电力信息物理系统易损性分析方法

陈亚莎，冯富强，欧渊，石根柱，严雪飞

（中国人民解放军32801 部队，北京 100082）

随着信息技术的快速发展，现代电力系统已发展为电力物理网、信息网深度融合的电力信息物理系统[1]，作为一类重要的国家关键基础设施，电力系统的毁伤直接关系到国计民生、社会稳定，甚至威胁国家安全. 而近年来世界范围内的数次大停电事故表明，电力CPS 正在越来越多地面临传统物理毁伤及网络攻击毁伤的双重威胁[2-3]. 不管是因为失误引起的电力故障还是因为敌对势力恶意网络攻击、物理损毁造成电力系统事故，电力信息物理系统（CPS）在遭到打击后表现出物理系统与信息网络故障级联，且作为复杂网络和体系目标呈现出毁伤效果难以预估的特点. 因此，电力CPS 是打击的重要目标，其易损性研究一方面为武器最佳毁伤方案的制定以及打击方案的制定提供依据；另一方面也可服务于目标的生存力研究，为目标抗毁伤结构的设计提升提供支撑.

围绕电力系统的易损性相关内容，已有的研究主要集中在以下几个方面：①为提高调度决策和应急预案效率与科学性、防止大面积停电而开展的安全性研究与安全评估；②为提高电力CPS 系统鲁棒性，开展的电力系统连锁故障方面研究；③为应对内外部威胁而研究的攻击威胁下的电网脆弱性评估与安全防御方法. 21 世纪初，针对恐怖袭击对电力系统、重要城市建筑等国家关键基础设施的攻击，国内外学者曾围绕易损性和毁伤评估展开深入的探讨[4-6]. 美国多年来都很重视对电力系统等关键基础设施网络的安全防护与毁伤评估方法，以橡树岭国家实验室和能源部实验室为代表的多家科研机构针对电力系统易损性和安全防护领域开展了大量研究，形成了一系列易损性分析方法，并且开发了仿真软件用于提高评估效率[7-8]，国内国防大学为仿真研究战争危机条件下的电力基础设施网络毁伤综合效果，设计实现了电力基础设施网络节点级联依赖度生成算法和级联毁伤传播算法[9]. 但鉴于电力CPS 系统的复杂性、动态性和体系性，目前对其易损性分析研究仍不够深入，电力系统易损性模型尚未规范.

本文针对电力CPS 系统体系复杂、网络耦合、易损性分析困难这一现状，基于近年来国内外的相关理论方法和研究成果，提出一种基于节点重要性的电力CPS 易损性分析方法，并建立了易损性模型，进而对易损性评估在电力系统安全能力建设中的应用和发展做出展望. 图1 为电力CPS 易损性分析思路.

图1 电力CPS 易损性分析思路Fig. 1 Vulnerability analysis flow chart of power CPS

1 电力CPS 系统功能模型

电力系统作为一个电力物理网与控制信息网深度融合的多维异构系统，以电网整体稳定、可靠运行、最优化控制为目标，其安全性依赖于组成电网的各种物理设备、传感网络、通信单元、控制系统及通用计算设施实现协同控制[10]. 从功能与业务环节角度，电力系统还包括了发电、输电、变电、配电和用电5大环节，是一套能量传输动态平衡、信息流量繁杂多样的复杂网络系统.

电力CPS 系统由电力网与信息系统深度耦合而成：在物理层，发电机组、变电站、配电站、分布式电源等节点通过电力线构成物理电网；在信息层，计算设备、数据采集设备、控制设备等信息设备通过通信链路构建信息网. 而在各站点中，通信设备又因为电源供电而依托于物理电网，电力设备通过数据线接入信息网[11]. 电力信息物理相互依存网络结构如图2 所示. 该网络中，各电力节点与其信息节点相互依存. 信息网由电力监控节点和调度中心组成. 调度节点具备独立的后备电源及发电设备，能够独立运行.

