黃祖光，劉中華，徐會(huì)詠，何彥君，胡曉峰

（1.國(guó)家電投集團(tuán)江西電力有限公司分宜發(fā)電廠，江西 新余 338000；2.國(guó)核自?xún)x系統(tǒng)工程有限公司，上海 200241）

電網(wǎng)是國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施，盡管入侵檢測(cè)系統(tǒng)IDS、電力專(zhuān)用安全隔離裝置、加密認(rèn)證裝置等設(shè)備在使用中起到了一定的作用，但也存在著一些問(wèn)題，如不能及時(shí)準(zhǔn)確地發(fā)現(xiàn)安全事故[1]；在攻擊中存在未知病毒和假陽(yáng)性，無(wú)法實(shí)時(shí)自動(dòng)審核多安全系統(tǒng)日志，造成很多安全事故未能被及時(shí)發(fā)現(xiàn)，進(jìn)而不能準(zhǔn)確地定位安全事件[2]。每一起安全事件都是孤立的，它們之間沒(méi)有形成良好的復(fù)合關(guān)系，事件的發(fā)生常常無(wú)法找到真正的問(wèn)題所在，不能及時(shí)跟蹤和記錄整個(gè)安全事件處理過(guò)程[3]。為解決以上問(wèn)題，必須實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)和系統(tǒng)的安全資源進(jìn)行集中監(jiān)控。針對(duì)這一問(wèn)題，提出了一種基于縱深防御的電力信息安全監(jiān)測(cè)系統(tǒng)。該系統(tǒng)功能定位準(zhǔn)確，信息系統(tǒng)安全水平高，緊密結(jié)合實(shí)際，經(jīng)過(guò)有益的探索和大膽的實(shí)踐，取得了預(yù)期效果。

1 系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)

從現(xiàn)代信息安全的角度來(lái)看，信息安全系統(tǒng)的發(fā)展經(jīng)歷了3 個(gè)階段：第一，通信安全時(shí)代，通信以點(diǎn)到點(diǎn)的方式為主；第二，信息系統(tǒng)安全時(shí)代，即以計(jì)算機(jī)為代表的通信網(wǎng)絡(luò)，計(jì)算機(jī)的廣泛使用和計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展是這一時(shí)代的重要特征；第三，信息安全時(shí)代，互聯(lián)網(wǎng)在全球范圍內(nèi)流行。基于縱深防御的電力信息安全監(jiān)測(cè)系統(tǒng)硬件結(jié)構(gòu)如圖1 所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

由圖1 可知，信息安全是指保證信息系統(tǒng)的機(jī)密性、完整性、可用性、可識(shí)別性和不可抵賴(lài)性[4-6]。具有綜合的保護(hù)、檢測(cè)和響應(yīng)功能，可實(shí)現(xiàn)信息系統(tǒng)的恢復(fù)。它的安全屬性主要有針對(duì)性、多樣性、綜合性、深刻性、嚴(yán)密性和循環(huán)性[7-9]。

1.1 事件生成器

事件生成器主要用于直接或通過(guò)預(yù)先篩選(基于安全策略、IDS 探頭等)，將原始事件發(fā)送至事件收集格式化器[10-11]。

1.2 事件收集格式化器

事件收集格式化器通過(guò)協(xié)議收集原始消息并將其發(fā)送給事件轉(zhuǎn)發(fā)器，用于確定事件源，向相應(yīng)的應(yīng)用程序代理轉(zhuǎn)發(fā)原始消息；agent 用來(lái)過(guò)濾和規(guī)范原始消息的不同格式，結(jié)合不同產(chǎn)品定義中的不同級(jí)別警告，生成統(tǒng)一格式的消息，并在事件庫(kù)中存儲(chǔ)結(jié)果。

1.3 關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析引擎結(jié)構(gòu)如圖2 所示。

圖2 關(guān)聯(lián)分析引擎結(jié)構(gòu)

由圖2 可知，針對(duì)復(fù)雜消息序列關(guān)聯(lián)分析引擎是主要任務(wù)，例如結(jié)構(gòu)分析、功能分析、行為分析等。利用特征匹配和異常分析等模式分析方法來(lái)判斷安全事件，為降低虛警率和漏警率采取了相應(yīng)措施，這樣可以更準(zhǔn)確地發(fā)現(xiàn)安全事故發(fā)生的真正原因[12-14]。

1.4 監(jiān)控模塊

以TMS320LF2812DSP 為監(jiān)控軟件，該軟件具有優(yōu)良的遠(yuǎn)控性能，只需輸入對(duì)方IP 和控制密碼即可實(shí)現(xiàn)遠(yuǎn)程監(jiān)控。通過(guò)UDP 協(xié)議，軟件可以滲透到內(nèi)部網(wǎng)絡(luò)[15]。在無(wú)端口映射下，用戶(hù)可以連接到任何能夠訪問(wèn)Internet 的遠(yuǎn)程計(jì)算機(jī)，實(shí)現(xiàn)遠(yuǎn)程辦公和遠(yuǎn)程管理。監(jiān)控模塊結(jié)構(gòu)如圖3 所示。

