網(wǎng)絡(luò)攻擊對電力系統(tǒng)典型場景全過程影響綜述

林峰，梅勇，朱益華，常東旭，劉韌，郭恒道

（1.中國南方電網(wǎng)電力調(diào)度控制中心，廣州 510663；2.直流輸電技術(shù)全國重點實驗室（南方電網(wǎng)科學研究院），廣州 510663；3.國家能源大電網(wǎng)技術(shù)研發(fā)（實驗）中心，廣州 510663；4.廣東省新能源電力系統(tǒng)智能運行與控制企業(yè)重點實驗室，廣州 510663；5.中國南方電網(wǎng)公司電網(wǎng)仿真重點實驗室，廣州 510663）

0 引言

隨著電力物聯(lián)網(wǎng)的興起與發(fā)展，電力系統(tǒng)規(guī)模越來越龐大，復雜程度不斷提高，傳統(tǒng)的管理與調(diào)度模式已經(jīng)無法適應電力系統(tǒng)發(fā)展的需求，電力系統(tǒng)的智能化與自動化水平亟待提高［1-2］。為了實現(xiàn)電網(wǎng)轉(zhuǎn)型，業(yè)界將先進的感知、計算、通信與控制技術(shù)應用到電力系統(tǒng)中，在物理電力系統(tǒng)的基礎(chǔ)上構(gòu)建了能夠?qū)?shù)據(jù)進行實時采集、分析與處理的信息系統(tǒng)［3-6］。電力業(yè)務的擴展以及對信息處理要求的提高加深了電網(wǎng)物理側(cè)與信息側(cè)的耦合程度，使電力系統(tǒng)發(fā)展成為規(guī)模龐大、結(jié)構(gòu)復雜的電力信息物理系統(tǒng)（cyber physical system，CPS）。這一方面提高了系統(tǒng)的信息處理效率，但在另一方面卻存在將信息側(cè)的安全問題引入電力網(wǎng)的風險［7］。

我國的二次系統(tǒng)具有“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的特點，長期以來被認為具有較高的安全性［8］。然而隨著電力CPS 節(jié)點規(guī)模的擴大以及信息側(cè)與物理側(cè)融合程度的不斷加深，信息系統(tǒng)與物理系統(tǒng)相互影響的機理會變得更加復雜，這將導致系統(tǒng)中出現(xiàn)新的薄弱環(huán)節(jié)，使得從信息側(cè)發(fā)動的網(wǎng)絡(luò)攻擊對電力基礎(chǔ)設(shè)施造成破壞成為可能。與直接破壞電氣設(shè)備的物理攻擊不同，網(wǎng)絡(luò)攻擊的隱蔽性高且攻擊代價較小，它雖然不能直接破壞物理設(shè)備，但可以通過干擾信息側(cè)運行導致物理系統(tǒng)失穩(wěn)或停電，對政治安定和社會經(jīng)濟造成嚴重的影響［9-10］。2015 年的烏克蘭大停電事故就是一起對信息側(cè)發(fā)動網(wǎng)絡(luò)攻擊引發(fā)物理側(cè)故障的典型事件。攻擊者向電力工作人員發(fā)送含有惡意代碼的郵件，當郵件被打開后，惡意代碼攻擊變電站的監(jiān)控系統(tǒng)導致發(fā)電設(shè)備故障，該事件最終造成140 萬人停電3～6 h［11］。

鑒于網(wǎng)絡(luò)安全在電力系統(tǒng)中的重要性不斷提升，該領(lǐng)域也得到了國內(nèi)外學者的廣泛關(guān)注。目前虛假數(shù)據(jù)注入（false data inject，F(xiàn)DI）攻擊、拒絕服務（denial-of-service，DoS）攻擊和中間人（man-inthe-middle，MITM）攻擊等常見的網(wǎng)絡(luò)攻擊手段已經(jīng)得到了廣泛的研究與報道，并在實際網(wǎng)絡(luò)攻擊事件中得到了印證［12-15］。然而，目前針對網(wǎng)絡(luò)攻擊的研究大多局限于構(gòu)建理論模型，而缺乏對網(wǎng)絡(luò)攻擊實施和影響過程的詳細分析［16-17］。實際網(wǎng)絡(luò)攻擊并不是瞬間完成的，在攻擊的持續(xù)時間內(nèi)電力系統(tǒng)存在一個動態(tài)變化的過程。為了更好地下達調(diào)控指令與分配防御資源，電力工作人員不僅需要對系統(tǒng)中的薄弱環(huán)節(jié)進行評估，也需要清楚電力系統(tǒng)在網(wǎng)絡(luò)攻擊下的響應過程，這樣才能制定出具有針對性的防御策略，使網(wǎng)絡(luò)攻擊對系統(tǒng)造成的損害降至最低［18-19］。鑒于此，本文歸納了電力系統(tǒng)發(fā)、輸、配、用電側(cè)容易遭受網(wǎng)絡(luò)攻擊的典型場景，對每個場景的網(wǎng)絡(luò)攻擊對象進行建模，總結(jié)了其中的薄弱性環(huán)節(jié)和可能存在的網(wǎng)絡(luò)攻擊形式，進一步分析了網(wǎng)絡(luò)攻擊對不同場景的影響過程及破壞效果，最后對現(xiàn)有研究進行了總結(jié)和展望。

1 發(fā)電側(cè)攻擊對電網(wǎng)安全運行的影響

發(fā)電系統(tǒng)主要由發(fā)電控制系統(tǒng)和發(fā)電廠組成。發(fā)電廠配備量測單元，可以將轉(zhuǎn)速與功率測量數(shù)據(jù)通過通信鏈路上傳至控制系統(tǒng)。發(fā)電控制系統(tǒng)則集成了通信、分析與控制功能，負責監(jiān)視區(qū)域內(nèi)的功率平衡情況并對發(fā)電機下達控制指令。發(fā)電控制系統(tǒng)對信息系統(tǒng)具有較強的依賴性，是網(wǎng)絡(luò)攻擊的重點對象。目前針對發(fā)電側(cè)網(wǎng)絡(luò)攻擊的研究主要集中于自動發(fā)電控制（automatic generation control，AGC）系統(tǒng)［20-28］和分布式能源系統(tǒng)［29-33］，另外還有少數(shù)文獻研究針對發(fā)電機并網(wǎng)過程的網(wǎng)絡(luò)攻擊［34-37］，本節(jié)將從以上3 個方面對網(wǎng)絡(luò)攻擊的影響具體展開介紹。

1.1 針對AGC系統(tǒng)的網(wǎng)絡(luò)攻擊影響分析

AGC 系統(tǒng)通過對控制區(qū)域內(nèi)調(diào)頻發(fā)電機的有功出力和區(qū)域聯(lián)絡(luò)線上的交換功率進行調(diào)節(jié)，使區(qū)域內(nèi)的發(fā)電功率與負荷實時平衡，從而維持系統(tǒng)的電壓和頻率穩(wěn)定性。AGC 系統(tǒng)屬于高度自動化的控制系統(tǒng)，其運行高度依賴測控單元和通信鏈路的正常工作，因此比較容易受到網(wǎng)絡(luò)攻擊影響。

AGC 的工作原理是根據(jù)區(qū)域控制偏差（area control error，ACE）對控制區(qū)域內(nèi)的機組出力進行調(diào)節(jié)。為了提高控制精度，目前多數(shù)AGC 在計算區(qū)域控制偏差時會同時考慮聯(lián)絡(luò)線的功率交換偏差和系統(tǒng)頻率偏差［20］。ACE 其值用ACE表示，計算方法由式（1）表示，AGC 的控制原理示意圖如圖1所示。

