王 勝，張 頡，唐 超，張凌浩，王 海，唐 勇，柴繼文，鄭永康，鄧 平，曹亮，柯亞文

(1. 國網(wǎng)四川省電力科學(xué)研究院，四川成都 610072；2. 國網(wǎng)自貢供電公司，四川自貢 643000；3. 國網(wǎng)甘孜供電公司，四川甘孜 626700； 4. 重慶大學(xué)大數(shù)據(jù)與軟件學(xué)院，重慶 400044)

隨著計算機(jī)科學(xué)和通信技術(shù)的發(fā)展，傳統(tǒng)變電站的運營形式已無法滿足需求，國家電網(wǎng)提出了發(fā)展建設(shè)智能電網(wǎng)的目標(biāo)，國內(nèi)大量智能變電站的新建和改造工程也正在進(jìn)行中。相比于傳統(tǒng)的變電站，智能電網(wǎng)中的智能變電站采用了安全、集成度高、環(huán)保的設(shè)備，站內(nèi)信息一體化、數(shù)字化，通過中國DL/T 860(IEC 61850)標(biāo)準(zhǔn)進(jìn)行信息共享，建設(shè)智能電網(wǎng)已經(jīng)成為了國家新能源戰(zhàn)略的重要環(huán)節(jié)[1]。

智能變電站，作為智能電網(wǎng)的核心節(jié)點，其安全的重要性自然不言而喻，一旦出現(xiàn)問題，后果可能是災(zāi)難性的。一些不法分子也可能利用黑客技術(shù)竊取智能變電站的相關(guān)信息，使國家資產(chǎn)蒙受損失。因此，分析變電站存在的風(fēng)險，確保智能電網(wǎng)信息安全是重要目標(biāo)[2]。

智能變電站可能面臨的信息安全風(fēng)險來自多個方面，包括信息和控制系統(tǒng)的信息安全風(fēng)險、通信協(xié)議方面的信息安全風(fēng)險、運維信息安全風(fēng)險和人員信息安全風(fēng)險，其中信息和控制系統(tǒng)的信息安全風(fēng)險是關(guān)注的主要內(nèi)容，即由站控層、間隔層操作系統(tǒng)漏洞和部分主流工業(yè)控制系統(tǒng)漏洞導(dǎo)致的信息安全風(fēng)險。

研究詳細(xì)闡述了一些關(guān)于智能變電站信息安全風(fēng)險分析的方法和智能變電站信息安全風(fēng)險分析管理子系統(tǒng)從設(shè)計到實現(xiàn)的思路和過程，有助于提高對智能變電站信息安全風(fēng)險的分析、管理和預(yù)警能力。

1 智能變電站信息安全風(fēng)險

1.1 傳統(tǒng)的信息安全風(fēng)險概念

信息安全風(fēng)險是指在信息化建設(shè)進(jìn)程中，各種類型的系統(tǒng)網(wǎng)絡(luò)及其中存儲和傳輸?shù)臄?shù)據(jù)信息，由于可能存在的軟硬件、系統(tǒng)集成等各種缺陷，以及信息安全管理流程中潛在的薄弱環(huán)節(jié)，導(dǎo)致的不同程度的安全風(fēng)險。

1.2 面向智能變電站的信息安全風(fēng)險概念

1.2.1 智能變電站基本概念

智能變電站是使用智能設(shè)備，能實現(xiàn)信息采集自動化、按標(biāo)準(zhǔn)進(jìn)行信息共享，同時具備基本的測控、采集、保護(hù)等功能的新一代變電站。

智能變電站的總體結(jié)構(gòu)從上而下依次為站控層、站控層網(wǎng)絡(luò)、間隔層、過程層網(wǎng)絡(luò)和過程層。站控層主要包括遠(yuǎn)動站、數(shù)據(jù)和應(yīng)用服務(wù)器、對時服務(wù)器、通信網(wǎng)關(guān)等。間隔層主要包括繼電保護(hù)裝置、錄波裝置、測控裝置等。過程層主要包括合并單元、智能終端和組件等。兩網(wǎng)：站控層網(wǎng)絡(luò)主要實現(xiàn)站控層內(nèi)部設(shè)備間以及站控層和間隔層設(shè)備之間的通信。過程層網(wǎng)絡(luò)主要實現(xiàn)間隔層設(shè)備和過程層設(shè)備之間的數(shù)據(jù)傳輸。

