梁志宏，梁智強(qiáng)，周強(qiáng)峰

（廣東電網(wǎng)公司電力科學(xué)研究院 智能電網(wǎng)所，廣東 廣州 510080）

近年來，我國各個行業(yè)的信息安全保障工作雖然取得了很大進(jìn)展，但從總體上看，我國的信息安全工作尚處于起步階段，基礎(chǔ)薄弱、水平不高，普遍存在信息安全意識和安全防范能力薄弱、信息安全保障工作重點不突出等問題。隨著我國國民經(jīng)濟(jì)和社會信息化進(jìn)程全面加快，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息資源已經(jīng)成為國家經(jīng)濟(jì)建設(shè)和社會發(fā)展的重要戰(zhàn)略資源之一。保障信息安全，維護(hù)國家安全、公共利益和社會穩(wěn)定，是當(dāng)前信息化發(fā)展中迫切需要解決的重大問題。

在信息保障 IA（Information Assurance）方面，國外起步較早，出臺了多個信息技術(shù)安全評價標(biāo)準(zhǔn)。美國國防部發(fā)布的可信計算機(jī)評價準(zhǔn)則（TCSEC）是這方面最早的標(biāo)準(zhǔn)。TCSEC將計算機(jī)系統(tǒng)的安全劃分為4個等級、7個級別。在借鑒國外先進(jìn)經(jīng)驗和結(jié)合我國國情的基礎(chǔ)上，公安部于1999年提出并組織制定了強(qiáng)制性國家標(biāo)準(zhǔn)GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》[1]，該準(zhǔn)則于 2001年 1月1日實施，是我國出版的第一部關(guān)于計算機(jī)信息系統(tǒng)等級分類的標(biāo)準(zhǔn)，它制定了計算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級劃分的方法，規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級。

經(jīng)過多年的推廣，信息安全等級保護(hù)工作在各個行業(yè)得到了深入實施，且在信息安全保障中發(fā)揮了重要的作用。但各行業(yè)信息安全等級保護(hù)測評中目前普遍存在以下問題：（1）等級保護(hù)相關(guān)數(shù)據(jù)管理松散，未能加以深入分析和有效利用；（2）測評實施方法不一，一定程度上依賴個人經(jīng)驗和技術(shù)水平；（3）測評過程自動化程度較低，影響現(xiàn)場測評效率；（4）報告編寫時間較長，導(dǎo)致測評效率低下。針對上述問題，本文依據(jù)相關(guān)標(biāo)準(zhǔn)和技術(shù)要求，結(jié)合電力行業(yè)特征，設(shè)計和實現(xiàn)了一個針對電力行業(yè)的信息安全等級保護(hù)測評平臺。平臺集成了自動化測評工具集，基于知識庫實現(xiàn)了測評項目管理、測評文檔管理、數(shù)據(jù)統(tǒng)計分析和報告自動生成等功能，有效提高了測評工作效率，較好地滿足了等級保護(hù)對測評實踐智能化和規(guī)范化的需求。

1 測評平臺的目標(biāo)

電力信息安全等級保護(hù)測評平臺的目標(biāo)是對電力行業(yè)信息安全等級保護(hù)測評的過程提供管理和工具支持，其需求和設(shè)計目標(biāo)主要有以下幾個方面：

（1）全面的信息管理

對測評過程涉及的原始記錄、測評標(biāo)準(zhǔn)、歷史測評數(shù)據(jù)、標(biāo)準(zhǔn)測評資料樣本、單位和人員資料等，測評平臺可以方便地輸入輸出、查詢和引用，并可進(jìn)行集中統(tǒng)計。

（2）自動化和智能化

盡可能降低測評工程的人工依賴度，為測評過程提供自動化支持，并可對歷史數(shù)據(jù)進(jìn)行智能化的分析。

（3）高度集成和整合

測評平臺集成了信息管理、項目管理、用戶管理、知識庫和接口驅(qū)動等多功能子系統(tǒng)。

（4）人工可干預(yù)

