针对恶意攻击的信息与物理协同分析与防御系统

技术领域

本发明涉及针对恶意攻击的信息与物理协同分析与防御系统，属于电力系统网络安全技术领域。

背景技术

随着坚强智能电网和物联网的发展，电力物理系统的安全越来越依赖信息系统的安全，二者密不可分。现有信息系统安全防护体系和电力物理系统安全防护体系相对孤立，没有整体的防御体系和方案，导致现在坚强智能电网和电力物联网在应对信息安全问题的能力方面存在先天不足。

具体表现在以下几个方面：

“网络安全管理平台”是信息侧网络安全防护系统，其具备对控制网络空间内服务器、交换机、数据库、安防设备等进行实时监视、风险评估、预警告警、定位溯源、审计分析等功能。但是目前的“网络安全管理平台”存在如下不足：①风险评估为基于专家经验的评估方法，无法定量评估恶意网络攻击对电力一次系统的影响。②对攻击事件的闭环处置能力不足，对于网络安全事件处置主要依赖于人工处理。

“安控集中管理系统”属于D5000系统的实时监控与预警类的电网实时监控与智能告警应用，具备对安全稳定控制装置运行状态进行监视与分析的功能。但是目前“安控集中管理系统”存在如下不足：①监视的信息仅涉及电气量、开入信号、压板状态、装置动作记录等，不涉及网络安全相关的信息，因而不具备针对安全稳定控制装置进行网络安全监测与分析功能。②安控策略模型中缺少装置间信息交互模型，因而无法分析网络攻击装置间通信通道后对安控系统的影响。

“电网安全稳定防御系统”以稳定性量化技术为支撑，通过广域量测、稳定量化分析和多道防线优化控制保障电网的安全稳定运行。目前“电网安全稳定防御系统”与“安控集中管理系统”进行数据交互，可以考虑安全稳定控制装置闭锁等部分情况的影响。但是“电网安全稳定防御系统”仅仅针对传统自然故障设置了防御策略，不具备防御网络攻击对电网安全影响的能力。

目前上述各个系统之间缺少信息交互，信息侧和物理侧缺乏足够的协调联动，导致各个系统在防御网络攻击方面存在诸多不足。本领域技术人员急需要解决以上不足。

发明内容

目的：为了克服现有技术中存在的现有信息系统安全防护体系和物理系统安全防护体系相对孤立，对网络安全防护能力不足的问题，本发明提供针对恶意攻击的信息与物理协同分析与防御系统，突破信息-物理融合瓶颈问题，挖掘信息-物理协同潜力，实现信息-物理协同防御，从而提升安全稳定控制系统和信息物理电力系统的网络安全分析和防御能力。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种针对恶意攻击的信息与物理协同分析与防御系统，包括：网络安全管理平台、安控集中管理系统、电网安全稳定防御系统，还包括：网络设备与安控业务逻辑映射关系分析模块、考虑安控系统影响的攻击处置模块。

所述网络设备与安控业务逻辑映射关系分析模块，用于根据安控业务信息流在网络设备中的承载关系，建立网络设备与安控业务的关联关系模型，根据网络安全设备检测到的可能遭受的攻击行为和关联关系模型，分析网络攻击对业务流的影响，将攻击影响的分析的结果发给安控集中管理系统，支撑安控集中管理系统和电力系统的分析与决策，接收安控集中管理系统发过来的攻击对安全稳定控制系统影响的评估结果。

所述考虑安控系统影响的攻击处置模块，用于根据接收的安控集中管理系统发来的攻击影响的评估结果和隔离处置被攻击网络设备后的评估结果，制定网络设备被攻击后的处置策略，实现针对网络攻击的闭环处置。所述处置策略包括攻击预处置策略和处置策略决策执行，攻击预处置策略对安控业务流的影响，将分析结果发往安控集中管理系统；接收安控集中管理系统发过来的攻击预处置策略对安控业务流影响的评估结果；所述评估结果包括攻击影响评估和处置策略影响评估，攻击影响评估根据网络设备与安控业务逻辑映射关系分析模块得到的当前遭受到的攻击方式和安控集中管理平台发过来的攻击对安控业务流影响的评估结果，综合评估攻击对安控业务流的影响；处置策略影响评估根据攻击预处置策略和安控集中管理平台发过来的攻击预处置策略对安控业务流影响的评估结果，综合评估攻击预处置策略对业务流的影响。