圖1 AGC控制原理示意圖Fig.1 Schematic diagram of control principle of AGC system

式中：f和f0分別為系統(tǒng)的實際頻率和設(shè)定頻率；Ptie和P0分別為該區(qū)域所有聯(lián)絡(luò)線上的實際交換功率和計劃交換功率；α和β為系統(tǒng)調(diào)節(jié)系數(shù)。

AGC 是一種典型的閉環(huán)控制方式，它從數(shù)據(jù)采集與監(jiān)控系統(tǒng)（supervisory control and data acquisition，SCADA）中獲取當前的系統(tǒng)頻率與聯(lián)絡(luò)線交換功率，按式（1）計算當前的ACE 后，生成該時刻的機組功率調(diào)節(jié)指令，最后通過通信網(wǎng)絡(luò)傳輸給各臺發(fā)電機組執(zhí)行。值得指出的是，AGC 的控制周期為秒級，每隔幾秒便要完成從數(shù)據(jù)采集到指令下達的全過程操作，而電力系統(tǒng)狀態(tài)估計周期為分鐘級［21］，因此AGC 在進行決策時使用的是未經(jīng)檢測和修正的數(shù)據(jù)，從而增加AGC 系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風險。

針對AGC 的網(wǎng)絡(luò)攻擊包括FDI 攻擊［22-24］、拒絕服務DoS 攻擊［22，25-26］和延時（time delay，TD）攻擊［27］，各類攻擊的具體攻擊方法如下。

1）FDI攻擊

虛假數(shù)據(jù)注入攻擊是指通過非法篡改數(shù)據(jù)破壞數(shù)據(jù)完整性的一類攻擊［10］。根據(jù)數(shù)據(jù)篡改方式的不同，可以將FDI 攻擊分為斜坡攻擊、跳變攻擊、縮放攻擊和隨機攻擊，具體建模方式可見文獻［21，28］。FDI 攻擊具有較高的靈活性，在系統(tǒng)穩(wěn)態(tài)時即可誘導系統(tǒng)偏離正常運行狀態(tài)，既可破壞系統(tǒng)穩(wěn)定性，也可使系統(tǒng)在偏離計劃值狀態(tài)下運行。成功的虛假數(shù)據(jù)注入攻擊需要滿足一定的約束條件，即在不被保護機制檢出的情況下實現(xiàn)預期攻擊目標，例如使系統(tǒng)的頻率降低至某個閾值以下，從而引發(fā)負荷切除等保護操作，嚴重時可能導致系統(tǒng)失穩(wěn)［21］。

2）DoS攻擊

DoS 攻擊是一種資源耗盡型攻擊，攻擊者通過發(fā)送大量無用請求阻塞信息傳輸通道，導致系統(tǒng)的量測信息和控制指令無法正常上傳和下達。與FDI攻擊相比，發(fā)動DoS攻擊并不需要嚴格設(shè)計能夠躲避壞數(shù)據(jù)檢測的攻擊向量，所需的電氣專業(yè)知識較少，實施難度較低。但由于DoS攻擊沒有明確的指向性，且系統(tǒng)對通信延時故障有一定保護機制，在系統(tǒng)正常運行時DoS攻擊難以造成較大的破壞，只有當系統(tǒng)本身處于擾動或故障狀態(tài)下時，DoS 攻擊才能造成明顯的影響［20］。

3）TD攻擊

TD 攻擊是通過給系統(tǒng)中傳輸?shù)男畔⒃黾友訒r，從而導致控制中心無法在規(guī)定時間內(nèi)完成決策或執(zhí)行單元無法及時對控制指令做出響應。與DoS攻擊類似，當系統(tǒng)處于穩(wěn)態(tài)時TD 攻擊的影響較小，僅當系統(tǒng)處于擾動狀態(tài)時可以加劇系統(tǒng)的震蕩。但是TD 攻擊較難使系統(tǒng)向某一特定不正常運行狀態(tài)偏離，攻擊的靈活性與破壞效果要低于FDI攻擊。

針對AGC 系統(tǒng)的網(wǎng)絡(luò)攻擊造成的影響包括對系統(tǒng)穩(wěn)定性的破壞以及使部分電力市場主體非法獲益。網(wǎng)絡(luò)攻擊對穩(wěn)定性的破壞包括使系統(tǒng)頻率降低至某個閾值以下導致負荷切除，或者使系統(tǒng)中的發(fā)電機無法及時獲得控制指令或接收到錯誤的控制指令，從而破壞發(fā)電與負荷的平衡并造成系統(tǒng)運行的不穩(wěn)定性。文獻［22］分析了FDI 攻擊的影響過程，攻擊者篡改負荷功率的量測值，使控制中心誤認為該區(qū)域出現(xiàn)了功率缺額，從而增加發(fā)電機的有功出力。這會導致該區(qū)域內(nèi)發(fā)電和負荷功率不平衡，進而使系統(tǒng)頻率增加。當系統(tǒng)頻率偏移量超過閾值后，電力系統(tǒng)的保護機制觸發(fā)，使系統(tǒng)中的一部分負荷被切除。值得指出的是，系統(tǒng)的頻率量測往往存在備用量測單元，對系統(tǒng)頻率數(shù)據(jù)篡改的FDI 攻擊隱蔽性較低，目前多數(shù)攻擊都是篡改聯(lián)絡(luò)線交換功率的量測值。文獻［21］分析了以獲取非法經(jīng)濟利益為目標的網(wǎng)絡(luò)攻擊影響過程，攻擊者通過篡改聯(lián)絡(luò)線上的功率交換值，使控制中心認為一個區(qū)域有功出力不足而另一區(qū)域有功出力過剩，從而重新調(diào)整各區(qū)域發(fā)電機組的發(fā)電計劃，增加有功出力不足區(qū)域的發(fā)電功率同時減少有功區(qū)域過剩區(qū)域的發(fā)電功率。然而實際上聯(lián)絡(luò)線上的功率交換值并沒有改變，這一功率調(diào)整的結(jié)果會使得被認為有功出力不足的區(qū)域發(fā)出更多電能，從而讓該區(qū)域的發(fā)電主體獲得更高的售電收益。

1.2 針對分布式能源的網(wǎng)絡(luò)攻擊影響分析

分布式可再生能源發(fā)電技術(shù)已經(jīng)得到人們的廣泛關(guān)注，作為傳統(tǒng)發(fā)電的補充，分布式新能源在低碳環(huán)保、持續(xù)可再生以及保護能源多樣性等方面具有非常大的優(yōu)勢。為了配合分布式能源發(fā)電，電網(wǎng)側(cè)也拓寬了協(xié)同控制模式，大力發(fā)展了電網(wǎng)物理信息系統(tǒng)，加強網(wǎng)絡(luò)信息與物理信息的雙向流動［29］，但這也增加了電網(wǎng)遭受網(wǎng)絡(luò)攻擊的風險。

