陳清清，蘇盛，暢廣輝，李翔碩，魯華永

(1. 長沙理工大學(xué)電氣與信息工程學(xué)院，長沙410114；2. 國網(wǎng)河南省電力公司，鄭州450052)

0 引言

現(xiàn)代電力系統(tǒng)已逐步演化成電力信息物理系統(tǒng)(cyber-physical power system，CPPS)[1]，其中內(nèi)部人員誤操作、違規(guī)操作乃至不確定對象的網(wǎng)絡(luò)攻擊都可能造成破壞性后果，威脅電網(wǎng)安全。近年來多次發(fā)生以工業(yè)控制系統(tǒng)為目標(biāo)的網(wǎng)絡(luò)攻擊，世界各國紛紛加強(qiáng)關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安防的研究[2 - 4]，在入侵檢測[5]、防火墻[6]和信息加密[7]等領(lǐng)域取得了長足進(jìn)步，顯著提高了網(wǎng)絡(luò)攻擊的防護(hù)能力，但既有研究多側(cè)重于防范外部攻擊，對內(nèi)部威脅的研究相對有限。

內(nèi)部威脅一般指組織內(nèi)部人員威脅組織安全的行為，主要包括誤操作、違規(guī)操作和惡意攻擊[8]。美國計(jì)算機(jī)安全學(xué)會專題報告分析指出，內(nèi)部人員濫用權(quán)限造成的內(nèi)部威脅超過傳統(tǒng)外部攻擊，是組織機(jī)構(gòu)面臨的主要安全威脅[9]。美國國土安全部發(fā)布的內(nèi)部威脅白皮書認(rèn)為，盡管外部攻擊的數(shù)量和頻率高于內(nèi)部攻擊，但受對核心資產(chǎn)了解程度和防護(hù)措施完善程度的影響，后者的損失超過了前者[10]。

我國電力行業(yè)高度重視網(wǎng)絡(luò)安全。CPPS在物理隔離邊界安全的防御體系基礎(chǔ)上，采用網(wǎng)絡(luò)準(zhǔn)入、訪問控制、網(wǎng)絡(luò)異常檢測和安全態(tài)勢感知等進(jìn)行縱深防護(hù)，遭外部攻擊破壞的風(fēng)險低于一般信息系統(tǒng)。盡管廣為人知的多為Stuxnet、BlackEnergy等外部攻擊，但內(nèi)部人員造成的網(wǎng)絡(luò)安全事故更常見，有些也造成了嚴(yán)重后果。2018年，某地發(fā)生配電自動化系統(tǒng)維護(hù)工程師直接輸出調(diào)試指令，遙控上百條配電線路跳閘的惡性事故；2001年，南京銀山公司離職總工在系統(tǒng)軟件中埋設(shè)時間邏輯炸彈，造成147臺故障錄波器集體出現(xiàn)功能閉鎖[11]；2001年12月11日，佛羅里達(dá)電網(wǎng)進(jìn)行軟件調(diào)試時，錯誤地將離線EMS數(shù)據(jù)庫導(dǎo)入在線系統(tǒng)，觸發(fā)廣域保護(hù)系統(tǒng)啟動減載，切除了1 200個用戶。

內(nèi)部威脅發(fā)生在安全防御邊界內(nèi)，主要依賴身份和權(quán)限認(rèn)證進(jìn)行防護(hù)。內(nèi)部人員具有合法身份，又熟悉業(yè)務(wù)系統(tǒng)危險點(diǎn)，針對外部攻擊的防御措施大多難以有效防護(hù)內(nèi)部威脅，一旦突破身份和權(quán)限認(rèn)證的屏障，可能造成嚴(yán)重危害。

本文圍繞CPPS內(nèi)部威脅進(jìn)行綜述和展望，首先梳理和分析了在一般信息系統(tǒng)基礎(chǔ)上發(fā)展起來的內(nèi)部威脅安全防護(hù)方法；然后結(jié)合具體業(yè)務(wù)系統(tǒng)分析指出了CPPS面臨的內(nèi)部威脅挑戰(zhàn)，概述了CPPS內(nèi)部威脅防護(hù)的研究現(xiàn)狀；最后比對CPPS和一般信息系統(tǒng)的差異，提出可以從具體業(yè)務(wù)出發(fā)針對性設(shè)計(jì)防護(hù)措施來提高內(nèi)部威脅防護(hù)水平，并展望了區(qū)塊鏈技術(shù)和零信任在相關(guān)領(lǐng)域的應(yīng)用前景。

表1 內(nèi)部威脅類型對比Tab.1 Comparison of insider threat types

1 信息系統(tǒng)內(nèi)部威脅研究

1.1 定義與分類

根據(jù)卡耐基梅隆大學(xué)計(jì)算機(jī)安全應(yīng)急響應(yīng)團(tuán)隊(duì)的定義，內(nèi)部威脅是指具有計(jì)算機(jī)網(wǎng)絡(luò)與系統(tǒng)及敏感數(shù)據(jù)訪問權(quán)的員工、承包商以及商業(yè)合作伙伴等內(nèi)部人員利用合法權(quán)限對計(jì)算機(jī)系統(tǒng)中信息的完整性、可用性和機(jī)密性造成負(fù)面影響[12 - 13]，可以對組織造成經(jīng)濟(jì)損失、業(yè)務(wù)中斷和名聲受損，甚至危及社會安全。由于內(nèi)部人員具有逃避已部署信息安全機(jī)制的能力，攻擊行為夾雜在大量正常行為中，在不清楚攻擊行為特征的條件下很難通過數(shù)據(jù)挖掘識別攻擊異常，是一類特殊的安全威脅防護(hù)問題。

企業(yè)人員流動性的加速使得企業(yè)人員構(gòu)成越來越冗雜，在外部因素介入和經(jīng)濟(jì)利益驅(qū)使下，內(nèi)部安全事件開始與外部人員關(guān)聯(lián)。對內(nèi)部威脅數(shù)據(jù)庫的分析表明內(nèi)部攻擊一般表現(xiàn)為系統(tǒng)破壞、信息竊取、電子欺詐以及混合類[14]，主要特征如表1所示。

1.2 安全防護(hù)研究

計(jì)算機(jī)領(lǐng)域的內(nèi)部威脅防護(hù)研究主要分為前期的威脅模型研究和后期的心理學(xué)社會學(xué)、用戶行為檢測3類，具體如表2所示。

