陳穎聰

（廣東電網(wǎng)有限責(zé)任公司梅州供電局，廣東梅州514021）

基于貝爾-拉帕都拉模型的電力網(wǎng)絡(luò)安全防護(hù)指標(biāo)研究

陳穎聰

（廣東電網(wǎng)有限責(zé)任公司梅州供電局，廣東梅州514021）

針對某供電局信息網(wǎng)絡(luò)安全防護(hù)的要求，重點(diǎn)是安全區(qū)不同范圍的隔離與安全等劃分和最新出現(xiàn)的工業(yè)控制系統(tǒng)SCA?DA病毒防范，采用貝爾一拉帕都拉模型，并結(jié)合電力系統(tǒng)以工業(yè)控制系統(tǒng)為主的重要特點(diǎn)，從其存取方式、操作、授權(quán)狀態(tài)、授權(quán)管理、模型結(jié)構(gòu)和變換規(guī)則等方面進(jìn)行重點(diǎn)討論，并在此基礎(chǔ)上給出最終的信息網(wǎng)絡(luò)安全防護(hù)模型。

網(wǎng)絡(luò)安全；貝爾一拉帕都拉；授權(quán)管理；SCADA

0　引言

電力數(shù)據(jù)網(wǎng)隨著通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，其接入的端口越來越多，不乏極其重要的控制終端，隨著云計(jì)算技術(shù)帶來的變革，使得電力內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換愈加重要。而電力自動化數(shù)據(jù)在提高傳輸效率過程中充分利用了INTER網(wǎng)和無線網(wǎng)，調(diào)度數(shù)據(jù)網(wǎng)和軟交換技術(shù)在電網(wǎng)的大量應(yīng)用，讓開發(fā)和維護(hù)過程中的工作量得到減少的同時，也出現(xiàn)了更多新的問題，內(nèi)部的信息在網(wǎng)絡(luò)傳播的過程中出現(xiàn)了泄漏和損失的情況，有時候還存在信息被人為入侵破壞的情況，使得電網(wǎng)存在失控、誤控的風(fēng)險。因此加強(qiáng)信息安全防范工作，在電力自動化通信技術(shù)發(fā)展的過程中是一項(xiàng)必不可少的重要任務(wù)。

1　電力防護(hù)網(wǎng)絡(luò)安全體系的概述

電網(wǎng)安全防護(hù)整個過程就相當(dāng)復(fù)雜，且極具系統(tǒng)化特點(diǎn)，其整個防護(hù)過程中將防護(hù)流程和管理技術(shù)通過先進(jìn)的防護(hù)技術(shù)結(jié)合為一個整體。一般情況下，此工程在模型建立的過程中都參照信息安全工程學(xué)建立模型的基本方法，安全工程在試驗(yàn)中實(shí)施項(xiàng)目的全過程都能夠得到信息安全工程模型，只是在實(shí)際防護(hù)過程中存在一系列差異，信息安全工程模型僅僅針對一些單一設(shè)備的安全設(shè)置，而電力通信防護(hù)體系的考慮更加系統(tǒng)化、復(fù)雜化。將這些因素歸結(jié)為一個整體，安全策略、安全管理、技術(shù)管理這三個方面是整體中包含的主要因素，也是信息安全模型構(gòu)成的主要部分。

2　貝爾-拉帕都拉模型

貝爾-拉帕都拉模型是在1970年，美國軍方提出的，用于解決分時系統(tǒng)的信息安全和保密問題，這個模型主要用于防止機(jī)密信息被未經(jīng)授權(quán)的主體訪問。使用貝爾-拉帕都拉模型系統(tǒng)向新系統(tǒng)用戶（主題）和數(shù)據(jù)（對象）做相應(yīng)的安全標(biāo)簽，因此，系統(tǒng)也稱為多級安全系統(tǒng)、水平和模型用于限制對象訪問操作的主題，該模型用于加強(qiáng)訪問控制信息的機(jī)密性。

