E-P2DR3F安全防御模型在電力系統(tǒng)中的應(yīng)用

E-P2DR3F安全防御模型在電力系統(tǒng)中的應(yīng)用 梁雅元1，李偉寧1，徐暉1，梁承東2(海南電網(wǎng)公司信息部1廣東省南方信息安全等級保護(hù)服務(wù)中心2)摘要：為了保證電力信息系統(tǒng)的安全性，防止因安全漏洞引起的各種經(jīng)濟(jì)損失，提出了一種基于P2DR2改進(jìn)的E-P2DR3F安全防御模型；該模型在傳統(tǒng)的P2DR2安全模型的基礎(chǔ)之上增加了報告模塊、數(shù)據(jù)融合模塊，這樣使系統(tǒng)安全性與檢測維護(hù)功能更加完善；其次添加了一種基于信息熵的風(fēng)險評估機(jī)制，通過對風(fēng)險評估的結(jié)果進(jìn)行研究與分析，可以為系統(tǒng)制定出更加可靠的安全性策略提供支持性數(shù)據(jù)信息，從而從源頭保證了系統(tǒng)整體安全性；最后將E-P2DR3F安全防御模型應(yīng)用于電力系統(tǒng)中，提出了電力系統(tǒng)安全體系結(jié)構(gòu)的構(gòu)建方案。關(guān)鍵字：E-P2DR3F；報告模塊；數(shù)據(jù)融合；信息熵；電力系統(tǒng)中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A0引言隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展以及互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問題日益突出，由于網(wǎng)絡(luò)的開放性，其從出現(xiàn)就受到各種方面形形色色的威脅和攻擊。所以，一個高效性的安全防御系統(tǒng)的搭建就顯得非常重要。在電力領(lǐng)域中，由于其行業(yè)工作性質(zhì)的特殊性，對于加強(qiáng)我國電力信息系統(tǒng)安全性，全面規(guī)范電力信息系統(tǒng)的安全管理體系將變得十分必要。傳統(tǒng)的P2DR模型［1］以及P2DR2模型［2］已經(jīng)廣泛使用于電力信息系統(tǒng)中,本文將對P2DR2安全防御模型做出進(jìn)一步改進(jìn)，并引入一種信息熵對系統(tǒng)進(jìn)行風(fēng)險評估，得到一種優(yōu)化的E-P2DR3F安全防御模型，并通過該模型對電力信息系統(tǒng)進(jìn)行更深入的研究與分析，使電力信息系統(tǒng)的安全性達(dá)到最大化。1P2DR、P2DR2安全防御模型簡介P2DR安全防御模型是一種基于閉環(huán)控制的動態(tài)網(wǎng)絡(luò)安全理論模型，為了構(gòu)造多層次、全方位以及立體的區(qū)域網(wǎng)絡(luò)安全環(huán)境，P2DR安全防御模型包含了策略(Policy)、防護(hù)(Protection)、檢測(Detection)以及響應(yīng)(Response)四個組成環(huán)節(jié)，后來隨著人們對業(yè)務(wù)連續(xù)性以及災(zāi)難恢復(fù)功能的日益關(guān)注。所以，將恢復(fù)(Restore)加入了模型之中，提出了P2DR2安全防御模型，如圖1所示。下面就對該模型做一下簡略介紹。策略(Policy)是整個動態(tài)網(wǎng)絡(luò)安全理論模型中的最重要部分，主要定義系統(tǒng)的監(jiān)控周期、確立系統(tǒng)恢復(fù)機(jī)制、制定網(wǎng)絡(luò)訪問控制策略以及明確系統(tǒng)的總體安全規(guī)劃和原則等。所以，整個安全防御模型的其他部分都依賴于策略。防護(hù)(Protection)是充分利用現(xiàn)有資源，如防火墻系統(tǒng)、入侵檢測系統(tǒng)、蜜罐系統(tǒng)［3］等，采用各種信息安全技術(shù)與方式來保證信息系統(tǒng)的完整性，可用性，安全性。