中国报告大厅网讯，当前，电力系统作为国家关键基础设施，已成为网络攻击的重点目标，国内外针对电力系统的网络攻击事件频发，给社会稳定与经济运行带来严重威胁。随着新型电力系统源、网、荷、储多环节能量流与业务流的融合，需求侧调控新主体与电力系统的交互愈发频繁，新的网络安全风险不断涌现，传统聚焦电力监控系统的网络安全态势感知体系已难以应对当前挑战，亟需构建覆盖需求侧调控新主体的网络安全态势感知体系，以提升电力系统整体网络安全行业防御能力。以下是2025年网络安全行业技术分析。

  一、需求侧调控新主体网络安全：攻击特性与风险分析

  (一)新主体攻击的基本概念与核心要素

  高级持续性威胁(APT)具有伪装性、阶段性和针对性等特点，当前开放网络空间中针对需求侧调控新主体的网络攻击已演变为新主体攻击(De-APT)。这类攻击由具有特定背景的组织发起，以干扰电力系统运行为目标，具有极强的政治性。De-APT 攻击包含需求侧、高级、持续、威胁四个核心要素：需求侧指攻击者初始立足点为新主体或其管控设备的特权用户权限，进而干扰电力系统;高级体现在攻击复杂程度更高，攻击者会采用多种方式规避异常行为检测，伪装性极强;持续意味着攻击实施包含多个步骤、涉及多个设备，具有阶段性，攻击时长可达数月甚至数年，且攻击者能持续监控目标设备并保持特权用户权限;威胁则表现为攻击手段和方案针对目标电力系统网络安全环境、工控系统设备及新主体网络环境与监控设备，针对性和政治性极强。

  与普通网络攻击相比，De-APT 攻击在传播方式、获取权限、主要目的、攻击设备和时效上存在显著差异。普通网络攻击多通过互联网强行获取权限，以经济勒索为主要目的，攻击脆弱设备，周期短;De-APT 攻击则通过互联网或局域网多步入侵，具有高度伪装性，以造成停电事故、业务中断为目的，攻击特定设备且有策略性，周期长且带有政治性。

  (二)De-APT 攻击风险的主要表现

  De-APT 攻击对电力系统运行会造成恶劣的安全影响，在信息域表现为分布式拒绝服务(DDoS)攻击等，在物理域则有需求操控(MAD)攻击、恶意控制攻击、延时控制攻击和虚假数据注入攻击等形式。由于现有二次系统安全防护体系能有效抵御大规模异常流量涌入生产控制大区，降低 DDoS 攻击可能性，而恶意控制攻击、MAD 攻击等无需大规模异常流量，甚至无需入侵二次防护体系，因此物理域的 De-APT 攻击给电力系统网络安全防护带来极大挑战。

  《2025-2030年全球及中国网络安全行业市场现状调研及发展前景分析报告》从业务流风险来看，虚拟电厂、综合能源服务等新型业务快速发展，新主体与电网侧频繁交互，导致网络防护边界模糊化，业务传输可能出现跨主体、跨安全分区的违规场景。以隔离装置建立的固化安全边界难以保障交互信息的网络安全，攻击者可利用业务交互信息入侵电力监控系统设备实施 De-APT 攻击。且未来业务交互信息数据规模将持续扩大，海量信息成为攻击跳板的可能性进一步提高，“交互信息 - 恶意软件 - 电力监控系统设备特权用户权限 - 电网安全性” 已成为黑客干扰电力系统运行的重要攻击路径。

  在能量流风险方面，用户侧异构电力物联设备(UPID)广泛接入电力物联网，虚拟电厂、负荷聚合商深度参与电力市场，部分用户负荷控制业务构建在互联网上，更易暴露于网络攻击中。虽此类业务与电网侧控制业务在网络空间隔离，攻击者无法直接入侵电力监控系统，但源、网、荷、储在能量流侧紧密耦合，形成 “互联网 - 异常设备群 - 异常负荷 - 电网安全性” 的跨信息物理空间 De-APT 攻击路径，可能将互联网中新主体的网络安全风险传递至电力系统生产环节，例如通过控制大规模用电设备投退造成功率震荡或缺额。

  (三)De-APT 攻击类型与实施流程

  按攻击路径可将 De-APT 攻击分为两类。Ⅰ 类 De-APT 攻击路径为互联网到电力专网，初始点为虚拟电厂等新主体，攻击者先利用业务交互信息入侵二次系统安全防护体系内的生产控制大区，再在电力专网内通过恶意软件(如 Stuxnet、BlackEnergy)感染获取电力监控系统设备(如 SCADA 系统工作站、数据服务器、量测装置)的特权用户权限，最后通过恶意控制设备、篡改量测数据等影响电力系统运行，涉及信息域和物理域防护。

