新型电力系统主动防御技术体系白皮书(2023)--浙大&贵大.pdf
2023.09 新型电力系统主动防御技术体系 白皮书( 2023) WHITE PAPER SECURITY OF NEW POWER SYSTEM 主编 程鹏、张镇勇、邓瑞龙 编写组成员 宋俊杰、王禀东、杨智博、邵宽、何涂哲秋、徐子东、陈光佳、朱俊彦、孟捷、赵成 成、王鑫、方崇荣、汪京培 顾问专家 苏杨、张格、张涛、刘苇、岳东、周纯杰、贾庆山、谢永芳、陈阿莲、袁捷、王皓 然、文杰 主编单位 浙江大学、贵州大学 指导单位 中国自动化学会、中国科学技术协会、中国南方电网、 CICS-CERT 国家工信安全中心、 国家电网全球能源互联网研究院、南瑞集团有限公司、南京邮电大学、华中科技大学、 清华大学、山东大学、中南大学、贵州电网有限责任公司、贵州航天云网科技有限公司、 中国自动化学会工控系统信息安全专业委员会 支持项目 科技部重点研发课题工控系统安全主动防御机制及体系研究,项目编号 2018YFB0803501;中国科协决策咨询项目工业控制系统安全国家战略研究,项目编 号 20220615ZZ08010017;国家自然科学基金重大项 目课题面向新型电力系统开放互 联业务的主动安全适配增强方法,项目编号 62293503;国家自然科学基金重点项目 面向智能电网的信息物理安全理论及主动防御技术,项目编号 61833015 前 言 工业 4.0 正在加速推进电力系统信息化进程,信息物理融合成为未来电力系 统发展的典型特征。电力系统数字化转型和智能化发展,信息技术与电力系统物 理设备紧密结合,构成了信息物理融合的新型电力系统。新型电力系统是以最大 化消纳新能源为主要任务,以坚强智能电网为枢纽平台,以源网荷储互动 与多能 互补为支撑,具有清洁低碳、安全可控、灵活高效、智能友好、开放互动基本特 征的电力系统 [1]。然而,信息物理深度融合也为新型电力系统安全带来了风险。 信息物理融合使得电力系统从传统孤立的闭环系统逐渐过渡到与外部网络相连 接的开放系统。网络安全风险在信息空间中产生,并可以通过信息和物理之间的 连接传播到物理空间。网络攻击 、恶意软件、数据篡改等来自网络空间的各种安 全威胁可能导致电力系统运行中断、设备损坏甚至引发重大事故。 近年来,针对电力系统的网络攻击屡见不鲜,说明电力行业面临的网络安全 威胁迫在眉睫。 2015 年,乌克兰电力公司遭到 Black Energy 病毒攻击,攻击者通 过控制上位机实现远程控制变电站,导致乌克兰东部地区大面积停电 [2]; 2019 年, 印度泰米尔纳德邦的核电站内网感染恶意软件,导致一座核反应堆关闭 [3]; 2020 年,委内瑞拉国家电网 765 干线遭攻击,造成全国大面积停电 [4]; 2020 年,巴西 电力公司遭 Sodinokibi 勒索软件攻击,黑客勒索赎金高达 1400 万美元 [5]。 2019 年 5 月,国家互联网应急中心发现,全国共有 139 个水电监控管理系统暴露在互 联网上,其分布于 25 省市,其中超过 47的系统存在明显的安全隐患 [6]。 2016 年 4 月,习近平总书记在网络安全和信息化工作座谈会上指出“要 树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全 方 位感知网络安全态势,增强网络安全防御能力和威慑能力。” [7]为保障新型电力 系统安全稳定运行,我国相继出台法律法规以保护电力网络基础设施和信息安全, 制定行业标准和技术规范以指导电力企业落实网络安全措施。相关部门发布了 中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和 国电力安全法信息安全等级保 护管理方法关键信息基础设施保护条例 电力行业信息系统安全基本要求电力行业信息系统等级保护定级工作指导 意见电力行业监控系统安全防护规定电力设备安全技术规程、 GB 17859- 1999计算及信息系统安全保护等级划分准则、 DL/T 1234-2013电力系统安 全稳定计算技术规范等相关文件。 在新型电力系统加速智能化的背景下,关注新型电力系统安全防护问题显得 尤为重要。针对已知的电力系统风险,新型电力系统根据多年的运行经验积累建 立了一套防护体系,主要包括面向物理系统和信息系统的防护。