虚拟电厂网络安全风险评估指标体系构建及量化计算

编者按

虚拟电厂（virtual power plant，VPP）在电源侧所占出力比例持续提升。VPP可由第三方企业运营，其业务系统、通信和数据平台普遍依托于公用互联网（后文以“公网”指“公用互联网”），导致公网与电力专用通信网（后文以“专网”指“电力专用通信网”）间的互动加大，网络攻击对原有相对封闭的专网产生危害。

来源：《中国电力》2024年第8期

引文：杨珂, 王栋, 李达, 等. 虚拟电厂网络安全风险评估指标体系构建及量化计算[J]. 中国电力, 2024, 57(8): 130-137.

《中国电力》2024年第8期刊发了杨珂等撰写的《虚拟电厂网络安全风险评估指标体系构建及量化计算》一文。文章分析VPP网络安全风险，考虑信息物理综合安全，提出一种多维动态VPP风险评估机制，以提高VPP网络安全风险防范能力。

摘要

提出了静态与动态风险评估相结合的多维动态网络安全风险评估指标体系。基于虚拟电厂的特点进行网络安全风险分析，构筑多维静态风险评估指标。基于攻击路径演化机理，对信息侧、物理侧和信息-物理侧进行数据采集，构筑动态风险评估指标。提出指标量化计算方法。通过仿真实验验证本文所提的指标体系及量化计算方法能够有效评估安全性，识别风险隐患，提出有效的加固措施。

01

虚拟电厂风险分析

新型电力系统采用“三区四层”架构。VPP由地理上分散的分布式能源、可控负荷和储能装置组成，并可参与市场交易。

从网络安全防护的角度来看，VPP系统具有如下特点。1）资源多样，可聚合多类可调资源；2）运营中有大量的数据交互；3）公网与专网的交互日益频繁；4）信息安全保障体系尚不够完善。

在风险指标设计中，对于终端加密认证、系统漏洞、设备漏洞、恶意软件、勒索软件、时间同步攻击、隐私数据泄露等须重点考虑，具体如下。

1）终端接入安全。VPP终端种类多、数量大，防护能力较薄弱。

2）终端物理设备安全。VPP终端硬件设备设计往往存在设备漏洞，易引发网络攻击。

3）数据安全。VPP传输数据多样，终端多缺乏数据安全和隐私保护机制。

4）通信安全。VPP传输数据量大且要求高可靠、低时延，但目前存在虚假数据注入（false data injection，FDI）、MAC地址欺骗、DDoS等攻击，造成通信延迟、中断或者内容被篡改。

5）系统安全。电力行业联网监控管理系统中，存在高危漏洞的系统数量较多 。

面向VPP的网络攻击，主要目的包括获取控制权、窃取信息、损毁致瘫等，均须借助各种攻击工具，实现漏洞发现、入侵提权、横向移动、持久控制等攻击步骤，其攻击路径呈现动态演进特点。从攻击方的角度，对VPP网络攻击进行路径分析，可为动态指标设计奠定基础具体如图1所示。

图1  面向VPP的攻击路径分析

Fig.1  VPP attack path analysis

第1类攻击路径以TM为攻击起点，如图1中红色箭头标注路径。VPP终端数量多，设备缺乏完善的网络安全保护，被攻击者选为入侵起点的概率较大。第1阶段，攻击者对公网内TM（如电源出力）发起FDI攻击，将调节容量信息虚假扩大数倍，按照虚假数据向VPP_C申报调节容量，导致VPP_C发出错误的调节指令，有可能导致电源出力不足，引发功率缺额，甚至可能引发切负荷操作，影响系统稳定运行。终端攻击也能够造成终端用户隐私数据泄露、可控参数被恶意修改，引发设备硬件损害。第2和第3阶段，攻击者可以采用嗅探工具和数据包解析工具，从正常的业务数据传输中，发现VPP_A和VPP_C的IP地址，导致攻击路径蔓延，有可能引发VPP_C发出错误电源出力调节和切负荷指令。第4阶段，VPP_PD被攻破，可能发出恶意错误调度指令，引发网络攻击大范围跨空间传播。

第2类攻击路径以VPP_T或者VPP_C为起点，如图1中绿色箭头标注路径。第1阶段，VPP_T因为需要向公众提供Web服务器访问服务，有可能被攻击者利用存在的漏洞获取访问权限。如攻击者非法利用VPP_C发出恶意调节指令，导致控制域内终端进行错误放电操作，极端情况触发放电下限，造成部分正常运行负荷被移除。第2阶段，依托公网开展业务的VPP_A相关软硬件被攻击控制，造成专网内信息泄露，对互联网大区、管理信息大区产生危害，甚至对生产控制大区产生间接危害。此类攻击将导致大量终端数据被窃取、电网失去对聚合资源的调度能力，导致下发恶意调度指令。