1.2.2 智能變電站的信息安全風(fēng)險

隨著計算機(jī)通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，智能變電站逐漸替代了傳統(tǒng)變電站，成為了變電站未來的發(fā)展方向。但在廣闊發(fā)展前景的同時，智能變電站的安全問題也逐漸引起關(guān)注，來自傳統(tǒng)網(wǎng)絡(luò)空間的安全威脅以及有針對性的工控系統(tǒng)攻擊手段已經(jīng)日益嚴(yán)峻地影響到電力系統(tǒng)的信息安全。如何監(jiān)測、評估、管理智能變電站中存在的漏洞和風(fēng)險，保證智能變電站的可靠性成為了重要研究內(nèi)容[3]。研究選擇并改進(jìn)了基于CML的連鎖故障模型，結(jié)合采用CVSS評分標(biāo)準(zhǔn)基于機(jī)器學(xué)習(xí)方法的漏洞評估模型，對智能變電站整體安全風(fēng)險進(jìn)行分析評估并給出相應(yīng)的改進(jìn)意見。

2 相關(guān)工作

2.1 智能變電站信息安全風(fēng)險分析的傳統(tǒng)方法

隨著電力需求的逐步增長以及國家電網(wǎng)提出建設(shè)智能電網(wǎng)的發(fā)展目標(biāo)，幾批國家變電站試點工程的成功使得智能變電站建設(shè)中不僅強(qiáng)調(diào)技術(shù)創(chuàng)新和經(jīng)濟(jì)效益，智能變電站本身的安全和可靠性更是被納入了重要目標(biāo)。為此，如何利用智能變電站的漏洞信息對其存在的安全風(fēng)險進(jìn)行評估也成為重要研究內(nèi)容。

在實際的智能變電站信息安全風(fēng)險分析過程中，大多還是利用傳統(tǒng)的信息安全風(fēng)險評估流程(如圖1所示)，首先識別資產(chǎn)，然后評估威脅和脆弱性，以此得出影響和可能性，最后利用影響和可能性計算風(fēng)險值[4]。

圖1 傳統(tǒng)風(fēng)險評估流程Fig1 Traditional Risk Evaluation Process

2.2 引入機(jī)器學(xué)習(xí)后的風(fēng)險模型選擇

常用的風(fēng)險及威脅分析方法包括：微軟STRIDE模型、基于風(fēng)險傳遞網(wǎng)絡(luò)的風(fēng)險評估模型、基于機(jī)器學(xué)習(xí)的安全風(fēng)險評估，基于CML的連鎖故障評估模型。其中基于機(jī)器學(xué)習(xí)的安全風(fēng)險評估又包括基于支持向量機(jī)(SVM, support vector machine)的評估模型、基于C4.5決策樹評估模型、基于BP神經(jīng)網(wǎng)絡(luò)評估模型、基于樸素貝葉斯的評估模型、基于K近鄰(KNN, k-nearest neighbor)算法的評估模型(如表1所示)。

表1 模型分析

分析以上模型方法的優(yōu)缺點之后，決定采用基于CML的連鎖故障評估模型應(yīng)用于智能變電站信息安全風(fēng)險分析。

3 智能變電站信息安全風(fēng)險分析方法

在IEC61850標(biāo)準(zhǔn)中，設(shè)備節(jié)點(LN, logical node)是實現(xiàn)功能的基本單位，同時也是數(shù)據(jù)對象的容器，變電站的自動化系統(tǒng)功能的實現(xiàn)依賴于不同的設(shè)備節(jié)點之間的信息交互，而在智能變電站的信息網(wǎng)絡(luò)中，設(shè)備中的漏洞被利用很容易導(dǎo)致設(shè)備節(jié)點功能失效，如何分析一個或多個設(shè)備節(jié)點故障對整個智能變電站網(wǎng)絡(luò)帶來的影響，進(jìn)一步評估對應(yīng)設(shè)備節(jié)點乃至其所在設(shè)備上存在的信息安全風(fēng)險正是所要研究的內(nèi)容[5](如圖2、圖3所示)。

圖2 設(shè)備節(jié)點Fig.2 Logical Node

圖3 設(shè)備節(jié)點連接Fig.3 Logical Node Connection

3.1 復(fù)雜網(wǎng)絡(luò)

3.1.1 概念介紹

復(fù)雜網(wǎng)絡(luò)，是呈現(xiàn)高度復(fù)雜性的網(wǎng)絡(luò)，嚴(yán)格定義是指具有自組織、自相似、吸引子、小世界、無標(biāo)度中部分或全部性質(zhì)的網(wǎng)絡(luò)，常被應(yīng)用于研究現(xiàn)實世界中各種復(fù)雜系統(tǒng)的模型建立。目前復(fù)雜網(wǎng)絡(luò)的研究內(nèi)容包括以下幾個方向：幾何性質(zhì)、形成機(jī)制、網(wǎng)絡(luò)演化、結(jié)構(gòu)穩(wěn)定性、網(wǎng)絡(luò)動力學(xué)機(jī)制以及多重復(fù)雜性融合等問題[6]。