由于自動化、智能化處理產(chǎn)生的結(jié)果往往不會完全符合實際需要，因此系統(tǒng)需要提供對這些結(jié)果進(jìn)行人工干預(yù)的能力。

（5）數(shù)據(jù)安全性

測評平臺中的數(shù)據(jù)為信息系統(tǒng)的安全數(shù)據(jù)，具有敏感性特征，因此需保證這些數(shù)據(jù)在存儲和傳輸過程中的安全性。

2 測評平臺總體設(shè)計

2.1 測評平臺框架設(shè)計

測評平臺[2]總體上分為服務(wù)器和客戶端兩部分。服務(wù)器采用瀏覽器/服務(wù)器結(jié)構(gòu)，包括測評中央處理單元、知識庫管理子系統(tǒng)、測評過程管理子系統(tǒng)、數(shù)據(jù)智能處理子系統(tǒng)、系統(tǒng)后臺管理子系統(tǒng)和安全保障等六大功能邏輯子系統(tǒng)?？蛻舳嗽O(shè)計為桌面客戶端軟件，它通過VPN加密隧道與服務(wù)器進(jìn)行通信，完成數(shù)據(jù)交互。平臺總體結(jié)構(gòu)如圖1所示。

圖1 平臺總體設(shè)計結(jié)構(gòu)圖

2.1.1 測評中央處理單元

測評中央處理單元是測評平臺的核心功能組件，主要功能包括：

（1）測評任務(wù)調(diào)度和分派

接收測評請求，分派測評任務(wù)，將根據(jù)系統(tǒng)安全等級和知識庫生成的測評指導(dǎo)書、測評方法表等相關(guān)文檔打包分發(fā)給測評工程師，由其通過客戶端打開。

（2）平臺數(shù)據(jù)調(diào)配和整合

平臺中存在大量的知識庫數(shù)據(jù)和測評記錄等應(yīng)用數(shù)據(jù)，測評中央處理單元完成各種數(shù)據(jù)資源的提取和整合，如測評方案、測評指導(dǎo)書和測評報告的自動生成。

2.1.2 知識庫管理子系統(tǒng)

知識庫管理子系統(tǒng)對等級保護(hù)測評涉及的知識庫進(jìn)行管理。知識庫是整個等級保護(hù)測評平臺的底層支撐數(shù)據(jù)集群，由所有項目共用，平臺管理員在平臺初始化時建立知識庫并隨著測評工作的進(jìn)行對知識庫進(jìn)行更新維護(hù)。知識庫具有結(jié)構(gòu)化、易操作和全面有組織的特點，具體包括：標(biāo)準(zhǔn)規(guī)范庫、測評方法庫、風(fēng)險威脅庫、主要問題庫和整改建議庫。

（1）標(biāo)準(zhǔn)規(guī)范庫：等級測評相關(guān)的各類國家標(biāo)準(zhǔn)和技術(shù)要求以及電力行業(yè)標(biāo)準(zhǔn)知識。

（2）測評方法庫：針對不同安全等級系統(tǒng)的各個測評項的測評問卷和測評實施方法導(dǎo)引。

（3）風(fēng)險威脅庫：信息系統(tǒng)面臨的風(fēng)險威脅及應(yīng)達(dá)到的安全目標(biāo)只包含4個等級的威脅、安全目標(biāo)及二者的對應(yīng)關(guān)系知識。

（4）主要問題庫：信息系統(tǒng)在等級保護(hù)10個方面可能存在的問題詳細(xì)描述和對應(yīng)的測評項。

（5）整改建議庫：信息系統(tǒng)測評中存在的不符合項或主要問題的整改建議，包括詳細(xì)整改方法和風(fēng)險預(yù)控措施。

平臺通過測評中央處理單元對知識庫進(jìn)行集中調(diào)度和數(shù)據(jù)組織，從知識庫中獲取相應(yīng)數(shù)據(jù)應(yīng)用于測評過程，如測評指導(dǎo)書生成、測評結(jié)果評價、數(shù)據(jù)融合與統(tǒng)計分析和報告自動生成等。