第3类攻击路径以通信网络为攻击起点，如图1中黑色箭头标注路径。VPP内部的通信链路和信息交互为信息攻击者提供了多种入侵途径。攻击者在第1阶段攻击通信网络，导致通信延迟或中断、隐私泄露、调度及交易过程数据被篡改，如泄露或修改竞标电价信息及电量信息，在第2和第3阶段沿攻击路径传播，有可能引发较大危害。

4）协同攻击路径：VPP业务系统遭受单时段多目标或者多时段单目标协同攻击。如前述3种攻击路径并发。此类攻击复杂性高，危害性最大。

以上基于VPP业务对攻击路径进行了分析。此外，还应考虑节点重要性和攻击成本。

02

多维动态风险评估指标体系

2.1  总体框架及设计原则

VPP风险评估指标体系总体框架如图2所示。设计原则如下。

图2  VPP风险评估指标体系总体框架

Fig.2  Framework of VPP risk assessment index system

1）动态设计。指标分为静态指标与动态指标。静态指标主要考察VPP系统整体防护的安全性，采集VPP系统网络安全相关的配置、安全检测、防护机制设置等指标。动态指标关注VPP系统运行过程中安全性。现行的信息物理系统的风险指标评估体系多为静态，而攻击是动态的，仅考虑静态指标还不够，需要提炼VPP系统运行时、动态可采集的数据形成动态指标，提升实时风险感知能力。动态指标需要同时考虑VPP网络安全和物理设备运行状态，综合考虑信息和物理两方面，进行基于攻击路径模型的信息物理综合安全动态风险计算。

2）多维度提炼指标。静态和动态指标是从时间维度考虑，从空间维度设计指标可以从VPP硬件设备、软件平台、网络连接和业务场景入手，提炼指标。同时考虑信息-物理耦合的专网防公网渗透防护、信息系统异常检测防护机制和信息物理协同攻击防护等相关指标。

2.2  指标体系设计

针对VPP系统风险特点设计多维动态风险评估指标体系，指标模型如图3所示。基于以上指标体系模型，进行指标体系构建。面向VPP的静态指标如表1所示。

图3  面向VPP的指标体系模型

Fig.3  Model for new adding indicators of VPP

表1  面向VPP增设的静态指标

Table 1  New static indicators for VPP

针对终端种类多、安全防护能力薄弱、加密能力差的特点，应增设相应指标。例如，检查轻量级灵活安全的加密认证机制、软件通信身份认证机制、防终端欺骗机制；此外终端数量巨大，应考虑检查评估对DDoS攻击的防护机制。在指标设计上还应重点加强对于面向VPP系统的漏洞（包括信息系统和设备的漏洞）、恶意软件的防护。在VPP终端设备接入时，应对VPP系统相关的服务器、主机、传感器、物联网设备（比如电池板逆变器等）、监控控制系统等，设置漏洞检测指标，并且设置漏洞持续更新检测指标。对于面向能源电力行业的勒索软件防护应该加强，建立勒索软件详细列表；还需要对数据进行分级访问、备份、加密的检查，定向防护勒索软件对数据的窃取和加密。此外，对于VPP用户数据的隐私保护，需要重点加强检查；建立多交易主体用户隐私数据非授权访问防护指标，以及用户数据脱敏策略检查指标等，以评估隐私数据保护能力。另外，针对时间同步攻击、非法无线通信链路风险等问题，VPP业务在做风险评估时应增设相关指标进行检查，进行加密认证，同时评估身份鉴别、访问控制的安全性。动态指标设计如表2所示。

表2  面向VPP的动态指标

Table 2  Dynamic indicators for VPP

2.3  指标计算方法

本文基于层次分析法（analytic hierarchy process，AHP）设计定量分析方法。

1）构造判断矩阵。设某层指标集合为={p₁,p₂,?,p_n}，为获取指标的权重向量=[W₁,W₂,?,W_n]，先构造判断矩阵。

2）权重计算。构造好判断矩阵以后，采用方根法计算归一化特征向量=[W₁,W₂,?,W_n]。

3）指标计算。根据被评估系统的实际情况对各指标进行原始评分。将指标分为正向指标（指标值越大，安全性越好）和反向指标（指标值越大，安全性越差）。定义指示变量I_x，I_x=1表示第

式中：V_raw,x为第x个指标的原始评分；V_bench,x为第x个指标的基准值（满分值）。

4）综合分值V_total计算。综合分值越大（满分100分），系统安全性越高，即

基于攻击路径模型，借助动态指标，进行基于攻击路径模型的动态风险计算。计算过程如图4所示。

图4  攻击路径风险动态计算

Fig.4  Attack path risk dynamic calculation

将所有攻击路径记为集合P_attack-path={l₁,l₂,?,l_q}。在攻击路径l_t上对前3类指标计算综合分值，得出V_total,t。将攻击路径l_t的攻击发生概率P建模为

