陳穎聰

（廣東電網(wǎng)有限責(zé)任公司梅州供電局，廣東梅州514021）

基于貝爾-拉帕都拉模型的電力網(wǎng)絡(luò)安全防護(hù)指標(biāo)研究

陳穎聰

（廣東電網(wǎng)有限責(zé)任公司梅州供電局，廣東梅州514021）

針對(duì)某供電局信息網(wǎng)絡(luò)安全防護(hù)的要求，重點(diǎn)是安全區(qū)不同范圍的隔離與安全等劃分和最新出現(xiàn)的工業(yè)控制系統(tǒng)SCA?DA病毒防范，采用貝爾一拉帕都拉模型，并結(jié)合電力系統(tǒng)以工業(yè)控制系統(tǒng)為主的重要特點(diǎn)，從其存取方式、操作、授權(quán)狀態(tài)、授權(quán)管理、模型結(jié)構(gòu)和變換規(guī)則等方面進(jìn)行重點(diǎn)討論，并在此基礎(chǔ)上給出最終的信息網(wǎng)絡(luò)安全防護(hù)模型。

網(wǎng)絡(luò)安全；貝爾一拉帕都拉；授權(quán)管理；SCADA

0　引言

電力數(shù)據(jù)網(wǎng)隨著通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，其接入的端口越來(lái)越多，不乏極其重要的控制終端，隨著云計(jì)算技術(shù)帶來(lái)的變革，使得電力內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換愈加重要。而電力自動(dòng)化數(shù)據(jù)在提高傳輸效率過(guò)程中充分利用了INTER網(wǎng)和無(wú)線(xiàn)網(wǎng)，調(diào)度數(shù)據(jù)網(wǎng)和軟交換技術(shù)在電網(wǎng)的大量應(yīng)用，讓開(kāi)發(fā)和維護(hù)過(guò)程中的工作量得到減少的同時(shí)，也出現(xiàn)了更多新的問(wèn)題，內(nèi)部的信息在網(wǎng)絡(luò)傳播的過(guò)程中出現(xiàn)了泄漏和損失的情況，有時(shí)候還存在信息被人為入侵破壞的情況，使得電網(wǎng)存在失控、誤控的風(fēng)險(xiǎn)。因此加強(qiáng)信息安全防范工作，在電力自動(dòng)化通信技術(shù)發(fā)展的過(guò)程中是一項(xiàng)必不可少的重要任務(wù)。

1　電力防護(hù)網(wǎng)絡(luò)安全體系的概述

電網(wǎng)安全防護(hù)整個(gè)過(guò)程就相當(dāng)復(fù)雜，且極具系統(tǒng)化特點(diǎn)，其整個(gè)防護(hù)過(guò)程中將防護(hù)流程和管理技術(shù)通過(guò)先進(jìn)的防護(hù)技術(shù)結(jié)合為一個(gè)整體。一般情況下，此工程在模型建立的過(guò)程中都參照信息安全工程學(xué)建立模型的基本方法，安全工程在試驗(yàn)中實(shí)施項(xiàng)目的全過(guò)程都能夠得到信息安全工程模型，只是在實(shí)際防護(hù)過(guò)程中存在一系列差異，信息安全工程模型僅僅針對(duì)一些單一設(shè)備的安全設(shè)置，而電力通信防護(hù)體系的考慮更加系統(tǒng)化、復(fù)雜化。將這些因素歸結(jié)為一個(gè)整體，安全策略、安全管理、技術(shù)管理這三個(gè)方面是整體中包含的主要因素，也是信息安全模型構(gòu)成的主要部分。

2　貝爾-拉帕都拉模型

貝爾-拉帕都拉模型是在1970年，美國(guó)軍方提出的，用于解決分時(shí)系統(tǒng)的信息安全和保密問(wèn)題，這個(gè)模型主要用于防止機(jī)密信息被未經(jīng)授權(quán)的主體訪(fǎng)問(wèn)。使用貝爾-拉帕都拉模型系統(tǒng)向新系統(tǒng)用戶(hù)（主題）和數(shù)據(jù)（對(duì)象）做相應(yīng)的安全標(biāo)簽，因此，系統(tǒng)也稱(chēng)為多級(jí)安全系統(tǒng)、水平和模型用于限制對(duì)象訪(fǎng)問(wèn)操作的主題，該模型用于加強(qiáng)訪(fǎng)問(wèn)控制信息的機(jī)密性。

