電力通信網(wǎng)PCM設(shè)備的安全模型研究

高會(huì)生，王慧芳

(華北電力大學(xué)電氣與電子工程學(xué)院，河北保定071000)

0 引言

電力通信網(wǎng)PCM 設(shè)備被廣泛用于繼電保護(hù)、安全穩(wěn)定控制、遠(yuǎn)動(dòng)、調(diào)度電話等主要電力通信業(yè)務(wù)的實(shí)現(xiàn)，是電力通信網(wǎng)的重要設(shè)備之一。PCM 設(shè)備的安全性直接影響電力系統(tǒng)一次設(shè)備的運(yùn)行狀態(tài)，其安全性模型對(duì)提高設(shè)備安全性，確定有效的安全防護(hù)措施具有重要意義。建立PCM 設(shè)備的安全模型不僅要考慮信息方面的影響，還要考慮設(shè)備的物理環(huán)境影響。對(duì)通信設(shè)備的安全性研究方法需要從純粹的信息安全轉(zhuǎn)向信息與物理的協(xié)同安全。文獻(xiàn)［1］利用信息物理融合系統(tǒng)安全的觀點(diǎn)，從物理組件、應(yīng)用程序、網(wǎng)絡(luò)設(shè)施等方面分析了電力控制環(huán)節(jié)和通信基礎(chǔ)設(shè)施的脆弱性，并提出了相應(yīng)的防御措施。文獻(xiàn)［2］討論了不同物理或網(wǎng)絡(luò)攻擊引起的智能電網(wǎng)基礎(chǔ)設(shè)施的安全性問(wèn)題。文獻(xiàn)［3］針對(duì)電網(wǎng)中虛假信息注入攻擊進(jìn)行了建模及防御措施的定量分析。諸多研究表明，信息和網(wǎng)絡(luò)安全的研究方法已經(jīng)再不拘泥于單純的定性和定量?jī)煞N類別，而是兩者的有效結(jié)合。文獻(xiàn)［4］給出了基于貝葉斯網(wǎng)絡(luò)的信息安全通用評(píng)估方法。文獻(xiàn)［5］基于貝葉斯網(wǎng)絡(luò)建立了攻擊－防御圖，對(duì)安全措施的效果進(jìn)行了分析評(píng)估。文獻(xiàn)［6］結(jié)合攻擊圖與通用安全脆弱點(diǎn)評(píng)估系統(tǒng)實(shí)現(xiàn)了復(fù)雜系統(tǒng)的安全性評(píng)估。文獻(xiàn)［7］將貝葉斯網(wǎng)絡(luò)與D-S 證據(jù)理論結(jié)合，建立了電力廣域網(wǎng)通信系統(tǒng)的安全性模型?？梢钥闯觯惾~斯網(wǎng)絡(luò)已經(jīng)成為通信設(shè)備安全性建模的有效手段，另外，MATLAB 工具箱和GeNIe 軟件平臺(tái)等計(jì)算工具也為貝葉斯網(wǎng)絡(luò)的推理和分析提供了強(qiáng)有力的支持。然而，現(xiàn)有文獻(xiàn)［8～10］重點(diǎn)關(guān)注電力通信網(wǎng)的整體安全，而沒(méi)有涉及PCM 設(shè)備安全性。隨著通信技術(shù)的發(fā)展，PCM 設(shè)備在三個(gè)方面存在特殊的安全性問(wèn)題。(1)是網(wǎng)絡(luò)管理功能的增強(qiáng)使PCM 設(shè)備出現(xiàn)了更多可攻擊的漏洞;(2)PCM設(shè)備智能化水平的提高，工業(yè)計(jì)算機(jī)所存在的安全脆弱性在PCM 中同樣存在;(3)PCM 設(shè)備的組網(wǎng)能力不斷增強(qiáng)，一旦出現(xiàn)安全事件，將會(huì)對(duì)通信業(yè)務(wù)造成重大影響。鑒于此，本文從物理和信息兩個(gè)方面分析了PCM 設(shè)備的脆弱性和可能存在的威脅，建立了安全威脅、脆弱性、防御措施和安全事件等四要素的貝葉斯網(wǎng)絡(luò)模型。該模型可以對(duì)電力通信網(wǎng)PCM 設(shè)備的安全性進(jìn)行量化評(píng)估，為保證電力通信業(yè)務(wù)的安全性提供支持。