  Ⅱ 类 De-APT 攻击路径仅在互联网，初始点为 UPID 或虚拟电厂等，攻击设备位于二次系统安全防护体系外，长期暴露于互联网，无需入侵生产控制大区。攻击者可利用 Mirai、Gafgyt 等恶意软件直接获取新主体管控设备控制权限，通过调节设备参数形成异常负荷，或入侵新主体监控系统下达控制指令形成异常负荷，同样涉及信息域和物理域防护。

  De-APT 攻击实施流程可归纳为五个递进关联的步骤。第一步侦查准备，攻击者分析网络攻击影响路径和恶意软件执行环境，确定高可能性攻击路径并制作针对性恶意软件，确保攻击隐蔽性和持续性;第二步初始访问，利用设备零日安全漏洞或未修复的已知漏洞，执行恶意软件获取初始入侵设备特权用户控制权，必要时建立与指挥控制(C&C)设备的连接下载其余恶意软件;第三步长期立足，通过更换或劫持合法代码、添加恶意启动程序等操作，利用系统错误配置和漏洞获取物联设备长期特权用户权限，确保不会因设备重启或登录凭据更改失去控制权;第四步横向渗透，Ⅰ 类攻击中，攻击者将恶意软件伪装至业务交互信息，利用安全漏洞在电力专网逐步获取电力监控系统设备控制权;Ⅱ 类攻击中，通过半自动恶意软件在互联网建立受控设备群，此步骤是攻击的重难点;第五步系统破坏，攻击者在特定时刻向受控设备发送未授权控制指令，抑制安全防护功能，导致设备异常动作影响电力系统运行。

  两类 De-APT 攻击典型案例实施细节不同。Ⅰ 类攻击侦查准备阶段使用 BlackEnergy 恶意软件，初始访问通过运行宏文件获得虚拟电厂、用户聚合商等权限，长期立足采用 SHH 后门服务器攻击，横向渗透通过交互信息入侵生产控制大区获取 SCADA 控制权限，系统破坏通过恶意控制引发 N-1 故障等;Ⅱ 类攻击侦查准备使用 Mirai 恶意软件，初始访问通过暴力破解获得 UPID 权限，长期立足通过删除文件、随机混淆实现，横向渗透在互联网中入侵其他 UPID 设备，系统破坏通过更改设备群运行功率实现。

  二、需求侧调控新主体网络安全：态势感知难点剖析

  (一)计及网络安全因素的多元异构信息物理系统建模难点

  需求侧调控资源增加使新主体与电力系统在能量侧耦合日益紧密，但两者网络空间差异显著，新主体位于开放网络空间，电力系统位于专用网络空间，这给公专融合场景下系统网络风险演化分析和安全运行边界刻画带来重大挑战。同时，De-APT 攻击存在多类攻击路径，信息流路径中攻击者利用业务交互信息入侵电力监控系统，能量流路径中通过新主体形成异常负荷威胁电力系统，路径差异性加剧风险演化分析复杂性。因此，分析公专融合场景下多元异构信息物理系统安全风险扩散机理，需考虑两个异构系统多机理、多过程、多空间的耦合，建立计及网络安全因素的系统模型，才能准确评估新主体网络安全对电力系统安全性的影响，这一建模过程面临诸多技术难点。

  (二)攻防视角下攻击者复杂决策特征描述难点

  在 De-APT 攻击中，攻击者决策是影响攻击成败的核心要素，准确描述其复杂决策特征是新主体网络安全态势感知的关键。新主体信息物理系统结构使攻击者离散决策在信息域和物理域呈现明显时空特征，分析决策时需结合时间、空间、作用域维度综合考量。此外，攻击者决策还依赖信息域中设备安全漏洞及漏洞前置条件等因素，这类因素常以自然语言描述，难以通过简单数学模型直接表达。多维特性增加了攻击决策特征的复杂性，需采用模型和数据联合驱动的方式，基于时间、空间、作用域及信息域先决条件等多特征建模，才能合理描述攻击者决策行为，这给特征描述工作带来极大难度。

  (三)防御视角下攻击者与防御者决策交互分析难点

  新主体网络安全风险扩散路径取决于信息域和物理域中攻击者 - 防御者决策交互过程，因此分析两者博弈关系是新主体网络安全态势感知的关键。防御者决策由新主体防御决策和电力系统防御决策共同构成，且在信息域和物理域中各有侧重。信息域中，新主体防御决策强调消除网络安全风险，是安全防护态势感知的第一道防线;电力系统防御决策则旨在确保电力监控系统运行安全，防止攻击者获取控制权。物理域中，电力系统防御决策以保障 De-APT 攻击下电力系统运行安全、缓解能量侧网络安全风险为目标。新主体和电力系统的防御决策既存在差异，又具有协同合作特征，这种复杂性增加了攻击者与防御者决策交互过程分析的难度，需充分挖掘两者交互关系，才能提升防御决策有效性。

