一种电力监控系统主机漏洞综合加固后的自评估量化方法

周宏伟，付宇泽，郭 鹏

（1.国网吉林省电力有限公司电力科学研究院，长春 130021；2.梅河口世基电力科技有限公司，吉林 通化 135022）

0 引言

随着计算机和网络通信技术在电力监控系统中的广泛应用，电力监控系统网络安全问题日益凸显［1］。利用漏洞开展网络攻击对电力监控系统的安全性具有严重威胁，因此对主机漏洞进行综合加固，并对综合加固后的危险度进行评估，对于提高网络安全性具有重要的意义。

按照电力监控系统网络安全防护的相关要求，运行单位应对本单位的电力监控系统定期组织开展自评估。然而在GB／T 30279—2020《信息安全技术网络安全漏洞分类划分指南》［2］发布前，第三方通用漏扫工具的主机漏洞危险度通常按照“等级划分要素”划分等级，这导致电力监控系统主机漏洞进行综合加固后，其等级划分要素未发生变化，其危险度评分也并未改变。

为进一步提高电力监控系统主机漏洞综合加固后危险度自评估的准确性，本文提出了基于环境因素量化赋值的电力监控系统主机漏洞综合加固后的自评估量化方法，充分考虑漏洞特征的环境因素三要素，编制了电力监控系统主机漏洞综合加固后环境因素量化赋值表。避免了通用漏扫工具在漏洞综合加固后危险度评分不变的不合理现象，实现了电力监控系统主机漏洞综合加固后的快速自评估。

1 网络安全漏洞分级

文献［2］是由全国信息安全标准化技术委员会对GB／T 33561—2017《信息安全技术安全漏洞分类》和GB／T 30279—2013《信息安全技术安全漏洞等级划分指南》的内容进行了合并修改，2020年11月19日发布并于2021年6月1日实施。修订后的文献［2］给出了网络安全漏洞的分类方式、分级指标及分级方法指南，适用于漏洞分类、漏洞危害等级评估等相关工作。网络安全漏洞分级方法修订为技术分级和综合分级［3］，其中技术分级用于从技术角度划分漏洞危害等级，考虑被利用性和影响度两个指标，反映特定产品或系统的漏洞危害程度；综合分级用于特定场景下划分漏洞危害等级，在技术分级基础上考虑了环境因素指标，反映在特定时期、特定环境下的危害程度。技术分级和综合分级均可按超危、高危、中危和低危4个等级划分。被利用性、影响度和环境因素3类指标，主要用于阐述漏洞特征的属性和赋值。其中，被利用性指标包括访问路径、触发要素、权限需求、交互条件，文献［2］中详细说明了每种指标不同的赋值条件；影响度指标包括保密性、完整性、可用性，每个指标的赋值均分为严重、一般、无；环境因素指标包括被利用成本、修复难度、可用影响范围，被利用成本、修复难度指标的赋值分为高、中、低，可用影响范围指标分为高、中、低、无。

首先，漏洞分级过程对指标进行量化赋值，即根据具体漏洞进行人工赋值；然后，进行指标分级，参照赋值结果依据被利用性和影响度进行技术分级，依据环境因素进行环境因素分级，其中环境因素指标分为1～9级；最后，根据文献［2］漏洞综合分级计算方法进行综合分级，按超危、高危、中危和低危分为4个等级。漏洞综合分级见表1。

表1 漏洞综合分级表

2 电力监控系统主机漏洞综合加固方法

电力监控系统主机发现漏洞后应及时加固，然而在实际操作中，经常面临操作系统即将更换、组件缺失、厂家售后支撑不足、检修工期临近、即将技术改造等情况，致使无法及时加固或只能部分加固主机本身。依据“安全分区、网络专用、横向隔离、纵向认证”的电力监控系统网络安全防护原则，考虑在电力监控系统主机所在的安全分区内，对主机漏洞进洞进行综合加固，即在安全分区的框架环境下，在防火墙、电力专用纵向加密认证装置、电力专用横向隔离装置、电力专用网关等网络安全装置上部署具有针对性的主机漏洞防护策略，解决主机无法及时升级加固的现实问题，以提高其网络安全性。