作为优选方案，还包括：安控系统网络安全监视与辨识模块、考虑攻击影响的安控动作行为分析模块；

所述安控系统网络安全监视与辨识模块，用于采集安全稳定控制装置的网络安全相关的特征量，结合安全稳定控制系统的控制逻辑，从安全稳定控制系统层面对网络安全相关的特征量进行分析，从安全稳定控制系统层面辨识恶意攻击行为，根据辨识结果产生告警，将辨识结果与网络安全相关的特征量在安控集中管理系统中进行集中的展示，供运行人员进行监视，实现针对安控装置的网络安全监视与分析。

所述考虑攻击影响的安控动作行为分析模块，用于对安控策略模型进行改造，建立安控装置间信息交互的模型和安控装置本体控制决策功能模型，使安控策略模型满足网络攻击的分析需求；通过接收网络安全管理平台发来的网络设备遭受攻击可能对安控业务流影响的分析结果，同时根据安控系统网络安全监视与辨识模块得到的安控装置遭受攻击的情况，分析攻击可能引起的安全稳定控制系统的动作行为，并且将分析结果发给电网安全稳定防御系统，支撑电力系统的控制决策；接收电网安全稳定防御系统发过来的攻击对电力系统影响的评估结果；将网络设备攻击/预处置对安控业务流影响的评估结果发给网络安全管理平台。

作为优选方案，还包括：考虑攻击影响的预想故障集生成与筛选模块、考虑攻击影响的辅助决策模块；

所述考虑攻击影响的预想故障集生成与筛选模块，用于根据安控集中管理系统发来的攻击可能引起的安全稳定控制系统的动作行为分析结果，分析攻击后可能产生的组合预想故障，并根据组合预想故障对电力系统稳定性的影响进行定量评估，筛选出关键故障集。

所述考虑攻击影响的辅助决策模块，用于针对考虑攻击影响的预想故障集生成与筛选模块筛选出的关键故障集，根据安控集中管理系统发来的攻击可能引起的安全稳定控制系统的动作行为分析结果，校核安控策略的有效性，并对不安全的关键组合故障进行辅助决策，防御网络攻击产生的电网安全稳定问题。基于现有功能重新从候选措施集中搜索出替代的控制措施。对于组合故障集进行控制措施的搜索，生成对应的控制措施；根据故障集中故障、攻击前措施和替代控制措施，综合评估攻击对电力系统的影响；将攻击对电力系统的影响评估结果发给安控集中管理系统。

作为优选方案，攻击预处置策略指根据当前遭受到的攻击方式，制定针对被攻击网络设备的预处置策略，如禁用接口、断开会话连接、断开网口，联动防火墙、安防设备进行策略阻断。处置策略决策执行是指根据攻击对业务流影响的评估结果和预处置策略对业务流影响的评估结果，综合判定是否直接执行预处置策略，如果判定结果为“是”，则执行预处置策略，从而实现闭环处置。如果判定结果为“否”，则需要启动人工处置流程。

