錢勝， 王琦， 顏云松， 封科， 夏海峰

(1. 東南大學(xué)電氣工程學(xué)院，江蘇 南京 210096；2. 南瑞集團(tuán)(國網(wǎng)電力科學(xué)研究院)有限公司，江蘇 南京 211106)

0 引言

隨著能源互聯(lián)網(wǎng)的不斷發(fā)展，信息系統(tǒng)的安全對于物理系統(tǒng)愈發(fā)重要[1—2]。針對信息系統(tǒng)的網(wǎng)絡(luò)攻擊具有低成本、易實(shí)施和影響范圍廣的特點(diǎn)，逐漸成為敵對國家、組織對電力系統(tǒng)進(jìn)行破壞的重要手段[3—4]。安全穩(wěn)定控制系統(tǒng)(穩(wěn)控系統(tǒng))作為保證電網(wǎng)可靠運(yùn)行的重要防線，呈現(xiàn)出大型化、廣域化和復(fù)雜化的趨勢。由于其控制節(jié)點(diǎn)多、控制鏈條長，若遭遇網(wǎng)絡(luò)攻擊導(dǎo)致系統(tǒng)誤動、拒動，可能給電網(wǎng)造成巨大的運(yùn)行風(fēng)險(xiǎn)[5—8]，因此研究穩(wěn)控系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)評估方法具有重要意義。

根據(jù)攻擊目的的不同，電力系統(tǒng)的攻擊行為可劃分為破壞可用性、破壞完整性以及破壞保密性的網(wǎng)絡(luò)攻擊[9—11]。針對電力系統(tǒng)網(wǎng)絡(luò)攻擊的研究主要采用攻擊圖、復(fù)雜網(wǎng)絡(luò)理論、攻擊樹和Petri網(wǎng)等方法。(1) 攻擊圖模型通過分析攻擊者對存在的安全漏洞進(jìn)行攻擊的行為，找到所有能達(dá)到攻擊目標(biāo)的攻擊路徑。文獻(xiàn)[12]提出了一種改進(jìn)的電力信息物理系統(tǒng)連鎖故障失效評估的攻擊圖模型，但缺乏對信息系統(tǒng)攻擊成功的可能性分析；文獻(xiàn)[13—15]采用攻擊圖的方法研究工業(yè)物聯(lián)網(wǎng)的脆弱性，但缺乏對攻擊后果的分析；文獻(xiàn)[16]考慮網(wǎng)絡(luò)攻擊對電力系統(tǒng)的影響，基于攻擊圖建立了網(wǎng)絡(luò)攻擊成功概率模型，量化評估網(wǎng)絡(luò)攻擊對電力系統(tǒng)的影響，但求取網(wǎng)絡(luò)攻擊成功概率時(shí)僅考慮了通信路徑上防御措施的漏洞。(2) 復(fù)雜網(wǎng)絡(luò)理論能從局部和整體的視角分析電網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)傳播行為。文獻(xiàn)[17]采用復(fù)雜網(wǎng)絡(luò)理論進(jìn)行電力系統(tǒng)風(fēng)險(xiǎn)評估，從安全漏洞和防御措施2個(gè)方面建立概率模型，但是該模型以物理網(wǎng)絡(luò)的連通能力作為風(fēng)險(xiǎn)指標(biāo)，對電力系統(tǒng)的物理本質(zhì)考慮不足。(3) 攻擊樹模型使用樹形結(jié)構(gòu)描述對系統(tǒng)的網(wǎng)絡(luò)攻擊，將攻擊總目標(biāo)作為根節(jié)點(diǎn)，將總目標(biāo)分為多個(gè)子目標(biāo)，并將其作為子節(jié)點(diǎn)，逐步細(xì)分，從根節(jié)點(diǎn)到子節(jié)點(diǎn)的路徑表示一次完整的攻擊過程。文獻(xiàn)[18]基于攻擊樹的方法對工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，應(yīng)用多屬性效應(yīng)理論計(jì)算網(wǎng)絡(luò)攻擊成功概率，但缺乏對網(wǎng)絡(luò)攻擊行為的易發(fā)性建模且主觀性較強(qiáng)。(4) Petri網(wǎng)通過定義庫所、變遷、弧和令牌等元素構(gòu)成攻擊過程模型，可體現(xiàn)出攻擊當(dāng)前狀態(tài)、攻擊動作和進(jìn)程，清晰表述動作和狀態(tài)的意義并量化計(jì)算，適用于對離散事件動態(tài)系統(tǒng)建模[19]。如何評估網(wǎng)絡(luò)攻擊事件的易發(fā)性及成功概率，合理量化網(wǎng)絡(luò)攻擊對穩(wěn)控系統(tǒng)的影響仍有待研究。