文獻［30-31］介紹了一種虛擬發(fā)電技術(shù)，該技術(shù)可以將多個小型分布式發(fā)電機組聚合為一個可控的整體并參與電網(wǎng)的運行，從而實現(xiàn)對電網(wǎng)中高密度發(fā)電設(shè)備的全面管理。但在分布式電源（distributed generation，DG）的分布式協(xié)同控制中包含頻繁的信息傳遞以及分布式計算過程，因此易于遭受網(wǎng)絡(luò)攻擊的威脅，常見的對分布式能源系統(tǒng)的網(wǎng)絡(luò)攻擊有重放攻擊和拒絕服務攻擊。重放攻擊通常針對領(lǐng)導DG，被惡意攻擊的領(lǐng)導DG 將不利信息廣泛傳播到網(wǎng)絡(luò)中的所有跟隨DG，導致DG組群收斂到非最優(yōu)狀態(tài)。此外，網(wǎng)絡(luò)攻擊者可以故意增加其微增量率信息，以降低跟隨DG 的微增量率，從而以犧牲跟隨DG 的發(fā)電利益為代價實現(xiàn)自利。重放攻擊還可以降低系統(tǒng)的穩(wěn)定性，即通過攻擊領(lǐng)導DG 并任意改變其微增量值，使總輸出有功功率在大范圍內(nèi)振蕩或?qū)е孪到y(tǒng)負載嚴重不平衡，這將對系統(tǒng)的穩(wěn)定運行構(gòu)成威脅。

文獻［32］詳細介紹了關(guān)于烏克蘭停電事件、伊朗核電站震網(wǎng)病毒事件以及風電場滲透測試，前兩者都是不法分子的精心策劃的網(wǎng)絡(luò)攻擊，使用了包括BlackEnergy、分布式DoS 攻擊、Stuxnet 等多種網(wǎng)絡(luò)攻擊手段，破壞了電網(wǎng)的穩(wěn)定安全運行。而關(guān)于風電場滲透測試的研究則對分布式能源遭受網(wǎng)絡(luò)攻擊的方向提供了警示性的提醒。2015 至2016 兩年間，塔爾薩大學的研究人員到得到授權(quán)后對多家風電場進行了滲透測試，測試風電場的信息安全防護水平，結(jié)果表明風電場安全防護措施薄弱，容易受到黑客攻擊而異常動作［32］。文獻［33］在對分布式能源協(xié)同控制技術(shù)做了詳細研究后表明，對于風電、光伏、天然氣、生物質(zhì)能等分布式能源發(fā)電技術(shù)所采用的分布式協(xié)同控制由于缺少中央控制機構(gòu)并且安全等級較低，基于分布式控制的模式比集中式控制模式更容易受到網(wǎng)絡(luò)攻擊。同時，由于每個受控對象的狀態(tài)更新相互依存，對單個受控對象的攻擊可能會使整個系統(tǒng)偏離最優(yōu)解，甚至失穩(wěn)。

1.3 網(wǎng)絡(luò)攻擊對發(fā)電機同步過程的影響分析

在電網(wǎng)的運行調(diào)度中，為了維持功率的實時平衡、提高供電的經(jīng)濟性與可靠性，需要對發(fā)電機進行停運和并網(wǎng)操作。然而目前的并網(wǎng)通信和控制系統(tǒng)中存在一定安全漏洞，若被潛在攻擊者利用，可能會導致發(fā)電機無法及時執(zhí)行控制指令，影響系統(tǒng)的穩(wěn)定性。例如，目前多數(shù)SCADA 采用舊版windows 操作系統(tǒng)，攻擊者可以通過黑客手段侵入控制中心，進而修改控制指令或使系統(tǒng)閉鎖［34］。此外，發(fā)電系統(tǒng)的工業(yè)控制器采用的Codesys 運行環(huán)境缺乏完善的安全認證機制，攻擊者很容易侵入系統(tǒng)獲得控制權(quán)限并修改其中預設(shè)的邏輯模塊［35］。

發(fā)電機在并網(wǎng)時需要滿足以下約束條件：發(fā)電機頻率與系統(tǒng)頻率相同；發(fā)電機電壓幅值與其連接的母線的電壓幅值相差不超過5%；發(fā)電機電壓相位與其連接的母線電壓相位相同。若網(wǎng)絡(luò)攻擊使上述任一條件無法滿足，發(fā)電機就無法實現(xiàn)并網(wǎng)。文獻［36］指出，攻擊者可以修改發(fā)電機端電壓的測量值，使發(fā)電機端電壓與其連接的母線電壓保持恒定的相位差，從而推遲發(fā)電機的并網(wǎng)過程。此外，攻擊者通過篡改發(fā)電機并網(wǎng)時刻使其非同期并網(wǎng)，可以產(chǎn)生巨大的沖擊電流，在對機組造成損傷的同時也會使系統(tǒng)產(chǎn)生功率的震蕩，嚴重時可能影響系統(tǒng)的正常運行。文獻［37］提出了另一種直接針對發(fā)電控制系統(tǒng)的網(wǎng)絡(luò)攻擊。攻擊者首先通過黑客軟件侵入發(fā)電機的SCADA 系統(tǒng)，當獲得系統(tǒng)修改權(quán)限后創(chuàng)建新的管理賬戶，該賬戶可以通過虛擬機在遠程主機登陸。攻擊者利用該賬戶侵入系統(tǒng)后可以修改系統(tǒng)的控制指令或直接使系統(tǒng)閉鎖，使發(fā)電機無法及時完成并網(wǎng)過程。然而該攻擊的隱蔽性較差，當控制人員發(fā)現(xiàn)發(fā)電機長時間無法正常并網(wǎng)后很容易定位故障原因，通過重啟系統(tǒng)并刪除惡意賬戶清除故障。

針對發(fā)電機同步過程的網(wǎng)絡(luò)攻擊造成的影響與系統(tǒng)運行狀態(tài)有關(guān)。如果在攻擊發(fā)動時系統(tǒng)運行機組有充足的備用發(fā)電容量，則該攻擊不會對系統(tǒng)的穩(wěn)定性造成明顯影響，僅僅會增加系統(tǒng)的發(fā)電成本；若系統(tǒng)中負荷在短時間內(nèi)大幅抬升（如夏日高溫天氣空調(diào)用電激增），超過了目前運行機組的最大出力，則發(fā)電機無法及時并網(wǎng)將會嚴重影響系統(tǒng)的頻率穩(wěn)定性，甚至會導致系統(tǒng)失穩(wěn)。因此，成功實施的網(wǎng)絡(luò)攻擊往往是分階段的協(xié)同攻擊，攻擊者在獲得系統(tǒng)修改權(quán)限后先潛伏，等系統(tǒng)出現(xiàn)功率缺額后發(fā)動攻擊，從而造成最大限度的破壞。

2 輸電側(cè)攻擊對電網(wǎng)安全運行的影響

現(xiàn)代輸電系統(tǒng)由輸電調(diào)度中心與物理輸電網(wǎng)絡(luò)構(gòu)成，其中輸電調(diào)度中心由SCADA、能量管理系統(tǒng)（energy management system，EMS）和廣域量測系統(tǒng)（wide-area measurement system，WAMS）組成，負責測量數(shù)據(jù)的采集、分析與命令下達。物理輸電網(wǎng)絡(luò)由輸電線路、變電站、開關(guān)站和換流站組成，負責將發(fā)電機生產(chǎn)的電能傳輸至各用電負荷，二者的相互配合是輸電系統(tǒng)安全與經(jīng)濟運行的基礎(chǔ)。

