王 胜，张 颉，唐 超，张凌浩，王 海，唐 勇，柴继文，郑永康，邓 平，曹亮，柯亚文

(1. 国网四川省电力科学研究院，四川成都 610072；2. 国网自贡供电公司，四川自贡 643000；3. 国网甘孜供电公司，四川甘孜 626700； 4. 重庆大学大数据与软件学院，重庆 400044)

随着计算机科学和通信技术的发展，传统变电站的运营形式已无法满足需求，国家电网提出了发展建设智能电网的目标，国内大量智能变电站的新建和改造工程也正在进行中。相比于传统的变电站，智能电网中的智能变电站采用了安全、集成度高、环保的设备，站内信息一体化、数字化，通过中国DL/T 860(IEC 61850)标准进行信息共享，建设智能电网已经成为了国家新能源战略的重要环节[1]。

智能变电站，作为智能电网的核心节点，其安全的重要性自然不言而喻，一旦出现问题，后果可能是灾难性的。一些不法分子也可能利用黑客技术窃取智能变电站的相关信息，使国家资产蒙受损失。因此，分析变电站存在的风险，确保智能电网信息安全是重要目标[2]。

智能变电站可能面临的信息安全风险来自多个方面，包括信息和控制系统的信息安全风险、通信协议方面的信息安全风险、运维信息安全风险和人员信息安全风险，其中信息和控制系统的信息安全风险是关注的主要内容，即由站控层、间隔层操作系统漏洞和部分主流工业控制系统漏洞导致的信息安全风险。

研究详细阐述了一些关于智能变电站信息安全风险分析的方法和智能变电站信息安全风险分析管理子系统从设计到实现的思路和过程，有助于提高对智能变电站信息安全风险的分析、管理和预警能力。

1 智能变电站信息安全风险

1.1 传统的信息安全风险概念

信息安全风险是指在信息化建设进程中，各种类型的系统网络及其中存储和传输的数据信息，由于可能存在的软硬件、系统集成等各种缺陷，以及信息安全管理流程中潜在的薄弱环节，导致的不同程度的安全风险。

1.2 面向智能变电站的信息安全风险概念

1.2.1 智能变电站基本概念

智能变电站是使用智能设备，能实现信息采集自动化、按标准进行信息共享，同时具备基本的测控、采集、保护等功能的新一代变电站。

智能变电站的总体结构从上而下依次为站控层、站控层网络、间隔层、过程层网络和过程层。站控层主要包括远动站、数据和应用服务器、对时服务器、通信网关等。间隔层主要包括继电保护装置、录波装置、测控装置等。过程层主要包括合并单元、智能终端和组件等。两网：站控层网络主要实现站控层内部设备间以及站控层和间隔层设备之间的通信。过程层网络主要实现间隔层设备和过程层设备之间的数据传输。

1.2.2 智能变电站的信息安全风险

随着计算机通信和网络技术的发展，智能变电站逐渐替代了传统变电站，成为了变电站未来的发展方向。但在广阔发展前景的同时，智能变电站的安全问题也逐渐引起关注，来自传统网络空间的安全威胁以及有针对性的工控系统攻击手段已经日益严峻地影响到电力系统的信息安全。如何监测、评估、管理智能变电站中存在的漏洞和风险，保证智能变电站的可靠性成为了重要研究内容[3]。研究选择并改进了基于CML的连锁故障模型，结合采用CVSS评分标准基于机器学习方法的漏洞评估模型，对智能变电站整体安全风险进行分析评估并给出相应的改进意见。

2 相关工作

2.1 智能变电站信息安全风险分析的传统方法

随着电力需求的逐步增长以及国家电网提出建设智能电网的发展目标，几批国家变电站试点工程的成功使得智能变电站建设中不仅强调技术创新和经济效益，智能变电站本身的安全和可靠性更是被纳入了重要目标。为此，如何利用智能变电站的漏洞信息对其存在的安全风险进行评估也成为重要研究内容。

在实际的智能变电站信息安全风险分析过程中，大多还是利用传统的信息安全风险评估流程(如图1所示)，首先识别资产，然后评估威胁和脆弱性，以此得出影响和可能性，最后利用影响和可能性计算风险值[4]。

图1 传统风险评估流程Fig1 Traditional Risk Evaluation Process

2.2 引入机器学习后的风险模型选择

常用的风险及威胁分析方法包括：微软STRIDE模型、基于风险传递网络的风险评估模型、基于机器学习的安全风险评估，基于CML的连锁故障评估模型。其中基于机器学习的安全风险评估又包括基于支持向量机(SVM, support vector machine)的评估模型、基于C4.5决策树评估模型、基于BP神经网络评估模型、基于朴素贝叶斯的评估模型、基于K近邻(KNN, k-nearest neighbor)算法的评估模型(如表1所示)。