復(fù)雜網(wǎng)絡(luò)一般具有如下幾種重要性質(zhì)[6](如圖4所示)。

圖4 復(fù)雜網(wǎng)絡(luò)Fig.4 Complex Network

1)小世界：該性質(zhì)表現(xiàn)了一些復(fù)雜網(wǎng)絡(luò)雖然具有很大規(guī)模，但任意2個節(jié)點之間總能找到一條較短連通路徑，正如六度空間理論所描述的，地球上任意2個陌生人之間所間隔的人不會超過6個；

2)集群/集聚程度：集聚程度表現(xiàn)了一個網(wǎng)絡(luò)的集群化程度，即復(fù)雜網(wǎng)絡(luò)系統(tǒng)中小網(wǎng)絡(luò)的內(nèi)聚程度以及小網(wǎng)絡(luò)之間的聯(lián)系；

3)無標(biāo)度：無標(biāo)度網(wǎng)絡(luò)是指分布嚴(yán)重不均勻，較少的節(jié)點具有較高的介數(shù)，而其余大部分節(jié)點介數(shù)較低，度分布符合冪律分布，即P(k)～k-γ的網(wǎng)絡(luò)稱為無標(biāo)度網(wǎng)絡(luò)(如圖5所示)。

圖5 復(fù)雜網(wǎng)絡(luò)的度分布Fig.5 Degree distribution of Complex Network

3.1.2 相關(guān)知識

復(fù)雜網(wǎng)絡(luò)可以用一個由點集V和邊集E構(gòu)成的圖G= (V,E)來抽象表示。圖中的節(jié)點為復(fù)雜網(wǎng)絡(luò)系統(tǒng)中實體的映射，邊則為復(fù)雜網(wǎng)絡(luò)系統(tǒng)中實體間關(guān)系的映射，邊可以有權(quán)重和方向，權(quán)重表征節(jié)點間聯(lián)系的緊密程度，方向表征節(jié)點間聯(lián)系的單向或者多向。

1)度分布：網(wǎng)絡(luò)中所有節(jié)點v的度；k的平均值稱為網(wǎng)絡(luò)的平均值

(1)

2)平均路徑長度：網(wǎng)絡(luò)的平均路徑長度L，定義為任意2個節(jié)點之間距離的平均值

(2)

(3)

整個網(wǎng)絡(luò)的聚類系數(shù)C為Ci的平均值。

4)度相關(guān)性：度相關(guān)性用于描述網(wǎng)絡(luò)中節(jié)點之間的連接關(guān)系，若度較大的節(jié)點傾向于連接度大的節(jié)點，則稱此網(wǎng)絡(luò)是正相關(guān)的；否則稱之為負(fù)相關(guān)的。只需計算頂點度的Pearson相關(guān)系數(shù)r即可描述網(wǎng)絡(luò)的度相關(guān)性。

(4)

其中：ji，ki分別表示連接第i條邊的2個頂點j,k的度；M表示網(wǎng)絡(luò)的總邊數(shù)。

3.2 智能變電站設(shè)備節(jié)點網(wǎng)絡(luò)的性質(zhì)分析

將智能變電站中設(shè)備節(jié)點映射為網(wǎng)絡(luò)中的節(jié)點，設(shè)備節(jié)點間的數(shù)據(jù)交互映射為網(wǎng)絡(luò)中的邊。經(jīng)考察，智能變電站設(shè)備節(jié)點網(wǎng)絡(luò)中的平均路徑長度較小，整個網(wǎng)絡(luò)的集聚系數(shù)較高，符合小世界網(wǎng)絡(luò)的特征。同時網(wǎng)絡(luò)中設(shè)備節(jié)點的度分布服從冪律分布，也符合無標(biāo)度網(wǎng)絡(luò)的特征[7]。

可以看出智能變電站的設(shè)備節(jié)點網(wǎng)絡(luò)同時具有小世界和無標(biāo)度網(wǎng)絡(luò)的特征，即網(wǎng)絡(luò)中小網(wǎng)絡(luò)的內(nèi)聚程度高，少量的節(jié)點具有較高的出入度，大量的節(jié)點凝聚在少量的HUB節(jié)點周圍。上述對智能變電站設(shè)備節(jié)點網(wǎng)絡(luò)性質(zhì)的分析為信息安全風(fēng)險分析模型的選擇建立了基礎(chǔ)。

