王 梓，王治華，韓 勇，金建龍，黃天明，朱 江

（1.南瑞集團(tuán)有限公司（國(guó)網(wǎng)電力科學(xué)研究院有限公司），南京 211106；2.南京南瑞信息通信科技有限公司，南京 211106；3.國(guó)網(wǎng)上海市電力公司，上海 200122）

0 概述

隨著計(jì)算機(jī)、網(wǎng)絡(luò)及通信技術(shù)在建設(shè)堅(jiān)強(qiáng)智能電網(wǎng)中的廣泛應(yīng)用，現(xiàn)代電力系統(tǒng)已發(fā)展成為由物理電力系統(tǒng)和信息通信系統(tǒng)構(gòu)成的復(fù)雜耦合網(wǎng)絡(luò)系統(tǒng)［1-3］。其中，電力監(jiān)控系統(tǒng)是基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)，被用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程。作為整個(gè)電力系統(tǒng)的神經(jīng)網(wǎng)絡(luò)和控制中樞，電力監(jiān)控系統(tǒng)對(duì)保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)具有重要的意義［4］。近年來(lái)，針對(duì)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)攻擊頻繁爆發(fā)，呈現(xiàn)出專業(yè)化、高危害、國(guó)際化、高持續(xù)威脅等特點(diǎn)［5-7］，電力監(jiān)控系統(tǒng)安全防護(hù)的迫切性已被提到國(guó)家安全層面［8］，相關(guān)部門(mén)明確了“多道縱向防線”聯(lián)合防御的要求［9］。

研究人員基于傳統(tǒng)信息安全角度，通過(guò)借鑒國(guó)內(nèi)外成熟的安全防護(hù)模型引入?yún)f(xié)同的概念，從理論上提出網(wǎng)絡(luò)安全協(xié)同防御模型［10］、體系［11］或機(jī)制［12］，此外還針對(duì)特定場(chǎng)景［13-14］下的模型實(shí)現(xiàn)或方案設(shè)計(jì)，為協(xié)同防護(hù)模型的實(shí)現(xiàn)提供了一定的指導(dǎo)及參考價(jià)值。然而，電力監(jiān)控系統(tǒng)與傳統(tǒng)信息系統(tǒng)在安全防護(hù)上存在明顯差異［15］，通用信息安全防護(hù)方法并不能完全適用于電力監(jiān)控系統(tǒng)。現(xiàn)階段針對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究成果大多聚焦在建立適用于電力系統(tǒng)的縱深防護(hù)架構(gòu)［16］、防御技術(shù)剖析應(yīng)用［17］或極端事件的風(fēng)險(xiǎn)評(píng)估與防范［18］方面。但以上成果均未考慮在電網(wǎng)實(shí)際組網(wǎng)環(huán)境下結(jié)合多層級(jí)協(xié)同防御思想的網(wǎng)絡(luò)安全防護(hù)框架及實(shí)踐研究，且缺乏全面、細(xì)致、有效的協(xié)同機(jī)制和實(shí)現(xiàn)方法的描述。鑒于此，本文設(shè)計(jì)并提出一整套安全、有效的網(wǎng)絡(luò)安全協(xié)同防御模型及實(shí)現(xiàn)機(jī)制，以提升電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件的應(yīng)急管控能力。

1 研究背景

1.1 現(xiàn)有電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)主要由電力調(diào)度數(shù)據(jù)網(wǎng)承載，拓?fù)湟话阋噪p星型為主。其組網(wǎng)節(jié)點(diǎn)具有數(shù)量多、連接復(fù)雜的特點(diǎn)，通常按照IP 網(wǎng)絡(luò)的層次化進(jìn)行設(shè)計(jì)［19］。為保障電力系統(tǒng)安全穩(wěn)定運(yùn)行，建立和完善電網(wǎng)、電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)體系，國(guó)家和行業(yè)相關(guān)部門(mén)先后提出并發(fā)布了電力監(jiān)控系統(tǒng)安全防護(hù)的相關(guān)要求［20-21］。其中，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全以《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》作為行業(yè)最新的電力系統(tǒng)安全規(guī)范文件，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為原則，通過(guò)綜合采用防火墻、入侵檢測(cè)、主機(jī)加固、病毒防護(hù)、日志審計(jì)、統(tǒng)一管理等多種手段，建立了以省級(jí)以上調(diào)度中心、發(fā)電廠、變電站、配電等組成的電力監(jiān)控系統(tǒng)安全防護(hù)架構(gòu)。

以重點(diǎn)防護(hù)的生產(chǎn)控制大區(qū)為例，目前在省調(diào)、地調(diào)、變電站及電廠選擇性部署了縱向加密認(rèn)證、物理隔離裝置、硬件防火墻、防病毒/防惡意代碼、入侵檢測(cè)防御系統(tǒng)以及漏洞掃描、網(wǎng)管、安全審計(jì)等一系列圍繞業(yè)務(wù)安全、通信安全、邊界安全的安全防護(hù)設(shè)備和系統(tǒng)，其所涉及的安防技術(shù)主要包括加密、身份認(rèn)證/數(shù)字簽名、可信接入、入侵檢測(cè)、基于角色訪問(wèn)控制、防火墻、安全隔離、虛擬專用網(wǎng)絡(luò)、安全隧道、報(bào)文過(guò)濾/攔截等，其邏輯關(guān)系如圖1 所示。

圖1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全總體防護(hù)架構(gòu)Fig.1 Network security protection structure of existing power monitoring system

1.2 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)需求

通過(guò)各類安防設(shè)備的部署和安全技術(shù)的應(yīng)用，在一定程度上提升了網(wǎng)絡(luò)安全防護(hù)能力。但網(wǎng)絡(luò)系統(tǒng)的整體安全并不能通過(guò)安全設(shè)施或技術(shù)的簡(jiǎn)單堆疊實(shí)現(xiàn)，而應(yīng)取決于安全防御能力最薄弱的環(huán)節(jié)或組成部分［22］。目前安全技術(shù)的靜態(tài)疊加、安防設(shè)備孤立的部署方式、單一固化的防御手段已不能滿足新威脅背景下動(dòng)態(tài)管控、縱深防御的主動(dòng)式電網(wǎng)安全發(fā)展需求［23］。因此，結(jié)合電力監(jiān)控系統(tǒng)組網(wǎng)結(jié)構(gòu)特點(diǎn)，通過(guò)協(xié)調(diào)安防設(shè)備或技術(shù)以共同抵御各種威脅攻擊是提升網(wǎng)絡(luò)安全防御能力的重要實(shí)踐方向。