然而, 由于攻防 信息不对称性、认知逻辑缺陷、防护方案与电力系统可用性需求冲突等问题,现 有防御 技术 体系难以为新型电力系统提供全面有效的深度保护。为解决现有防御 技术 体系的不足, 迫切需要研究 基于主动防御方法与技术的新型防御 技术 体系。 主动防御方法与技术包括拟态防御、可信防护、内生安全等,具备动态可靠、适 配性强、多维防御的特点,被认为是解决新型电力系统安全问题的潜在方案,协 调识别、保护、检测、响应等多个 环节 ,实现新型电力系统全生命周期一体化的 主动协同 安全 防御。 本白皮书总结新型电力系统中存在的已知和未知威胁,结合新型电力系统 的 安全防护要求,设计了“识别 Identification-保护 Protection-检测 Detection-响 应 ResponseIPDR”一体化的新型电力系统主动安全防御技术体系,提出一套 新型电力系统的主动防御参考模型,持续提升新型电力系统应对各类安全威胁的 防御能力。 本白皮书 旨在为新型电力系统安全领域的研究和探索做出贡献,推进新型电 力系统安全技术的发展。为新型电力系统安全领域的研究者、从业人员和相关利 益方提供指导和借鉴,促进知识的共享和交流。同时 , 呼吁政府、企业和研究机 构加强合作,共同推进新型电力系统安全技术的发展和标准制定,为智慧能源时 代的安全构建坚实基础。 目录 01 新型电力系统及其网络架构 ⚫ 新型电力系统背景 01 ⚫ 新型电力系统介绍 02 ⚫ 新型电力系统网络 05 02 新型电力系统安全问题与挑战 ⚫ 安全风险分析 13 ⚫ 安全防护现状 17 ⚫ 安全防护需求 20 ⚫ 安全防护规范 26 ⚫ 安全防护挑战 30 03 新型电力系统主动防御技术体系 ⚫ 信息系统安全防御技术体系 45 ⚫ IPDR 一体化主动防御模型 47 ⚫ 新型电力系统 IPDR 关键技术 ,50 ⚫ IPDR 主动防御技术体系优势 74 04 新型电力系统 IPDR应用方案 ⚫ 识别信息网络漏洞扫描与分析模块 76 ⚫ 保护电力系统安全保护模块 78 ⚫ 检测电力安全入侵检测模块 80 ⚫ 响应电力安全恢复响应模块 81 第一章 新型电力系统及其网络架构 - 1 - 01 新型电力系统及其网络架构 1.1 新型电力系统 背景 2021 年 3 月 15 日,习近平总书记在中央财经委员会第九次会议上对能源电 力发展作出了系统阐述,首次提出构建新型电力系统。新型电力系统是以确保能 源电力安全为基本前提,以满足经济社会高质量发展的电力需求为首要目标,以 高比例新能源供给消纳体系建设为主线任务,以源网荷储多向协同、灵活互动为 坚强支撑,以坚强、智能、柔性电网为枢纽平台,以技术创新和体制机制创新为 基础保障 的新时代电力系统,是新型能源体系的重要组成和实现 “双碳 ”目标的 关键载体 [8]。 图 1-1 电力系统模型 [9] 电力系统 是当今世界规模最大的人造动态复杂网络 系统,如图 1-1。其中, 第一章 新型电力系统及其网络架构 - 2 - 物理系统主要涵盖发电、输电、变电、配电、用电等系统;信息系统主要包括信 息采集、传输、存储、处理、应用等数据分析与处理系统;业务系统主要涵盖电 网规划、调度交易、系统运维、安全生产、协调控制等业务过程 [9]。 电力系统的发展经历三个阶段 传统电力系统阶段 。在电力系统发展早期,信息处理方式主要 以手工处理为 主,模拟信息仅有少量存在于继电器中,信息处理效率低、速度慢、能力弱。 信息电力系统阶段 。电力系统大量使用计算机作为信息处理工具,信息开始 以数字形式存在,但数字信息具有分散、局部、离线等特征。 数字电力系统阶段 。电力系统信息处理方式进入信息化、智能化时代,信息 系统以新一代数字技术实现大规模数据采集、传输、存储、处理、应用等,高效 的信息系统促进了物理系统与业务系统建立更深入、更广泛的联系和融合,信息 系统、物理系统、业务系统逐步形成一个有机的整体。当前,电力数据与社会数 据高度融合互动,数字电力系统 逐步演进为具备特大规模数字化服务能力的融合 型关键信息基础设施,电力系统发展进入信息化、智能化的新型电力系统时代。 1.2 新型电力系统介绍 化石能源的储量限制和国家战略的迫切需要,新能源获得了快速的发展,传 统电力架构越来难以支撑电网电建。