基于改進ADT 的綜合能源系統信息安全風險分析

李朝陽，彭道剛，呂政權，張 涵，王丹豪

（1.上海電力大學 自動化工程學院，上海 200090；2.國網上海市電力公司培訓中心，上海 200438）

0 引言

在化石燃料低效匱乏、環境污染持續嚴重的背景下，我國能源創新高度活躍，光伏、風機等新能源供能成本下降，各類儲能技術不斷改進，“云大物移智鏈”逐漸滲透，多種能源之間亟需整合設計規劃、協調運行，以方便可再生能源的安全消納[1-2]。因此，國家電網有限公司高度重視綜合能源產業建設發展，努力實現可再生能源廣域互聯、智能數字化采集和源網荷儲友好互動[3]。但伴隨著兩化融合以及信息物理系統的高度集成，新興業務被引入大量現場電力終端設備，網絡信息安全將對能源供給帶來更多的不穩定因素，這是綜合能源系統發展必須解決的問題之一。而且網絡空間形式日益復雜，網絡攻擊的針對性、持續性和隱蔽性顯著增強，各種威脅源相互交織，呈現出多元復雜的局勢?！?020 全球風險報告》指出，網絡攻擊發生的可能性和影響力分別排第七、第八位，僅次于若干非人為威脅。另外，據2019年報道統計（英國、印度核電站內網訪問權限遭竊取以及委內瑞拉、南非大規模停電）表明，網絡攻擊國家化潛在趨勢明顯，電力企業面臨前所未有的威脅。因此，有必要全面加強面向綜合能源系統的網絡安全風險管控，開展高危風險點的驗證與分析工作，針對性部署安全防護措施。

目前，對綜合能源信息安全的研究主要集中于分布式能源、能源互聯網和信息物理系統等領域。文獻[4]基于身份安全機制、通信協議和智能能源管理系統構建了能源互聯網信息安全框架。文獻[5]針對能源區塊鏈的私鑰、隱私和協議等問題提出應對策略并構建防護體系。通過定位綜合能源系統潛在危險點及風險因素分析，可以合理準確地判斷攻擊事件的影響及威脅被利用的難易程度[6]。目前，主流的安全風險分析形式有定性和定量2 種。文獻[7-8]應用層次分析法，結合粒子群算法/證據理論，分別討論了工控系統中功能與信息安全兩大問題。面對具體攻擊行為特征提取困難、攻擊渠道復雜、攻擊空間模糊等問題，場景模型化分析提供了一種定量解決思路[9]，Petri 網[10]和攻擊圖[11]作為其常用建模方法已被電力行業廣泛應用。文獻[12]通過計算攻防博弈模型均衡解來識別某光熱冷綜合能源的系統危險點并預測其攻擊行為。文獻[13]在攻擊樹的基礎上引入防御措施概念，計算數據采集與監控系統的威脅性指標。本文首先對當前綜合能源系統信息安全防護建設情況進行梳理；其次提出一種基于DEMATEL（決策實驗室分析）法優化權重結合ADT（攻防樹模型），即DEMATEL-ADT 的綜合能源系統信息安全風險分析方法；最后通過對某光-儲-充-換一體化電站進行威脅分析，驗證了所提方法的實用性并提出了相關安全建設意見。