表2 內(nèi)部威脅檢測方法Tab.2 Insider threat testing methods

從組織成員主觀或客觀角度進(jìn)行威脅建模來分析內(nèi)部威脅行為特征，是設(shè)計(jì)防護(hù)措施的基礎(chǔ)。前者從攻擊者角度闡述了實(shí)施攻擊所需具備的主客觀條件，但準(zhǔn)確判斷攻擊者的主觀意向是可靠感知威脅的瓶頸[17 - 18]；后者借鑒應(yīng)對外部威脅的成熟技術(shù)手段，分層量化內(nèi)部威脅，克服了主觀模型難以量化的缺陷，但也存在忽略主體特征、難以區(qū)分外部和內(nèi)部威脅所致威脅檢出率低的缺陷[19 - 20]。

在威脅模型的基礎(chǔ)上，從心理學(xué)和社會學(xué)角度可補(bǔ)充解釋內(nèi)部威脅的動機(jī)。前者側(cè)重從用戶使用網(wǎng)絡(luò)或主機(jī)的行為來推斷其心理狀態(tài)，后者側(cè)重從社會表現(xiàn)和環(huán)境來推斷其行為表現(xiàn)，判斷帶來威脅的可能性[21 - 28]。

具有異常心理的內(nèi)部人員最終會體現(xiàn)為行為異常。基于行為檢測識別內(nèi)部威脅一般可分為誤用檢測和異常檢測。前者通過比對用戶行為與已知威脅特征來識別異常行為，具有檢測效率和準(zhǔn)確率高的優(yōu)勢，但要求明確知道內(nèi)部威脅攻擊模式。后者利用內(nèi)部人員在業(yè)務(wù)工作上行為模式相對固定的特點(diǎn)，通過對組織成員行為模式的聚類畫像，判斷不同人群正常行為模式，并將同類人群中行為偏離正常模式的用戶識別為可能造成內(nèi)部威脅的異常行為人群[29 - 30]。

承載不同業(yè)務(wù)的信息系統(tǒng)可能有不同的內(nèi)部威脅模式，但在不確定具體業(yè)務(wù)場景的條件下僅能提煉有限的共性誤用檢測規(guī)則，從異常檢測角度識別內(nèi)部威脅。為解決內(nèi)部威脅數(shù)據(jù)匱乏的問題，一般采用針對內(nèi)部威脅專門產(chǎn)生的或具有相近特征的入侵檢測數(shù)據(jù)集開展異常檢測研究，常用的數(shù)據(jù)集主要包括：入侵檢測評估KDD99數(shù)據(jù)集[31]、在正常行為數(shù)據(jù)中隨機(jī)插入攻擊指令的SEA數(shù)據(jù)集[32]、記錄用戶文件訪問行為的WUIL數(shù)據(jù)集[33]和在真實(shí)企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造的CERT-IT數(shù)據(jù)集[34]。

在這些數(shù)據(jù)集的基礎(chǔ)上，研究人員提出了基于隱馬爾可夫模型、高斯混合模型、屬性圖聚類等基于機(jī)器學(xué)習(xí)的內(nèi)部威脅檢測方法，文獻(xiàn)[35]使用隱馬爾可夫模型(hidden Markov model，HMM)學(xué)習(xí)用戶每周的正常行為，通過異常行為與正常行為之間的偏差完成了合理誤報率條件下的內(nèi)部威脅檢測。文獻(xiàn)[36]使用高斯混合模型對員工正常行為進(jìn)行建模，以似然性和標(biāo)準(zhǔn)分?jǐn)?shù)作為異常檢測指標(biāo)，同時借助專家知識對異常進(jìn)行分類。文獻(xiàn)[37]在圖異常檢測僅考慮拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，增加相關(guān)定點(diǎn)/邊屬性值，提出屬性圖聚類異常檢測方法，使用EDCAR和GAMER兩種子空間/圖聚類算法進(jìn)行異常檢測，同時采用了“GOutRank”離群值排名機(jī)制，發(fā)現(xiàn)EDCAR算法的受試者工作特征曲線(receiver operating characteristic curve, ROC)曲線具有最佳AUC值。文獻(xiàn)[38]提出采用在線深度學(xué)習(xí)架構(gòu)，動態(tài)建模以生成可解釋的異常評估結(jié)果，提高了分析速度和準(zhǔn)確性，利用CERT數(shù)據(jù)集驗(yàn)證了提出的長短期記憶(long and short term memory, LSTM)網(wǎng)絡(luò)模型優(yōu)于傳統(tǒng)的支持向量機(jī)和主成分分析等模型，指出LSTM模型可能適用于復(fù)雜時間模式的大規(guī)?，F(xiàn)實(shí)問題。文獻(xiàn)[39]采用HMM、決策樹(decision tree, DT)和自組織映射(self organizing mapping, SOM)來學(xué)習(xí)和建模數(shù)據(jù)以檢測內(nèi)部威脅，結(jié)果表明SOM具有最優(yōu)的性能。文獻(xiàn)[40]提出了一種PRODIGAL異常檢測系統(tǒng)，該系統(tǒng)結(jié)合了多種機(jī)器學(xué)習(xí)異常檢測技術(shù)，同時開發(fā)了一種可視化語言來綜合使用這些檢測方法。前述方法的具體性能如表2所示。近年來，也有研究開始應(yīng)用深度前饋神經(jīng)網(wǎng)絡(luò)和卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行攻擊特征的自動選擇，以提高檢測準(zhǔn)確性[41 - 42]。

需要指出的是，基于異常檢測識別內(nèi)部威脅存在異常樣本高度不平衡和適應(yīng)性攻擊等挑戰(zhàn)。上述檢測數(shù)據(jù)集和檢測方法在脫離具體業(yè)務(wù)背景的一般信息系統(tǒng)基礎(chǔ)上構(gòu)建，難以表征與具體業(yè)務(wù)有關(guān)的內(nèi)部威脅，限制了他們的適用范圍。此外，既有研究主要從個體用戶視角檢測異常，當(dāng)系統(tǒng)中有一定比例的用戶異常時，會使得正常行為的模式發(fā)生傾斜，難以有效區(qū)分。

除了被動檢測和識別異常外，美國國家網(wǎng)絡(luò)安全和通信整合中心的研究認(rèn)為還可以通過營造健康富有成效的工作環(huán)境和加強(qiáng)系統(tǒng)權(quán)限管理與內(nèi)部人員意識培養(yǎng)來主動削減內(nèi)部威脅[27]。

2 CPPS的內(nèi)部威脅與防護(hù)

2.1 CPPS的內(nèi)部威脅

電力系統(tǒng)運(yùn)行管理中有大量控制管理決策需要人工完成。2006年11月西歐大停電事故中，調(diào)度人員憑經(jīng)驗(yàn)認(rèn)為電網(wǎng)可在N-1狀態(tài)下安全運(yùn)行而忽視了一系列越限告警信號，最終導(dǎo)致系統(tǒng)解列[43]。人為誤操作是威脅系統(tǒng)的可靠運(yùn)行的重要因素[44]。對電力事故關(guān)鍵誘因的篩選研究表明，知識技能不足、違規(guī)操作、監(jiān)管不充分等人為因素是造成高等級安全事件的主要原因[45]。

