公元前500年，希腊哲学家泰勒斯发现了摩擦生电现象，人类第一次知道如何产生电。1882年，托马斯·阿尔瓦·爱迪生建造了第一个完整的电力系统（包括发电机、电缆、保险丝、电表和负载），人类开始迈向电气化的历史进程。1957年，通用电气开发出了第一个适用于电力应用的晶闸管，为人类构建数字控制的大型电力系统提供了基础。进入21世纪，电力行业数字化、自动化、智能化实现跨越式发展，信息、通信、控制技术的应用深度和广度在电力行业达到前所未有的地步。智能电网、电力物联网、新型电力系统相继被提出，数字建模、虚拟仿真、智能仪表、无线通信以及云计算、大数据、物联网、移动互联网、人工智能、区块链、边缘计算等技术逐步被用于负荷预测、稳定性分析、需求响应、电压控制、新能源资源编排等场景。新型电力系统以最大化消纳新能源为主要任务，以坚强智能电网为枢纽平台，以源网荷储互动与多能互补为支撑，具有清洁低碳、安全可控、灵活高效、智能友好、开放互动等基本特征。

 图1 电力系统发展历程

新型电力系统是关乎民生工程、社会经济发展的关键信息基础设施。然而，近年来针对电力系统的攻击事件频发。2015年，乌克兰电力公司遭到Black Energy病毒攻击，攻击者通过控制上位机实现变电站的远程控制，切断了乌东部地区大面积的供电系统；2019年，印度泰米尔纳德邦的核电站内网感染恶意程序，导致一座核反应堆关闭；2020年，委内瑞拉国家电网765干线遭攻击，造成全国大面积停电；2020年，巴西电力公司遭Sodinokibi勒索软件攻击，黑客勒索赎金高达1400万美元。2019年5月，国家互联网应急中心发现，全国共有139个水电监控管理系统暴露在互联网上，其分布于25省市，其中超过47%的系统存在明显的安全隐患。

新型电力系统是一个典型的信息物理融合系统，电力电子、广域传感设备将模拟信号转化为数字信号，实现系统运行状态的实时感知和控制。数据从现场层向上的流通、共享，驱动上层面向业务的软硬件开发与实现，形成庞大而复杂的信息系统，信息经过分析与处理形成决策优化、调度控制等关键数字信号，再经由控制器、执行器作用于物理系统，使得新型电力系统具有信息物理深度融合的特点。新型电力系统的安全问题既源于物理系统又源于信息系统，传统物理系统的安全控制难以应对来自信息系统的的高级持续性威胁，而单纯信息系统的安全御手段无法兼顾跨越信息物理空间的协同攻击威胁。相较于传统电网，新型电力系统面临的信息物理安全问题更加突出，信息化发展使得控制系统的数据采集功能、状态评估滤波器、传感与反馈回路等可能被恶意攻击者操纵，设备和控制系统会因为信息安全因素而暴露在物理可靠性、弹性和安全性的威胁之下。信息攻击和物理攻击交叉影响、相互渗透，传统的信息空间异常检测技术和物理空间保护控制技术均难以应对跨越信息物理空间的新型攻击威胁。

 图2 新型电力系统及其安全

一方面，在信息安全视角下，电力系统安全主要围绕信息系统展开。基于信息安全三要素“机密性、完整性、可用性”，延用传统面向IT企业的安全防护原则，构筑电力系统的安全防护体系。从信息安全视角来考虑新型电力系统安全长期以来是业内主流。我国电力系统网络安全防护理念经历了三个阶段的演变（如图3所示）：（1）早期电力系统信息安全防护总体策略为“安全分区、网络专用、横向隔离、纵向认证” 的十六字方针。严格规定电力调度数据网只允许传输电力生产调度直接相关的数据，必须与公用信息网络在物理层面安全隔离。这种“结构性安全”成为电力系统信息安全体系建设的标准性起点。（2）2007年，国家电监会启动电力行业信息安全等级保护定级，全面推进电力行业等级保护建设工作。在结构性防护基础上进一步完善电力系统的等级保护体系，包括物理安全防护、网络安全防护、主机安全防护、应用安全防护、数据安全防护五个层面。（3）随着新型攻击方式的出现，安全威胁特征库迅速增大，以“封堵查杀”为核心的被动安全措施对于实时控制系统安全防护不再奏效。可信计算技术在新型电力系统中的应用，可以提升电力系统对未知攻击的免疫能力，实现全流程安全可信的电力网络环境。