作为优选方案，所述网络安全相关的特征量包括：配置不合理告警信息、操作不合规告警信息、响应不合理告警信息。

作为优选方案，所述对安控策略模型进行改造，包括：一是对现有安控策略模型进行拆分和细化，形成每个安全稳定控制装置具体控制逻辑模型，显性描述装置间交互的信息模型。二是建立网络安全相关的特征量与安控策略模型的联系，使得安控策略模型满足攻击分析的需求。所述安全稳定控制系统的动作行为分析，包括安全稳定控制装置被攻击后的动作行为分析和网络设备被攻击以后的动作行为分析，安全稳定控制装置被攻击后的动作行为分析是基于安控策略模型，根据安全稳定控制装置的网络安全特征量和针对网络特征量的分析结果，分析安控装置被攻击以后安全稳定控制系统的动作行为。网络设备被攻击以后的动作行为分析是基于安控策略模型，根据网络安全管理平台发送过来的攻击/预处置对业务流影响，分析网络设备被攻击以后的安全稳定控制系统的动作行为；攻击对安控业务流影响的评估结果，包括安控装置攻击影响评估和网络设备攻击/预处置策略影响评估。根据安全稳定控制装置和网络设备被攻击/预处置情况和电网安全稳定防御系统发过来的攻击对电力系统的影响评估，综合评估攻击对安全稳定控制系统的影响。

有益效果：本发明提供的针对恶意攻击的信息与物理协同分析与防御系统，该防御框架通过对“网络安全管理平台”、“安控集中管理系统”和“电网安全稳定防御系统”通过增加网络设备与安控业务逻辑映射关系分析模块、考虑安控系统影响的攻击处置模块进行改造与功能提升，，提升了“网络安全管理平台”的攻击处置能力。

另外，不同系统之间协同配合，提升了“安控集中管理系统”的网络安全监测与分析能力，提升了“电网安全稳定防御系统”防御网络攻击的能力。有利于提升安全稳定控制系统和信息物理电力系统的网络安全分析和防御能力。

附图说明

图1是针对恶意攻击的信息与物理协同分析与防御系统结构示意图。

具体实施方式

下面结合具体实施例对本发明作更进一步的说明。

针对恶意攻击的信息与物理协同分析与防御系统，在现有“网络安全管理平台”、“安控集中管理系统”和“电网安全稳定防御系统”的基础上，通过对不同系统进行改造与功能提升，实现不同系统之间的数据交互，完成不同系统之间的协同配合，建立信息-物理的协同分析与防御框架。

如图1所示，通过打通“网络安全管理平台”、“安控集中管理系统”和“电网安全稳定防御系统”之间的数据交互，并基于交互的数据增加各个系统的功能模块，从而实现各个系统之间的协调联动，提升网络攻击的防御能力。具体的方案为：

在传统“网络安全管理平台”的基础上，增加的两个功能模块：

①“网络设备与安控业务逻辑映射关系分析模块”。传统“网络安全管理平台”具备对交换机、服务器等网络设备的网络安全监测能力，但是不具备分析这些网络设备被攻击后可能会对安全稳定控制系统的影响。

该模块的功能为：根据安控业务信息流在网络设备中的承载关系，建立网络设备与安控业务的关联关系模型，进而可以分析网络设备遭受攻击后可能对安控业务造成的影响，并且攻击影响的分析的结果可以发往“安控集中管理系统”，支撑安控系统和电力系统的分析与决策。

该模块主要包括三部分功能：a）第一部分为安控业务流与网络设备的关联关系模型。根据安控业务信息流在网络设备中的承载关系（安控业务信息流包括：采集信息流、控制信息流、决策信息流、管理信息流），如A交换机上承载的为安控业务的管理信息流，安控的管理信息流承载于A交换机和B服务器上，建立网络设备与安控业务流的映射关系模型。b）第二部分为网络攻击对安控业务流的影响分析。根据网络安全设备检测到的可能遭受的攻击行为（例如针对交换机的数据篡改攻击）和关联关系模型，进一步分析网络攻击对业务流的影响（如安控业务的管理信息流遭受到了数据篡改攻击）。c）第三部分为数据交互。将分析的结果以固定的格式发给“安控集中管理系统”，支撑安控系统和电力系统的分析与决策。同时，接收“安控集中管理系统”发过来的攻击对安控业务影响的评估结果（如安控业务的管理信息流遭受数据篡改攻击后的风险）。