2.1貝爾-拉帕都拉模型的基本概念簡(jiǎn)介

貝爾-拉帕都拉模型中的實(shí)體系統(tǒng)分為兩類(lèi)，主體和對(duì)象。主體是活躍的和可以執(zhí)行的動(dòng)作元素。每一個(gè)研究對(duì)象都被分配一個(gè)允許操作范圍的機(jī)密性和完整性：最小/最大安全級(jí)別和最小/最大完整性級(jí)別，并將最低安全級(jí)別（最大的滿(mǎn)級(jí)）為主體的寫(xiě)作水平，將完整的最高機(jī)密級(jí)別（最低級(jí)別）為主體的閱讀水平。對(duì)象是一個(gè)被動(dòng)的信息元素包含容器，它不是抽象的數(shù)據(jù)庫(kù)結(jié)構(gòu)，但較低的操作系統(tǒng)在一個(gè)單一的文件。每一個(gè)對(duì)象分配一個(gè)惟一的標(biāo)識(shí)符和惟一獲得一個(gè)固定的水平和訪(fǎng)問(wèn)控制。

主體，可以進(jìn)一步細(xì)分為可信和不可信的問(wèn)題。可信主體的主要部分閱讀水平嚴(yán)格主導(dǎo)寫(xiě)作水平。訪(fǎng)問(wèn)不受信任的主體需要加強(qiáng)監(jiān)控。

對(duì)于系統(tǒng)元素密級(jí)，即安全級(jí)別，可定義為：L=（C，S），C為密級(jí)，S表示范圍（系統(tǒng)中非分層元素集合的一個(gè)子集）。密級(jí)分為絕密、機(jī)密、秘密和公開(kāi)四種，并滿(mǎn)足全序關(guān)系，即“＞”關(guān)系。安全級(jí)別將滿(mǎn)足偏序的格（稱(chēng)支配），即滿(mǎn)足“≥”關(guān)系。

設(shè)在安全級(jí)別L1=（C1，S1），L2=（C2，S2）下，L1支配L2成立（記L1≥L2），當(dāng)且僅當(dāng)C1≥C2和S2∈S1成立；類(lèi)似有L1＞L2成立，當(dāng)且僅當(dāng)C1＞C2和S1∈S2成立：L1＜L2成立，當(dāng)且僅當(dāng)C1＜C2和S2∈S1成立：L1=L2成立，當(dāng)且僅當(dāng)C1≤C2和S1∈S2成立；

如果對(duì)于給定的L1和L2，有L1≥L2與L1≤L2均不成立，則稱(chēng)L1與L2不可比。

貝爾-拉帕都拉模型對(duì)系統(tǒng)中的每個(gè)用戶(hù)（主體）分配一個(gè)安全級(jí)別，稱(chēng)為允許安全級(jí)，即對(duì)用戶(hù)的置信度；同時(shí)，模型對(duì)系統(tǒng)中的每個(gè)客體也分配一個(gè)安全級(jí)別，以反映信息的敏感度和對(duì)數(shù)據(jù)的損害度。

模型中主體對(duì)客體可執(zhí)行的存取方式有4種：

Read-only；

添加Append：

執(zhí)行Execute；

讀寫(xiě)Read-write。

貝爾-拉帕都拉模型支持基于隸屬關(guān)系的分散管理，即客體的建立者是客體的屬主。屬主有對(duì)此客體的存取權(quán)限，并可將這些權(quán)限授予/回收其他用戶(hù)，但隸屬關(guān)系不變。

2.2系統(tǒng)狀態(tài)

在貝爾-拉帕都拉模型中用四元組（b，M，f，H）來(lái)描述系統(tǒng)的狀態(tài)，其中b表示當(dāng)前存取集，形如＜主體，客體，存取方式＞，即＜S，O，m＞：M為存取矩陣，即M（S，O），用以描述每個(gè)主體以何方式存取客體；f是一個(gè)與系統(tǒng)中各主體和各客體及它們安全級(jí)別相聯(lián)系的級(jí)別函數(shù)，即f：0∩S→L，其中S，0，L分別是主體、客體、安全級(jí)別的集合；H為當(dāng)前客體的層次結(jié)構(gòu)，是一棵帶根有向樹(shù)，其節(jié)點(diǎn)與客體對(duì)應(yīng)，未激活或不可存取的客體則不包含在其中。

每個(gè)客體只有一個(gè)安全級(jí)別（建立時(shí)賦予的），記為fo；而每個(gè)主體可以有兩個(gè)安全級(jí)別：允許安全數(shù)fs和當(dāng)前安全數(shù)fc（可變的，注冊(cè)時(shí)使用），并且fs（s）≥fc（s）成立。

