考慮網絡攻擊因素的電網信息物理系統業務可靠性分析

茹葉棋，周斌，吳亦貝，李俊娥，袁凱，劉開培

(1.武漢大學電氣工程學院，武漢市430072；2.國電南瑞科技股份有限公司，南京市 211106；3.武漢大學計算機學院，武漢市 430072； 4.空天信息安全與可信計算教育部重點實驗室(武漢大學)，武漢市 430072)

考慮網絡攻擊因素的電網信息物理系統業務可靠性分析

茹葉棋1，周斌2，吳亦貝1，李俊娥3，4，袁凱1，劉開培1

(1.武漢大學電氣工程學院，武漢市430072；2.國電南瑞科技股份有限公司，南京市 211106；3.武漢大學計算機學院，武漢市 430072； 4.空天信息安全與可信計算教育部重點實驗室(武漢大學)，武漢市 430072)

電網信息物理系統(grid cyber physical system, GCPS)的主要特征是信息空間和電力空間的深度融合與交互影響。針對智能電網廣域實時保護控制業務，首先研究了信息業務對物理系統可靠性影響的表征方式，建立信息設備關聯的業務可靠性模型。在此基礎上，引入設備可靠性因子，提出考慮攻擊因素的信息設備可靠性評估指標，并給出了結合層次分析法(analytic hierarchy process, AHP)和貝葉斯網絡的業務可靠性量化評估方法。通過算例研究，確定了考慮攻擊因素的情況下系統的薄弱環節，并分析不同冗余程度的信息系統對業務可靠性的影響，并且與已有方法進行對比，驗證了所提方法的可行性和合理性。

電網信息物理系統(GCPS)；業務可靠性；網絡攻擊；層次分析法(AHP)；貝葉斯網絡

0 引 言

隨著智能電網戰略的推進，電網數字化和信息化水平逐漸提高，能量流和信息流的交互影響愈發增強。在此背景下，提出將電力信息物理融合系統(cyber physical system，CPS)作為下一代電力系統基本架構，也稱為電網信息物理系統(grid cyber physical system，GCPS)[1]。GCPS可以充分反映電網正常運行時的物理過程和信息過程，體現兩者的深度融合和交互影響，以期在達到系統安全穩定運行目標的同時提升系統整體性能[2]。

由于GCPS對信息網絡的依存度越來越高，信息系統的失效也將顯著影響物理系統的運行，甚至可能導致電力系統發生嚴重的停電事故。作為一個典型的例子，發生在2003年的“美加大停電”的主要原因就是信息系統失效，狀態估計功能退出運行，控制中心失去對電網實時狀態的感知能力，繼而引發連鎖故障[3]。發生在2015年底的烏克蘭電網大停電事件，被認為是第1例由網絡攻擊造成的停電事故，其主要成因是網絡攻擊導致能量管理系統喪失控制功能，造成部分設備運行中斷[4]。此類事件的發生讓人們認識到針對GCPS的可靠性分析已經不能局限在傳統電力系統的角度，來自信息系統的不確定因素也需要得到更多的重視。為此，GCPS 的信息系統可靠性分析是現階段亟需研究的重要問題之一。

關于電網信息物理系統的可靠性分析，國內外學者已經進行了一定研究。文獻[5]定性分析了電網信息物理系統安全評估的必要性，考慮信息故障對物理系統的影響，提出電網CPS的綜合安全評估體系，但文章并沒有進行深入的可靠性和安全性量化評估。文獻[6]總結概述了電力空間和信息空間之間存在的交互關系，提出以狀態概率表的方法量化分析信息故障的系統可靠性，但是對信息系統作用方式的分析過于簡單。文獻[7]提出了信息系統功能可靠性模型。該模型基于信息設備的物理特征對信息系統進行可靠性量化評估，但沒有考慮系統安全措施和網絡攻擊隱患等環境條件。此外，也有一部分研究重點聚焦于特定系統的可靠性和安全性評估，如智能變電站自動化系統和數據采集與監控(supervisory control and data acquisition, SCADA)系統等[8-12]。這些研究從不同的角度研究了GCPS中信息空間與電力空間的交互作用，但存在對信息系統考慮不全面，交互機制研究不深入且缺乏系統性等不足。