1 電力通信設(shè)備的安全性

文獻(xiàn)［11］中分析了智能電網(wǎng)的通信結(jié)構(gòu)和信息安全需求，以及電力系統(tǒng)通信安全研究所面臨的挑戰(zhàn)。電力通信業(yè)務(wù)具有較高的實(shí)時(shí)性、可靠性和安全性需求，與公用通信網(wǎng)相比，存在較大差異。針對(duì)電力系統(tǒng)一次設(shè)備的控制而言，其通信業(yè)務(wù)的可用性等級(jí)遠(yuǎn)高于保密性，而公網(wǎng)業(yè)務(wù)的保密性通常比可用性更顯得重要。這種業(yè)務(wù)安全性需求的特殊性導(dǎo)致了公網(wǎng)通信設(shè)備的安全模型不能直接用于電力通信設(shè)備的安全評(píng)估，需要專門(mén)開(kāi)展電力通信設(shè)備的安全性模型研究。

電力系統(tǒng)主要存在兩大類安全威脅，分別是無(wú)意威脅和蓄意威脅［12］。無(wú)意威脅包括設(shè)備本身的失效、人員疏忽以及自然災(zāi)害的影響等。蓄意威脅包括惡意員工、惡意代碼攻擊以及黑客攻擊等。根據(jù)信息安全相關(guān)標(biāo)準(zhǔn)［13，14］，本文整理出了影響電力通信設(shè)備安全的主要威脅和防御措施，如表1所示。

1.1 設(shè)備自身失效

通信設(shè)備自身的軟硬件故障可以引起安全事件，電力企業(yè)需要采用多種有效的安全防護(hù)措施來(lái)避免安全事件的發(fā)生。例如，在設(shè)備選型階段應(yīng)該選擇聲譽(yù)較好的供貨商，對(duì)長(zhǎng)時(shí)間運(yùn)行的設(shè)備應(yīng)該進(jìn)行及時(shí)更換、定期維護(hù)和周期性檢修，對(duì)設(shè)備的實(shí)時(shí)運(yùn)行軟件進(jìn)行更新，設(shè)備供電電源采用冗余配置。為了突出重點(diǎn)，這里僅考慮與電力通信設(shè)備密切相關(guān)且行之有效的安全防護(hù)措施。

1.2 自然災(zāi)害影響

電力通信基礎(chǔ)設(shè)施覆蓋面廣，容易遭受自然災(zāi)害的影響和破壞。運(yùn)行經(jīng)驗(yàn)表明，自然災(zāi)害是電力通信設(shè)備的重要威脅。針對(duì)自然災(zāi)害所采用的安全措施包括:通信設(shè)備的防雷、供電電源過(guò)壓過(guò)流保護(hù)、電纜屏蔽以及設(shè)備機(jī)柜接地等。同時(shí)，采用通信機(jī)房環(huán)境監(jiān)控系統(tǒng)可以有效降低自然災(zāi)害的影響。這些措施都充分考慮了電力通信業(yè)務(wù)的特殊需求。

1.3 內(nèi)部員工的安全素質(zhì)

員工安全素質(zhì)和安全意識(shí)是保證安全的重要條件。員工安全意識(shí)淡薄和安全素質(zhì)低下是重要的安全威脅。制定完善的管理制度，明確員工職責(zé)，規(guī)范員工行為，對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，是保證通信設(shè)備安全的重要手段。其中，建立完善的安全管理制度和常規(guī)化職工安全培訓(xùn)是保證通信設(shè)備運(yùn)行安全的關(guān)鍵。

