zhuān)家對(duì)第i個(gè)設(shè)備的評(píng)分向量；k為指標(biāo)層元素?cái)?shù)量。

3.2.3 計(jì)算設(shè)備可靠性概率

[24]并且結(jié)合可靠性理論，定義設(shè)備可靠性概率為

Pi=1-e-λiC

(7)

式中：Pi為第i個(gè)設(shè)備的可靠性概率；λi為第i個(gè)設(shè)備的可靠性因子；C為系統(tǒng)的攻擊代價(jià)。

系統(tǒng)的攻擊代價(jià)是考慮系統(tǒng)整體情況下實(shí)現(xiàn)攻擊需要具備的條件。常規(guī)可靠性計(jì)算中的時(shí)間概念主要關(guān)注對(duì)象的使用壽命。GCPS業(yè)務(wù)可靠性計(jì)算中主要關(guān)注攻擊進(jìn)入系統(tǒng)的代價(jià)。C越大，表示攻擊進(jìn)入系統(tǒng)的難度越大，同時(shí)，Pi越大，設(shè)備越可靠。

3.3 貝葉斯網(wǎng)絡(luò)計(jì)算業(yè)務(wù)可用率

結(jié)合可靠性評(píng)估常用的最小路集方法，使用鄰接矩陣法構(gòu)建包含設(shè)備層、最小路集層、過(guò)程層和業(yè)務(wù)層在內(nèi)的4層貝葉斯網(wǎng)絡(luò)[25]。然后，利用貝葉斯公式可以計(jì)算業(yè)務(wù)可用率。貝葉斯公式為

PY=∑ni=1PY=TZi·PZi

(8)

式中：P(Y)為事件Y的先驗(yàn)概率；P(Y=T|Zi)為已知事件Zi發(fā)生的情況下，事件T發(fā)生的條件概率；P(Zi)為事件Zi的先驗(yàn)概率。

4 算例分析

以圖2所示的典型結(jié)構(gòu)模型為基礎(chǔ)，對(duì)不同冗余配置的系統(tǒng)結(jié)構(gòu)進(jìn)行算例分析，并采用圖3所示的業(yè)務(wù)模型，業(yè)務(wù)的實(shí)現(xiàn)涉及合并單元(merging unit, MU)、控制單元(control unit, CU)、保護(hù)測(cè)控模塊(protection unit, PU)、遠(yuǎn)動(dòng)服務(wù)器(remote server, RS)、中心服務(wù)器(center server, CS)和中心工作站(center workstation, CW)等設(shè)備元件。

4.1 計(jì)算設(shè)備可靠性因子

使用常規(guī)的1～9標(biāo)度[23]構(gòu)建判斷矩陣，利用式(2)—(4)對(duì)圖4所示的評(píng)估指標(biāo)進(jìn)行權(quán)重計(jì)算，指標(biāo)層的權(quán)重向量WI=[0.301 3,0.172 5,0.065 8,0.118 8,0.118 8,0.059 4,0.046 9,0.103 7,0.012 8]。利用專(zhuān)家打分方法對(duì)6個(gè)設(shè)備進(jìn)行評(píng)分，打分結(jié)果見(jiàn)表2。

表2 評(píng)估指標(biāo)專(zhuān)家評(píng)分結(jié)果
Table 2 Expert scoring results of evaluation indexes

利用式(5)—(6)計(jì)算的各個(gè)設(shè)備的可靠性因子見(jiàn)表3。

表3 設(shè)備可靠性因子
Table 3 Equipment reliability factors

得到可靠性因子后，利用式(7)可以方便地計(jì)算可靠性概率，本文重點(diǎn)關(guān)注可靠性因子及業(yè)務(wù)可用率，這里不再列表給出設(shè)備可靠性概率。為了不失一般性，本文取C=50。