②“考虑安控系统影响的攻击处置模块”。传统“网络安全管理平台”由于不明确网络设备被攻击后可能对安控业务系统的影响，即使检测出遭受网络攻击也无法实时的进行隔离和处置等。

该模块功能为：通过接收“安控集中管理系统”发来的攻击影响的评估结果和隔离处置被攻击网络设备后的评估结果，从而制定网络设备被攻击后的处置策略，从而实现针对网络攻击的闭环处置。

该模块主要包括三部分功能：a）第一部分为攻击处置功能，包括攻击预处置策略和处置策略决策执行两部分。攻击预处置策略指根据当前遭受到的攻击方式，制定针对被攻击网络设备的预处置策略（如禁用接口、断开会话连接、断开网口，联动防火墙、安防设备进行策略阻断等）。处置策略决策执行是指根据攻击对业务流影响的评估结果和预处置策略对业务流影响的评估结果，综合判定是否直接执行预处置策略，如果判定结果为“是”，则执行预处置策略，从而实现闭环处置。如果判定结果为“否”，则需要启动人工处置流程。b）第二部分为数据交互功能。将针对攻击设备的预处置策略通过“网络设备与安控业务逻辑映射关系分析模块”进行分析，将得到的预处置策略对安控业务流的影响，将分析结果发往“安控集中管理系统”。同时接收“安控集中管理系统”发过来的预处置策略对安控业务影响的评估结果。c）第三部分为攻击影响和处置策略评估功能，包括攻击影响评估和处置策略影响评估。其中攻击影响评估根据“网络设备与安控业务逻辑映射关系分析模块”得到的当前遭受到的攻击方式和“安控集中管理平台”发过来的攻击对安控业务影响的评估结果，综合评估攻击对业务流的影响。处置策略影响评估根据预处置策略和“安控集中管理平台”发过来的预处置策略对安控业务影响的评估结果，综合评估预处置策略对业务流的影响。

在传统“安控集中管理系统”的基础上，增加的两个功能模块：

③“安控系统网络安全监视与辨识模块”，即针对安全稳定控制装置进行网络安全相关的信息采集、监视、分析与攻击辨识。目前“安控集中管理系统”监视的信息仅涉及电气量、开入信号、压板状态、装置动作记录等，不涉及网络安全相关的信息，如无法采集与监视网络攻击引起的安控装置告警信息，不具备针对安全稳定控制装置进行网络安全监测与分析功能。

该模块功能为：通过采集安全稳定控制装置的网络安全相关的特征量，如操作不合规告警信息、响应不合理告警信息等，并在安控集中管理系统中进行集中的展示，供运行人员进行监视，从而实现针对安控装置的网络安全监视与分析。

该模块主要包括三部分：a）第一部分为网络安全特征量采集。对安全稳定控制装置进行改造，增加网络安全特征量的采集功能（如配置不合理告警信息、操作不合规告警信息、响应不合理告警信息等），并将采集的信息发送至“安控集中管理系统”。b）第二部分为网络安全特征量分析。针对采集的安全稳定控制装置上送的网络安全特征量，结合安全稳定控制系统的控制逻辑，从安控系统层面对网络安全特征量进行分析（比如装置间交互报文比对、安控系统的响应合理性分析），从而从安控系统层面辨识恶意攻击行为，并根据辨识结果产生告警。c）第三部分为网络安全告警的集中展示。对安全稳定控制装置上送的网络安全特征量和网络安全特征量的分析得到的攻击行为通过画面进行集中展示，支撑运行维护人员进行实时监视与分析。

④“考虑攻击影响的安控动作行为分析模块”，目前“安控集中管理系统”中由于安控策略模型中缺少装置间信息交互模型和装置本体控制决策功能模型，因而无法分析网络攻击后对安控系统的影响。