目前輸電系統(tǒng)采用的通信協(xié)議與保護機制主要按照提高系統(tǒng)的運行效率與應對常規(guī)電力故障的能力設(shè)計，對網(wǎng)絡(luò)攻擊的防御能力不足，其中的安全漏洞可能被潛在的攻擊者利用。輸電線路和變電站是輸電系統(tǒng)的主要組成部分，其正常運行對系統(tǒng)供電的安全可靠性具有至關(guān)重要的意義，目前針對輸電側(cè)網(wǎng)絡(luò)攻擊的研究主要集中于上述兩個場景。然而輸電線路本身不具備分析與控制單元，其投/切操作由穩(wěn)控系統(tǒng)決定，因此針對輸電線路的網(wǎng)絡(luò)攻擊也可視為針對穩(wěn)控系統(tǒng)的攻擊。

2.1 針對穩(wěn)控裝置的網(wǎng)絡(luò)攻擊影響分析

穩(wěn)控系統(tǒng)是使電力系統(tǒng)在發(fā)生故障后能夠恢復至安全穩(wěn)定運行的二次系統(tǒng)，一般由多套穩(wěn)控裝置經(jīng)通信通道連接配合而成。按照功能的不同，可以將穩(wěn)控系統(tǒng)分為決策控制層、數(shù)據(jù)傳輸層和感知執(zhí)行層［38］，其層次架構(gòu)如圖2 所示。其中決策控制層負責匯總分析本站和下屬站點的信息，發(fā)出控制指令；數(shù)據(jù)傳輸層負責將下層采集的信息上傳和上層控制指令下達，是上下層連接的樞紐；感知執(zhí)行層負責感知系統(tǒng)的運行狀態(tài)并生成相應的狀態(tài)信息，執(zhí)行接收的控制指令。

圖2 穩(wěn)控系統(tǒng)層次架構(gòu)Fig.2 Hierarchical structure of stability control system

目前的穩(wěn)控系統(tǒng)安全體系尚不完善，無法有效抵御潛在的網(wǎng)絡(luò)攻擊，其安全漏洞具體體現(xiàn)在以下方面［39］。

1）網(wǎng)絡(luò)安全管理平臺與實際電力系統(tǒng)耦合松散。安全平臺只能獲取和分析存儲在計算機和數(shù)據(jù)庫中的信息，不能直接對二次系統(tǒng)進行直接監(jiān)視；風險評估多采用統(tǒng)計分析和專家經(jīng)驗打分法，評估的準確性不足。

2）安控集中管理系統(tǒng)對網(wǎng)絡(luò)攻擊的考慮不足。系統(tǒng)中記錄的數(shù)據(jù)僅包括電氣量、開關(guān)量、裝置動作等與傳統(tǒng)電力故障相關(guān)的數(shù)據(jù)，無法對網(wǎng)絡(luò)攻擊進行檢測和分析。此外，控制策略模型無法反映設(shè)備之間的信息交互過程，難以分析針對通信通道的網(wǎng)絡(luò)攻擊。

針對穩(wěn)控系統(tǒng)網(wǎng)絡(luò)攻擊的主要目的是造成控制中心的錯誤決策，導致錯誤的設(shè)備切除操作。按攻擊發(fā)生的位置，可以將針對穩(wěn)控系統(tǒng)的網(wǎng)絡(luò)攻擊分為設(shè)備層的攻擊和通信層面的攻擊。文獻［39］指出，可以將針對設(shè)備的網(wǎng)絡(luò)攻擊按攻擊對象分為硬件裝置層的網(wǎng)絡(luò)攻擊、裝置系統(tǒng)層的網(wǎng)絡(luò)攻擊和應用層的網(wǎng)絡(luò)攻擊，攻擊手段為在硬件中植入木馬，當木馬在特定邏輯下觸發(fā)后會導致錯誤的切機切負荷操作。文獻［40］指出，可以將針對通信層面的網(wǎng)絡(luò)攻擊按信息處理過程分為針對采集過程、決策過程和控制過程的網(wǎng)絡(luò)攻擊，攻擊手段包括拒絕服務攻擊、虛假數(shù)據(jù)注入攻擊等，成功實施的網(wǎng)絡(luò)攻擊可以造成裝置閉鎖、定值修改、控制指令無法執(zhí)行或錯誤執(zhí)行等后果。然而，上述文獻只是將現(xiàn)有的網(wǎng)絡(luò)攻擊分類應用到了穩(wěn)控領(lǐng)域，沒有針對穩(wěn)控領(lǐng)域特有的網(wǎng)絡(luò)攻擊進行深入分析。在未來的電力系統(tǒng)中，電力電子設(shè)備將會得到越來越廣泛的應用，很多穩(wěn)控裝置作為電力電子設(shè)備的輸出級，其正常動作會受到電力電子設(shè)備輸出信號的影響。文獻［41］分析了一種針對新能源發(fā)電系統(tǒng)的網(wǎng)絡(luò)攻擊，攻擊者可以侵入逆變器的控制系統(tǒng)，通過改變逆變器的輸出電流使與之相連的穩(wěn)控裝置誤動作。

當考慮信息傳輸環(huán)節(jié)時，針對穩(wěn)控裝置的網(wǎng)絡(luò)攻擊下的系統(tǒng)響應流程如圖3 所示，全過程影響可分為如下環(huán)節(jié)［42］。

圖3 針對穩(wěn)控裝置的網(wǎng)絡(luò)攻擊影響流程Fig.3 Flow chart of cyber attack impact on stability control devices

1）攻擊者通過攻擊穩(wěn)控裝置導致系統(tǒng)拓撲結(jié)構(gòu)或電氣參數(shù)變化，影響系統(tǒng)的潮流分布；

2）如果潮流重新分布使部分線路過載，則這些線路上的斷路器跳閘，實行就地保護；

3）感知層穩(wěn)控裝置獲取系統(tǒng)當前的故障和過載信息，并通過上行通道將其上傳至控制層設(shè)備；

4）控制中心決策，生成控制指令；

5）執(zhí)行單元通過下行通道接收控制指令，隨后立刻執(zhí)行；

6）循環(huán)執(zhí)行上述1）—5）操作，直到系統(tǒng)達到新的穩(wěn)態(tài)或解列。

由上述全過程影響分析可知，針對穩(wěn)控裝置的網(wǎng)絡(luò)攻擊有引起級聯(lián)故障的可能，且初始故障集越大，引起級聯(lián)故障的可能性越高。此外故障擴散的可能性與信息通路的完整性有關(guān)，若信息通道遭到堵塞或破壞，則可能造成信息傳輸延時或通訊中斷，影響控制中心的決策和執(zhí)行單元的正常動作，使系統(tǒng)發(fā)生級聯(lián)故障的風險增加。

然而，對系統(tǒng)造成更大的破壞往往意味著攻擊者要掌握更多的系統(tǒng)信息和攻擊資源，文獻［43］通過選取三種具體攻擊策略（分別是隨機選擇攻擊對象、基于保護區(qū)域選擇攻擊對象和以造成級聯(lián)故障為目標選擇攻擊對象）對網(wǎng)絡(luò)攻擊的影響進行分析。結(jié)果發(fā)現(xiàn)系統(tǒng)對隨機攻擊具有較強的抵抗能力，只有當攻擊者成功對系統(tǒng)中的關(guān)鍵節(jié)點（往往是連通度較高的控制設(shè)備）或相互依存的設(shè)備發(fā)動攻擊時，才有可能對系統(tǒng)造成較大的破壞，而這種攻擊方式往往需要攻擊者對系統(tǒng)信息具備較全面的了解并獲取一定的訪問權(quán)限。