在GCPS中，信息空間與電力空間的交互影響主要依賴于控制業務，因此分析和評估影響控制業務可靠性的因素，是考慮信息空間因素的GCPS可靠性評估的重要內容。保護控制業務是電網主要的控制業務，具有最高的實時性要求，且正在從本地和非實時控制發展為廣域實時控制。本文針對智能電網中的廣域實時保護控制業務，建立與信息設備關聯的業務可靠性模型。分析信息設備失效對物理系統的影響方式，提出業務失效對物理系統影響的信息-物理作用形式化表示。在此基礎上，提出考慮攻擊因素的信息設備評估指標，建立業務可靠性評估流程，并利用層次分析法(analytic hierarchy process, AHP)和貝葉斯網絡計算業務可用率。運用該方法可以定量分析GCPS系統通信業務的可靠性。

1 GCPS信息空間與電力空間影響關系

1.1 GCPS信息空間的影響方式

信息空間對GCPS的影響方式主要有以下3種：傳輸延時、傳輸中斷和傳輸錯誤[13]。

1.1.1 傳輸延時和傳輸中斷

傳輸延時和傳輸中斷對系統的影響從本質上分析是一樣的，通過這2種方式阻礙信息的正常傳輸，影響通信的正常接收和送達功能，導致數據不能及時到達目標設備。在SCADA系統中，如果下級子站上傳至控制中心的電壓、電流信號延遲甚至中斷，將會影響上級中心的決策。

傳輸延時和傳輸中斷產生的原因可能是信息設備、通信信道的物理故障，通信網絡的拓撲改變，也可能是網絡攻擊，比如拒絕服務攻擊、黑洞攻擊等。

1.1.2 傳輸錯誤

產生數據傳輸錯誤類故障時，某些信息支路的實際輸出數據與理想數據存在一定偏差，將可能直接影響一次設備的正確動作。例如，當控制中心需要下發功率調節指令到廠站的某臺發電機時，可能將來自其他發電機或者不真實的調度指令錯誤地下發到了這臺發電機，進而影響正常的潮流轉移，引起電網波動。

導致傳輸錯誤類故障的原因有多種，可能由來自固有的系統量測誤差、數據傳輸時誤碼率過大等原因的壞數據引起，也可能由錯誤數據注入攻擊、重放攻擊等人為的惡意攻擊導致的虛假信息造成。

1.2 GCPS信息空間與電力空間關聯模型

信息空間對于電力空間的影響分為直接作用和間接作用[14]。由于間接作用不會直接導致電力一次設備故障，其作用方式不容易進行形式化表述，所以，本文主要考慮直接作用的關聯模型，研究其對電力系統可靠性的影響。

定義1 信息系統設備是指智能電子設備(intelligent electronic device，IED)、服務器、交換機、網絡接口和其他設備的總和。IED從電力設備收集數據并且傳送給服務器，同時也將從調度中心接收的控制命令應用于電力設備。

定義2 信息系統業務是指為保證電力系統運行，電力信息系統需要執行的多種任務。這里的業務主要指能夠對一次設備動作產生直接作用的業務，如斷路器控制業務。

定義3 電力系統元件是指電力一次系統中可以被信息網絡直接控制執行動作的各類設備，如斷路器、變壓器等[15]。

采用圖的串聯模型表征信息空間與電力空間的直接作用關聯模型，如圖1所示。其關聯關系為

FU=AU·FB,E

(1)

式中：FU為考慮了信息業務影響的電力一次元件可用率；AU為未考慮信息業務時的電力一次元件可用率；FB,E為信息業務的可用率，與業務關聯的信息設備的可靠性相關。

圖1 信息空間與電力空間的直接作用關聯模型
Fig. 1 Relational model of direct impact between cyber space and power space

計算電力一次元件可用率的目的是對電力系統的可靠性進行分析[16-17]。因此，信息系統業務的可用率是電力空間和信息空間作用的關鍵，對其進行研究是理解GCPS交互作用的重要環節。