CPPS面臨的內(nèi)部威脅主要包括3類。1)誤操作，操作人員無法快速、準(zhǔn)確完成業(yè)務(wù)操作，造成設(shè)備損壞、故障擴(kuò)大等后果；2)違規(guī)操作，既可能表現(xiàn)為操作人員為方便操作而違反規(guī)范自行授權(quán)審批操作，也可能在利益驅(qū)動下竊取和售賣秘密信息獲利；3)惡意攻擊，內(nèi)部人員由于個人原因泄憤報復(fù)或其他原因破壞系統(tǒng)。此外，內(nèi)部人員也可能被外部攻擊者收買，但在具體表現(xiàn)上與違規(guī)操作及惡意攻擊相同，后續(xù)討論中不加區(qū)分。

以下將從生產(chǎn)控制系統(tǒng)和市場營銷系統(tǒng)兩方面分析CPPS面臨的內(nèi)部威脅挑戰(zhàn)。

2.1.1 生產(chǎn)控制系統(tǒng)

生產(chǎn)控制系統(tǒng)直接服務(wù)于電力生產(chǎn)，主要包括變電站自動化和調(diào)度自動化等系統(tǒng)。該兩系統(tǒng)的可靠性、實(shí)時性和安全性要求高。內(nèi)部威脅存在共性，選取各自具有代表性的威脅展開分析。

1)變電站自動化系統(tǒng)

承擔(dān)變電站的監(jiān)視與保護(hù)控制功能，采用3層兩網(wǎng)架構(gòu)進(jìn)行數(shù)據(jù)上傳和指令下發(fā)[46 - 47]，可能面臨的內(nèi)部安全風(fēng)險如圖1所示。

圖1 變電站信息傳播內(nèi)部安全風(fēng)險Fig.1 Substation information dissemination internal security risk

(1)入侵風(fēng)險。運(yùn)維及廠商售后等內(nèi)部人員站內(nèi)作業(yè)時可能發(fā)生運(yùn)維筆記本與外網(wǎng)連接或用系統(tǒng)內(nèi)部服務(wù)器主動連接外網(wǎng)等違規(guī)操作。內(nèi)網(wǎng)聯(lián)接外網(wǎng)不但可能泄漏機(jī)密數(shù)據(jù)，外部惡意攻擊者還可能借此擺渡滲透進(jìn)入內(nèi)網(wǎng)。

(2)傳播風(fēng)險。內(nèi)部人員違規(guī)/誤操作導(dǎo)致信息傳播的信道資源阻塞和網(wǎng)絡(luò)資源耗盡等，導(dǎo)致報文傳播失敗或時延過大。

(3)失效風(fēng)險。內(nèi)部人員違規(guī)/誤操作導(dǎo)致傳遞到信宿的報文時延過大失效、報文內(nèi)容遭篡改失效以及非法報文被誤用為有效信息導(dǎo)致保護(hù)控制等功能失效。

此外，智能變電站采用SCD文件記錄全站設(shè)備配置與控制信息[48]，各種應(yīng)用和業(yè)務(wù)信息存在強(qiáng)耦合，進(jìn)行檢修或改擴(kuò)建時需局部改動，容易因操作失誤導(dǎo)致版本控制混淆和信息錯亂，使得監(jiān)視與保護(hù)控制系統(tǒng)功能紊亂，甚至可能導(dǎo)致誤動或拒動。

2)調(diào)度自動化系統(tǒng)

承擔(dān)電網(wǎng)整體的監(jiān)視與控制功能。內(nèi)部人員可基于系統(tǒng)拓?fù)浜团渲弥R，發(fā)起虛假數(shù)據(jù)注入攻擊，從同步相量測量單元(phasor measurement unit，PMU)注入虛假測量數(shù)據(jù)，以規(guī)避狀態(tài)估計(jì)器的檢測，誤導(dǎo)調(diào)度控制中心做出錯誤決策[49]，主要過程如下：假設(shè)x=(x1,x2,…,xn)′為電網(wǎng)的真實(shí)系統(tǒng)狀態(tài)相量，z=(z1,z2,…,zm)′為PMU采集的測量數(shù)據(jù)，其中m、n為正整數(shù)，對于i=1,2…,n、j=1,2…,m、xi,zj∈R， 利用直流功率流模型，PMU讀數(shù)和實(shí)際狀態(tài)間的關(guān)系可表示為：

z=Hx+η

(1)

式中：H為m×n的雅克比矩陣，表示系統(tǒng)拓?fù)浜团渲茫沪?(η1,η2,…,ηm)′～N(0,W)為一個獨(dú)立的測量誤差向量，有零均值和協(xié)方差W。若用最大似然估計(jì)估計(jì)系統(tǒng)真實(shí)狀態(tài)，其狀態(tài)向量為：

(2)

zbad=z+Hc

(3)

式中：c為期望注入到x中的偏移量，系統(tǒng)的真實(shí)狀態(tài)估計(jì)向量可能變成：

(4)

通過向PMU導(dǎo)入虛假數(shù)據(jù)，使得式(2)所示的狀態(tài)向量變?yōu)槭?4)所示，導(dǎo)致調(diào)度人員可能根據(jù)虛假數(shù)據(jù)做出錯誤決策，從而危害系統(tǒng)安全運(yùn)行。

2.1.2 市場營銷系統(tǒng)

市場營銷系統(tǒng)包含面向終端用戶的計(jì)量自動化與營銷系統(tǒng)和面向發(fā)電商與大用戶的電力市場競價交易系統(tǒng)，兩者都涉及重大經(jīng)濟(jì)利益，存在較突出的內(nèi)部威脅。計(jì)量自動化與營銷系統(tǒng)是實(shí)現(xiàn)電網(wǎng)與用戶側(cè)網(wǎng)絡(luò)互動、優(yōu)化資源配置的基礎(chǔ)，主要由智能電表與計(jì)量終端、通信網(wǎng)絡(luò)、計(jì)量主站與營銷系統(tǒng)等4個部分組成，用電信息采集與營銷系統(tǒng)風(fēng)險分布圖如圖2所示。

圖2 用電信息采集與營銷系統(tǒng)風(fēng)險分布圖Fig.2 Risk distribution map of electricity consumption information acquisition and marketing system