2.2 針對數(shù)字化變電站的網(wǎng)絡(luò)攻擊影響分析

隨著智能電網(wǎng)的興起，數(shù)字化變電站得到了越來越廣泛的應用。目前數(shù)字化變電站主要采用以太網(wǎng)在IEC 61850 標準框架下進行通信，后者允許在不同設(shè)備間進行互操作，是實現(xiàn)數(shù)字化變電站內(nèi)設(shè)備間的數(shù)據(jù)交換以及變電站與其他變電站和控制中心進行通信的基礎(chǔ)。IEC 61850 標準的采用提高了變電站的性能，包括提高測量精度、設(shè)備配置的便捷性與實時性等，然而該標準在設(shè)計時僅考慮實時性與可用性，欠缺安全保護機制，數(shù)字化通信方式的大規(guī)模應用會為系統(tǒng)帶來一定的安全風險［44］。文獻［45］表明，由于保護系統(tǒng)對跳閘信號通信的實時性要求較高，不會對傳輸?shù)男畔⑦M行加密處理，信息存在被監(jiān)聽和篡改的風險。文獻［46］指出，密鑰管理是保障智能變電站信息網(wǎng)絡(luò)安全的核心，然而目前缺乏針對數(shù)字化變電站的密鑰管理體系，現(xiàn)有的方案也因為過于復雜而缺乏工程實用性。

按照不同的邏輯功能可以將數(shù)字化變電站的架構(gòu)分為3 層，分別是過程層、間隔層和變電站層［47］，結(jié)構(gòu)如圖4 所示。其中，控制層實現(xiàn)與一次設(shè)備的交互，包括對一次設(shè)備狀態(tài)量進行采集、進行一次設(shè)備的開/斷控制等；間隔層是連接變電站層與控制層的紐帶，負責接收控制設(shè)備傳遞的信息并對下層設(shè)備發(fā)布指令；變電站層的功能是對全站的一次設(shè)備進行監(jiān)視和控制，并與其他變電站或遠方控制中心進行數(shù)據(jù)通信。

圖4 智能變電站分層架構(gòu)Fig.4 Architecture of intelligent substation

目前針對數(shù)字化變電站的網(wǎng)絡(luò)攻擊主要有報文攻擊、泛洪攻擊和惡意代碼攻擊3 種類型。變電站內(nèi)的系統(tǒng)狀態(tài)信息和斷路器的開、合閘操作命令采用通用對象的變電站事件（generic object-oriented substation event，GOOSE）協(xié)議在不同的智能電子設(shè)備（intelligent electronic devices，IEDs）之間進行實時通信［46］。文獻［45］指出攻擊者可以監(jiān)視信息傳輸鏈路并竊取實時傳輸?shù)腉OOSE 報文，通過偽造關(guān)鍵數(shù)據(jù)標簽來構(gòu)造虛假斷路信號使IED 誤動作，影響系統(tǒng)的正常運行。文獻［48］指出攻擊者可以偽造目標主機IP，在較短時間內(nèi)向目標主機發(fā)送大量ICMP 請求報文，致使目標主機忙于響應，影響正常服務的提供。文獻［49］指出攻擊者可以制造惡意軟件侵入變電站的生產(chǎn)控制區(qū)，解析獲取站內(nèi)的配置文件和生產(chǎn)控制信息，等待預設(shè)邏輯條件滿足后發(fā)動攻擊使斷路器跳閘。然而，上述文獻對網(wǎng)絡(luò)攻擊的研究僅停留在理論分析階段，未能在現(xiàn)實生產(chǎn)或符合工程實際的仿真平臺中對網(wǎng)絡(luò)攻擊的演化過程與影響進行分析。文獻［44］通過搭建符合智能變電站物理特性的仿真平臺，模擬了泛洪攻擊和報文攻擊的實施與影響過程，具有一定的工程實際意義。

泛洪攻擊是攻擊者向信息鏈路發(fā)送大量報文，通過耗盡網(wǎng)絡(luò)資源使智能終端無法及時響應的一類攻擊。測試結(jié)果表明，泛洪攻擊對變電站的影響與變電站的網(wǎng)絡(luò)資源和主機監(jiān)控系統(tǒng)的運行狀態(tài)有關(guān)。若變電站的網(wǎng)絡(luò)資源較少且主機監(jiān)控系統(tǒng)無法正常運行，則終端對泛洪攻擊的抵抗能力較弱，攻擊者只需利用較少的攻擊主機便可以讓目標終端無法響應，導致終端監(jiān)控的設(shè)備不可控，加劇系統(tǒng)運行的不穩(wěn)定性。泛洪攻擊的實現(xiàn)方法簡單，且并不需要攻擊者具有很強的電力專業(yè)背景，是智能變電站極易遭受的一類網(wǎng)絡(luò)攻擊。

報文攻擊是攻擊者通過篡改或偽造報文使目標終端發(fā)生誤動作的一類攻擊。若偽造報文中包含了斷路器跳閘信號，會使系統(tǒng)中正常運行的線路被切除，導致其他線路的潮流越限、降低系統(tǒng)的電壓與頻率穩(wěn)定性。這時為了維持系統(tǒng)的正常運行保護單元往往會采用削減負荷操作。一旦系統(tǒng)中的電壓或頻率降低至閾值以下，該保護功能將會被激活，導致一些負荷與電網(wǎng)斷開［45］。測試結(jié)果表明，系統(tǒng)在遭受網(wǎng)絡(luò)攻擊后的響應過程與網(wǎng)絡(luò)攻擊的強度和攻擊者掌握的電網(wǎng)運行信息有關(guān)。

若網(wǎng)絡(luò)攻擊僅僅使一條或隨機少數(shù)幾條線路斷開，盡管會導致其他線路的負載增加，但由于電力系統(tǒng)在設(shè)計時考慮了一定的裕度，遭受攻擊后仍有可能保持正常運行。當攻擊者掌握的資源較多時可以同時攻擊多個目標對象使相應的線路斷開，導致部分節(jié)點無法得到電能供應而停電。若攻擊者掌握電力系統(tǒng)的運行狀態(tài)信息，可以通過精心選擇攻擊對象使未被攻擊的線路過載，這可能引發(fā)一系列級聯(lián)故障，最終導致大范圍停電。級聯(lián)故障的擴散程度與輸電網(wǎng)絡(luò)的類型有關(guān)，由于電纜有更嚴格的過載限制，級聯(lián)故障往往更容易在電纜網(wǎng)絡(luò)中擴散。架空線路雖然并不容易過載，但持續(xù)的過載會在導線上造成更嚴重的下垂，使系統(tǒng)的不穩(wěn)定性增加。

3 配電側(cè)攻擊對電網(wǎng)安全運行的影響

配電系統(tǒng)是電力系統(tǒng)中關(guān)鍵的電壓轉(zhuǎn)換節(jié)點，由多種配電裝置組成，作為電力系統(tǒng)的最后環(huán)節(jié)直接與用戶相連接。配電網(wǎng)具有電壓等級多、網(wǎng)絡(luò)結(jié)構(gòu)復雜、設(shè)備類型多樣、作業(yè)點多面廣、安全環(huán)境相對較差等特點，因此配電網(wǎng)遭受攻擊的風險也較大。此外，配電網(wǎng)作為用戶獲取電力能源的最主要來源，其安全穩(wěn)定方面的要求也尤為重要。配電系統(tǒng)能否安全運行決定了我國用戶的用電質(zhì)量和用電安全，因此配電側(cè)的網(wǎng)絡(luò)攻擊影響研究有著重要意義。目前我國用戶的停電時間95%以上都是由配電網(wǎng)引起的，提高配電網(wǎng)的供電可靠性和供電質(zhì)量是實現(xiàn)人民安居樂業(yè)、經(jīng)濟發(fā)展、生活富裕的重要保證。對配電側(cè)的網(wǎng)絡(luò)攻擊可分為針對配電CPS 系統(tǒng)、分布式能源、高級量測體系（advanced metering infrastructure，AMI）等攻擊場景［10］。為更加深入研究網(wǎng)絡(luò)攻擊對配電網(wǎng)安全運行的影響，表1 總結(jié)了近年部分電力系統(tǒng)網(wǎng)絡(luò)攻擊的實例。