2 GCPS信息系統業務模型

信息系統業務由與業務關聯的信息設備、通訊網絡以及它們之間的信息交互共同完成。由于信息系統中單個設備可以影響業務的多個過程的正常運行，單個業務的完成也可能包含多個設備的參與，簡單地用傳統的二次設備失效概率不能反映GCPS系統中的信息業務特性。因此，需要從整體出發，考慮信息系統的拓撲結構和冗余配置，使用可靠性框圖的方法，進行保護控制業務的業務可靠性建模。

2.1 典型信息系統結構模型

根據 IEC 61850標準[18]，構建信息系統典型結構模型，如圖 2 所示。

圖2 信息系統典型結構模型Fig.2 Typical structure model of information system

信息系統擁有IED、保護測控模塊、交換機、服務器等設備，包括調度中心、電力通信網、智能變電站等三大部分。在不影響系統結構的前提下，本文考慮能夠完成保護控制業務的主要信息系統設備。

2.2 設備關聯的業務模型

以IEC 61850 標準為基礎，針對圖 2所示的信息系統典型結構模型，構建業務的可靠性框圖。基于實際網絡中通信設備和鏈路的物理冗余結構，本文假設信息系統中交換機和通信網絡物理結構完全可靠，與設備關聯的保護控制業務模型如圖 3 所示。

圖3 保護控制業務模型Fig.3 Model of protection and control business

為了簡化起見，本文將保護控制業務分為數據上傳和指令下發2個過程，合并單元從電力設備采集數據，最終傳輸到調度中心服務器。在調度中心，數據經過處理后，調度人員從調度中心工作站發送控制指令，下發到控制單元控制對應的電力設備動作。數據上傳和指令下發過程共同構成了保護控制業務[19]。

需要指出的是，本文將GCPS重要的物理設備——斷路器作為信息系統與物理系統的信息-物理作用交互點，保護控制業務控制斷路器的開斷動作。因此，當業務發生故障時會直接導致物理系統的拓撲和潮流發生變化，其對于物理系統的作用屬于直接作用。

3 業務可靠性分析流程

可靠性是指系統無故障地完成規定功能的能力，不僅包括設備在物理特性上可靠，也關注系統業務功能的正確執行。在系統規劃設計和運行維護階段，可靠性都是一個重要的技術性能指標。

當信息系統設計設置足夠的冗余度后，網絡攻擊成為影響電力控制業務可靠性的主要因素。本文提出的考慮攻擊因素的GCPS業務可靠性分析流程如圖4所示。具體步驟如下詳述。

(1)明確研究的信息業務對象，建立與設備關聯的業務模型；

(2)構建考慮攻擊因素的信息設備評估指標；

(3)利用AHP量化每個設備的可靠性因子，并計算設備可靠性概率；

(4)根據設備的冗余結構，構建業務可靠性框圖；

(5)利用最小路集建立貝葉斯網絡，計算業務可用率。

圖4 考慮攻擊因素的GCPS業務可靠性分析流程圖Fig.4 Flow chart of business reliability analysis in GCPS considering attack factors

3.1 考慮攻擊因素的信息設備評估指標

考慮GCPS系統的特征和網絡攻擊的特點，本文構建了3層評估指標體系，如圖5所示。從攻擊者水平、系統部署的防御措施和設備管理3個角度，全面地對設備的可靠性進行評估，用于量化設備的可靠性因子。

圖5 考慮攻擊因素的設備可靠性評估指標Fig.5 Evaluation indexes of equipment reliability considering attack factors

3.1.1 攻擊者水平

攻擊者水平與攻擊者的漏洞利用方法、掌握的攻擊知識和攻擊成本等因素相關。以震網病毒攻擊[20]為例，攻擊者首先通過內部電腦將病毒注入目標系統，同時利用MS10-046、MS10-061等多個零日漏洞使系統防御措施無法察覺攻擊的發生，體現了較高的攻擊水平。同時，常規的網絡攻擊也會用到一些已知的系統可利用漏洞，所以，攻擊者掌握越多的已知漏洞，就越容易實現攻擊。

不同于一般信息網絡，GCPS是電力信息物理融合的復雜系統，攻擊者不僅需要考慮如何從信息網絡側發起攻擊，也要考慮到攻擊對于GCPS的整體影響，同時電力通信網絡實行安全分區[21]，具備復雜系統知識會更有利于攻擊的成功實施。