計(jì)量終端部署于用戶側(cè)，點(diǎn)多面廣，多采用載波和無線虛擬專網(wǎng)通信。攻擊方不但可能侵入智能電表和數(shù)據(jù)集中器等終端，篡改電費(fèi)數(shù)據(jù)及控制用戶供電，還可能以此為跳板滲透侵入主站，此后可攻擊造成大量用戶遠(yuǎn)程費(fèi)控停電或使得主站閉鎖，破壞后果遠(yuǎn)超針對單個用戶的攻擊。在終端層要求配置國密算法的嵌入式安全芯片，對與主站的通信進(jìn)行身份認(rèn)證并加密控制指令[50]；在主站為接入終端增設(shè)安全接入?yún)^(qū)，進(jìn)行安全態(tài)勢感知以構(gòu)筑縱深防御體系。

內(nèi)部人員具有計(jì)量與營銷系統(tǒng)主站訪問權(quán)限，攻擊行為與外部攻擊有明顯差異，主要表現(xiàn)為以下幾個方面。

1)用戶數(shù)據(jù)失密。開放售電業(yè)務(wù)后，售電公司可能通過內(nèi)部人員從營銷系統(tǒng)違規(guī)獲得優(yōu)質(zhì)客戶信息。用戶用電行為數(shù)據(jù)是開展用電增值服務(wù)的重要基礎(chǔ)，是供電企業(yè)的核心資產(chǎn)；第三方綜合能源服務(wù)商也有通過內(nèi)部人員獲取用戶數(shù)據(jù)的利益沖動。

圖3為遠(yuǎn)程費(fèi)控業(yè)務(wù)流程。

圖3 遠(yuǎn)程費(fèi)控業(yè)務(wù)流程Fig.3 Business process of remote charge control

2)違規(guī)發(fā)布控制指令。供電企業(yè)按圖3流程進(jìn)行電費(fèi)核發(fā)和欠費(fèi)用戶遠(yuǎn)程費(fèi)控。完成電費(fèi)核算后，形成需要進(jìn)行遠(yuǎn)程費(fèi)控的欠費(fèi)用戶列表；審核人員核查后執(zhí)行遠(yuǎn)程費(fèi)控停電。合法用戶可能因習(xí)慣性違章或惡意破壞、跳過崗位權(quán)限分割，代為授權(quán)發(fā)布遠(yuǎn)程費(fèi)控指令，可能造成導(dǎo)致大量用戶停電的破壞性后果。

3)惡意攻擊。在比特幣等可逃避身份追查的新型支付方式掩護(hù)下，面向基礎(chǔ)設(shè)施監(jiān)控系統(tǒng)的定向勒索攻擊快速增長，形成了成熟的攻擊破壞與收益兌付業(yè)務(wù)模式。為擴(kuò)大可接觸到的高價值行業(yè)目標(biāo)，部分勒索軟件攻擊方利用暗網(wǎng)招募目標(biāo)企業(yè)內(nèi)部人員，得手后再以比特幣形式進(jìn)行攻擊收益分紅。2021年8月，勒索軟件攻擊組織LockBit 2.0就被發(fā)現(xiàn)在暗網(wǎng)中招募高價值行業(yè)機(jī)構(gòu)內(nèi)部工作人員，隨后攻擊了位列財富500強(qiáng)的埃森哲公司并索要5 000萬美元贖金[51]。接觸系統(tǒng)后臺的工作人員、特別是第三方人員進(jìn)行技術(shù)服務(wù)時，可能帶入此類安全風(fēng)險。

電力市場中，發(fā)電公司與售電商在競價交易系統(tǒng)中進(jìn)行市場競價，形成購電、售電申報曲線。獲取其他市場主體的報價數(shù)據(jù)，可推斷對手的報價策略等關(guān)鍵信息，獲得競價優(yōu)勢。在巨大的利益誘惑下，各市場主體均可能以包括通過內(nèi)部人員竊取交易數(shù)據(jù)等方式獲得競爭優(yōu)勢。為維護(hù)交易秩序，需要設(shè)計(jì)針對性的防護(hù)措施。

2.2 CPPS內(nèi)部威脅防護(hù)

本文將CPPS內(nèi)部威脅防護(hù)分為安全規(guī)程指導(dǎo)、防誤技術(shù)研究、領(lǐng)域知識應(yīng)用、權(quán)限分配研究和數(shù)據(jù)泄漏防護(hù)等5個大類，如表3所示。

表3 CPPS內(nèi)部威脅防護(hù)方法Tab.3 Protection of insider threat in CPPS

2.2.1 安全規(guī)程指導(dǎo)

在內(nèi)部威脅防護(hù)中，主管部門頒布的網(wǎng)絡(luò)安全規(guī)范明確要求如下。

各業(yè)務(wù)系統(tǒng)應(yīng)逐步采用數(shù)字證書，對系統(tǒng)登錄和資源訪問進(jìn)行身份認(rèn)證、訪問控制和安全審計(jì)；生產(chǎn)控制大區(qū)需要具備日志數(shù)據(jù)收集和自動分析的審計(jì)功能，以便及時發(fā)現(xiàn)違規(guī)行為；在日常安全管理中強(qiáng)調(diào)加強(qiáng)內(nèi)部人員保密教育、錄用、離崗等的管理，內(nèi)部人員應(yīng)當(dāng)簽署并遵守保密協(xié)議[52]。

加強(qiáng)全體安全防護(hù)人員的安全管理和培訓(xùn)教育，特別要加強(qiáng)對廠家維護(hù)及評估檢測第三方人員的安全管理，提高全體內(nèi)部人員和相關(guān)外部人員的安全意識[53 - 54]。

在變電和配電部分都要求采用工作票、許可及監(jiān)護(hù)制度，減少個人錯誤決策[55]。

要從訪問控制、安全審計(jì)、管理制度、授權(quán)和審批以及人員離崗等方面保障系統(tǒng)安全；應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；對每個用戶和重要的用戶行為和安全事件啟用安全審計(jì)功能；對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；及時終止離崗人員的所有權(quán)限，取回身份識別證件及配備的物理設(shè)備。對內(nèi)部用戶非授權(quán)聯(lián)接外網(wǎng)進(jìn)行檢查或限制；由授權(quán)主體配置訪問控制策略并規(guī)定訪問規(guī)則，訪問控制粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級[56]。

電力企業(yè)和研究人員根據(jù)規(guī)范要求進(jìn)行了防護(hù)部署和相關(guān)研究，其中關(guān)于防誤技術(shù)、領(lǐng)域知識應(yīng)用、權(quán)限分配和數(shù)據(jù)泄漏防護(hù)研究相對成熟。