圖3 監(jiān)控模塊結(jié)構(gòu)

由圖3 可知，監(jiān)控模塊可以實(shí)現(xiàn)隱蔽監(jiān)控，隱藏監(jiān)控端被監(jiān)控時(shí)無(wú)法發(fā)現(xiàn)的網(wǎng)絡(luò)程序圖標(biāo)和相關(guān)提示。通過(guò)遠(yuǎn)程存取桌面，同時(shí)查看信息屏幕，可以像遠(yuǎn)程計(jì)算機(jī)一樣使用本地鼠標(biāo)和鍵盤(pán)執(zhí)行相同的操作。遠(yuǎn)程電腦屏幕能拍照和錄音[16]；操控員只需按功能鍵即可切換身份進(jìn)行遠(yuǎn)程電腦維護(hù)、遠(yuǎn)程技術(shù)支持、遠(yuǎn)程協(xié)助等。遠(yuǎn)程文件管理包括遠(yuǎn)程上傳、文件下載、遠(yuǎn)程修改、文件運(yùn)行、實(shí)現(xiàn)雙方電腦資源共享和遠(yuǎn)程辦公。

2 系統(tǒng)軟件部分設(shè)計(jì)

2.1 縱深防御模式設(shè)定

隨著信息安全的不斷發(fā)展，信息系統(tǒng)面臨著各種各樣的威脅，并日益嚴(yán)峻，信息系統(tǒng)經(jīng)常會(huì)受到各種各樣的攻擊，信息安全威脅類(lèi)型如表1 所示。

表1 信息安全威脅類(lèi)型

根據(jù)表1 所列5 種威脅的攻擊方式，信息系統(tǒng)可能受到不同程度的破壞和影響。即被動(dòng)防御與主動(dòng)防御相結(jié)合，從靜態(tài)防御向動(dòng)態(tài)防御轉(zhuǎn)變，形成多層次多手段防御體系?？v深防御模式如圖4 所示。

圖4 縱深防御模式

由圖4 可知，為了獲得并部署正確的安全技術(shù)，每個(gè)單位都必須制定有效的策略和程序來(lái)獲得這些技術(shù)。當(dāng)采用這些安全措施時(shí)，信息系統(tǒng)必須對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定相應(yīng)的安全策略，從而采取相應(yīng)的控制措施。信息系統(tǒng)的整個(gè)生命周期，都是深度防御戰(zhàn)略作戰(zhàn)要素的核心。

2.2 邊界隔離

采用防火墻和單向網(wǎng)關(guān)來(lái)檢查消息，并對(duì)網(wǎng)絡(luò)流量中常見(jiàn)的協(xié)議進(jìn)行深入過(guò)濾和分析。利用白名單和規(guī)則匹配方式來(lái)保護(hù)系統(tǒng)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)只能被可信設(shè)備訪問(wèn)，并且只能將可信數(shù)據(jù)上傳到網(wǎng)絡(luò)。

邊界隔離流程如下：

step1：在添加條件框中輸入白名單與規(guī)則匹配的內(nèi)容；

step2：添加條件后，可以執(zhí)行正則校驗(yàn)；

step3：在校驗(yàn)對(duì)話框中，確認(rèn)正則表達(dá)式，并輸入校驗(yàn)內(nèi)容；

step4：校驗(yàn)后，驗(yàn)證指定內(nèi)容與設(shè)置內(nèi)容表達(dá)式是否匹配；

step5：編寫(xiě)條件運(yùn)算邏輯表達(dá)式，設(shè)定組合運(yùn)算關(guān)系如下：

式中，ζ表示與；|表示或；～表示非。通過(guò)上述表達(dá)式，確定兩個(gè)條件1 和2，如果1ζ2，則說(shuō)明兩個(gè)關(guān)鍵字條件都需滿足才能命中規(guī)則，并觸發(fā)邊界隔離機(jī)制。

2.3 終端加固

攻擊挖掘引擎采用基于網(wǎng)絡(luò)協(xié)議的模糊測(cè)試技術(shù)，仿真智能變電站信息系統(tǒng)與控制系統(tǒng)相應(yīng)的通信協(xié)議發(fā)送機(jī)制，向信息系統(tǒng)或控制系統(tǒng)發(fā)送突變?cè)囼?yàn)消息，通過(guò)監(jiān)控被測(cè)者的響應(yīng)信息，找出錯(cuò)誤，從而發(fā)現(xiàn)智能變電站信息系統(tǒng)或控制系統(tǒng)存在的隱患，其流程如圖5 所示。