攻擊成本則與攻擊時間、所需人力和資金成本等因素有關。當實施常見的網絡攻擊時，實現攻擊所需要的時間和資本相對較少，因而攻擊成本低。而當需要使用特殊攻擊手段，如實施針對SCADA系統的震網病毒攻擊時，攻擊者的準備周期較長，所投入的人力和資金成本較大，顯然攻擊成本會比較高。這種情況下，攻擊者需要權衡攻擊成本與攻擊帶來的收益之間的關系。

如上所述，從攻擊者角度分析系統的可靠性，所設置的3個指標項符合GCPS攻擊特征，具有一定的合理性。攻擊者水平評分標準見表1。

表1 攻擊者水平指標評分標準
Table 1 Index scoring standard of level of attackers

3.1.2 安全措施和設備管理

對“安全措施”和“設備管理”中的評估指標打分，分為極低、較低、中等、較高和極高5個不同的可靠性等級, 并分別賦值為1、2、3、4和5。例如，“身份認證”主要與使用的算法強度相關，需要考慮算法類型、密鑰長度和算法新鮮度等相關因素，而“入侵檢測”與入侵檢測系統(intrusion detection systems，IDS)的狀態息息相關，若IDS能夠及時準確發現系統存在的異常信息并產生報警信息，說明其可靠性高。“設備安全性要求”則主要是考慮設備被攻擊或故障失效后在系統運行中的影響范圍。具體的賦值需要由專家在實際情況中根據特定條件和經驗打分。

3.2 設備的可靠性概率計算

為了結合業務來分析信息系統可靠性，必須要對信息系統的業務可靠性進行量化評估。本文采用AHP[22]對信息設備可靠性進行量化評估。

3.2.1 確定評估指標權重

設利用AHP自上而下建立準則層對目標層以及指標層對準則層的判斷矩陣，并計算矩陣的歸一化特征向量：

di=mΠmj=1aij

(2)

wi=di/∑mk=1dk

(3)

式中：aij為判斷矩陣A的第i行、第j列的元素；di為特征向量D的第i個分量；wi為歸一化后的特征向量W的第i個分量。

指標層的組合權重為

WI=(WIP1,WIP2,…,WIPn)·WP

(4)

式中：WI為指標層的組合權重向量；WP為準則層對目標層的權重向量；WIPi為指標層相對于準則層元素i的權重矩陣；n為準則層的元素數量。

指標層的組合權重的計算中需要驗證一致性指標來保證數據的可信度，具體方法參考文獻[23]。

3.2.2 可靠性因子的確定

利用專家打分的方法對指標層每個指標進行打分，經歸一化處理后確定每個設備的可靠性因子λi為：

λi=Si/∑lj=1Sj

(5)

Si=Xi1,Xi2,Xi3,…,Xik·WI

(6)

式中：λi為歸一化后第i個設備的可靠性因子；Si為專家對第i個設備的評分矩陣；l為被評估設備的數量；Xi為專家對第i個設備的評分向量；k為指標層元素數量。

3.2.3 計算設備可靠性概率

[24]并且結合可靠性理論，定義設備可靠性概率為

Pi=1-e-λiC

(7)

式中：Pi為第i個設備的可靠性概率；λi為第i個設備的可靠性因子；C為系統的攻擊代價。

系統的攻擊代價是考慮系統整體情況下實現攻擊需要具備的條件。常規可靠性計算中的時間概念主要關注對象的使用壽命。GCPS業務可靠性計算中主要關注攻擊進入系統的代價。C越大，表示攻擊進入系統的難度越大，同時，Pi越大，設備越可靠。

3.3 貝葉斯網絡計算業務可用率

結合可靠性評估常用的最小路集方法，使用鄰接矩陣法構建包含設備層、最小路集層、過程層和業務層在內的4層貝葉斯網絡[25]。然后，利用貝葉斯公式可以計算業務可用率。貝葉斯公式為

PY=∑ni=1PY=TZi·PZi

(8)