2.2.2 防誤技術(shù)研究

內(nèi)部人員誤操作是CPPS最常見的內(nèi)部威脅。智能變電站進(jìn)行檢修維護(hù)和改擴(kuò)建時都要改動全站系統(tǒng)配置(substation configuration description，SCD)文件，容易出現(xiàn)失誤。針對變電站內(nèi)各IED的相互關(guān)系離散、模型結(jié)構(gòu)層次多且涉及運(yùn)維和廠商等不同部門人員，配置維護(hù)和管控困難的問題，文獻(xiàn)[48]提出了基于角色的SCD文件安全訪問控制方案，可實(shí)現(xiàn)文件版本管理、變更控制和在線監(jiān)視，保障SCD文件的一致性、合法性和有效性。為了適應(yīng)改動和確認(rèn)SCD文件版本及內(nèi)容一致性的需要，文獻(xiàn)[57 - 58]提出利用循環(huán)冗余校驗(yàn)碼校驗(yàn)來實(shí)現(xiàn)SCD文件的版本管理。

變電站運(yùn)檢調(diào)控時發(fā)生誤操作較常見，傳統(tǒng)上主要依賴五防系統(tǒng)防誤。隨著調(diào)控一體化運(yùn)行模式的普及，大量場站現(xiàn)場操作改為遠(yuǎn)程控制。遠(yuǎn)程防誤在防誤信息、二次設(shè)備狀態(tài)及主子站防誤信息“源端維護(hù)”和邏輯一致性校核等方面發(fā)生明顯變化[60]，研究人員圍繞該類風(fēng)險防控展開了大量研究。文獻(xiàn)[59]提出了調(diào)控一體化指令票與防誤系統(tǒng)的關(guān)聯(lián)約束關(guān)系，建立電網(wǎng)調(diào)控端遠(yuǎn)方操作防誤系統(tǒng)。在此基礎(chǔ)上，文獻(xiàn)[60]研究了基于主子站協(xié)同的二次設(shè)備防誤技術(shù)，實(shí)現(xiàn)二次設(shè)備采集、模型擴(kuò)展和防誤規(guī)則建立，構(gòu)建了設(shè)備與設(shè)備、站與站之間的防誤邏輯，可以涵蓋電網(wǎng)各種運(yùn)行狀態(tài)下一、二次設(shè)備操作防誤。文獻(xiàn)[61]以壓板、空開、把手等二次設(shè)備信息為研究對象，采用非電量感應(yīng)技術(shù)采集設(shè)備狀態(tài)，提出了更具普適性的防誤規(guī)則。

結(jié)合業(yè)務(wù)流程針對性設(shè)計(jì)防誤流程，可有效提高應(yīng)對內(nèi)部威脅的能力。為提高防誤設(shè)計(jì)的實(shí)用性，需要構(gòu)建貼近實(shí)際電網(wǎng)的虛擬環(huán)境，進(jìn)行防誤流程的適用性驗(yàn)證，以提高防誤檢測的準(zhǔn)確率。

2.2.3 領(lǐng)域知識應(yīng)用

知識工程的快速發(fā)展促進(jìn)了領(lǐng)域知識在智能電網(wǎng)中的應(yīng)用，領(lǐng)域知識在電力調(diào)度和運(yùn)檢方面的研究應(yīng)用為調(diào)度和運(yùn)維人員提供了有力的輔助決策支持，突破了依賴經(jīng)驗(yàn)的處理決策和操作瓶頸。

電力調(diào)度方面主要集中于自然語言識別處理與知識圖譜技術(shù)的組合應(yīng)用。文獻(xiàn)[62]概述了知識工程在電力系統(tǒng)中的應(yīng)用與發(fā)展，設(shè)計(jì)了基于不特定領(lǐng)域知識圖(not only domain-specific knowledge graph, NoDKG)思想的電力領(lǐng)域知識圖譜應(yīng)用框架；文獻(xiàn)[63]提出了面向電網(wǎng)調(diào)度故障處理的知識圖譜框架，將大量以文本形式存在的操作規(guī)程、處置預(yù)案、調(diào)度細(xì)則等非結(jié)構(gòu)化內(nèi)容凝練為可表示、可操作、可推理的結(jié)構(gòu)化知識網(wǎng)絡(luò)；文獻(xiàn)[64]提出了自底向上和自頂向下相結(jié)合的調(diào)度系統(tǒng)知識圖譜構(gòu)建方法；文獻(xiàn)[65 - 66]基于人工智能技術(shù)對調(diào)控知識庫構(gòu)建、調(diào)控智能決策等關(guān)鍵技術(shù)給出了解決方案，克服了傳統(tǒng)基于人工離線規(guī)則的調(diào)度決策機(jī)制難以為繼的問題。

電力運(yùn)檢方面，領(lǐng)域知識應(yīng)用主要集中應(yīng)用于設(shè)備故障預(yù)測、診斷和推理。文獻(xiàn)[67]構(gòu)建了基于BiLSTM-CRF模型與知識圖譜的二次設(shè)備功能缺陷智能診斷與輔助決策平臺。文獻(xiàn)[68]利用設(shè)備缺陷記錄語料構(gòu)建電力設(shè)備缺陷知識圖譜，借助圖搜索方法提升缺陷記錄檢索的效果。文獻(xiàn)[69]以直流潮流模型和狀態(tài)估計(jì)模型為基礎(chǔ)，提取了3個行為規(guī)則來檢測設(shè)備運(yùn)行狀態(tài)，折衷考慮檢測精度和誤報，取得了滿意的效果。

領(lǐng)域知識是推動電力系統(tǒng)智能化的核心驅(qū)動力之一，應(yīng)用領(lǐng)域知識進(jìn)行內(nèi)部威脅防護(hù)主要還存在以下挑戰(zhàn)：研究主要集中于調(diào)控和運(yùn)檢輔助決策，對其他業(yè)務(wù)場景的研究 相對缺乏；電力業(yè)務(wù)場景復(fù)雜，知識信息多源異構(gòu)，難以歸納出精確的知識，可能對輔助決策造成負(fù)面影響；某些業(yè)務(wù)場景專業(yè)人員可基于小樣本和經(jīng)驗(yàn)做出決策，而知識提煉需要大量樣本，合理靈活的選取應(yīng)用場景值得考量。

2.2.4 權(quán)限分配研究

合理的權(quán)限分配有利于防范內(nèi)部攻擊，需要采用訪問控制模型來提供必要的權(quán)限管理，防止惡意使用?；诮巧脑L問控制(role-based access control，RBAC)模型引入的角色概念可在用戶和權(quán)限間建立連接，顯著降低了授權(quán)管理的復(fù)雜性，應(yīng)用最為普及[70 - 72]。電力系統(tǒng)現(xiàn)有相關(guān)研究基本上都是對RBAC模型的適應(yīng)性改進(jìn)。圖4為數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(supervisory control and data acquisition，SCADA)系統(tǒng)RBAC模型。