1.4 黑客/間諜攻擊

研究表明，黑客/間諜對(duì)電力通信網(wǎng)攻擊的后果不容忽視［3，15，16］。電力系統(tǒng)在這方面已經(jīng)制定了較為全面的制度和防御措施，為通信系統(tǒng)的安全性研究提供了重要參考依據(jù)。電力系統(tǒng)PCM通信設(shè)備的安全性主要受到未授權(quán)訪問(wèn)的威脅，因此，本文在建立PCM 通信設(shè)備安全模型時(shí)重點(diǎn)考慮了通信機(jī)房和網(wǎng)管的門(mén)禁系統(tǒng)，以及網(wǎng)管系統(tǒng)的身份認(rèn)證機(jī)制。例如，通過(guò)用戶名和密碼等系統(tǒng)認(rèn)證方式來(lái)限制未授權(quán)用戶的訪問(wèn)及操作。

從系統(tǒng)的觀點(diǎn)上看，表1 給出的安全威脅和防護(hù)措施遠(yuǎn)遠(yuǎn)不夠。但是，本文的研究重點(diǎn)是電力通信PCM 設(shè)備的安全模型，因此在確定安全威脅和防護(hù)措施時(shí)，重點(diǎn)考慮了電力通信設(shè)備的特殊運(yùn)行環(huán)境、電力通信業(yè)務(wù)的特殊需求和PCM 設(shè)備存在的特殊安全問(wèn)題。這一方面保證模型的針對(duì)性，另一方面，也降低了模型計(jì)算的復(fù)雜度。

表1 電力通信設(shè)備的安全威脅及防護(hù)措施Tab.1 Security threats and protection measures of power communication equipments

2 電力通信網(wǎng)PCM 設(shè)備的安全模型

2.1 設(shè)備安全性的貝葉斯網(wǎng)絡(luò)模型

信息安全的主要影響因素分別為:資產(chǎn)、威脅、脆弱性和安全措施，文獻(xiàn)［14］給出了這“四要素”的完整定義。根據(jù)“四要素”之間的邏輯關(guān)系，本文建立了6 個(gè)基本的貝葉斯網(wǎng)絡(luò)模型，分別描述3 類不同的攻擊模式，如圖1所示。其中，威脅用T 表示，脆弱性用V 表示，防御措施用C 表示，安全事件用S 表示。

圖1(a)中的Mod.1 描述了當(dāng)T 是獨(dú)立事件時(shí)，C 可以降低V，S 取決于T 和V;圖1(b)中的Mod.2 說(shuō)明了C 不僅影響V，還會(huì)直接影響S;圖1(c)中的Mod.3 表示T 并非獨(dú)立事件，T 的攻擊意圖受C 的影響;圖1(d)中的Mod.4 描述了C 可能會(huì)對(duì)其他3 種因素都產(chǎn)生直接影響;圖1(e)中的Mod.5 表明V 會(huì)增加T 的吸引力，使T 發(fā)生的可能性明顯增強(qiáng);圖1(f)中的Mod.6 全面考慮了因素之間關(guān)系?？梢钥闯?，圖1 中的不同模型可以表示表1 中不同的“攻擊－ 防御”模式。換句話說(shuō)，不同的“攻擊－防御”模式應(yīng)該用不同的影響模型來(lái)表示，這樣可以顯著提高安全模型的可用性和高效性。

圖1 中各因素間的量化關(guān)系可以方便地通過(guò)貝葉斯網(wǎng)絡(luò)的條件概率來(lái)確定。若P(C)和P(T)分別為Mod.1 和Mod.2 的輸入，則Mod.1 輸出S的概率P(S)可通過(guò)式(1)得到，Mod.2 輸出S 的概率P(S)可通過(guò)式(2)得到。