3.3 基于CML的智能變電站設(shè)備節(jié)點網(wǎng)絡(luò)的連鎖失效模型

CML(coupled map lattice)即耦合映像格子，是日本東京大學(xué)純應(yīng)用科學(xué)系Kunihiko Kaneko博士于1984年提出的理論，它是一個將時間、空間進(jìn)行離散化，狀態(tài)保持連續(xù)的非線性動力學(xué)模型，是近年來一種廣泛應(yīng)用于研究復(fù)雜網(wǎng)絡(luò)中的時空動力學(xué)行為模型，該理論常用于一些有規(guī)則拓?fù)浣Y(jié)構(gòu)的復(fù)雜網(wǎng)絡(luò)中，如今在一些具有小世界或無標(biāo)度網(wǎng)絡(luò)的動力學(xué)研究中也得到廣泛應(yīng)用[8-9]。

含有N個節(jié)點的有向CML模型如下

(5)

其中：xi(t)表示節(jié)點i在t時刻的狀態(tài)，如果節(jié)點i的狀態(tài)一直維持在(0,1)內(nèi)，則該節(jié)點狀態(tài)正常；如果節(jié)點i在m時的狀態(tài)xi(m)≥1，則節(jié)點i在m時刻失效，m時刻后該節(jié)點狀態(tài)均為0。節(jié)點間的連接信息可表示為連接矩陣:A= (ai,j)N×N,若有向邊從i到j(luò)連接，則ai,j= 1，反之亦然，若2節(jié)點之間無連接，則ai,j=aj,i= 0。N1為含有入度的節(jié)點個數(shù)，N2為含有出度的節(jié)點個數(shù)；deg+(i)為i節(jié)點的入度，deg-(i)為i節(jié)點的出度；ε1為i節(jié)點的入邊耦合強(qiáng)度，ε2為i節(jié)點的出邊耦合強(qiáng)度，ε1,ε2∈(0,1)。f為混沌Logistic映射f(x)=4x(1-x)x∈[0,1]f(x)∈[0,1]。

在CML模型下，網(wǎng)絡(luò)中所有節(jié)點都按該公式進(jìn)行演化，若開始時網(wǎng)絡(luò)中所有節(jié)點都處于正常狀態(tài)，且無外部影響因素，那么演化過程中所有節(jié)點均將保持正常狀態(tài)。

為了模擬設(shè)備在遭受攻擊等設(shè)備節(jié)點失效情況下智能電網(wǎng)的變化情況，考慮對節(jié)點i的狀態(tài)于時刻m施加一個擾動R≥1，使得該節(jié)點在m時刻發(fā)生了故障，節(jié)點i的狀態(tài)變化由下式描述

(6)

施加擾動后，即從下一個時間片m+ 1開始節(jié)點i的狀態(tài)持續(xù)為0，同時m時刻節(jié)點i的狀態(tài)xi(m)將會影響其所有的鄰節(jié)點，并使其鄰節(jié)點依照式(4)所描述的方式進(jìn)行狀態(tài)值刷新，而這可能導(dǎo)致鄰節(jié)點同樣失效，繼續(xù)影響其鄰節(jié)點，從而在整個網(wǎng)絡(luò)中產(chǎn)生設(shè)備節(jié)點失效的連鎖反應(yīng)[10-12](如圖6所示)。

圖6 設(shè)備節(jié)點連鎖失效模擬Fig.6 Device Nodes Chain Failure Simulation

3.4 其他智能變電站信息安全風(fēng)險分析方法介紹

3.4.1 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險關(guān)聯(lián)模型

1986年，美國加州大學(xué)教授珀爾(J.F.Pearl)針對不確定性知識提出貝葉斯網(wǎng)絡(luò)(Bayesian network)模型。貝葉斯網(wǎng)絡(luò)也稱為因果網(wǎng)絡(luò)(causal networks)，它是由圖論和概率論結(jié)合描述多元統(tǒng)計關(guān)系的模型，是可以用貝葉斯概率理論與圖形模式結(jié)合起來由有向無環(huán)圖(DAG, directed acyclic graph)來表示的模型。

基于貝葉斯網(wǎng)絡(luò)的風(fēng)險關(guān)聯(lián)模型將貝葉斯網(wǎng)絡(luò)與粗糙理論集相結(jié)合，基于專家群決策方法來確定智能變電站的風(fēng)險誘發(fā)因素及設(shè)備風(fēng)險，建立決策表,利用粗糙集提取最佳屬性約簡組合;利用貝葉斯網(wǎng)絡(luò)技術(shù)構(gòu)建風(fēng)險關(guān)聯(lián)關(guān)系圖,采用專家知識與伽瑪分布函數(shù)聯(lián)合確定貝葉斯圖的條件概率分布,并通過融入監(jiān)測數(shù)據(jù)的方式對模型進(jìn)行更新[13-14]。

