林丹生

(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院，廣東省智能電網(wǎng)新技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室，廣東 廣州 510080)

電力監(jiān)控系統(tǒng)應(yīng)用級(jí)自保護(hù)技術(shù)研究

林丹生

(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院，廣東省智能電網(wǎng)新技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室，廣東 廣州 510080)

電力監(jiān)控系統(tǒng)為電力生產(chǎn)及供應(yīng)過(guò)程提供監(jiān)視及控制功能，其安全性和穩(wěn)定性直接關(guān)系著電力系統(tǒng)的安全穩(wěn)定。為保證電力監(jiān)控系統(tǒng)自身的可靠性，本文提出一種基于系統(tǒng)告警機(jī)制的應(yīng)用層自保護(hù)技術(shù)模型，以保護(hù)電力監(jiān)控系統(tǒng)關(guān)鍵進(jìn)程和數(shù)據(jù)的完整性及可用性，并通過(guò)對(duì)該模型核心代碼的實(shí)現(xiàn)，驗(yàn)證了該模型能夠?yàn)閼?yīng)用系統(tǒng)提供自保護(hù)能力，為未來(lái)實(shí)現(xiàn)安全穩(wěn)定的電力監(jiān)控應(yīng)用系統(tǒng)提供了一種有效的方法。

電力監(jiān)控系統(tǒng)；安全防護(hù)；自保護(hù)

本文著錄格式：林丹生. 電力監(jiān)控系統(tǒng)應(yīng)用級(jí)自保護(hù)技術(shù)研究[J]. 軟件，2016，37（11）：33-36

0 引言

電力監(jiān)控系統(tǒng)指基于網(wǎng)絡(luò)、通信及計(jì)算機(jī)技術(shù)監(jiān)視和控制電力工業(yè)發(fā)、輸、變、配各環(huán)節(jié)的工業(yè)控制系統(tǒng)[1][2]。在當(dāng)前社會(huì)工業(yè)自動(dòng)化、智能化的大背景下，國(guó)家、社會(huì)對(duì)電力系統(tǒng)的穩(wěn)定、安全、高效等方面提出了更高的要求，基于信息通信技術(shù)的電力監(jiān)控系統(tǒng)極大推動(dòng)了電力工業(yè)的信息化、自動(dòng)化及智能化水平，保障整個(gè)電力系統(tǒng)的高效、穩(wěn)定運(yùn)行。電力監(jiān)控系統(tǒng)在維護(hù)國(guó)家安定繁榮、社會(huì)穩(wěn)步發(fā)展方面承擔(dān)著越來(lái)越重要的作用。然而，電力監(jiān)控系統(tǒng)基于計(jì)算機(jī)、通信技術(shù)及相關(guān)軟硬件，而根據(jù)目前實(shí)驗(yàn)室研究及應(yīng)用實(shí)踐情況，監(jiān)控系統(tǒng)在連續(xù)運(yùn)轉(zhuǎn)過(guò)程中出現(xiàn)宕機(jī)、運(yùn)行錯(cuò)誤等運(yùn)行失敗問(wèn)題幾乎是不可避免的[3]。系統(tǒng)運(yùn)行失敗問(wèn)題對(duì)于普通的信息系統(tǒng)而言影響較小，不會(huì)出現(xiàn)重大的社會(huì)問(wèn)題及影響，然而鑒于電力監(jiān)控系統(tǒng)的重要性，一旦系統(tǒng)出現(xiàn)運(yùn)行失敗，將可能引發(fā)大面積停電等惡性事故事件，造成的社會(huì)、經(jīng)濟(jì)影響難以估量。鑒于此，考慮基于應(yīng)用級(jí)自保護(hù)機(jī)制提升電力監(jiān)控系統(tǒng)運(yùn)行穩(wěn)定性，較少系統(tǒng)運(yùn)行失敗造成的損失，則顯得極其重要。