網(wǎng)絡(luò)攻擊易發(fā)性評估屬于多目標(biāo)決策問題，在評估過程中容易存在主觀性較強(qiáng)的缺點(diǎn)。模糊層次分析法結(jié)合層次分析法和模糊數(shù)學(xué)的特點(diǎn)，可以有效分析目標(biāo)準(zhǔn)則體系層次之間的非序列關(guān)系，提高多因素下針對目標(biāo)事件評估的可靠性。

基于以上分析，文中首先分析了穩(wěn)控系統(tǒng)的層次結(jié)構(gòu)；然后從攻擊對象、攻擊方式和攻擊后果3個(gè)角度分析了穩(wěn)控裝置本體與穩(wěn)控裝置站間通信的風(fēng)險(xiǎn)點(diǎn)；其次，基于模糊層次分析法對網(wǎng)絡(luò)攻擊易發(fā)性進(jìn)行量化，并結(jié)合由Petri網(wǎng)建立的網(wǎng)絡(luò)攻擊防護(hù)單元模型，建立網(wǎng)絡(luò)攻擊成功概率模型；最后，以標(biāo)準(zhǔn)系統(tǒng)和實(shí)際系統(tǒng)為算例驗(yàn)證了所提風(fēng)險(xiǎn)評估方法的有效性。

1 穩(wěn)控系統(tǒng)層次結(jié)構(gòu)及風(fēng)險(xiǎn)點(diǎn)分析

穩(wěn)控系統(tǒng)是為了保證電力系統(tǒng)在遇到大擾動時(shí)安全穩(wěn)定運(yùn)行而在重要發(fā)電廠或變電站內(nèi)裝設(shè)的控制設(shè)備，是實(shí)現(xiàn)緊急切機(jī)組、切負(fù)荷、直流功率緊急提升或回降等功能的二次控制系統(tǒng)。

1.1 穩(wěn)控系統(tǒng)的組成結(jié)構(gòu)

穩(wěn)控系統(tǒng)一般由多套穩(wěn)控裝置經(jīng)通信通道連接配合構(gòu)成。一個(gè)系統(tǒng)中一般設(shè)置1個(gè)穩(wěn)定控制主站，其余為控制子站和執(zhí)行站，各站之間通過復(fù)用2M通道或?qū)Ｓ霉饫w通道連接，穩(wěn)控系統(tǒng)典型三層結(jié)構(gòu)如圖1所示。MS為控制主站；SS1—SS4分別為4個(gè)控制子站；ES1—ES7分別為7個(gè)執(zhí)行站。

圖1 穩(wěn)控系統(tǒng)典型三層結(jié)構(gòu)示意Fig.1 Schematic diagram of typical three-layerstructure of security and stability control system

不同層級的穩(wěn)控裝置具有不同的功能。控制主站主要負(fù)責(zé)控制策略的決策，匯集本站和下屬站點(diǎn)的信息，采用離線預(yù)定或者在線決策的控制策略，向下屬站點(diǎn)下達(dá)控制命令；控制子站主要負(fù)責(zé)對本地信息采樣以及匯集下屬站點(diǎn)的采樣信息，是控制主站和執(zhí)行站之間信息和命令傳遞的關(guān)鍵樞紐；執(zhí)行站主要負(fù)責(zé)執(zhí)行控制主站發(fā)過來的遠(yuǎn)方控制命令，采集并上傳本地信息。

1.2 穩(wěn)控業(yè)務(wù)面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)點(diǎn)分析