1）協(xié)同各安類安防能力互補(bǔ)

目前部署的各類安防設(shè)施主要依靠設(shè)備自身固化策略或針對(duì)不同的安全目標(biāo)作業(yè)，相互間協(xié)同性較低。通過(guò)協(xié)同各類具備不同安防能力的安全實(shí)施進(jìn)行通力合作，可有效提升全網(wǎng)的安全防御能力，實(shí)現(xiàn)1+1>2 的安全防護(hù)效果。比如通過(guò)入侵檢測(cè)設(shè)備實(shí)時(shí)監(jiān)測(cè)，并通知防火墻設(shè)備立即阻斷風(fēng)險(xiǎn)源的非法訪問(wèn)可實(shí)現(xiàn)安全協(xié)同防御能力的提升。

2）安全信息的共享

及時(shí)、正確、有效的安全數(shù)據(jù)是安防設(shè)施提供安全保障能力的前提。通過(guò)對(duì)各類安全操作信息、設(shè)備運(yùn)行信息、數(shù)據(jù)日志信息數(shù)據(jù)的采集、融合、處理及下發(fā)，實(shí)現(xiàn)安全威脅信息的快速分發(fā)與共享，可有效地提升安防設(shè)施相互協(xié)作的效率。按照安全數(shù)據(jù)信息由下級(jí)向上級(jí)逐層傳遞，由上級(jí)篩選、過(guò)濾和整合，再將威脅信息從上級(jí)往所需的下級(jí)傳送的原則，可最大程度上發(fā)揮安防設(shè)施的效能并減少威脅告警信息的漏報(bào)和誤報(bào)的情況。

3）多層級(jí)的協(xié)同防御

針對(duì)各類異常網(wǎng)絡(luò)攻擊或安全事件，目前電力監(jiān)控系統(tǒng)以各層級(jí)為核心，通過(guò)應(yīng)用各類安防設(shè)施及技術(shù)并盡可能多地采用禁止手段來(lái)進(jìn)行安全防御。但當(dāng)本級(jí)遇到安防設(shè)施失靈、防御手段失效或無(wú)法抵御的網(wǎng)絡(luò)攻擊時(shí)，通過(guò)多層級(jí)的協(xié)同防御模式及上級(jí)結(jié)合多層次的安全防御技術(shù)對(duì)安全攻擊進(jìn)行實(shí)時(shí)、主動(dòng)的協(xié)同防御，并在必要時(shí)將風(fēng)險(xiǎn)源切除可有效處理整體安全與局部安全的關(guān)系。

2 模型設(shè)計(jì)

2.1 模型框架

本模型將各層級(jí)中每一節(jié)點(diǎn)為中心劃分為本地自治域，按照本級(jí)節(jié)點(diǎn)域內(nèi)自防御及層級(jí)間跨域協(xié)防以實(shí)現(xiàn)核心層、匯聚層、接入層對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件進(jìn)行多層協(xié)同防御的目的。同時(shí)，通過(guò)各層級(jí)間安全信息的快速傳遞及共享，有效地協(xié)同節(jié)點(diǎn)內(nèi)或?qū)蛹?jí)間的各類安全防護(hù)設(shè)備、域內(nèi)設(shè)備級(jí)協(xié)同防御、級(jí)間策略級(jí)協(xié)同防御等工作。如圖2 所示，多層協(xié)同防御模型主要包括核心層中的主站自治域及協(xié)同防御控制模塊、匯聚層中的區(qū)控自治域及區(qū)控協(xié)防模塊、接入層中的自治域及自治域模塊。

圖2 多層協(xié)同防御模型總體框架Fig.2 Overall framework of multi-layer cooperative defense model

模型框架包括以下3 個(gè)方面：

1）主站自治域

核心層節(jié)點(diǎn)以省級(jí)或以上級(jí)別單位劃分為主站自治域，域內(nèi)包含本地安全防護(hù)設(shè)備，并下轄若干區(qū)控自治域及自治域。主站自治域內(nèi)部署協(xié)同防御控制模塊不僅具備自治域模塊的監(jiān)測(cè)及域內(nèi)自防御能力，而且支持通過(guò)協(xié)同防御機(jī)制下發(fā)安全防御策略至所轄各區(qū)控自治域，并和自治域的安全協(xié)同設(shè)備完成協(xié)同防御。如單主站自治域以省級(jí)調(diào)度為單位，支持對(duì)所轄若干的地級(jí)調(diào)度及各地級(jí)所轄的若干變電站或電廠間進(jìn)行協(xié)同防御的能力。

2）區(qū)控自治域

匯聚層節(jié)點(diǎn)以地市級(jí)為單位劃分為區(qū)控自治域、域內(nèi)包含本地安全防護(hù)設(shè)備及其下所轄若干自治域。區(qū)控自治域內(nèi)部署區(qū)控協(xié)防模塊不僅具備自治域模塊的監(jiān)測(cè)及域內(nèi)自防御能力，而且支持接受、執(zhí)行來(lái)自上層主站自治域分發(fā)的消息和協(xié)同防御策略，并對(duì)所轄各自治域完成防御響應(yīng)動(dòng)作。如單區(qū)控自治域節(jié)點(diǎn)以地級(jí)調(diào)度為單位，可實(shí)現(xiàn)對(duì)所轄若干的變電站或電廠協(xié)同防御。

3）自治域

接入層以本地為單位劃分為本地自治域、域內(nèi)包含各類本地安全防護(hù)設(shè)備。自治域內(nèi)部署自治域模塊通過(guò)監(jiān)測(cè)本地網(wǎng)絡(luò)安全信息，可協(xié)同本地安全防護(hù)設(shè)備對(duì)域內(nèi)網(wǎng)絡(luò)安全事件進(jìn)行本地自防御。