4.2 計(jì)算業(yè)務(wù)可用率

參考文獻(xiàn)[25]的數(shù)字化保護(hù)結(jié)構(gòu)，并根據(jù)4.1節(jié)的計(jì)算結(jié)果，考慮4種信息系統(tǒng)結(jié)構(gòu)，分別是：(1)不考慮冗余的結(jié)構(gòu)；(2)考慮最薄弱設(shè)備MU冗余的結(jié)構(gòu)；(3)考慮薄弱環(huán)節(jié)MU和CU同時(shí)冗余的結(jié)構(gòu)；(4)考慮設(shè)備全冗余的結(jié)構(gòu)。

以考慮MU和CU冗余的結(jié)構(gòu)為例進(jìn)行仿真方式說(shuō)明，系統(tǒng)結(jié)構(gòu)如圖6所示。

圖6 MU和CU冗余的通信系統(tǒng)結(jié)構(gòu)Fig.6 Structure of information system with redundancy of MU and CU

根據(jù)圖6所示結(jié)構(gòu)分別建立保護(hù)控制業(yè)務(wù)2個(gè)過(guò)程的可靠性框圖，如圖7所示。

圖7 保護(hù)控制業(yè)務(wù)的可靠性框圖Fig.7 Reliability diagram of protection and control business

利用鄰接矩陣法，確定最小路集為

Pt1={MU1,PU1,RS1,CS1}
Pt2={MU2,PU1,RS1,CS1}
Pt3={CW1,RS1,PU1,CU1}
Pt4={CW1,RS1,PU1,CU2}

(9)

式中Pt1、Pt2、Pt3、Pt4分別為系統(tǒng)的4條最小路集。

由最小路集建立貝葉斯網(wǎng)絡(luò)，如圖8所示。其中，保護(hù)控制業(yè)務(wù)可用率為頂事件，設(shè)備可靠性為基本事件。SC為數(shù)據(jù)上傳過(guò)程節(jié)點(diǎn)；XF為指令下發(fā)過(guò)程節(jié)點(diǎn)；YW為業(yè)務(wù)可用率節(jié)點(diǎn)。網(wǎng)絡(luò)分為4層，第1層為設(shè)備層，由CU、MU、PU等組成；第2層為數(shù)據(jù)上傳和指令下發(fā)過(guò)程的最小路集層，其節(jié)點(diǎn)類(lèi)型為“與”節(jié)點(diǎn)；第3層為數(shù)據(jù)上傳和指令下發(fā)過(guò)程層，節(jié)點(diǎn)類(lèi)型為“或”節(jié)點(diǎn)；最后1層為保護(hù)控制業(yè)務(wù)層，節(jié)點(diǎn)類(lèi)型為“與”節(jié)點(diǎn)。使用MATLAB進(jìn)行仿真計(jì)算可以得到該結(jié)構(gòu)下的業(yè)務(wù)可用率為0.999 354 73。

圖8 MU和CU冗余的業(yè)務(wù)可靠性分析貝葉斯網(wǎng)絡(luò)Fig.8 Bayesian network of business reliability analysis with redundancy of MU and CU

4.3 仿真結(jié)果分析比較

首先，給出設(shè)備可靠性因子結(jié)果如圖9所示。使用本文方法和文獻(xiàn)[7]所提出的方法在不同系統(tǒng)結(jié)構(gòu)下的業(yè)務(wù)可用率進(jìn)行仿真對(duì)比，分別計(jì)算4種系統(tǒng)結(jié)構(gòu)下的業(yè)務(wù)可用率，其結(jié)果見(jiàn)表4、5。

表4 基于本文所提出方法的仿真結(jié)果
Table 4 Simulation results of proposed method

表5 基于文獻(xiàn)[7]所提出方法的仿真結(jié)果Table 5 Simulation results of method in literature[7]

設(shè)備的可靠性因子如圖9所示。設(shè)備的可靠性隨著所屬區(qū)域的安全性提高而提升，站內(nèi)設(shè)備的可靠性低于站級(jí)設(shè)備，站級(jí)設(shè)備低于調(diào)度中心設(shè)備，這與實(shí)際情況相符，而其中合并單元和控制單元屬于相對(duì)薄弱的環(huán)節(jié)，因此，設(shè)計(jì)了合并單元和控制單元冗余的結(jié)構(gòu)進(jìn)行系統(tǒng)結(jié)構(gòu)的比較。