该功能模块功能为：首先需要对安控策略模型进行改造，建立装置间信息交互的模型和装置本体控制决策功能模型，使其满足网络攻击的分析需求。在此基础上，通过接收“网络安全管理平台”发来的网络设备遭受攻击可能对安控业务影响的分析结果，同时根据“安控系统网络安全监视与辨识模块”得到的安控装置遭受攻击的情况，分析攻击可能引起的安全稳定控制系统的动作行为，并且分析结果可以发给“电网安全稳定防御系统”，支撑电力系统的控制决策。

该模块主要包括四部分：a）第一部分为安控策略模型。对现有安控策略模型做两个方面的改造：一是对现有安控策略模型进行拆分和细化，形成每个安全稳定控制装置具体控制逻辑模型，显性描述装置间交互的信息模型。二是建立网络安全特征量与安控策略模型的联系，从而使得模型满足攻击分析的需求。b）第二部分为安控动作行为分析，包括安全稳定控制装置被攻击后的动作行为分析和网络设备被攻击以后的动作行为分析。安全稳定控制装置被攻击后的动作行为分析是基于安控策略模型，根据安全稳定控制装置的网络安全特征量和针对网络特征量的分析结果，分析安控装置被攻击以后安全稳定控制系统的动作行为（如安控装置A误动导致机组AA误切，安控装置B拒动导致切机组BB措施无法执行，安控装置C误动导致线路CC误跳）。网络设备被攻击/预处置后的动作行为分析是基于安控策略模型，根据“网络安全管理平台”发送过来的攻击/预处置对业务流影响，分析网络设备被攻击以后的安控系统的动作行为。c）第三部分为数据交互。将安全稳定控制系统的动作行为分析结果发给“电网安全稳定防御系统”。接收“电网安全稳定防御系统”发过来的攻击对电力系统影响的评估结果。将网络设备攻击/预处置对安控业务影响的评估结果发给“网络安全管理平台”。d）第四部分为攻击对安控业务流的影响评估，包括安控装置攻击影响评估和网络设备攻击/预处置策略影响评估。根据安全稳定控制装置和网络设备被攻击/预处置情况和“电网安全稳定防御系统”发过来的攻击对电力系统的影响评估，综合评估攻击对安全稳定控制系统的影响。

在传统“电网安全稳定防御系统”的基础上，增加的两个功能模块：

⑤“考虑攻击影响的预想故障集生成与筛选模块”。目前“电网安全稳定防御系统”仅仅针对传统自然故障设置了防御策略，不具备防御网络攻击对电网安全影响的能力。

该功能模块的功能为：根据“安控集中管理系统”发来的攻击可能引起的安全稳定控制系统的动作行为分析结果，分析攻击后可能产生的预想故障，并根据其对电力系统稳定性的影响进行定量评估，筛选出关键故障集。

该模块主要包括两部分：a）第一部分为攻击下故障集生成模块。根据“安控集中管理系统”发过来的攻击可能引起的安全稳定控制系统的动作行为分析结果，生成组合故障集（如机组AA误切+BB措施无法执行+线路CC跳闸）。b）第二部分为攻击下故障集筛选模块。对生成的故障集进行在线的仿真计算，筛选出会造成电力系统失稳的关键组合故障集。

⑥“考虑攻击影响的辅助决策模块”。

该模块功能为：针对“考虑攻击影响的预想故障集生成与筛选模块”筛选出的关键故障集，根据“安控集中管理系统”发来的攻击可能引起的安全稳定控制系统的动作行为分析结果，校核安控策略的有效性，并对不安全的关键组合故障进行辅助决策，从而可以防御网络攻击产生的电网安全稳定问题。

