基于纵深防御的电力信息安全监测系统设计

黄祖光，刘中华，徐会咏，何彦君，胡晓峰

（1.国家电投集团江西电力有限公司分宜发电厂，江西 新余 338000；2.国核自仪系统工程有限公司，上海 200241）

电网是国民经济和社会发展的重要基础设施，尽管入侵检测系统IDS、电力专用安全隔离装置、加密认证装置等设备在使用中起到了一定的作用，但也存在着一些问题，如不能及时准确地发现安全事故[1]；在攻击中存在未知病毒和假阳性，无法实时自动审核多安全系统日志，造成很多安全事故未能被及时发现，进而不能准确地定位安全事件[2]。每一起安全事件都是孤立的，它们之间没有形成良好的复合关系，事件的发生常常无法找到真正的问题所在，不能及时跟踪和记录整个安全事件处理过程[3]。为解决以上问题，必须实现对各种网络和系统的安全资源进行集中监控。针对这一问题，提出了一种基于纵深防御的电力信息安全监测系统。该系统功能定位准确，信息系统安全水平高，紧密结合实际，经过有益的探索和大胆的实践，取得了预期效果。

1 系统硬件结构设计

从现代信息安全的角度来看，信息安全系统的发展经历了3 个阶段：第一，通信安全时代，通信以点到点的方式为主；第二，信息系统安全时代，即以计算机为代表的通信网络，计算机的广泛使用和计算机网络的迅速发展是这一时代的重要特征；第三，信息安全时代，互联网在全球范围内流行。基于纵深防御的电力信息安全监测系统硬件结构如图1 所示。

图1 系统硬件结构

由图1 可知，信息安全是指保证信息系统的机密性、完整性、可用性、可识别性和不可抵赖性[4-6]。具有综合的保护、检测和响应功能，可实现信息系统的恢复。它的安全属性主要有针对性、多样性、综合性、深刻性、严密性和循环性[7-9]。

1.1 事件生成器

事件生成器主要用于直接或通过预先筛选(基于安全策略、IDS 探头等)，将原始事件发送至事件收集格式化器[10-11]。

1.2 事件收集格式化器

事件收集格式化器通过协议收集原始消息并将其发送给事件转发器，用于确定事件源，向相应的应用程序代理转发原始消息；agent 用来过滤和规范原始消息的不同格式，结合不同产品定义中的不同级别警告，生成统一格式的消息，并在事件库中存储结果。

1.3 关联分析引擎

关联分析引擎结构如图2 所示。

图2 关联分析引擎结构

由图2 可知，针对复杂消息序列关联分析引擎是主要任务，例如结构分析、功能分析、行为分析等。利用特征匹配和异常分析等模式分析方法来判断安全事件，为降低虚警率和漏警率采取了相应措施，这样可以更准确地发现安全事故发生的真正原因[12-14]。

1.4 监控模块

以TMS320LF2812DSP 为监控软件，该软件具有优良的远控性能，只需输入对方IP 和控制密码即可实现远程监控。通过UDP 协议，软件可以渗透到内部网络[15]。在无端口映射下，用户可以连接到任何能够访问Internet 的远程计算机，实现远程办公和远程管理。监控模块结构如图3 所示。

图3 监控模块结构

由图3 可知，监控模块可以实现隐蔽监控，隐藏监控端被监控时无法发现的网络程序图标和相关提示。通过远程存取桌面，同时查看信息屏幕，可以像远程计算机一样使用本地鼠标和键盘执行相同的操作。远程电脑屏幕能拍照和录音[16]；操控员只需按功能键即可切换身份进行远程电脑维护、远程技术支持、远程协助等。远程文件管理包括远程上传、文件下载、远程修改、文件运行、实现双方电脑资源共享和远程办公。

2 系统软件部分设计

2.1 纵深防御模式设定

随着信息安全的不断发展，信息系统面临着各种各样的威胁，并日益严峻，信息系统经常会受到各种各样的攻击，信息安全威胁类型如表1 所示。

表1 信息安全威胁类型

根据表1 所列5 种威胁的攻击方式，信息系统可能受到不同程度的破坏和影响。即被动防御与主动防御相结合，从静态防御向动态防御转变，形成多层次多手段防御体系。纵深防御模式如图4 所示。