以漏洞CVE-1999-0526为例，说明本文如何进行漏洞综合加固。CVE-1999-0526漏洞可描述为X服务器的访问控件被关闭，任意用户可以连接到服务器上。如果允许从任意网际协议（internet protocol，IP）连接X服务器，那么攻击者可能登录X服务器并记录使用同一X服务器的其他X客户端的所有击键操作，导致用户的帐号、密码等敏感信息泄露。若对其进行漏洞综合加固，在考虑不能关闭dgm服务的情况下，可采用防火墙加入禁止访问电力监控系统主机6000／传输控制协议（transmission control protrols，TCP）的策略；若需要X服务运行，可考虑在电力专用横向隔离装置加入电力监控系统主机6000／TCP访问允许白名单策略，同时电力监控系统主机对Client端进行过滤设置，禁止对未设置IP提供访问服务等综合加固方法对电力监控系统主机漏洞进行加固。

3 电力监控系统主机漏洞综合加固后的环境因素量化方法

目前，电力监控系统中常用的漏扫工具均遵循通用安全漏洞评估系统（common vulnerability scoring system，CVSS）进行漏洞等级评分［4］，CVSS将每个漏洞量化为0～10的具体分值，威胁等级分为高、中、低档。在确定系统漏洞后，依据通用漏洞披露（common vulnerabilities＆exposures，CVE）编号可以查询该漏洞各要素评定情况及其对应的分值。然而CVSS采用的技术分级并未考虑环境因素进行综合分级，也尚未按照文献［2］规定的超危、高危、中危和低危4个等级划分危险度。当电力监控系统主机漏洞综合加固后，其环境因素发生变化，如果仍采用通用漏扫工具进行漏洞技术分级，其主机危险度评分将不会发生变化［5］。

因而，电力监控系统主机漏洞分级应充分考虑环境因素［6］。根据现有电力监控系统安全防护体系，按照文献［2］的建议，将环境因素中的被利用成本、修复难度、影响范围3个指标在网络安全防护框架环境下量化，制定电力监控系统主机漏洞综合加固后环境因素量化赋值，见表2。考虑到行业内电力监控系统的安全防护体系大致相同，本文设计了按照部署的网络安全装置类别进行快速分类，查找所对应的量化减分分类参考得出减分值，加和全部减分值计算出环境因素总减分值，然后参照表1修改环境因素分级，即可得出网络安全漏洞综合分级，实现电力监控系统主机漏洞综合加固后的快速自评估。

表2 电力监控系统主机漏洞综合加固后环境因素量化赋值

以漏洞CVE-2014-0160为例，说明本文方法在实践中如何使用。CVE-2014-0160是一个存在于心跳协议上的数据泄露漏洞，攻击者利用该漏洞可以远程读取服务器内存中64 KB的数据，获取内存中的敏感信息。CVE-2014-0160漏洞综合分级过程如下。

1）按照文献［2］表F中建议的被利用性赋值为9，影响度分级为4，通用漏扫软件将其技术分级为高危；按照文献［2］表F对环境因素赋值时，该漏洞被利用成本赋值为低、修复难度赋值为低、影响范围赋值为高，环境因素赋值分为7，按照表1，此时综合分级为高危。

2）由于漏洞加固时安全I区主机本身无法直接升级到最新安全版本，因此对主机实施综合加固防护策略，设置host限制客户端IP，仅允许指定IP访问，同时设置纵向加密装置为白名单规则，横向隔离装置为白名单规则（正向单向策略）。在综合加固防护策略实施之后，若不考虑环境因素变化，主机漏洞技术分级保持高危不变，环境因素赋值依然为7，综合分级仍然保持为高危，即主机漏洞综合加固后，危险度评分不变；若按表2考虑环境因素，得到量化减分值分别为－2和－3，总减分值为－5，环境因素赋值在电力监控系统安全防护框架环境下得分为2分，根据表1，可判定此时综合分级为低危。

4 结论

利用本文提出的基于环境因素量化赋值的电力监控系统主机漏洞综合加固后的自评估量化方法，根据综合加固策略对漏洞危险度进行分级，得出以下结论：

1）当电力监控系统主机无法及时加固时，可充分利用现有资源进行漏洞综合加固；

2）在综合加固后进行自评估时要充分考虑环境因素变化，进行综合分级，避免通用漏扫工具在漏洞综合加固后危险度评分不变的不合理现象；

3）电力监控系统主机进行漏洞综合加固后，可根据本文提供的电力监控系统环境因素量化赋值表快速计算出环境因素分级，可实现漏洞综合加固后的快速自评估，提高了电力监控系统网络安全水平。