李暖暖，呂 卓，陳 岑，蔡軍飛

（國網(wǎng)河南省電力公司電力科學研究院，河南 鄭州 450052）

0 引 言

隨著信息技術的不斷發(fā)展，Web應用已成為各類媒體信息發(fā)布與交換的重要平臺?，F(xiàn)代電力企業(yè)網(wǎng)絡基礎設施日益完善，已建成生產(chǎn)、調度和營銷等不同類型的信息系統(tǒng)，企業(yè)信息化水平達到空前高度，為電力系統(tǒng)的優(yōu)質、高效與經(jīng)濟運行提供重要保證。在電力信息系統(tǒng)的信息共享與協(xié)作方面，我國已基本實現(xiàn)互聯(lián)互通，基于Web技術的應用系統(tǒng)在國網(wǎng)公司范圍內得到大面積推廣。然而，Web技術的普及使非法者有機可趁，他們運用多種攻擊技術在網(wǎng)絡空間攻擊電力信息系統(tǒng)，破壞電力系統(tǒng)的信息安全，甚至借此為“跳板”，影響電力監(jiān)控系統(tǒng)的可靠運行，導致系統(tǒng)震蕩甚至大范圍停電。因此，做好電網(wǎng)Web應用安全防護具有極強的現(xiàn)實意義[1]。

1 傳統(tǒng)Web應用安全防護技術

傳統(tǒng)網(wǎng)絡系統(tǒng)為滿足高性能、高可靠性和低制造成本要求，呈現(xiàn)出靜態(tài)、同質和確定的特點，因此,傳統(tǒng)網(wǎng)絡安全防御的主要精力集中在消滅脆弱性和縮小攻擊面。傳統(tǒng)Web應用安全防護，主要通過部署防御產(chǎn)品、升級防御技術等方式實現(xiàn)，其主要特點是在攻擊發(fā)生后，可通過分析攻擊行為特征與病毒代碼提出針對性的防御措施，并采用打補丁與軟件升級方式減少軟硬件漏洞。

然而，網(wǎng)絡攻防的成本是非對稱的，且有利于攻擊方。傳統(tǒng)Web應用安全防護無法有效抵御系統(tǒng)未知軟硬件漏洞、潛在后門和智能化滲透式的網(wǎng)絡入侵，必須以指數(shù)級增長的成本保護包含多種未知脆弱性的復雜系統(tǒng)，而攻擊方卻僅僅需要找到一個或幾個可供利用的脆弱性便可攻陷該系統(tǒng)?，F(xiàn)有的Web應用安全防護方法難以有效支撐電網(wǎng)Web應用與電網(wǎng)Web應用系統(tǒng)的復雜架構、高性能、高安全性和高可靠性需求。同時，電力Web應用系統(tǒng)在實時數(shù)據(jù)發(fā)布、矢量化圖形展現(xiàn)以及會話維持方面與傳統(tǒng)商業(yè)Web系統(tǒng)存在較大差異，在網(wǎng)絡攻擊行為方面也有所不同，現(xiàn)有的網(wǎng)絡攻擊機理研究，并不完全適用于電網(wǎng)Web應用業(yè)務的安全防護。因此，在電網(wǎng)Web應用數(shù)量多且結構復雜，電網(wǎng)Web信息系統(tǒng)面臨的安全威脅種類繁雜的背景下，電網(wǎng)Web應用的聯(lián)動防御能力不足，亟需樹立動態(tài)且綜合的防御理念，針對電網(wǎng)Web應用的安全防護開展研究。

2 面向電網(wǎng)Web應用的網(wǎng)絡安全分析與防御方法

結合電網(wǎng)Web應用的運行特點，運用模糊測試工具構建安全分析模型來實現(xiàn)對電網(wǎng)Web應用網(wǎng)絡的安全分析與評估，并基于攻擊鏈技術展開對電網(wǎng)Web應用防護體系安全性的探討，支撐高安全性電網(wǎng)Web應用防御能力的構建，為動態(tài)且綜合防御技術研究的開展奠定基礎。