2.1貝爾-拉帕都拉模型的基本概念簡介

貝爾-拉帕都拉模型中的實(shí)體系統(tǒng)分為兩類，主體和對象。主體是活躍的和可以執(zhí)行的動作元素。每一個研究對象都被分配一個允許操作范圍的機(jī)密性和完整性：最小/最大安全級別和最小/最大完整性級別，并將最低安全級別（最大的滿級）為主體的寫作水平，將完整的最高機(jī)密級別（最低級別）為主體的閱讀水平。對象是一個被動的信息元素包含容器，它不是抽象的數(shù)據(jù)庫結(jié)構(gòu)，但較低的操作系統(tǒng)在一個單一的文件。每一個對象分配一個惟一的標(biāo)識符和惟一獲得一個固定的水平和訪問控制。

主體，可以進(jìn)一步細(xì)分為可信和不可信的問題?？尚胖黧w的主要部分閱讀水平嚴(yán)格主導(dǎo)寫作水平。訪問不受信任的主體需要加強(qiáng)監(jiān)控。

對于系統(tǒng)元素密級，即安全級別，可定義為：L=（C，S），C為密級，S表示范圍（系統(tǒng)中非分層元素集合的一個子集）。密級分為絕密、機(jī)密、秘密和公開四種，并滿足全序關(guān)系，即“＞”關(guān)系。安全級別將滿足偏序的格（稱支配），即滿足“≥”關(guān)系。

設(shè)在安全級別L1=（C1，S1），L2=（C2，S2）下，L1支配L2成立（記L1≥L2），當(dāng)且僅當(dāng)C1≥C2和S2∈S1成立；類似有L1＞L2成立，當(dāng)且僅當(dāng)C1＞C2和S1∈S2成立：L1＜L2成立，當(dāng)且僅當(dāng)C1＜C2和S2∈S1成立：L1=L2成立，當(dāng)且僅當(dāng)C1≤C2和S1∈S2成立；

如果對于給定的L1和L2，有L1≥L2與L1≤L2均不成立，則稱L1與L2不可比。

貝爾-拉帕都拉模型對系統(tǒng)中的每個用戶（主體）分配一個安全級別，稱為允許安全級，即對用戶的置信度；同時，模型對系統(tǒng)中的每個客體也分配一個安全級別，以反映信息的敏感度和對數(shù)據(jù)的損害度。

模型中主體對客體可執(zhí)行的存取方式有4種：

Read-only；

添加Append：

執(zhí)行Execute；

讀寫Read-write。

貝爾-拉帕都拉模型支持基于隸屬關(guān)系的分散管理，即客體的建立者是客體的屬主。屬主有對此客體的存取權(quán)限，并可將這些權(quán)限授予/回收其他用戶，但隸屬關(guān)系不變。

2.2系統(tǒng)狀態(tài)

在貝爾-拉帕都拉模型中用四元組（b，M，f，H）來描述系統(tǒng)的狀態(tài)，其中b表示當(dāng)前存取集，形如＜主體，客體，存取方式＞，即＜S，O，m＞：M為存取矩陣，即M（S，O），用以描述每個主體以何方式存取客體；f是一個與系統(tǒng)中各主體和各客體及它們安全級別相聯(lián)系的級別函數(shù)，即f：0∩S→L，其中S，0，L分別是主體、客體、安全級別的集合；H為當(dāng)前客體的層次結(jié)構(gòu)，是一棵帶根有向樹，其節(jié)點(diǎn)與客體對應(yīng)，未激活或不可存取的客體則不包含在其中。

每個客體只有一個安全級別（建立時賦予的），記為fo；而每個主體可以有兩個安全級別：允許安全數(shù)fs和當(dāng)前安全數(shù)fc（可變的，注冊時使用），并且fs（s）≥fc（s）成立。