本文首先分析總結(jié)國(guó)內(nèi)外在應(yīng)用系統(tǒng)自保護(hù)技術(shù)方面的研究成果，在此基礎(chǔ)上提出了一種基于系統(tǒng)告警機(jī)制的應(yīng)用自保護(hù)解決方案，并給出了解決方案的主要軟件代碼。

1 系統(tǒng)自保護(hù)技術(shù)研究現(xiàn)狀

目前對(duì)系統(tǒng)自保護(hù)技術(shù)的研究，主要包括以下

三個(gè)方面：硬件層面的系統(tǒng)自保護(hù)技術(shù)、操作系統(tǒng)層面的系統(tǒng)自保護(hù)技術(shù)、應(yīng)用層面的系統(tǒng)自保護(hù)技術(shù)。[4]

1.1 硬件層面的系統(tǒng)自保護(hù)技術(shù)

基于硬件的系統(tǒng)自保護(hù)技術(shù)一般有以下兩類：自安全存儲(chǔ)設(shè)備[5]、安全芯片技術(shù)[6]。

1.1.1 自安全存儲(chǔ)設(shè)備

自安全存儲(chǔ)設(shè)備，主要是用于抵御惡意攻擊者對(duì)存儲(chǔ)介質(zhì)里面敏感數(shù)據(jù)的竊取、篡改及破壞。一般而言，存儲(chǔ)器由操作系統(tǒng)進(jìn)行控制，然而當(dāng)操作系統(tǒng)身份鑒別信息泄露時(shí)，由操作系統(tǒng)控制的存儲(chǔ)設(shè)備及其相關(guān)資源可能是不安全的，因此，自安全存儲(chǔ)設(shè)備將操作系統(tǒng)及其相關(guān)權(quán)限擁有者視為不安全主體，從而獨(dú)立于操作系統(tǒng)構(gòu)建自身的安全訪問(wèn)控制機(jī)制。

1.1.2 安全芯片技術(shù)

安全芯片在可信計(jì)算領(lǐng)域一般作為可信基，芯片本身配備了獨(dú)立的CPU及存儲(chǔ)空間，可保存特征值及相關(guān)保密數(shù)據(jù)，可利用自身的運(yùn)算能力實(shí)現(xiàn)加解密運(yùn)算并產(chǎn)生密鑰，可對(duì)外提供加密認(rèn)證措施。通過(guò)安全芯片技術(shù)，由一塊獨(dú)立芯片完整運(yùn)行密鑰存儲(chǔ)、加解密運(yùn)算及身份認(rèn)證管理，能有效保障系統(tǒng)敏感數(shù)據(jù)安全，保證身份鑒別及權(quán)限分配的可靠性。

1.2 操作系統(tǒng)層面的系統(tǒng)自保護(hù)技術(shù)

操作系統(tǒng)層面的自保護(hù)技術(shù)主要包括：安全操作系統(tǒng)和訪問(wèn)控制技術(shù)。

1.2.1 安全操作系統(tǒng)

一般而言，業(yè)界對(duì)安全操作系統(tǒng)提出了十個(gè)層面的要求，包括標(biāo)記、可信恢復(fù)、可信路徑、隱蔽信道分析、自主訪問(wèn)控制、客體重用、身份鑒別、強(qiáng)制訪問(wèn)控制、審計(jì)、數(shù)據(jù)完整性等十個(gè)方面，滿足上述要求的操作系統(tǒng)可稱為安全操作系統(tǒng)[7]。安全操作系統(tǒng)一般包括以下特征：1、安全隔離；2、審計(jì)；3、自主訪問(wèn)控制；4、權(quán)限分離，每個(gè)超級(jí)用戶僅賦予其能實(shí)現(xiàn)工作的最小權(quán)限。對(duì)于符合安全操作系統(tǒng)技術(shù)要求及特征的系統(tǒng)，能夠有效抵御各種木馬、病毒感染，并具備極強(qiáng)的抗網(wǎng)絡(luò)攻擊、非法用戶入侵等方面的能力，從根本上顯著提高電力監(jiān)控系統(tǒng)整體安全性。然而，目前為止安全操作系統(tǒng)商用時(shí)間較短，產(chǎn)品尚未完成成熟，離完全符合其技術(shù)要求及特征尚需時(shí)日。

