李 潔，許 鑫，陳 宇，李大為

（國(guó)網(wǎng)吉林省電力有限公司電力科學(xué)研究院，長(zhǎng)春 130021）

近年來，國(guó)家電網(wǎng)公司在全力推進(jìn)信息化應(yīng)用工作的同時(shí)，不斷加強(qiáng)網(wǎng)絡(luò)安全保障的投入與建設(shè)，以工具檢測(cè)和人工檢查為手段評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn)。目前，電力系統(tǒng)信息安全管理依然以傳統(tǒng)的評(píng)估方式診斷系統(tǒng)資產(chǎn)存在的風(fēng)險(xiǎn)［1－6］。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式，多采用主動(dòng)探測(cè)方式模擬黑客入侵過程，影響了網(wǎng)絡(luò)資產(chǎn)的可用性，容易造成宕機(jī)等生產(chǎn)事故，存在因二次系統(tǒng)故障引發(fā)一次系統(tǒng)事故的潛在威脅；同時(shí)因?yàn)樵u(píng)估過程缺少日常數(shù)據(jù)參照，多依靠評(píng)估人員的經(jīng)驗(yàn)開展評(píng)估工作，耗費(fèi)較多人力資源，又無法給出權(quán)威性的評(píng)估報(bào)告。為了改善上述問題，設(shè)計(jì)并實(shí)施了電力系統(tǒng)信息安全風(fēng)險(xiǎn)診斷平臺(tái)進(jìn)行靜默式風(fēng)險(xiǎn)評(píng)估，減少因風(fēng)險(xiǎn)評(píng)估過程造成一次系統(tǒng)事故的概率，使評(píng)估工作進(jìn)一步常態(tài)化、智能化。

1 診斷平臺(tái)設(shè)計(jì)

1.1 設(shè)計(jì)原理

采用在線掃描技術(shù)，實(shí)時(shí)抓取和分析網(wǎng)絡(luò)通訊數(shù)據(jù)包，并與操作系統(tǒng)指紋庫、應(yīng)用特征庫、漏洞信息庫、異常特征庫等進(jìn)行比對(duì)，進(jìn)而獲取電力信息網(wǎng)的各資產(chǎn)的安全風(fēng)險(xiǎn)。通過設(shè)備自動(dòng)將IP 地址與發(fā)送端和接收端設(shè)備綁定，根據(jù)設(shè)定的規(guī)則來采集數(shù)據(jù)包中的信息并進(jìn)行記錄，通過采集7×24h數(shù)據(jù)包中的信息，判斷網(wǎng)絡(luò)資產(chǎn)對(duì)象是否存在風(fēng)險(xiǎn)。

1.2 診斷平臺(tái)技術(shù)分析

1.2.1 系統(tǒng)架構(gòu)

診斷平臺(tái)由WEB管理界面、配置查詢控制器、分析監(jiān)測(cè)引擎、結(jié)果數(shù)據(jù)庫4部分組成，4部分的關(guān)聯(lián)關(guān)系見圖1。

圖1 系統(tǒng)架構(gòu)圖

分析監(jiān)測(cè)引擎是一個(gè)守護(hù)進(jìn)程，其由網(wǎng)絡(luò)數(shù)據(jù)分析線程和配置管理線程組成，其中網(wǎng)絡(luò)數(shù)據(jù)分析線程主要用于網(wǎng)絡(luò)環(huán)境發(fā)現(xiàn)和網(wǎng)絡(luò)事件告警，配置管理線程，用于接收配置控制器的請(qǐng)求，控制網(wǎng)絡(luò)數(shù)據(jù)分析線程的啟停并提供網(wǎng)絡(luò)數(shù)據(jù)分析線程所需的網(wǎng)絡(luò)環(huán)境與合規(guī)訪問控制參數(shù)。

配置查詢控制器是一個(gè)守護(hù)進(jìn)程，其接收WEB管理界面發(fā)送的配置和查詢請(qǐng)求，對(duì)配置進(jìn)行持久化存儲(chǔ)、調(diào)用分析監(jiān)測(cè)引擎提供的參數(shù)配置接口、調(diào)用結(jié)果數(shù)據(jù)庫的查詢接口，最后將配置結(jié)果和查詢結(jié)果返回給WEB管理界面。