式中：P(Y)為事件Y的先驗概率；P(Y=T|Zi)為已知事件Zi發生的情況下，事件T發生的條件概率；P(Zi)為事件Zi的先驗概率。

4 算例分析

以圖2所示的典型結構模型為基礎，對不同冗余配置的系統結構進行算例分析，并采用圖3所示的業務模型，業務的實現涉及合并單元(merging unit, MU)、控制單元(control unit, CU)、保護測控模塊(protection unit, PU)、遠動服務器(remote server, RS)、中心服務器(center server, CS)和中心工作站(center workstation, CW)等設備元件。

4.1 計算設備可靠性因子

使用常規的1～9標度[23]構建判斷矩陣，利用式(2)—(4)對圖4所示的評估指標進行權重計算，指標層的權重向量WI=[0.301 3,0.172 5,0.065 8,0.118 8,0.118 8,0.059 4,0.046 9,0.103 7,0.012 8]。利用專家打分方法對6個設備進行評分，打分結果見表2。

表2 評估指標專家評分結果
Table 2 Expert scoring results of evaluation indexes

利用式(5)—(6)計算的各個設備的可靠性因子見表3。

表3 設備可靠性因子
Table 3 Equipment reliability factors

得到可靠性因子后，利用式(7)可以方便地計算可靠性概率，本文重點關注可靠性因子及業務可用率，這里不再列表給出設備可靠性概率。為了不失一般性，本文取C=50。

4.2 計算業務可用率

參考文獻[25]的數字化保護結構，并根據4.1節的計算結果，考慮4種信息系統結構，分別是：(1)不考慮冗余的結構；(2)考慮最薄弱設備MU冗余的結構；(3)考慮薄弱環節MU和CU同時冗余的結構；(4)考慮設備全冗余的結構。

以考慮MU和CU冗余的結構為例進行仿真方式說明，系統結構如圖6所示。

圖6 MU和CU冗余的通信系統結構Fig.6 Structure of information system with redundancy of MU and CU

根據圖6所示結構分別建立保護控制業務2個過程的可靠性框圖，如圖7所示。

圖7 保護控制業務的可靠性框圖Fig.7 Reliability diagram of protection and control business

利用鄰接矩陣法，確定最小路集為

Pt1={MU1,PU1,RS1,CS1}
Pt2={MU2,PU1,RS1,CS1}
Pt3={CW1,RS1,PU1,CU1}
Pt4={CW1,RS1,PU1,CU2}

(9)

式中Pt1、Pt2、Pt3、Pt4分別為系統的4條最小路集。

由最小路集建立貝葉斯網絡，如圖8所示。其中，保護控制業務可用率為頂事件，設備可靠性為基本事件。SC為數據上傳過程節點；XF為指令下發過程節點；YW為業務可用率節點。網絡分為4層，第1層為設備層，由CU、MU、PU等組成；第2層為數據上傳和指令下發過程的最小路集層，其節點類型為“與”節點；第3層為數據上傳和指令下發過程層，節點類型為“或”節點；最后1層為保護控制業務層，節點類型為“與”節點。使用MATLAB進行仿真計算可以得到該結構下的業務可用率為0.999 354 73。

圖8 MU和CU冗余的業務可靠性分析貝葉斯網絡Fig.8 Bayesian network of business reliability analysis with redundancy of MU and CU

4.3 仿真結果分析比較

首先，給出設備可靠性因子結果如圖9所示。使用本文方法和文獻[7]所提出的方法在不同系統結構下的業務可用率進行仿真對比，分別計算4種系統結構下的業務可用率，其結果見表4、5。

表4 基于本文所提出方法的仿真結果
Table 4 Simulation results of proposed method

表5 基于文獻[7]所提出方法的仿真結果Table 5 Simulation results of method in literature[7]

設備的可靠性因子如圖9所示。設備的可靠性隨著所屬區域的安全性提高而提升，站內設備的可靠性低于站級設備，站級設備低于調度中心設備，這與實際情況相符，而其中合并單元和控制單元屬于相對薄弱的環節，因此，設計了合并單元和控制單元冗余的結構進行系統結構的比較。