圖4 SCADA系統(tǒng)RBAC模型Fig.4 RBAC model of SCADA system

文獻(xiàn)[70]提出了考慮SCADA調(diào)度員行為異常告警來動態(tài)調(diào)整角色權(quán)限的擴(kuò)展RBAC模型，可在威脅變化、出現(xiàn)異常使用告警和不同的運(yùn)行狀態(tài)下動態(tài)調(diào)整用戶權(quán)限。根據(jù)該擴(kuò)展模型設(shè)計(jì)了基于反饋操作員命令和系統(tǒng)狀態(tài)實(shí)現(xiàn)動態(tài)信任管理的自適應(yīng)信任管理器，結(jié)構(gòu)示意如圖4所示。文獻(xiàn)[71]將用戶身份可信與行為可信相結(jié)合，基于登錄時間、地點(diǎn)和口令的異常程度評價用戶可信度，進(jìn)而提出基于可信度的訪問控制模型，通過設(shè)置可信度激活閾值來實(shí)現(xiàn)系統(tǒng)的靈活授權(quán)。文獻(xiàn)[72]針對電力企業(yè)資源計(jì)劃(enterprise resource planning, ERP)用戶數(shù)量眾多、角色定義隨時間和業(yè)務(wù)調(diào)整頻繁變化的特點(diǎn)，對RBAC模型進(jìn)行細(xì)粒度擴(kuò)充，實(shí)現(xiàn)角色、操作和對象的多級管理及細(xì)化控制。針對經(jīng)典RBAC模型缺少責(zé)任區(qū)劃分、難以在電力系統(tǒng)多區(qū)域、多層次復(fù)雜環(huán)境下進(jìn)行權(quán)限控制和避免跨管轄范圍誤操作的問題。文獻(xiàn)[73]提出了基于多區(qū)域的訪問控制模型，將SCADA系統(tǒng)權(quán)限分為區(qū)域權(quán)限和公共權(quán)限，以區(qū)域分配權(quán)限，既降低了權(quán)限管理工作的難度，又可避免合法用戶跨管轄范圍的誤操作，提高了系統(tǒng)的可靠性。

權(quán)限分配的細(xì)化設(shè)計(jì)有助于管控人為因素帶來的內(nèi)部威脅所能造成的危害后果。但在實(shí)施層面上還存在一些問題，如用戶可能違規(guī)借用他人用戶權(quán)限，這種管理上的問題很難通過權(quán)限分配來解決。

2.2.5 數(shù)據(jù)泄漏防護(hù)

智能電表采集的用電數(shù)據(jù)需經(jīng)低壓載波和無線通信傳輸，攻擊界面大。為保障用戶數(shù)據(jù)安全，科研人員從密鑰管理、數(shù)據(jù)加密聚合和雙向認(rèn)證等方面展開研究。文獻(xiàn)[74]基于密碼技術(shù)，面向用戶用電隱私數(shù)據(jù)提出了圖5所示添加致盲因素的數(shù)據(jù)聚合方案；文獻(xiàn)[75]指出該方案存在秘鑰安全缺陷，難以滿足數(shù)據(jù)安全性要求，并提出通過綁定用戶公鑰與對應(yīng)ID的CA證書來消除安全漏洞。針對秘鑰安全性問題，文獻(xiàn)[76]提出了基于區(qū)塊鏈的智能電表密鑰管理方法，提高秘鑰管理安全性與時效性。文獻(xiàn)[77 - 78]提出采用同態(tài)加密算法保證量測數(shù)據(jù)的機(jī)密性。文獻(xiàn)[79]構(gòu)建了一種支持第三方參與仲裁的具有隱私保護(hù)和完整性驗(yàn)證的數(shù)據(jù)聚合安全方案，具有良好的運(yùn)算效率和通信效率。文獻(xiàn)[80]提出向用戶電量添加掩蔽隨機(jī)數(shù)。相比于同態(tài)加密，該方法隱私保護(hù)效果較好，但存在計(jì)算開銷大的弊端。

圖5 用電數(shù)據(jù)聚合系統(tǒng)模型Fig.5 Power consumption data aggregation system model

需要指出的是，內(nèi)部威脅造成的數(shù)據(jù)泄露更多的是合法人員從主站系統(tǒng)大量導(dǎo)出敏感數(shù)據(jù)所致，前述計(jì)量數(shù)據(jù)泄露防護(hù)研究主要面向計(jì)量終端，難以應(yīng)對主站側(cè)數(shù)據(jù)泄漏。針對影音視頻文件的盜版現(xiàn)象，文獻(xiàn)[81]提出了基于數(shù)字水印的文件朔源識別技術(shù)，對于文本文件和數(shù)據(jù)文件也可采用文本格式或數(shù)字尾數(shù)等隱秘位置標(biāo)記水印來對失密文件朔源[82]。與計(jì)算機(jī)領(lǐng)域版權(quán)保護(hù)要求不同，竊取的數(shù)據(jù)一般只會私下牟利而不公開，該類技術(shù)同樣不適用于防止主站數(shù)據(jù)泄漏。

3 研究展望

3.1 CPPS內(nèi)部威脅的針對性防護(hù)方法

當(dāng)前，CPPS防護(hù)內(nèi)部威脅多沿用一般信息系統(tǒng)內(nèi)部威脅防護(hù)措施，未來需要結(jié)合自身特點(diǎn)針對性地設(shè)計(jì)防護(hù)方法。

3.1.1 CPPS與一般信息系統(tǒng)差異性分析

CPPS是現(xiàn)代社會的關(guān)鍵性基礎(chǔ)設(shè)施，遭攻擊破壞可能嚴(yán)重危及國家與社會安全。區(qū)別于傳統(tǒng)信息安全需求的保密性、完整性和可用性特性，在絕大部分業(yè)務(wù)場景中，CPPS對信息的可用性、完整性、機(jī)密性要求更高。應(yīng)對外部攻擊時，一般信息系統(tǒng)常用的入侵檢測、防火墻和病毒檢測等安防措施難以滿足CPPS的防護(hù)要求。與之類似的，一般信息系統(tǒng)應(yīng)付內(nèi)部威脅常用的權(quán)限管理及異常檢測，也不足以有效管控CPPS的相關(guān)風(fēng)險。