 图3 信息安全视角下我国电力系统安全发展

另一方面，从控制理论视角出发，作为典型的闭环反馈控制系统，电力系统的安全问题主要围绕可观性和可控性问题展开。以破坏电力系统安全裕度、运行安全、稳定性为目标的攻击手段同系统故障一样，最终均可归结为干扰或破坏系统运行状态的可观和可控特性问题，而电力系统安全防护的主要目的就是构建更具弹性的观测方法和更具鲁棒性的控制策略。目前，我国电力系统安全运行依赖“三道防线”（如图4所示），通过控制手段降低意外故障造成的损失。一般故障发生时，由第一道防线保证供电不中断；严重故障发生时，由第二道防线保证不失去系统的完整性；特别严重的故障发生而被迫解列后，由第三道防线尽量减小停电规模和缩短停电时间并及时恢复供电。第一道防线由继电保护装置快速切除故障元件，最直接最有效地保证电力系统暂态稳定。第二道防线采用稳定控制装置及切机、甩负荷等措施，确保在发生大扰动情况下电力系统的稳定性。第三道防线依靠失步解列装置将失步的电网解列，并由频率及电压紧急控制装置保持解列后的两部分电网功率平衡，防止事故扩大。

 图4 电力系统应对物理故障的“三道防线”

然而，作为一种新业态与新应用模式，新型电力系统在产业信息化迁徙进程中引入了虚实交错的安全新场景，造成了电力需求不断增长、数字化转型脚步加快、开放互联持续提速、新型能源结构大量接入等特点与信息物理安全问题的普遍冲突，仅从信息安全或从控制理论视角出发，都无法调和现实中突出的安全矛盾问题。

电力系统信息安全与物理安全的融合不可避免地带来了信息物理综合安全的复杂性问题。新型电力系统安全体系能力建设与安全体系设计实施必须考虑信息安全技术和运行控制技术的关联耦合。迄今为止，安全性主要是以信息系统为中心。从安全角度来看，新型电力系统信息物理综合安全是将物理系统的稳定性、可靠性原则与信息系统的机密性、完整性、可用性原则相互结合。设计新型电力系统安全体系需要深谙物理系统运行控制技术和信息系统网络通信技术。如果只是将物理安全和信息安全机制简单地组合在一起，可能会导致原有安全性实现出现偏差、甚至消弱。在解决问题的思维和工作方式上，信息系统采用自顶向下的方法，从总体需求出发考虑和解决问题；而物理系统则习惯采用自下而上的思路，从部件出发构建复杂系统。这种差异性导致新型电力系统综合安全设计具有极高的复杂性。一方面，需要深入探究信息安全防护手段与物理安全防护手段的优势与不足，考虑电力系统实时性、可靠性、经济性等运行特征，基于最佳安全防护原则，综合运用信息安全防护手段和运行控制技术，取长补短，在信息安全无法完全保障时考虑采用滤波和控制等技术进行防护，在物理安全无法完全保障时考虑采用主机、网络、数据等安全保护技术进行防护。另一方面，跨越信息物理系统进行恶意攻击所引发的安全问题绝不是传统物理安全(Safety)和信息安全(Security)的简单叠加，而是一个可靠、可控、可信相互作用、同时信息安全与物理安全深度融合的全新的科学领域，跨安全域与跨域安全的信息物理综合安全一体化难题亟需突破。

信息安全威胁与物理安全威胁既有特殊性又具有共性。特殊性表现在威胁来源、威胁特点、威胁影响三个方面。信息安全威胁是主动干扰，包含明显的人为因素。信息安全威胁主体来自系统外部，例如黑客、敌对势力、恐怖组织等。威胁主体利用系统自身脆弱性对系统信息的可用性、完整性和机密性造成破坏，进而造成系统可用性丧失、系统敏感信息泄露或HSE（Health, Safety, Environment）事故等安全事件。物理安全威胁来自系统自身，是随机发生的，表现为组件损坏或组件之间的交互关系被破坏，从而导致系统功能丧失，造成HSE安全事故。新型电力系统综合安全显著特点不在于判断造成系统失效的威胁是属于内因（物理安全）还是外因（信息安全）。两种威胁的共性是都会影响电力系统的安全运行，具有一致性，物理安全威胁和信息安全威胁都能导致系统功能丧失，需要在建模时平等考虑两者的影响。在威胁建模过程中，可以将物理安全威胁视为违反控制约束的行为或者缺乏控制约束的情况。在层次结构的基础上，可将系统细化为不同组件节点，分析信息安全威胁可能作用的组件及产生的系统损害。根据功能安全威胁和信息安全威胁特点，将两种威胁统一在一个模型之中。 

针对新型电力系统信息物理安全问题，可构建“识别 (Identification) - 保护 (Protection) - 检测(Detection) - 响应 (Response)”一体化主动防御模型IPDR，如图5所示。该模型包含风险识别、系统保护、入侵检测、实时响应，形成三大安全控制回路。系统安全加固回路通过分析控制工程设计架构、运行机理、历史记录等，识别电力系统安全脆弱点，完善系统设备、控制行为和业务流程的安全加固方案；威胁实时防护回路通过监测物理系统业务流程和信息系统数据通信来检测电力系统异常状态并制定防御响应策略；系统加固与实时防护回路通过分析威胁实时防护的异常检测和响应策略，持续提升对系统脆弱性的识别能力，通过系统安全加固方案的执行进一步提升系统异常检测和防御能力。

 图5 新型电力系统IPDR一体化主动防御模型

CNCC参会报名