1 綜合能源系統結構安全

隨著產業互聯網的轉型升級，信息安全問題與日俱增，在智慧綜合能源時代下，任何無意識的安全漏洞，都有可能導致新能源電站故障或癱瘓。由此，電力企業開展安全等級劃分，將信息系統劃分為管理信息和生產控制大區，筑牢互聯網邊界、信息內外網邊界和管理信息大區邊界“三道防線”[14]，融入安全防護技術于系統采集、傳輸和控制等業務環節模塊，并參考《國家電網公司管理信息系統安全防護技術要求》，滿足物理、邊界、網絡、應用、數據、主機和終端7 個層面的要求[15]，以此形成電力企業網絡安全防護體系。其中生產控制大區普遍采取專網專用，輔以防病毒軟件、工控安全設備、物理防護和電磁屏蔽底層防護措施；管理信息大區通過主動防御體系輔以無線安全管理、網絡監控、信息加密和代碼檢測等防護措施進行全面布防。但在電力系統向綜合能源轉型過程中，光伏風機地熱天然氣等多種能源形式以及電熱冷等多元化用能需求在產生、傳輸分配、轉換存儲、消費交易等過程可能存在安全威脅的環境下，網絡攻擊技術也逐步發生演進。傳統網絡掃描、信息收集、拒絕服務、入侵控制和實體檢測五大類攻擊又衍生出可持續威脅攻擊、暗鏈攻擊、移動終端病毒攻擊等高級攻擊形式[16]，有必要應用場景風險分析方法，實現安全拓展需求，做到采集、通信、數據、運維的多角度、全方位和立體化保護。面向電網綜合能源系統的網絡攻防分布如圖1 所示。

2 風險分析方法實現原理

2.1 攻擊防御樹模型

ADT 作為一種攻擊場景模型化分析方法，由Schneier 于1999 年提出[17]，一般用來描述威脅攻擊與防護措施二者之間的交互影響。作為綜合能源服務業務的重要分支，同樣面臨互聯網化所映射出的信息安全問題，電動汽車與綜合能源系統的安全相關研究高度重合。攻擊者根據其與電網雙向電力交換的特性，往往利用無線通信從充電設施切入，進行中間人攻擊、支付欺詐、隱私竊取、損壞電池和拒絕服務攻擊，甚至在電網中傳播惡意軟件，造成嚴重后果[18]。以華東地區某城市光-儲-充-換一體化充換電工程為例，構建適應一般情況的安全威脅路徑和防護策略攻防樹模型，如圖2 所示，表1 則給出各節點的含義。圖2 中，根節點G 為內網滲透，即監視與控制能量生產管控、調度配網和交易中心等信息資產。

圖1 綜合能源系統的網絡攻防分布

設三元組ADT={N，E，R}，其中N=（Na，Nd）為樹的節點集合，包括攻擊節點集合和防御節點集合。圖2 中節點M，X 表示攻擊；D 表示防御；e={Ni，Nj}∈E 表示節點Ni與節點Nj的邊，節點之間的邊有父子（即節點X 與M，M 與G）和防護對抗（即節點D 與X）2 種關系，以邊的虛實區分，各攻擊葉節點延伸出一個或一組防護措施；R={AND，OR，SAND}表示節點之間有“與、或、順序”3 種邏輯關系，即判斷子節點是否獨立完成父節點的入侵過程。

圖2 攻防樹節點表示方法

表1 攻防樹節點符號含義

攻擊示意圖中X 代表具體的攻擊方式，按照傳統網絡攻擊步驟，從圖1 描述的六大類中衍生；相應的D 被安全技術員普遍采用，一定程度上可以緩解特定類型安全風險壓力。每一條從根節點出發到葉節點的分支都代表一個完整攻陷最終目標的攻擊序列，中間節點M 表示系統已經在一定程度上遭受入侵，多個序列匯集的根節點G 表示各種攻擊行為的最終安全事件。

2.2 DEMATEL 方法

DEMATEL 法作為一種運用圖論與矩陣的系統分析方法，由Gabus 于1971 年提出，用來衡量決策指標相對重要程度與作用反饋。本文參考美國工業控制系統安全指南[19]，將綜合能源系統中信息安全威脅指標分為攻擊實施成本ci、難易程度ni、攻擊隱蔽性fi和收益影響yi4 個因素，Zc，Zn，Zf和Zy為4 個因素對應的綜合權重，其和為1。在搭配Delphi（專家調查）法的基礎上，綜合考慮因素間的邏輯關系，得到指標混合權重Z。