图2 电力系统信息网与物理网的依存关系示意图Fig. 2 Illustration of electrical cyber-physical interdependent networks

在电力CPS 系统的物理层，发电节点将电能传输到电网，变配电节点调节电压、频率、相位，负载消耗电能，在电力系统稳定运行时，发电机产生的电能总和等于负载需求总和[12]，即

研究电力系统的易损性，首先须分析清楚电力系统自身的功能特性，以及与其功能特性相对应的安全属性，之后才能判断这些功能在受到攻击后的损失情况. 在对电力系统的安全特性进行研究时，由于电网安全具有复杂性和多面性，张国华等[13]提出一套电网安全评价指标体系结构，如图3 所示. 这套指标从安全供电能力、电压安全性、拓扑结构、暂态安全和风险指标5 个不同维度，相对完善地反映了电力系统不同运行状态的功能安全属性以及遭受攻击后的风险评价，可用于易损性分析中关键部件毁伤的毁伤准则指标.

图3 电网安全评价指标体系Fig. 3 Structure of power grid security assessment index

1)安全供电能力.

当电力系统中元器件发生故障后，电力系统能够对负荷正常持续供电的能力即为安全供电能力，构造N-1 校验、N-2 校验、系统N-K后失元件个数、短路电流水平4 类指标进行安全供电能力评价.

2)静态电压安全性.

为降低电压崩溃事件的发生，构造有功裕度、电压裕度、母线参与因子3 类指标进行静态电压安全综合评价，此外还需要考虑负荷裕度、线路极限传输功率.

3)拓扑结构脆弱性.

为衡量电力系统拓扑结构脆弱性，利用复杂网络理论从节点脆弱性、线路脆弱性、最大供电区域指标分析电网连锁故障传播机理，分析电力系统结构.

4)暂态安全性.

电力系统暂态安全性是指电力系统受到较大扰动后，功角、频率、电压稳定性，构造功角失稳风险指标、频率稳定性判别指标、暂态电压稳定性判别指标、线路极限传输功率、线路极限切除时间衡量电力系统暂态安全性.5)风险指标.

电力系统运行过程中，存在随机发生扰动的可能. 该扰动可能会影响电力系统的正常运行. 评价电力系统风险的指标包括过负荷风险、低电压风险、电压崩溃风险、功角失稳风险4 类.

2 电力CPS 系统毁伤树

由于电力CPS 系统作为双层耦合网络的复杂性和级联效应，以电力CPS 系统为目标的攻击手段，往往可以通过打击单个目标/子系统，或者若干关键控制节点，诱发整个电网的毁伤传播和大面积级联瘫痪现象. 因此，首先通过单目标、单手段建立电力CPS毁伤树，之后再探索系统的毁伤传播与体系损毁.

世界范围内近20 年来的多次电力事故表明，排除自然灾害，威胁电力系统的外部攻击输入可以大致上分为硬毁伤和软毁伤两类[14]，硬毁伤主要指物理毁伤，包括人为破坏、恐怖袭击、传统弹药、石墨炸弹、核爆等，软毁伤主要指网络攻击、电磁干扰、社工攻击等. 电力CPS 系统与毁伤模式示意图如图4 所示.

图4 电力CPS 系统与毁伤模式示意图Fig. 4 Illustration of power grid CPS and attack methods

2.1 物理攻击毁伤

根据电力系统结构及功能特征分析，把电力系统物理毁伤分为发电功能毁伤、输电功能毁伤、变电功能毁伤、通信功能毁伤、控制功能毁伤共5 个子系统功能毁伤. 图5 为电力CPS 系统物理毁伤树，以输电功能毁伤为例，物理毁伤可通过爆炸等方式形成毁伤元破坏输电线路、杆塔等基础设施，也可损毁断路器、隔离开关等电力网受控对象.

图5 电力CPS 系统物理毁伤树Fig. 5 Physical damage tree of power CPS

2.2 网络攻击毁伤

近10 年来的电力系统事件呈现出针对电网二次系统的攻击事件越来越多、网络攻击毁伤效果越来越强的新态势，与针对电网一次系统进行物理攻击相比，网络等非物理攻击成为打击电力CPS 的新首选，具有成本低、攻击范围大、不易察觉等特点，一旦攻击成功会造成不同程度的停电事故. 网络攻击毁伤元主要包括拒绝服务攻击、虚假数据注入攻击、重放攻击、高级持续性威胁（advanced persistent threat，APT）等[15]，构建电力CPS 系统网络攻击情况下的毁伤树，如图6 所示.

拒绝服务攻击是针对电力信息网数据的可用性开展的攻击，主要利用电力CPS 中信息系统的软件缺陷或协议漏洞，强行消耗计算资源或网络资源，占用通信带宽，以大量无用数据包阻碍正常通信数据的收发，造成二次系统通信中断或延迟，控制中心无法与远程终端单元（remote terminal unit, RTU）进行通信等. 拒绝服务攻击的对象可以包括电力信息网的计算节点、数据采集与监视控制（supervisory control and data acquisition, SCADA）系统、通信链路与网络设备、远程测控单元等.