穩(wěn)控裝置是保證穩(wěn)控業(yè)務(wù)正確執(zhí)行的重要設(shè)備，文中主要從裝置本體以及裝置站間通信2個(gè)方面來分析穩(wěn)控業(yè)務(wù)面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)點(diǎn)。

1.2.1 裝置本體結(jié)構(gòu)風(fēng)險(xiǎn)點(diǎn)分析

(1) 攻擊對象。針對穩(wěn)控裝置本體的網(wǎng)絡(luò)攻擊對象主要有3種：裝置硬件層，主要包括裝置芯片、核心板卡模塊；裝置系統(tǒng)層，主要包括裝置嵌入式系統(tǒng)、數(shù)字信號處理系統(tǒng)和VxWorks、Linux操作系統(tǒng)；應(yīng)用層，主要包括各種安全穩(wěn)定控制決策功能模塊、通信功能模塊、出口功能模塊等應(yīng)用模塊。

(2) 攻擊方式。針對裝置硬件層、裝置系統(tǒng)層及應(yīng)用層的木馬攻擊：攻擊者將木馬故意植入電子系統(tǒng)中的特殊模塊以及電路，或者設(shè)計(jì)者無意留下的缺陷模塊以及電路。這種模塊或電路一般潛伏在原始電路中，但在特殊條件觸發(fā)下，能被攻擊者利用以對原始電路進(jìn)行有目的性的修改，實(shí)現(xiàn)破壞性功能。

(3) 攻擊后果。攻擊后果主要分為2個(gè)等級：① 造成穩(wěn)控系統(tǒng)控制功能整體失效，當(dāng)控制主站或子站裝置遭受網(wǎng)絡(luò)攻擊后，會產(chǎn)生錯(cuò)誤提升或回降的直流功率，大量誤切機(jī)組或負(fù)荷，破壞電網(wǎng)穩(wěn)定；② 造成穩(wěn)控系統(tǒng)控制功能局部失效，執(zhí)行站遭受網(wǎng)絡(luò)攻擊后，導(dǎo)致預(yù)先設(shè)定的動作措施不能正常執(zhí)行，僅影響電網(wǎng)一次系統(tǒng)的局部范圍，一般能保證電網(wǎng)穩(wěn)定運(yùn)行。

1.2.2 穩(wěn)控裝置站間通信風(fēng)險(xiǎn)點(diǎn)分析

(1) 攻擊對象。針對穩(wěn)控系統(tǒng)裝置站間通信的網(wǎng)絡(luò)攻擊對象主要分為裝置與通信接口裝置、通信接口裝置與同步數(shù)字體系(synchronous digital hierarchy，SDH)、SDH與SDH通信通道。

(2) 攻擊方式。針對裝置與通信接口裝置、通信接口裝置與SDH、SDH與SDH通信通道的主要攻擊方式有網(wǎng)絡(luò)風(fēng)暴、竊聽和篡改等。一方面，攻擊者可以利用通信協(xié)議漏洞發(fā)起網(wǎng)絡(luò)風(fēng)暴，令穩(wěn)控系統(tǒng)中的設(shè)備癱瘓，失去服務(wù)能力；另一方面，攻擊者通過物理層接入電力通信專網(wǎng)，串入攻擊設(shè)備，實(shí)現(xiàn)對光通信系統(tǒng)的竊聽或接管通信網(wǎng)絡(luò)篡改正常的數(shù)據(jù)，進(jìn)而對穩(wěn)控系統(tǒng)發(fā)動攻擊。

(3) 攻擊后果。通過對穩(wěn)控裝置站間傳輸發(fā)動攻擊，可造成量測數(shù)據(jù)或控制數(shù)據(jù)的錯(cuò)誤，通過向變電站內(nèi)穩(wěn)控裝置發(fā)送非正常控制指令，可造成誤切機(jī)或切負(fù)荷動作，導(dǎo)致直流換流站的穩(wěn)控裝置誤提升或回降直流，此類攻擊會給電網(wǎng)的安全穩(wěn)定運(yùn)行造成巨大威脅。