式中：λ(V_total,t)为攻击路径l_t下VPP的脆弱性因子，反映VPP信息系统的安全性水平，脆弱性因子越大，则攻击的成功概率越大，t∈{1,2,?,q}；C为完成攻击等效的攻击代价；c为攻击资源的大小，反映网络攻击者的攻击能力，攻击资源越大，则攻击的成功概率也越大。

物理后果指标主要反映电力设备的动态异常状态，衡量对VPP业务的危害程度，参考文献[4]的方法，本文从用户使用的角度出发，构建VPP对用户失电造成的物理后果指标计算方法，分为后果危害指标和影响面指标。其中，后果危害指标主要考察异常状态的瞬时危害大小，影响面指标考虑异常状态的持续时长。

1）后果危害指标。攻击路径l_t引发的故障失负荷数指标为

式中：为l_t引发的故障失负荷数；L为无攻击情况下VPP可供应的总负荷数。

攻击路径l_t引发的故障失稳数指标为

式中：为l_t引发的故障失稳数；S_bench为无攻击情况下VPP的基准故障失稳数。

攻击路径l_t引发的故障失用户数指标为

式中：为l_t引发的故障失用户数；U_bench为无攻击情况下VPP可供应的总用户数。

2）影响面指标。攻击路径l_t引发的故障失负荷小时数指标为

式中：为l_t引发的故障失负荷小时数；L_time,bench为无攻击情况下VPP可供应的总负荷小时数。

攻击路径l_t引发的故障失稳小时数指标为

式中：为l_t引发的故障失稳小时数；S_time,bench为无攻击情况下VPP的基准故障失稳小时数。

攻击路径l_t引发的故障失用户小时数指标为

式中：为l_t引发的故障失用户小时数；U_time,bench为无攻击情况下VPP可供应的总用户小时数。

综合考虑以上6个指标，可以计算网络攻击对VPP造成的失电物理后果综合危害值，对各个指标进行无量纲化处理，以方便进一步计算。

此外，还应针对VPP业务特定功能需求，从分布式资源协调控制和优化调度方面采集关键指标监测VPP系统运行状态。

3）VPP运行状态关键指标。VPP需要对千万级智能终端进行管理，需要监测海量能源节点的互联状态，因此设置VPP节点连接状态指标为

式中：H_bench为VPP所有节点连接数；为攻击路径l_t下节点连接异常数。

在协调控制和优化调度过程中，指令执行状态是重要的监测指标，表达式为

式中：B_bench为VPP所有指令执行数；为l_t下所有指令执行异常数。

VPP是通过资源动态聚合和集中协调优化参与削峰填谷，可实现日内更短时间响应，精准削减负荷高峰、填充低谷负荷，达到电网运行的全局最优。设置负荷波动状态指标为

式中：G_bench为负荷功率波动状态的基准值；为负荷功率波动的实际值。

为合理计算各个指标所占的权重，计算各指标的权重向量=[w₁,w₂,?,w₉]，然后计算失电物理后果综合危害值为

系统的动态风险R为

03

仿真实验及结果分析

在网络攻击综合演练平台上搭建仿真实验系统，系统拓扑如图5所示。

图5  仿真实验拓扑

Fig.5  Simulation topology

依据表1的指标，构造A层指标和P层指标的判断矩阵。计算单排序的各指标权重。对仿真实验系统开展风险评估，计算各指标分值及综合分值，最终得分64.7分。基于评估结果可知，系统安全性较差，存在较大安全隐患。根据分值较低的指标查找存在的问题，提出安全加固意见，主要安全加固策略如表3所示。

表3  主要安全加固策略

Table 3  Main security reinforcement strategy policy

经过加固，重新计算综合分值，得分100分。通过针对性安全加固，增强了系统安全性，综合分值同步提升，验证了本文风险评估方法的有效性。

针对未进行安全加固的仿真实验系统开展模拟攻击。

1）模拟攻击路径为VPP_T→VPP_C→VPP TM（如图5红色箭头标注的攻击路径）。根据表3列出的策略进行安全加固。经过加固后外网渗透难度增大，图5中攻击步骤①入侵VPP_T Server失败，攻击步骤②③被阻止，系统安全性得以增加。

2）仿真攻击路径为VPP TM1→VPP_C Server→VPP TM3（如图5蓝色箭头标注的攻击路径）。

通过仿真实验，验证了本文提出的多维动态网络安全风险评估指标体系适用于VPP风险评估，也可为其他新型业务的风险评估提供参考。

04

结语

本文提出了多维动态网络安全风险评估指标体系，为VPP的网络安全风险评估提供基础，为安全加固提供依据，提升新型电力系统的安全性。在后续的工作中，需要开展VPP攻击路径演化机理研究，丰富风险评估指标体系，细化量化计算方法。