2.3貝爾-拉帕都拉模型的操作

（1）按要求的方式對(duì)客體的存取進(jìn)行初始化，實(shí)現(xiàn)在當(dāng)前存取集b中增加三元組；

（2）終止之前，get開(kāi)始的存取方式，實(shí)現(xiàn)在當(dāng)前存取集b中刪除三元組；

（3）授予一個(gè)主體對(duì)一個(gè)客體的某種存取方式，它修改存取矩陣M，即在存儲(chǔ)矩陣中插人一項(xiàng)；

（4）回收之前、由授予give開(kāi)始的存取方式，它修改存取矩陣M，即在存儲(chǔ)矩陣中刪除一項(xiàng)：它有強(qiáng)制release的作用，即刪除當(dāng)前存取集b的三元組（要求回收授權(quán)的主體對(duì)操作所涉及的客體的父節(jié)點(diǎn)應(yīng)具有存寫(xiě)權(quán)）；

（5）激活一個(gè)客體，將其變?yōu)榭纱嫒?，此操作修改?dāng)前客體的層次結(jié)構(gòu)H，即增加一節(jié)點(diǎn)；

（6）將客體狀態(tài)轉(zhuǎn)為未激活狀態(tài)，它修改當(dāng)前客體的層次結(jié)構(gòu)H，即刪除一節(jié)點(diǎn)及其后續(xù)節(jié)點(diǎn)，并修改當(dāng)前存取集b，使能存取該客體的主體的存取將終止；

（7）改變主體的當(dāng)前安全級(jí)別（在允許安全級(jí)別下），它修改級(jí)別函數(shù)f；

（8）修改客體（未激活的）的安全級(jí)別，并修改級(jí)別函數(shù)f（只能增加安全級(jí)別，但必須滿(mǎn)足f≥fo）。

2.4貝爾-拉帕都拉模型的規(guī)則

貝爾-拉帕都拉模型的具體安全規(guī)則有6條。

（1）簡(jiǎn)單安全規(guī)則ss

簡(jiǎn)單安全規(guī)則意味著只有當(dāng)一個(gè)主體的安全級(jí)別控制另一個(gè)對(duì)象的安全級(jí)別，這個(gè)對(duì)象的主體訪(fǎng)問(wèn)權(quán)限（只讀，讀，寫(xiě)）。如果“讀”和“寫(xiě)”存取方式的元素M（S，O）均有fs（s）≥fo（o），那么v=（b，M，f，H）滿(mǎn)足ss規(guī)則。簡(jiǎn)單安全規(guī)則的目的是為了防止主體閱讀比它允許對(duì)象中的信息安全級(jí)別的高水平的安全，防止身體從不允許直接訪(fǎng)問(wèn)的對(duì)象的訪(fǎng)問(wèn)級(jí)別信息。

（2）*規(guī)則

*規(guī)則的含義是：

1）只有當(dāng)對(duì)象的安全級(jí)別控制當(dāng)前的安全級(jí)別，對(duì)象的主題一個(gè)不可信的“添加”的權(quán)限：

2）只有當(dāng)對(duì)象的安全級(jí)別等于當(dāng)前安全級(jí)別的主體，一個(gè)不受信任的主題可以有“寫(xiě)”的權(quán)限對(duì)象；

3）當(dāng)對(duì)象的安全級(jí)別只控制主體的當(dāng)前的安全級(jí)別，一個(gè)不受信任的主題可以有“讀取”權(quán)限對(duì)象。

一個(gè)系統(tǒng)的狀態(tài)v=（b，M，f，H）滿(mǎn)足關(guān)規(guī)則，當(dāng)且僅當(dāng)對(duì)每個(gè)主體S∈S’（S是不可信主體的集合），且對(duì)所有客體O，有：

對(duì)不可信主體，規(guī)則包括了ss規(guī)則，其證明如下：

設(shè)S是不可信主體，O是一客體，m∈M［S，O］是滿(mǎn)足*規(guī)則的存取方式授權(quán)（從全部4種操作來(lái)考慮）。若m=append或m=execute，則m一定滿(mǎn)足ss規(guī)則，因?yàn)閟s規(guī)則沒(méi)有對(duì)其施加任何限制；此外若m=write，因?yàn)閙滿(mǎn)足*規(guī)則，所以fc（S’）= fo（O），又因fs（S’）≥fc（S’），所以fc（S’）≥fo（O），因此ss規(guī)則成立；最后，若m=read，因?yàn)閙滿(mǎn)足*規(guī)則，所以fs（S’）≥fo（O），又因?yàn)閒s（S’）≥fc（S’），所以fc（S’）≥fo（O），因此ss規(guī)則成立。

