賈鐵軍， 馮兆紅， 肖惜明， 張福杰

(上海電機(jī)學(xué)院 a. 電子信息學(xué)院， b. 電氣學(xué)院， 上海 201306)

電力二次系統(tǒng)是由各級(jí)電力監(jiān)控系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)(State Power Dispatching network, SPDnet)、電力數(shù)據(jù)通信網(wǎng)絡(luò)(State Power Telecommunication Network, SPTnet)、電網(wǎng)管理信息系統(tǒng)(Management Information System, MIS)、電廠管理信息系統(tǒng)及電力通信系統(tǒng)等構(gòu)成的復(fù)雜系統(tǒng)[1]。國(guó)內(nèi)對(duì)電力二次系統(tǒng)主動(dòng)安全防御模型和防御體系結(jié)構(gòu)的研究較少，文獻(xiàn)[1-2]中提出了電力二次系統(tǒng)安全防護(hù)的現(xiàn)狀、出現(xiàn)的問(wèn)題、具體要求、管理和安全防護(hù)總體方案等；文獻(xiàn)[3]中研究了主動(dòng)可控防御和電力信息系統(tǒng)安全防御體系的理論。雖然世界各國(guó)都非常重視對(duì)電力二次系統(tǒng)安全防護(hù)，然而，由于系統(tǒng)和業(yè)務(wù)更新、網(wǎng)絡(luò)安全技術(shù)提升和系統(tǒng)安全風(fēng)險(xiǎn)的增加，且電力二次系統(tǒng)防護(hù)過(guò)程是個(gè)復(fù)雜的動(dòng)態(tài)過(guò)程，故其在某些方面仍顯現(xiàn)出一定的缺陷和不足。我國(guó)對(duì)電力二次系統(tǒng)部署的防火墻和入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)等技術(shù)基本處于被動(dòng)防護(hù)或只檢測(cè)、無(wú)阻斷狀態(tài)，且時(shí)常出現(xiàn)漏報(bào)、誤報(bào)問(wèn)題，故我國(guó)的電力二次系統(tǒng)存在一定的安全風(fēng)險(xiǎn)和隱患，迫切需要重新構(gòu)建主動(dòng)、立體縱深、多層次的安全防御體系[1，3，4]。本文分析了電力二次系統(tǒng)的安全問(wèn)題、安全分區(qū)及防護(hù)總體方案框架結(jié)構(gòu)的安全需求，提出了一種改進(jìn)的主動(dòng)安全防御模型，構(gòu)建了新的電力二次系統(tǒng)主動(dòng)安全防御體系結(jié)構(gòu)，并給出了具體的部署和實(shí)現(xiàn)方式。

1 電力二次系統(tǒng)安全需求分析

1.1 電力二次系統(tǒng)的安全問(wèn)題

電力二次系統(tǒng)安全防護(hù)是個(gè)系統(tǒng)工程，根據(jù)“木桶原理”，其總體防護(hù)水平取決于系統(tǒng)中最薄弱的環(huán)節(jié)。筆者經(jīng)過(guò)對(duì)電力企業(yè)的電力二次系統(tǒng)深入地調(diào)研、分析后發(fā)現(xiàn)，目前，電力二次系統(tǒng)面臨的安全風(fēng)險(xiǎn)主要包括信息泄漏、非法使用、攔截、旁路控制、竊聽(tīng)、篡改、欺騙、拒絕服務(wù)、破壞完整性、管理或操作失誤等；主要由以下原因引起[4]： ① 電力系統(tǒng)采用的防火墻和入侵檢測(cè)技術(shù)等存在著一定缺陷或不足，被動(dòng)防御或漏報(bào)誤報(bào)率高；② 系統(tǒng)之間信息交換缺乏加密及認(rèn)證機(jī)制、入侵檢測(cè)等預(yù)警機(jī)制、漏洞掃描和審計(jì)手段，接入存在安全隱患；③ 基本手動(dòng)更新病毒庫(kù)，缺乏實(shí)時(shí)性，導(dǎo)致各廠、站端及工控機(jī)房管理困難；④ 安全防護(hù)目標(biāo)、策略和體系不健全，所采取的安全措施幾乎都基于被動(dòng)防護(hù)；⑤ 管理區(qū)與生產(chǎn)區(qū)的數(shù)據(jù)雙向交互，各級(jí)調(diào)度系統(tǒng)結(jié)構(gòu)復(fù)雜，數(shù)據(jù)交互缺乏規(guī)則性，很難對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行統(tǒng)一的安全防護(hù)、動(dòng)態(tài)管理和應(yīng)急處理。

