电力系统信息安全风险诊断平台研究与建设

李 洁，许 鑫，陈 宇，李大为

（国网吉林省电力有限公司电力科学研究院，长春 130021）

近年来，国家电网公司在全力推进信息化应用工作的同时，不断加强网络安全保障的投入与建设，以工具检测和人工检查为手段评估信息系统的安全风险。目前，电力系统信息安全管理依然以传统的评估方式诊断系统资产存在的风险［1－6］。传统的风险评估方式，多采用主动探测方式模拟黑客入侵过程，影响了网络资产的可用性，容易造成宕机等生产事故，存在因二次系统故障引发一次系统事故的潜在威胁；同时因为评估过程缺少日常数据参照，多依靠评估人员的经验开展评估工作，耗费较多人力资源，又无法给出权威性的评估报告。为了改善上述问题，设计并实施了电力系统信息安全风险诊断平台进行静默式风险评估，减少因风险评估过程造成一次系统事故的概率，使评估工作进一步常态化、智能化。

1 诊断平台设计

1.1 设计原理

采用在线扫描技术，实时抓取和分析网络通讯数据包，并与操作系统指纹库、应用特征库、漏洞信息库、异常特征库等进行比对，进而获取电力信息网的各资产的安全风险。通过设备自动将IP 地址与发送端和接收端设备绑定，根据设定的规则来采集数据包中的信息并进行记录，通过采集7×24h数据包中的信息，判断网络资产对象是否存在风险。

1.2 诊断平台技术分析

1.2.1 系统架构

诊断平台由WEB管理界面、配置查询控制器、分析监测引擎、结果数据库4部分组成，4部分的关联关系见图1。

图1 系统架构图

分析监测引擎是一个守护进程，其由网络数据分析线程和配置管理线程组成，其中网络数据分析线程主要用于网络环境发现和网络事件告警，配置管理线程，用于接收配置控制器的请求，控制网络数据分析线程的启停并提供网络数据分析线程所需的网络环境与合规访问控制参数。

配置查询控制器是一个守护进程，其接收WEB管理界面发送的配置和查询请求，对配置进行持久化存储、调用分析监测引擎提供的参数配置接口、调用结果数据库的查询接口，最后将配置结果和查询结果返回给WEB管理界面。

WEB管理界面由前台和后台2部分组成，前台采用JAVA SCRIPT 语言实现，后台为PHP 语言实现，前后之间通过JSON 格式进行通信，前台负责接收用户输入，并将配置查询的请求发送给后台服务器，后台服务器将前台传来的请求经过格式转化，调用配置查询控制器的配置查询接口，并将结果返还给后台服务器，并最终返回给前台界面。

1.2.2 分析监测技术

分析监测是本平台的核心，主要由数据采集单元、碎片重组单元、连接跟踪单元、协议识别单元、指纹识别单元、结果输出单元组成。其中，指纹识别单元是被动式漏洞发现和静默式风险诊断的核心功能，通过分析各操作系统协议栈的细微差别，从而猜测通讯两端的资产的操作系统类型，也包括应用系统的旗标识别，从而猜测通讯两端的应用程序类型。

1.2.3 智能化安全决策技术

安全策略是指在某个安全区域内（安全区域是指属于某个组织的一系列处理和通信资源）用于安全相关活动的一套规则。安全策略由信息安全规划机构来描述、实施或实现，可帮助信息安全规划机构做智能化安全策略决策。智能化安全策略决策技术是一种深度的关联数据分析技术，可分为流量数据收集与维护、异常模式分析与判定、安全策略调整与实施3个过程。诊断平台使用智能化安全策略决策技术，通过3个周而复始的阶段来保证已部署的安全策略符合安全区域网络环境，安全防护能力不会因为网络环境的变化而降低。

1.2.4 通信内容深度分析

诊断平台使用全新设计优化的通信内容深度分析技术对数据流进行协议判定和会话状态控制。通信内容深度分析技术具有协议分析能力强和高效的特点，能很好地满足工控网络高实时性要求。本诊断平台采用的通信内容分析技术独到之处就在于不是从规则的角度来解析协议包，而是根据安全策略规则，构建分析协议树（见图2）和规则的条件十字链表。分析引擎处理的对象不再是一条条规则，而是协议树和条件十字链表。分析引擎解决了在安全策略处理中反复分析协议包的问题，提升了诊断平台的处理能力。

2 诊断平台设备及系统特点

图2 安全策略协议树

信息安全风险诊断平台包括便携式诊断设备和软件系统。其中，便携式诊断设备的硬件质量轻，方便携带安装；信息安全风险诊断软件系统为B／S架构，操作简单方便。

电力系统信息安全风险诊断平台采用新一代扫描技术，包括资产发现技术、操作系统指纹识别技术、应用识别技术、协议异常识别技术，通过将IP地址与发送端和接收端设备绑定，并根据提前预设的规则来采集数据包中的信息并进行记录，通过数据包中的信息判断网络资产对象是否存在风险。

该平台具有以下4个创新点：诊断设备体积小，质量轻，轻便易于携带；十字链表的规则匹配技术使平台满足工控网络实时性要求；智能化的安全辅助决策技术保证已部署的安全策略符合安全区域网络环境，提高诊断平台的准确性；被动式的漏洞分析技术，判断网络资产对象是否存在风险，不影响网络内其他设备的正常运转，可防止危及安全的事故发生。

3 结束语

通过对信息安全风险诊断技术的研究，采用新一代的扫描技术和独到的通信内容分析技术，研制的便携式诊断设备轻便易携带。信息安全风险诊断平台可以快速、准确地判断信息网络的安全状况，提高网络安全性，减少安全事故的发生，且不影响网络传输性能，使工作效率大幅度提高。

该诊断平台推广后可使国网吉林电力的信息安全风险评估工作智能化、常态化，为定期的专项评估工作提供有效的数据依据与指导，有利于节省人力资源，提高检查效率与报告权威性，规范化评估工作，对信息资产安全风险的全方位管控提供了一种切实可行的方法。

［1］温大顺.信息安全风险评估综述［J］.中国科技信息，2013，14：81－81.

［2］黄欢，庄毅，许斌.基于免疫网络的信息安全风险评估模型［J］.计算机工程，2008，23：164－166.

［3］黄松，夏洪亚，谈利群.基于模糊综合的信息安全风险评估［J］.计算机技术与发展，2010，20（1）：189－192.

［4］刘建武.信息安全风险评估模型及其算法研究［J］.企业技术开发，2011，30（16）：79－80.

［5］马国庆.电力企业信息安全风险评估模型研究［J］.价值工程，2008，27（8）：112－114.

［6］刘琰.改进型信息安全风险评估模型研究［J］.长春工程学院学报（自然科学版），2012，13（1）：123－125.