2.3貝爾-拉帕都拉模型的操作

（1）按要求的方式對客體的存取進(jìn)行初始化，實(shí)現(xiàn)在當(dāng)前存取集b中增加三元組；

（2）終止之前，get開始的存取方式，實(shí)現(xiàn)在當(dāng)前存取集b中刪除三元組；

（3）授予一個主體對一個客體的某種存取方式，它修改存取矩陣M，即在存儲矩陣中插人一項(xiàng)；

（4）回收之前、由授予give開始的存取方式，它修改存取矩陣M，即在存儲矩陣中刪除一項(xiàng)：它有強(qiáng)制release的作用，即刪除當(dāng)前存取集b的三元組（要求回收授權(quán)的主體對操作所涉及的客體的父節(jié)點(diǎn)應(yīng)具有存寫權(quán)）；

（5）激活一個客體，將其變?yōu)榭纱嫒。瞬僮餍薷漠?dāng)前客體的層次結(jié)構(gòu)H，即增加一節(jié)點(diǎn)；

（6）將客體狀態(tài)轉(zhuǎn)為未激活狀態(tài)，它修改當(dāng)前客體的層次結(jié)構(gòu)H，即刪除一節(jié)點(diǎn)及其后續(xù)節(jié)點(diǎn)，并修改當(dāng)前存取集b，使能存取該客體的主體的存取將終止；

（7）改變主體的當(dāng)前安全級別（在允許安全級別下），它修改級別函數(shù)f；

（8）修改客體（未激活的）的安全級別，并修改級別函數(shù)f（只能增加安全級別，但必須滿足f≥fo）。

2.4貝爾-拉帕都拉模型的規(guī)則

貝爾-拉帕都拉模型的具體安全規(guī)則有6條。

（1）簡單安全規(guī)則ss

簡單安全規(guī)則意味著只有當(dāng)一個主體的安全級別控制另一個對象的安全級別，這個對象的主體訪問權(quán)限（只讀，讀，寫）。如果“讀”和“寫”存取方式的元素M（S，O）均有fs（s）≥fo（o），那么v=（b，M，f，H）滿足ss規(guī)則。簡單安全規(guī)則的目的是為了防止主體閱讀比它允許對象中的信息安全級別的高水平的安全，防止身體從不允許直接訪問的對象的訪問級別信息。

（2）*規(guī)則

*規(guī)則的含義是：

1）只有當(dāng)對象的安全級別控制當(dāng)前的安全級別，對象的主題一個不可信的“添加”的權(quán)限：

2）只有當(dāng)對象的安全級別等于當(dāng)前安全級別的主體，一個不受信任的主題可以有“寫”的權(quán)限對象；

3）當(dāng)對象的安全級別只控制主體的當(dāng)前的安全級別，一個不受信任的主題可以有“讀取”權(quán)限對象。

一個系統(tǒng)的狀態(tài)v=（b，M，f，H）滿足關(guān)規(guī)則，當(dāng)且僅當(dāng)對每個主體S∈S’（S是不可信主體的集合），且對所有客體O，有：

對不可信主體，規(guī)則包括了ss規(guī)則，其證明如下：

設(shè)S是不可信主體，O是一客體，m∈M［S，O］是滿足*規(guī)則的存取方式授權(quán)（從全部4種操作來考慮）。若m=append或m=execute，則m一定滿足ss規(guī)則，因?yàn)閟s規(guī)則沒有對其施加任何限制；此外若m=write，因?yàn)閙滿足*規(guī)則，所以fc（S’）= fo（O），又因fs（S’）≥fc（S’），所以fc（S’）≥fo（O），因此ss規(guī)則成立；最后，若m=read，因?yàn)閙滿足*規(guī)則，所以fs（S’）≥fo（O），又因?yàn)閒s（S’）≥fc（S’），所以fc（S’）≥fo（O），因此ss規(guī)則成立。

