智能電網(wǎng)信息安全實踐教學環(huán)節(jié)的思考＊

葛 輝，劉程子，張騰飛，郭鴻浩

（南京郵電大學自動化學院人工智能學院，江蘇 南京210023）

1 前言

智能電網(wǎng)對高級計量架構(gòu)（AMI）、智能電子設備（IED）、無線及現(xiàn)有的通信元件和系統(tǒng)的高度依賴，嚴重威脅智能電網(wǎng)及其相關基礎設施的安全、穩(wěn)定運行，給經(jīng)濟穩(wěn)定運行甚至國家安全帶來巨大挑戰(zhàn)[1]。

隨著信息技術(shù)、網(wǎng)絡技術(shù)、人工智能、傳感技術(shù)等的快速發(fā)展，傳統(tǒng)電網(wǎng)的功能變得強大的同時也面臨越來越高的安全威脅，逐步發(fā)展成為功能更加強大的智能電網(wǎng)，人們逐漸認識到通信設備和IT設備對電力系統(tǒng)可靠性所起的重要作用。

針對智能電網(wǎng)的信息安全，開展真實有效的網(wǎng)絡攻擊破壞性試驗還面臨技術(shù)瓶頸和經(jīng)濟支撐不足的雙重壓力。也正因此，越來越多的高校開始探索建立更符合高校條件的虛擬仿真實驗平臺[2]。

而筆者所在單位經(jīng)過多年的積累，建成一整套包含軟硬件在內(nèi)的分布式智能微電網(wǎng)系統(tǒng)，在此系統(tǒng)上實施實踐教學將更加符合教育部文件中所要求的專業(yè)人才的培養(yǎng)要求。

2 實驗平臺介紹

筆者所在單位及其研究團隊在南京郵電大學多個教學樓、圖書館、學生宿舍搭建了規(guī)模龐大、結(jié)構(gòu)復雜的分布式智能微電網(wǎng)實驗平臺，不僅克服上述重重壓力和局限，同時還解決了遠程訪問的問題。本課程的實踐教學環(huán)節(jié)將在此實驗平臺上開展，實驗室的軟硬件設備的詳情及參數(shù)性能如表1所示。基于上述硬件平臺和性能要求，團隊開發(fā)了上層人機交互（HMI）界面，讓系統(tǒng)具備系統(tǒng)狀態(tài)查看、控制指令下達、系統(tǒng)運行狀態(tài)監(jiān)測、參數(shù)讀取等功能。

本實驗平臺的軟件系統(tǒng)——“智慧能源管理系統(tǒng)”集成開發(fā)了系統(tǒng)總覽、一次系統(tǒng)、實時數(shù)據(jù)、數(shù)據(jù)分析、智能控制、告警查詢、設備管理、報表管理等功能。當入侵者非法登錄之后，就可以獲得上述功能的查閱、數(shù)據(jù)讀取甚至是下達控制指令等權(quán)限。登錄系統(tǒng)之后，入侵者即獲得了讀取數(shù)據(jù)權(quán)限，可查看系統(tǒng)狀態(tài)、實時數(shù)據(jù)及分析結(jié)果、智能控制策略、告警信息、設備狀態(tài)等報表。通過權(quán)限設置，約束一般用戶對關鍵和敏感數(shù)據(jù)、信息的查詢等。

表1 實驗平臺參數(shù)性能介紹

3 微電網(wǎng)信息安全實驗方案設計

本文在研究智能電網(wǎng)信息安全技術(shù)的基礎上，基于上述的硬件和軟件平臺，就如何在高校開展智能電網(wǎng)信息安全技術(shù)實踐教學環(huán)節(jié)的教育和培訓進行思考，分別從基礎性演示實驗、綜合設計性實驗和研究創(chuàng)新性實驗三個層面設計實驗內(nèi)容。但是，考慮到真實攻擊對智能配電網(wǎng)系統(tǒng)會產(chǎn)生巨大破壞性，在設計攻擊目標時，人為選擇一些低成本的負荷，例如燈泡、繼電器開關、小型的電機等作為攻擊目標，這樣既能真實攻擊產(chǎn)生的破壞性影響，同時也可以控制實驗的成本。

