网络物理系统安全之CPS域之电网

CPS域 

在介绍了保护CPS的一般原则之后，在本节中，我们将讨论CPS的特定域安全问题。我们特别关注工业控制系统、电网、运输系统、车辆、机器人、医疗设备和消费物联网。

3.2电网

在世纪之交，美国国家工程院选择了20世纪排名前20位的工程成就（最能改善人们生活质量的成就），而排在首位的是电网[176]。自成立以来的大约140年里，电网已将输电线路扩展到全球50亿人，为全球人民带来照明、制冷和许多其他基本服务。

电网由三大部分组成：（1）发电、（2）输电和（3）配电。在方便和经济的地方产生电力，然后在高电压（100kV-500kV）下传输，以尽量减少能量损失-电力等于电压乘以电气电流（P=VI），（并且在给定恒定功率的情况下，高压线具有较少的电流），因此当电流通过传输线时，作为热量损失的能量较少。从地理上讲，配电系统位于较小的区域，因此能量损失不太重要，而安全（防止事故、火灾、触电等）则不是一个问题。更重要的是，因此它们在较低的电压下运行。

传输系统是一个互连的冗余网络，跨越大区域（通常是一个国家）。大型发电厂和输电网络（电网的前两部分）通常被称为大功率系统，这种大容量电力系统负责向大面积可靠地输送电力。大电网中断可能导致国家级停电，需要几天的黑启动期才能重新启动系统。相比之下，配电系统（电网的第三部分）要小得多，它们的网络是径向的（非冗余的），并且系统中的故障通常只会导致局部停电（例如，停电邻里）。这就是为什么大多数政府和行业努力优先考虑在大容量电力系统中创建安全标准的原因[152]。

与电力系统安全相关的最流行的工作之一是研究虚假数据注入攻击，以导致电网中的算法行为不端。这类攻击中最受欢迎的是针对状态估计的虚假数据注入攻击。在电网中，运营商需要根据输电网中测量的潮流yk估计相位角xk。正如在关于CPS安全的一节中提到的，不良数据检测算法旨在检测随机传感器故障，而不是战略攻击，正如Liu等人所说。[29，177]表明，攻击者有可能创建不会发出警报的虚假传感器信号（能源部门使用的软件中的实验验证后来得到证实[178]）。有大量的后续研究集中在电网状态估计的虚假数据注入上，包括Da'n和Sandberg[179]的工作，他们研究了problem。识别最好的k传感器，以尽量减少攻击的影响，Kosut等人[180]认为攻击者试图最小化估计中引入的错误，而防御者则使用新的检测算法试图检测虚假数据注入攻击。进一步的工作包括[124，81，181，182，183]。 

3.2.1智能电网

虽然当前的电网架构多年来一直运行良好，但对世界电网进行现代化改造的需求日益增长，以满足新的要求并利用的新技术。这种现代化包括可再生能源的整合、智能电表的部署、消费者与电网之间的电力交换等。图6说明了其中的一些概念。电网现代化的理由包括以下原因：

效率：智能电网计划的主要驱动力之一是需要更有效地利用现有资产。电力需求高峰每年都在增长，因此公用事业公司每年需要在新的发电厂及其相关基础设施上花费更多的钱。但是，峰值需求仅在16%的时间内需要，因此满足此峰值需求所需的设备将在其余时间保持空闲状态。

智能电网的目标之一是通过激励消费者减少电力消耗，将电网从负载跟随转变为负载整形。需求高峰期。除了提高电网稳定性外，减少峰值需求还可以使公用事业公司推迟或避免建设新的电站。用于塑造负载的控制或激励操作通常称为需求响应。

效率还涉及新能源和可再生能源的整合，如风能和太阳能，以减少碳足迹。

可靠性：电网现代化的第二个主要目标是可靠性，特别是在配电层（传输层更可靠）。通过在整个电网中部署新的传感器和执行器，运营商可以接收有关电网状态的实时、细粒度数据，从而实现更好的态势感知、更快的故障（或攻击）检测以及更好的控制系统，从而减少中断。例如，智能电表的部署允许配电公司自动识别停电的位置和来源。

消费者选择：第三个目标是解决当前电网为消费者提供的缺乏透明度的问题。目前，大多数消费者每月只收到有关其能源使用情况的更新。一般来说，消费者不知道他们在一天中的不同时间支付的电力消耗和价格。他们也没有被告知其消费的其他重要方面，例如通过可再生资源产生的电力比例。这些信息可用于塑造使用模式（即负载）。智能电网的目标之一是为消费者提供有关其能源使用的实时数据和分析。智能家电和能源管理系统将根据消费者的偏好使家庭和企业自动化，例如节省成本或确保消耗更多的可再生能源。

为了实现这些目标，与智能电网相关的主要举措是先进的计量基础设施、需求响应、输配电自动化、分布式能源和电动汽车的集成。

虽然电网现代化将带来许多优势，但它也可能产生新的威胁载体。例如，通过增加收集的消费者信息量，新的攻击形式将成为可能[185]。智能电网技术可用于推断用户的位置和行为，包括他们是否在家、他们消耗的能源量以及他们拥有的设备[186，187]）。

除了新的隐私威胁之外，另一种潜在的新攻击被称为负载改变攻击。负载改变攻击以前已经在需求响应系统中进行了研究[188，189，190，191，192，193]。需求响应计划为控制电力需求提供了一种新的机制，以提高电网的稳定性和能源效率。需求响应计划的基本形式是激励（例如，通过动态定价）消费者减少高峰时段的电力消耗。目前，这些计划主要由大型商业消费者和管理大型校园和建筑物的政府机构使用，其运作基于公用事业公司或需求响应提供商（例如，EnelX等公司）要求消费者在高峰时段降低能耗。随着这些程序变得越来越普遍（针对住宅消费者）和自动化（使公用事业或需求响应公司能够直接远程控制其客户的负载），负载改变攻击的攻击面将会增加。提出的攻击认为攻击者已经获得了控制远程负载的公司的访问权限，并且可以将大量负载更改为影响电力系统并导致系统效率低下，攻击者的经济利润，或可能导致足够的负载变化来改变电网的频率并造成大面积停电。需求响应系统可以通过互动式能源市场推广，其中产消者（具有能源生产和储存能力的消费者）可以相互交换能源，从而带来自己的隐私和安全挑战[194]。

最近，索尔坦等人。[195]研究了相同类型的负载改变攻击，但是当攻击者创建一个包含数十万个高能物联网设备（如热水器）的大规模僵尸网络时。和空调）。对于如此大的僵尸网络，攻击者可能导致（i）频率不稳定，（ii）线路故障和（iii）运营成本增加。黄等人的后续工作。[196]表明，创建系统停电-这将需要几天的黑色启动期来重新启动电网-甚至大部分停电大电网可能非常困难，部分原因是电网对负载变化有多种保护，包括欠频减载。

原文始发于微信公众号（河南等级保护测评）：网络物理系统安全之​CPS域之电网