基于縱深防御的電力信息安全監(jiān)測系統(tǒng)設(shè)計

黃祖光，劉中華，徐會詠，何彥君，胡曉峰

（1.國家電投集團江西電力有限公司分宜發(fā)電廠，江西 新余 338000；2.國核自儀系統(tǒng)工程有限公司，上海 200241）

電網(wǎng)是國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設(shè)施，盡管入侵檢測系統(tǒng)IDS、電力專用安全隔離裝置、加密認(rèn)證裝置等設(shè)備在使用中起到了一定的作用，但也存在著一些問題，如不能及時準(zhǔn)確地發(fā)現(xiàn)安全事故[1]；在攻擊中存在未知病毒和假陽性，無法實時自動審核多安全系統(tǒng)日志，造成很多安全事故未能被及時發(fā)現(xiàn)，進而不能準(zhǔn)確地定位安全事件[2]。每一起安全事件都是孤立的，它們之間沒有形成良好的復(fù)合關(guān)系，事件的發(fā)生常常無法找到真正的問題所在，不能及時跟蹤和記錄整個安全事件處理過程[3]。為解決以上問題，必須實現(xiàn)對各種網(wǎng)絡(luò)和系統(tǒng)的安全資源進行集中監(jiān)控。針對這一問題，提出了一種基于縱深防御的電力信息安全監(jiān)測系統(tǒng)。該系統(tǒng)功能定位準(zhǔn)確，信息系統(tǒng)安全水平高，緊密結(jié)合實際，經(jīng)過有益的探索和大膽的實踐，取得了預(yù)期效果。

1 系統(tǒng)硬件結(jié)構(gòu)設(shè)計

從現(xiàn)代信息安全的角度來看，信息安全系統(tǒng)的發(fā)展經(jīng)歷了3 個階段：第一，通信安全時代，通信以點到點的方式為主；第二，信息系統(tǒng)安全時代，即以計算機為代表的通信網(wǎng)絡(luò)，計算機的廣泛使用和計算機網(wǎng)絡(luò)的迅速發(fā)展是這一時代的重要特征；第三，信息安全時代，互聯(lián)網(wǎng)在全球范圍內(nèi)流行。基于縱深防御的電力信息安全監(jiān)測系統(tǒng)硬件結(jié)構(gòu)如圖1 所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

由圖1 可知，信息安全是指保證信息系統(tǒng)的機密性、完整性、可用性、可識別性和不可抵賴性[4-6]。具有綜合的保護、檢測和響應(yīng)功能，可實現(xiàn)信息系統(tǒng)的恢復(fù)。它的安全屬性主要有針對性、多樣性、綜合性、深刻性、嚴(yán)密性和循環(huán)性[7-9]。

1.1 事件生成器

事件生成器主要用于直接或通過預(yù)先篩選(基于安全策略、IDS 探頭等)，將原始事件發(fā)送至事件收集格式化器[10-11]。

1.2 事件收集格式化器

事件收集格式化器通過協(xié)議收集原始消息并將其發(fā)送給事件轉(zhuǎn)發(fā)器，用于確定事件源，向相應(yīng)的應(yīng)用程序代理轉(zhuǎn)發(fā)原始消息；agent 用來過濾和規(guī)范原始消息的不同格式，結(jié)合不同產(chǎn)品定義中的不同級別警告，生成統(tǒng)一格式的消息，并在事件庫中存儲結(jié)果。

1.3 關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析引擎結(jié)構(gòu)如圖2 所示。

圖2 關(guān)聯(lián)分析引擎結(jié)構(gòu)

由圖2 可知，針對復(fù)雜消息序列關(guān)聯(lián)分析引擎是主要任務(wù)，例如結(jié)構(gòu)分析、功能分析、行為分析等。利用特征匹配和異常分析等模式分析方法來判斷安全事件，為降低虛警率和漏警率采取了相應(yīng)措施，這樣可以更準(zhǔn)確地發(fā)現(xiàn)安全事故發(fā)生的真正原因[12-14]。