2.2 模型分析

模型分析包括以下3 個(gè)方面：

1）域內(nèi)自防御

域內(nèi)自防御通過(guò)相對(duì)獨(dú)立的自治域模塊可實(shí)現(xiàn)本地域內(nèi)安全事件的快速響應(yīng)及處置。域內(nèi)自防御主要面向局部的網(wǎng)絡(luò)安全問(wèn)題，能使各域內(nèi)擁有獨(dú)自防御的能力。例如，當(dāng)域內(nèi)模塊本地監(jiān)測(cè)到網(wǎng)絡(luò)威脅信息后，通過(guò)控制本地安全防護(hù)設(shè)備的安全策略進(jìn)行本地化防御。各層級(jí)的自治域、區(qū)控自治域和主站自治域都具備域內(nèi)自防御能力并優(yōu)先采取該能力抵御本地安全威脅。

2）跨域協(xié)防

跨域協(xié)防是由區(qū)控協(xié)防模塊或協(xié)同防御控制模塊通過(guò)獲取各所轄域內(nèi)監(jiān)測(cè)上傳的相關(guān)安全信息，能生成并下發(fā)安全協(xié)同防御策略以完成域間的協(xié)同防御?？缬騾f(xié)防主要面向域內(nèi)自防御無(wú)效、需多層級(jí)協(xié)同共同抵御或未有對(duì)應(yīng)策略處置的網(wǎng)絡(luò)安全威脅。例如，當(dāng)域內(nèi)安全協(xié)同設(shè)備未具備網(wǎng)絡(luò)安全事件的響應(yīng)策略、防御能力或域內(nèi)自防御措施失效時(shí)，主站自治域、區(qū)控自治域可實(shí)現(xiàn)精準(zhǔn)防御策略的下發(fā)及跨域協(xié)同防御。當(dāng)區(qū)控自治域未具備域間協(xié)同防御能力時(shí)，可支持請(qǐng)求所屬上層主站自治域替代區(qū)控自治域下發(fā)策略至自治域以完成跨域協(xié)防。

3）協(xié)同模式

各層級(jí)域間的協(xié)同防護(hù)是基于域內(nèi)實(shí)時(shí)監(jiān)測(cè)的本地相關(guān)安全信息，通過(guò)消息的方式將監(jiān)測(cè)到的威脅信息由下層域向上層域上報(bào)。區(qū)控協(xié)防模塊和協(xié)同防御控制模塊控制所轄各域安全防護(hù)設(shè)備間的協(xié)作，能實(shí)現(xiàn)以分布式自治為基礎(chǔ)的全局性安全多層協(xié)同防御模式。上級(jí)自治域模塊能保障對(duì)本域的安全防護(hù)，同時(shí)可與所轄域模塊通信以實(shí)現(xiàn)對(duì)下層域安全事件的監(jiān)控與處置。

3 模型機(jī)制

通過(guò)設(shè)計(jì)數(shù)據(jù)采集、分發(fā)與共享、協(xié)同防御及聯(lián)動(dòng)、防御策略下發(fā)等機(jī)制的共同協(xié)作，以實(shí)現(xiàn)網(wǎng)絡(luò)安全多層協(xié)同防御模型。

3.1 數(shù)據(jù)采集

電力監(jiān)控系統(tǒng)覆蓋發(fā)、輸、變、配、用、調(diào)6 大電力環(huán)節(jié)，涉及的與安全相關(guān)的數(shù)據(jù)種類多、體量大、結(jié)構(gòu)復(fù)雜，且大多均基于多元異構(gòu)數(shù)據(jù)［24］，因此很難用一種方式獲取所需的信息。所以，針對(duì)不同的應(yīng)用場(chǎng)景應(yīng)綜合利用以下5 種方式進(jìn)行數(shù)據(jù)采集：

1）Syslog 協(xié)議

Syslog 協(xié)議以日志方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備操作和安防設(shè)備防護(hù)等觸發(fā)式安全日志信息的標(biāo)準(zhǔn)化采集［25］。如交換機(jī)設(shè)備的登錄操作、設(shè)備間地址沖突、縱向加密設(shè)備的隧道錯(cuò)誤、不符合安全訪問(wèn)、防火墻設(shè)備的攻擊事件、入侵檢測(cè)設(shè)備的入侵保護(hù)事件、防病毒設(shè)備的病毒事件等。

2）SNMP 協(xié)議

對(duì)于網(wǎng)絡(luò)設(shè)備自身運(yùn)行狀態(tài)信息，以SNMP（Simple Network Management Protocol）形式可周期性地采集交換機(jī)及連接于每臺(tái)交換機(jī)上活躍設(shè)備的相關(guān)信息，如在線時(shí)長(zhǎng)、處理器/內(nèi)存利用率、網(wǎng)絡(luò)丟包率、誤碼率網(wǎng)口狀態(tài)等。同時(shí)，可采用SNMP trap方式以主動(dòng)的形式采集網(wǎng)絡(luò)設(shè)備配置變更或設(shè)備接入、上線等觸發(fā)式信息，如用戶登錄口令管理、具體操作等。為保證采集的安全性，SNMP 協(xié)議應(yīng)采用安全性較高的v3 版本。

3）Agent 程序

針對(duì)業(yè)務(wù)服務(wù)器、工作站類主機(jī)，通過(guò)Agent 方式實(shí)現(xiàn)主機(jī)硬件配置、系統(tǒng)運(yùn)行狀態(tài)、用戶登錄/退出、外設(shè)/外聯(lián)操作、硬件異常監(jiān)視等信息的采集。

4）Web Service 方式

Web Service是SOA（Service-Oriented Architecture）的核心基礎(chǔ)之一，具備服務(wù)架構(gòu)理念及松耦合特性［26］。目前，電力系統(tǒng)中已廣泛采用了Web Service 方式并封裝了系統(tǒng)的接口［27］。通過(guò)對(duì)接口進(jìn)行集成，可實(shí)現(xiàn)對(duì)第三方應(yīng)用的定制化數(shù)據(jù)采集。