2.1.3 測評過程管理子系統(tǒng)

測評過程管理子系統(tǒng)的主要功能是對等級保護(hù)測評的項目過程、相關(guān)文檔和測評工具進(jìn)行管理。等級測評過程分為4個基本測評活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動，測評平臺對上述過程進(jìn)行了完整實現(xiàn)，用戶通過平臺錄入測評過程中所需的各項數(shù)據(jù)，平臺對測評各階段文檔和工具進(jìn)行集中管理。此外還具有版本控制功能，用戶可根據(jù)實際需要對文檔和測評工具進(jìn)行下載或更新。

2.1.4 數(shù)據(jù)智能處理子系統(tǒng)

數(shù)據(jù)智能處理子系統(tǒng)包括測評結(jié)果綜合評價和數(shù)據(jù)融合與統(tǒng)計分析兩個功能模塊。測評結(jié)果綜合評價是從等級保護(hù)的10個安全方面進(jìn)行評估，即物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理，根據(jù)信息系統(tǒng)的指標(biāo)符合性建立數(shù)學(xué)模型，對信息系統(tǒng)的信息安全狀況進(jìn)行量化評估。系統(tǒng)實現(xiàn)了層次化的灰色關(guān)聯(lián)分析模型[2]、計算信息系統(tǒng)的信息安全評價結(jié)果值。數(shù)據(jù)融合與統(tǒng)計分析功能是對信息安全等級保護(hù)測評的各種數(shù)據(jù)進(jìn)行統(tǒng)計和對比分析，并可生成可視化圖表。

2.1.5 系統(tǒng)后臺管理子系統(tǒng)

系統(tǒng)后臺管理子系統(tǒng)包括機(jī)構(gòu)管理、系統(tǒng)管理、用戶管理和權(quán)限管理4個功能模塊，完成等級測評委托機(jī)構(gòu)、系統(tǒng)配置信息、用戶角色和權(quán)限等方面的管理功能。

2.1.6 安全保障子系統(tǒng)

安全保障子系統(tǒng)的設(shè)計主要是為了保證等級保護(hù)測評平臺中各類數(shù)據(jù)的存儲安全和數(shù)據(jù)傳輸過程中的安全性。主要包括三個方面：用戶對服務(wù)器的訪問全部采用HTTPS協(xié)議，確保訪問服務(wù)器的用戶身份可信和數(shù)據(jù)傳輸保密；客戶端和服務(wù)器之間的通信實現(xiàn)了基于SSL的TCP通信，保證通信過程的安全性；存儲在本地的文件全部以加密文件的形式進(jìn)行存儲，只有使用客戶端軟件才可打開查看。

2.1.7 測評客戶端

測評客戶端是現(xiàn)場測評工作的執(zhí)行軟件，安裝在測評工程師的測評工作終端上。用戶登錄客戶端下載測評任務(wù)包和測評工具集，根據(jù)現(xiàn)場測評情況對測評結(jié)果客觀記錄和符合性評判，通過測評客戶端錄入測評結(jié)果，待全部測評項都填寫完成后將結(jié)果上傳至平臺服務(wù)器?？蛻舳诉€可對信息系統(tǒng)的現(xiàn)場測評結(jié)果進(jìn)行編輯修改和統(tǒng)計查看。服務(wù)器根據(jù)現(xiàn)場測評結(jié)果從知識庫中自動提取內(nèi)容生成完整的測評報告。測評結(jié)果通過加密方式保存在客戶端，客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行了應(yīng)用層加密并采用VPN、SSH等加密隧道進(jìn)行通信，防止數(shù)據(jù)傳輸過程中被篡改，充分保證了數(shù)據(jù)的安全性。