用电侧随着经济和人口的增长,电力负荷 持续飙升,给电力系统的平衡和稳定性带来了巨大挑战。虽然采取有序的用电指 令可以在一定程度上缓解电力紧张,但对正常的经济生活仍一定影响,比如限制 工业和商业用电,导致生产活动无法正常进行。发电侧恶劣天气的影响以及燃 料价格的上涨,都给传统发电 方式带来了很大的挑战。例如,燃煤或燃气发电站 第一章 新型电力系统及其网络架构 - 3 - 因为天气原因无法正常运作,同时,燃料价格的上涨也会增加发电成本。这些原 因将导致局部地区电力紧张,甚至出现电力短缺。电网侧新能源的大量接入, 对电力系统的安全构成了巨大威胁。例如,风能和太阳能等新能源的输出不稳定, 可能会对电网的稳定运行产生影响。此外,如何有效地管理和调度这些新能源的 输出,也是电网侧面临的一个挑战。为解决上述问题,传统电力系统亟需向新型 电力系统转型。 新型电力系统是以承载实现碳达峰碳中和,贯彻新发展理念、构建新发展格 局、推动高质量发 展的内在要求为前提,确保能源电力安全为基本前提、以满足 社会经济发展 中 电力需求为首要目标、以最大化消纳新能源为主要任务,以坚强 智能电网 作 为枢纽平台,以源网荷储互动 和 多能互补为支撑,具有安全可控、灵 活高效、清洁低碳、智能友好、开放互动 等 基本特征的电力系统。 新型电力系统 具有多能互补打破新能源发展瓶颈 、 多态融合打造更多新场景 、 多元互动 新增产 消群体 三个 特征 [10], 具体如下 ( 1)多能互补打破新能源发展瓶颈 新型电力系统中的多能互补,是指通过将不同种类的能源进行协同和优化配 置,以满足电力系统的多元化需求。 能源侧将在大时空尺度下进行优化配置,水 利发电的定位由电量向容量转变,发挥其消纳不稳定能源的优势。光伏发电将逐 渐称为发电主力军,风力发电也将进入加速发展阶段,形成风光水火储一体化供 能,可解决光伏 发电 与风能发电的随机性 和 波动性问题,推动西南水资源丰富地 区能源清洁化、绿色化转型。负荷侧实现电、气、氢、热、冷等应用场景的互补 融合,局部区域多能协同。同时电网中信息流与能量流的深度融合,将促进传统 工业耗能架构向源、网、荷、储多位一体转型。 第一章 新型电力系统及其网络架构 - 4 - ( 2)多态融合打造更多新场景 新型电力系统中的多态融合 是指 能源产业逐步呈现分布式 、分散化、去中心 的综合协调生产趋势,催生出 “多杆合一 ”“多站融合 ”等 新 场景 。新型电力系统电 网 向 特高压主电网与微电网、局域网融合,交流大电网与交直流配电网共存 的趋 势发展 。微电网 的接入 可以 解决 分布式能源的就近消纳 问题 , 可节省大量 输变电 投资和运行费用; 还可 与主电网 形成 补充,减小 整体 电网容量,提高供电 的 可靠 性。新型电力系统行业以传统变电站结构为基础, 逐步 实现储能电站、光伏电站、 数据中心、北斗基站和虚拟电厂等 单元 的深度融合。虚拟电厂指利用通讯技术和 信息采集技术,对广域空间内的新能源发电 单元 、分布式负荷 单元 以及储能 单元 进行信息物理深度融合,实现对分布式 能 源生产、储存及消纳的综合 调度 和有效 利用。对于电力市场,虚拟电厂可实现 对 分布式 资 源 的 快速整合, 无视 地理 区域 制约 ,有利于资源合理运用及优化配置。 ( 3)多元互动 新增产消群体 新型电力系统 中电网负荷多元化,分布式光伏发电 、 电动汽车以及充电桩 的 接入 提升了用户对电网 容量 的调节能力。多元负荷 单元 以及分布式储能 设备 的大 量并网, 使得 消费者的身份从单纯的 用电方 向具有 对 电网双向调节能力的“产消 者”转变。据 统计 预测,到 2025 年 我 国新能源汽车保有量将达到 2500 万辆,其 电能 转化 量可达 1000 亿千瓦时,与相应的充电桩 部署 ,将达到 1400 万根。与此 同时, 可实现 电网调峰调频的电力辅助市场 可 调节电网出力、 控 制 新 能源所造成 的电网波动。电力辅助市场不仅能够 有利于新 能源的消纳,也可为 电力 市场提供 经济补偿,提高 社会总福利 。 第一章 新型电力系统及其网络架构 - 5 - ( 4) 新能源互联网未来可期 新型电力系统的 构建 伴随 着 电源侧、负荷侧和用户侧的 改 革 和 重组。