2.1 電網(wǎng)Web信息系統(tǒng)運行的安全威脅

電網(wǎng)Web信息系統(tǒng)面臨的威脅種類繁多且威脅程度層次不齊。為實現(xiàn)對電網(wǎng)Web信息系統(tǒng)的安全威脅分析，首先需將信息系統(tǒng)面臨的安全威脅（如APT攻擊、SQL注入、跨站腳本攻擊、安全漏洞、安全后門以及非安全對象引用等）按照所屬類型進行分類，然后針對各類威脅危害程度、發(fā)生概率以及威脅發(fā)生后可以進行補救的概率對各類威脅進行分級，在分類分級完成后，運用模糊測試工具構建針對電網(wǎng)web信息系統(tǒng)的安全分析模型，以此實現(xiàn)對Web應用網(wǎng)絡的安全分析和評估。通用的Web模糊測試工具結構主要包括目標獲取與識別、模糊測試向量生成、模糊測試執(zhí)行主體、異常監(jiān)控以及日志分析。最后要依據(jù)安全分析模型，形成針對電網(wǎng)Web應用的安全分析框架[2-3]。

2.2 基于攻擊鏈的電網(wǎng)Web應用防護體系安全分析

由于電網(wǎng)Web應用實際網(wǎng)絡的復雜性，往往存在如下問題：（1）網(wǎng)絡攻擊者能夠將組件操作系統(tǒng)中的某個脆弱性，躍遷至其他組件的脆弱性，威脅電力系統(tǒng)的安全生產(chǎn)；（2）修復網(wǎng)絡系統(tǒng)的脆弱性需要付出一定的代價，如犧牲網(wǎng)絡系統(tǒng)短時間內的可用性，但這通常是不被允許的，因此需要兼顧安全性與可用性，以最小的代價實現(xiàn)網(wǎng)絡安全。

上述問題實際是電網(wǎng)Web應用中的多目標聯(lián)動問題，而要實現(xiàn)多目標的聯(lián)動防御，需對網(wǎng)絡攻擊執(zhí)行建模，通過對整個網(wǎng)絡的綜合分析，得出各脆弱性之間的關系，掌握攻擊者利用網(wǎng)絡中單個脆弱性對網(wǎng)絡系統(tǒng)進行目標導向的滲透過程，且要根據(jù)攻擊者的攻擊路徑，有效評估攻擊引起的直接和間接的網(wǎng)絡安全影響。常見的攻擊建模技術有攻擊樹和攻擊圖兩種。利用攻擊樹可對復雜的攻擊場景進行建模,能夠結合專家頭腦風暴法將產(chǎn)生的結果融合到攻擊樹中。而利用攻擊圖技術可以分析脆弱性彼此間的利用依賴關系和攻擊者對控制網(wǎng)絡的攻擊策略，并依賴對攻擊者攻擊收益等值的計算，確定攻擊者的最佳攻擊目標及其對應的攻擊路徑，找到最需要加固的脆弱點，為網(wǎng)絡安全管理人員進行有效的安全防御提供依據(jù)。

在網(wǎng)絡入侵攻擊時序邏輯圖基礎上，應結合具體的網(wǎng)絡環(huán)境，分析攻擊步驟的依賴前提和后續(xù)影響，研究網(wǎng)絡入侵的攻擊樹和攻擊圖自動生成算法。對于多層次信息系統(tǒng)，先建立子系統(tǒng)攻擊樹和攻擊圖模型，然后研究利用攻擊依賴關系的攻擊樹和攻擊圖合并算法，生成多層次系統(tǒng)的整體攻擊樹和攻擊圖模型，并結合攻擊樹或攻擊圖信息，從意圖實現(xiàn)后產(chǎn)生的后果、意圖的作用點和意圖實現(xiàn)后的破壞影響度等維度對入侵意圖進行分類，研究攻擊步驟推導和入侵意圖識別分析技術。此外，要基于攻擊步驟的產(chǎn)生概率，研究構建概率攻擊圖，為攻擊入侵預警和防御提供技術支撐。

3 結 論

針對電網(wǎng)Web應用安全防護現(xiàn)狀以及面臨的問題，強化安全防護意識從被動防御到主動防御的轉變，是適應“兩化”融合條件下工控信息安全發(fā)展趨勢的必要舉措。通過面向電網(wǎng)Web應用的網(wǎng)絡威脅與防護體系安全性分析，可為構建電網(wǎng)安全穩(wěn)定的運行環(huán)境提供理論依據(jù)。