2 穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)評估方法

穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)評估方法包含3個(gè)步驟：首先基于模糊層次分析法建立網(wǎng)絡(luò)攻擊易發(fā)性模型；其次結(jié)合網(wǎng)絡(luò)攻擊傳播過程的Petri網(wǎng)模型，建立網(wǎng)絡(luò)攻擊成功概率模型；最后結(jié)合網(wǎng)絡(luò)攻擊物理后果，提出相應(yīng)的風(fēng)險(xiǎn)評估方法。

2.1 針對穩(wěn)控業(yè)務(wù)的網(wǎng)絡(luò)攻擊易發(fā)性評估模型

考慮穩(wěn)控系統(tǒng)和網(wǎng)絡(luò)攻擊的特點(diǎn)，構(gòu)建了3層評估指標(biāo)體系，如圖2所示。從攻擊方水平(S1)、設(shè)備管理(S2)和設(shè)備安全(S3)3個(gè)角度，全面地對網(wǎng)絡(luò)攻擊事件易發(fā)性進(jìn)行評估。攻擊方水平方面主要考慮攻擊方知識(I1)、攻擊成本(I2)以及攻擊被發(fā)現(xiàn)的可能性(I3)；設(shè)備管理方面主要考慮設(shè)備重要度(I4)、軟硬件故障(I5)以及工作員操作(I6)；設(shè)備安全方面主要考慮設(shè)備漏洞(I7)、身份認(rèn)證(I8)以及加密算法(I9)。

圖2 網(wǎng)絡(luò)攻擊事件易發(fā)性模型Fig.2 Susceptibility model of cyber attack incident

攻擊方水平、設(shè)備管理和設(shè)備安全指標(biāo)的評分標(biāo)準(zhǔn)見表1—表3。

表1 攻擊方水平評分標(biāo)準(zhǔn)Table 1 Evaluation criteria of attacker level index

表2 設(shè)備管理評分標(biāo)準(zhǔn)Table 2 Evaluation criteria of equipment management

表3 設(shè)備安全評分標(biāo)準(zhǔn)Table 3 Evaluation criteria of equipment safety

基于模糊層次分析法分配指標(biāo)層以及準(zhǔn)則層權(quán)重，具體方法可參考文獻(xiàn)[20]。在文中的研究中，網(wǎng)絡(luò)攻擊事件易發(fā)性概率模型為：

(1)

式中：Wa，Wb，Wc分別為準(zhǔn)則層3個(gè)方面的權(quán)重系數(shù)；Wk，Wl，Wo分別為攻擊方水平、設(shè)備管理及設(shè)備安全3個(gè)準(zhǔn)則所對應(yīng)的第k，l，o個(gè)指標(biāo)的權(quán)重系數(shù)；U(x)為對應(yīng)指標(biāo)參數(shù)的效用值，取U(x)=e-x。

2.2 基于Petri網(wǎng)的網(wǎng)絡(luò)攻擊防護(hù)單元建模

目前穩(wěn)控系統(tǒng)針對網(wǎng)絡(luò)攻擊的防護(hù)研究還在起步階段，其中加密和認(rèn)證是穩(wěn)控系統(tǒng)針對網(wǎng)絡(luò)攻擊的主要防護(hù)手段。

2.2.1 加密模型

密碼模型主要由兩部分組成：登錄嘗試概率和響應(yīng)速度。登錄嘗試概率為所有動作中入侵嘗試動作的概率，可由失敗日志記錄數(shù)得到；響應(yīng)速度為中央處理器(central processing unit，CPU)時(shí)鐘運(yùn)行速度。加密模型如圖3所示，其中，灰色矩形表示瞬時(shí)變遷；白色矩形表示時(shí)延變遷；λS為重復(fù)登陸間的時(shí)延；Pf為密碼模型入侵失敗的概率；PS為密碼模型成功入侵目標(biāo)系統(tǒng)的概率，可由式(2)估計(jì)得到。

圖3 加密模型Fig.3 Password model

(2)

式中：fS為入侵成功數(shù)；NS為總記錄數(shù)。

2.2.2 認(rèn)證模型

認(rèn)證加密方案在具體實(shí)現(xiàn)中可能有不同手段，其中硬件加密具有兼容性好、速度快的特點(diǎn)，被廣泛使用。基于硬件加密的身份認(rèn)證過程如下：

