随着智能电网的建设及其相关技术的不断完善,电力系统中组成元素的数量越来越多,系统构成越来越多样化,电网的结构也越来越复杂。同时,在信息与通信技术飞速发展的时代背景下,电力系统将逐渐发展成为信息网与物理网相互融合、相互依存的复杂系统。而在政治、军事、经济等利益驱使下,电力系统作为国家建设和人民生活中的重要关键基础设施也将面临着越来越多的网络安全威胁。考虑到电力系统覆盖范围的跨区域性以及其运行状态的不可间断性,故本文采用建模仿真的方式来研究电力信息-物理融合系统(cyber-physical system,CPS)在网络攻击背景下的网络安全风险(cybersecurity risk)。CPS包括了离散性的信息系统和连续性的物理系统,信息侧与物理侧具有本质上的不同,但是在功能层面上信息系统与物理系统又相互依赖、相互影响。基于以上背景,本文首先建立了电力CPS中的重要组成部分——变电站自动化系统(substation automation system,SAS)逻辑结构的超改进超图模型,并基于该模型结合逻辑节点失效后对信息系统连通性、功能完整性以及物理系统供电能力等影响,对SAS逻辑结构中的关键要素进行了有效辨识。然后,本文介绍和分析了与电力CPS相关的网络攻击(cyber-attack)和防御技术、方法及原理,并分别从攻/防视角建立了网络攻击成功的概率模型,基于马尔可夫决策过程(Markov decision process,MDP)建模求解了攻/防双方的最优行动策略。最后,建立了电力CPS网络安全风险的评估框架。该框架在微观层面上包含了网络攻击事件造成的影响在信息域的传播机制,在宏观层面上量化了影响从信息域传播到物理域后物理系统状态的波动情况,同时还考虑了攻/防双方的对抗能力和攻击事件的形成过程。此评估方法可以在技术层面上支撑运营方制定防御决策和建立安全机制。具体完成了以下工作:(1)研究了基于改进超图的SAS逻辑结构建模方法首先给出了电力CPS的一般定义,并从多个角度分析了电力CPS的组成结构。在对电力CPS进行了充分的结构分析的基础之上,选择其中重要的组成部分——SAS,进行了深入的SAS的逻辑结构分析。然后,介绍了超网络理论常用方法并对理论发展较为完备的超图进行了改进定义。结合IEC 61850系列标准,对SAS的逻辑结构进行改进超图建模。为后续章节研究当变电站面临网络攻击时,电力CPS的网络安全风险分析与评估方法提供数学基础和理论支撑。(2)研究了基于改进超图的SAS关键要素辨识方法针对电力CPS包含多个子系统、结构复杂且数据类型丰富等特点,提出了一种基于改进超图的SAS关键要素辨识方法。该方法首先分析了SAS的逻辑拓扑图,并选择图中适用于SAS逻辑结构分析的两类中心性指标扩展定义到超图中。对比分析了逻辑节点依已选中心性指标的排序差异。此外,还提出了SAS工作有效性指标和电力CPS效能损失指标来评价某一逻辑节点工作异常的影响。最后,应用IEEE 14节点系统建立了电力CPS模型并进行了算例分析。该方法不仅考虑了逻辑节点非正常工作对信息系统连通性和功能完整性的影响,还计入了物理侧可能引起的电力系统负荷损失,从而获得了SAS中物理域和逻辑域交集上的关键逻辑节点排序,可以辨识出与电力CPS的静态网络安全相关的重要逻辑节点。(3)研究了基于马尔可夫决策过程的变电站网络攻击和防御决策方法针对变电站的网络防御对于电网安全稳定运行的重要性,提出了一种基于马尔可夫决策过程的变电站网络攻击和防御策略的建模方法。首先,深入分析了以SAS为目标的网络攻击方法、原理、步骤和路径,以及电力CPS可以采取的防御措施。然后,分别基于攻击者和防御者视角建立了网络攻击成功的概率模型。最后,建立了用于求解攻/方双方最优行动策略的马尔可夫决策过程模型。该方法综合考虑了目标变电站的网络安全特性和攻防双方的技术能力,可以为后续的电力CPS网络安全风险评估过程提供攻/防对抗双方的行动依据。(4)提出了一个新的电力CPS网络安全风险评估框架和计算方法针对实际电力系统运行时无法进行网络安全实验的现状,在前文模拟与仿真分析的基础上,提出了一个新的电力CPS网络安全风险评估框架和计算方法。首先,给出了网络安全风险的定义。然后,分别研究了数据阻塞攻击和数据欺骗攻击对电力CPS的影响在信息域的传播机制,以及影响从信息域传播到物理域后的量化方法。最后,给出了电力CPS的网络安全风险评估框架和计算流程,并设计多个安全场景进行网络安全风险的对比分析。该方法在分析相依的信息网与物理网之间安全风险传播机制的基础上,考虑了网络攻击安全事件的成功概率以及攻击成功对电力CPS产生的影响,通过对安全威胁、直接和间接影响传播过程的数值建模,建立了科学、全面的电力CPS网络安全风险评估框架。