葛敏輝，張亮，翟海保

（國家電網(wǎng)公司華東分部，上海 200120）

電力網(wǎng)絡(luò)安全是保障電力可靠穩(wěn)定輸送的關(guān)鍵，為加強(qiáng)電力網(wǎng)絡(luò)系統(tǒng)傳送安全保護(hù)，避免發(fā)生被攻擊的風(fēng)險(xiǎn)和存在漏洞弱點(diǎn)，應(yīng)構(gòu)建完善的電網(wǎng)安全智能預(yù)警系統(tǒng)[1]。在受到攻擊前及時(shí)修復(fù)，能夠提高網(wǎng)絡(luò)系統(tǒng)安全，起到對(duì)電力網(wǎng)絡(luò)所有攻擊事件免疫的作用[2]。電網(wǎng)安全智能預(yù)警系統(tǒng)由硬件系統(tǒng)和軟件系統(tǒng)組成，針對(duì)各種智能預(yù)警系統(tǒng)的局限性，一些學(xué)者從硬件方面對(duì)網(wǎng)絡(luò)安全智能預(yù)警進(jìn)行了改進(jìn)，改進(jìn)硬件系統(tǒng)后，預(yù)警效果十分明顯，能有效提高電網(wǎng)的安全性能，但硬件系統(tǒng)改進(jìn)成本相對(duì)較高，不適合對(duì)電網(wǎng)安全性要求較低的地區(qū)[3-4]?；谶@一原因，一些學(xué)者對(duì)系統(tǒng)軟件部分進(jìn)行了改進(jìn)，比如對(duì)電網(wǎng)安全智能預(yù)警系統(tǒng)進(jìn)行改進(jìn)，通過對(duì)船舶電力通信網(wǎng)安全狀態(tài)規(guī)則的識(shí)別，然后建立了一整套網(wǎng)絡(luò)安全智能化預(yù)警機(jī)制，改進(jìn)系統(tǒng)軟件，但是改進(jìn)后的系統(tǒng)預(yù)警效果并不明顯，準(zhǔn)確率相對(duì)較低，實(shí)時(shí)預(yù)警能力較差，所以智能報(bào)警系統(tǒng)需要更進(jìn)一步改進(jìn)[5]。

針對(duì)上述問題，文中提出并設(shè)計(jì)了基于B/S 架構(gòu)的電力網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)，該系統(tǒng)根據(jù)當(dāng)前電力公司信息網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀進(jìn)行科學(xué)合理規(guī)劃與設(shè)計(jì)，制定了一套完善的電力網(wǎng)絡(luò)預(yù)警體系。通過分析討論系統(tǒng)開發(fā)的主要策略原則，給出系統(tǒng)運(yùn)行階段劃分及建設(shè)任務(wù)，開發(fā)設(shè)計(jì)了關(guān)鍵功能模塊，并且對(duì)系統(tǒng)的硬件配置以及系統(tǒng)重要功能模板進(jìn)行了檢測。

1 系統(tǒng)硬件設(shè)計(jì)

B/S 架構(gòu)使用方便，維護(hù)簡單，擴(kuò)展性好，信息資源共享程度較高。以B/S 體系結(jié)構(gòu)為基礎(chǔ)，設(shè)計(jì)了電網(wǎng)安全智能預(yù)警系統(tǒng)硬件，包括蜜罐主機(jī)、蜜罐網(wǎng)絡(luò)管理、日志服務(wù)器等硬件功能模塊，如圖1 所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

1.1 蜜罐宿主機(jī)

虛擬安裝實(shí)際業(yè)務(wù)系統(tǒng)，監(jiān)控主要入侵造成的威脅，蜜罐主要分為管理層區(qū)域和攻擊層捕捉區(qū)域。

在蜜罐宿主機(jī)結(jié)構(gòu)下，設(shè)置管理區(qū)域和攻擊區(qū)域。其中，管理區(qū)域主要用于電力信息網(wǎng)絡(luò)主動(dòng)風(fēng)險(xiǎn)預(yù)警系統(tǒng)對(duì)各個(gè)組件之間的通信，電力信息網(wǎng)絡(luò)活動(dòng)的風(fēng)險(xiǎn)預(yù)警系統(tǒng)管理員負(fù)責(zé)管理訪問系統(tǒng)管理區(qū)域，并通過監(jiān)測網(wǎng)絡(luò)的管理系統(tǒng)管理界面進(jìn)行日常管理和日志分析[6-8]。攻擊區(qū)域中訪問權(quán)是一種信息網(wǎng)絡(luò)，來自外界所有蜜罐入口都必須先通過蜜罐網(wǎng)關(guān)，根據(jù)eth3界面捕獲攻擊區(qū)域中的信息，再將捕獲到的信息發(fā)送到監(jiān)控管理系統(tǒng)eth3接口，更改系統(tǒng)惡意樣本文件。訪問控制策略是在監(jiān)視管理系統(tǒng)的eth3 接口上啟用的，它禁止接收蜜罐捕獲到信息之外的數(shù)據(jù)[9-10]。