WEB管理界面由前臺(tái)和后臺(tái)2部分組成，前臺(tái)采用JAVA SCRIPT 語言實(shí)現(xiàn)，后臺(tái)為PHP 語言實(shí)現(xiàn)，前后之間通過JSON 格式進(jìn)行通信，前臺(tái)負(fù)責(zé)接收用戶輸入，并將配置查詢的請(qǐng)求發(fā)送給后臺(tái)服務(wù)器，后臺(tái)服務(wù)器將前臺(tái)傳來的請(qǐng)求經(jīng)過格式轉(zhuǎn)化，調(diào)用配置查詢控制器的配置查詢接口，并將結(jié)果返還給后臺(tái)服務(wù)器，并最終返回給前臺(tái)界面。

1.2.2 分析監(jiān)測(cè)技術(shù)

分析監(jiān)測(cè)是本平臺(tái)的核心，主要由數(shù)據(jù)采集單元、碎片重組單元、連接跟蹤單元、協(xié)議識(shí)別單元、指紋識(shí)別單元、結(jié)果輸出單元組成。其中，指紋識(shí)別單元是被動(dòng)式漏洞發(fā)現(xiàn)和靜默式風(fēng)險(xiǎn)診斷的核心功能，通過分析各操作系統(tǒng)協(xié)議棧的細(xì)微差別，從而猜測(cè)通訊兩端的資產(chǎn)的操作系統(tǒng)類型，也包括應(yīng)用系統(tǒng)的旗標(biāo)識(shí)別，從而猜測(cè)通訊兩端的應(yīng)用程序類型。

1.2.3 智能化安全決策技術(shù)

安全策略是指在某個(gè)安全區(qū)域內(nèi)（安全區(qū)域是指屬于某個(gè)組織的一系列處理和通信資源）用于安全相關(guān)活動(dòng)的一套規(guī)則。安全策略由信息安全規(guī)劃?rùn)C(jī)構(gòu)來描述、實(shí)施或?qū)崿F(xiàn)，可幫助信息安全規(guī)劃?rùn)C(jī)構(gòu)做智能化安全策略決策。智能化安全策略決策技術(shù)是一種深度的關(guān)聯(lián)數(shù)據(jù)分析技術(shù)，可分為流量數(shù)據(jù)收集與維護(hù)、異常模式分析與判定、安全策略調(diào)整與實(shí)施3個(gè)過程。診斷平臺(tái)使用智能化安全策略決策技術(shù)，通過3個(gè)周而復(fù)始的階段來保證已部署的安全策略符合安全區(qū)域網(wǎng)絡(luò)環(huán)境，安全防護(hù)能力不會(huì)因?yàn)榫W(wǎng)絡(luò)環(huán)境的變化而降低。

1.2.4 通信內(nèi)容深度分析

診斷平臺(tái)使用全新設(shè)計(jì)優(yōu)化的通信內(nèi)容深度分析技術(shù)對(duì)數(shù)據(jù)流進(jìn)行協(xié)議判定和會(huì)話狀態(tài)控制。通信內(nèi)容深度分析技術(shù)具有協(xié)議分析能力強(qiáng)和高效的特點(diǎn)，能很好地滿足工控網(wǎng)絡(luò)高實(shí)時(shí)性要求。本診斷平臺(tái)采用的通信內(nèi)容分析技術(shù)獨(dú)到之處就在于不是從規(guī)則的角度來解析協(xié)議包，而是根據(jù)安全策略規(guī)則，構(gòu)建分析協(xié)議樹（見圖2）和規(guī)則的條件十字鏈表。分析引擎處理的對(duì)象不再是一條條規(guī)則，而是協(xié)議樹和條件十字鏈表。分析引擎解決了在安全策略處理中反復(fù)分析協(xié)議包的問題，提升了診斷平臺(tái)的處理能力。

2 診斷平臺(tái)設(shè)備及系統(tǒng)特點(diǎn)