1.4 監(jiān)控模塊

以TMS320LF2812DSP 為監(jiān)控軟件，該軟件具有優(yōu)良的遠(yuǎn)控性能，只需輸入對方IP 和控制密碼即可實現(xiàn)遠(yuǎn)程監(jiān)控。通過UDP 協(xié)議，軟件可以滲透到內(nèi)部網(wǎng)絡(luò)[15]。在無端口映射下，用戶可以連接到任何能夠訪問Internet 的遠(yuǎn)程計算機，實現(xiàn)遠(yuǎn)程辦公和遠(yuǎn)程管理。監(jiān)控模塊結(jié)構(gòu)如圖3 所示。

圖3 監(jiān)控模塊結(jié)構(gòu)

由圖3 可知，監(jiān)控模塊可以實現(xiàn)隱蔽監(jiān)控，隱藏監(jiān)控端被監(jiān)控時無法發(fā)現(xiàn)的網(wǎng)絡(luò)程序圖標(biāo)和相關(guān)提示。通過遠(yuǎn)程存取桌面，同時查看信息屏幕，可以像遠(yuǎn)程計算機一樣使用本地鼠標(biāo)和鍵盤執(zhí)行相同的操作。遠(yuǎn)程電腦屏幕能拍照和錄音[16]；操控員只需按功能鍵即可切換身份進行遠(yuǎn)程電腦維護、遠(yuǎn)程技術(shù)支持、遠(yuǎn)程協(xié)助等。遠(yuǎn)程文件管理包括遠(yuǎn)程上傳、文件下載、遠(yuǎn)程修改、文件運行、實現(xiàn)雙方電腦資源共享和遠(yuǎn)程辦公。

2 系統(tǒng)軟件部分設(shè)計

2.1 縱深防御模式設(shè)定

隨著信息安全的不斷發(fā)展，信息系統(tǒng)面臨著各種各樣的威脅，并日益嚴(yán)峻，信息系統(tǒng)經(jīng)常會受到各種各樣的攻擊，信息安全威脅類型如表1 所示。

表1 信息安全威脅類型

根據(jù)表1 所列5 種威脅的攻擊方式，信息系統(tǒng)可能受到不同程度的破壞和影響。即被動防御與主動防御相結(jié)合，從靜態(tài)防御向動態(tài)防御轉(zhuǎn)變，形成多層次多手段防御體系?？v深防御模式如圖4 所示。

圖4 縱深防御模式

由圖4 可知，為了獲得并部署正確的安全技術(shù)，每個單位都必須制定有效的策略和程序來獲得這些技術(shù)。當(dāng)采用這些安全措施時，信息系統(tǒng)必須對其進行風(fēng)險評估，并根據(jù)評估結(jié)果制定相應(yīng)的安全策略，從而采取相應(yīng)的控制措施。信息系統(tǒng)的整個生命周期，都是深度防御戰(zhàn)略作戰(zhàn)要素的核心。

2.2 邊界隔離

采用防火墻和單向網(wǎng)關(guān)來檢查消息，并對網(wǎng)絡(luò)流量中常見的協(xié)議進行深入過濾和分析。利用白名單和規(guī)則匹配方式來保護系統(tǒng)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)只能被可信設(shè)備訪問，并且只能將可信數(shù)據(jù)上傳到網(wǎng)絡(luò)。

邊界隔離流程如下：

step1：在添加條件框中輸入白名單與規(guī)則匹配的內(nèi)容；

step2：添加條件后，可以執(zhí)行正則校驗；

step3：在校驗對話框中，確認(rèn)正則表達式，并輸入校驗內(nèi)容；

step4：校驗后，驗證指定內(nèi)容與設(shè)置內(nèi)容表達式是否匹配；

step5：編寫條件運算邏輯表達式，設(shè)定組合運算關(guān)系如下：

式中，ζ表示與；|表示或；～表示非。通過上述表達式，確定兩個條件1 和2，如果1ζ2，則說明兩個關(guān)鍵字條件都需滿足才能命中規(guī)則，并觸發(fā)邊界隔離機制。

2.3 終端加固

攻擊挖掘引擎采用基于網(wǎng)絡(luò)協(xié)議的模糊測試技術(shù)，仿真智能變電站信息系統(tǒng)與控制系統(tǒng)相應(yīng)的通信協(xié)議發(fā)送機制，向信息系統(tǒng)或控制系統(tǒng)發(fā)送突變試驗消息，通過監(jiān)控被測者的響應(yīng)信息，找出錯誤，從而發(fā)現(xiàn)智能變電站信息系統(tǒng)或控制系統(tǒng)存在的隱患，其流程如圖5 所示。