  三、需求侧调控新主体网络安全：态势感知架构构建

  (一)新主体网络安全防护需求分析

  De-APT 攻击的隐蔽性、阶段性、针对性及信息物理特性，给依托二次系统安全防护体系的现阶段网络安全态势感知带来多方面威胁。首先，现阶段网络安全态势感知体系中的入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备仅针对单一设备单一时间断面进行恶意性检测，缺乏对 Ⅰ 类 De-APT 攻击流程的推演分析，无法利用不同设备、不同时间断面、不同异构信息物理系统间的告警信息完成攻击关联，难以实现 Ⅰ 类 De-APT 攻击的预防和实时检测。其次，二次系统安全防护体系未涵盖虚拟电厂、用户聚合商、UPID 设备云等新主体，导致现阶段网络安全态势感知缺乏监测新主体设备、防范黑客恶意行为的能力，无法主动防御 Ⅱ 类 De-APT 攻击。最后，现阶段网络安全态势感知仅涉及网络攻击的识别和预测，未包含信息域和物理域中的安全防护措施及阶段性信息物理防护策略，无法形成网络安全态势趋势的有效闭环。

  (二)新主体网络安全态势感知研究框架设计

  鉴于 De-APT 攻击引发的网络安全事件具有信息物理特征且对系统安全防护响应速度要求高，新主体网络安全态势感知需转为信息物理融合的自动化超短期动态控制，基于网络安全态势制定防护策略，并通过防护结果实时反馈调整态势，形成闭环控制。研究框架包含数据处理、模型构建、态势呈现、策略防护四个层次。

  数据处理层首要工作是提取 De-APT 攻击相关数据，再根据攻击类型进行预处理和融合。考虑到攻击的信息物理特性，态势提取要素需涵盖电力监控系统和新主体的多源异构数据。电力监控系统数据包括量测装置、负荷等在线数据，设备参数、电网运行模型等离线数据(源自广域测量系统采集装置)，以及流量、软件安全漏洞、日志、IDS 和 IPS 告警、信息设备拓扑结构等信息系统运行状态数据(源自现有主站、子站的网络安全平台采集装置)。新主体数据包括虚拟电厂 / 电动汽车充电站等的管控设备运行数目、关联变电站、实时功率等运行数据及 IDS 和 IPS 告警等网络安全数据(源自其监控系统)，还有 UPID 设备的运行数目、IP 地址分布及社会域中用户实时运行数据(源自 UPID 设备协同管控平台)。

  模型构建层一方面需通过 De-APT 攻击影响机理研究揭示安全风险跨域演化过程，另一方面要根据攻击特性建立信息物理耦合的主动防御模型，实现跨域安全防护。可采用数学建模、机器学习、知识推理等方式建立 De-APT 攻击杀伤链、风险传播等模型分析影响机理;建立设备网络安全脆弱性评估、De-APT 攻击实时检测、实时风险评估、新主体邻域守望机制、信息物理协同防御策略等实现主动防御，同时需利用网络安全靶场试验数据完善模型，提升准确性。

  态势呈现层用于可视化模型分析结果，除网络安全风险评估和预测结果外，还需呈现 De-APT 攻击事件下异常的电力设备、信息设备及新主体管控设备数量，反映新主体网络安全态势趋势。针对 Ⅰ 类 De-APT 攻击，新增呈现对象包括电力监控系统中当前异常信息设备和电力设备、下一步可能入侵的设备;针对 Ⅱ 类 De-APT 攻击，新增呈现对象包括高风险新主体、异常管控设备数目、各变电站异常新主体负荷及潜在异常受控终端数目。

  安全防护层采用信息物理融合的防护策略，实现对新主体网络安全态势的动态调整和控制，且作为反馈式交互贯穿态势感知首尾，形成攻击事件感知和防御的闭环。针对 Ⅰ 类 De-APT 攻击，信息域中利用二次防护体系网络安全防护设备恢复高危、被入侵设备的操作系统、应用、数据和通信，隔离高风险新主体业务;物理域中通过发电机机组出力调节、负荷控制等缓解攻击影响。针对 Ⅱ 类 De-APT 攻击，信息域中新主体安全人员需通过防护措施消除网络安全风险;物理域中采用预防 - 紧急控制的调度策略缓解影响，同时借助 UPID 设备协同管控平台交互式降低网络安全风险。