圖9 可靠性因子Fig.9 Reliability factor

由表4可知，增加1個(gè)最薄弱環(huán)節(jié)的設(shè)備冗余和2個(gè)薄弱設(shè)備冗余，均可以大幅降低業(yè)務(wù)失效的概率，但是2個(gè)設(shè)備冗余和全設(shè)備冗余之間的可靠性提高則并不明顯，因?yàn)?個(gè)設(shè)備冗余的業(yè)務(wù)可靠性已經(jīng)達(dá)到99.999%的標(biāo)準(zhǔn)，而且要考慮到全設(shè)備冗余的成本明顯高于2個(gè)設(shè)備冗余的情況。因此，以保證業(yè)務(wù)達(dá)到較高的可靠性水平為前提，適當(dāng)?shù)卦黾颖∪醐h(huán)節(jié)的設(shè)備冗余可能比為系統(tǒng)內(nèi)所有設(shè)備進(jìn)行冗余配置更為合理。

基于本文所提出方法和文獻(xiàn)[7]所提出的方法在不同系統(tǒng)結(jié)構(gòu)下的業(yè)務(wù)可用率對(duì)比如圖10所示。由表5和圖10可知，本文所提出的方法對(duì)于業(yè)務(wù)可用率的計(jì)算結(jié)果更為敏感。文獻(xiàn)[7]所提出方法在前3種結(jié)構(gòu)下失效率下降幅度較小，即業(yè)務(wù)可用率升幅較小，并沒(méi)有體現(xiàn)出系統(tǒng)薄弱環(huán)節(jié)對(duì)于系統(tǒng)業(yè)務(wù)可用率的影響，即使在無(wú)冗余結(jié)構(gòu)下對(duì)可用率的評(píng)估也過(guò)于樂(lè)觀，容易使人產(chǎn)生系統(tǒng)已經(jīng)足夠可靠的錯(cuò)誤判斷，而本文的方法很明顯地展示了系統(tǒng)薄弱環(huán)節(jié)的冗余結(jié)構(gòu)改進(jìn)對(duì)業(yè)務(wù)可用率的增強(qiáng)。

圖10 本文方法與文獻(xiàn)[7]方法在不同系統(tǒng)結(jié)構(gòu)下的對(duì)比Fig.10 Comparison between methods with different structures proposed in this paper and that in literature [7]

文獻(xiàn)[7]中方法籠統(tǒng)地認(rèn)為同一類(lèi)設(shè)備(如IED)具有相同的失效概率，而本文的方法從多角度全面分析了每一種設(shè)備在系統(tǒng)中的可靠性，4.1節(jié)的計(jì)算結(jié)果也表明，即使同類(lèi)設(shè)備之間的失效概率也會(huì)因?yàn)槠湓谙到y(tǒng)中扮演的角色不同而存在差異。此外，2種方法在全冗余狀況下的結(jié)果則比較相近。

因此，本文所提出的方法能夠更好地評(píng)估脆弱環(huán)節(jié)對(duì)系統(tǒng)的影響，對(duì)系統(tǒng)的安全決策和穩(wěn)定性分析更具參考價(jià)值，算例對(duì)比結(jié)果證明了所提出的方法的可行性和合理性。

5 結(jié) 論

(1) 分析了信息空間對(duì)電力空間的影響并建立形式化表達(dá)方式，提出設(shè)備關(guān)聯(lián)的保護(hù)控制業(yè)務(wù)可靠性模型。

(2) 提出考慮攻擊因素的設(shè)備可靠性評(píng)估指標(biāo)。在此基礎(chǔ)上，結(jié)合AHP和貝葉斯網(wǎng)絡(luò)給出可靠性評(píng)估量化方法，用以定量分析GCPS業(yè)務(wù)的可靠性。