发电侧 逐步 形成以新能源为主体的多能互补电力供给系统;电网侧 呈现 “主电网 微电网 ” 的电网形态 , 增强了区域消纳 新能源 能力的同时提升了电力系统的稳 定性 。 同时, 数字电网 的 兴起 也为网荷储协调互动提供了保障;负荷侧 以 多元化的电网负荷 构 建 了以电能为核心的综合能源消费体系。新型电力系统的构建要以确保能源电力 安全为基本前提,以满足经济社会发展电力需求为首要目标,以坚强智能电网为 枢纽平台,以源网荷储互动和多能互补为支撑,构建低碳清洁 新 能源互联网, 为 新型电力系统的安全稳定运行提供数据信息保障 。 1.3 新型电力系统网络 新型电力系统旨在利用先进信息通信技术和智能化控制手段,提升能源利用 经济性、系统运行可靠性和产业发展可持续性。新型电力系统网络由电力网络与 信息网络构成 ,如图 1-2,电力网络包含各种能源基础设施,如发电系统、输电 系统、配电系统、用电系统等,实现能量流动,以保障电力供应;信息网络包含 控制中心、通信网络、监控与数据采集系统、远程终端单元、智能电力设备、可 编程序逻辑控制器、相量测量单元等,实现信息流动,通过对电力网络物理系统 运行数据采集与传输、状态估计与预测、实时反馈与控制等以保障电力的稳定供 应。 第一章 新型电力系统及其网络架构 - 6 - 图 1-2 新型 电力系统 网络 模型 1.2.1 电力网络 ⚫ 发电系统 将各种能源形式(如化石燃料、风能、太阳能、水能等)转换为电能的装置 或系统。新型电力系统中的发电设备具有多样化、小型化和分散化的特点,以采 用更加环保和可持续的方式生成电能,减少对传统化石燃料的依赖,并促进清洁 能源的使用。分布式能源系统中的发电设备规模较小,分布在用户附近,接近能 源需求点,与传统的集中式发电站相比,消除了远距离输电损耗和可靠性问题。 ⚫ 输电系统 将发电设备输出的电能从发电站传输至用户所在地的系统,由高压输电线路 及其附属设备组成,其主要包括输电线路、支撑电塔、变电站、变压器、断路 器等。 第一章 新型电力系统及其网络架构 - 7 - ⚫ 配电系统 配电系统负责将电能从变电站传输到各个用户,包括配电变压器、配电线路 和配电设备(如配电盘、开关等)。配电层将电能分配到生产厂区、医院、校园、 居民区等,以满足各个用户的需求。 ⚫ 用电系统 经配电系统将电压转换成适合用户使用的电压,以供不同用户的使用。用电 是指最终用户在家庭、商业、工业等场所使用电能的过程。用户通过连接电器设 备、开关和插座等设备来获取所需的电能,并用于照明、通信、加热、制冷、生 产等。用户的用电量通过用电设备产生和计量,主要计量设备包括智能电表、负 载传感器、功率计等。 1.2.2 信息网络 ⚫ 控制中心 调度控制中心是 电力系统 信息处理、监视和控制的中心机构,是数据分析与 处理平台、反馈与控制系统等电力业务的载体。根据电力系统当前运行状 况和预 测的变化进行判断、决策和指挥。由于系统庞大、任务繁重、能源分布式等问题, 传统集中控制模式难以满足当前新技术新业务下的新需求。因此,分层控制已成 为新型电力系统的主流控制模式 [11]。例如,国家电网设有全系统的调度中心,称 为国调。相应的各省设有省级调度中心,称为省调。省级调度中心下又有各地区 调 度所。各级调度所在“统一调度,分级管理”的原则下对所辖区域进行调度和 管理。各调度中心之间通过通信网络进行数据交互、信息共享和指令下发。 1 国家电力调度中心 第一章 新型电力系统及其网络架构 - 8 - 国家电力调度中心,简称国调,是我国电网调度的最高级(如 国家电网公司 , 南方电网不属于国家电网管辖),在该中心,通过计算机数据通信与各大区调度 中心相连接,协调确定各大区之间的联络线潮流和运行方式,监视、统计和分析 全国电网的运行情况。 2 省局调度中心 省局调度中心,简称省调 。 省调也称中调,是各个省的电力调度中心,通常 情况下发电计划逐级分配,总调安排中调的发电计划,中调安排各区域的发电计 划 。 对于大型的发电站 /变电站或有重要作用的发电站 /变电站,会由中调甚至总 调 直接调度 , 于是有总调直调电厂的说法。 3 地局调度中心 地区调度中心,简称地调(各省地级市电力局、电业局、供电局),采集当 地 电 网的各种信息,进行安全检测,进行有关站点开关的远方操作,变压器分接 头的调节,电力电容器的投切等。 