上述兩規(guī)則的適用范圍不同，ss規(guī)則要求對(duì)所有主體均成立，而*規(guī)則僅要求對(duì)不可信主體成立。

可以啟動(dòng)使用簡(jiǎn)單安全規(guī)則ss和*兩個(gè)基本規(guī)則：

1）沒(méi)有讀——主體只能讀安全級(jí)別由主要對(duì)象信息的安全級(jí)別；

2）沒(méi)有寫(xiě)下——主題只有主導(dǎo)主題的安全水平安全級(jí)別的對(duì)象寫(xiě)信息。

3）兩個(gè)基本規(guī)則反映了強(qiáng)制訪(fǎng)問(wèn)控制策略，它控制系統(tǒng)中信息的流動(dòng)，保證若達(dá)不到所需的允許安全級(jí)別，則不能訪(fǎng)問(wèn)它不應(yīng)該訪(fǎng)問(wèn)的信息。

（3）穩(wěn)定規(guī)則原則。穩(wěn)定規(guī)則的意思是不能被任何對(duì)象激活，它使系統(tǒng)穩(wěn)定。當(dāng)前版本允許一個(gè)主體可以修改、激活對(duì)象的類(lèi)別。

（4）獨(dú)立的安全規(guī)則。意義是主體只能在獲得所需的授權(quán)來(lái)執(zhí)行相應(yīng)的訪(fǎng)問(wèn)，即應(yīng)該有相應(yīng)的項(xiàng)目在訪(fǎng)問(wèn)矩陣。

當(dāng)且僅當(dāng)對(duì)所有主體S，客體O和存取方式m，有：

則稱(chēng)系統(tǒng)狀態(tài)滿(mǎn)足自主安全規(guī)則。

規(guī)則（1）-（4）為基本規(guī)則，滿(mǎn)足它們的系統(tǒng)稱(chēng)為是安全的。

（5）未激活客體的不可存取性規(guī)則。含義是一個(gè)主體不能讀取一個(gè)未激活客體的內(nèi)容。該規(guī)則的形式化表示：

系統(tǒng)狀態(tài)v=（b，M，f，H）滿(mǎn)足未激活客體的不可存取性規(guī)則，當(dāng)且僅當(dāng)對(duì)任何主體S，任何未激活客體O，成立：

（6）未激活客體的重寫(xiě)規(guī)則。每個(gè)新激活客體均被賦予一個(gè)獨(dú)立于前一次激活狀態(tài)的初始狀態(tài)，未激活客體的重寫(xiě)規(guī)則的含義是使每次激活時(shí)的初始狀態(tài)都不同。

3　基于因子分析的信息安全指標(biāo)選取

根據(jù)工作內(nèi)容，本文匯總了與信息安全相關(guān)的27個(gè)指標(biāo)作為原始輸入數(shù)據(jù)，對(duì)所有指標(biāo)進(jìn)行因素分析，如表1。采用因子分析法決定因素的抽取，并用最大變異法進(jìn)行轉(zhuǎn)軸，分析因素結(jié)構(gòu)。

在進(jìn)行因子分析之前，首先對(duì)數(shù)據(jù)進(jìn)行適合性檢驗(yàn)，如表2。要檢驗(yàn)樣本數(shù)據(jù)是否適合進(jìn)行因素分析，判斷的指標(biāo)主要有兩個(gè)，即KMO和Bartlett’s球形檢驗(yàn)的卡方值。當(dāng)KMO值愈大時(shí)，表示變量間的共同因素愈多，愈適合進(jìn)行因子分析，根據(jù)Kaiser（1974）的觀點(diǎn)，如果KMO的值小于0.5時(shí)，則不宜進(jìn)行因子分析。數(shù)據(jù)分析結(jié)果表明，此處KMO值為0.923，適合進(jìn)行因子分析。此外，Bartlett’s球形檢驗(yàn)的卡方值為5 361.878（自由度為351），Sig.小于0.001達(dá)顯著，代表母群體的相關(guān)矩陣間有共同因素存在，適合進(jìn)行因子分析。

表1　信息安全相關(guān)指標(biāo)

表2　KMO及Bartlett's檢驗(yàn)