1.2.2 訪問(wèn)控制技術(shù)

一般的訪問(wèn)控制策略[8][9]主要有兩種，包括強(qiáng)制訪問(wèn)控制策略（Mandatory Access Control，簡(jiǎn)稱MAC）和自主訪問(wèn)控制策略（Discretionary Access Control，簡(jiǎn)稱 DAC）

（1）強(qiáng)制訪問(wèn)控制，指基于信息敏感性及保密性對(duì)信息主體和信息客體進(jìn)行分級(jí)分類，并基于技術(shù)體系保證主體僅允許訪問(wèn)相應(yīng)級(jí)別的客體的一種訪問(wèn)控制技術(shù)手段。強(qiáng)制訪問(wèn)控制也是安全操作系統(tǒng)的技術(shù)要求之一，但也可脫離操作系統(tǒng)獨(dú)立存在。但系統(tǒng)基于強(qiáng)制訪問(wèn)控制技術(shù)時(shí)，信息主體（用戶）每次訪問(wèn)形象客體（文件）時(shí)，訪問(wèn)控制機(jī)制均會(huì)判斷信息主體及形象客體自身的安全標(biāo)簽，根據(jù)安全標(biāo)簽及已制定的策略判斷信息主體是否具備訪問(wèn)客體的權(quán)限。

（2）自主訪問(wèn)控制，指信息客體的主體對(duì)于該信息有自主管理分配權(quán)限，信息主體能將屬于自身的信息客體的管理控制權(quán)分配給其他客體，也允許對(duì)授權(quán)進(jìn)行收回。在每次訪問(wèn)發(fā)生時(shí)，由訪問(wèn)控制模型根據(jù)客體的訪問(wèn)控制權(quán)限授予情況，判斷信息主體是否具備訪問(wèn)客體的權(quán)限。

1.3 應(yīng)用層面的系統(tǒng)自保護(hù)技術(shù)

應(yīng)用層面的系統(tǒng)自保護(hù)技術(shù)主要有防惡意代碼軟件、沙盒(SandBox)[10]技術(shù)等。

1.3.1 防惡意代碼軟件

目前防惡意代碼軟件多種多樣，技術(shù)也存在較大差異。一般而言，防惡意代碼軟件主要的安全防御策略有兩種，一種是匹配目標(biāo)文件的特征值并與惡意代碼庫(kù)進(jìn)行比較，來(lái)判斷目標(biāo)文件是否感染惡意代碼，另一種是根據(jù)目標(biāo)文件或程序的行為進(jìn)行判斷。然而，目前的防惡意代碼軟件普遍存在以下三方面問(wèn)題，1）惡意代碼庫(kù)更新總是滯后于惡意代碼破壞行為的出現(xiàn)，對(duì)于新產(chǎn)生或變種的惡意代碼無(wú)能為力。2）匹配準(zhǔn)確度不夠高，可能會(huì)影響重要系統(tǒng)功能的正常運(yùn)行。3）惡意代碼庫(kù)需定時(shí)更新，對(duì)于封閉的電力監(jiān)控系統(tǒng)而言難以滿足該要求。

1.3.2 沙盒技術(shù)