檢測①etection)是系統(tǒng)實(shí)施響應(yīng)環(huán)節(jié)的重要依據(jù)，通過不斷檢測信息系統(tǒng)狀態(tài)，來查找信息系統(tǒng)中的各種風(fēng)險與威脅行為。如使用防火墻系統(tǒng)具有的入侵檢測技術(shù)［4］或安全審計、系統(tǒng)掃描工具，配合其他專項(xiàng)檢測軟件，建立訪問控制子系統(tǒng)ACS，從而實(shí)現(xiàn)信息系統(tǒng)的入侵檢測與日志記錄等功能，以有益于發(fā)現(xiàn)透過ACS的威脅系統(tǒng)的攻擊行為。響應(yīng)(Response)主要是對于那些通過系統(tǒng)檢測之后的可疑性威脅行為作出正確與及時響應(yīng)。實(shí)時性是安全響應(yīng)要求之一，當(dāng)信息系統(tǒng)遭受外界入侵者的威脅與攻擊時，能夠第一時間采取響應(yīng)措施，例如監(jiān)控威脅攻擊行為、調(diào)整信息系統(tǒng)安全等級級別、杜絕內(nèi)外網(wǎng)絡(luò)鏈接等?；謴?fù)(Restore)又稱為災(zāi)難備份(Recovery)機(jī)制，指的是當(dāng)信息系統(tǒng)受到攻擊或破壞，面臨系統(tǒng)癱瘓時，通過對系統(tǒng)文件、功能以及數(shù)據(jù)等重要信息進(jìn)行恢復(fù)、備份，從而使信息系統(tǒng)恢復(fù)到正常運(yùn)行狀態(tài)。盡管傳統(tǒng)的安全防御模型在現(xiàn)有的網(wǎng)絡(luò)或信息系統(tǒng)安全結(jié)構(gòu)體系中應(yīng)用相當(dāng)比較廣泛，然而也存在眾多平庸之處，需要改進(jìn)作者簡介：梁雅元(1973-)，男，海南，工程師，主要研究方向：信息安全；李偉寧(1985-)，男，寧夏，助理工程師，主要研究方向：信息安全；徐暉(1971-)，男，江蘇，高級工程師，主要研究方向：電力信息化；梁承東(1975-)，男，廣東，高級工程師，主要研究方向：信息安全。與擴(kuò)展。以P2DR2安全防御模型為例。首先，安全策略部署之前應(yīng)該添加一個全面的、規(guī)范的風(fēng)險評估機(jī)制；其次，該模型應(yīng)該完善安全審計機(jī)制，為系統(tǒng)安全人員提供一種查看安全事務(wù)記錄過程的功能；最后，面對海量的、分散的數(shù)據(jù)信息、行為或事件，該模型應(yīng)該結(jié)合數(shù)據(jù)信息融合思想，以利于數(shù)據(jù)信息的高效使用與整合。因此針對以上幾個方面，對傳統(tǒng)的安全防御模型進(jìn)行了改進(jìn)與優(yōu)化。圖1P2DR2安全防御模型2PDR2防御優(yōu)化模型（PDR3F模型）傳統(tǒng)的P2DR2安全防御模型構(gòu)造的是一個動態(tài)的防御過程。模型的各個組成部分在安全策略的統(tǒng)一指導(dǎo)下的構(gòu)建成為一個全面的、立體多維的動態(tài)安全循環(huán)。但是由于電力信息系統(tǒng)的特殊重要性，當(dāng)外界入侵或攻擊電力信息系統(tǒng)時，除了對其進(jìn)行防護(hù)、檢測、響應(yīng)以及恢復(fù)之外，有必要對系統(tǒng)安全防御過程中產(chǎn)生的活動行為數(shù)據(jù)與日志信息進(jìn)行審計，因此安全防御模型應(yīng)該增加一種報告（Report）模塊，使信息系統(tǒng)安全人員能夠通過查詢報告數(shù)據(jù)信息對系統(tǒng)安全性進(jìn)行深入分析，提早發(fā)現(xiàn)系統(tǒng)潛在安全因素，為系統(tǒng)安全防御模型其他組成環(huán)節(jié)提供輔助數(shù)據(jù)信息支持，如系統(tǒng)災(zāi)難恢復(fù)確定時間、系統(tǒng)成功修復(fù)標(biāo)識信息等。