圖1 設(shè)備安全性的貝葉斯網(wǎng)絡(luò)模型Fig.1 Bayesian network models of equipments security

由此可見(jiàn)，安全模型的結(jié)構(gòu)不同，安全事件的概率計(jì)算方法也不同。比較而言，Mod.2 中S 節(jié)點(diǎn)條件概率表的維數(shù)比Mod.1 多，因此，式(2)的計(jì)算復(fù)雜度明顯增加。實(shí)際上，模型中節(jié)點(diǎn)間存在的相互依賴關(guān)系越多，模型的復(fù)雜度越高，條件概率表的賦值難度也越大，模型計(jì)算難度越大，反之，計(jì)算難度越小。但是，過(guò)分追求模型的簡(jiǎn)潔性可能會(huì)丟失因素間的關(guān)聯(lián)信息，使模型的表現(xiàn)力變差。綜合考慮計(jì)算復(fù)雜度和模型表現(xiàn)力之間的平衡關(guān)系，本文選用Mod.1，Mod.3 和Mod.5 作為電力通信網(wǎng)PCM 設(shè)備的基本安全模型。Mod.1 用來(lái)建立雷擊等自然災(zāi)害以及黑客/間諜攻擊的安全模型。Mod.3 用來(lái)建立設(shè)備自身失效的安全模型。Mod.5 主要用于分析內(nèi)部員工行為對(duì)PCM 設(shè)備安全性的影響。這種優(yōu)化既保證了安全模型的全面性和表現(xiàn)力，也兼顧了模型計(jì)算的低復(fù)雜度。

2.2 電力通信網(wǎng)PCM 設(shè)備的安全性分析

隨著技術(shù)的發(fā)展，PCM 設(shè)備已經(jīng)不是傳統(tǒng)意義上僅用來(lái)實(shí)現(xiàn)脈碼調(diào)制功能的簡(jiǎn)單設(shè)備，而是能夠支持交叉連接、多種接口方式、靈活組網(wǎng)、遠(yuǎn)程管理和智能化配置維護(hù)等多種功能的復(fù)雜通信設(shè)備。然而，PCM 設(shè)備在智能化和靈活性方面提高的同時(shí)，其安全性和可靠性也面臨著新的挑戰(zhàn)。統(tǒng)計(jì)表明，PCM 設(shè)備與ATM 或SDH 設(shè)備相比，具有相對(duì)較高的故障率和特殊的故障點(diǎn)。PCM 設(shè)備的故障類型主要有接口模塊故障、電源板故障、程序故障等［17］。PCM 設(shè)備的安全防護(hù)已經(jīng)成為電力系統(tǒng)通信必須要考慮的問(wèn)題。圖2 給出了電力通信網(wǎng)PCM 設(shè)備可能受到的安全威脅。

圖2 電力通信網(wǎng)PCM 設(shè)備的安全威脅Fig.2 Security threats of power communication PCM equipments

2.3 基于貝葉斯網(wǎng)絡(luò)的PCM 設(shè)備安全模型

作為簡(jiǎn)單實(shí)例，圖3 給出了雷擊威脅對(duì)PCM設(shè)備供電電源系統(tǒng)的安全性影響關(guān)系。當(dāng)雷擊事件發(fā)生時(shí)，設(shè)備電源遭受雷擊破壞，從而導(dǎo)致設(shè)備的供電電源中斷，進(jìn)一步破壞設(shè)備中存儲(chǔ)或傳輸數(shù)據(jù)的可用性。采用冗余電源措施，并配置有效的防雷系統(tǒng)可抵御雷擊引起的安全性破壞，降低安全事件的發(fā)生概率。圖3 中的雷擊模型符合圖1(a)中Mod.1 的基本結(jié)構(gòu)。