(1) 初始化階段?？蛻舳撕头?wù)器端共享一個(gè)加密硬件。

(2) 客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請求，然后服務(wù)器端產(chǎn)生隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端。

(3) 客戶端將收到的隨機(jī)數(shù)與存儲在加密硬件中的密鑰進(jìn)行散列運(yùn)算，并將結(jié)果作為認(rèn)證證據(jù)傳給服務(wù)器。

(4) 服務(wù)器端對傳遞過來的隨機(jī)數(shù)進(jìn)行散列運(yùn)算，得到服務(wù)器端的信息摘要，并與客服端的信息摘要比較，相同則認(rèn)證成功。

依據(jù)此過程，身份認(rèn)證模型如圖4所示。其中，λd為以各種手段偷取一個(gè)系統(tǒng)內(nèi)已在使用的加密硬件所需要的時(shí)間；λe為復(fù)制一個(gè)新的加密硬件所需要的時(shí)間；λt為系統(tǒng)更換加密硬件的周期；λq為成功獲取到一個(gè)服務(wù)器發(fā)來的隨機(jī)數(shù)所需要的時(shí)間；λg為服務(wù)器校驗(yàn)終端發(fā)回信息所需要的時(shí)間。

圖4 身份認(rèn)證模型Fig.4 Identity authentication model

2.2.3 網(wǎng)絡(luò)攻擊成功概率模型

一次成功的網(wǎng)絡(luò)攻擊一般須要突破加密和認(rèn)證環(huán)節(jié)，因此將密碼模型和身份認(rèn)證模型進(jìn)行串聯(lián)，建立網(wǎng)絡(luò)攻擊傳播過程的Petri網(wǎng)模型，如圖5所示。由于攻擊者發(fā)動重復(fù)攻擊時(shí)只須要獲得一次硬件便可以多次使用，因此圖中用瞬時(shí)變遷代替身份認(rèn)證模型中的時(shí)延變遷，在模型圖里將這一環(huán)節(jié)簡化為瞬時(shí)變遷表示的概率。Pd，Pe分別為偷取加密硬件和復(fù)制加密硬件的成功概率。

圖5 網(wǎng)絡(luò)攻擊過程模型Fig.5 Process model of cyber attacks

結(jié)合2.1節(jié)網(wǎng)絡(luò)攻擊事件的易發(fā)性模型和網(wǎng)絡(luò)攻擊過程模型，建立網(wǎng)絡(luò)攻擊成功概率模型為：

Ps=PhPJ

(3)

式中：PJ為采用Petri網(wǎng)仿真軟件得到的網(wǎng)絡(luò)攻擊傳播模型的仿真結(jié)果。

2.3 考慮網(wǎng)絡(luò)攻擊的穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)評估方法

考慮網(wǎng)絡(luò)攻擊的穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)評估方法如圖6所示，具體步驟如下。

圖6 考慮網(wǎng)絡(luò)攻擊的穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)評估流程Fig.6 Flow chart of the risk assessment of a stable business considering cyber attacks

步驟1：通過外部循環(huán)實(shí)現(xiàn)對各個(gè)執(zhí)行站中穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊的考慮，每次針對一個(gè)執(zhí)行站中穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊的情景進(jìn)行計(jì)算。

步驟2：通過內(nèi)部循環(huán)實(shí)現(xiàn)對電力系統(tǒng)故障情景的考慮。

步驟3：利用穩(wěn)控系統(tǒng)控制措施維持電網(wǎng)運(yùn)行。針對標(biāo)準(zhǔn)系統(tǒng)可以采用最優(yōu)減載算法[21]得到控制措施；針對實(shí)際系統(tǒng)可以根據(jù)已知故障場景得到控制措施后，采用電力系統(tǒng)分析軟件仿真得到故障后果。如果穩(wěn)控業(yè)務(wù)因網(wǎng)絡(luò)攻擊失效，導(dǎo)致執(zhí)行站拒動，將對當(dāng)前狀態(tài)重新計(jì)算風(fēng)險(xiǎn)指標(biāo)。