除了需要額外的報告模塊之外，由于電力信息系統(tǒng)的信息交互量非常大，并且比較分散，疏松，并且多方面的數(shù)據(jù)信息、行為、事件等對維護(hù)公共安全、警務(wù)事務(wù)管理等方面具有重要利用與參考價值，因此，在傳統(tǒng)安全防御模型的基礎(chǔ)之上應(yīng)該結(jié)合數(shù)據(jù)融合的思想，增加一種融合（Fusion）環(huán)節(jié)。所以，加入報告、融合模塊不僅更加優(yōu)化系統(tǒng)功能，而且為制定統(tǒng)一的安全策略提供了相應(yīng)依據(jù)，為系統(tǒng)數(shù)據(jù)信息高效性利用提供支持。因此，在傳統(tǒng)的P2DR2安全防御模型的基礎(chǔ)之上提出了P2DR3F模型，該模型應(yīng)該包括以下幾個重要部分：策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Restore）、報告（Report）、融合（Fusion）。3E-P2DR3F安全防御模型3.1E-P2DR3F簡介E-P2DR3F安全防御模型對P2DR3F模型進(jìn)行優(yōu)化改進(jìn)，它具有動態(tài)循環(huán)的生命周期過程。在安全策略統(tǒng)一指導(dǎo)之前，我們有必要對信息系統(tǒng)存在的各種潛在攻擊行為、事件或風(fēng)險因素做一次全面、規(guī)范的基于信息熵的風(fēng)險評估，這樣可以為整個系統(tǒng)安全策略的制定提供重要參考依據(jù)，如對于風(fēng)險評估結(jié)果值較高的子系統(tǒng)或安全領(lǐng)域，首先對其進(jìn)行安全性標(biāo)識，在安全策略中注重對該子系統(tǒng)或安全領(lǐng)域的安全配置，并且在其動態(tài)循環(huán)的防御模型下進(jìn)行重點(diǎn)監(jiān)控；相反，則保持現(xiàn)有狀態(tài)的安全策略。在統(tǒng)一的安全策略指導(dǎo)下，對其進(jìn)行防護(hù)、檢測、響應(yīng)、恢復(fù)、報告、融合。所以，引入基于信息熵的風(fēng)險評估機(jī)制有利于了解安全策略制定之前信息系統(tǒng)各部分的安全風(fēng)險等級，從而決定安全策略的制定與選取，使系統(tǒng)安全性達(dá)到最優(yōu)化。所以，我們將這種安全防御模型稱為基于信息熵（Entropy）的P2DR3F模型，即E-P2DR3F安全防御模型，該模型體系結(jié)構(gòu)如圖2所示。圖2E-P2DR3F安全防御模型3.2E-P2DR3F安全防御模型在電力系統(tǒng)中的應(yīng)用以下將E-P2DR3F安全防御模型具體地應(yīng)用到電力系統(tǒng)中，依據(jù)電力系統(tǒng)安全管理的嚴(yán)格要求，對該防御模型的各個模塊環(huán)節(jié)進(jìn)行詳細(xì)描述：（1）基于信息熵（Entropy）的風(fēng)險評估機(jī)制：首先應(yīng)該對電力信息系統(tǒng)中的安全風(fēng)險等級進(jìn)行劃分，確定風(fēng)險評估評價集合，如｛極高，較高，一般，較低，極低｝；其次，在依據(jù)定性與定量相結(jié)合的原則之下，通過邀請信息安全風(fēng)險評估相關(guān)的專業(yè)人員進(jìn)行等級考評，獲取風(fēng)險評估結(jié)果矩陣，通過相關(guān)安全技術(shù)取得風(fēng)險評估結(jié)果值。依據(jù)結(jié)果值來判定不同子系統(tǒng)或安全領(lǐng)域的風(fēng)險評估等級。表1為風(fēng)險評估觀察點(diǎn)體系。