在外部威脅防護(hù)研究中，研究人員充分利用CPPS與一般信息系統(tǒng)的差異特性，提出了一些行之有效的措施。首先，利用調(diào)度數(shù)據(jù)專網(wǎng)的優(yōu)勢，在控制區(qū)邊界部署單向網(wǎng)閘，構(gòu)建了邊界安全的基礎(chǔ)；其次，利用業(yè)務(wù)系統(tǒng)為封閉環(huán)境的特點(diǎn)，采用訪問控制措施，只有得到授權(quán)認(rèn)可的設(shè)備才可接入控制區(qū)；最后，利用控制系統(tǒng)運(yùn)行環(huán)境明確固定的特點(diǎn)，設(shè)置通信IP和端口的白名單，只允許入網(wǎng)設(shè)備與限定的IP地址和端口通信。上述措施極大地降低了外部威脅滲透入侵的概率，即便攻擊滲透侵入控制區(qū)，在不具備專業(yè)知識的條件下也很容易暴露行蹤，難以實(shí)現(xiàn)攻擊破壞。

本文認(rèn)為，內(nèi)部威脅的防護(hù)完全可以借鑒前述思路，基于CPPS的差異特性提出針對性的防護(hù)措施。既有的內(nèi)部威脅防護(hù)措施主要面向一般信息系統(tǒng)中共性的內(nèi)部威脅進(jìn)行檢測防護(hù)。CPPS是執(zhí)行具體業(yè)務(wù)功能的系統(tǒng)，具有業(yè)務(wù)流程確定等特性?？梢越Y(jié)合承載的業(yè)務(wù)分析內(nèi)部威脅潛在的危害模式，進(jìn)而從業(yè)務(wù)流程等細(xì)節(jié)上來針對性地設(shè)計(jì)防護(hù)措施。

3.1.2 從業(yè)務(wù)出發(fā)的針對性防護(hù)方法設(shè)計(jì)

一般信息系統(tǒng)中，除用戶角色和權(quán)限分組外很難提煉共性特點(diǎn)來進(jìn)行內(nèi)部威脅防護(hù)。而CPPS承載具體業(yè)務(wù)功能，可以根據(jù)業(yè)務(wù)功能分析確認(rèn)內(nèi)部威脅造成破壞的模式及所要達(dá)成的目的，進(jìn)而針對性地設(shè)計(jì)防護(hù)措施。

1)基于業(yè)務(wù)的內(nèi)部威脅分析與異常檢測

營銷系統(tǒng)數(shù)據(jù)泄漏是有突出風(fēng)險的內(nèi)部威脅，具有崗位權(quán)限的工作人員同樣可能導(dǎo)出用戶信息牟利，現(xiàn)有身份權(quán)限管理機(jī)制難以準(zhǔn)確識別該類內(nèi)部威脅。

識別竊取用戶信息的內(nèi)部威脅需要給出行為異常的判別標(biāo)準(zhǔn)。該類行為可能表現(xiàn)為大量檢索和導(dǎo)出用戶數(shù)據(jù)，分析用戶訪問數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)所用的SQL語句，是判斷行為異常的一種方式。因?yàn)楦`取信息往往需要大量導(dǎo)出數(shù)據(jù)，根據(jù)用戶是否大量拷貝或郵件發(fā)送數(shù)據(jù)，是更直觀可行的異常檢測方式。

2)基于業(yè)務(wù)的內(nèi)部威脅攻擊樣本構(gòu)建

對工作人員網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，是檢測內(nèi)部威脅的重要途徑。利用深度學(xué)習(xí)可以自動提取特征項(xiàng)，可以提高內(nèi)部威脅的異常檢測效果?；诋惓５膬?nèi)部威脅檢測面臨突出的樣本不平衡問題，由于缺乏實(shí)際內(nèi)部威脅的樣本數(shù)據(jù)，目前都是采用入侵檢測等標(biāo)準(zhǔn)數(shù)據(jù)集或在其基礎(chǔ)上按特定規(guī)則產(chǎn)生的異常樣本。負(fù)面樣本的缺乏嚴(yán)重制約了基于異常的內(nèi)部威脅檢測應(yīng)用。因?yàn)橐话阈畔⑾到y(tǒng)中攻擊破壞模式不確定，該問題很難解決。

在具有確定業(yè)務(wù)功能的CPPS中，可以根據(jù)系統(tǒng)業(yè)務(wù)功能，從工作人員的目的出發(fā)分析內(nèi)部威脅的破壞模式，然后在生產(chǎn)環(huán)境或安全靶場中按設(shè)定的攻擊模式產(chǎn)生異常樣本，即可消除內(nèi)部威脅攻擊樣本不足的不利影響，提高對預(yù)設(shè)模式內(nèi)部威脅攻擊的檢測和防護(hù)效果。

3)基于業(yè)務(wù)流程合規(guī)性校核的防誤設(shè)計(jì)

操作防誤是內(nèi)部威脅防護(hù)的重點(diǎn)對象。利用實(shí)際業(yè)務(wù)往往有特定流程的特點(diǎn)，可以設(shè)計(jì)基于流程合規(guī)性校核的防誤方法。計(jì)量與營銷系統(tǒng)的遠(yuǎn)程費(fèi)控業(yè)務(wù)流程如圖6所示。執(zhí)行欠費(fèi)用戶遠(yuǎn)程停電操作前，需根據(jù)前一賬務(wù)周期凍結(jié)表碼測算本周期電費(fèi)，確認(rèn)用戶賬戶扣減電費(fèi)后余額小于零；經(jīng)審批后，方可由營銷系統(tǒng)密碼機(jī)加密再由計(jì)量系統(tǒng)執(zhí)行遠(yuǎn)程費(fèi)控，計(jì)量系統(tǒng)在遠(yuǎn)程費(fèi)控指令下發(fā)過程中僅起到透明傳輸作用。含指令合規(guī)性校核的遠(yuǎn)程費(fèi)控業(yè)務(wù)流程圖如圖7所示。

圖6 遠(yuǎn)程費(fèi)控業(yè)務(wù)流程圖Fig.6 Flowchart of tariff based remote control of meters

圖7 含指令合規(guī)性校核的遠(yuǎn)程費(fèi)控業(yè)務(wù)流程圖Fig.7 Flowchart of remote control of meters with compliance check

營銷人員盜用審核權(quán)限違規(guī)向大量用戶發(fā)起遠(yuǎn)程費(fèi)控，可能導(dǎo)致嚴(yán)重后果。簡單基于身份進(jìn)行權(quán)限管理，并不能杜絕此類問題。利用計(jì)量與營銷系統(tǒng)在業(yè)務(wù)上緊密關(guān)聯(lián)又相互獨(dú)立的特點(diǎn)，可如圖7在計(jì)量系統(tǒng)中增設(shè)電費(fèi)校核模塊，對營銷系統(tǒng)下發(fā)的費(fèi)控指令進(jìn)行合規(guī)性校核，只有電費(fèi)扣減后賬戶電費(fèi)余額小于0時才允許執(zhí)行費(fèi)控操作。因計(jì)量是與營銷相對獨(dú)立的系統(tǒng)，營銷人員違規(guī)操作難以繞過計(jì)量系統(tǒng)的合規(guī)性校核，因而可避免營銷工作人員和廠商維護(hù)人員的內(nèi)部威脅。