调度控制中心之间通过调度数据网、综合数据网进行数据传输和信息交换。 这些通信网络使用先进的通信技术,包括光纤通信、微波通信和卫星通信等,以 确保快速、可靠的数据传输和迅速的决策响应。 如图 1-3, 通过这样的通信关系, 不同级别的控制中心可以实现全面的电力系统监控、调度 、 运行和管理。 第一章 新型电力系统及其网络架构 - 9 - 图 1-3 我国电力系统调度分层控制示意图 ⚫ 通信网络 1 通信设备与协议 作为信息流的载体,通信设备及其协议是新型电力系统信息网络的重要组成 部分。常见的电力系统通信设备包括 1 光纤通信设备如光端机、光转换器等,用于传输高速率、大容量的模 数信号信息,支持点对点、环形、星形等多种组网方式。 2 无线通信设备如无线路由器、无线网桥等,用于在移动环境中实现设 备之间的无线通信连接,适用于远程监控、数据采集等应用场景。 3 电力线载波通信设备如调制解调器、电力线网卡等,利用电力线作为 通信介质,实现设备之间的通信连接,具有无需布线、降低成本等特点。 4 串口通信设备如串口服务器、串口转换器等,用于支持串口设备与其 他通信设备之间的通信,包括 RS-232、 RS-485 等多种接口类型。 第一章 新型电力系统及其网络架构 - 10 - 5 数据网关设备如路由器、交换机等,用于在不同网络之间进行数据转 发和路由,支持多种网络协议和接口类型,实现网 络之间的互联互通。 6 其他通信设备如卫星通信设备、微波通信设备等,用于在特殊环境下 实现通信连接,满足长距离、高速率等需求。 常见的电力系统通信协议包括 1 MODBUS一种串行通信协议,用于连接电子设备,包括自动化控制系 统和仪表系统,用于不同设备之间的通信和数据交换 [12]。 2 Ethernet/IP一种广泛的、全面 的、可认证的应用层协议,在电力系统中 被广泛用于电力监控与控制,连接电力监控系统、 SCADA 系统和 PLC 等 [13]。 3 DNP3一种通信协议,用于监控系统和自动化设备之间的数据交换,被 广泛应用于电力系统中 [14]。 4 Profinet新一代基于 工业以太网技术 的自动化总线标准,可以完全兼容 工业以太网 和现有的 现场总线 。 5 GOOSE又名通用面向对象变电站事件协议,是国际电工委员会 IEC 61850 标准套件的一部分,其中规定了变电站事件的通信方式。 6 C37.118电力系统中使用的通信协议,用于测量和控制设备之间的广域 网通信,定义了数据格式和通信要求,支持高速数据传输和同步采样。 7 ICCP一种用于不同电力控制中心之间的通信协议,允许跨辖区进行数 据交换和共享,实现电力系统的协调运行和控制。 2 监控与数据采集 supervisory control and data acquisition, SCADA 第一章 新型电力系统及其网络架构 - 11 - SCADA 系统是一种用于监控和控制远程设备和过程的系统 [15]。 SCADA 主 要包含以下功能 1 数据采集 SCADA 系统通过传感器、遥测装置等采集现 场设备和过程的数据,这些数据可以包括电压、电流、功率、频率等各种参数。 2数据传输采集到的数据需要通过通信网络传输到控制中心。传输方式可以采 用有线通信 如以太网、串口等 或者无线通信 如无线局域网、 GSM、 GPRS 等 。 3 数据处理控制中心接收到数据后,进行数据处理和分析,包括报文解析、 数据校验、数据转换等过程。处理后的数据可以存储在数据库中,以供后续查询 和分析。 4 控制命令下发通过 SCADA 系统,操作员可以向远程设备发送控 制命令,包括开关状态改变、参数设置 、报警信号等,这些命令通过通信网络传 输到远程设备进行执行。 5 实时监控 SCADA 系统可以实时对远程设备和过 程进行监控。控制中心可以接收远程设备的状态信息、报警信息等,并实时显示 在操作界面上。同时, SCADA 系统还可以进行实时趋势分析、报表生成等。 6 报警处理如果远程设备或过程出现异常, SCADA系统通过通信网络发送声音、 图形、短信等报警信息给操作员,操作员可以及时采取相应措施。 