该模块主要包括四部分：a）第一部分为安控策略有效性校核。根据“安控集中管理系统”发过来的安控系统的动作行为分析结果，通过在线仿真校核现有安控策略执行的有效性（如BB切机措施无法执行会导致某个N-2故障下系统失稳）。b）第二部分为安控策略辅助决策。对于校核不通过的组合故障集，基于现有功能重新从候选措施集中搜索出替代的控制措施。对于攻击下故障集筛选模块筛选出来的组合故障集进行控制措施的搜索，生成对应的控制措施。c）第三部分攻击对电力系统的影响评估。根据故障集中故障、攻击前措施和替代控制措施，综合评估攻击对电力系统的影响。d）第四部分为数据交互。将攻击对电力系统的影响评估结果发给“安控集中管理系统”。

如图1所示，各个系统之间交互的数据包括：1）“网络安全管理平台”与“安控集中管理系统”交互的数据包括当前信息通信系统受到的攻击方式、攻击影响的安控通道和装置等。2）“安控集中管理系统”与“网络安全管理平台”之间交互的数据包括攻击对安控业务和电力一次系统影响的评估结果。3）“安控集中管理系统”与“电网安全稳定控制系统”之间交互的数据包括恶意攻击下安控系统的动作行为。4）“电网安全稳定控制系统”与“安控集中管理系统”之间交互的数据包括恶意攻击对电网一次系统影响的评估结果。

通过上述三个原本孤立系统之间的数据交互和功能改造，本质上从信息-物理融合与协同的角度解决如下三个问题：（1）哪些信息通信设备受到了攻击。受到了何种方式的攻击。（2）信息通信设备遭受攻击后会对安全稳定控制系统和电力一次系统造成什么影响。（3）怎么防御网络攻击。通过解决上述三个问题，从而实现信息-物理的耦合分析与协调联动。

第一个问题实际上是针对信息通信设备（包括常规信息通信设备、安全稳定控制设备等）的网络攻击辨识问题。“网络安全管理平台”已针对计算机、数据库、网络设备和安防设备等常规的信息通信设备进行网络安全的监视与辨识。因此，还需要针对安全稳定控制装置进行网络安全相关的信息采集与攻击辨识，即图1中③所示的“安控系统网络安全监视与辨识模块”。

第二个问题实际上是网络攻击的影响分析问题，包括：1）信息通信设备遭受攻击后会对哪些安控业务有影响，即图1中①所示的“网络设备与安控业务逻辑映射关系分析模块”。2）恶意攻击信息通信设备以后对安控策略和安控动作行为有何影响，即图1中④所示的“考考虑攻击影响的安控动作行为分析模块”。3）恶意攻击可能会引起哪些电力故障，即图1中⑤所示的“考虑攻击影响的预想故障集生成与筛选模块”。

第三个问题实际上是网络攻击的防御问题，包括：1）信息侧对于被攻击信息通信设备的闭环处置方案，即红框②中“考虑安控系统影响的攻击处置模块”。2）电力侧对于恶意攻击下电力故障的防御，即红框⑥中“考虑攻击影响的辅助决策模块”。

1）“网络安全管理平台”增加的功能包括：①“信息通信设备与安控业务逻辑映射关系分析”，即建立信息通信设备与安控系统的关联关系，满足信息通信设备攻击后可能对安控系统造成的影响分析。② “考虑安控系统影响的信息通信设备攻击处置策略”，即“网络安全管理平台”在制定攻击处置策略时能够考虑到其对安控系统影响。2）“安控集中管理系统”增加的功能包括：① “安控系统网络安全监视与辨识”，即针对安全稳定控制装置进行网络安全相关的信息采集、监视、分析与攻击辨识。② “考虑攻击影响的安控动作行为分析”，即分析恶意攻击安控装置以后对安控策略和安控动作行为的影响。3）“电网安全稳定防御系统”增加的功能包括：①“考虑攻击影响的预想故障集生成与筛选”，即根据恶意攻击下安控装置的动作行为生成攻击可能产生的预想故障，并根据其对电力系统稳定性的影响筛选出关键故障集。② “考虑攻击影响的辅助决策”，即根据筛选出的关键故障集，进行安全稳定控制策略的校核和辅助决策。