圖3 貝葉斯建模示例Fig.3 A Bayesian modeling example

以圖1 中Mod.1，Mod.3 和Mod.5 為基本模型，結(jié)合表1 給出的“攻擊－防御”模式，完備的電力通信網(wǎng)PCM 設(shè)備安全模型如圖4所示。圖中C1～C12表示12 項(xiàng)安全防護(hù)措施，T1～T7表示7 類安全威脅，V1～V8表示PCM 設(shè)備在物理和信息方面存在的8 種安全脆弱性，S1～S12表示PCM 設(shè)備在給定威脅、脆弱性和防護(hù)措施前提下，可能出現(xiàn)的12 種安全性事件，G1～G5表示安全事件發(fā)生后對(duì)用戶數(shù)據(jù)可用性、管理數(shù)據(jù)可用性、用戶數(shù)據(jù)保密性、管理數(shù)據(jù)保密性和管理數(shù)據(jù)可用性等5 種安全屬性的影響程度。這5 種屬性綜合起來(lái)可以描述設(shè)備的安全性。

需要指出的是，圖4 是一個(gè)基于貝葉斯網(wǎng)絡(luò)的電力通信PCM 設(shè)備安全模型。安全模型的建模方法是統(tǒng)一的貝葉斯網(wǎng)絡(luò)技術(shù)，貝葉斯網(wǎng)絡(luò)的結(jié)構(gòu)取決于電力通信PCM 設(shè)備所特有的安全威脅、防護(hù)措施、安全脆弱性和安全事件，因此，該模型僅適用于電力通信PCM 設(shè)備的安全性分析。但是，本文提供的方法可以擴(kuò)展到其他通信設(shè)備的建模。重點(diǎn)在于根據(jù)不同設(shè)備的安全性需求，建立不同的“攻擊－防御”模式(表1)，選擇不同的基本模型(圖1)。

2.4 安全模型的概率分配

貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)定性描述了系統(tǒng)中各組成部分之間的因果關(guān)系。貝葉斯網(wǎng)絡(luò)各節(jié)點(diǎn)的概率分配定量描述了條件概率關(guān)系。因此，PCM 設(shè)備的安全性模型不僅要給出如圖4所示的貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)，還要給出網(wǎng)絡(luò)中各節(jié)點(diǎn)的概率分配方法。PCM 設(shè)備安全模型的量化過(guò)程包括輸入節(jié)點(diǎn)賦值、條件概率表賦值、安全性量化計(jì)算和靈敏度分析等4 個(gè)步驟。

(1)輸入節(jié)點(diǎn)賦值

在圖4 中，輸入節(jié)點(diǎn)是指表示安全防御措施的節(jié)點(diǎn)。此類節(jié)點(diǎn)有兩種賦值類型，一種是多等級(jí)賦值(Case1)，本文采用5 等級(jí)劃分制;另一種是2 等級(jí)賦值(Case2)。在Case1 中，防御措施強(qiáng)度定義為“高”、“較高”、“中”、“較低”和“低”等5 個(gè)級(jí)別。在Case2 中，防御措施強(qiáng)度也可定義“是”和“否”等2 個(gè)等級(jí)。防雷系統(tǒng)(C6)、設(shè)備更換(C3)和機(jī)房環(huán)境監(jiān)控(C7)等措施屬于Case1，電源冗余(C5)、定期維護(hù)(C4)和軟件更新(C1)等措施屬于Case2。

防御措施等級(jí)的賦值將影響評(píng)價(jià)結(jié)果，合理、細(xì)化、準(zhǔn)確的等級(jí)劃分是準(zhǔn)確評(píng)價(jià)的關(guān)鍵環(huán)節(jié)。但是過(guò)分強(qiáng)調(diào)細(xì)化，又會(huì)增加賦值難度。表2 給出的賦值方案兼顧了賦值難度和賦值合理性兩個(gè)方面。對(duì)于能夠明確判定“是/否”的情形，采用Case2 的賦值方式較為合理，否則采用Case1 的方式。具體的判定準(zhǔn)則以及賦值原則如表2所示。

