于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、 恐怖组织与敌对国家等。在研究主观威胁时，需要分析威胁产生的动机，动机的强弱往往决 定了网络攻击发生的概率。 在传统的用电方式下：控制系统和重要业务系统以物理隔离的方式封闭运行，提供给威 胁源的可操作机会较小：并且从普通用户的角度，进行网络攻击并不能给自己带来直接的经 济利益。因此，主观动机并不强烈。 在互动用电方式下：一方面，由于终端和部分通信网络采用开放的方式，给威胁源提 供了可操作的机会；另一方面，用电负荷将采用网络化的方式收集统计，一旦能通过某种 手段篡改计量值，达到偷电的目的，将产生直接的经济利益。在两方面因素的作用下，主 观动机将大大增强。 事故后果分析 根据威胁产生的客观条件和主观动机分析，互动用电方式下的信息安全事故应包括经济 性和安全性两方面的后果。 经济性后果是指攻击者通过篡改智能电表的计量值，达到窃电的目的，给运营商带来收 益损失。 安全性后果是指攻击者通过某种手段，影响电力系统的稳定运行。从发生的机理上分析， 目前存在2种可能：一是攻击者向智能电表伪造断开指令使用户停电，极端情况下，能够向 数以百万计的智能电表伪造断开指令，很可能造成大范围的停电事故：二是在互动用电方式 下，计量值是分析用电情况、制定分时电价和需求侧响应项目的基础，如果篡改计量值的用 户达到一定数量，对电网的运行将产生较大的影响，造成安全隐患。 互动用电方式下的信息安全需求 需求分析 通常意义下，信息安全需求包括保密性、完整性和可用性等3个方面的需求。保密性需 求是阻止非授权用户访问信息：完整性需求是阻止非授权用户对信息的篡改或伪造：可用性 需求是保证授权用户对信息的访问结合互动用电的主要功能和AM的特点，分别对3种信息 安全需求进行分析。 1.保密性需求 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题，一些用户不希望 公开他们所使用的负荷数量、类型和其他信息，因此，智能电表的计量数据需要保密，通过 网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考虑，一些重要的运行 数据需要保密，同时也有责任来保障用户的用电行为隐私。 2.完整性需求 完整性需求是电力系统中最重要的信息安全需求，互动用电方式下这种需求同样存在。 计量数据和控制指令是AMl系统中传输的2类关键信息，必须防止它们被篡改或伪造。对 于智能电表，首先需要有能力对控制指令进行鉴别，判断指令是否被篡改、伪造：其次，智 能电表的物理保护未必完善，很难阻止对户外电表的物理攻击，其存储芯片有可能被替换或 修改，需要有及时的补救措施，防止该电表在AMI系统中造成不良影响。用户网关需要传 递对智能家电的控制指令，也存在完整性需求，同时，由于用户网关部署的灵活性，有可能于存在不满情绪的内部工作人员、电力市场环境下的工业间谍、网络黑客、病毒程序的传播、 恐怖组织与敌对国家等。在研究主观威胁时，需要分析威胁产生的动机，动机的强弱往往决 定了网络攻击发生的概率。 在传统的用电方式下：控制系统和重要业务系统以物理隔离的方式封闭运行，提供给威 胁源的可操作机会较小；并且从普通用户的角度，进行网络攻击并不能给自己带来直接的经 济利益。因此，主观动机并不强烈。 在互动用电方式下：一方面，由于终端和部分通信网络采用开放的方式，给威胁源提 供了可操作的机会；另一方面，用电负荷将采用网络化的方式收集统计，一旦能通过某种 手段篡改计量值，达到偷电的目的，将产生直接的经济利益。在两方面因素的作用下，主 观动机将大大增强。 事故后果分析 根据威胁产生的客观条件和主观动机分析，互动用电方式下的信息安全事故应包括经济 性和安全性两方面的后果。 经济性后果是指攻击者通过篡改智能电表的计量值，达到窃电的目的，给运营商带来收 益损失。 安全性后果是指攻击者通过某种手段，影响电力系统的稳定运行。从发生的机理上分析， 目前存在 2 种可能：一是攻击者向智能电表伪造断开指令使用户停电，极端情况下，能够向 数以百万计的智能电表伪造断开指令，很可能造成大范围的停电事故；二是在互动用电方式 下，计量值是分析用电情况、制定分时电价和需求侧响应项目的基础，如果篡改计量值的用 户达到一定数量，对电网的运行将产生较大的影响，造成安全隐患。 ——————————————————————————————————————————— 互动用电方式下的信息安全需求 需求分析 通常意义下，信息安全需求包括保密性、完整性和可用性等 3 个方面的需求。保密性需 求是阻止非授权用户访问信息；完整性需求是阻止非授权用户对信息的篡改或伪造；可用性 需求是保证授权用户对信息的访问结合互动用电的主要功能和 AMI 的特点,分别对 3 种信息 安全需求进行分析。 1.保密性需求 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题，一些用户不希望 公开他们所使用的负荷数量、类型和其他信息，因此，智能电表的计量数据需要保密,通过 网络传输时也需要有合适的保密机制。运营商侧主要从市场的角度来考虑,一些重要的运行 数据需要保密，同时也有责任来保障用户的用电行为隐私。 2.完整性需求 完整性需求是电力系统中最重要的信息安全需求，互动用电方式下这种需求同样存在。 计量数据和控制指令是 AMI 系统中传输的 2 类关键信息，必须防止它们被篡改或伪造。对 于智能电表，首先需要有能力对控制指令进行鉴别，判断指令是否被篡改、伪造；其次，智 能电表的物理保护未必完善，很难阻止对户外电表的物理攻击，其存储芯片有可能被替换或 修改，需要有及时的补救措施，防止该电表在 AMI 系统中造成不良影响。用户网关需要传 递对智能家电的控制指令，也存在完整性需求，同时，由于用户网关部署的灵活性，有可能