從表1中可以看出，二級觀察點(diǎn)較多，可以依據(jù)其風(fēng)險等級制定出風(fēng)險評估結(jié)果矩陣。為了簡化研究過程，只對一級觀察點(diǎn)進(jìn)行風(fēng)險評估，獲取的風(fēng)險評估結(jié)果矩陣如下：0.60.20.10.30.10.50.30.10.20.30.50.10.20.50.20.60.10.10.10.20.40.20.10.20.1R=然后依據(jù)不同觀察點(diǎn)求出風(fēng)險評估需要的信息熵耳，如依據(jù)一級觀察點(diǎn)相關(guān)數(shù)據(jù)，通過信息熵計算公式求出輸入的熵值E=(E，E，E，E，E)=(0.845,0.746,0.922,0.733,0.967)；12345然后依據(jù)這些信息熵值與相關(guān)計算公式，得到權(quán)值系數(shù)f=(f,ffff)=(0.4375, 0.5144, 0.1732, 0.3493,123450.2114)。最后通過層層數(shù)據(jù)計算，給出相關(guān)的風(fēng)險評估結(jié)果值，總體結(jié)果集為：f*R=(0.1562,0.3327,0.5357,0.1683,0.0967)；因此，結(jié)果值對應(yīng)于風(fēng)險評估評價集合｛極高，較高，一般，較低，極低｝，它們的結(jié)果值分別為(0.1562,0.3327,0.5357,0.1683,0.0967),可以看出其中“一般”的風(fēng)險等級為0.5357最高。因此該系統(tǒng)風(fēng)險評估的安全狀態(tài)為“一般”。電力系統(tǒng)體系結(jié)構(gòu)風(fēng)險評估觀察點(diǎn)體系一級觀察點(diǎn)二級觀察點(diǎn)策略安全安全范圍安全管理政策安全管理標(biāo)準(zhǔn)管理安全出入機(jī)房人員控制防電磁干擾與防火多路供電軟件安全操作系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)應(yīng)用軟件設(shè)施硬件安全服務(wù)器硬件設(shè)施網(wǎng)絡(luò)設(shè)備硬件數(shù)據(jù)備份與災(zāi)難恢復(fù)設(shè)備網(wǎng)絡(luò)安全防火墻應(yīng)用入侵檢測技術(shù)訪問控制表1基于Entropy風(fēng)險評估觀察點(diǎn)體系安全策略(Policy):在電力系統(tǒng)中，安全策略是整個安全防御模型最為核心的部分?；谛畔㈧氐娘L(fēng)險評估結(jié)果值為高可靠性的安全策略提供了信息支持，有利于安全策略制定的完善性。如為制定機(jī)房安全管理制度、系統(tǒng)軟件、硬件安全管理制度以及系統(tǒng)運(yùn)維安全管理制度等方面提供了風(fēng)險安全等級依據(jù)，使得在統(tǒng)一安全策略指導(dǎo)下的各個關(guān)鍵環(huán)節(jié)都能安全動態(tài)地循環(huán)下去。安全防護(hù)(Protection):在這一環(huán)節(jié)中可以使用多種信息安全技術(shù)進(jìn)行安全性防護(hù)，如使用身份識別技術(shù)進(jìn)行訪問安全驗(yàn)證，使用數(shù)據(jù)加密技術(shù)為了保證系統(tǒng)相關(guān)重要數(shù)據(jù)信息的隱私性，另外也可利用防火墻技術(shù)對系統(tǒng)內(nèi)外網(wǎng)進(jìn)行安全性隔離。除了采用相關(guān)信息安全技術(shù)對電力系統(tǒng)進(jìn)行防護(hù)之外，也可以使用相關(guān)硬件工具進(jìn)行安全性防護(hù)，如采用人臉識別、口令認(rèn)證設(shè)備等對進(jìn)出人員進(jìn)行身份確認(rèn)等。