上述兩規(guī)則的適用范圍不同，ss規(guī)則要求對所有主體均成立，而*規(guī)則僅要求對不可信主體成立。

可以啟動使用簡單安全規(guī)則ss和*兩個基本規(guī)則：

1）沒有讀——主體只能讀安全級別由主要對象信息的安全級別；

2）沒有寫下——主題只有主導(dǎo)主題的安全水平安全級別的對象寫信息。

3）兩個基本規(guī)則反映了強(qiáng)制訪問控制策略，它控制系統(tǒng)中信息的流動，保證若達(dá)不到所需的允許安全級別，則不能訪問它不應(yīng)該訪問的信息。

（3）穩(wěn)定規(guī)則原則。穩(wěn)定規(guī)則的意思是不能被任何對象激活，它使系統(tǒng)穩(wěn)定。當(dāng)前版本允許一個主體可以修改、激活對象的類別。

（4）獨(dú)立的安全規(guī)則。意義是主體只能在獲得所需的授權(quán)來執(zhí)行相應(yīng)的訪問，即應(yīng)該有相應(yīng)的項(xiàng)目在訪問矩陣。

當(dāng)且僅當(dāng)對所有主體S，客體O和存取方式m，有：

則稱系統(tǒng)狀態(tài)滿足自主安全規(guī)則。

規(guī)則（1）-（4）為基本規(guī)則，滿足它們的系統(tǒng)稱為是安全的。

（5）未激活客體的不可存取性規(guī)則。含義是一個主體不能讀取一個未激活客體的內(nèi)容。該規(guī)則的形式化表示：

系統(tǒng)狀態(tài)v=（b，M，f，H）滿足未激活客體的不可存取性規(guī)則，當(dāng)且僅當(dāng)對任何主體S，任何未激活客體O，成立：

（6）未激活客體的重寫規(guī)則。每個新激活客體均被賦予一個獨(dú)立于前一次激活狀態(tài)的初始狀態(tài)，未激活客體的重寫規(guī)則的含義是使每次激活時的初始狀態(tài)都不同。

3　基于因子分析的信息安全指標(biāo)選取

根據(jù)工作內(nèi)容，本文匯總了與信息安全相關(guān)的27個指標(biāo)作為原始輸入數(shù)據(jù)，對所有指標(biāo)進(jìn)行因素分析，如表1。采用因子分析法決定因素的抽取，并用最大變異法進(jìn)行轉(zhuǎn)軸，分析因素結(jié)構(gòu)。

在進(jìn)行因子分析之前，首先對數(shù)據(jù)進(jìn)行適合性檢驗(yàn)，如表2。要檢驗(yàn)樣本數(shù)據(jù)是否適合進(jìn)行因素分析，判斷的指標(biāo)主要有兩個，即KMO和Bartlett’s球形檢驗(yàn)的卡方值。當(dāng)KMO值愈大時，表示變量間的共同因素愈多，愈適合進(jìn)行因子分析，根據(jù)Kaiser（1974）的觀點(diǎn)，如果KMO的值小于0.5時，則不宜進(jìn)行因子分析。數(shù)據(jù)分析結(jié)果表明，此處KMO值為0.923，適合進(jìn)行因子分析。此外，Bartlett’s球形檢驗(yàn)的卡方值為5 361.878（自由度為351），Sig.小于0.001達(dá)顯著，代表母群體的相關(guān)矩陣間有共同因素存在，適合進(jìn)行因子分析。

表1　信息安全相關(guān)指標(biāo)

表2　KMO及Bartlett's檢驗(yàn)

轉(zhuǎn)軸后，被所有共同因素解釋的總變異量不變（特征值總和不變），轉(zhuǎn)軸前后5個共同因素可解釋的總變異量為86.43%。因子分析的結(jié)果見表3。