為達到中斷能源系統運行、竊取工作信息等的目的，攻擊難易度往往被黑客優先考慮。因此，利用本節方法，確定更適應綜合能源系統的威脅指標權重。組織5 位網絡安全工程師參與評估，采用五分度法判斷二元關系，模糊數0～4 表示相互關系的無、弱、一般、較強、很強。得到直接影響矩陣A。

為保證運算收斂歸一化原始關系矩陣，得到規范直接影響矩陣記為As，其中I 為單位矩陣；元素aij表示因素i 對比因素j 的重要等級：

接著計算綜合影響矩陣Ao：

混合權重Z 反映初始權重w 大小的同時，也照顧到了各因素的影響程度，這樣權重賦值顯得科學合理。

2.3 攻擊序列風險計算

由ADT 可以看出整體過程呈現順序關系，如攻擊者通過前期收集工作確定潛在入侵對象，誘導對象下載病毒APP，進而攻陷不安全的通信協議，致使用戶惡意繳費。這一流程來看，該案例中各步驟既從自身獲益，也為后續鋪墊了道路。由此引入局部信息抗攻擊能力評價指標F，描述SAND 節點條件概率，反映攻擊者后續繼續入侵意愿。

式中：J′，J 表示綜合能源系統網絡攻擊當前所屬階段與所有階段統計數值。

根據2.1 和2.2 小節內容結合多屬性效用理論，將以下屬性轉換為效用值并給出葉節點風險分析公式：

式中：i 為任意攻擊方式即葉節點；T（Xi）和T′（Xi）為引入防護措施前、后葉節點的風險威脅指標；U 為系統風險因素效用值，U（x）=1/x；d，dmax分別為該節點防護實施效果與系統最佳防護效果加1。

綜合能源系統面臨的各類信息安全威脅小到邊緣資產泄密，大到電網主站監控中心數據的篡改，需要根據屬性的不同對各因素量化。本文參照CVSS（通用漏洞評分體系）3.0 版本給出攻擊難度與收益影響標準（見表2）量化公式，全因素風險分析等級標準見表3。充電站的可用性由充電服務的激活時間與停止時間決定。

表2 攻擊難度與收益影響標準

表3 全因素風險分析等級標準

按照邏輯規則自上而下計算攻擊序列風險值，整棵攻防樹的風險指標用其中每條攻擊序列風險屬性最大值來表示。

式中：j 為若干攻擊序列之和；E 為攻防樹模型中攻擊序列集合；S（ei）為一條序列中所有節點風險值的乘積；Sr為整株樹的攻防風險指標。

最后給出引入防御措施前、后攻擊序列相比于模型整體風險的靈敏度L（Xi）。根據數值結果找出威脅系統安全的關鍵葉子節點，檢測目標系統安全狀態與防御能力，后續對其暴露問題著手改善。

式中：S′（ki）和Sr′分別為采取防護措施后序列與系統的風險指標。

3 算例分析

本文對華東地區某城市光－儲－充－換一體化電站進行安全風險分析，該電站利用夜間低谷電價進行儲能，在充電高峰通過儲能和電網一起為充電站供電。裝配120 kW，60 kW，30 kW 直流電樁各3臺，7 kW 交流電樁51 臺；換電站為單通道雙工位換電站，裝配有156 個充電機；換電站電池有156 塊，每塊15 kWh；光伏車棚約15 kW 薄膜組件。通過對電動汽車行業充電設備、運營平臺、移動智能終端及信息交換接口攻防現狀進行調研，充分考慮數據和控制命令的機密性、完整性以及充電站、充電站管理接口、能源管理系統EMS 和電網的可用性，其具體風險威脅分析步驟為：