(3) 算例分析的結(jié)果表明，不同信息網(wǎng)絡(luò)結(jié)構(gòu)對(duì)業(yè)務(wù)可靠性影響存在差異，信息系統(tǒng)冗余配置能提高業(yè)務(wù)可靠性。與已有方法的對(duì)比也證實(shí)了所提出的方法的可行性和合理性。研究結(jié)果能為GCPS信息系統(tǒng)的設(shè)計(jì)、部署和維護(hù)提供較好的分析和參考價(jià)值，從而提高GCPS系統(tǒng)整體可靠性。

此外，由于GCPS系統(tǒng)中業(yè)務(wù)類(lèi)型眾多，信息交互復(fù)雜，本文在分析過(guò)程中作出簡(jiǎn)化。下一步工作考慮優(yōu)化可靠性模型，同時(shí)將本文的模型應(yīng)用到不同的電力信息業(yè)務(wù)中進(jìn)行可靠性評(píng)估，嘗試分析比較不同業(yè)務(wù)對(duì)于系統(tǒng)可靠性影響的差異，為系統(tǒng)實(shí)現(xiàn)有針對(duì)性的防護(hù)工作提供參考依據(jù)。

6 參考文獻(xiàn)

[1]梁云, 劉世棟, 郭經(jīng)紅. 電網(wǎng)信息物理融合系統(tǒng)關(guān)鍵問(wèn)題綜述[J]. 智能電網(wǎng), 2015, 3(12):1108-1111. LIANG Yun, LIU Shidong, GUO Jinghong. Review on the key issues of grid cyber-physical systems[J]. Smart Grid, 2015, 3(12):1108-1111.

[2]劉東, 盛萬(wàn)興, 王云, 等. 電網(wǎng)信息物理系統(tǒng)的關(guān)鍵技術(shù)及其進(jìn)展[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2015, 35(14):3522-3531. LIU Dong, SHENG Wanxing, WANG Yun, et al. Key technologies and trends of cyber physical system for power grid[J]. Proceedings of the CSEE, 2015, 35(14):3522-3531.

[3]ANDERSSON G, DONALEK P,FARMER R, et al. Causes of the 2003 major grid blackouts in North America and Europe，and recommended means to improve system dynamic performance[J]. IEEE Transactions on Power Systems，2005，20(4)：1922-1928.

[4]郭慶來(lái), 辛蜀駿,王劍輝,等. 由烏克蘭停電事件看信息能源系統(tǒng)綜合安全評(píng)估[J]. 電力系統(tǒng)自動(dòng)化, 2016, 40(5):145-147. GUO Qinglai, XIN Shujun, WANG Jianhui, et al. Comprehensive security assessment for a cyber physical energy system: a lesson from Ukraine’s blackout[J]. Automation of Electric Power Systems,2016, 40(5):145-147.

[5]郭慶來(lái), 辛蜀駿,孫宏斌,等. 電力系統(tǒng)信息物理融合建模與綜合安全評(píng)估:驅(qū)動(dòng)力與研究構(gòu)想[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2016, 36(6):1481-1489. GUO Qinglai, XIN Shujun, SUN Hongbin, et al. Power system cyber-physical modelling and security assessment:motivation and ideas[J]. Proceedings of the CSEE, 2016, 36(6):1481-1489.

[6]FALAHATI B, FU Y, WU L. Reliability assessment of smart grid considering direct cyber-power interdependencies[J]. IEEE Transactions on Smart Grid, 2012, 3(3):1515-1524.

[7]郭嘉, 韓宇奇, 郭創(chuàng)新,等. 考慮監(jiān)視與控制功能的電網(wǎng)信息物理系統(tǒng)可靠性評(píng)估[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2016, 36(8):2123-2130. GUO Jia, HAN Yuqi, GUO Chuangxin, et al. Reliability assessment of cyber physical power system considering monitoring function and control function[J]. Proceedings of the CSEE, 2016, 36(8):2123-2130.