貝葉斯網(wǎng)絡(luò)輸入節(jié)點(diǎn)賦值是建模的重要環(huán)節(jié)。為了最大限度保證模型的準(zhǔn)確性和客觀性，本文采用專家主觀評(píng)價(jià)與NIST 公共脆弱性標(biāo)度系統(tǒng)(Common Vulnerability Scoring System，CVSS)計(jì)算［18］相結(jié)合的方法確定防御措施的節(jié)點(diǎn)賦值。

圖4 基于貝葉斯網(wǎng)絡(luò)的PCM 設(shè)備安全模型Fig.4 PCM equipment security model based on Bayesian network

表2 防御措施等級(jí)描述Tab.2 Description of countermeasure level

(2)條件概率表賦值

表3 節(jié)點(diǎn)V3 的條件概率表Tab.3 Conditional probability of node V3

節(jié)點(diǎn)S3描述“設(shè)備斷電”事件，節(jié)點(diǎn)T3描述“雷擊”威脅，S3的父節(jié)點(diǎn)是V3和T3。當(dāng)“雷擊”威脅(T3)存在，且“被雷擊后電源故障”事件(V3)發(fā)生時(shí)，“設(shè)備斷電”事件(S3)的發(fā)生概率很大。節(jié)點(diǎn)S3的條件概率表如表4所示。

表4 節(jié)點(diǎn)S3 條件概率表Tab.4 Conditional probability of node S3

條件概率表與輸入節(jié)點(diǎn)的賦值方法類似，也是在專家主觀評(píng)價(jià)的基礎(chǔ)上，利用CVSS 計(jì)算［18］結(jié)果加以修正，最終得到模型中所有中間結(jié)點(diǎn)的條件概率表。

(3)安全性量化計(jì)算

式(3)可被用來(lái)計(jì)算安全事件發(fā)生的概率P(S3)。

(4)靈敏度

靈敏度表示輸入節(jié)點(diǎn)值的變化對(duì)于輸出節(jié)點(diǎn)值的影響程度。僅考慮某一個(gè)防御措施節(jié)點(diǎn)值的線性變化，且其他防御措施節(jié)點(diǎn)值保持原有狀態(tài)不變，此時(shí)可計(jì)算目標(biāo)節(jié)點(diǎn)Gj(j =1，2，3，4，5)相對(duì)于變化節(jié)點(diǎn)的變化率。例如，當(dāng)C1節(jié)點(diǎn)的值為C1時(shí)，目標(biāo)節(jié)點(diǎn)Gj的值為Gj。C1節(jié)點(diǎn)的值變?yōu)镃1′，目標(biāo)節(jié)點(diǎn)Gj的值變?yōu)镚j′，利用式(4)可計(jì)算每個(gè)輸入?yún)?shù)的靈敏度。

3 算例

以實(shí)際電力通信系統(tǒng)中的PCM 設(shè)備為例進(jìn)行設(shè)備的安全狀態(tài)評(píng)估，并分析安全防護(hù)措施對(duì)設(shè)備安全性的影響，進(jìn)一步驗(yàn)證安全模型的可行性和有效性。首先，根據(jù)表2 對(duì)防護(hù)措施進(jìn)行量化;然后，統(tǒng)計(jì)威脅事件發(fā)生的頻度和強(qiáng)度;最后得到模型輸入節(jié)點(diǎn)的賦值，結(jié)果如表5所示。

表5 節(jié)點(diǎn)賦值Tab.5 Value assignment of nodes

由表5 可知，方案1 在現(xiàn)有安全狀態(tài)下加強(qiáng)了員工安全素質(zhì)培訓(xùn)(C9)，由0.7 提高到了0.9。方案2 在現(xiàn)有安全狀態(tài)下加強(qiáng)了對(duì)產(chǎn)品供應(yīng)商在信息安全聲譽(yù)方面的選擇(C2)，并對(duì)防雷系統(tǒng)進(jìn)行了完善(C6)，同時(shí)提高了機(jī)房監(jiān)控系統(tǒng)的性能(C7)。這兩套方案在不同方面提高了PCM 設(shè)備的安全性。安全目標(biāo)G1～G5的計(jì)算結(jié)果如圖5所示。