圖9 可靠性因子Fig.9 Reliability factor

由表4可知，增加1個最薄弱環節的設備冗余和2個薄弱設備冗余，均可以大幅降低業務失效的概率，但是2個設備冗余和全設備冗余之間的可靠性提高則并不明顯，因為2個設備冗余的業務可靠性已經達到99.999%的標準，而且要考慮到全設備冗余的成本明顯高于2個設備冗余的情況。因此，以保證業務達到較高的可靠性水平為前提，適當地增加薄弱環節的設備冗余可能比為系統內所有設備進行冗余配置更為合理。

基于本文所提出方法和文獻[7]所提出的方法在不同系統結構下的業務可用率對比如圖10所示。由表5和圖10可知，本文所提出的方法對于業務可用率的計算結果更為敏感。文獻[7]所提出方法在前3種結構下失效率下降幅度較小，即業務可用率升幅較小，并沒有體現出系統薄弱環節對于系統業務可用率的影響，即使在無冗余結構下對可用率的評估也過于樂觀，容易使人產生系統已經足夠可靠的錯誤判斷，而本文的方法很明顯地展示了系統薄弱環節的冗余結構改進對業務可用率的增強。

圖10 本文方法與文獻[7]方法在不同系統結構下的對比Fig.10 Comparison between methods with different structures proposed in this paper and that in literature [7]

文獻[7]中方法籠統地認為同一類設備(如IED)具有相同的失效概率，而本文的方法從多角度全面分析了每一種設備在系統中的可靠性，4.1節的計算結果也表明，即使同類設備之間的失效概率也會因為其在系統中扮演的角色不同而存在差異。此外，2種方法在全冗余狀況下的結果則比較相近。

因此，本文所提出的方法能夠更好地評估脆弱環節對系統的影響，對系統的安全決策和穩定性分析更具參考價值，算例對比結果證明了所提出的方法的可行性和合理性。

5 結 論

(1) 分析了信息空間對電力空間的影響并建立形式化表達方式，提出設備關聯的保護控制業務可靠性模型。

(2) 提出考慮攻擊因素的設備可靠性評估指標。在此基礎上，結合AHP和貝葉斯網絡給出可靠性評估量化方法，用以定量分析GCPS業務的可靠性。

(3) 算例分析的結果表明，不同信息網絡結構對業務可靠性影響存在差異，信息系統冗余配置能提高業務可靠性。與已有方法的對比也證實了所提出的方法的可行性和合理性。研究結果能為GCPS信息系統的設計、部署和維護提供較好的分析和參考價值，從而提高GCPS系統整體可靠性。

此外，由于GCPS系統中業務類型眾多，信息交互復雜，本文在分析過程中作出簡化。下一步工作考慮優化可靠性模型，同時將本文的模型應用到不同的電力信息業務中進行可靠性評估，嘗試分析比較不同業務對于系統可靠性影響的差異，為系統實現有針對性的防護工作提供參考依據。

6 參考文獻

[1]梁云, 劉世棟, 郭經紅. 電網信息物理融合系統關鍵問題綜述[J]. 智能電網, 2015, 3(12):1108-1111. LIANG Yun, LIU Shidong, GUO Jinghong. Review on the key issues of grid cyber-physical systems[J]. Smart Grid, 2015, 3(12):1108-1111.

[2]劉東, 盛萬興, 王云, 等. 電網信息物理系統的關鍵技術及其進展[J]. 中國電機工程學報, 2015, 35(14):3522-3531. LIU Dong, SHENG Wanxing, WANG Yun, et al. Key technologies and trends of cyber physical system for power grid[J]. Proceedings of the CSEE, 2015, 35(14):3522-3531.

[3]ANDERSSON G, DONALEK P,FARMER R, et al. Causes of the 2003 major grid blackouts in North America and Europe，and recommended means to improve system dynamic performance[J]. IEEE Transactions on Power Systems，2005，20(4)：1922-1928.

[4]郭慶來, 辛蜀駿,王劍輝,等. 由烏克蘭停電事件看信息能源系統綜合安全評估[J]. 電力系統自動化, 2016, 40(5):145-147. GUO Qinglai, XIN Shujun, WANG Jianhui, et al. Comprehensive security assessment for a cyber physical energy system: a lesson from Ukraine’s blackout[J]. Automation of Electric Power Systems,2016, 40(5):145-147.