交互的数据包括：1）“网络安全管理平台”与“安控集中管理系统”交互的数据包括当前信息通信系统受到的攻击方式、攻击影响的安控通道和装置等。2）“安控集中管理系统”与“网络安全管理平台”之间交互的数据包括攻击对安控业务和电力一次系统影响的评估结果。3）“安控集中管理系统”与“电网安全稳定控制系统”之间交互的数据包括恶意攻击下安控系统的动作行为。4） “电网安全稳定控制系统”与“安控集中管理系统”之间交互的数据包括恶意攻击对电网一次系统影响的评估结果。

实施例1：

“网络安全管理平台”，通过对控制网络空间内计算机、网络设备、安防设备等进行实时监视、预警告警、定位溯源、审计分析等，从而推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变。但是目前的“网络安全管理平台”存在如下问题：①不能对电力二次系统进行监视与分析，如安全稳定控制装置、保护装置等，仅针对常规的计算机、数据库、网络设备和安防设备等进行监视与分析。②风险评估为定性分析，多是统计分析或者是基于专家经验的一套评估体系，无法定量评估恶意网络攻击对电力一次系统的影响。③闭环处置能力不足，对于网络安全事件仅限于产生告警，对于安全事件的处理还是依赖于人工处理。

“安控集中管理系统”属于D5000系统的实时监控与预警类的电网实时监控与智能告警应用，通过在调度中心站对安全稳定控制装置运行状态进行监视与分析，保障安全稳定控制系统的安全可靠运行。但是目前“安控集中管理系统”①仅涉及电气量、开入信号、压板状态、装置动作记录等，不涉及网络安全相关的信息，因而无法针对安全稳定控制装置进行信息安全方面的监测与分析。②安控策略模型中无法反应每个安控装置的控制逻辑，策略模型无法反映出装置间信息交互过程，因而无法满足网络攻击通信通道的分析需求。

电网安全稳定防御系统，以稳定性量化技术为支撑，通过广域量测、稳定量化分析和多道防线优化控制保障电网的安全稳定运行。目前“电网安全稳定防御系统”与“安稳集中管理系统”进行数据交互，可以考虑安全稳定控制装置闭锁等部分情况的影响。但是“电网安全稳定防御系统”仅仅针对传统故障设置了防御策略，没有考虑网络攻击等威胁对电网安全稳定的影响，缺乏应对网络攻击的能力。

为了解决各个孤立系统在应对网络攻击方面存在的不足，本质上需要从信息-物理融合与协同的角度解决如下三个问题：（1）哪些信息通信设备受到了攻击。受到了何种方式的攻击。（2）信息通信设备遭受攻击后会对安全稳定控制系统和电力一次系统造成什么影响。（3）怎么防御网络攻击。

第一个问题实际上是针对信息通信设备（包括常规信息通信设备、安全稳定控制设备等）的网络攻击辨识问题。“网络安全管理平台”已针对计算机、数据库、网络设备和安防设备等常规的信息通信设备进行网络安全的监视与辨识。因此，还需要针对安全稳定控制装置进行网络安全相关的信息采集与攻击辨识，即图中①所示的“安控系统网络安全监视与辨识”。

第二个问题实际上是网络攻击的影响分析问题，包括：1）信息通信设备遭受攻击后会对哪些安控业务有影响，即图中③ “信息通信设备与安控业务通道的逻辑映射关系分析”。2）恶意攻击信息通信设备以后对安控策略和安控动作行为有何影响，即图中②“考虑攻击影响的安控动作行为分析”。3）恶意攻击可能会引起哪些电力故障，即图中⑤“考虑攻击影响的预想故障集生成与筛选”。

第三个问题实际上是网络攻击的防御问题，包括：1）信息侧对于被攻击信息通信设备的闭环处置方案，即图中④“针对恶意攻击的闭环处置策略”。2）电力侧对于恶意攻击下电力故障的防御，即图中⑥“考虑攻击影响的辅助决策”。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。