隨著計算機(jī)安全技術(shù)的蓬勃發(fā)展、日新月異，也出現(xiàn)了眾多無線安全技術(shù)，如防無線攔截、抗電磁干擾等技術(shù)。安全檢測(Detection):入侵檢測技術(shù)是安全檢測部分最重要也是最為常用的方式和手段。此外，在電力系統(tǒng)中可以額外使用一些安全技術(shù)，如網(wǎng)絡(luò)系統(tǒng)探測技術(shù)、安全審計技術(shù)等，除了檢測系統(tǒng)的潛在風(fēng)險與威脅之外，也能時刻掌握整個系統(tǒng)運(yùn)行時期的相關(guān)行為狀態(tài)信息。安全響應(yīng)(Response)：在電力系統(tǒng)中，該環(huán)節(jié)相當(dāng)重要。由于電力與警務(wù)單位對于事件安全響應(yīng)要求特別嚴(yán)格。所以，當(dāng)檢測到系統(tǒng)出現(xiàn)風(fēng)險與潛在威脅時，必須保證系統(tǒng)能正確地、實(shí)時地做出響應(yīng)，使系統(tǒng)遭受地?fù)p失降到最低。如今也出現(xiàn)了相關(guān)應(yīng)用于安全響應(yīng)方面的技術(shù)，如人工免疫［5］、應(yīng)急控制等技術(shù)等。安全恢復(fù)(Restore):電力系統(tǒng)中相關(guān)文件與數(shù)據(jù)信息的重要性不言而喻。因此，當(dāng)系統(tǒng)受到外界攻擊與威脅時，除了采取相關(guān)主動處理措施之外，也需要及時地對關(guān)鍵數(shù)據(jù)信息與應(yīng)用進(jìn)行隨時備份，這樣能夠即時使系統(tǒng)從故障狀態(tài)中恢復(fù)出來。安全報告(Report):首先為系統(tǒng)確定需要報告記錄的相關(guān)格式與內(nèi)容，然后采取固定時間點(diǎn)或其他方式進(jìn)行動態(tài)循環(huán)報告，如使用數(shù)據(jù)庫對一天或一周的安全事件信息進(jìn)行日志記錄，內(nèi)容可以分為事件種類、時間階段、風(fēng)險級別、處理結(jié)果等。通過安全報告模塊，可以為系統(tǒng)相關(guān)安全人員提供可以隨時查閱的可靠數(shù)據(jù)信息，同時也為安全策略的制定提供了輔助支持。安全融合(Fusion):海量性、分散性是電力系統(tǒng)中數(shù)據(jù)信息、行為與事件的重要特點(diǎn)。因此，如何對這些重要的，同時具有關(guān)聯(lián)性的數(shù)據(jù)進(jìn)行融合，使其應(yīng)用參考價值達(dá)到最大化是一個急需解決的方面。在安全防御模型中引入了安全融合模塊，正好可以解決相關(guān)問題，那么具體融合方式與措施有哪些呢？例如，在系統(tǒng)中采用高速搜索引擎機(jī)制、哈希索引管理方式等為數(shù)據(jù)信息提供實(shí)時定位功能等。實(shí)現(xiàn)了安全融合，可以使有價值的數(shù)據(jù)的利用率得到提高，清除那些已經(jīng)沒有參考價值的數(shù)據(jù)信息，也能降低系統(tǒng)存儲量，從而實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)信息高性能優(yōu)化配置。上述使用E-P2DR3F安全防御模型部署于電力系統(tǒng)中，依據(jù)該模型對系統(tǒng)進(jìn)行高效性、高安全性配置。除了采取安全防御模型管理方式之外，也可以采取一些常用的安全管理機(jī)制，如VPN/SSLr］等。4結(jié)束語隨著計算機(jī)網(wǎng)絡(luò)化的高速發(fā)展，安全問題也日益突出，特別在電力等警務(wù)單位中，對于系統(tǒng)的安全性問題極為重視。本文提出的E-P2DR3F安全防御模型對P2DR2模型進(jìn)行了相關(guān)改進(jìn)，對系統(tǒng)安全性做