目前，設(shè)備維修可以采取事后小修、預(yù)防維修與預(yù)防更換。小修能以最少的維修資源消耗使設(shè)備恢復(fù)至故障前的工作狀態(tài)；預(yù)防維修可以適度改善設(shè)備劣化狀況，充分發(fā)揮其性能以創(chuàng)造更多使用價(jià)值；當(dāng)設(shè)備故障率較大或預(yù)防維修代價(jià)過(guò)高時(shí)，預(yù)防更換能夠更好地保證設(shè)備可靠工作。綜合利用以上3種維修方式的各自優(yōu)勢(shì)，本維護(hù)模型采取組合維修，執(zhí)行不完全預(yù)防性的彈性計(jì)劃?rùn)z修模式，具體的不完全預(yù)防性維修策略安排如圖1所示。

分析結(jié)果表明，方案1 加強(qiáng)了C9，有效降低了用戶數(shù)據(jù)和網(wǎng)絡(luò)管理數(shù)據(jù)在可用性方面遭受破壞(G1)的概率，但對(duì)其他安全目標(biāo)的改善程度較小。方案2 同時(shí)加強(qiáng)了3 種安全防護(hù)措施，改善了設(shè)備的整體安全性，但顯著程度比方案1 要低。也就是說(shuō)，對(duì)PCM 設(shè)備而言，加強(qiáng)員工的安全培訓(xùn)要比選擇廠商、加固防雷系統(tǒng)以及加強(qiáng)機(jī)房環(huán)境監(jiān)測(cè)更能提高設(shè)備的整體安全性。這也說(shuō)明，決策者選擇恰當(dāng)、有效防御措施的重要性。

靈敏度計(jì)算可量化模型輸入對(duì)輸出的影響程度，有助于決策者選擇最有效的防御手段。利用式(4)可以計(jì)算各種防御措施的靈敏度，結(jié)果如圖6所示。

由圖6 可知，在所有防御措施中，“完善規(guī)章制度”(C8)節(jié)點(diǎn)是影響電力通信系統(tǒng)用戶和網(wǎng)管數(shù)據(jù)可用性的主要因素，“員工的安全培訓(xùn)”和“對(duì)設(shè)備的定期維護(hù)”等措施也對(duì)PCM 設(shè)備數(shù)據(jù)可用性具有較大影響。

圖5 不同安全方案的效果比較Fig.5 Effect comparison of different security schemes

圖6 不同防御措施的靈敏度Fig.6 Sensitivity of different countermeasures

由圖6 還可以看到，用戶和管理數(shù)據(jù)的可用性(G1，G2)被破壞的概率最高，相應(yīng)的安全程度最低。在C2，C6，C7和C9等4 個(gè)節(jié)點(diǎn)中，C9的敏感度最高。這也說(shuō)明了為什么方案1 比方案2 在設(shè)備安全性方面具有更好的效果。其實(shí)，根據(jù)所建立的安全模型，完善安全管理制度(C8)是提升PCM 設(shè)備安全性的關(guān)鍵。

4 結(jié)論

在電力系統(tǒng)通信中，PCM 設(shè)備承載著繼電保護(hù)、安全穩(wěn)定控制、遠(yuǎn)動(dòng)、調(diào)度電話等絕大多數(shù)業(yè)務(wù)，其安全性直接影響到電力系統(tǒng)一次設(shè)備的可靠、安全運(yùn)行。