5）流量方式

流量方式可彌補(bǔ)通用安防設(shè)備無(wú)法采集的缺憾，對(duì)符合電力系統(tǒng)特點(diǎn)的或?qū)?shí)時(shí)性要求更高的網(wǎng)絡(luò)安全信息可進(jìn)行實(shí)時(shí)監(jiān)測(cè)和異常解析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的常見(jiàn)網(wǎng)絡(luò)攻擊、工控協(xié)議規(guī)約異常、網(wǎng)絡(luò)流量異常等信息。

3.2 分發(fā)與共享

經(jīng)各層級(jí)采集到的威脅信息及安全事件數(shù)據(jù)通過(guò)分發(fā)與共享模塊統(tǒng)一標(biāo)準(zhǔn)化后向各層級(jí)進(jìn)行快速的轉(zhuǎn)換和分發(fā)，以實(shí)現(xiàn)從更高層級(jí)或甚至全局的角度對(duì)威脅信息及安全事件的協(xié)同處置提供信息支持。

1）總線模式

為實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅事件的快速分發(fā)與共享的目標(biāo)，本模型采用采集上報(bào)與決策下發(fā)的實(shí)時(shí)總線機(jī)制。通過(guò)對(duì)各類異構(gòu)數(shù)據(jù)采集數(shù)據(jù)量大、實(shí)時(shí)性高的需求，采用上報(bào)和下發(fā)的消息總線，以實(shí)現(xiàn)基于網(wǎng)絡(luò)安全威脅事件的實(shí)時(shí)消息發(fā)布、訂閱功能。例如各域內(nèi)的“生產(chǎn)者”通過(guò)采集機(jī)制發(fā)布威脅事件的消息到總線，消息總線通過(guò)主題標(biāo)簽的方式對(duì)事件信息進(jìn)行合理分組。同一個(gè)消息主題支持各層級(jí)多“生產(chǎn)者”發(fā)布及“消費(fèi)者”訂閱。當(dāng)“消費(fèi)者”訂閱此類威脅事件的消息后，消息總線會(huì)將此類消息高速、實(shí)時(shí)地進(jìn)行推送。

2）自下至上的威脅上報(bào)

通過(guò)將監(jiān)測(cè)發(fā)現(xiàn)并逐層上報(bào)的威脅安全事件進(jìn)行標(biāo)準(zhǔn)化分類，以實(shí)現(xiàn)更快速的信息分發(fā)及共享，以便上層控制中心安全風(fēng)險(xiǎn)的快速?zèng)Q策或處置。威脅安全事件的部分分類如表1 所示，包括安全事件類、運(yùn)行異常類、設(shè)備故障類、人員操作類。威脅信息等級(jí)從低到高分為一般、重要和緊急3 種。

表1 監(jiān)測(cè)上報(bào)的威脅信息樣例Table 1 Sample of monitoring threat information reported

3）自上至下的策略下發(fā)

多層協(xié)同防御模型中的區(qū)控協(xié)防模塊和協(xié)同防御控制模塊通過(guò)策略下發(fā)總線實(shí)現(xiàn)策略下發(fā)的功能。面向電力監(jiān)控系統(tǒng)的安全協(xié)同防御策略按主站自治域向區(qū)控自治域或自治域、區(qū)控自治域向自治域以自上至下的方向分為訪問(wèn)控制、安全接入、入侵防護(hù)3 類，策略的優(yōu)先級(jí)從低到高分為低、中、高3 級(jí)。對(duì)于出現(xiàn)的威脅事件采用優(yōu)先級(jí)高的的協(xié)同防護(hù)策略，當(dāng)自治域收到的由主站自治域和區(qū)控自治域區(qū)同時(shí)段對(duì)同目標(biāo)對(duì)象下發(fā)的同類型協(xié)同策略時(shí)，經(jīng)過(guò)策略的優(yōu)化和合并應(yīng)優(yōu)先響應(yīng)高層級(jí)下發(fā)的策略。部分安全協(xié)同防御策略如表2 所示。

表2 下發(fā)的安全協(xié)同防御策略樣例Table 2 Sample of secure collaborative defense strategy

3.3 協(xié)同防御

當(dāng)業(yè)務(wù)節(jié)點(diǎn)出現(xiàn)安全威脅或觸發(fā)網(wǎng)絡(luò)安全事件時(shí)，需及時(shí)下發(fā)防御指令并控制安全問(wèn)題的擴(kuò)散。這些業(yè)務(wù)節(jié)點(diǎn)大多是指服務(wù)器、工作站、監(jiān)控主機(jī)等主機(jī)類設(shè)備，當(dāng)對(duì)存在安全風(fēng)險(xiǎn)的主機(jī)設(shè)備進(jìn)行協(xié)同控制時(shí)，需要綜合利用服務(wù)禁用、邏輯阻斷、物理隔離等防御措施，結(jié)合網(wǎng)絡(luò)設(shè)備、安防設(shè)備、Agent 程序代理等安全防護(hù)設(shè)備進(jìn)行逐級(jí)協(xié)同防御控制，如圖3 所示。

圖3 安全防護(hù)設(shè)備協(xié)同防御機(jī)制Fig.3 Cooperative defense mechanism of safety protection equipment

協(xié)同防御主要包括以下3 種方式：

1）服務(wù)禁用

通過(guò)采集分析發(fā)現(xiàn)節(jié)點(diǎn)主機(jī)設(shè)備有未授權(quán)的USB接入、串口/并口接入、光驅(qū)加載、可疑的用戶登錄、用戶危險(xiǎn)操作、違規(guī)的外部鏈接或登錄會(huì)話等操作事件發(fā)生時(shí)，需要對(duì)主機(jī)設(shè)備下發(fā)防御控制指令，由Agent程序執(zhí)行，及時(shí)控制安全威脅的進(jìn)一步蔓延。服務(wù)禁用的防御機(jī)制采用數(shù)字簽名的方式以實(shí)現(xiàn)被控制端的身份認(rèn)證，防止偽造命令的下發(fā)。其防御動(dòng)作包括USB外設(shè)禁用、串口禁用、并口禁用、光驅(qū)禁用、用戶強(qiáng)制登出、限制外部連接、主機(jī)相關(guān)的網(wǎng)絡(luò)服務(wù)禁用等，并通過(guò)返回結(jié)果持續(xù)監(jiān)測(cè)防御動(dòng)作的執(zhí)行效果。