本課程將以智能電網(wǎng)系統(tǒng)中常見的安全威脅展開研究，分層次設計基礎演示性和驗證性實驗、綜合設計性實驗和研究創(chuàng)新性實驗，實驗包含內(nèi)容、培養(yǎng)目標設計。

本實驗將主要模擬以下幾類安全威脅：非法登錄（易造成信息泄露）、拒絕服務（DoS）、篡改攻擊、重放攻擊、網(wǎng)絡協(xié)同攻擊（攻擊類型多樣，特征復雜），通過對“威脅的加載影響監(jiān)測（記錄）防御策略設計威脅消除（安全運行）”這樣安全控制流程來實現(xiàn)。具體實驗內(nèi)容介紹如下。

3.1 安全威脅1：非法登錄模擬

通過演示非法登錄，提供數(shù)據(jù)以及分析結(jié)果，讓學生了解和掌握系統(tǒng)是否存在權(quán)限被破解或者旁路操作，明確非法登錄的特性是什么，通過這些特性指標鑒定是否存在非法登錄，進而判定系統(tǒng)是否存在信息泄露安全威脅。該部分為演示性實驗。

3.2 安全威脅2：DoS攻擊

設計數(shù)據(jù)流量監(jiān)測功能，讓學生通過數(shù)據(jù)流的大小判定系統(tǒng)的DoS網(wǎng)絡攻擊情況以及此類攻擊對網(wǎng)絡QoS指標的影響情況，通過這些指標判定是否存在DoS網(wǎng)絡攻擊。根據(jù)遭遇攻擊的情況，從系統(tǒng)模型出發(fā)，選擇不同的事件觸發(fā)參數(shù)（或不同事件觸發(fā)機制），設計防御策略。

3.3 安全威脅3：重放攻擊

設計可以多時間尺度及多參數(shù)對比的功能，讓學生通過設計事件尺度的參數(shù)，來檢測和判斷系統(tǒng)是否存在重放攻擊，若發(fā)現(xiàn)存在重放攻擊，根據(jù)重放周期長短及周期數(shù)來判斷、分析其對系統(tǒng)的影響，然后引導學生利用其寫模型，根據(jù)系統(tǒng)控制性能指標，設計預測尺度和預測精度，利用模型預測補全信息，實現(xiàn)對重放攻擊的抵御。

3.4 安全威脅4：網(wǎng)絡協(xié)同攻擊

在3.3的基礎上，記錄、監(jiān)測系統(tǒng)運動的多維參數(shù)的同時，將記錄、監(jiān)測數(shù)據(jù)與基于模型的預測計算得到的參數(shù)（理想?yún)?shù)）數(shù)據(jù)進行對比，記錄偏差，讓學生采用不同的統(tǒng)計算法（根據(jù)統(tǒng)計學中的不同理論，如均方根法、卡方分布等算法），分析系統(tǒng)是否受網(wǎng)絡協(xié)同攻擊的影響，如果經(jīng)過分析發(fā)現(xiàn)存在網(wǎng)絡協(xié)同攻擊，采用基于模型的預測方法，將不可信數(shù)據(jù)進行替換。

根據(jù)上述實驗內(nèi)容，從教學實踐的角度，設計課時及實驗項目，如表2所示。

表2 智能電網(wǎng)信息安全實踐教學內(nèi)容及課時安排

4 總結(jié)

根據(jù)智能電網(wǎng)專業(yè)人才培養(yǎng)的定位，結(jié)合筆者所在單位的硬件平臺條件，采用本文設計的實踐環(huán)節(jié)教學方案，可以讓學生在掌握智能電網(wǎng)信息安全理論知識的基礎上，通過本文設計的實踐環(huán)節(jié)的鍛煉，掌握數(shù)據(jù)分析、攻擊檢測和類型判定的方法，精準把握攻擊的類型、危害程度等特征，提高靶向定位安全防御策略的選擇與設計的實踐能力。