（1）根據目標信息系統的體系結構、主要資產和防護措施部署情況，構建系統攻防樹模型。

（2）利用DEMATEL 優化風險因素權重賦值。

（3）評估各葉節點風險因素等級。

（4）分析攻擊序列、攻防樹安全風險，計算風險靈敏度，重點提升薄弱環節防護水平。

應用2.2 小節中的DEMATEL 法優化文獻[20]中德爾菲法ci，ni，fi和yi4 個因素權重，結果如下：

即攻擊實施成本、難易程度、被發現可能性和收益影響4 因素權重分別為0.182 9，0.314 4，0.258 3 和0.144 4。根據表4 對各個葉子節點進行風險測評得到屬性值，并將其代入式（4）—式（8），得到引入防護措施前、后各攻擊事件的風險威脅值。另添加未經DETEMATEL 優化的攻擊樹分析結果作為對比，結果見表4。

表4 攻擊事件的風險威脅值

表5 攻擊序列風險值

由圖2 可知，整棵防御樹共計16 條攻擊序列，分別為：k1={M1}，k2={M1，M5}，k3={M1，M6}，k4={M1，X3}，k5={M1，M7}，k6={M1，X4}，k7={M1，M5，M3}，k8={M1，M6，M3}，k9={M1，X3，M3}，k10={M1，M7，M3}，k11={M1，X4，M3}，k12={M1，M5，M3，M4}，k13={M1，M6，M3，M4}，k14={M1，X3，M3，M4}，k15={M1，M7，M3，M4}，k16={M1，X4，M3，M4}。引入防護措施前、后各攻擊序列的風險威脅值，結果見表5。

根據式（10）得到整棵攻防樹的風險指標Sr，無設防情況下系統整體風險指標值為0.321 5，引入圖2 中各項針對性防護手段后，系統整體風險指標值為0.020 1。根據式（11）計算各序列風險靈敏度指標，如圖3 所示。M1與涉及到M6的攻擊序列風險靈敏度較高，表明網絡入侵過程中，攻擊者有較大可能利用UDP 或TCP/IP 洪水、低速、ping/ICMP 洪水等DOS 攻擊變體入侵充電設施或充電站生態中其他節點。根據文獻[20-21]所提方法計算，對于節點M2，其子節點風險靈敏度由大到小依次為X4，M7，M5，X3和M6，與本文方法計算結果存在出入，究其原因，一方面未考慮防護措施實施效果的影響；另一方面威脅權重因環境對象差異而應有不同取值。

圖3 序列風險靈敏度

分析攻擊防御樹結果，隨著攻擊階段的演進，攻擊者或因達成預期計劃或因成本、難度、被發現可能性增大而中止入侵，序列的風險程度逐漸降低。后續應多關注中風險漏洞修補，考慮上游開發鏈安全問題，對非技術部門人員進行培訓，加大在容易忽視問題上的關注力度，提高基礎信息安全攻擊免疫力。此外在保證傳統防護手段如防火墻、入侵檢測和安全審計等落實到位的前提下，需融合可信計算、協議過濾、移動終端管理和安全態勢感知等技術，及時監測存在的攻擊威脅，立即做出相應的防護動作以減少損失。

4 結語

本文采用基于改進ADT 的綜合能源系統信息安全風險分析，旨在促進信息系統與能源網絡的安全規劃建設。首先根據現有網絡攻防分布情況建立攻擊防御樹模型，在樹中模擬攻擊者可能利用的路徑，以及入侵過程攻守對抗的相互影響。其次根據DEMATEL 法結合CVSS 確定風險分析因素，定義相關參數評估等級，實現了對系統風險值的定量與防護程度定性評估，計算得到不同攻擊序列組合后整體系統風險值與靈敏度。從具有綜合能源系統典型特征的電動汽車服務實例著手論證，結果表明，提出的DEMATEL-ADT綜合能源系統信息安全風險分析方法威脅因素賦權科學，能自由添加刪除攻防行為，凸顯一定的可拓展性，安全屬性等級評價客觀。本方法便于電網企業安全技術人員針對性配置安全策略，確保多種能源在源-輸-儲-荷各環節穩定運行。在指標因素選取方面，應隨著智慧綜合能源系統建設的推進，及時改善完備評估指標體系，在不同時間攻防雙方不斷變化發展的基礎上進行動態深入研究，全方位分析電網內部安全防御能力。