轉(zhuǎn)軸后，被所有共同因素解釋的總變異量不變（特征值總和不變），轉(zhuǎn)軸前后5個(gè)共同因素可解釋的總變異量為86.43%。因子分析的結(jié)果見(jiàn)表3。

表3　轉(zhuǎn)軸后各因素方差貢獻(xiàn)率

由表4中對(duì)網(wǎng)絡(luò)信息安全的指標(biāo)體系在因子分析下的結(jié)果，命名如下。

第一因子為整體安全隱患，包含指標(biāo)：信息系統(tǒng)總體架構(gòu)、服務(wù)區(qū)安全、完整性破壞；第二因子為主機(jī)安全隱患，包含指標(biāo)：操作系統(tǒng)安全、網(wǎng)絡(luò)出口安全、病毒防護(hù)、病毒定義庫(kù)升級(jí)、Windows系統(tǒng)補(bǔ)??；第三因子為網(wǎng)絡(luò)安全隱患，包含指標(biāo)：網(wǎng)絡(luò)線(xiàn)路安全、入侵監(jiān)測(cè)、管理員口令設(shè)置、網(wǎng)絡(luò)管理工具、欺騙、偽裝；第四因子為應(yīng)用安全隱患，包含指標(biāo)：?jiǎn)⒂梅?wù)數(shù)量、軟件補(bǔ)丁、旁路控制、信息泄漏、拒絕服務(wù)、竊聽(tīng)；第五因子管理安全隱患，安全隔離、安全防護(hù)流程、違反授權(quán)、工作人員的隨意行為、攔截/篡改、非法使用。

4　結(jié)論

本文根據(jù)電力信息網(wǎng)絡(luò)安全保護(hù)的需要，探討了其授權(quán)、訪(fǎng)問(wèn)模式、操作、授權(quán)管理、模型結(jié)構(gòu)和轉(zhuǎn)換規(guī)則。重點(diǎn)是標(biāo)準(zhǔn)化的安全、路由和工業(yè)控制系統(tǒng)防病毒問(wèn)題。同時(shí)，考慮各種信息安全模型的特點(diǎn)，因此選擇基于貝爾-拉帕都拉安全保護(hù)信息安全模型，以適應(yīng)供電網(wǎng)絡(luò)的一些特性需求，形成了五大安全因子：整體安全隱患、主機(jī)安全隱患、網(wǎng)絡(luò)安全隱患、應(yīng)用安全隱患、管理安全隱患。

［1］陳晰.電力系統(tǒng)穩(wěn)態(tài)分析［M］.北京：中國(guó)電力出版社，1996.

［2］張煥國(guó).計(jì)算機(jī)安全保密技術(shù)［M］.北京：機(jī)械工業(yè)出版社，1995.

［3］李海泉，李健.計(jì)算機(jī)系統(tǒng)安全技術(shù)［M］.北京：人民郵電出版社，2001.

［4］劉軍，陶樹(shù)平.SYBASE數(shù)據(jù)庫(kù)的安全及安全的應(yīng)用程序設(shè)計(jì)［J］.計(jì)算機(jī)工程與應(yīng)用，1998（4）：3-5.

［5］秦拯.一種新型的入侵檢測(cè)模型的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)科學(xué)，2001，28（11）：96-99.

［6］白小冰.基于人工免疫模型的網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)［J］.計(jì)算機(jī)工程與應(yīng)用，2002，38（9）：133-135.

［7］戴英俠，連一峰.系統(tǒng)安全與入侵檢測(cè)［M］.重慶：重慶大學(xué)出版社，2002.

Electricity Network Security Index Based on Bell-La Madura Model

CHEN Ying-cong
（Meizhou Power Supply Bureau，Meizhou514021，China）

According to power supply bureau network security requirements，focusing on a range of different areas such as security and safety division of the isolation and the latest in SCADA industrial control system to prevent the virus，using Bell-La Madura model，combined with the power system for industrial control the important feature of the system is based，focused discussion from the aspect of access methods，operations，authorization status，authorization management，model structure and transformation rules，and give the final network security model based on this.

network security；Bell-La Madura；authorization management；SCADA

TM73

A文獻(xiàn)標(biāo)識(shí)碼：1009-9492（2015）12-0033-05

10.3969/j.issn.1009-9492.2015.12.009

陳穎聰，男，1983年生，廣東梅州人，碩士，工程師。研究領(lǐng)域：電力信息技術(shù)。

（編輯：阮毅）

2015-10-31