1.2 蜜網(wǎng)網(wǎng)關(guān)

對(duì)主動(dòng)防御系統(tǒng)和實(shí)際信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行隔離，控制蜜罐主機(jī)對(duì)蜜罐主系統(tǒng)的入侵威脅[11]。

1.3 日志服務(wù)器

收購各種類型數(shù)據(jù)和日志，包括web 日志和主機(jī)日志以及樣本文檔等一系列數(shù)據(jù)，結(jié)合離線分析技術(shù)，實(shí)現(xiàn)了蜜網(wǎng)需求“數(shù)據(jù)分析”。圖2 為日志服務(wù)器結(jié)構(gòu)。

圖2 日志服務(wù)器

日志服務(wù)器負(fù)責(zé)為網(wǎng)絡(luò)監(jiān)控中心進(jìn)行日志監(jiān)控服務(wù)，采用中心配置為Linux 上的syslog 服務(wù)器，可接收一切能夠通過網(wǎng)絡(luò)的路由器、交換機(jī)和其他主機(jī)等的所有設(shè)備發(fā)送的日志[12-13]。其中syslog 服務(wù)器能夠過濾和合并各種不同設(shè)備或主機(jī)發(fā)送的日志信息，從而使日志信息變得更加準(zhǔn)確清晰，提高了日志信息捕獲效率。

2 軟件功能設(shè)計(jì)

采用模塊化結(jié)構(gòu)，使系統(tǒng)具有良好的維護(hù)性，各模塊構(gòu)成一個(gè)功能獨(dú)立的子系統(tǒng)，完全可以做到通過主控窗口來進(jìn)行相對(duì)應(yīng)的調(diào)用[14-15]。

2.1 預(yù)警指標(biāo)確定

按照預(yù)警指標(biāo)體系建立原則，采用絕對(duì)指標(biāo)和相對(duì)指標(biāo)對(duì)電力網(wǎng)絡(luò)安全進(jìn)行預(yù)警。在指標(biāo)設(shè)計(jì)中考慮了電網(wǎng)之間的換電、停電等因素。其中，絕對(duì)指標(biāo)預(yù)警當(dāng)前實(shí)際電力供需狀況，而相對(duì)指標(biāo)則通過與前期對(duì)比分析預(yù)測供需發(fā)展趨勢(shì)，由此確定預(yù)警指標(biāo)：

式中，W出、W凈分別表示系統(tǒng)最大可調(diào)出力和凈受電力；P表示系統(tǒng)最大用電負(fù)荷；T表示電力平衡指數(shù)。

2.2 網(wǎng)絡(luò)安全狀態(tài)特征提取

由于收集到的電網(wǎng)安全狀態(tài)信息無法直接識(shí)別電網(wǎng)安全狀態(tài)，為此提出了一種以電網(wǎng)安全狀態(tài)等級(jí)為代表的安全狀態(tài)特征提取方法，并用小波熵表示。

設(shè)從電力平衡指數(shù)T中選取的網(wǎng)絡(luò)安全信息為{x(n)}，經(jīng)過小波變換處理后，xi(n)為第i層分解后電力網(wǎng)絡(luò)安全信息，網(wǎng)絡(luò)傳輸能量值為Ei，計(jì)算公式如式（2）所示：

式中，m表示電力網(wǎng)絡(luò)安全信息大小。

計(jì)算分解后網(wǎng)絡(luò)安全信息小波熵如式（3）所示：

當(dāng)電力網(wǎng)絡(luò)安全狀態(tài)信息改變時(shí)，小波熵也會(huì)出現(xiàn)變化，由此可通過小波熵確定電力網(wǎng)絡(luò)是否安全[16]。

2.3 預(yù)警流程設(shè)計(jì)