電力二次系統(tǒng)安全防護(hù)主要針對(duì)網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，重點(diǎn)強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，如圖1所示。其工作重點(diǎn)是確保電力實(shí)時(shí)監(jiān)控系統(tǒng)及SPDnet的安全[5]；抵御黑客和病毒等各種攻擊，保障系統(tǒng)的可用性和正常服務(wù)，保護(hù)重要信息在存儲(chǔ)及傳輸過(guò)程中的機(jī)密性和完整性，實(shí)現(xiàn)應(yīng)用系統(tǒng)和設(shè)備接入電力二次系統(tǒng)的身份認(rèn)證，防止非授權(quán)訪問(wèn)，實(shí)現(xiàn)SPDnet和應(yīng)用系統(tǒng)的可審查性及安全管理等。

圖1 電力二次系統(tǒng)安全防護(hù)的重點(diǎn)Fig.1 Key of security protection in a secondary power system

1.2 安全分區(qū)及防護(hù)總體方案框架結(jié)構(gòu)

按照電力二次系統(tǒng)安全防護(hù)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體原則[1]，根據(jù)其工作重點(diǎn)，將電力二次系統(tǒng)劃分為安全等級(jí)由高到低的Ⅰ～Ⅳ4個(gè)安全區(qū)，并有針對(duì)性地采取不同的安全措施[4，6]。其中，安全區(qū)Ⅰ為實(shí)時(shí)控制區(qū)，Ⅱ?yàn)榉强刂粕a(chǎn)區(qū)，Ⅲ為生產(chǎn)管理區(qū)，Ⅳ為管理信息區(qū)。電力二次系統(tǒng)現(xiàn)有的安全分區(qū)及其系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)如圖 2所示。

2 主動(dòng)安全防御模型

在網(wǎng)絡(luò)系統(tǒng)防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)安全模型(Protection，Detection，Reaction，Recovery， PDRR)的基礎(chǔ)上，以“檢查準(zhǔn)備、防護(hù)加固、檢測(cè)發(fā)現(xiàn)、快速反映、應(yīng)急恢復(fù)、反省改進(jìn)”原則可改進(jìn)得到檢查、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反映(Inspection，Protection，Detection，Reaction，Recovery，Reflection， IPDRRR)模型[6-8]。經(jīng)過(guò)深入分析研究，并進(jìn)一步改進(jìn)和完善，本文提出了一種新的網(wǎng)絡(luò)系統(tǒng)主動(dòng)安全防御模型, 如圖3所示。

在本文提出的主動(dòng)安全防御模型中，根據(jù)網(wǎng)絡(luò)系統(tǒng)安全管理、策略、機(jī)制和標(biāo)準(zhǔn)，通過(guò)準(zhǔn)備預(yù)防、加固防護(hù)、檢測(cè)反饋、響應(yīng)阻斷、備份恢復(fù)、總結(jié)改進(jìn)(并審計(jì)追蹤、取證和偵破)的漸進(jìn)防御過(guò)程(6個(gè)環(huán)節(jié)相互作用、補(bǔ)充和完善)，來(lái)構(gòu)建主動(dòng)安全縱深防御體系。

圖2 原電力二次系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)Fig.2 Original framework of security protection in a secondary power system

圖3 主動(dòng)安全防御新模型Fig.3 New system model of active safety defense

3 主動(dòng)安全防御體系的構(gòu)建與實(shí)現(xiàn)

3.1 主動(dòng)安全防御體系結(jié)構(gòu)

通過(guò)對(duì)電力二次系統(tǒng)安全需求分析，以及對(duì)安全防護(hù)體系的探究，利用國(guó)家電網(wǎng)公司“電網(wǎng)信息安全等級(jí)保護(hù)縱深防御示范工程”項(xiàng)目成果，并參照ISO/IEC27001信息安全管理標(biāo)準(zhǔn)[9]，構(gòu)建新的電力二次系統(tǒng)主動(dòng)安全防御體系結(jié)構(gòu)，其為一個(gè)三維立體防御體系，如圖4所示。