本文從物理和信息兩個(gè)方面分析了PCM 設(shè)備的脆弱性和可能存在的威脅。以威脅、脆弱性、防御措施和安全事件之間的關(guān)系為基礎(chǔ)，建立了PCM 綜合安全模型。實(shí)例表明該模型直觀有效，有利于設(shè)備的安全等級(jí)量化，靈敏度分析則進(jìn)一步幫助決策者進(jìn)行設(shè)備的安全性防護(hù)。盡管本文建立的模型主要針對(duì)PCM 設(shè)備的安全，但是對(duì)其他電力通信設(shè)備的安全性建模仍然具有參考價(jià)值。下一步研究工作將集中在降低模型節(jié)點(diǎn)條件概率表賦值的主觀性方面。

［1］Sridhar S，Hahn A，Govindarasu M.Cyber– physical system security for the electric power grid［J］.Proceedings of the IEEE，2012，100 (1):210－224.

［2］Mo Y，Kim T H H，Brancik K，et al.Cyber–physical security of a smart grid infrastructure［J］.Proceedings of the IEEE，2012，100 (1):195－209.

［3］Yang Q，Yang J，Yu W，et al.On False Data Injection Attacks against Power System State Estimation:Modeling and Counter measures［J］.2013.

［4］葉云，徐錫山，齊治昌.大規(guī)模網(wǎng)絡(luò)中攻擊圖的節(jié)點(diǎn)概率計(jì)算方法［J］.計(jì)算機(jī)應(yīng)用與軟件，2011，28 (11):36－139，192.

［5］Sommestad T，Ekstedt M，Johnson P.Cyber Security Risks Assessment with Bayesian Defense Graphs and Architectural Models［C］.HICSS，2009.1－10.

［6］王楨珍，姜欣，武小悅，等.信息安全風(fēng)險(xiǎn)概率計(jì)算的貝葉斯網(wǎng)絡(luò)模型［J］.電子學(xué)報(bào)，2010，38(B02):18－22.

［7］Sommestad T，Ekstedt M，Nordstrom L.Modeling security of power communication systems using defense graphs and influence diagrams［J］.Power Delivery，IEEE Transactions on，2009，24 (4):1801－1808.

［8］馮小安.一種新的電力信息系統(tǒng)安全模型及其評(píng)價(jià)方法［J］.華北電力大學(xué)學(xué)報(bào)，2010，37 (5):47－51.

［9］王宇飛，徐志博，王婧.層次化電力信息網(wǎng)絡(luò)威脅態(tài)勢(shì)評(píng)估方法［J］.中國(guó)電力，2013 (7):121－125.

［10］李素若.電力監(jiān)控系統(tǒng)的脆弱性量化模型研究［J］.華北電力大學(xué)學(xué)報(bào)，2013，40 (5):70－74.

［11］Wang W，Lu Z.Cyber security in the Smart Grid:Survey and challenges［J］.Computer Networks，2013，57(5):1344－1371.

［12］IEC/TS 62351－1 Power systems management and associated information exchange-data and communications security.Part 1:Communication network and system security introduction to security issues［S］.2007.

［13］ISO/IEC 27002，Information technology– Security techniques-information security management guidelines for telecommunications organizations［S］.2008.02.

［14］GB/T 20984－2007 信息技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范［S］.2007.

［15］Vukovic O，Sou K C，Dán G，et al.Network-aware mitigation of data integrity attacks on power system state estimation［J］.Selected Areas in Communications，IEEE Journal on，2012，30 (6):1108－1118.

［16］Huang Y，Esmalifalak M，Nguyen H，et al.Bad data injection in smart grid:attack and defense mechanisms［J］.Communications Magazine，IEEE，2013，51(1):27－33.

［17］郭玉松，蔡登榮.PCM 設(shè)備的維護(hù)與管理［J］.電力系統(tǒng)通信，2009，30 (5):65－68.

［18］Nayot P，Rinku D，Indrajit R.Dynamic security risk management using Bayesian attack graphs［J］.Dependable and Secure Computing，IEEE Transactions on，2012，9 (1):61－74.