圖5 漏洞掃描流程

由圖5 可知，由于電力信息系統(tǒng)的協(xié)議消息不僅包含字符串，還包含大量的整數(shù)和浮點(diǎn)數(shù)，因此可以通過(guò)改變消息中任意或多個(gè)字段來(lái)獲取異常數(shù)據(jù)。可以通過(guò)使用隨機(jī)數(shù)或異常策略表的方法，根據(jù)信息改變?nèi)我庾侄蔚膬?nèi)容，生成異常測(cè)試用例。協(xié)議中，測(cè)試用例集包含了大量的隨機(jī)或經(jīng)驗(yàn)性測(cè)試用例，在此基礎(chǔ)上，采用一種基于遺傳算法的啟發(fā)式測(cè)試用例生成算法過(guò)濾測(cè)試用例集。GA的形式描述如下：

式（2）中，n表示測(cè)試用例種類(lèi)；T表示測(cè)試用例個(gè)體；P、R、M分別表示遺傳算法中的基因選擇、交叉和變異操作；F表示評(píng)價(jià)個(gè)體適應(yīng)度函數(shù)；τ表示遺傳算法終止條件。

GA的核心是選擇合適的適應(yīng)度函數(shù)f，并根據(jù)測(cè)試用例和經(jīng)驗(yàn)或模板用例之間的漢明距離構(gòu)造一個(gè)適應(yīng)度函數(shù)，以篩選測(cè)試用例，提高漏洞檢測(cè)的概率。

3 實(shí) 驗(yàn)

3.1 實(shí)驗(yàn)環(huán)境設(shè)置

以2019 年12 月電力信息安全系統(tǒng)中的立足點(diǎn)為例，該系統(tǒng)被網(wǎng)絡(luò)攻擊，導(dǎo)致電力配送公司關(guān)閉，出現(xiàn)了22 500 家用戶(hù)在寒冷的冬季無(wú)電可用。電力系統(tǒng)工作環(huán)境如圖6 所示。

圖6 電力系統(tǒng)工作環(huán)境

3.2 實(shí)驗(yàn)結(jié)果與分析

分別使用入侵檢測(cè)系統(tǒng)、電力專(zhuān)用安全隔離裝置、加密認(rèn)證裝置和基于縱深防御系統(tǒng)對(duì)比、分析信息安全監(jiān)測(cè)情況，在被動(dòng)攻擊和主動(dòng)攻擊兩種情況下的對(duì)比內(nèi)容如下所示。

3.2.1 被動(dòng)攻擊

被動(dòng)攻擊情況下，使用4 種系統(tǒng)的安全監(jiān)控效果對(duì)比結(jié)果如圖7 所示。

圖7 被動(dòng)攻擊情況下4種系統(tǒng)安全監(jiān)控效果對(duì)比結(jié)果

由圖7 可知，使用入侵檢測(cè)系統(tǒng)、電力專(zhuān)用安全隔離裝置攻擊點(diǎn)捕捉精度始終低于60%，說(shuō)明使用這兩種裝置電力信息安全監(jiān)測(cè)系統(tǒng)監(jiān)控效果不理想；使用加密認(rèn)證裝置攻擊點(diǎn)捕捉精度在60%附近波動(dòng)，而使用基于縱深防御系統(tǒng)攻擊點(diǎn)捕捉精度高于80%，具有良好監(jiān)控效果。

3.2.2 主動(dòng)攻擊

主動(dòng)攻擊情況下，使用4 種系統(tǒng)的安全監(jiān)控效果對(duì)比結(jié)果如圖8 所示。

圖8 主動(dòng)攻擊情況下4種系統(tǒng)安全監(jiān)控效果對(duì)比結(jié)果

由圖8 可知，使用入侵檢測(cè)系統(tǒng)、電力專(zhuān)用安全隔離裝置攻擊點(diǎn)捕捉精度在40%～70%范圍內(nèi)波動(dòng)；使用加密認(rèn)證裝置攻擊點(diǎn)捕捉精度在80%附近波動(dòng)，使用基于縱深防御系統(tǒng)攻擊點(diǎn)捕捉精度高于90%，具有良好監(jiān)控效果。

4 結(jié)束語(yǔ)

根據(jù)電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的基本要求，使安全技術(shù)與安全管理有機(jī)結(jié)合，通過(guò)相關(guān)性分析，找到描述安全事件的系統(tǒng)屬性和網(wǎng)絡(luò)行為的相關(guān)特征，排除無(wú)意義信息，及時(shí)、快速地發(fā)現(xiàn)安全問(wèn)題，提高了應(yīng)急反應(yīng)能力和安全事件處理能力，使安全防護(hù)系統(tǒng)的效率最大化。