在設(shè)計(jì)預(yù)警流程之前，需先設(shè)定條件，并修改數(shù)據(jù)，按照指標(biāo)體系輸出指標(biāo)。

2.3.1 條件設(shè)定

1）選定省份或地區(qū)：全國或省；

2）選擇時(shí)段：年度或季度；

3）輸入時(shí)間：預(yù)警時(shí)間；

4）粗略預(yù)警：由于不會(huì)有時(shí)間收集前一階段數(shù)據(jù)，但是根據(jù)指標(biāo)系統(tǒng)，需要前一個(gè)階段數(shù)據(jù)，在這一點(diǎn)上，可以選擇粗略警告和前一階段數(shù)據(jù)。

2.3.2 數(shù)據(jù)修改

1）按照系統(tǒng)設(shè)計(jì)指標(biāo)，需要在預(yù)警期提供數(shù)據(jù)。在需求方，功率負(fù)載數(shù)據(jù)可以被用來預(yù)測結(jié)果值，在供應(yīng)方，由于功率變化，供方數(shù)據(jù)可能會(huì)有明顯變化，也可能沒有變化，因此，系統(tǒng)設(shè)計(jì)接口允許用戶在上述階段修改自己的數(shù)據(jù)；

2）前階段供方和現(xiàn)階段供方電力負(fù)荷數(shù)據(jù)，都可以從數(shù)據(jù)庫中讀取。以下是系統(tǒng)設(shè)計(jì)修改接口：

①預(yù)計(jì)裝機(jī)增長：默認(rèn)值為0；

②預(yù)計(jì)分析：通過對(duì)前一個(gè)時(shí)間段(從數(shù)據(jù)庫檢索)設(shè)備利用率小時(shí)數(shù)進(jìn)行預(yù)計(jì)分析，設(shè)計(jì)缺省值；

③數(shù)據(jù)查詢：基于索引系統(tǒng)，從數(shù)據(jù)庫中獲取需要數(shù)據(jù)，并查詢預(yù)用用電量數(shù)據(jù)；

④圖形顯示：基于指標(biāo)體系計(jì)算和輸出指標(biāo)值，按照系統(tǒng)設(shè)計(jì)指標(biāo)體系顯示圖形。

將電網(wǎng)安全狀況分為4 個(gè)級(jí)別，即安全、風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)和嚴(yán)重風(fēng)險(xiǎn)。電力網(wǎng)絡(luò)處于安全狀態(tài)時(shí)，才能正常運(yùn)行。在網(wǎng)絡(luò)處于危險(xiǎn)、中度和嚴(yán)重危險(xiǎn)等不安全狀態(tài)時(shí)，啟動(dòng)智能預(yù)警機(jī)制，保障電力網(wǎng)絡(luò)安全。

3 系統(tǒng)調(diào)試

針對(duì)基于B/S 架構(gòu)的電力網(wǎng)絡(luò)安全智能預(yù)警系統(tǒng)設(shè)計(jì)的合理性，進(jìn)行系統(tǒng)調(diào)試。

3.1 調(diào)試步驟

需要打開一個(gè)隨機(jī)配件箱，包括下列附件，然后才能安裝硬件設(shè)備；

1）直連網(wǎng)絡(luò)電纜——當(dāng)主動(dòng)風(fēng)險(xiǎn)警告系統(tǒng)硬件設(shè)備被連接到網(wǎng)絡(luò)時(shí)，需要一根直連的網(wǎng)絡(luò)電纜；

2）交叉網(wǎng)線——當(dāng)使用PC 直連到設(shè)備管理端口，通過HTTPS 協(xié)議登錄到管理接口進(jìn)行配置時(shí)，需要交叉網(wǎng)線來連接；

3）電源線——準(zhǔn)備兩根電源線(如果是單電源，只需要準(zhǔn)備一根電源線)；

4）橡膠墊片——墊片可沿其虛線切成四段，不粘紙剝開并附著于設(shè)備四角下半部；

5）上架安裝——如需將硬件設(shè)備安裝到架子上，應(yīng)將其安裝到耳框上。

如需將硬件設(shè)備安裝到機(jī)架上，需參考上架耳框安裝方式，然后用螺釘固定硬件設(shè)備。硬件設(shè)備根據(jù)實(shí)際網(wǎng)絡(luò)情況接入網(wǎng)絡(luò)并進(jìn)行調(diào)整。其中需要注意的是在與網(wǎng)絡(luò)連接時(shí)，使用直接網(wǎng)絡(luò)將交換機(jī)和系統(tǒng)硬件的工作接口連接起來。