圖5 漏洞掃描流程

由圖5 可知，由于電力信息系統(tǒng)的協(xié)議消息不僅包含字符串，還包含大量的整數(shù)和浮點數(shù)，因此可以通過改變消息中任意或多個字段來獲取異常數(shù)據(jù)。可以通過使用隨機數(shù)或異常策略表的方法，根據(jù)信息改變?nèi)我庾侄蔚膬?nèi)容，生成異常測試用例。協(xié)議中，測試用例集包含了大量的隨機或經(jīng)驗性測試用例，在此基礎(chǔ)上，采用一種基于遺傳算法的啟發(fā)式測試用例生成算法過濾測試用例集。GA的形式描述如下：

式（2）中，n表示測試用例種類；T表示測試用例個體；P、R、M分別表示遺傳算法中的基因選擇、交叉和變異操作；F表示評價個體適應(yīng)度函數(shù)；τ表示遺傳算法終止條件。

GA的核心是選擇合適的適應(yīng)度函數(shù)f，并根據(jù)測試用例和經(jīng)驗或模板用例之間的漢明距離構(gòu)造一個適應(yīng)度函數(shù)，以篩選測試用例，提高漏洞檢測的概率。

3 實 驗

3.1 實驗環(huán)境設(shè)置

以2019 年12 月電力信息安全系統(tǒng)中的立足點為例，該系統(tǒng)被網(wǎng)絡(luò)攻擊，導(dǎo)致電力配送公司關(guān)閉，出現(xiàn)了22 500 家用戶在寒冷的冬季無電可用。電力系統(tǒng)工作環(huán)境如圖6 所示。

圖6 電力系統(tǒng)工作環(huán)境

3.2 實驗結(jié)果與分析

分別使用入侵檢測系統(tǒng)、電力專用安全隔離裝置、加密認(rèn)證裝置和基于縱深防御系統(tǒng)對比、分析信息安全監(jiān)測情況，在被動攻擊和主動攻擊兩種情況下的對比內(nèi)容如下所示。

3.2.1 被動攻擊

被動攻擊情況下，使用4 種系統(tǒng)的安全監(jiān)控效果對比結(jié)果如圖7 所示。

圖7 被動攻擊情況下4種系統(tǒng)安全監(jiān)控效果對比結(jié)果

由圖7 可知，使用入侵檢測系統(tǒng)、電力專用安全隔離裝置攻擊點捕捉精度始終低于60%，說明使用這兩種裝置電力信息安全監(jiān)測系統(tǒng)監(jiān)控效果不理想；使用加密認(rèn)證裝置攻擊點捕捉精度在60%附近波動，而使用基于縱深防御系統(tǒng)攻擊點捕捉精度高于80%，具有良好監(jiān)控效果。

3.2.2 主動攻擊

主動攻擊情況下，使用4 種系統(tǒng)的安全監(jiān)控效果對比結(jié)果如圖8 所示。

圖8 主動攻擊情況下4種系統(tǒng)安全監(jiān)控效果對比結(jié)果

由圖8 可知，使用入侵檢測系統(tǒng)、電力專用安全隔離裝置攻擊點捕捉精度在40%～70%范圍內(nèi)波動；使用加密認(rèn)證裝置攻擊點捕捉精度在80%附近波動，使用基于縱深防御系統(tǒng)攻擊點捕捉精度高于90%，具有良好監(jiān)控效果。

4 結(jié)束語

根據(jù)電力行業(yè)信息系統(tǒng)安全等級保護的基本要求，使安全技術(shù)與安全管理有機結(jié)合，通過相關(guān)性分析，找到描述安全事件的系統(tǒng)屬性和網(wǎng)絡(luò)行為的相關(guān)特征，排除無意義信息，及時、快速地發(fā)現(xiàn)安全問題，提高了應(yīng)急反應(yīng)能力和安全事件處理能力，使安全防護系統(tǒng)的效率最大化。