表1 模型分析

分析以上模型方法的优缺点之后，决定采用基于CML的连锁故障评估模型应用于智能变电站信息安全风险分析。

3 智能变电站信息安全风险分析方法

在IEC61850标准中，设备节点(LN, logical node)是实现功能的基本单位，同时也是数据对象的容器，变电站的自动化系统功能的实现依赖于不同的设备节点之间的信息交互，而在智能变电站的信息网络中，设备中的漏洞被利用很容易导致设备节点功能失效，如何分析一个或多个设备节点故障对整个智能变电站网络带来的影响，进一步评估对应设备节点乃至其所在设备上存在的信息安全风险正是所要研究的内容[5](如图2、图3所示)。

图2 设备节点Fig.2 Logical Node

图3 设备节点连接Fig.3 Logical Node Connection

3.1 复杂网络

3.1.1 概念介绍

复杂网络，是呈现高度复杂性的网络，严格定义是指具有自组织、自相似、吸引子、小世界、无标度中部分或全部性质的网络，常被应用于研究现实世界中各种复杂系统的模型建立。目前复杂网络的研究内容包括以下几个方向：几何性质、形成机制、网络演化、结构稳定性、网络动力学机制以及多重复杂性融合等问题[6]。

复杂网络一般具有如下几种重要性质[6](如图4所示)。

图4 复杂网络Fig.4 Complex Network

1)小世界：该性质表现了一些复杂网络虽然具有很大规模，但任意2个节点之间总能找到一条较短连通路径，正如六度空间理论所描述的，地球上任意2个陌生人之间所间隔的人不会超过6个；

2)集群/集聚程度：集聚程度表现了一个网络的集群化程度，即复杂网络系统中小网络的内聚程度以及小网络之间的联系；

3)无标度：无标度网络是指分布严重不均匀，较少的节点具有较高的介数，而其余大部分节点介数较低，度分布符合幂律分布，即P(k)～k-γ的网络称为无标度网络(如图5所示)。

图5 复杂网络的度分布Fig.5 Degree distribution of Complex Network

3.1.2 相关知识

复杂网络可以用一个由点集V和边集E构成的图G= (V,E)来抽象表示。图中的节点为复杂网络系统中实体的映射，边则为复杂网络系统中实体间关系的映射，边可以有权重和方向，权重表征节点间联系的紧密程度，方向表征节点间联系的单向或者多向。

1)度分布：网络中所有节点v的度；k的平均值称为网络的平均值

(1)

2)平均路径长度：网络的平均路径长度L，定义为任意2个节点之间距离的平均值

(2)

(3)

整个网络的聚类系数C为Ci的平均值。

4)度相关性：度相关性用于描述网络中节点之间的连接关系，若度较大的节点倾向于连接度大的节点，则称此网络是正相关的；否则称之为负相关的。只需计算顶点度的Pearson相关系数r即可描述网络的度相关性。

(4)

其中：ji，ki分别表示连接第i条边的2个顶点j,k的度；M表示网络的总边数。

3.2 智能变电站设备节点网络的性质分析

将智能变电站中设备节点映射为网络中的节点，设备节点间的数据交互映射为网络中的边。经考察，智能变电站设备节点网络中的平均路径长度较小，整个网络的集聚系数较高，符合小世界网络的特征。同时网络中设备节点的度分布服从幂律分布，也符合无标度网络的特征[7]。

可以看出智能变电站的设备节点网络同时具有小世界和无标度网络的特征，即网络中小网络的内聚程度高，少量的节点具有较高的出入度，大量的节点凝聚在少量的HUB节点周围。上述对智能变电站设备节点网络性质的分析为信息安全风险分析模型的选择建立了基础。

3.3 基于CML的智能变电站设备节点网络的连锁失效模型

CML(coupled map lattice)即耦合映像格子，是日本东京大学纯应用科学系Kunihiko Kaneko博士于1984年提出的理论，它是一个将时间、空间进行离散化，状态保持连续的非线性动力学模型，是近年来一种广泛应用于研究复杂网络中的时空动力学行为模型，该理论常用于一些有规则拓扑结构的复杂网络中，如今在一些具有小世界或无标度网络的动力学研究中也得到广泛应用[8-9]。

含有N个节点的有向CML模型如下

(5)