沙盒技術(shù)是指在發(fā)現(xiàn)某一程序代碼出現(xiàn)不正常行為是不立即進(jìn)行終止，而是讓其在特定的環(huán)境或容器下持續(xù)運(yùn)行并緊密觀察記錄，對(duì)其所影響文件、系統(tǒng)環(huán)境等進(jìn)行充分的備份。當(dāng)確認(rèn)為惡意代碼時(shí)，對(duì)其進(jìn)行終止，同時(shí)對(duì)其影響的文件及系統(tǒng)采取恢復(fù)措施。沙盒技術(shù)的優(yōu)勢(shì)在于減少誤殺情況，并可保留惡意代碼運(yùn)行過(guò)程證據(jù)，但仍存在防惡意代碼軟件的滯后性及定時(shí)更新問(wèn)題，同時(shí)必須保證沙盒環(huán)境本身安全可靠，以低于網(wǎng)絡(luò)攻擊入侵。

2 基于系統(tǒng)告警機(jī)制的應(yīng)用自保護(hù)解決方案

從上文分析可知，基于硬件和基于操作系統(tǒng)的系統(tǒng)自保護(hù)技術(shù)依賴于硬件及操作系統(tǒng)自身的支持，從目前的硬件及操作系統(tǒng)市場(chǎng)來(lái)看，傳統(tǒng)知名產(chǎn)品較少提供系統(tǒng)自保護(hù)能力，而部分新產(chǎn)品雖然宣稱已集成部分系統(tǒng)自保護(hù)功能，但此類產(chǎn)品仍有待進(jìn)一步成熟，難以滿足電力系統(tǒng)高安全性、可靠性的要求。

在基于應(yīng)用系統(tǒng)的自保護(hù)技術(shù)方面，防病毒產(chǎn)品目前已較為成熟，但仍存在兩個(gè)問(wèn)題難以解決，一是對(duì)各類Unix系統(tǒng)的支持能力不足，二是對(duì)電力監(jiān)控系統(tǒng)本身的獨(dú)特需求支持不足，難以準(zhǔn)確定位電力監(jiān)控系統(tǒng)所需的進(jìn)程及數(shù)據(jù)，可能出現(xiàn)誤殺或者漏防問(wèn)題。沙盒技術(shù)目前應(yīng)用范圍有限，主用用于瀏覽器、Java虛擬機(jī)等有“容器”的運(yùn)行環(huán)境，而電力監(jiān)控系統(tǒng)大多不具備此類環(huán)境。

2.1 基于系統(tǒng)告警機(jī)制的應(yīng)用自保護(hù)工作模型

為適應(yīng)電力監(jiān)控系統(tǒng)安全防護(hù)的特點(diǎn)，本文提出一種基于系統(tǒng)告警機(jī)制的應(yīng)用自保護(hù)工作模型，該工作模型如圖1所示，由系統(tǒng)定時(shí)告警模塊和后臺(tái)監(jiān)控模塊兩部分構(gòu)成。

圖1 基于系統(tǒng)告警機(jī)制的應(yīng)用層自保護(hù)工作模型Fig.1 Application layer Self-protection model based on the system alarm mechanism

在圖1所示的應(yīng)用層自保護(hù)工作模型中包括兩大模塊。

定時(shí)告警模塊，該模塊包括兩大功能。其中監(jiān)控定時(shí)功能用于配置系統(tǒng)定時(shí)告警功能，定時(shí)啟動(dòng)所需的監(jiān)控功能；監(jiān)控內(nèi)容設(shè)置模塊用于配置監(jiān)控內(nèi)容，根據(jù)應(yīng)用系統(tǒng)運(yùn)行需要配置合適的后臺(tái)監(jiān)控函數(shù)。定時(shí)告警模塊的實(shí)現(xiàn)主要基于操作系統(tǒng)的定制告警相關(guān)應(yīng)用程序接口。

后臺(tái)監(jiān)控模塊，該模塊包括三大功能。系統(tǒng)性能模塊可完成對(duì)系統(tǒng)占用帶寬、內(nèi)存、處理器資源等性能相關(guān)指標(biāo)進(jìn)行監(jiān)控，并在系統(tǒng)性能出現(xiàn)異常時(shí)采取必要措施；系統(tǒng)安全監(jiān)控模塊可完成對(duì)應(yīng)用系統(tǒng)關(guān)鍵進(jìn)程存活、重要數(shù)據(jù)完整性等安全性指標(biāo)進(jìn)行監(jiān)控，并在系統(tǒng)安全性出現(xiàn)異常時(shí)采取必要措施；定時(shí)告警設(shè)置模塊調(diào)用定時(shí)告警模塊功能，保證后臺(tái)監(jiān)控模塊所在進(jìn)程能定時(shí)被激活，避免遭到破壞。