表1 電力系統(tǒng)的網(wǎng)絡(luò)攻擊實例Tab.1 Example of cyber attack on power system

3.1 針對配電CPS的網(wǎng)絡(luò)攻擊影響分析

近年來隨著科技的發(fā)展以及信息技術(shù)的不斷融合，傳統(tǒng)配電網(wǎng)在配置了大量信息傳感設(shè)備以及數(shù)據(jù)控制設(shè)備后物理設(shè)備與信息系統(tǒng)進一步融合，成為配電網(wǎng)CPS 系統(tǒng)。信息側(cè)大量的數(shù)據(jù)傳輸與數(shù)控技術(shù)的應用使得網(wǎng)絡(luò)攻擊有機可乘，不法分子針對配電自動化系統(tǒng)研究了DoS攻擊、虛假數(shù)據(jù)注入攻擊、信息盜取與惡意軟件安裝等一系列網(wǎng)絡(luò)攻擊形式［15，50-52］，發(fā)生在配電網(wǎng)的網(wǎng)絡(luò)攻擊可能產(chǎn)生對整個電網(wǎng)以及用戶側(cè)的連鎖反應。對配電網(wǎng)的網(wǎng)絡(luò)攻擊影響研究有利于配電網(wǎng)針對網(wǎng)絡(luò)攻擊的檢測、防御與恢復。

配電網(wǎng)CPS 將傳統(tǒng)配電網(wǎng)與信息、物理技術(shù)相結(jié)合，成為先進技術(shù)裝備的配電網(wǎng)，通過多種信息裝置與終端裝置的連接，提高了電力企業(yè)在網(wǎng)絡(luò)攻擊、故障預警和自我防護方面的綜合應用，逐步達到了電力調(diào)度中心的全過程自動化［15］。標準結(jié)構(gòu)的配電網(wǎng)CPS 構(gòu)架可分為物理實體層、二次設(shè)備層、通信網(wǎng)絡(luò)層以及決策分析層的四層結(jié)構(gòu)，如表2 所示，其中決策分析層決定整個配電網(wǎng)的安全運行，也是網(wǎng)絡(luò)攻擊的首要目標。

表2 配電網(wǎng)CPS構(gòu)架、配置及主要功能Tab.2 Architecture,configuration and main functions of distribution network CPS

文獻［15］在介紹了配電網(wǎng)CPS 研究現(xiàn)狀與層次建模后指出，按照安全的三要素對配電自動化的影響可以分為保密性、可用性和完整性攻擊。保密性攻擊對配電網(wǎng)的影響體現(xiàn)在重要信息的泄露或者被非法利用，配電網(wǎng)中潛在的網(wǎng)絡(luò)攻擊如圖5所示。

圖5 配電網(wǎng)CPS中潛在的網(wǎng)絡(luò)攻擊Fig.5 Potential cyber attacks in distribution network CPS

可用性攻擊在配電網(wǎng)CPS 中的影響是通過干擾通訊鏈路的正常運行使系統(tǒng)無法獲得任何可以訪問的數(shù)據(jù)，導致系統(tǒng)無法正常工作甚至使系統(tǒng)癱瘓。以可用性為目標的攻擊方式包括DoS攻擊、黑洞攻擊等［52］。完整性攻擊主要在配電網(wǎng)CPS 側(cè)的考慮中，體現(xiàn)在攻擊造成配電網(wǎng)的數(shù)據(jù)采集設(shè)備所采集到的數(shù)據(jù)不準確，使其無法正確地判定系統(tǒng)的工作狀態(tài)，從而導致自動裝置的故障或誤動。

3.2 針對AMI系統(tǒng)網(wǎng)絡(luò)攻擊影響分析

高級量測體系A(chǔ)MI 為智能配電網(wǎng)的狀態(tài)評估、故障診斷、孤島控制、新能源接入等高級應用提供數(shù)據(jù)采集服務［53］，掌握著用戶、電網(wǎng)以及第三方機構(gòu)的重要信息和信息控制權(quán)限，因此對AMI的惡意網(wǎng)絡(luò)攻擊會對數(shù)據(jù)保密性、可用性和完整性三方面進行破壞。具體體現(xiàn)在量測數(shù)據(jù)的真實性遭到破壞，用戶端接收到的實時電價異常以及量測動作的遠程控制命令權(quán)限被篡改等，其最容易遭受到FDI攻擊的影響，AMI 系統(tǒng)面臨的信息網(wǎng)絡(luò)威脅如表3所示。

表3 AMI系統(tǒng)面臨的信息網(wǎng)絡(luò)威脅Tab.3 Information network threats of AMI system

文獻［54］對FDI攻擊在AMI的狀態(tài)估計過程中產(chǎn)生的影響做了深刻研究后表示，F(xiàn)DI 攻擊能夠在AMI的測量值中注入虛假的數(shù)據(jù)并且避開一定的檢測規(guī)則，進而影響到系統(tǒng)狀態(tài)估計的結(jié)果。具體而言，攻擊者通過向原量測值中注入事先設(shè)定好的虛假數(shù)據(jù)，使得輸入數(shù)據(jù)產(chǎn)生攻擊者預期的偏移，估計狀態(tài)量將由原來的準確值變成錯誤估計值。相關(guān)文獻表明，只要滿足設(shè)定的虛假數(shù)據(jù)等于雅可比矩陣乘以估計誤差的條件，目標函數(shù)將保持不變。也就是說，雖然測量值被篡改，但由于注入的虛假數(shù)據(jù)滿足特定條件，不良數(shù)據(jù)檢測的目標函數(shù)沒有改變，因此無法檢測到虛假數(shù)據(jù)［54］。成功實施的FDI攻擊能夠篡改電網(wǎng)原始數(shù)據(jù)，進而影響到控制系統(tǒng)的決策，導致電氣設(shè)備的誤動作甚至引起電網(wǎng)的不穩(wěn)定運行。此外，F(xiàn)DI 攻擊還可能對電價市場造成嚴重影響，例如進行虛擬或錯誤標價行為，造成巨大的經(jīng)濟損失。

4 用電側(cè)攻擊對電網(wǎng)安全運行的影響

隨著社會的進步、人們的生活水平的不斷提高，電力用戶的用電量也在逐年增加，因此用電側(cè)的電力安全問題也愈加重要。用電側(cè)遭受網(wǎng)絡(luò)攻擊引起的安全問題大致可從兩個方面進行研究，一是用戶的用電安全，即用電設(shè)備是否會對用戶造成物理上的傷害；二是用戶的信息安全，包括用戶的個人隱私信息安全、用戶的實時電價信息完整度與可信度安全、用戶的能源信息訪問安全等。