3 远程终端单元( Remote Terminal Unit, RTU) RTU是安装在通信网络中的智能控制和通信设备,实现对 设备的远程监测、 操作。 RTU 与 SCADA 系统相连,将电力系统现场侧运行数据进行采集和转发, 并由 SCADA 传输到控制中心。 4 智能电子设备( Intelligent Electronic Device, IED) IED 是具有计算、通信和控制功能的电子设备,可以实现对电力系统的智能 监测、管理和优化。常见 IED 设备包括智能电表、智能计量仪表、智能开关和保 护装置、智能变压器、储能系统及智能电池充电设备等。这些设备互相之间或与 第一章 新型电力系统及其网络架构 - 12 - 远程终端单元进行通信,对网络要求高可靠、低延迟。例如,当线路过载时,断 路器需及时断开线路以避免火 灾。 5 可编程逻辑控制器( Programmable Logic Controller, PLC) PLC 被广泛用于电力系统自动化控制和监测,基于数字计算技术,具有高度 可编程性和灵活性,可用于执行复杂的控制逻辑和算法。 IED 用于电路保护(如 断路器), PLC 用于系统控制。控制中心通过 SCADA 向 PLC 发送控制命令, 可以实现如下功能自动控制、监测与数据采集、通信与协调、故障检测与报警 等。 6 相量测量单元( Phasor Measurement Unit, PMU) 一种高精度、实时测量电压、电流相位及其变化速度的设备,采 用 GPS 同 步技术,能够以非常高的时间分辨率(通常为 1 毫秒或更低)采集电力系统各节 点的相量数据。 PMU 在新型电力系统中的应用,能够有效提升电力系统的监测、 控制和故障诊断能力,为电力系统智能化和自适应运行奠定基础。 基于电力网络和信息网络双层网络结构,能量流与信息流各自流动但相互关 联,使得新型电力系统的信息空间与物理空间深度融合。通过 SCADA 系统,采 集系统实时运行数据,并进行数据分析与处理,为后续应用提供可靠的数据基础; 通过能源管理系统,实时监测和控制电力系统的运行状态,实现分布式能源资源 的最大化利用,并及时 发现和处理潜在问题,防止事故和故障发生,提高电力系 统的可靠性和安全性;通过电力市场交易平台,实现能量、信息、数据的交易和 结算,优化能源供应成本,降低输电线路拥塞,实现新型电力系统运行的智能化。 第二章 新型电力系统安全问题与挑战 - 13 - 02 新型电力系统安全问题与挑战 2.1 安全风险分析 新型电力系统由电力网络和信息网络组成,实现能量流和信息流的流动和交 互。分布式、多样化的能源结构使得新型电力系统呈现出信息物理深度融合的态 势,如单台发电机有上千个传感器,采集的数据将会共享至多个控制中心,甚至 跨越多个省市。能源供应小型化、分散化使得原本封闭的发电、输电、配电、用 电逐渐开放化。信息物理融合带来的双向互动和协同,使得新型电力系统面临前 所未有的安全风险。信息物理威胁相互耦合、交叉影响,单一的信息或物理防护 难以应对跨越信息物理空间的协同威胁。 2.1.1 风险特征 针对 新型电力 系统的攻击呈现出 信息物理 协同、威胁来源复杂 、攻击目的多 样 、 攻击过程持续 等 特征。 信息物理协同 攻击者通过网络侧攻击修改电力系统数据,包括运行数据、 测量数据等。导致系统管理员无法准确判断电力系统的状态和运行情况,产生错 误决策,对电力系统的稳定性和安全性产生直接影响。此外,电力系统作为关键 基础设施,攻击者可通过电力系统入侵其他行业的网络,或者通过其他行业的网 络入侵电力系统,从而对整个社会基础设施产生连锁反应。 威胁来源复杂 新型电力系统庞大且复杂,融入了大量的新技术,攻击可能 第二章 新型电力系统安全问题与挑战 - 14 - 来自不同类型的威胁源 1 外部攻击。来自黑客、网络犯罪分 子、恶意竞争对 手和国家级的网络攻击团队等具有高级的技术知识和资源的外部攻击者; 2 内 部威胁。内部员工滥用权限、窃取敏感信息、篡改数据或干扰系统操作,由于攻 击者具有合法访问权限,内部威胁通常更难被检测和阻止; 3 物理攻击。包括 破坏设备、截断电力供应、引发火灾或爆炸等; 4 网络攻击。通过恶意软件 如 病毒、木马、勒索软件等 ,攻击者可以远程控制电力系统组件、窃取数据、加密 文件或瘫痪系统; 5 社会工程攻击。