圖2 安全策略協(xié)議樹

信息安全風(fēng)險(xiǎn)診斷平臺(tái)包括便攜式診斷設(shè)備和軟件系統(tǒng)。其中，便攜式診斷設(shè)備的硬件質(zhì)量輕，方便攜帶安裝；信息安全風(fēng)險(xiǎn)診斷軟件系統(tǒng)為B／S架構(gòu)，操作簡(jiǎn)單方便。

電力系統(tǒng)信息安全風(fēng)險(xiǎn)診斷平臺(tái)采用新一代掃描技術(shù)，包括資產(chǎn)發(fā)現(xiàn)技術(shù)、操作系統(tǒng)指紋識(shí)別技術(shù)、應(yīng)用識(shí)別技術(shù)、協(xié)議異常識(shí)別技術(shù)，通過將IP地址與發(fā)送端和接收端設(shè)備綁定，并根據(jù)提前預(yù)設(shè)的規(guī)則來采集數(shù)據(jù)包中的信息并進(jìn)行記錄，通過數(shù)據(jù)包中的信息判斷網(wǎng)絡(luò)資產(chǎn)對(duì)象是否存在風(fēng)險(xiǎn)。

該平臺(tái)具有以下4個(gè)創(chuàng)新點(diǎn)：診斷設(shè)備體積小，質(zhì)量輕，輕便易于攜帶；十字鏈表的規(guī)則匹配技術(shù)使平臺(tái)滿足工控網(wǎng)絡(luò)實(shí)時(shí)性要求；智能化的安全輔助決策技術(shù)保證已部署的安全策略符合安全區(qū)域網(wǎng)絡(luò)環(huán)境，提高診斷平臺(tái)的準(zhǔn)確性；被動(dòng)式的漏洞分析技術(shù)，判斷網(wǎng)絡(luò)資產(chǎn)對(duì)象是否存在風(fēng)險(xiǎn)，不影響網(wǎng)絡(luò)內(nèi)其他設(shè)備的正常運(yùn)轉(zhuǎn)，可防止危及安全的事故發(fā)生。

3 結(jié)束語

通過對(duì)信息安全風(fēng)險(xiǎn)診斷技術(shù)的研究，采用新一代的掃描技術(shù)和獨(dú)到的通信內(nèi)容分析技術(shù)，研制的便攜式診斷設(shè)備輕便易攜帶。信息安全風(fēng)險(xiǎn)診斷平臺(tái)可以快速、準(zhǔn)確地判斷信息網(wǎng)絡(luò)的安全狀況，提高網(wǎng)絡(luò)安全性，減少安全事故的發(fā)生，且不影響網(wǎng)絡(luò)傳輸性能，使工作效率大幅度提高。

該診斷平臺(tái)推廣后可使國(guó)網(wǎng)吉林電力的信息安全風(fēng)險(xiǎn)評(píng)估工作智能化、常態(tài)化，為定期的專項(xiàng)評(píng)估工作提供有效的數(shù)據(jù)依據(jù)與指導(dǎo)，有利于節(jié)省人力資源，提高檢查效率與報(bào)告權(quán)威性，規(guī)范化評(píng)估工作，對(duì)信息資產(chǎn)安全風(fēng)險(xiǎn)的全方位管控提供了一種切實(shí)可行的方法。

［1］溫大順.信息安全風(fēng)險(xiǎn)評(píng)估綜述［J］.中國(guó)科技信息，2013，14：81－81.

［2］黃歡，莊毅，許斌.基于免疫網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估模型［J］.計(jì)算機(jī)工程，2008，23：164－166.

［3］黃松，夏洪亞，談利群.基于模糊綜合的信息安全風(fēng)險(xiǎn)評(píng)估［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（1）：189－192.

［4］劉建武.信息安全風(fēng)險(xiǎn)評(píng)估模型及其算法研究［J］.企業(yè)技術(shù)開發(fā)，2011，30（16）：79－80.

［5］馬國(guó)慶.電力企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估模型研究［J］.價(jià)值工程，2008，27（8）：112－114.

［6］劉琰.改進(jìn)型信息安全風(fēng)險(xiǎn)評(píng)估模型研究［J］.長(zhǎng)春工程學(xué)院學(xué)報(bào)（自然科學(xué)版），2012，13（1）：123－125.