步驟4：結(jié)合網(wǎng)絡(luò)攻擊成功概率，穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊后，執(zhí)行站i的風(fēng)險(xiǎn)指標(biāo)Ri為：

Ri=PsPlMi

(4)

式中：Pl為電力線路故障場景發(fā)生概率；Mi為網(wǎng)絡(luò)攻擊和電力線路故障同時(shí)發(fā)生后執(zhí)行站i的評估指標(biāo)。

據(jù)悉，其主線通車已經(jīng)超過13年，瀝青橋面出現(xiàn)裂縫、磨光、老化等病害。對瀝青橋面進(jìn)行病害處治，以維持、提高橋面鋪裝服務(wù)質(zhì)量、延長橋面鋪裝使用壽命，已成為當(dāng)前廣惠高速養(yǎng)護(hù)的首要任務(wù)。

3 算例分析

采用IEEE 30標(biāo)準(zhǔn)系統(tǒng)以及實(shí)際系統(tǒng)對文中所提方法進(jìn)行驗(yàn)證，在IEEE 30系統(tǒng)每個(gè)負(fù)荷不為0的節(jié)點(diǎn)安裝執(zhí)行站裝置。實(shí)際系統(tǒng)以及對應(yīng)的穩(wěn)控系統(tǒng)控制架構(gòu)參見文獻(xiàn)[21]。

3.1 網(wǎng)絡(luò)攻擊成功概率計(jì)算

通過2.1節(jié)分析可知，針對穩(wěn)控裝置本體實(shí)施網(wǎng)絡(luò)攻擊，一般應(yīng)熟悉芯片、操作系統(tǒng)或應(yīng)用軟件內(nèi)部信息，難度極大且成本極高，因此文中主要考慮針對穩(wěn)控裝置站間通信通道的網(wǎng)絡(luò)攻擊。

假設(shè)通過訪問變電站并偷取一個(gè)加密硬件，訪問周期為30 d，偷取成功概率為0.1。復(fù)制一個(gè)加密硬件所需要的時(shí)間為90 d，復(fù)制成功概率為0.1。假設(shè)加密硬件的更換周期是360 d?；趫D5所示網(wǎng)絡(luò)攻擊過程模型，采用YASPER Petri網(wǎng)仿真軟件進(jìn)行10 000次仿真，仿真得到PJ為0.038。

網(wǎng)絡(luò)攻擊事件的具體賦值由專家在實(shí)際情況中根據(jù)特定條件和經(jīng)驗(yàn)打分，如表4—表8所示。

表4 準(zhǔn)則層模糊評判矩陣Table 4 Fuzzy evaluation matrix of criterion layer

表5 攻擊方水平模糊評判矩陣Table 5 Fuzzy evaluation matrix of attacker level index

表6 設(shè)備管理模糊評判矩陣Table 6 Fuzzy evaluation matrix of equipment management

表7 設(shè)備安全模糊評判矩陣Table 7 Fuzzy evaluation matrix of equipment safety

表8 網(wǎng)絡(luò)攻擊事件評分等級Table 8 Evalution level of cyber attack events

結(jié)合式(1)、式(3)及表8，事件1表示網(wǎng)絡(luò)攻擊對象為裝置與通信接口裝置，攻擊成功概率為0.001 4；事件2表示網(wǎng)絡(luò)攻擊對象為通信接口裝置與SDH，攻擊成功概率為0.001 6；事件3表示網(wǎng)絡(luò)攻擊對象為SDH與SDH通信通道，攻擊成功概率為0.001 5。

3.2 針對標(biāo)準(zhǔn)系統(tǒng)的故障仿真

采用最優(yōu)減載算法計(jì)算切負(fù)荷量，評估指標(biāo)Mi如式(5)所示。

(5)