攻击者通过社交工程技术欺骗用户、员工 或管理员,获取敏感信息或非法访问权限,常用手段包括钓鱼邮件 、电话诈骗、 冒充身份和欺骗攻击。 攻击目的多样 1 经济利益。攻击者通过篡改电表读数、窃取用户个人信 息、非法操纵市场交易等,以获取经济利益; 2 窃取机密。攻击者窃取用户隐 私数据、能源使用模式、商业机密等用于其他非法活动; 3 破坏基础设施。攻 击者直接破坏电力系统基础设施,如变电站、通信网络或控制中心,对整个电力 系统造成严重破坏,并导致长时间的停电; 4 政治和恐怖主义目的。攻击者为 达到政治目的或恐怖主义动机,通过攻击电力系统来传递政治信息或制造恐慌, 包括瘫痪城市供电系统、干扰国家能源供应等,造成 社会和经济混乱。 攻击过程持续 针对新型电力系统的攻击不仅发生在某一次短暂的事件中, 而是以持续、渐进的方式进行。攻击者通过设备、软件漏洞或者后门长期保持对 系统的控制,并持续进行非法活动。为逃避检测或阻断,攻击者采用隐蔽和隐匿 的方式进行,如使用高级持久性威胁技术,隐藏在合法流量中,规避安全监测系 统的侦测,并持续地探索系统的弱点和漏洞。 为提高新型电力系统的网络安全水平,亟需采取一系列安全措施,建立建全 第二章 新型电力系统安全问题与挑战 - 15 - 安全防护体系、实施加密技术、使用安全认证和身份验证技术等。需要加强对网 络安全风险的识别和攻击检测,及时响应威胁 事件和漏洞,并加强通信网络的安 全管理和保护。 2.1.2 风险识别 电子通信技术和计算机技术 在新型电力系统中的应用 ,会涉及大量的敏感信 息和 安全 权益。安全风险是 新型电力系统 面临的主要挑战之一 ,物联网设备、通 信协议、系统业务都存在安全风险。经过现场调研和对电力系统网络信息安全的 深入分析,新型电力系统面临的安全风险如下 ⚫ 设备安全风险 电力系统 中的 漏洞 难以避免 , 且 多为能造成远程攻击、越权执行的严重威胁 漏洞 ,并且 漏洞数量呈快速增长趋势。 电力 系统通讯协议种类繁多,系统软件难 以及时升级、设备生命周期长 、 系统补丁兼容性差等现实问题,造成电力系统补 丁管理困难,难以及时处理严重的漏洞。许多 电力 软件健壮性较差,只能运行在 操作系统的某个特定版本上, 系统 升级导致 关键设备、软件、协议 无法使用。 ⚫ 协议安全风险 电力通信协议或规约在设计时通常只强调通信的实时性和可用性,对安全性 考虑不足,比如缺少足够强度的认证、加密等。尤其无线通信协议,更容易遭受 第三者的窃听和欺骗性攻击。为保证数据传输的实时性,部分通信协议多采用明 文传输,易被攻击者劫持和修改。 ⚫ 业务 安全风险 新型 电力系统的正常运行离不开各业务系统,如监控与数据采集系统、生产 第二章 新型电力系统安全问题与挑战 - 16 - 与调度系统、安全监控与报警系统、电力市场管理系统等。各业务系统承担着不 同的关键功能和任务,针对业务系统的攻击可能导致业务功能丧失,影响电力系 统的稳定运行。如利用业务软件逻辑漏洞和算法缺陷执行错误数据注入、 SQL 注 入、拒绝服务、对抗样本等攻击,导致业务系统运行错误,甚至功能丧失。 ⚫ 防护边界风险 网络边界安全防护对管理依赖度较高,实时监视和闭环管控力度不足 。已有 技术手段只能覆盖网络边界上的防护设备,不能全面监控系统内部的服务器、工 作站和网络设备,不能全面监测外部网络访问、外部设备接入、用户登录、人员 操作等事件,不能实现网络安全监视报警、分析定位、追踪处置、审计溯源、风 险核查和协同管控。 ⚫ 供应链安全风险 新型电力系统的供应链安全也是一个重要的关注点。电力系统供应链复杂, 不可靠的供应商可能会给攻击者提供可乘之机。攻击者可能通过植入恶意代码、 硬件后门等方式在供应链环节实施攻击,危及电力系统的安全性。 ⚫ 安全管理风险 缺少分层分级的安全管理 机制 ,导致管理难度增大 。在电 力行业,各类工作 站、服务器和网络设备规模数量大,需要统一管理平台进行管理;在电力系统资 产管理、安全策略管理、账户管理、配置管理、日志管理、日常操作等方面缺乏 统一的技术手段和管理方法,也无法对日志、监测和报警数据等进行分析和统计。 ⚫ 人员管理风险 电力系统员工缺乏网络安全知识,安全防护意识淡薄,相关安全技术匮乏, 第二章 新型电力系统安全问题与挑战 - 17 - 安全技术操作不熟练。