2）邏輯阻斷

針對(duì)違規(guī)的外部連接、危險(xiǎn)的遠(yuǎn)程登錄操作等安全威脅、以服務(wù)禁用的防御方式作用失效等場(chǎng)景，使用邏輯阻斷的方法。邏輯阻斷通過(guò)對(duì)相應(yīng)安防設(shè)備下發(fā)邏輯阻斷策略的方式進(jìn)行連接限制甚至阻斷。例如，通過(guò)對(duì)縱向或防火墻設(shè)備下發(fā)指定IP 地址、端口或協(xié)議報(bào)文過(guò)濾策略進(jìn)行協(xié)同，以及持續(xù)監(jiān)測(cè)不符合安全策略的訪問(wèn)告警信息，以驗(yàn)證邏輯阻斷的防御控制效果。

3）物理隔離

為消除當(dāng)服務(wù)禁用、邏輯阻斷等協(xié)同防護(hù)措施防御效果不佳、經(jīng)分析判定業(yè)務(wù)主機(jī)或整個(gè)域節(jié)點(diǎn)存在多起安全隱患等情況發(fā)生，通過(guò)采取隔離手段實(shí)現(xiàn)對(duì)主機(jī)源甚至局部的網(wǎng)絡(luò)阻隔，切斷其與整個(gè)網(wǎng)絡(luò)的聯(lián)系。在物理隔離防御控制過(guò)程中，主要通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的策略協(xié)同完成對(duì)目標(biāo)風(fēng)險(xiǎn)源或區(qū)域物理網(wǎng)絡(luò)隔離。例如，基于網(wǎng)絡(luò)拓?fù)浯_認(rèn)所有與安全風(fēng)險(xiǎn)相關(guān)節(jié)點(diǎn)主機(jī)直接相連的交換機(jī)端口或路由器時(shí)隙端口后，通過(guò)SNMP 協(xié)議下發(fā)指定端口關(guān)閉的防御控制指令，斷開(kāi)風(fēng)險(xiǎn)節(jié)點(diǎn)與網(wǎng)絡(luò)的連接。同時(shí)，持續(xù)監(jiān)測(cè)后續(xù)網(wǎng)絡(luò)設(shè)備防御指令返回或主動(dòng)查詢端口狀態(tài)以確認(rèn)物理隔離措施的效能。

3.4 協(xié)同聯(lián)動(dòng)

協(xié)同聯(lián)動(dòng)包括以下3 種方式：

1）協(xié)同聯(lián)動(dòng)判定

通過(guò)將不同監(jiān)測(cè)手段發(fā)現(xiàn)的安全事件信息互為印證、相輔相成，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的協(xié)同判定。例如當(dāng)某主機(jī)向本地網(wǎng)絡(luò)發(fā)動(dòng)DDoS 網(wǎng)絡(luò)流量攻擊時(shí)，主機(jī)所在域模塊會(huì)同時(shí)監(jiān)測(cè)到主機(jī)安全監(jiān)測(cè)軟件發(fā)出的主機(jī)異常操作行為信息、網(wǎng)絡(luò)設(shè)備發(fā)出的主機(jī)流量異常信息及安全設(shè)備發(fā)出的網(wǎng)絡(luò)攻擊信息。通過(guò)對(duì)以上威脅信息的源主機(jī)網(wǎng)絡(luò)IP 地址、網(wǎng)絡(luò)連接目的地址、端口號(hào)、異常流量等信息的相互匹配和驗(yàn)證，可對(duì)此類網(wǎng)絡(luò)安全問(wèn)題進(jìn)行協(xié)同聯(lián)動(dòng)判定。此外，如出現(xiàn)本域無(wú)法判斷的情形時(shí)，該消息會(huì)同時(shí)向其上層域進(jìn)行上報(bào)，由上層域模塊通過(guò)比對(duì)其他可能相關(guān)的監(jiān)測(cè)信息進(jìn)行協(xié)同判斷并聯(lián)動(dòng)下發(fā)經(jīng)決策后的協(xié)同策略。

2）協(xié)同聯(lián)動(dòng)控制

通過(guò)給多種協(xié)同安全設(shè)備下發(fā)聯(lián)動(dòng)的協(xié)同防御策略實(shí)現(xiàn)對(duì)所發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅信息的協(xié)同控制，限制危險(xiǎn)源在一定的規(guī)則條件下運(yùn)行。例如當(dāng)已判定域內(nèi)某主機(jī)發(fā)生DDoS 網(wǎng)絡(luò)流量攻擊時(shí)，域內(nèi)安全協(xié)同設(shè)備會(huì)聯(lián)動(dòng)進(jìn)行安全控制防護(hù)，包括利用防火墻執(zhí)行相應(yīng)報(bào)文過(guò)濾、網(wǎng)絡(luò)設(shè)備執(zhí)行流量和并發(fā)數(shù)限制、主機(jī)監(jiān)控軟件執(zhí)行指定IP 地址、端口號(hào)的訪問(wèn)控制等策略。此外，當(dāng)本域出現(xiàn)策略無(wú)效或無(wú)可執(zhí)行策略的安全協(xié)同設(shè)備時(shí)，該信息將同時(shí)向其上層域進(jìn)行上報(bào)，由上層域模塊下發(fā)協(xié)同防御策略或在該域相鄰的域，即更大范圍內(nèi)的安全協(xié)同設(shè)備間采取聯(lián)動(dòng)的協(xié)同防御策略控制。