式中：m為執(zhí)行站數(shù)量；n為電力線路數(shù)量；Li,j為第j條線路故障后執(zhí)行站i的切負(fù)荷量。

計(jì)算切負(fù)荷量的結(jié)果如表9所示，其中切負(fù)荷量L為不考慮網(wǎng)絡(luò)攻擊時(shí)的評估指標(biāo)，切負(fù)荷量K為考慮網(wǎng)絡(luò)攻擊時(shí)的評估指標(biāo)。從表中可以看出，不考慮網(wǎng)絡(luò)攻擊時(shí)，除了ES1、ES2、ES3、ES6、ES7、ES8、ES9、ES16、ES17執(zhí)行站在線路發(fā)生故障時(shí)并未產(chǎn)生切負(fù)荷量，其他執(zhí)行站均有切負(fù)荷量，且最高切負(fù)荷量為24.40 MW，占全部負(fù)荷的12.91%。

表9 各執(zhí)行站的切負(fù)荷量Table 9 Load shedding of each execution station

當(dāng)電力系統(tǒng)發(fā)生N-1故障，考慮網(wǎng)絡(luò)攻擊導(dǎo)致穩(wěn)控業(yè)務(wù)失效時(shí)，執(zhí)行站的切除負(fù)荷量明顯增加。其中執(zhí)行站ES5的切負(fù)荷量最多，高達(dá)58.78 MW。這是因?yàn)閳?zhí)行站ES5對應(yīng)電力節(jié)點(diǎn)8，其負(fù)荷需求最大，當(dāng)線路發(fā)生故障且執(zhí)行站無法正常切除負(fù)荷時(shí)，容易導(dǎo)致其他線路潮流過載而斷開，此時(shí)根據(jù)電網(wǎng)當(dāng)前狀態(tài)重新計(jì)算切負(fù)荷量時(shí)，故障后果明顯增加。例如當(dāng)電力線路6—8故障時(shí)，執(zhí)行站ES5應(yīng)切負(fù)荷19.46 MW，但由于裝置拒動，使線路6—28以及8—28因過載而斷開，節(jié)點(diǎn)8上的負(fù)荷全部丟失，增加了線路故障的影響后果。

圖7為不同故障情景下執(zhí)行站的切負(fù)荷量，更加清晰直觀地展現(xiàn)出考慮網(wǎng)絡(luò)攻擊時(shí)，穩(wěn)控業(yè)務(wù)失效造成的故障后果。各執(zhí)行站切負(fù)荷量相比穩(wěn)控業(yè)務(wù)正常時(shí)切負(fù)荷量明顯增加，其中執(zhí)行站ES5切負(fù)荷量增加最多，ES18切負(fù)荷量增加最少。

圖 7 不同故障情景下執(zhí)行站的切負(fù)荷量Fig.7 Load shedding of execution stationsunder different failure scenarios

基于2.3節(jié)考慮網(wǎng)絡(luò)攻擊的穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)評估方法及式(4)，其中線路的故障概率為0.14%，計(jì)算后果經(jīng)歸一化后如圖8所示。

圖8 不同網(wǎng)絡(luò)攻擊場景下執(zhí)行站的風(fēng)險(xiǎn)值Fig.8 Risk value of execution stations under different cyber attack scenarios

從圖8可以看出，執(zhí)行站ES4、ES5的風(fēng)險(xiǎn)值比其他裝置高。而當(dāng)同一個(gè)執(zhí)行站遭受網(wǎng)絡(luò)攻擊后，攻擊通信接口裝置與SDH所造成的風(fēng)險(xiǎn)最大，這是因?yàn)轱L(fēng)險(xiǎn)值不僅與網(wǎng)絡(luò)攻擊事件成功概率有關(guān)，還和攻擊所造成的影響相關(guān)。這3種網(wǎng)絡(luò)攻擊事件都導(dǎo)致穩(wěn)控業(yè)務(wù)失效，造成的拒動后果相同，而針對通信接口裝置與SDH的網(wǎng)絡(luò)攻擊成功概率最高，因此其風(fēng)險(xiǎn)值最大。