表3　轉(zhuǎn)軸后各因素方差貢獻(xiàn)率

由表4中對網(wǎng)絡(luò)信息安全的指標(biāo)體系在因子分析下的結(jié)果，命名如下。

第一因子為整體安全隱患，包含指標(biāo)：信息系統(tǒng)總體架構(gòu)、服務(wù)區(qū)安全、完整性破壞；第二因子為主機(jī)安全隱患，包含指標(biāo)：操作系統(tǒng)安全、網(wǎng)絡(luò)出口安全、病毒防護(hù)、病毒定義庫升級、Windows系統(tǒng)補(bǔ)??；第三因子為網(wǎng)絡(luò)安全隱患，包含指標(biāo)：網(wǎng)絡(luò)線路安全、入侵監(jiān)測、管理員口令設(shè)置、網(wǎng)絡(luò)管理工具、欺騙、偽裝；第四因子為應(yīng)用安全隱患，包含指標(biāo)：啟用服務(wù)數(shù)量、軟件補(bǔ)丁、旁路控制、信息泄漏、拒絕服務(wù)、竊聽；第五因子管理安全隱患，安全隔離、安全防護(hù)流程、違反授權(quán)、工作人員的隨意行為、攔截/篡改、非法使用。

4　結(jié)論

本文根據(jù)電力信息網(wǎng)絡(luò)安全保護(hù)的需要，探討了其授權(quán)、訪問模式、操作、授權(quán)管理、模型結(jié)構(gòu)和轉(zhuǎn)換規(guī)則。重點(diǎn)是標(biāo)準(zhǔn)化的安全、路由和工業(yè)控制系統(tǒng)防病毒問題。同時，考慮各種信息安全模型的特點(diǎn)，因此選擇基于貝爾-拉帕都拉安全保護(hù)信息安全模型，以適應(yīng)供電網(wǎng)絡(luò)的一些特性需求，形成了五大安全因子：整體安全隱患、主機(jī)安全隱患、網(wǎng)絡(luò)安全隱患、應(yīng)用安全隱患、管理安全隱患。

［1］陳晰.電力系統(tǒng)穩(wěn)態(tài)分析［M］.北京：中國電力出版社，1996.

［2］張煥國.計(jì)算機(jī)安全保密技術(shù)［M］.北京：機(jī)械工業(yè)出版社，1995.

［3］李海泉，李健.計(jì)算機(jī)系統(tǒng)安全技術(shù)［M］.北京：人民郵電出版社，2001.

［4］劉軍，陶樹平.SYBASE數(shù)據(jù)庫的安全及安全的應(yīng)用程序設(shè)計(jì)［J］.計(jì)算機(jī)工程與應(yīng)用，1998（4）：3-5.

［5］秦拯.一種新型的入侵檢測模型的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)科學(xué)，2001，28（11）：96-99.

［6］白小冰.基于人工免疫模型的網(wǎng)絡(luò)人侵檢測系統(tǒng)［J］.計(jì)算機(jī)工程與應(yīng)用，2002，38（9）：133-135.

［7］戴英俠，連一峰.系統(tǒng)安全與入侵檢測［M］.重慶：重慶大學(xué)出版社，2002.

Electricity Network Security Index Based on Bell-La Madura Model

CHEN Ying-cong
（Meizhou Power Supply Bureau，Meizhou514021，China）

According to power supply bureau network security requirements，focusing on a range of different areas such as security and safety division of the isolation and the latest in SCADA industrial control system to prevent the virus，using Bell-La Madura model，combined with the power system for industrial control the important feature of the system is based，focused discussion from the aspect of access methods，operations，authorization status，authorization management，model structure and transformation rules，and give the final network security model based on this.

network security；Bell-La Madura；authorization management；SCADA

TM73

A文獻(xiàn)標(biāo)識碼：1009-9492（2015）12-0033-05

10.3969/j.issn.1009-9492.2015.12.009

陳穎聰，男，1983年生，廣東梅州人，碩士，工程師。研究領(lǐng)域：電力信息技術(shù)。

（編輯：阮毅）

2015-10-31