2.2 平臺測評流程

使用等級保護(hù)測評平臺進(jìn)行等級測評的流程如圖2所示，測評流程由服務(wù)器端和客戶端兩部分組成。

測評首先需要登錄進(jìn)入服務(wù)器端，按照平臺向?qū)?，根?jù)測評準(zhǔn)備階段的訪談內(nèi)容初始化項目信息。初始化完成后，即開始按等級測評的4個基本內(nèi)容：選擇測評對象、確定項目組成員、創(chuàng)建及分配測評任務(wù)包到相應(yīng)的測評工程師。測評任務(wù)包包括測評方案、測評計劃和測評指導(dǎo)書，以加密文件的形式存儲在服務(wù)器上。

測評工程師登錄測評客戶端，連接至服務(wù)器，查看個人測評任務(wù)列表，將測評任務(wù)包下載至本地。加密文件只能由客戶端軟件自動導(dǎo)入，解密后打開。測評工程師通過查看、訪談、檢查和工具掃描等方式逐項完成測評，記錄測評結(jié)果。平臺提供了掃描工具適配接口，可將工具掃描的結(jié)果自動整合進(jìn)測評記錄。所有測評項完成后，測評工程師可通過匯總方式查看或修改測評結(jié)果，確認(rèn)后將測評結(jié)果上傳至服務(wù)器端，自動生成測評報告。報告由項目經(jīng)理負(fù)責(zé)審核通過后完成輸出。

圖2 平臺測評流程

3 測評平臺關(guān)鍵技術(shù)

3.1 基于灰色關(guān)聯(lián)分析的測評結(jié)果評價

等級測評的結(jié)果分為符合、部分符合和不符合三種情況。實際工作中，大部分系統(tǒng)的測評結(jié)果為部分符合，無法對信息系統(tǒng)的安全建設(shè)情況進(jìn)行更深入的分析把握。針對這一問題，本平臺的數(shù)據(jù)智能處理子系統(tǒng)實現(xiàn)了基于層次分析法與灰色關(guān)聯(lián)分析法的灰色多層次評價模型[3-4]，對信息系統(tǒng)的等級測評結(jié)果進(jìn)行量化評價。使用灰色多層次評價模型對信息系統(tǒng)等級測評結(jié)果進(jìn)行綜合評價的步驟和方法如下：

（1）建立等級測評評價指標(biāo)體系

將等級測評評價指標(biāo)分為3個層次：信息系統(tǒng)安全等級測評結(jié)果綜合評價（A）為第一層次；等級測評的10個方面物理安全（B1）、網(wǎng)絡(luò)安全（B2）、主機(jī)安全（B3）、應(yīng)用安全（B4）、數(shù)據(jù)安全及備份恢復(fù)（B5）、安全管理機(jī)構(gòu)（B6）、安全管理制度（B7）、人員安全管理（B8）、系統(tǒng)建設(shè)管理（B9）和系統(tǒng)運維管理（B10）作為第二層次；等級測評的各個測評單元作為第三層次，如物理位置選擇（C1）、物理訪問控制（C2）、防盜竊和防破壞（C3）等。

（2）對等級測評指標(biāo)體系進(jìn)行量化

等級測評中，每個測評單元都包含若干個測評項。首先需要對測評單元進(jìn)行量化，若測評單元中的所有測評項都為符合，則為該測評單元賦值為1；所有測評項均為不符合時賦值為0；包含部分符合項或不適用項時，則根據(jù)部分符合的程度為測評單元計算一個數(shù)值，該值介于0～1之間。采用根據(jù)對信息系統(tǒng)安全的影響程度確定各個測評單元的權(quán)重值，建立等級測評指標(biāo)體系賦值表。