3.2 基于區(qū)塊鏈技術(shù)的內(nèi)部威脅防護(hù)

新型電力系統(tǒng)將形成大量分布式新能源并網(wǎng)、跨區(qū)域輸電、用戶深度參與需求響應(yīng)的環(huán)境，電力市場參與者眾多，用戶既是售電方也是購電方，內(nèi)外部邊界模糊，傳統(tǒng)的內(nèi)部威脅定義及對應(yīng)的防護(hù)措施均可能失效。

區(qū)塊鏈技術(shù)以其去中心化、安全透明、不可篡改等特性在能源市場交易中具有廣泛應(yīng)用前景。文獻(xiàn)[83]基于對自動需求響應(yīng)業(yè)務(wù)的需求分析，提出了區(qū)塊鏈技術(shù)解決方案。文獻(xiàn)[84]提出了基于有向無環(huán)圖拓?fù)涞墓轿袡?quán)益證明共識機(jī)制區(qū)塊鏈技術(shù)的分布式能源交易管理方法，確保交易市場的安全、高效、穩(wěn)定運(yùn)行。文獻(xiàn)[85]利用區(qū)塊鏈具備的數(shù)據(jù)透明性和可靠性，提出基于區(qū)塊鏈技術(shù)的多微網(wǎng)系統(tǒng)競爭博弈模型，有效減少惡性競爭，各市場主體可在完全信息條件下實(shí)現(xiàn)動態(tài)博弈。此外，區(qū)塊鏈技術(shù)的跟蹤回溯機(jī)制可從用戶側(cè)查驗(yàn)歷史行為，挖掘用戶特征，實(shí)現(xiàn)事件溯源。區(qū)塊鏈目前主要在能源交易市場應(yīng)用，未來如何在生產(chǎn)控制等系統(tǒng)中推廣應(yīng)用，協(xié)助防護(hù)內(nèi)部威脅，值得進(jìn)一步研究。

3.3 基于零信任的內(nèi)部威脅防護(hù)

云計(jì)算與物聯(lián)網(wǎng)技術(shù)的發(fā)展催生了電力物聯(lián)網(wǎng)的發(fā)展，移動辦公與業(yè)務(wù)上云在業(yè)務(wù)靈活需求下快速演進(jìn)，傳統(tǒng)的內(nèi)部威脅防御體系在電網(wǎng)向無邊界方向發(fā)展過程中愈發(fā)捉襟見肘。

零信任強(qiáng)調(diào)網(wǎng)絡(luò)邊界內(nèi)外的任何訪問主體(人/設(shè)備/應(yīng)用)在未經(jīng)驗(yàn)證前都不予信任，需要基于持續(xù)的驗(yàn)證和授權(quán)建立動態(tài)訪問信任，突破了傳統(tǒng)身份權(quán)限模型的局限性，保證了合法內(nèi)部人員基于合法受控終端通過合法應(yīng)用和進(jìn)程，發(fā)起對客體的合法訪問。文獻(xiàn)[86]在全面分析電力移動互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)險的基礎(chǔ)上，從用戶、終端和應(yīng)用多個角度設(shè)計(jì)了一個基于零信任的電力移動互聯(lián)業(yè)務(wù)安全防護(hù)框架，打破了傳統(tǒng)預(yù)設(shè)內(nèi)網(wǎng)安全假設(shè)。文獻(xiàn)[87]借鑒信任度計(jì)算和動態(tài)訪問控制，提出了一種PIoT終端零信任安全防護(hù)方案，提高了終端設(shè)備安全運(yùn)行的可靠性。文獻(xiàn)[88]針對內(nèi)部人員帶來的數(shù)據(jù)泄漏問題，提出了一種基于零信任原則的數(shù)據(jù)防御機(jī)制，并基于真實(shí)場景進(jìn)行了可行性驗(yàn)證。不少研究表明，零信任可突破傳統(tǒng)身份認(rèn)證靜態(tài)瓶頸，持續(xù)可信認(rèn)證以保證內(nèi)部操作的合法性。但是，零信任需要系統(tǒng)具備強(qiáng)大的身份驗(yàn)證機(jī)制，某些電力終端有限的計(jì)算資源可能難以滿足性能需求，另外，身份認(rèn)證的耗時可能減弱業(yè)務(wù)敏捷性，對時限要求高的場景可能并不適用。因此，選取合適的業(yè)務(wù)場景以發(fā)揮零信任持續(xù)可信認(rèn)證優(yōu)勢在內(nèi)部威脅防護(hù)中的應(yīng)用值得進(jìn)一步探討。

4 結(jié)語

CPPS系統(tǒng)中，內(nèi)部人員的誤操作、違規(guī)操作和惡意攻擊行為夾雜在大量正常行為當(dāng)中，具有隱蔽性強(qiáng)、破壞性大和檢測困難的特點(diǎn)，容易造成嚴(yán)重的攻擊破壞后果。本文圍繞CPPS內(nèi)部威脅的安全防護(hù)展開分析，開展的工作如下。

1)從內(nèi)部威脅的定義和分類出發(fā)，梳理了內(nèi)部威脅的模型、動機(jī)與異常行為分析及用戶行為檢測方面的研究，分析指出在一般信息系統(tǒng)基礎(chǔ)上發(fā)展起來的內(nèi)部威脅檢測方法和測試數(shù)據(jù)集脫離具體業(yè)務(wù)背景，存在比較明顯的局限性。

2)結(jié)合具體業(yè)務(wù)系統(tǒng)分析指出了CPPS面臨的內(nèi)部威脅；從安全規(guī)程指導(dǎo)、防誤技術(shù)研究、領(lǐng)域知識應(yīng)用、權(quán)限分配研究和數(shù)據(jù)泄漏防護(hù)等方面歸納分析了既有的CPPS內(nèi)部威脅防護(hù)方法。

3)對比CPPS和一般信息系統(tǒng)的差異，提出可利用CPPS承載具體業(yè)務(wù)的特點(diǎn)，根據(jù)業(yè)務(wù)邏輯分析潛在攻擊模式和構(gòu)建攻擊樣本，針對性設(shè)計(jì)防誤機(jī)制，并展望了區(qū)塊鏈技術(shù)和零信任在相關(guān)領(lǐng)域的應(yīng)用前景。