相比CML智能變電站設(shè)備節(jié)點連鎖失效模型以設(shè)備為基本節(jié)點構(gòu)建網(wǎng)絡(luò)，基于貝葉斯網(wǎng)絡(luò)的風(fēng)險關(guān)聯(lián)模型針對具體變電站設(shè)備約簡了相關(guān)的風(fēng)險因素，生成了基于貝葉斯網(wǎng)絡(luò)的風(fēng)險關(guān)聯(lián)圖，最后逆向分析出風(fēng)險誘發(fā)因素的可能性次序。CML模型主要研究了智能變電站中風(fēng)險在設(shè)備節(jié)點之間的傳播，貝葉斯網(wǎng)絡(luò)風(fēng)險模型則是通過概率分布反向分析出風(fēng)險誘發(fā)因素(如圖7所示)。

圖7 貝葉斯網(wǎng)絡(luò)方法流程Fig.7 Bayesian network method model

3.4.2 基于風(fēng)險傳遞網(wǎng)絡(luò)的智能變電站風(fēng)險評估模型

該方法是結(jié)合復(fù)雜網(wǎng)絡(luò)理論和風(fēng)險傳遞理論，鑒于二次系統(tǒng)中設(shè)備和功能的連接關(guān)系，定義網(wǎng)絡(luò)風(fēng)險元素，并考慮網(wǎng)絡(luò)元素間的相互影響，構(gòu)建二次系統(tǒng)風(fēng)險傳遞網(wǎng)絡(luò)并建立了一套評估二次系統(tǒng)風(fēng)險的指標(biāo)體系。具體流程如圖8所示：通過建立待評估二次設(shè)備的風(fēng)險網(wǎng)絡(luò)，構(gòu)建網(wǎng)絡(luò)功能關(guān)聯(lián)矩陣，求出節(jié)點度、主體度等相關(guān)網(wǎng)絡(luò)參數(shù)，對基本主體集失效概率和損失進(jìn)行分析，得到基本主體集風(fēng)險，最后根據(jù)基本主體集風(fēng)險求出系統(tǒng)級和設(shè)備級的其他風(fēng)險指標(biāo)[15]。

圖8 風(fēng)險評估流程圖Fig.8 Flowchart of Risk Assesment

與基于CML的智能變電站設(shè)備節(jié)點網(wǎng)絡(luò)連鎖失效模型中的設(shè)備節(jié)點網(wǎng)絡(luò)相似，基于風(fēng)險傳遞網(wǎng)絡(luò)的智能變電站風(fēng)險評估模型也構(gòu)建了二次設(shè)備的風(fēng)險傳遞網(wǎng)絡(luò)，2個網(wǎng)絡(luò)均涵蓋了智能變電站“三層兩網(wǎng)”結(jié)構(gòu)中的所有設(shè)備，不同之處在于CML的設(shè)備節(jié)點網(wǎng)絡(luò)選用了耦合映像格子作為風(fēng)險傳遞模型，而基于風(fēng)險傳遞網(wǎng)絡(luò)的二次設(shè)備網(wǎng)絡(luò)則是選用了常用于金融行業(yè)的風(fēng)險傳遞模型并制定了風(fēng)險體系指標(biāo)用于評估智能變電站系統(tǒng)和設(shè)備的風(fēng)險[16-17]。

4 結(jié) 論

傳統(tǒng)的變電站漏洞掃描信息以分散的報告形式組成，不方便用戶從中讀取整體風(fēng)險信息，而且沒有以數(shù)據(jù)庫形式裝載數(shù)據(jù)，不方便進(jìn)行管理。

利用web技術(shù)實現(xiàn)的基于CML的設(shè)備節(jié)點網(wǎng)絡(luò)連鎖失效風(fēng)險模型的智能變電站信息安全風(fēng)險分析管理系統(tǒng)是為了方便變電站工作和管理人員對變電站信息安全風(fēng)險信息管理而開發(fā)的一款原型系統(tǒng)，通過此系統(tǒng)可以對站內(nèi)設(shè)備信息安全風(fēng)險信息進(jìn)行分析和管理，得出基于CML設(shè)備節(jié)點網(wǎng)絡(luò)連鎖失效風(fēng)險模型計算出的各個變電站的風(fēng)險評分，使用戶更直觀查看變電站漏洞數(shù)據(jù)，使管理人員在處理變電站漏洞時更有針對性。