图4 纵深防御模式

由图4 可知，为了获得并部署正确的安全技术，每个单位都必须制定有效的策略和程序来获得这些技术。当采用这些安全措施时，信息系统必须对其进行风险评估，并根据评估结果制定相应的安全策略，从而采取相应的控制措施。信息系统的整个生命周期，都是深度防御战略作战要素的核心。

2.2 边界隔离

采用防火墙和单向网关来检查消息，并对网络流量中常见的协议进行深入过滤和分析。利用白名单和规则匹配方式来保护系统，工业控制系统的网络只能被可信设备访问，并且只能将可信数据上传到网络。

边界隔离流程如下：

step1：在添加条件框中输入白名单与规则匹配的内容；

step2：添加条件后，可以执行正则校验；

step3：在校验对话框中，确认正则表达式，并输入校验内容；

step4：校验后，验证指定内容与设置内容表达式是否匹配；

step5：编写条件运算逻辑表达式，设定组合运算关系如下：

式中，ζ表示与；|表示或；～表示非。通过上述表达式，确定两个条件1 和2，如果1ζ2，则说明两个关键字条件都需满足才能命中规则，并触发边界隔离机制。

2.3 终端加固

攻击挖掘引擎采用基于网络协议的模糊测试技术，仿真智能变电站信息系统与控制系统相应的通信协议发送机制，向信息系统或控制系统发送突变试验消息，通过监控被测者的响应信息，找出错误，从而发现智能变电站信息系统或控制系统存在的隐患，其流程如图5 所示。

图5 漏洞扫描流程

由图5 可知，由于电力信息系统的协议消息不仅包含字符串，还包含大量的整数和浮点数，因此可以通过改变消息中任意或多个字段来获取异常数据。可以通过使用随机数或异常策略表的方法，根据信息改变任意字段的内容，生成异常测试用例。协议中，测试用例集包含了大量的随机或经验性测试用例，在此基础上，采用一种基于遗传算法的启发式测试用例生成算法过滤测试用例集。GA的形式描述如下：

式（2）中，n表示测试用例种类；T表示测试用例个体；P、R、M分别表示遗传算法中的基因选择、交叉和变异操作；F表示评价个体适应度函数；τ表示遗传算法终止条件。

GA的核心是选择合适的适应度函数f，并根据测试用例和经验或模板用例之间的汉明距离构造一个适应度函数，以筛选测试用例，提高漏洞检测的概率。

3 实 验

3.1 实验环境设置

以2019 年12 月电力信息安全系统中的立足点为例，该系统被网络攻击，导致电力配送公司关闭，出现了22 500 家用户在寒冷的冬季无电可用。电力系统工作环境如图6 所示。

图6 电力系统工作环境

3.2 实验结果与分析

分别使用入侵检测系统、电力专用安全隔离装置、加密认证装置和基于纵深防御系统对比、分析信息安全监测情况，在被动攻击和主动攻击两种情况下的对比内容如下所示。

3.2.1 被动攻击

被动攻击情况下，使用4 种系统的安全监控效果对比结果如图7 所示。

图7 被动攻击情况下4种系统安全监控效果对比结果

由图7 可知，使用入侵检测系统、电力专用安全隔离装置攻击点捕捉精度始终低于60%，说明使用这两种装置电力信息安全监测系统监控效果不理想；使用加密认证装置攻击点捕捉精度在60%附近波动，而使用基于纵深防御系统攻击点捕捉精度高于80%，具有良好监控效果。

3.2.2 主动攻击

主动攻击情况下，使用4 种系统的安全监控效果对比结果如图8 所示。

图8 主动攻击情况下4种系统安全监控效果对比结果

由图8 可知，使用入侵检测系统、电力专用安全隔离装置攻击点捕捉精度在40%～70%范围内波动；使用加密认证装置攻击点捕捉精度在80%附近波动，使用基于纵深防御系统攻击点捕捉精度高于90%，具有良好监控效果。

4 结束语

根据电力行业信息系统安全等级保护的基本要求，使安全技术与安全管理有机结合，通过相关性分析，找到描述安全事件的系统属性和网络行为的相关特征，排除无意义信息，及时、快速地发现安全问题，提高了应急反应能力和安全事件处理能力，使安全防护系统的效率最大化。