虚假数据注入攻击是针对电力信息网数据的完整性和保密性开展的攻击，主要是利用设备或协议中存在的安全漏洞，绕过身份认证或加密机制获取访问权限，通过注入符合电力系统协议规范的虚假数据来达到破坏电力系统稳定运行的目的. 虚假数据注入的攻击对象通常包括控制中心的SCADA 系统和远端控制设备的执行器.

重放攻击是针对电力信息网数据的完整性开展的攻击，指将非法获取的电力二次系统状态数据或测控指令在某一时刻向攻击对象恶意重复发送，引起误判或误操作. 比如通过重复发送非法监听到的断路器分合闸指令来篡改系统调度信息或断路器的状态信息，造成断路器误动作. 重放攻击的攻击对象通常包括调度中心、控制设备、远程测控单元和通信设备等.

APT 攻击是利用先进的攻击手段对电力CPS 系统进行长期持续性的网络攻击形式，它不仅是破坏电力信息网数据的保密性，且相对于上述3 种攻击形式更为高级，主要体现在攻击前对目标对象情报的精准收集、攻击过程的精心设计、目标信息系统的漏洞挖掘与利用等. 2012 年的“震网”病毒和2015年的乌克兰电网攻击事件都是APT 攻击的典型代表.

3 电力CPS 系统易损性分析

拓扑结构作为电网的本质特点之一，从图2 电力系统结构特性的分析可知，复杂网络理论可以作为研究电网特性的有效手段，同时也能够利用电网拓扑结构和参数的变化反应电力系统在受到攻击或引发故障后，揭示电网结构属性、故障演化和系统损失之间的关系，达到毁伤评估的目的. 基于小世界模型，丁明等[16]提出了电网脆弱性评估综合算法，构造了加权电网拓扑模型，得出小世界电网自身结构脆弱性是连锁故障迅速蔓延的内因. 丁理杰等[17]对具有小世界拓扑和无标度拓扑的人工电网分别进行仿真，发现负荷熵在故障传播期间的动态可反映节点失去机制，结合无标度网络建立新的连锁故障模型，在故障初期快速识别连锁故障. 冀星沛等[18]基于复杂网络理论以及电力网与信息网的结构特点，研究了低度数节点加边策略及其分配策略对电力CPS 相互依存网络的脆弱性具有重要影响. 王珂等[19]提出了基于多重区域毁伤的基础设施网络抗毁性评估模型，通过使用毁伤圆仿真物理攻击，将模型适用范围拓展到含有曲线边的电力网络等，利用加权聚类分析法计算网络的关键区域，并采用归一化结果比较网络间的抗毁性. 但基于拓扑结构的易损性分析难以反应电力CPS 系统中不同节点的重要性差异.

围绕连锁故障路径搜索及脆弱性评估，YU 等[20]将蒙特卡罗模拟法用于连锁故障模式搜索，皱欣等[21]采用递归算法生成连锁故障树来对电网连锁故障模式进行搜索，张海翔等[22]提出了基于连锁故障序列分析的电网脆弱性评估方法. 在事故链搜索的基础上，研究者对电力系统风险评估方法进行了系统研究，孙启明等[23]在事故链搜索过程中考虑了故障的多种形式、故障相关性、安稳措施的作用等，并结合专家打分法提出了一种基于连锁故障事故链搜索的输电网风险评估方法. 为仿真研究战争危机条件下的电力基础设施网络毁伤综合效果，康文杰[24]依据复杂系统实体依赖关系和毁伤传播机理，设计实现了电力基础设施网络节点级联依赖度生成算法和级联毁伤传播算法，较好体现出电力网络级联毁伤过程. 但单纯的研究连锁故障以及毁伤传播，难以将物理信息协同跨域攻击、受损系统修复、人员响应等因素对电力CPS 体系的总体影响体现出来.

对电力CPS 系统进行易损性分析，首先考虑对节点进行打击造成的效果. 电力CPS 网络中，越重要的节点，对其打击造成的损失越大. 例如，发电节点的重要性超过配电节点，破坏发电节点的损失就大.