3）協(xié)同聯(lián)動(dòng)阻斷

根據(jù)監(jiān)測(cè)到的并完成協(xié)同判定確認(rèn)的，或基于安全協(xié)同控制服務(wù)無(wú)效的威脅信息，通過(guò)下發(fā)協(xié)同防御策略協(xié)同各安全協(xié)同設(shè)備聯(lián)動(dòng)執(zhí)行阻斷操作，以杜絕危險(xiǎn)源可能造成的進(jìn)一步危害。例如在已判定域內(nèi)某主機(jī)發(fā)生DDoS 網(wǎng)絡(luò)流量攻擊并對(duì)其進(jìn)行域內(nèi)自防御或協(xié)同控制無(wú)效的場(chǎng)景下，可通過(guò)聯(lián)動(dòng)多種安全防護(hù)設(shè)備的協(xié)同阻斷措施切除危險(xiǎn)源。具體來(lái)說(shuō)，針對(duì)出現(xiàn)的威脅事件對(duì)應(yīng)所屬域按上層級(jí)向下層級(jí)從高優(yōu)先級(jí)向低優(yōu)先級(jí)的順序執(zhí)行聯(lián)動(dòng)的協(xié)同安全防御策略，直到監(jiān)測(cè)的威脅信息不再上報(bào)為止。此外，當(dāng)本域出現(xiàn)策略無(wú)效或無(wú)可執(zhí)行策略的安全協(xié)同設(shè)備時(shí)，該信息將同時(shí)向其上層域上報(bào)，由上層域或與該域相鄰域模塊下發(fā)協(xié)同防御策略，即在更大范圍內(nèi)的安全協(xié)同設(shè)備間實(shí)現(xiàn)聯(lián)動(dòng)的協(xié)同防御策略阻斷。

3.5 關(guān)聯(lián)決策下發(fā)

借鑒灰色系統(tǒng)理論［26］，結(jié)合網(wǎng)絡(luò)安全事件的業(yè)務(wù)影響度、威脅程度、防御動(dòng)作可靠性及時(shí)效性、頻次或持續(xù)時(shí)間以及與其他安全事件的關(guān)聯(lián)度等影響因子，通過(guò)構(gòu)造決策集合、賦值確定參考序列、計(jì)算關(guān)聯(lián)系數(shù)及加權(quán)關(guān)聯(lián)度等步驟對(duì)網(wǎng)絡(luò)安全事件各因子與防御策略進(jìn)行關(guān)聯(lián)度分析，對(duì)特定并滿足條件的網(wǎng)絡(luò)安全事件，選取關(guān)聯(lián)度最高（即決策優(yōu)先級(jí)最高）的防御措施下發(fā)執(zhí)行。

1）決策集合

針對(duì)特定網(wǎng)絡(luò)安全事件，分析及制定各影響因子與防御策略的關(guān)聯(lián)性，并設(shè)n個(gè)影響因子數(shù)據(jù)序列形成如下矩陣，其中m為可行的安全防御動(dòng)作的個(gè)數(shù)。

2）對(duì)決策集合賦值并確定參考序列

根據(jù)該網(wǎng)絡(luò)安全事件各影響因子的具體描述，對(duì)式（1）中n個(gè)影響因子對(duì)應(yīng)的m種可行防御措施進(jìn)行初始化指數(shù)賦值，數(shù)值越高，該關(guān)聯(lián)系數(shù)越大。同時(shí)，以構(gòu)造決策集合中各影響因子指標(biāo)的最優(yōu)值（即安全風(fēng)險(xiǎn)的關(guān)聯(lián)系數(shù)最小值）為標(biāo)準(zhǔn)構(gòu)建對(duì)應(yīng)各類影響因子的參考序列，如式（2）所示：

3）關(guān)聯(lián)系數(shù)

通過(guò)式（3）分別計(jì)算決策集合與參考序列對(duì)應(yīng)元素的關(guān)聯(lián)系數(shù)，并形成關(guān)聯(lián)系數(shù)矩陣，計(jì)算公式如式（4）所示：

其中：i=1，2，…，n；k=1，2，…，m；及分別為決策集合及參考序列第i個(gè)影響因子下第k中安全防御措施的安全指數(shù)值。在逐個(gè)計(jì)算決策集合每個(gè)安全指數(shù)與參考序列對(duì)應(yīng)元素的絕對(duì)差值后確定最小最大標(biāo)準(zhǔn)化參數(shù)，最終得到關(guān)聯(lián)系數(shù)矩陣。其中，ρ為分辨系數(shù)，0<ρ<1，若ρ越小，則關(guān)聯(lián)系數(shù)間差距越大，結(jié)果差異也越大。在本次防御決策關(guān)聯(lián)度計(jì)算中，ρ取中間值0.5，使關(guān)聯(lián)系數(shù)的偏差保持一致。

4）加權(quán)關(guān)聯(lián)度

通過(guò)綜合評(píng)估每類影響因子在本次網(wǎng)絡(luò)安全事件中所占權(quán)重，根據(jù)式（5）對(duì)關(guān)聯(lián)系統(tǒng)矩陣計(jì)算各影響因子每種防御措施的安全指數(shù)，及參考序列對(duì)應(yīng)元素的關(guān)聯(lián)系數(shù)均值，以反映各種防御手段與參考序列的關(guān)聯(lián)關(guān)系，最終列出本次網(wǎng)絡(luò)安全事件與各安全防御策略間的相應(yīng)關(guān)聯(lián)度。

其中：i=1，2，…，n；k=1，2，…，n；Wk為各影響因子的在影響權(quán)重占比；為本次安全事件第i個(gè)防御策略的加權(quán)平均關(guān)聯(lián)度。

以廠站側(cè)發(fā)生某業(yè)務(wù)主機(jī)USB 無(wú)線網(wǎng)卡接入的單點(diǎn)網(wǎng)絡(luò)安全事件為例。表3 通過(guò)最高關(guān)聯(lián)度決策算法驗(yàn)證該算例，計(jì)算結(jié)果表明，“網(wǎng)卡禁用”處置措施的關(guān)聯(lián)度最高。

表3 網(wǎng)絡(luò)安全事件防御決策關(guān)聯(lián)度決策算例Table 3 Example of decision-making on the degree of relevance in the defense of network security events %

