李 潔，許 鑫，陳 宇，李大為

（國網(wǎng)吉林省電力有限公司電力科學研究院，長春 130021）

近年來，國家電網(wǎng)公司在全力推進信息化應用工作的同時，不斷加強網(wǎng)絡(luò)安全保障的投入與建設(shè)，以工具檢測和人工檢查為手段評估信息系統(tǒng)的安全風險。目前，電力系統(tǒng)信息安全管理依然以傳統(tǒng)的評估方式診斷系統(tǒng)資產(chǎn)存在的風險［1－6］。傳統(tǒng)的風險評估方式，多采用主動探測方式模擬黑客入侵過程，影響了網(wǎng)絡(luò)資產(chǎn)的可用性，容易造成宕機等生產(chǎn)事故，存在因二次系統(tǒng)故障引發(fā)一次系統(tǒng)事故的潛在威脅；同時因為評估過程缺少日常數(shù)據(jù)參照，多依靠評估人員的經(jīng)驗開展評估工作，耗費較多人力資源，又無法給出權(quán)威性的評估報告。為了改善上述問題，設(shè)計并實施了電力系統(tǒng)信息安全風險診斷平臺進行靜默式風險評估，減少因風險評估過程造成一次系統(tǒng)事故的概率，使評估工作進一步常態(tài)化、智能化。

1 診斷平臺設(shè)計

1.1 設(shè)計原理

采用在線掃描技術(shù)，實時抓取和分析網(wǎng)絡(luò)通訊數(shù)據(jù)包，并與操作系統(tǒng)指紋庫、應用特征庫、漏洞信息庫、異常特征庫等進行比對，進而獲取電力信息網(wǎng)的各資產(chǎn)的安全風險。通過設(shè)備自動將IP 地址與發(fā)送端和接收端設(shè)備綁定，根據(jù)設(shè)定的規(guī)則來采集數(shù)據(jù)包中的信息并進行記錄，通過采集7×24h數(shù)據(jù)包中的信息，判斷網(wǎng)絡(luò)資產(chǎn)對象是否存在風險。

1.2 診斷平臺技術(shù)分析

1.2.1 系統(tǒng)架構(gòu)

診斷平臺由WEB管理界面、配置查詢控制器、分析監(jiān)測引擎、結(jié)果數(shù)據(jù)庫4部分組成，4部分的關(guān)聯(lián)關(guān)系見圖1。

圖1 系統(tǒng)架構(gòu)圖

分析監(jiān)測引擎是一個守護進程，其由網(wǎng)絡(luò)數(shù)據(jù)分析線程和配置管理線程組成，其中網(wǎng)絡(luò)數(shù)據(jù)分析線程主要用于網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)和網(wǎng)絡(luò)事件告警，配置管理線程，用于接收配置控制器的請求，控制網(wǎng)絡(luò)數(shù)據(jù)分析線程的啟停并提供網(wǎng)絡(luò)數(shù)據(jù)分析線程所需的網(wǎng)絡(luò)環(huán)境與合規(guī)訪問控制參數(shù)。

配置查詢控制器是一個守護進程，其接收WEB管理界面發(fā)送的配置和查詢請求，對配置進行持久化存儲、調(diào)用分析監(jiān)測引擎提供的參數(shù)配置接口、調(diào)用結(jié)果數(shù)據(jù)庫的查詢接口，最后將配置結(jié)果和查詢結(jié)果返回給WEB管理界面。

WEB管理界面由前臺和后臺2部分組成，前臺采用JAVA SCRIPT 語言實現(xiàn)，后臺為PHP 語言實現(xiàn)，前后之間通過JSON 格式進行通信，前臺負責接收用戶輸入，并將配置查詢的請求發(fā)送給后臺服務(wù)器，后臺服務(wù)器將前臺傳來的請求經(jīng)過格式轉(zhuǎn)化，調(diào)用配置查詢控制器的配置查詢接口，并將結(jié)果返還給后臺服務(wù)器，并最終返回給前臺界面。

1.2.2 分析監(jiān)測技術(shù)

分析監(jiān)測是本平臺的核心，主要由數(shù)據(jù)采集單元、碎片重組單元、連接跟蹤單元、協(xié)議識別單元、指紋識別單元、結(jié)果輸出單元組成。其中，指紋識別單元是被動式漏洞發(fā)現(xiàn)和靜默式風險診斷的核心功能，通過分析各操作系統(tǒng)協(xié)議棧的細微差別，從而猜測通訊兩端的資產(chǎn)的操作系統(tǒng)類型，也包括應用系統(tǒng)的旗標識別，從而猜測通訊兩端的應用程序類型。

1.2.3 智能化安全決策技術(shù)