4 案例分析

以乌克兰停电事件为例，基本的攻击过程还原如下：Black Energy 病毒首先通过邮件或其他手段，植入外网“跳板机”，然后横向渗透进入电网监控系统的关键主机，进而获取SCADA 系统的控制能力，通过信息网对控制系统下达断电指令，导致7 个110 kV变电站和23 个35 kV 变电站异常动作而断电，同时攻击相关计算节点的数据和存储系统，导致系统无法重启恢复，造成数据实质性损失的同时避免事后被发现. 攻击者一方面通过网络攻击电力CPS 信息系统导致变电站断电，另一方面还对电力客服中心进行电话DDoS 攻击，阻止电力恢复的机制响应，导致80 000 用户断电数小时. 整体的攻击全景如图7所示.

图7 乌克兰电力事件示意图Fig. 7 Schematic diagram of power incident in Ukraine

从本案例的攻击过程来看，对应于图6 的毁伤树，攻击者利用APT 攻击手段，对电力CPS 系统的信息层计算节点、控制设备和通信设备进行了攻击，然后利用信息系统与电力一次系统的耦合性，切断电力物理系统的变电节点，造成电网大规模解列，大面积停电. 同时，利用拒绝服务攻击手段，对目标系统中的计算节点和关键通信节点进行了有效打击，迟滞了系统修复，暴露了乌克兰电力CPS 的体系易损性.

本实例中共涉及信息网关键节点超过38 个，电力网节点超过30 个，如表1 所示，采用第3 节中对发电节点、变电节点的类型权值赋值0.95 和0.80，而用电节点因为对整个电网的重要性和影响力较低，赋值0.01. 利用公式（4）计算信息节点的重要性，由于本案例中不涉及电网的功率传输，因此忽略掉功率因素，计算结果如表1 所示. 从表1 中可以看出，调度中心SCADA 系统的重要性最高，办公区计算节点因为没有控制电网物理节点而重要性最低，110 kV变电站测控节点因为电压等级高于35 kV 变电站，因而重要性也更高. 重要性越高的节点遭到攻击后造成的毁伤效应也越大，结果与实际相符.

表1 乌克兰电力事件攻击设备表Tab. 1 List of Ukrainian power incident equipment

该事件的结果还表明，针对电力CPS 系统的跨域协同打击，可以用较小的代价造成巨大的毁伤效果. 在精心设计APT 攻击链的过程中，通过毁伤效果预估的攻击目标探测有助于确认目标，制定最优毁伤链，针对调度中心等核心信息网节点的攻击效果远大于一般计算节点，办公计算节点虽然从单节点重要性上微不足道，但可以成为攻击链中的一环，多手段融合的APT 攻击，更容易造成电网级联失效. 反之，站在防御角度，通过易损性分析和毁伤效果评估，更容易发现电力CPS 的薄弱环节，可针对性的加强防御措施部署实施.

5 电力CPS 系统易损性分析技术发展思路

目前，美国等少部分发达国家己经从利用毁伤评估模型进行评估的阶段过渡到采用毁伤评估系统进行评估的阶段，而且己经具备较为成熟的评估系统，大大领先于其他国家[25-26]. 随着计算机与仿真技术、系统理论与技术、目标毁伤理论技术的快速发展，对电力CPS 系统易损性和毁伤效果评估的研究将更加有效地用于指导实践. 一方面，结合电网历史数据的积累，将大数据技术与传统评估模型方法结合，将有效提升评估的合理性；另一方面，运用信息与智能技术，大量部署新型智能传感器，加强目标毁伤信息收集技术研究，结合5G 技术改进毁伤信息的传输手段，持续完善电力CPS 系统易损性评估模型和评估方法，将会开发出多功能、自动化、全时域的毁伤评估系统，可弥补当下模型计算时效性不强、体系化不够全面等缺点.

6 结 论

本文在分析了电力CPS 系统特点的基础上，结合物理毁伤和网络毁伤两种攻击途径建立了电力CPS 系统毁伤树，基于近年来电力系统易损性相关技术与理论的研究，以电力CPS 节点重要性与故障级联毁伤特性为主要依据，提出了一种基于节点重要性的电力CPS 易损性分析方法，设计了易损性评估模型，并结合乌克兰电力攻击事件实例进行了分析说明，该模型可用于电力信息物理系统的生存力研究，为目标抗毁伤结构的设计提升提供支撑. 最后，提出了电力CPS 系统易损性分析技术发展与应用的思路.