3.6 協(xié)同防御模型比對(duì)

以目前國(guó)內(nèi)外信息安全應(yīng)用較為廣泛的一種經(jīng)典動(dòng)態(tài)安全P2DR 模型［27］，包括Policy、Protection、Detection、Response 等多個(gè)主要構(gòu)成要素為基準(zhǔn)，對(duì)部分文獻(xiàn)中提及的關(guān)于協(xié)同防御模型的實(shí)現(xiàn)方式進(jìn)行對(duì)比，如表4 所示。

表4 各安全協(xié)同防御模型的實(shí)現(xiàn)對(duì)比Table 4 Implementation comparison of security collaborative defense models

對(duì)比文獻(xiàn)中所提模型的實(shí)現(xiàn)大多是在靜態(tài)安全策略控制的指導(dǎo)下，綜合運(yùn)用傳統(tǒng)網(wǎng)絡(luò)安防或固有設(shè)備的監(jiān)測(cè)及防御能力，通過(guò)中心節(jié)點(diǎn)管控或各域內(nèi)自治的方式驅(qū)動(dòng)整個(gè)系統(tǒng)的安全協(xié)同防御，但都未涉及多級(jí)間協(xié)同的防御方式。本模型以最高關(guān)聯(lián)度策略的動(dòng)態(tài)決策作為防御核心，通過(guò)各類協(xié)議及流量鏡像等底層信息采集方式，支持協(xié)同多層級(jí)主機(jī)Agent、網(wǎng)絡(luò)設(shè)備、通用或?qū)Ｓ冒卜涝O(shè)備實(shí)時(shí)的威脅響應(yīng)及風(fēng)險(xiǎn)處置。通過(guò)對(duì)比可知，本模型數(shù)據(jù)采集方式豐富、協(xié)同防護(hù)手段全面、防御措施支持動(dòng)態(tài)決策，可快速適應(yīng)電力調(diào)度數(shù)據(jù)網(wǎng)多層級(jí)網(wǎng)絡(luò)拓?fù)浼軜?gòu)，在實(shí)現(xiàn)網(wǎng)絡(luò)安全協(xié)同防御的全覆蓋的同時(shí)，可滿足電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全協(xié)同防護(hù)及管控要求。

4 實(shí)驗(yàn)驗(yàn)證

4.1 總體設(shè)計(jì)

根據(jù)面向電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全多層的協(xié)同防御模型及其實(shí)現(xiàn)機(jī)制，從電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)需求出發(fā)，并采用如圖4 所示的多層架構(gòu)和模塊化設(shè)計(jì)。該設(shè)計(jì)包括數(shù)據(jù)采集、威脅分析與識(shí)別、協(xié)同防御、防御策略庫(kù)、公共服務(wù)等模塊。各模塊間結(jié)構(gòu)相互獨(dú)立，便于獨(dú)立部署或單元測(cè)試?；谏鲜瞿Ｐ凸δ芸蚣芙Y(jié)構(gòu)上，遵從高內(nèi)聚、低耦合的原則實(shí)現(xiàn)模塊化設(shè)計(jì)，選擇成熟的Web 技術(shù)路線，使用Java、JavaScript、Flex 等語(yǔ)言開(kāi)發(fā)，采用分層技術(shù)和面向接口和服務(wù)的技術(shù)架構(gòu)，通過(guò)支持主流中間件，融合主流、成熟的開(kāi)源軟件，實(shí)現(xiàn)基于面向電力監(jiān)控系統(tǒng)的多層協(xié)同防御原型系統(tǒng)。

圖4 協(xié)同防御模型模塊化設(shè)計(jì)Fig.4 Modular design of collaborative defense model

此系統(tǒng)目前已在調(diào)度主站及所轄數(shù)個(gè)廠站完成試點(diǎn)應(yīng)用，并對(duì)所設(shè)計(jì)的框架模型及軟件功能進(jìn)行了應(yīng)用測(cè)試。通過(guò)對(duì)本級(jí)調(diào)控機(jī)構(gòu)全網(wǎng)網(wǎng)絡(luò)安全事件的梳理，在已知明確的單點(diǎn)網(wǎng)絡(luò)安全事件、復(fù)雜情景下的網(wǎng)絡(luò)安全事件及以上情形防御失效的3 個(gè)典型場(chǎng)景進(jìn)行了功能驗(yàn)證。

4.2 已知明確安全事件場(chǎng)景

針對(duì)觸發(fā)原因明確、業(yè)務(wù)影響度較低且由單臺(tái)設(shè)備引起的緊急網(wǎng)絡(luò)安全事件，本地自治域模塊通過(guò)阻斷ssh 鏈路、禁用主機(jī)物理網(wǎng)卡服務(wù)及其上聯(lián)交換機(jī)端口下電方式有效地對(duì)風(fēng)險(xiǎn)源進(jìn)行處置。

驗(yàn)證場(chǎng)景1通過(guò)阻斷ssh 鏈路的方式，以實(shí)現(xiàn)站內(nèi)現(xiàn)場(chǎng)運(yùn)維人員在登錄會(huì)話中操作涉敏違規(guī)操作命令或非法外聯(lián)鏈接場(chǎng)景下的安全處置。

驗(yàn)證場(chǎng)景2通過(guò)禁用主機(jī)物理網(wǎng)卡服務(wù)及斷開(kāi)其上聯(lián)交換機(jī)端口的方式應(yīng)對(duì)無(wú)線網(wǎng)卡接入、惡意代碼感染、網(wǎng)絡(luò)攻擊或入侵、違規(guī)設(shè)備接入、主機(jī)或端口掃描、DDoS 攻擊、SMB 服務(wù)訪問(wèn)異常、不符合策略的安全訪問(wèn)或異常服務(wù)訪問(wèn)等緊急安全事件。如圖5 所示，×表示成功的防御動(dòng)作。

圖5 明確網(wǎng)絡(luò)安全事件下的防御模型驗(yàn)證場(chǎng)景Fig.5 Defense model verification in clear network security event scenario