圖4 主動(dòng)安全防御體系結(jié)構(gòu)Fig.4 Active defense system structure

該主動(dòng)安全防御體系結(jié)構(gòu)如下： ① 水平方向的法律管理基礎(chǔ)層，分為網(wǎng)絡(luò)安全法律、政策、安全管理和道德規(guī)范教育；② 策略機(jī)制技術(shù)服務(wù)層，分為安全通信協(xié)議、網(wǎng)絡(luò)防御策略、防御機(jī)制、防御技術(shù)和安全服務(wù)；③ 多層(縱深)防御層，包括準(zhǔn)備預(yù)防、加固防御、檢測(cè)反饋、響應(yīng)阻斷、備份恢復(fù)和總結(jié)改進(jìn)(審計(jì)偵破)。其中，縱深的多層防御需要各層的安全防御策略、防御機(jī)制、技術(shù)和服務(wù)的支持，對(duì)各種系統(tǒng)資源進(jìn)行劃分，從邊界防御、網(wǎng)絡(luò)防御、管理平臺(tái)等層面構(gòu)建更有效的主動(dòng)深層防御策略、機(jī)制和實(shí)現(xiàn)方案[10]。

3.2 主動(dòng)安全防御體系部署與實(shí)現(xiàn)

國(guó)、內(nèi)外很多大型電力企業(yè)在電力二次系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全防御問(wèn)題的事實(shí)已經(jīng)證明，電力二次系統(tǒng)的安全單獨(dú)依靠傳統(tǒng)的被動(dòng)防護(hù)措施是無(wú)法實(shí)現(xiàn)的，只有通過(guò)主動(dòng)安全防御進(jìn)行有效集成和部署，才能更好地發(fā)揮整體效能[11]。因此，電力二次系統(tǒng)主動(dòng)安全防御體系的部署與實(shí)現(xiàn)方式，主要是采用縱深防御策略機(jī)制、統(tǒng)一威脅管理 (Unified Threat Management, UTM)平臺(tái)、智能入侵防御系統(tǒng)(Intrusion Prevention System, IPS)、認(rèn)證與加密和隔離技術(shù)等新技術(shù)、新方法和新應(yīng)用，取代一些安全管理效果欠佳和被動(dòng)的安全檢測(cè)技術(shù)，利用本文提出的主動(dòng)安全防御模型和主動(dòng)防御安全防御體系，來(lái)完成實(shí)際的部署，如圖5所示。

圖5 電力二次系統(tǒng)主動(dòng)安全防御體系部署Fig.5 Deployment of an active safety defense system in a secondary power system

根據(jù)電力二次系統(tǒng)主動(dòng)安全防御體系部署，采用一體化方式(包括設(shè)計(jì)一體化、策略一體化和管理一體化)，通過(guò)各功能模塊的緊密配合、相互補(bǔ)充，安全策略的統(tǒng)一實(shí)施和管理[13]，來(lái)建立高效的立體防護(hù)體系。

按照?qǐng)D5的部署，基于主機(jī)的IPS，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和服務(wù)器異常行為的監(jiān)測(cè)、防御與響應(yīng)策略；主要監(jiān)控和防御調(diào)度管理信息系統(tǒng)(Dispatch Management Information System， DMIS)與SPInet之間、DMIS內(nèi)部訪問(wèn)，以及外部對(duì)DMIS的訪問(wèn)，以實(shí)現(xiàn)安全監(jiān)測(cè)中心對(duì)IPS的統(tǒng)一管理與控制。

借助本地服務(wù)器集群響應(yīng)、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步實(shí)現(xiàn)技術(shù)[8]，通過(guò)功能集成，實(shí)現(xiàn)對(duì)客戶端/服務(wù)器端進(jìn)行分布式部署。采用基于可接受行為的訪問(wèn)控制策略，對(duì)客戶端系統(tǒng)進(jìn)行全方位檢測(cè)、防御和維護(hù)；并采用基于CISCO路由器的IPsec-VPN，在專網(wǎng)上形成多個(gè)邏輯隔離的VPN[11,13]。

針對(duì)電力二次系統(tǒng)主動(dòng)安全新防御體系，本文采用較通用的模擬測(cè)試方法，在網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)數(shù)據(jù)集KDD Cup2012，采集5組數(shù)據(jù)，對(duì)系統(tǒng)進(jìn)行多種網(wǎng)絡(luò)攻擊和入侵檢測(cè)防御模擬實(shí)驗(yàn)[14-15]，并與部署IDS及防火墻的原電力二次系統(tǒng)安全體系結(jié)構(gòu)進(jìn)行比較，比較結(jié)果如表1所示。