（3）指標(biāo)值規(guī)范化處理及關(guān)聯(lián)度計算

系統(tǒng)所有測評單元的分值都為1時，形成的數(shù)列作為參考數(shù)列；按步驟（2）中的方法形成的測評單元分值數(shù)列作為比較數(shù)列。由式（1）、式（2）計算出測評單元的關(guān)聯(lián)系數(shù)和關(guān)聯(lián)度。設(shè)參考數(shù)列（又稱母序列）為Y={Y（k）|k=1，2， … ，n}， 比 較 數(shù) 列 （又 稱 子 序 列 ）為 Xi={Xi（k）|k=1，2，…，n}，i=1，2，…，m，則 Y（k）與 Xi（k）的關(guān)聯(lián)系數(shù)為：

ρ∈（0，∞）稱為分辨系數(shù)，ρ越小，分辨率越大，一般ρ的取值空間為[0，1]，具體取值可視情況而定，但通常取 ρ=0.5。

因為關(guān)聯(lián)系數(shù)是比較數(shù)列在各個時刻的關(guān)聯(lián)程度值，所以它的數(shù)值不止一個，而信息又過于分散不便于進(jìn)行整體比較。因此，有必要將各個時刻的關(guān)聯(lián)系數(shù)集中于一個值，即取其平均值作為比較數(shù)列與參考數(shù)列間關(guān)聯(lián)程度的數(shù)量表示，y（k）與 xi（k）的關(guān)聯(lián)度為：

（4）評價結(jié)果分析

根據(jù)步驟（2）計算出的關(guān)聯(lián)度和各個測評單元的權(quán)重值，用式（3）求出等級測評結(jié)果綜合評價值。因不同測評方面的關(guān)聯(lián)度對整個系統(tǒng)的信息安全評價具有不同的重要性，即按不同測評方面的重要程度大小賦予相應(yīng)的權(quán)值{a（j）|j=1，2，…，m}。 其中為測評方面數(shù)，則綜合評價指標(biāo)為：

3.2 知識庫的實現(xiàn)

知識庫[4]是等級保護(hù)測評平臺的基礎(chǔ)組成部分，能夠支持平臺實現(xiàn)符合性智能判定和測評方案、測評指導(dǎo)書、整改方案等文檔定制生成等高級功能。知識表示是實現(xiàn)知識存儲和建立知識庫的前提，常用的知識表示方法主要有產(chǎn)生式表示法、框架表示法和面向?qū)ο蟊硎痉ǖ?。根?jù)信息安全等級保護(hù)的特點，平臺采用了混合知識表示方式實現(xiàn)對等級保護(hù)測評相關(guān)知識的表示。

混合知識表示方法是采用面向?qū)ο蟮姆椒ò旬a(chǎn)生式、框架等表示方法封裝在對象里的一種表示方法。根據(jù)信息安全等級保護(hù)測評工作的特點，其知識主要分為實例知識和規(guī)則知識兩大類。實例知識是以屬性值列表的形式存在，可以通過面向?qū)ο蟮姆椒▽崿F(xiàn)其知識的表示；規(guī)則知識主要分為選型知識和過程性知識，可以通過產(chǎn)生式、框架等表示，然后通過面向?qū)ο蟮姆椒ǚ庋b這些方法實現(xiàn)規(guī)則知識的標(biāo)識。

3.2.1 選型知識的表示

等級測評中，測評指標(biāo)和整改建議的選擇都屬于選型知識的范疇，其中涉及很多選型規(guī)則知識，選型規(guī)則主要指確定系統(tǒng)安全等級、系統(tǒng)類型（管理信息系統(tǒng)或生產(chǎn)業(yè)務(wù)系統(tǒng)）等，一般為簡單因果關(guān)系的規(guī)則。選型規(guī)則的一般表示形式為：

首先建立用來封裝產(chǎn)生式規(guī)則的面向?qū)ο箢?，類中包含公有和私有屬性及用來提取?guī)則的相關(guān)方法。其中屬性的可信度用來描述規(guī)則知識的不確定性，其取值范圍為0～1，表示產(chǎn)生結(jié)果的可能性。下面是等級測評指標(biāo)選擇規(guī)則的偽代碼實現(xiàn)：