4.3 復(fù)雜安全事件場(chǎng)景

針對(duì)一段時(shí)間內(nèi)爆發(fā)的數(shù)起復(fù)合型非緊急類安全事件或不能直接定位攻擊或風(fēng)險(xiǎn)源的事件，區(qū)控協(xié)防模塊通過(guò)匹配協(xié)同防御策略庫(kù)中預(yù)制規(guī)則，按安全事件的情節(jié)輕重程度觸發(fā)主動(dòng)防御動(dòng)作。

驗(yàn)證場(chǎng)景3通過(guò)模擬同時(shí)段內(nèi)相同主機(jī)爆發(fā)USB 外設(shè)接入、非法登錄嘗試、用戶權(quán)限變更、關(guān)鍵文件或目錄變更、違規(guī)操作、設(shè)備開(kāi)發(fā)非法端口等組合型安全事件時(shí)，成功執(zhí)行網(wǎng)卡禁用及上聯(lián)交換機(jī)端口阻斷的防御動(dòng)作。

驗(yàn)證場(chǎng)景4通過(guò)模擬同廠站內(nèi)不同業(yè)務(wù)設(shè)備在同時(shí)間段內(nèi)觸發(fā)緊急復(fù)合型安全事件，執(zhí)行該廠站縱向設(shè)備隧道阻斷動(dòng)作，以成功切斷單站網(wǎng)絡(luò)，從而實(shí)現(xiàn)局部隔離。如圖6 所示為復(fù)雜網(wǎng)絡(luò)安全事件下的防御模型驗(yàn)證場(chǎng)景。

圖6 復(fù)雜網(wǎng)絡(luò)安全事件下的防御模型驗(yàn)證場(chǎng)景Fig.6 Defense model verification in complex network security event scenario

4.4 安全防護(hù)失效場(chǎng)景

通過(guò)人工干預(yù)，在模擬以上場(chǎng)景安全防御失效的場(chǎng)景下，協(xié)同防御控制模塊通過(guò)各類影響因子的關(guān)聯(lián)計(jì)算，執(zhí)行防御決策優(yōu)先級(jí)最高的防御動(dòng)作。如圖7 所示，隨著灰色域逐步加深，防御動(dòng)作逐層啟動(dòng)，網(wǎng)絡(luò)空間安全防御的處置范圍也正逐級(jí)擴(kuò)大，直至切除局部或整個(gè)域?yàn)橹?，以保障電網(wǎng)的整體安全。

圖7 失效場(chǎng)景下的多級(jí)防御模型驗(yàn)證Fig.7 Verification of multi-level defense model in failure scenario

驗(yàn)證場(chǎng)景5模擬主機(jī)物理網(wǎng)卡禁用執(zhí)行失敗情形下，成功下發(fā)并執(zhí)行其上聯(lián)交換機(jī)端口阻斷動(dòng)作。

驗(yàn)證場(chǎng)景6模擬上聯(lián)交換機(jī)端口阻斷失敗條件下，成功下發(fā)并執(zhí)行了對(duì)應(yīng)區(qū)域縱向設(shè)備的斷隧道動(dòng)作。

驗(yàn)證場(chǎng)景7模擬廠站區(qū)域縱向設(shè)備的斷隧道動(dòng)作失敗的情形下，主站成功下發(fā)并執(zhí)行了主站側(cè)路由器對(duì)應(yīng)端口的關(guān)閉動(dòng)作，實(shí)現(xiàn)廠站側(cè)區(qū)域隔離，防止安全威脅向主站的傳播可能。

現(xiàn)場(chǎng)典型場(chǎng)景驗(yàn)證結(jié)果表明，該系統(tǒng)能夠通過(guò)網(wǎng)絡(luò)安全事件信息共享、協(xié)同防御策略庫(kù)的快速?zèng)Q策，有效協(xié)同并處置了各類場(chǎng)景下的網(wǎng)絡(luò)安全事件，從而避免了安全風(fēng)險(xiǎn)進(jìn)一步擴(kuò)散。下一步協(xié)同防御策略庫(kù)在試運(yùn)行期間所積累的網(wǎng)絡(luò)安全事件成功處置策略集將部署于省級(jí)以上調(diào)度主站，并協(xié)同開(kāi)展省-地-廠站3 級(jí)協(xié)同防御機(jī)制的應(yīng)用測(cè)試及功能驗(yàn)證。

5 結(jié)束語(yǔ)

多層協(xié)同防御是提升網(wǎng)絡(luò)空間安全防護(hù)的一種有效途徑，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)攻擊專業(yè)化、國(guó)際化、攻擊頻繁爆發(fā)及高持續(xù)威脅的背景下，多層協(xié)同防御模型可動(dòng)態(tài)處置電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全在防御廣度和深度方面存在的不足。本文結(jié)合電力監(jiān)控系統(tǒng)多層級(jí)星型組網(wǎng)特點(diǎn)及安全防護(hù)需求，提出基于自治域面向電力監(jiān)控系統(tǒng)的多層協(xié)同防御模型及實(shí)現(xiàn)機(jī)制。該模型通過(guò)各層級(jí)域內(nèi)自防御、跨域協(xié)同防御的特性，從主機(jī)層、安防設(shè)設(shè)備層和網(wǎng)絡(luò)層對(duì)安全威脅及風(fēng)險(xiǎn)進(jìn)行分級(jí)、多層次的主動(dòng)防御。實(shí)驗(yàn)結(jié)果表明，該模型能較好地滿足目前電力監(jiān)控系統(tǒng)安全防護(hù)要求，提高網(wǎng)絡(luò)安全防護(hù)能力，實(shí)現(xiàn)由被動(dòng)式防御向主動(dòng)式防御的轉(zhuǎn)變，具有較高的理論研究和實(shí)踐推廣應(yīng)用價(jià)值。下一步將繼續(xù)驗(yàn)證適應(yīng)省級(jí)以上調(diào)度機(jī)構(gòu)協(xié)同防御模型的現(xiàn)場(chǎng)測(cè)試工作，同時(shí)開(kāi)展“國(guó)-分-省-地-廠站”5 級(jí)網(wǎng)絡(luò)安全協(xié)同防御模式的探索。