3.3 針對實(shí)際系統(tǒng)的故障仿真

以某實(shí)際特高壓交直流混聯(lián)系統(tǒng)[21]的穩(wěn)控系統(tǒng)作為研究對象，分析不同執(zhí)行站因網(wǎng)絡(luò)攻擊而拒動對暫態(tài)頻率的影響。故障場景為某條直流雙極閉鎖，損失功率為3 100 MW。此時(shí)為了保持系統(tǒng)頻率穩(wěn)定，執(zhí)行站ES1—ES5分別提升直流550 MW，250 MW，100 MW，250 MW，50 MW，并且執(zhí)行站ES6—ES11分別切除負(fù)荷300 MW，375 MW，275 MW，250 MW，300 MW，300 MW。若穩(wěn)控業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊失效后，頻率跌落最大量為0.552 4 Hz。針對執(zhí)行站進(jìn)行N-1故障遍歷，并以頻率跌落量為評估指標(biāo)，即式(4)中的Mi。該指標(biāo)由BPA仿真計(jì)算得到，仿真時(shí)間設(shè)置為60 s。網(wǎng)絡(luò)攻擊各執(zhí)行站對系統(tǒng)頻率的影響見表10。

表10 網(wǎng)絡(luò)攻擊各執(zhí)行站對系統(tǒng)頻率的影響Table 10 The impact of cyber attacks on various execution stations on system frequency

由表10可知，考慮網(wǎng)絡(luò)攻擊時(shí)，執(zhí)行站發(fā)生N-1故障，系統(tǒng)頻率跌落量在0.028 98～0.043 00 Hz范圍內(nèi)，系統(tǒng)頻率保持在安全范圍內(nèi)。系統(tǒng)頻率跌落量不僅和執(zhí)行站的執(zhí)行量有關(guān)，也和執(zhí)行站的位置相關(guān)。

假設(shè)電力系統(tǒng)中直流雙極閉鎖的故障概率為0.01%，針對各執(zhí)行站的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)計(jì)算后果經(jīng)歸一化后如圖9所示。

圖9 考慮網(wǎng)絡(luò)攻擊時(shí)實(shí)際系統(tǒng)中各執(zhí)行站的風(fēng)險(xiǎn)值Fig.9 Risk value of execution stations in the actual system considering cyber attacks

從圖9可以看出，相較其他執(zhí)行站，針對ES1的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)值較大。主要是因?yàn)镋S1拒動時(shí)，系統(tǒng)頻率跌落量較大。相較其他2種方式，針對通信接口裝置與SDH的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)值較大，這是因?yàn)獒槍νㄐ沤涌谘b置與SDH的網(wǎng)絡(luò)攻擊成功概率最高，同一穩(wěn)控業(yè)務(wù)失效造成的后果一樣。

4 結(jié)語

穩(wěn)控系統(tǒng)存在較多網(wǎng)絡(luò)安全隱患，攻擊者可利用信息傳輸過程中的安全漏洞，實(shí)現(xiàn)對穩(wěn)控業(yè)務(wù)的網(wǎng)絡(luò)攻擊。據(jù)此，文中基于模糊層次分析法建立了網(wǎng)絡(luò)攻擊易發(fā)性概率模型，并結(jié)合由Petri網(wǎng)建立的網(wǎng)絡(luò)攻擊防護(hù)單元模型，提出了一種針對網(wǎng)絡(luò)攻擊的穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)量化評估方法，克服了已有方法只能定性分析或缺乏物理后果分析的不足，比較了不同網(wǎng)絡(luò)攻擊事件對穩(wěn)控業(yè)務(wù)風(fēng)險(xiǎn)值的影響大小。通過開展信息安全風(fēng)險(xiǎn)評估工作，可以發(fā)現(xiàn)穩(wěn)控系統(tǒng)信息網(wǎng)絡(luò)中存在的主要問題，幫助運(yùn)維人員找出系統(tǒng)薄弱的環(huán)節(jié)，為穩(wěn)控系統(tǒng)信息網(wǎng)絡(luò)防護(hù)措施提供參考依據(jù)。

文中研究的穩(wěn)控系統(tǒng)是基于主站—子站—執(zhí)行站的集中式控制模式，在后續(xù)工作中，可考慮靈活的分布式控制，研究不同運(yùn)行方式和表決模式下的穩(wěn)控系統(tǒng)風(fēng)險(xiǎn)評估方法，以此來適應(yīng)未來大電網(wǎng)發(fā)展的實(shí)際需求。