  (三)新主体网络安全态势感知主要应用场景

  基于 De-APT 攻击的作用域和实施流程，新主体网络安全态势感知主要有四个应用场景。一是风险预警，能明晰新主体当前及未来可能的网络安全隐患，制定多类 De-APT 攻击的风险预警。预警制定需基于攻击路径、设备安全漏洞等评估网络安全脆弱性，利用信息设备与电力设备耦合关系量化安全隐患对电力系统影响的严重程度，再根据脆弱性和影响严重程度划分信息物理特性的安全预警等级。

  二是预防控制，在攻击前期，De-APT 攻击会在信息域产生大量入侵行为，如 Ⅰ 类攻击中的端口探测、权限提升，Ⅱ 类攻击中的用户登录信息错误、默认账户登录等。安全设备、设备云记录黑客行为特征形成告警数据并发送至态势感知系统，系统据此分析攻击类型和入侵路径，锁定被入侵设备，采用安全防护层策略消除设备网络安全风险。

  三是紧急控制，当 De-APT 攻击造成电力系统运行故障时，态势感知系统需迅速制定紧急控制策略遏制故障蔓延。策略包含利用防护层策略缓解攻击影响，结合信息域攻击者行为和电力系统故障特征辨识攻击类型、阶段和范围，排查被入侵设备和新主体，以及修复被入侵的信息设备、电力设备、新主体监控系统和 UPID 设备。

  四是安全事件分析，通过态势感知系统对 De-APT 攻击事件全面剖析，避免类似事件发生并降低同类事件影响。分析内容包括识别攻击恶意软件类型及所属组织以强化预防措施，分析攻击路径和网络安全脆弱性以弥补防护薄弱环节，利用入侵告警完善模型构建层的影响机理和主动防御模型以提升准确性，以及将此次防护策略录入安全防护层，为后续针对性防御提供参考。

  四、需求侧调控新主体网络安全：态势感知关键技术

  (一)De-APT 攻击影响机理建模技术

  De-APT 攻击未来可能上升至更高层面，攻击者攻击前会制定周密计划，因此建立跨域 De-APT 攻击影响机理模型至关重要，主要包括杀伤链模型和攻击风险传播模型。

  De-APT 攻击杀伤链模型用于描述攻击者在信息域的行为特征。当前网络攻击研究多聚焦物理域安全影响，缺乏对信息域攻击存在条件、入侵路径及与物理域耦合关系的系统分析，难以实现多域检测和入侵设备定位。因此需针对信息域 APT 攻击特征建立该模型，先分析筛选多个 APT 攻击组织和流程，结合电力网络环境特点总结适用策略和流程，再利用 MITRE ATT&CK 等 APT 攻击知识库建立模型描述攻击生命周期及各阶段行为特征，最后考虑 Ⅰ 类和 Ⅱ 类攻击在横向渗透阶段的网络差异性完善模型。

  De-APT 攻击风险传播模型用于描述攻击者在物理域的行为特征。因电力信息物理系统风险具有跨域传播特点，需结合攻击路径差异性建立两类模型。针对 Ⅰ 类 De-APT 攻击，在广域测量、负荷控制等典型信息物理场景中，利用信息设备和电力设备业务耦合关系、新主体交互信息接入位置、二次系统防护体系内信息设备等，建立风险传播模型，反映攻击路径、可能的异常行为、安全设备告警信息及信息物理风险。针对 Ⅱ 类 De-APT 攻击，建模时需根据新主体管控设备联网数目及状态、电力设备运行参数等估算异常负荷，分析不同规模攻击对电力系统线路潮流、频率等的安全影响。

  (二)设备网络安全风险评估技术

  在新主体网络安全态势感知中，准确的网络安全风险评估能帮助安全人员识别高风险 De-APT 攻击事件或设备，需根据 Ⅰ 类和 Ⅱ 类攻击目标设备差异，分别对电力监控系统设备、新主体监控系统设备及 UPID 设备进行评估。

  电力监控系统设备网络安全行业风险评估以虚拟电厂、用户聚合商等新主体为根节点，将可能引发的安全事件作为假设点，构建电力监控系统设备网络安全脆弱性的可解释性假设链，推演针对电力监控系统业务的潜在攻击路径。依据软件安全漏洞及通用漏洞评分系统(CVSS)评价数据，对潜在攻击路径进行网络安全脆弱性评估，识别影响电力监控系统业务的关键路径及设备脆弱性，再结合设备脆弱性及恶意控制场景下可能引发的 N-1 故障、虚假数据注入等物理后果，识别高风险电力监控系统设备。