4.1 針對智能家居的網(wǎng)絡(luò)攻擊影響分析

隨著科技的不斷發(fā)展，智能家居的出現(xiàn)以及智能家電接入互聯(lián)網(wǎng)并共享云端數(shù)據(jù)成為了家電業(yè)發(fā)展的主流，但這也引出了一系列的安全問題，例如隱私泄露、數(shù)據(jù)竊取、惡意控制等，嚴重威脅到用戶的人身安全和隱私信息安全。目前智能家居的信息安全問題主要發(fā)生在存儲端尤其是云端存儲。據(jù)統(tǒng)計，國內(nèi)外智能家電品牌90%都使用了云端存儲。據(jù)此，文獻［55］提出現(xiàn)代智能家居框架及三端通信，分別是平臺服務端、家電設(shè)備端與移動控制端，而網(wǎng)絡(luò)攻擊根據(jù)三端通信行為在綁定場景、身份鑒別、通信保護、Web接口安全及權(quán)限管理等過程進行攻擊，具體網(wǎng)絡(luò)攻擊匯總信息如表4所示。

表4 針對智能家居的網(wǎng)絡(luò)攻擊匯總Tab.4 A summary of cyber attacks on smart homes

文獻［56］研究了潛伏在智能家居中的網(wǎng)絡(luò)攻擊，表明物聯(lián)網(wǎng)漏洞攻擊（IoT Skimmer）是目前智能家居最容易遭受的網(wǎng)絡(luò)攻擊類型之一，它可以通過接管被攻擊的智能家電的物聯(lián)網(wǎng)控制器來“挾持”智能家電，通過隨意開啟和關(guān)閉智能家電來增加或者減少電力消耗。這種攻擊會造成用戶的電費增加，帶給用戶一定的經(jīng)濟損失并且如果頻繁地進行開關(guān)動作也會加快智能家電的壽命并損壞設(shè)備。此外，若此項攻擊技術(shù)被用來進行行業(yè)競爭或干預國家經(jīng)濟，則可能造成電力市場價格擾動。由于這種擾動是輕微的，因此很難被檢測出來，但是卻可以按照有利于攻擊者的情況來左右電力市場價格以創(chuàng)造業(yè)務優(yōu)勢或造成敵方經(jīng)濟損失。

文獻［57-58］介紹了網(wǎng)絡(luò)攻擊在智能家居的實例，Mirai 僵尸網(wǎng)絡(luò)攻擊作為一種可以自我傳播的蠕蟲，可以使用已經(jīng)受到感染的攝像頭和路由器網(wǎng)絡(luò)來攻擊關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。Mirai 不僅可以散布自身的蠕蟲，它通過發(fā)現(xiàn)、攻擊和感染漏洞來實現(xiàn)自我復制。同時，Mirai 也是一個僵尸網(wǎng)絡(luò)，它將通過一組中央命令（command and control，C＆C）控制服務器來控制感染的設(shè)備。這些服務器將在下一步中判斷哪些站點要攻擊受感染的設(shè)備。總體而言，Mirai 由兩個核心組成部分組成：復制模塊和攻擊模塊。復制模塊負責擴大僵尸網(wǎng)絡(luò)的大小，具體方法是盡可能感染具有漏洞的IoT 設(shè)備。該模塊被隨機掃描以找到可用的目標并發(fā)動攻擊，一旦成功攻擊了具有漏洞的設(shè)備，該模塊將向C＆C 服務器報告此設(shè)備，以便使用最新的Mirai 負載感染該設(shè)備。攻擊過程如圖6所示。

圖6 Mirai病毒復制模塊Fig.6 Mirai virus replication module

而在攻擊模塊中，主要由被感染的主控機命令C&C 服務器來指定攻擊的對象，然后被挾持的IoT設(shè)備就會發(fā)起大量包括針對HTTPS 泛洪攻擊、針對用戶數(shù)據(jù)報協(xié)議（user datagram protocol，UDP）泛洪攻擊在內(nèi)的DDoS 攻擊。Marai 的攻擊庫中包括了針對應用層、容量耗盡、傳輸控制協(xié)議（transmission control protocol，TCP）狀態(tài)耗盡的多種攻擊模式，并且能夠選擇單一攻擊或組合攻擊形式。Mirai病毒攻擊模塊如圖7所示。

圖7 Mirai病毒攻擊模塊Fig.7 Mirai virus attack module

Mirai作為DDoS的典型攻擊類型，通過僵尸網(wǎng)絡(luò)發(fā)起大規(guī)模的主流站點攻擊。在2016 年9 月份Mirai攻擊浪潮達到了有史以來的峰值，包括OVH、Dyn 在內(nèi)的數(shù)個主流站點出現(xiàn)癱瘓情況，攻擊流量峰值甚至超過了1Tbps。據(jù)統(tǒng)計，Mirai 在2016 年9月總計控制了超過60 萬個存在漏洞的IoT 設(shè)備，發(fā)起了超過14.5 萬次攻擊，使得多家網(wǎng)站服務商站點癱瘓，造成嚴重的經(jīng)濟損失。

4.2 針對智能電表的網(wǎng)絡(luò)攻擊影響分析

智能電表作為高級量測體系A(chǔ)MI的重要組成部分，在智能電網(wǎng)的運行中實現(xiàn)信息在用戶與電力公司之間的雙向高速流動，電力公司借此掌握用戶用電量，制定合理的電價和發(fā)電量。用戶也可以掌握重要信息，包括實時電價、用電量等，以便制定家庭用電量計劃和控制支出。然而，智能電表的雙向信息流不僅在運營商和提供需求響應和節(jié)能服務的用戶之間建立了一座橋梁，也為網(wǎng)絡(luò)攻擊和入侵提供了機會。如果存在大量IP地址表示網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備（智能電表等），則用戶端終端設(shè)備和一些通信網(wǎng)絡(luò)將不可避免地以開放形式存在，接入點和可檢測路徑將顯著增加［59］，安全風險將相應增加，基于信息完整性、可用性和依賴性的網(wǎng)絡(luò)攻擊會對用戶的信息安全造成威脅，甚至可以通過信息傳輸渠道攻擊電網(wǎng)，威脅電網(wǎng)的安全運行。針對智能電表攻擊的邏輯如圖8所示。

圖8 智能電表網(wǎng)絡(luò)攻擊邏輯圖Fig.8 Logic diagram of cyber attack on smart meters

文獻［59］總結(jié)了部分全球發(fā)生過的針對智能電表的網(wǎng)絡(luò)攻擊事件。在2009年，IOActive安全公司宣布已經(jīng)出現(xiàn)了能夠模擬病毒傳播的智能電表病毒編碼，理論上可以通過傳播使大規(guī)模電表陷入癱瘓，甚至攻擊智能電表公司的中央控制系統(tǒng)。就在2010年，波多黎各電力公司的一名前雇員接受調(diào)查時發(fā)現(xiàn)，他曾使用光纖轉(zhuǎn)換器連接筆記本電腦和智能電表，重新編碼并更改電表計費程序，以獲取巨額利潤。2012 年4 月，美國智能電表系統(tǒng)也遭到黑客攻擊，電表數(shù)據(jù)被修改。