[8]HAJIAN-HOSEINABADI H. Impacts of automated control systems on substation reliability[J].IEEE Transactions on Power Delivery, 2011, 26(3):1681-1691.

[9]熊小萍, 譚建成, 林湘寧. 基于動(dòng)態(tài)故障樹(shù)的變電站通信系統(tǒng)可靠性分析[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2012, 32(34):135-141. XIONG Xiaoping, TAN Jiancheng, LIN Xiangning. Reliability analysis of communication systems in substation based on dynamic fault tree[J]. Proceedings of the CSEE, 2012, 32(34):135-141.

[10]邱劍, 王慧芳, 陳志光,等. 智能變電站自動(dòng)化系統(tǒng)有效度評(píng)估模型[J]. 電力系統(tǒng)自動(dòng)化, 2013, 37(17):87-94. QIU Jian, WANG Huifang, CHEN Zhiguang, et al. Effectiveness evaluation model of smart substation automation system[J]. Automation of Electric Power Systems,2013, 37(17):87-94.

[11]TEN C W, LIU C C, MANIMARAN G. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008, 23(4):1836-1846.

[12]ZHANG Y, WANG L, XIANG Y, et al. Power system reliability evaluation with SCADA cybersecurity considerations[J]. IEEE Transactions on Smart Grid, 2015, 6(4):1707-1721.

[13]XIN S, GUO Q, SUN H, et al. Cyber-physical modeling and cyber-contingency assessment of hierarchical control systems[J]. IEEE Transactions on Smart Grid, 2015, 6(5):2375-2385.

[14]FALAHATI B, FU Y. A study on interdependencies of cyber-power networks in smart grid applications[C]// 2012 IEEE PES Innovative Smart Grid Technologies (ISGT).Berlin:IEEE, 2012:1-8.

[15]葉夏明,文福拴,尚金成,等. 電力系統(tǒng)中信息物理安全風(fēng)險(xiǎn)傳播機(jī)制[J]. 電網(wǎng)技術(shù),2015,39(11):3072-3079. YE Xiaming, WEN Fushuan, SHANG Jincheng, et al. Propagation mechanism of cyber physical security risks in power systems[J]. Power System Technology, 2015,39(11):3072-3079.

[16]汪隆君, 王鋼, 李博. 交直流混聯(lián)輸電系統(tǒng)充裕度評(píng)估的最優(yōu)負(fù)荷削減模型[J]. 電力系統(tǒng)自動(dòng)化, 2011, 35(7):7-12. WANG Longjun, WANG Gang, LI Bo. An optimal load shedding model for AC/DC hybrid transmission system adequacy assessment[J]. Automation of Electric Power Systems,2011, 35(7):7-12.

[17]侯雨伸, 王秀麗, 劉杰,等. 基于擬蒙特卡羅方法的電力系統(tǒng)可靠性評(píng)估[J]. 電網(wǎng)技術(shù), 2015, 39(3):744-750. HOU Yushen, WANG Xiuli, LIU Jie, et al. A quasi-Monte Carlo method based power system reliability evaluation[J]. Power System Technology, 2015, 39(3):744-750.

[18]IEC. Communication networks and systems in substations-part 5: communication requirements for functions and device models:IEC 61850-50[S]. Geneva: IEC, 2003.

[19]李高望, 鞠文云, 段獻(xiàn)忠,等. 電力調(diào)度數(shù)據(jù)網(wǎng)傳輸特性分析[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2012, 32(22):141-148. LI Gaowang, JU Wenyun, DUAN Xianzhong, et al. Transmission characteristics analysis of the electric power dispatching data network[J]. Proceedings of the CSEE, 2012, 32(22):141-148.

[20]LANGNER R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy Magazine, 2011, 9(3):49-51.

[21]鄒春明, 鄭志千, 劉智勇,等. 電力二次安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J]. 電網(wǎng)技術(shù), 2013, 37(11):3227-3232. ZOU Chunming, ZHENG Zhiqian, LIU Zhiyong, et al. Application of cyber security in industrial control systems based on security protection technology for electrical secondary system[J]. Power System Technology, 2013, 37(11):3227-3232.