其中：xi(t)表示节点i在t时刻的状态，如果节点i的状态一直维持在(0,1)内，则该节点状态正常；如果节点i在m时的状态xi(m)≥1，则节点i在m时刻失效，m时刻后该节点状态均为0。节点间的连接信息可表示为连接矩阵:A= (ai,j)N×N,若有向边从i到j连接，则ai,j= 1，反之亦然，若2节点之间无连接，则ai,j=aj,i= 0。N1为含有入度的节点个数，N2为含有出度的节点个数；deg+(i)为i节点的入度，deg-(i)为i节点的出度；ε1为i节点的入边耦合强度，ε2为i节点的出边耦合强度，ε1,ε2∈(0,1)。f为混沌Logistic映射f(x)=4x(1-x)x∈[0,1]f(x)∈[0,1]。

在CML模型下，网络中所有节点都按该公式进行演化，若开始时网络中所有节点都处于正常状态，且无外部影响因素，那么演化过程中所有节点均将保持正常状态。

为了模拟设备在遭受攻击等设备节点失效情况下智能电网的变化情况，考虑对节点i的状态于时刻m施加一个扰动R≥1，使得该节点在m时刻发生了故障，节点i的状态变化由下式描述

(6)

施加扰动后，即从下一个时间片m+ 1开始节点i的状态持续为0，同时m时刻节点i的状态xi(m)将会影响其所有的邻节点，并使其邻节点依照式(4)所描述的方式进行状态值刷新，而这可能导致邻节点同样失效，继续影响其邻节点，从而在整个网络中产生设备节点失效的连锁反应[10-12](如图6所示)。

图6 设备节点连锁失效模拟Fig.6 Device Nodes Chain Failure Simulation

3.4 其他智能变电站信息安全风险分析方法介绍

3.4.1 基于贝叶斯网络的风险关联模型

1986年，美国加州大学教授珀尔(J.F.Pearl)针对不确定性知识提出贝叶斯网络(Bayesian network)模型。贝叶斯网络也称为因果网络(causal networks)，它是由图论和概率论结合描述多元统计关系的模型，是可以用贝叶斯概率理论与图形模式结合起来由有向无环图(DAG, directed acyclic graph)来表示的模型。

基于贝叶斯网络的风险关联模型将贝叶斯网络与粗糙理论集相结合，基于专家群决策方法来确定智能变电站的风险诱发因素及设备风险，建立决策表,利用粗糙集提取最佳属性约简组合;利用贝叶斯网络技术构建风险关联关系图,采用专家知识与伽玛分布函数联合确定贝叶斯图的条件概率分布,并通过融入监测数据的方式对模型进行更新[13-14]。

相比CML智能变电站设备节点连锁失效模型以设备为基本节点构建网络，基于贝叶斯网络的风险关联模型针对具体变电站设备约简了相关的风险因素，生成了基于贝叶斯网络的风险关联图，最后逆向分析出风险诱发因素的可能性次序。CML模型主要研究了智能变电站中风险在设备节点之间的传播，贝叶斯网络风险模型则是通过概率分布反向分析出风险诱发因素(如图7所示)。

图7 贝叶斯网络方法流程Fig.7 Bayesian network method model

3.4.2 基于风险传递网络的智能变电站风险评估模型

该方法是结合复杂网络理论和风险传递理论，鉴于二次系统中设备和功能的连接关系，定义网络风险元素，并考虑网络元素间的相互影响，构建二次系统风险传递网络并建立了一套评估二次系统风险的指标体系。具体流程如图8所示：通过建立待评估二次设备的风险网络，构建网络功能关联矩阵，求出节点度、主体度等相关网络参数，对基本主体集失效概率和损失进行分析，得到基本主体集风险，最后根据基本主体集风险求出系统级和设备级的其他风险指标[15]。

图8 风险评估流程图Fig.8 Flowchart of Risk Assesment

与基于CML的智能变电站设备节点网络连锁失效模型中的设备节点网络相似，基于风险传递网络的智能变电站风险评估模型也构建了二次设备的风险传递网络，2个网络均涵盖了智能变电站“三层两网”结构中的所有设备，不同之处在于CML的设备节点网络选用了耦合映像格子作为风险传递模型，而基于风险传递网络的二次设备网络则是选用了常用于金融行业的风险传递模型并制定了风险体系指标用于评估智能变电站系统和设备的风险[16-17]。

4 结 论

传统的变电站漏洞扫描信息以分散的报告形式组成，不方便用户从中读取整体风险信息，而且没有以数据库形式装载数据，不方便进行管理。

利用web技术实现的基于CML的设备节点网络连锁失效风险模型的智能变电站信息安全风险分析管理系统是为了方便变电站工作和管理人员对变电站信息安全风险信息管理而开发的一款原型系统，通过此系统可以对站内设备信息安全风险信息进行分析和管理，得出基于CML设备节点网络连锁失效风险模型计算出的各个变电站的风险评分，使用户更直观查看变电站漏洞数据，使管理人员在处理变电站漏洞时更有针对性。