根據(jù)智能電表具有的可用性、完整性、機密性和不可否認性等特點，網(wǎng)絡(luò)攻擊者設(shè)計了多種形式的攻擊方式和攻擊方向，能夠?qū)χ悄茈姳碓斐刹煌愋秃统潭鹊耐{［60］。文獻［60］從用戶層面和通信層面兩個角度對智能電表可能遭受的網(wǎng)絡(luò)攻擊進行了歸類。在用戶層面涉及數(shù)據(jù)的訪問權(quán)、用戶數(shù)據(jù)的傳輸安全等，而在通信方面則可能遭受到信息截獲、通信中斷、報文篡改、信息偽造這四類攻擊，而第一種常被認為是被動攻擊，即攻擊者只是觀察和分析某一協(xié)議數(shù)據(jù)單元（protocol data unit，PDU）而對信息流不造成干擾。這種被動攻擊又稱作“流量分析”，后面3 種攻擊及其任意組合被認為是主動攻擊，其手段則是通過任意的延遲、刪除或更改這些PDU 對系統(tǒng)造成攻擊，攻擊者甚至可以偽造或選用已使用過的PDU 重新接入系統(tǒng)［53］。例如，針對智能電表的拒絕服務攻擊便是通過不斷地向服務器發(fā)送大量無用請求導致服務器的可用資源被消耗殆盡，此時服務器無法將準確的電力信息傳送到用戶端，用戶也無法通過智能電表將實時電價傳送到服務器，攻擊者便達到了破壞供電商與用戶兩方利益的目的。如果攻擊者掌握了能夠能改數(shù)據(jù)信息流的技術(shù)，那便會對通信網(wǎng)絡(luò)造成更為嚴重的危害，所產(chǎn)生的經(jīng)濟損失也是無法估量的。

4.3 針對智能充電站的網(wǎng)絡(luò)攻擊影響分析

近年來智能電動車與智能汽車蓬勃發(fā)展，作為智能交通系統(tǒng)與智能電網(wǎng)的共同產(chǎn)物，一同成為了未來智能生活的重要組成部分。隨著越來越多的智能電車進入人們的生活，智能充電站的建設(shè)同步開展。然而，智能充電站自身設(shè)計的不完善和存在的漏洞會被不法分子利用來進行網(wǎng)絡(luò)攻擊，可能會對用戶以及電網(wǎng)安全造成威脅［61］。目前智能充電站存在的安全問題主要在用戶的個人隱私與電網(wǎng)運行安全兩個方面，具體來說包括用戶關(guān)鍵信息泄露、用戶的充電權(quán)限被篡改、用戶的車輛安全、電網(wǎng)被竊電風險以及電網(wǎng)的穩(wěn)定運行風險等。

電動汽車接入電網(wǎng)（vehicle to grid，V2G）技術(shù)是以滿足電動汽車充放電需求為目的所研究的一項調(diào)度技術(shù)，其核心離不開智能電網(wǎng)的技術(shù)支撐，并且在電網(wǎng)管理中將電動汽車作為可移動分布式充能設(shè)備進行統(tǒng)一調(diào)度［62］。文獻［63］在分析了智能充電系統(tǒng)需求以及V2G 體系架構(gòu)，如圖9 所示，后總結(jié)了云環(huán)境下智能充電系統(tǒng)的安全問題，在電動汽車（electric vehicle，EV）用戶與智能充電樁進行信息傳輸交互時會受到以下如表5 所示對于數(shù)據(jù)信息機密性、完整性和可用性的攻擊。

表5 電動汽車智能充電面臨的網(wǎng)絡(luò)攻擊威脅Tab.5 Cyber attack threats of electric vehicle intelligent charging

圖9 V2G體系架構(gòu)Fig.9 Architecture of V2G

除了上述針對智能充電的網(wǎng)絡(luò)攻擊外，文獻［64］針對智能充電樁的“竊電”風險做了詳細總結(jié)，智能充電樁竊電事件早有實例，竊電手段層出不窮。2017 年一網(wǎng)約車司機在北京半年內(nèi)使用“卡秒法”、“捏槍法”竊電數(shù)百次，2018 年蔡某在北京改裝充電樁線路偷電100 余次，涉案金額上萬元。目前針對智能充電樁的竊電手段以電磁脈沖干擾以及感應卡的復制為主。

5 結(jié)語與展望

在“工業(yè)4.0”和“中國制造2025”的時代背景下，隨著能源互聯(lián)網(wǎng)的發(fā)展，電力CPS 建設(shè)進一步推進，電網(wǎng)所面臨的網(wǎng)絡(luò)攻擊威脅已經(jīng)達到了不容小覷的程度，電力CPS 目前已存在較多的安全隱患。據(jù)此，本文旨在通過研究網(wǎng)絡(luò)攻擊對電力CPS影響過程來幫助電力工作人員更好地制定針對性的識別、預警與防御策略，以減少網(wǎng)絡(luò)攻擊造成的損失。本文首先歸納了電力系統(tǒng)發(fā)、輸、配、用電側(cè)容易遭受網(wǎng)絡(luò)攻擊的典型場景，介紹了每個場景的模型、系統(tǒng)在網(wǎng)絡(luò)攻擊下的響應過程以及網(wǎng)絡(luò)攻擊的破壞效果。同時對每個場景的網(wǎng)絡(luò)攻擊對象進行建模，總結(jié)了其中的脆弱性環(huán)節(jié)和可能存在的網(wǎng)絡(luò)攻擊形式，在此基礎(chǔ)上進一步分析了網(wǎng)咯攻擊對各個場景造成的全過程影響。

經(jīng)過分析可以發(fā)現(xiàn)，電力CPS 的面臨的安全隱患主要包括缺乏完善的加密認證機制、遠程量測設(shè)備安全防護等級較低導致系統(tǒng)容易遭到非法入侵、對網(wǎng)絡(luò)攻擊的檢測和應急保護能力不足等，需要在今后對電力CPS 的建設(shè)過程中不斷完善和加強。具體來說，在發(fā)電側(cè)需要提高邊緣設(shè)備的安全等級，提高對量測數(shù)據(jù)的檢測與恢復能力。在輸電側(cè)，可以通過提高通信協(xié)議的安全性與可靠性，提高主機防火墻的安全等級，制定合理有效的故障響應策略等方式防止網(wǎng)絡(luò)攻擊的入侵。配電側(cè)的安全風險主要在于大量的傳感設(shè)備容易遭受網(wǎng)絡(luò)攻擊侵入，因此應當加強重要配電基礎(chǔ)設(shè)備的安全監(jiān)控系統(tǒng)設(shè)計并重視對設(shè)備的定期檢查與維護。用電側(cè)的脆弱點在通信服務器和用戶，提高用戶側(cè)的安全等級一是需要著重考慮通信入侵安全，如家用WIFI 的綁定過程、web 接入過程、智能家電的身份識別過程等；二是需要加強用戶的安全隱私意識培養(yǎng)，不瀏覽危險網(wǎng)站、安裝無信任保護的軟件等，不讓偽裝攻擊、非法隱私獲取攻擊等網(wǎng)絡(luò)攻擊有機可乘。

在后續(xù)的工作中，將結(jié)合本文所總結(jié)的各個場景的網(wǎng)絡(luò)攻擊形式、手段及破壞效果進行有針對性的識別、預防以及防御工作的研究，同時可以根據(jù)文中總結(jié)的系統(tǒng)遭到相應網(wǎng)絡(luò)攻擊后的動態(tài)響應制定一系列快速恢復電網(wǎng)穩(wěn)定與安全運行的措施，使得系統(tǒng)損失最小化。此外，在網(wǎng)絡(luò)攻擊的破壞力方面將結(jié)合負荷損失量、節(jié)點損失量和支路損失量等指標進行量化評估。在恢復控制方面將采用負荷削減、發(fā)電機減載、增加發(fā)電機組出力以及網(wǎng)絡(luò)重構(gòu)等方法的配合使用，阻止電力系統(tǒng)故障的進一步擴散，使受到攻擊的系統(tǒng)盡快恢復供電、減少設(shè)備故障和停電損失。