安全策略是指在某個安全區(qū)域內(nèi)（安全區(qū)域是指屬于某個組織的一系列處理和通信資源）用于安全相關(guān)活動的一套規(guī)則。安全策略由信息安全規(guī)劃機構(gòu)來描述、實施或?qū)崿F(xiàn)，可幫助信息安全規(guī)劃機構(gòu)做智能化安全策略決策。智能化安全策略決策技術(shù)是一種深度的關(guān)聯(lián)數(shù)據(jù)分析技術(shù)，可分為流量數(shù)據(jù)收集與維護、異常模式分析與判定、安全策略調(diào)整與實施3個過程。診斷平臺使用智能化安全策略決策技術(shù)，通過3個周而復始的階段來保證已部署的安全策略符合安全區(qū)域網(wǎng)絡(luò)環(huán)境，安全防護能力不會因為網(wǎng)絡(luò)環(huán)境的變化而降低。

1.2.4 通信內(nèi)容深度分析

診斷平臺使用全新設(shè)計優(yōu)化的通信內(nèi)容深度分析技術(shù)對數(shù)據(jù)流進行協(xié)議判定和會話狀態(tài)控制。通信內(nèi)容深度分析技術(shù)具有協(xié)議分析能力強和高效的特點，能很好地滿足工控網(wǎng)絡(luò)高實時性要求。本診斷平臺采用的通信內(nèi)容分析技術(shù)獨到之處就在于不是從規(guī)則的角度來解析協(xié)議包，而是根據(jù)安全策略規(guī)則，構(gòu)建分析協(xié)議樹（見圖2）和規(guī)則的條件十字鏈表。分析引擎處理的對象不再是一條條規(guī)則，而是協(xié)議樹和條件十字鏈表。分析引擎解決了在安全策略處理中反復分析協(xié)議包的問題，提升了診斷平臺的處理能力。

2 診斷平臺設(shè)備及系統(tǒng)特點

圖2 安全策略協(xié)議樹

信息安全風險診斷平臺包括便攜式診斷設(shè)備和軟件系統(tǒng)。其中，便攜式診斷設(shè)備的硬件質(zhì)量輕，方便攜帶安裝；信息安全風險診斷軟件系統(tǒng)為B／S架構(gòu)，操作簡單方便。

電力系統(tǒng)信息安全風險診斷平臺采用新一代掃描技術(shù)，包括資產(chǎn)發(fā)現(xiàn)技術(shù)、操作系統(tǒng)指紋識別技術(shù)、應用識別技術(shù)、協(xié)議異常識別技術(shù)，通過將IP地址與發(fā)送端和接收端設(shè)備綁定，并根據(jù)提前預設(shè)的規(guī)則來采集數(shù)據(jù)包中的信息并進行記錄，通過數(shù)據(jù)包中的信息判斷網(wǎng)絡(luò)資產(chǎn)對象是否存在風險。

該平臺具有以下4個創(chuàng)新點：診斷設(shè)備體積小，質(zhì)量輕，輕便易于攜帶；十字鏈表的規(guī)則匹配技術(shù)使平臺滿足工控網(wǎng)絡(luò)實時性要求；智能化的安全輔助決策技術(shù)保證已部署的安全策略符合安全區(qū)域網(wǎng)絡(luò)環(huán)境，提高診斷平臺的準確性；被動式的漏洞分析技術(shù)，判斷網(wǎng)絡(luò)資產(chǎn)對象是否存在風險，不影響網(wǎng)絡(luò)內(nèi)其他設(shè)備的正常運轉(zhuǎn)，可防止危及安全的事故發(fā)生。

3 結(jié)束語

通過對信息安全風險診斷技術(shù)的研究，采用新一代的掃描技術(shù)和獨到的通信內(nèi)容分析技術(shù)，研制的便攜式診斷設(shè)備輕便易攜帶。信息安全風險診斷平臺可以快速、準確地判斷信息網(wǎng)絡(luò)的安全狀況，提高網(wǎng)絡(luò)安全性，減少安全事故的發(fā)生，且不影響網(wǎng)絡(luò)傳輸性能，使工作效率大幅度提高。

該診斷平臺推廣后可使國網(wǎng)吉林電力的信息安全風險評估工作智能化、常態(tài)化，為定期的專項評估工作提供有效的數(shù)據(jù)依據(jù)與指導，有利于節(jié)省人力資源，提高檢查效率與報告權(quán)威性，規(guī)范化評估工作，對信息資產(chǎn)安全風險的全方位管控提供了一種切實可行的方法。

［1］溫大順.信息安全風險評估綜述［J］.中國科技信息，2013，14：81－81.

［2］黃歡，莊毅，許斌.基于免疫網(wǎng)絡(luò)的信息安全風險評估模型［J］.計算機工程，2008，23：164－166.

［3］黃松，夏洪亞，談利群.基于模糊綜合的信息安全風險評估［J］.計算機技術(shù)與發(fā)展，2010，20（1）：189－192.

［4］劉建武.信息安全風險評估模型及其算法研究［J］.企業(yè)技術(shù)開發(fā)，2011，30（16）：79－80.

［5］馬國慶.電力企業(yè)信息安全風險評估模型研究［J］.價值工程，2008，27（8）：112－114.

［6］劉琰.改進型信息安全風險評估模型研究［J］.長春工程學院學報（自然科學版），2012，13（1）：123－125.