在該工作模型中，系統(tǒng)定時(shí)告警模塊和后臺(tái)監(jiān)控模塊相互調(diào)用，且該調(diào)用關(guān)系難以被外界中斷，從而保證了應(yīng)用系統(tǒng)的自保護(hù)監(jiān)控功能實(shí)時(shí)運(yùn)行，解決了傳統(tǒng)監(jiān)控手段中監(jiān)控進(jìn)程本身遭到破壞從而導(dǎo)致應(yīng)用系統(tǒng)自保護(hù)功能失敗的問(wèn)題。本工作模型可作為應(yīng)用系統(tǒng)自身的一個(gè)模塊，也可作為一套獨(dú)立的系統(tǒng)運(yùn)行。

2.2 模型的代碼實(shí)現(xiàn)框架實(shí)例

基于系統(tǒng)告警機(jī)制的應(yīng)用自保護(hù)工作模型實(shí)現(xiàn)方式根據(jù)操作系統(tǒng)本身提供的應(yīng)用程序接口的差異而有所不同，本文使用了基于JAVA 虛擬機(jī)提供的應(yīng)用程序接口為例，介紹本工作模型的實(shí)現(xiàn)機(jī)制，并驗(yàn)證該工作模型的自保護(hù)能力。

基于JAVA 虛擬機(jī)的模型實(shí)現(xiàn)技術(shù)框架如圖2所示。

圖2 應(yīng)用系統(tǒng)自保護(hù)模型技術(shù)實(shí)現(xiàn)框架Fig.2 The technology framework of the Self-protection Application model

在該技術(shù)框架中，定時(shí)告警模塊及后臺(tái)監(jiān)控模塊分別在繼承自Service類的自定義子類TimerService和繼承自BroadcastReceiver類的自定義子類Monitor And Control實(shí)例中實(shí)現(xiàn)。

經(jīng)過(guò)實(shí)驗(yàn)室驗(yàn)證，基于上述關(guān)鍵代碼實(shí)現(xiàn)的應(yīng)用系統(tǒng)自保護(hù)模型，能夠有效保證后臺(tái)監(jiān)控服務(wù)的持續(xù)運(yùn)行，避免監(jiān)控進(jìn)程受到非預(yù)期中斷，只要在后臺(tái)監(jiān)控模塊中針對(duì)業(yè)務(wù)需求實(shí)現(xiàn)性能監(jiān)控及安全監(jiān)控處理函數(shù)，該模型能為應(yīng)用系統(tǒng)提供有效的自保護(hù)能力。

3 結(jié)語(yǔ)

電力監(jiān)控系統(tǒng)的自保護(hù)能力決定了監(jiān)控系統(tǒng)運(yùn)行過(guò)程中的穩(wěn)定性及安全性，目前業(yè)界在系統(tǒng)自保護(hù)能力實(shí)現(xiàn)中主要基于硬件自保護(hù)、操作系統(tǒng)自保護(hù)及應(yīng)用自保護(hù)三個(gè)層次實(shí)現(xiàn)。本文研究了一種基于系統(tǒng)告警機(jī)制的應(yīng)用系統(tǒng)自保護(hù)模型，并通過(guò)具體的代碼實(shí)現(xiàn)驗(yàn)證了自保護(hù)能力，為未來(lái)實(shí)現(xiàn)安全穩(wěn)定的電力監(jiān)控應(yīng)用系統(tǒng)提供了一種有效的方法。

[1] 伍曉泉. 軟件測(cè)試技術(shù)在電力系統(tǒng)安全防護(hù)中的應(yīng)用[J].電子技術(shù)與軟件工程, 2014, 21: 96-98. Wu Xiaoquan. Technology of Software Testing in Electric Power Security Protect[J], ELECTRONIC TECHNOLOGY & SOFTWARE ENGINEERING, 2014, 21: 96-98.