外部人员容易造成无意操作、错误操作、非法操作。 综上所述,由于 新型 电力系统的 关键 性和复杂性,必须整合各种安全技术和 理念, 需要 构建完善的安全防御 技术 体系来保障 新型 电力 系统 的信息安全。同 时, 政府和相关机构应加强监管和管理,确保新型电力系统 安全防护 遵循 法律 规章, 提高电力系统的安全 性 和稳定性。 2.2 安全防护现状 2.2.1 物理防护 物理系统的 防护 体系是针对电力系统发生自然或者人为故障时,电力系统如 何提前预防或及时响应以保护物理系统运行,保证供电能力。由于电网物理系统 是高度非线性的复杂时变系统,各项 防护 技术之间具有紧密的耦合关系,需要多 种 防护 技术的有机协同配合,才能有效保障 电力系统 物理安全 。 物理防护以国家电网合规管理制定的三道防线为主 , 意在通过不同的控制手 段降低故障造成的损失 [16],如图 2-1 所示 。一般故障发生时,由第一道防线保证 供电不中断;严重故障发生时,由第二道防线保证不失去系统的完整性;特别严 重的故障发生而被迫解列后,由第三道防线尽量减小停电规模和停电时间并恢复 供电。第一道防线由继电保护装置快速切除故障元件,最直接最有 效地保证电力 系统暂态稳定 。 第二道防线采用稳定控制装置及切机、切负荷等措施,确保在发 生大扰动情况下电力系统的稳定性 。 第三道防线 是指 当电力系统遇到多重严重故 障而 造成 稳定 性被 破坏时,依靠失步解列装置将失步的电网解列,并由频率及电 压紧急控制装置保持解列后两部分电网功率的平衡,防止事故扩大 。 第二章 新型电力系统安全问题与挑战 - 18 - 图 2-1 物理防护三道防线 第一道防线是在不损失电源和负荷的前提下,保证系统在不严重故障下的稳 定性。例如 , 在规划建设期间加强电网结构,或在正常运行期间启停发电机组, 调整发电功率,采用电力系统稳定器、并联和串联电容补偿控制、直流输电功率 调制、动态无功补偿装置和静态无功补偿器等技术。一旦发生故障,继电保护装 置以最小的停电范围将故障 或越限 设备从电网中快速隔离,以扩大稳定域。如 果第一道防线已经将系统的运行点引导到预想故障所对应的稳定域内,则一旦该 故障发生,不必采用其他措施就可以保持系统稳定。 第二道防线是减少系统在严重故障下失稳的风险。如果预防控制会使系统运 行经济性太差,或者不同的故障对预防控制提出相互矛盾的要求时 ,依靠第一道 防线来保证系统的稳定性并不可行。此时只能在检测到故障后实施以切除部分电 源和负荷为代价的紧急控制,如连锁解列、切机、切负荷、强励、强补、快关汽 门、动态制动。紧急控制只有在故障已经发生并可能导致失稳时才被执行,故虽 然每次动作的代价较大,但平时并不需要付出控制代价。紧急控制措施在故障后 实施得越早,效果越好。一旦判明故障的有关特征,就应该根据实际工况立即实 施决策表中的相应措施。为了在保证系统稳定的前提下尽量减少控制代价,必须 第二章 新型电力系统安全问题与挑战 - 19 - 提高对控制效果的预测精度。由于后者强烈依赖于故障前的工况,因此紧急控制 的决策表的 事先制作和实时匹配都必须基于广域信息。 第三道防线是弥补前 两 道防线的欠控制或拒动造成的风险,避免系统在极其 严重的故障下发生大停电。由于紧急控制的决策表要根据事先指定的典型工况和 故障来索引,而故障表又不可能涵盖所有潜在的故障,因此 , 如果实际工况 (或 故障场景) 的匹配误差太大,甚至完全失配,则第二道防线可能严重欠控制。此 时,只能依靠第三道防线来制止停电范围的扩大。显然,第三道防线不再能按工 况和故障的组合来选择控制措施,而必须由系统变量的实际动态行为来触发。例 如 , 在检测到失步后立即启动振荡解列,以及检测到过长时间的 低频现象后分轮 次切负荷等。由于是在不安全现象出现后才采用的措施,故称之为校正控制。 2.2.2 信息防护 随着电力系统由传统电力系统 信息电力系统 数字电力系统的发展进程, 我国电力系统网络安全防护理念经历了三个阶段的演变 [17]。 ⚫ 结构性安全防护机制 我国 早期 电力系统信息安全防护总体策略 “安全分区、网络专用、横 向隔 离、纵向认证 ”。规定电力调度数据网只允许传输电力调度生产直接相关的数据, 必须与公用信息网络在物理层面安全隔离,从而提出