表1 原系統(tǒng)體系結(jié)構(gòu)與新體系結(jié)構(gòu)比較

由表可見(jiàn)，采用并部署IPS及UTM等電力二次系統(tǒng)主動(dòng)安全防御體系結(jié)構(gòu)在各方面的性能都優(yōu)于原系統(tǒng)的安全體系結(jié)構(gòu)，特別是在整體檢測(cè)、誤報(bào)率及未知新攻擊防御方面效果更好。將電力二次系統(tǒng)主動(dòng)安全防御新模型和主動(dòng)安全防御體系用于某地區(qū)企業(yè)電網(wǎng)的電力二次系統(tǒng)安全防護(hù)工程的防護(hù)方案和實(shí)際業(yè)務(wù)的實(shí)施中，結(jié)果表明其安全防御能力有較大改善，提高了安全檢測(cè)與防御水平，而且降低了對(duì)異常行為的漏報(bào)率和誤報(bào)率。

4 結(jié) 語(yǔ)

電力二次系統(tǒng)的安全防御對(duì)整個(gè)電力系統(tǒng)的安全保障至關(guān)重要。本文集成網(wǎng)絡(luò)安全新技術(shù)、管理、策略和機(jī)制，針對(duì)系統(tǒng)不同層次結(jié)構(gòu)和需求，采取針對(duì)性有效措施構(gòu)建出一種新型多層次的主動(dòng)安全防御體系。實(shí)驗(yàn)結(jié)果表明，構(gòu)建的主動(dòng)安全防御體系的安全檢測(cè)與防御能力較好。由于智能IPS和UTM新技術(shù)在國(guó)內(nèi)屬于新應(yīng)用，且將系統(tǒng)主動(dòng)安全防御進(jìn)行統(tǒng)一配置，監(jiān)控、預(yù)警、評(píng)估、響應(yīng)、檢測(cè)、防御、響應(yīng)一體化及多重主動(dòng)動(dòng)態(tài)協(xié)同防御復(fù)雜程度高、難度大，故對(duì)其多個(gè)子系統(tǒng)和專項(xiàng)新技術(shù)的深入探究和改進(jìn)將成為后續(xù)工作的重點(diǎn)。

參考文獻(xiàn)：

[1] 國(guó)家電力監(jiān)管委員會(huì).電力二次系統(tǒng)安全防護(hù)規(guī)定[EB/OL].http：∥www.gov.cn/gongbao/content/2005/content_75122.htm.

[2] 國(guó)家能源局.國(guó)家能源局關(guān)于印發(fā)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》的通知[EB/OL].http：∥www.chinarein.com/file/hygf/201408/134519.html.

[3] 吳克河，劉吉臻，張彤，等.電力信息系統(tǒng)安全防御體系及關(guān)鍵技術(shù)[M]. 北京： 科學(xué)出版社,2011.

[4] 黃芬.電力二次系統(tǒng)安全防護(hù)方案的實(shí)施[J].電氣工程與自動(dòng)化，2010(24)： 99.

[5] 梁智強(qiáng)，范穎.電力二次系統(tǒng)安全防護(hù)的DDoS攻擊原理及防御技術(shù)[J].計(jì)算機(jī)安全，2010(9)： 70-72.

[6] 賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京： 高等教育出版社，2014： 128-158.

[7] 賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].2版.北京： 機(jī)械工業(yè)出版社，2014： 167-186.

[8] Jia Tiejun,Feng Zhaohong,Wang Xiaogang.Construction and Implementation of Intelligent HIPS Based on Cloud[J].International Journal of Digital Content Technology and its Applications,2013,23(7)： 460-467.

[9] 劉兆霞，景國(guó)鋒，孫剛.電力二次系統(tǒng)安全防護(hù)體系探討[J].山西電力，2011(5)： 13-15.

[10] 白瑋,吳強(qiáng),張學(xué)平.適用多級(jí)安全網(wǎng)絡(luò)的BLP改進(jìn)模型[J].計(jì)算機(jī)應(yīng)用,2013,33(s1)： 134-136.

[11] 馮兆紅，賈鐵軍.電力二次系統(tǒng)主動(dòng)安全防御策略及實(shí)現(xiàn)[J].電氣自動(dòng)化，2014(16)： 34-35.

[12] 賈鐵軍,馮兆紅，連志剛.分布式電力企業(yè)信息NSMS的構(gòu)建與實(shí)現(xiàn)[J].上海電機(jī)學(xué)院學(xué)報(bào)，2013,16(1/2)： 34-38.

[13] 田嘉.電廠二次系統(tǒng)安全防護(hù)方案的設(shè)計(jì)與規(guī)劃[J].電力信息化,2011,19(4)： 60-64.

[14] 丁杰，高會(huì)生，愈曉雯.主動(dòng)防御新技術(shù)及其在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J].電力系統(tǒng)通信，2004(8)： 42-45.

[15] 湯涌.電力系統(tǒng)安全穩(wěn)定綜合防御體系框架[J].電網(wǎng)技術(shù)，2012,36(8)： 1-5.