3.2 數(shù)據(jù)分析

針對(duì)數(shù)據(jù)分析，選擇國家某用電情況分析，表1顯示了2008～2018 年該市用電的歷史數(shù)據(jù)。

表1 該市2008～2018年用電量/×105kWh

3.3 攻擊場景捕獲

針對(duì)攻擊場景監(jiān)控管理系統(tǒng)模塊，可以查詢到在此之前受到攻擊的事件和數(shù)量，發(fā)起攻擊源IP 地址與目標(biāo)主機(jī)之間的相對(duì)應(yīng)關(guān)系，以及恢復(fù)攻擊事件處理等，幫助用戶更直觀地分析黑客的攻擊方式。使用者可于指定時(shí)間范圍內(nèi)查詢攻擊事件、查詢攻擊統(tǒng)計(jì)資料。

攻擊事件1：選擇左邊監(jiān)控對(duì)象導(dǎo)航樹中的監(jiān)控對(duì)象以查看攻擊場景，右邊顯示監(jiān)視對(duì)象攻擊事件圖形信息和在兩個(gè)小時(shí)之內(nèi)的所有攻擊事件，如圖3所示。

圖3 攻擊事件1

攻擊事件2：在進(jìn)入攻擊場景頁面后，選擇被監(jiān)視對(duì)象進(jìn)行查看。該頁右邊顯示了攻擊事件數(shù)量，以及在監(jiān)控對(duì)象中收集到攻擊IP 和目標(biāo)主機(jī)的對(duì)應(yīng)情況，如圖4 所示。

圖4 攻擊事件2

3.4 預(yù)警效果對(duì)比分析

針對(duì)攻擊事件1，分別將傳統(tǒng)未改進(jìn)系統(tǒng)與基于B/S 架構(gòu)改進(jìn)后的系統(tǒng)預(yù)警效果進(jìn)行對(duì)比分析，對(duì)比結(jié)果如表2 所示。

表2 兩種系統(tǒng)攻擊事件1下的預(yù)警效果

采用傳統(tǒng)未改進(jìn)系統(tǒng)可以在沒有警報(bào)的地方預(yù)警，而在受到攻擊的地方卻沒有預(yù)警；而采用基于B/S 架構(gòu)改進(jìn)后的系統(tǒng)則可以在受到攻擊的地方準(zhǔn)確預(yù)警，而在其他位置無需預(yù)警。由此可知，在攻擊事件1 下，基于B/S 架構(gòu)改進(jìn)后的系統(tǒng)能夠準(zhǔn)確預(yù)警。

分別采用兩種系統(tǒng)對(duì)攻擊事件2 的預(yù)警效果進(jìn)行對(duì)比分析，對(duì)比結(jié)果如表3 所示。

表3 兩種系統(tǒng)攻擊事件2下的預(yù)警效果

在圖形信息為2、3、31時(shí)，采用傳統(tǒng)未改進(jìn)系統(tǒng)在2、3圖形信息下發(fā)生了預(yù)警，而在圖形信息為31時(shí)，卻沒有預(yù)警；而采用基于B/S 架構(gòu)改進(jìn)后的系統(tǒng)在2、3、31 圖形信息下進(jìn)行了預(yù)警。由此可知，在攻擊事件2下，基于B/S 架構(gòu)改進(jìn)后的系統(tǒng)能夠準(zhǔn)確預(yù)警。

4 結(jié)束語

1）研究結(jié)果

由于電力企業(yè)信息化建設(shè)不斷深入，對(duì)電力企業(yè)信息安全保障能力的要求也越來越高。基于此背景，結(jié)合某市電力公司信息，設(shè)計(jì)了基于B/S 架構(gòu)預(yù)警系統(tǒng)。根據(jù)總體設(shè)計(jì)技術(shù)原理，結(jié)合當(dāng)前電網(wǎng)安全問題，給出了電網(wǎng)風(fēng)險(xiǎn)預(yù)警系統(tǒng)總體結(jié)構(gòu)，并對(duì)系統(tǒng)關(guān)鍵部分進(jìn)行了詳細(xì)設(shè)計(jì)。

2）系統(tǒng)局限

信息安全越來越受到電力企業(yè)及其他行業(yè)的重視，逐漸成為電力企業(yè)信息化建設(shè)的重點(diǎn)之一。伴隨著現(xiàn)代電力企業(yè)技術(shù)集成的不斷發(fā)展，對(duì)信息安全技術(shù)要求也越來越高。因此，電力企業(yè)信息安全技術(shù)研究將是一個(gè)長期而不斷深入的課題。