[5]郭慶來, 辛蜀駿,孫宏斌,等. 電力系統信息物理融合建模與綜合安全評估:驅動力與研究構想[J]. 中國電機工程學報, 2016, 36(6):1481-1489. GUO Qinglai, XIN Shujun, SUN Hongbin, et al. Power system cyber-physical modelling and security assessment:motivation and ideas[J]. Proceedings of the CSEE, 2016, 36(6):1481-1489.

[6]FALAHATI B, FU Y, WU L. Reliability assessment of smart grid considering direct cyber-power interdependencies[J]. IEEE Transactions on Smart Grid, 2012, 3(3):1515-1524.

[7]郭嘉, 韓宇奇, 郭創新,等. 考慮監視與控制功能的電網信息物理系統可靠性評估[J]. 中國電機工程學報, 2016, 36(8):2123-2130. GUO Jia, HAN Yuqi, GUO Chuangxin, et al. Reliability assessment of cyber physical power system considering monitoring function and control function[J]. Proceedings of the CSEE, 2016, 36(8):2123-2130.

[8]HAJIAN-HOSEINABADI H. Impacts of automated control systems on substation reliability[J].IEEE Transactions on Power Delivery, 2011, 26(3):1681-1691.

[9]熊小萍, 譚建成, 林湘寧. 基于動態故障樹的變電站通信系統可靠性分析[J]. 中國電機工程學報, 2012, 32(34):135-141. XIONG Xiaoping, TAN Jiancheng, LIN Xiangning. Reliability analysis of communication systems in substation based on dynamic fault tree[J]. Proceedings of the CSEE, 2012, 32(34):135-141.

[10]邱劍, 王慧芳, 陳志光,等. 智能變電站自動化系統有效度評估模型[J]. 電力系統自動化, 2013, 37(17):87-94. QIU Jian, WANG Huifang, CHEN Zhiguang, et al. Effectiveness evaluation model of smart substation automation system[J]. Automation of Electric Power Systems,2013, 37(17):87-94.

[11]TEN C W, LIU C C, MANIMARAN G. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008, 23(4):1836-1846.

[12]ZHANG Y, WANG L, XIANG Y, et al. Power system reliability evaluation with SCADA cybersecurity considerations[J]. IEEE Transactions on Smart Grid, 2015, 6(4):1707-1721.

[13]XIN S, GUO Q, SUN H, et al. Cyber-physical modeling and cyber-contingency assessment of hierarchical control systems[J]. IEEE Transactions on Smart Grid, 2015, 6(5):2375-2385.

[14]FALAHATI B, FU Y. A study on interdependencies of cyber-power networks in smart grid applications[C]// 2012 IEEE PES Innovative Smart Grid Technologies (ISGT).Berlin:IEEE, 2012:1-8.

[15]葉夏明,文福拴,尚金成,等. 電力系統中信息物理安全風險傳播機制[J]. 電網技術,2015,39(11):3072-3079. YE Xiaming, WEN Fushuan, SHANG Jincheng, et al. Propagation mechanism of cyber physical security risks in power systems[J]. Power System Technology, 2015,39(11):3072-3079.

[16]汪隆君, 王鋼, 李博. 交直流混聯輸電系統充裕度評估的最優負荷削減模型[J]. 電力系統自動化, 2011, 35(7):7-12. WANG Longjun, WANG Gang, LI Bo. An optimal load shedding model for AC/DC hybrid transmission system adequacy assessment[J]. Automation of Electric Power Systems,2011, 35(7):7-12.

[17]侯雨伸, 王秀麗, 劉杰,等. 基于擬蒙特卡羅方法的電力系統可靠性評估[J]. 電網技術, 2015, 39(3):744-750. HOU Yushen, WANG Xiuli, LIU Jie, et al. A quasi-Monte Carlo method based power system reliability evaluation[J]. Power System Technology, 2015, 39(3):744-750.

[18]IEC. Communication networks and systems in substations-part 5: communication requirements for functions and device models:IEC 61850-50[S]. Geneva: IEC, 2003.