[2] 蔡漢生, 陳喜鵬, 史丹, 馮萬(wàn)興, 劉博, 周自強(qiáng), 袁哲. 南方電網(wǎng)雷電定位系統(tǒng)及其應(yīng)用[J], 南方電網(wǎng)技術(shù), 2015, 9(1): 14-18. CAI Hansheng, CHEN Xipeng, SHI Dan, FENG Wanxing, LIU Bo, ZHOU Ziqiang, YUAN Zhe. China Southern Power Grid Lightning Location System and Its Application[J], China Southern Power Grid Lightning Location System and Its Application, 2015, 9(1): 14-18.

[3] 姜福成. 云計(jì)算的基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)和云應(yīng)用服務(wù)[J]. 軟件, 2014, 35(7): 97-102. JiangFucheng. Design of Infrastructure of Cloud Computing and Cloud Applications Services[J], Computer engineering & Software, . 2014, 35(7): 97-102. HE Hongjun, HE Xiuxiong, LUO Li, FANG Zhihe, WANG Yang, DUAN Zhipeng. An Application Protection Model[J]. Journal of Wuhan University(Natural Science Edition), 2015, 9(1): 14-18.

[4] 李明. 應(yīng)用程序文件保護(hù)的研究與應(yīng)用[D], 湖南: 國(guó)防科學(xué)技術(shù)大學(xué), 2009.

[5] Gregory R, Ganger John D. Strunk Andrew J Klosterman. Self-Storage Brick-based Storage with Automated Administration, Carnegie Mellon University, 2003.

[6] NGSCB, LaGrande., 軟硬兼施的下一代安全技術(shù)[EB/OL], 2004, http://www.pcpro.com.cn/topic.php?id=2850.

[7] 劉克龍, 馮登國(guó), 石文昌. 安全操作系統(tǒng)原理與技術(shù)[M].北京: 科學(xué)出版社, 2004.

[8] Ravi S, Sandhu. Access Control Principles and practice[J]. IEEE communications magazine, 1994, 32(9): 40-48．

[9] 聶曉. 信息物理融合系統(tǒng)安全現(xiàn)狀與關(guān)鍵技術(shù)[J]. 廣東電力, 2012, 25(11): 47-50. NIE Xiao. Security Status Quo and Key Technology of Information Cyber physic System[J], Guangdong Electric Power, 2012, 25(11): 47-50.

[10] F Chang, Ayal Itzkovitz, Vijay Karamcheti. User-level Resourceconstrained Sandboxing[M]. USENIX Windows System Sypomsium, 2000.

Application Layer Self-protection Technology Research on The Power Monitoring and Control System

LIN Dan-sheng
(The Electric Power Research Institute of Guangdong Grid Co, Guangdong Provincial Key Laboratory of smart grid technology Guangzhou 510080, China)

Power monitoring and control system provides monitoring and control functions for the electricity production and supply process, and the security and stability of this system is directly related to the security and stability of the power system. To ensure the reliability of power monitoring and control system, this paper propose a model of self-protection model based on the system alarm mechanism to protect the integrity and availability of critical power monitoring system processes and data. By implementing the core code of the model, this paper proves that this model provides an effective way to achieve security and stability for the future of power monitoring and control applications.【Key words】: Power monitoring and control system; Security; Self-protection

TM76

A

10.3969/j.issn.1003-6970.2016.11.008

廣東省智能電網(wǎng)新技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室資助項(xiàng)目（2060299）

林丹生(1986-)，男，工程師，信息安全及通信技術(shù)。