[22]SAATY T L. The analytic hierarchy process[M]. New York: McGrew-Hill, 1980:1-88.

[23]楊小彬, 李和明, 尹忠東, 等. 基于層次分析法的配電網(wǎng)能效指標(biāo)體系[J]. 電力系統(tǒng)自動(dòng)化, 2013, 37(21):146-150. YANG Xiaobin, LI Heming, YIN Zhongdong, et al. Energy efficiency index system for distribution network based on analytic hierarchy process[J]. Automation of Electric Power Systems,2013, 37(21):146-150.

[24]LIU N, ZHANG J, ZHANG H, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J]. IEEE Transactions on Power Delivery, 2010, 25(3):1492-1500.

[25]張沛超, 高翔. 全數(shù)字化保護(hù)系統(tǒng)的可靠性及元件重要度分析[J]. 中國(guó)電機(jī)工程學(xué)報(bào), 2008, 28(1):77-82. ZHANG Peichao, GAO Xiang.Analysis of reliability and component importance for all-digital protective systems[J]. Proceedings of the CSEE, 2008, 28(1):77-82.

(編輯 郭文瑞)

Reliability Analysis of Business in Grid Cyber Physical System Considering the Factors of Cyber Attacks

RU Yeqi1, ZHOU Bin2, WU Yibei1, LI Jun’e3,4, YUAN Kai1, LIU Kaipei1

(1. School of Electrical Engineering, Wuhan University, Wuhan 430072, China;2. NARI Technology Development Co., Ltd., Nanjing 211106, China;3. School of Computer, Wuhan University, Wuhan 430072, China; 4. Key Laboratory of Aerospace Information Security and Trusted Computing of Ministry of Education(Wuhan University), Wuhan 430072, China)

The deep integration and interaction between cyber space and power space is the main feature of grid cyber physical system (GCPS). According to the wide-area real-time protection and control business in smart grid, this paper firstly studies the way of the impacts of information business on the reliability of physical system, and establishes the model of business reliability associated with information equipment. On this basis, this paper introduces the reliability factor of equipment, proposes the reliability evaluation indexes for information equipment considering cyber attack, and presents a quantitative evaluation method of business reliability with combining analytic hierarchy process (AHP) and Bayesian network. Finally, through the case study, this paper identifies the weak link of the information system considering cyber attack and analyses the impact of information systems with different levels of redundancy on business reliability. Meanwhile, compared with the existing method, the result verifies the feasibility and rationality of the proposed method.

grid cyber physical system (GCPS); business reliability; cyber attack; analytic hierarchy process (AHP); Bayesian network

國(guó)家自然科學(xué)基金項(xiàng)目(51377122)；國(guó)家電網(wǎng)公司科技項(xiàng)目(智能變電站通信網(wǎng)絡(luò)可靠性及信息安全關(guān)鍵技術(shù)研究與應(yīng)用)

TM 73

A

1000-7229(2017)05-0038-08

10.3969/j.issn.1000-7229.2017.05.005

2016-10-01

茹葉棋(1991)，男，碩士研究生，主要從事電網(wǎng)信息物理系統(tǒng)安全等方面的研究工作；

周斌(1970)，男，研究員級(jí)高級(jí)工程師，主要從事變電站自動(dòng)化等方面的研究工作；

吳亦貝(1993)，女，碩士研究生，主要從事電網(wǎng)信息物理系統(tǒng)安全等方面的研究工作；

李俊娥(1966)，女，教授，本文通信作者，主要從事計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)性能與電網(wǎng)信息物理系統(tǒng)安全等方面的研究工作；

袁凱(1989)，男，博士研究生，主要從事電網(wǎng)信息物理系統(tǒng)安全等方面的研究工作；

劉開(kāi)培(1962)，男，教授，博士生導(dǎo)師，主要從事新能源與智能電網(wǎng)等方面的研究工作。

Project supported by National Natural Science Foundation of China(51377122)