[19]李高望, 鞠文云, 段獻忠,等. 電力調度數據網傳輸特性分析[J]. 中國電機工程學報, 2012, 32(22):141-148. LI Gaowang, JU Wenyun, DUAN Xianzhong, et al. Transmission characteristics analysis of the electric power dispatching data network[J]. Proceedings of the CSEE, 2012, 32(22):141-148.

[20]LANGNER R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy Magazine, 2011, 9(3):49-51.

[21]鄒春明, 鄭志千, 劉智勇,等. 電力二次安全防護技術在工業控制系統中的應用[J]. 電網技術, 2013, 37(11):3227-3232. ZOU Chunming, ZHENG Zhiqian, LIU Zhiyong, et al. Application of cyber security in industrial control systems based on security protection technology for electrical secondary system[J]. Power System Technology, 2013, 37(11):3227-3232.

[22]SAATY T L. The analytic hierarchy process[M]. New York: McGrew-Hill, 1980:1-88.

[23]楊小彬, 李和明, 尹忠東, 等. 基于層次分析法的配電網能效指標體系[J]. 電力系統自動化, 2013, 37(21):146-150. YANG Xiaobin, LI Heming, YIN Zhongdong, et al. Energy efficiency index system for distribution network based on analytic hierarchy process[J]. Automation of Electric Power Systems,2013, 37(21):146-150.

[24]LIU N, ZHANG J, ZHANG H, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J]. IEEE Transactions on Power Delivery, 2010, 25(3):1492-1500.

[25]張沛超, 高翔. 全數字化保護系統的可靠性及元件重要度分析[J]. 中國電機工程學報, 2008, 28(1):77-82. ZHANG Peichao, GAO Xiang.Analysis of reliability and component importance for all-digital protective systems[J]. Proceedings of the CSEE, 2008, 28(1):77-82.

(編輯 郭文瑞)

Reliability Analysis of Business in Grid Cyber Physical System Considering the Factors of Cyber Attacks

RU Yeqi1, ZHOU Bin2, WU Yibei1, LI Jun’e3,4, YUAN Kai1, LIU Kaipei1

(1. School of Electrical Engineering, Wuhan University, Wuhan 430072, China;2. NARI Technology Development Co., Ltd., Nanjing 211106, China;3. School of Computer, Wuhan University, Wuhan 430072, China; 4. Key Laboratory of Aerospace Information Security and Trusted Computing of Ministry of Education(Wuhan University), Wuhan 430072, China)

The deep integration and interaction between cyber space and power space is the main feature of grid cyber physical system (GCPS). According to the wide-area real-time protection and control business in smart grid, this paper firstly studies the way of the impacts of information business on the reliability of physical system, and establishes the model of business reliability associated with information equipment. On this basis, this paper introduces the reliability factor of equipment, proposes the reliability evaluation indexes for information equipment considering cyber attack, and presents a quantitative evaluation method of business reliability with combining analytic hierarchy process (AHP) and Bayesian network. Finally, through the case study, this paper identifies the weak link of the information system considering cyber attack and analyses the impact of information systems with different levels of redundancy on business reliability. Meanwhile, compared with the existing method, the result verifies the feasibility and rationality of the proposed method.

grid cyber physical system (GCPS); business reliability; cyber attack; analytic hierarchy process (AHP); Bayesian network

國家自然科學基金項目(51377122)；國家電網公司科技項目(智能變電站通信網絡可靠性及信息安全關鍵技術研究與應用)

TM 73

A

1000-7229(2017)05-0038-08

10.3969/j.issn.1000-7229.2017.05.005

2016-10-01

茹葉棋(1991)，男，碩士研究生，主要從事電網信息物理系統安全等方面的研究工作；

周斌(1970)，男，研究員級高級工程師，主要從事變電站自動化等方面的研究工作；

吳亦貝(1993)，女，碩士研究生，主要從事電網信息物理系統安全等方面的研究工作；

李俊娥(1966)，女，教授，本文通信作者，主要從事計算機網絡體系結構、網絡安全、網絡性能與電網信息物理系統安全等方面的研究工作；

袁凱(1989)，男，博士研究生，主要從事電網信息物理系統安全等方面的研究工作；

劉開培(1962)，男，教授，博士生導師，主要從事新能源與智能電網等方面的研究工作。

Project supported by National Natural Science Foundation of China(51377122)