3.2.2 過程性知識的表示

過程性知識是表達(dá)等級測評步驟和方法的知識，主要體現(xiàn)在基于規(guī)則推理的過程，一般通過程序的方法來實現(xiàn)。過程知識的表示形式為：

建立過程類，其中的步驟采用面向?qū)ο蟮姆椒▉韺崿F(xiàn)?？梢詧?zhí)行各個步驟之間的順序、循環(huán)或判斷邏輯。過程性知識在等級測評中的偽代碼實現(xiàn)如下：

3.3 平臺安全保障功能的實現(xiàn)

測評平臺中存儲和傳輸?shù)臄?shù)據(jù)均為電力信息系統(tǒng)安全數(shù)據(jù)，涉及企業(yè)機(jī)密，因此需保證測評平臺的數(shù)據(jù)安全性。平臺對客戶端和服務(wù)器端的數(shù)據(jù)通信主要采用SSL協(xié)議實現(xiàn)加密、認(rèn)證和完整性校驗等安全措施。SSL協(xié)議中包含不同的加密套件，需要根據(jù)數(shù)據(jù)價值和實時性要求選擇適當(dāng)?shù)募用芴准Ｈ绻淮芜B接的時間較長，可以使用一時一密的加密通信方式，用隨機(jī)密鑰生成器生成的密鑰代替一次連接生成的密鑰，還需要在服務(wù)器端加入密鑰生成器生成密鑰和傳送密鑰，而在客戶端接收新密鑰，同時銷毀舊密鑰。

平臺直接集成OpenSSL開發(fā)包來實現(xiàn)安全保障功能。OpenSSL定義了很多的接口函數(shù)來實現(xiàn)SSL安全通信，可以實現(xiàn)的基本功能如下：（1）SSL數(shù)據(jù)結(jié)構(gòu)的建立；（2）SSL證書解析以及認(rèn)證功能；（3）SSL安全連接建立功能；（4）SSL 數(shù)據(jù)傳輸功能（發(fā)送與接收）；（5）SSL錯誤處理及匯報功能；（6）SSL連接斷開功能；（7）SSL數(shù)據(jù)結(jié)構(gòu)釋放功能。

服務(wù)器和客戶端的安全通信實現(xiàn)過程如圖3所示。

本文詳細(xì)介紹了電力信息安全等級保護(hù)測評平臺的設(shè)計方法以及平臺實現(xiàn)中的關(guān)鍵技術(shù)。該平臺是一個具備全面測評信息和過程管理功能、自動化和智能化程度高、信息集成度高、支持多標(biāo)準(zhǔn)和擴(kuò)展性良好的測評平臺。平臺在南方電網(wǎng)系統(tǒng)運行技術(shù)支持系統(tǒng)和廣東電網(wǎng)生產(chǎn)業(yè)務(wù)系統(tǒng)等級保護(hù)測評中得到了成功應(yīng)用。

圖3 服務(wù)器和客戶端安全通信實現(xiàn)過程

[1]國家質(zhì)量技術(shù)監(jiān)督局.GB17859-1999.計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[S].1999.

[2]黃洪，任衛(wèi)紅，余達(dá)太，等.基于故障樹的等級測評專家系 統(tǒng) 模 型 研 究[J].計 算 機(jī) 應(yīng) 用 研 究 ，2010，27（1）：204-208.

[3]王春元，楊善林，周永務(wù).信息安全等級測評多層次灰關(guān)聯(lián)綜合評價[C].第二十一次全國計算機(jī)安全學(xué)術(shù)交流會論文集，2006：63-66.

[4]高陽，羅軍舟.基于灰色關(guān)聯(lián)決策算法的信息安全風(fēng)險評估方法 [J].東南大學(xué)學(xué)報 （自然科學(xué)版），2009，39（2）：225-229.

[5]張璐，陸家琪，褚超美.面向汽車變速器設(shè)計知識庫系統(tǒng)的研究與應(yīng)用[J].計算機(jī)工程與設(shè)計，2010，31（12）：2861-2864.