電力信息安全一體化積極防御的研究

摘 要：我國電力系統(tǒng)面臨著如何保障信息安全的重要問題。本文通過對電力信息安全防護現(xiàn)狀以及面臨的問題進行分析，并對如何實現(xiàn)電力信息安全一體化積極防御進行研究，從而更好的降低維護信息安全的成本，有效的提高安全防護的能力。

關(guān)鍵詞：電力信息；一體化；防御

中圖分類號：TP39 文獻標識碼：A

隨著信息技術(shù)的不斷發(fā)展，電力企業(yè)的信息化技術(shù)也日益成熟，經(jīng)過電力企業(yè)多年的實踐和探索，也建成了網(wǎng)絡(luò)隔離和分區(qū)分域以及縱深防御的防護體系。隨著防護體系的建設(shè)，很多新的安全產(chǎn)品被部署到信息安全系統(tǒng)中，但是由于電力企業(yè)專職的安全管理人員有限，很難對這些安全產(chǎn)品的運行方法進行深入的掌握，增加了對信息安全防護的維護壓力。因此，如何對這些安全防護產(chǎn)品進行整合，使這些產(chǎn)品能夠自動的監(jiān)測各種風險并進行安全修補，減小信息安全維護人員的壓力，把他們從繁雜的技術(shù)細節(jié)中解脫出來，這是我們研究的一個重點。

一、電力信息安全的威脅與風險

（一）電力信息安全面臨的威脅

電力信息系統(tǒng)面臨著來自各方面的威脅，主要有自然威脅、意外人威脅、惡意人威脅以及組件本身的缺陷。系統(tǒng)組件本身的缺陷就是電力系統(tǒng)在設(shè)計以及組裝的過程中產(chǎn)生的一些安全隱患，常常發(fā)生在電力信息系統(tǒng)的軟件以及硬件組件上。自然威脅就是由于一些自然因素，比如火災(zāi)揮著雷擊等帶來的一些不可抗拒的威脅。意外人威脅就是由于人員的操作大意等造成的一些安全威脅，這種威脅產(chǎn)生的概率大。惡意人威脅就是有人故意的進行惡意破壞或者是一些黑客行為等。

（二）電力信息安全存在的風險

電力企業(yè)的信息安全具備來自多方面的風險，比如有來自互聯(lián)網(wǎng)的風險，企業(yè)內(nèi)部的風險、系統(tǒng)的安全風險等。對于電力企業(yè)來說，來自內(nèi)部的風險是比較大的，由于內(nèi)部人員特別是網(wǎng)絡(luò)管理人員，不經(jīng)意的透漏信息，都可能使系統(tǒng)遭到襲擊，另外，由于安全管理人員的素質(zhì)不高，用戶口令不合理等這些都可能給信息安全帶來威脅。再者，一些計算機病毒或者一些人惡意的入侵，這些都可能使系統(tǒng)存在這諸多的風險。還有一種情況，就是系統(tǒng)安全存在著風險，系統(tǒng)存在著漏洞，這也容易給電力安全帶來諸多的威脅。電力信息安全存在著諸多的安全和風險，因此，對于電力信息安全一體化防御的研究具有十分重要的意義。

二、關(guān)鍵技術(shù)與難點

電力企業(yè)為了增強自身的信息安全防御的能力，對信息安全進行了多年的實踐和探索，提升了電力信息安全的自主防護能力。但是，現(xiàn)在對于信息安全服務(wù)采用的仍然是人工分析，這也使得信息安全服務(wù)對人仍然有很大的依賴性，費時費力。許多電力企業(yè)也都開始使用了安全漏洞掃描系統(tǒng)以及入侵檢測防御系統(tǒng)，這些安全產(chǎn)品大多專注于特定的安全問題，并且操作程序特別的復雜，檢測報告過于專業(yè)，使得使用者必須具有較高的專業(yè)性。因此，如何對現(xiàn)有的安全防護產(chǎn)品進行整合，也成為了信息安全防御系統(tǒng)研究的關(guān)鍵點。

（一）開放式架構(gòu)技術(shù)

電力信息安全的防護產(chǎn)品種類很多，主要有數(shù)據(jù)庫系統(tǒng)安全評估、漏洞掃描、等級保護合規(guī)性評估、通用服務(wù)安全評估以及主機系統(tǒng)安全評估等產(chǎn)品。隨著電力信息安全意識的提高，各單位對于各種防護產(chǎn)品也在不斷的運用，使電力企業(yè)信息安全的防護能力有了很大提高。但是，還是停留在被動的防御階段，就是安全防護缺什么東西，才會引進相應(yīng)的安全防護產(chǎn)品。這也使得我們必須研究出來一種開放式的架構(gòu)技術(shù)，不僅要保留各種安全防護產(chǎn)品的作用和功能，而且還要把每一種單一的安全技術(shù)都要進行統(tǒng)一的整合。這種整合必須具有統(tǒng)一的標準，在統(tǒng)一的標準下進行安全技術(shù)和產(chǎn)品的整合。在進行設(shè)計的過程中，要注重考慮兼容性以及開放性，更好的適應(yīng)現(xiàn)在的安全防護技術(shù)和產(chǎn)品。標準至少包括：統(tǒng)一漏洞庫，統(tǒng)一定義漏洞描述、漏洞級別和解決方案；統(tǒng)一交互規(guī)范，所有接入系統(tǒng)的安全產(chǎn)品或組件均能相互通信；統(tǒng)一評價指標，定義安全指標項、指標權(quán)重和評價算法，確保不同安全產(chǎn)品對同一風險的評價結(jié)果的一致性，并最終形成對整個系統(tǒng)的安全態(tài)勢評價。通過這個標準進行相應(yīng)的接口設(shè)計，并按照安全產(chǎn)品的需要進行升級。在接口設(shè)計的過程中還要注意一些事項，要注意接口的安全保密性，而且還要滿足不同等級的安全保護標準。

（二）服務(wù)一體化技術(shù)

隨著信息安全技術(shù)的不斷發(fā)展，信息安全技術(shù)以及信息安全的工具也取得了很好的成效，信息安全測評向智能化、綜合化以及服務(wù)一體化發(fā)展。但是，現(xiàn)在的風險評估理論仍然是被動、靜態(tài)的，主要通過資產(chǎn)的重要性、資產(chǎn)的脆弱性以及資產(chǎn)所面臨的威脅這三個方面進行，被動性很強。信息安全的發(fā)展趨勢，就是要讓靜態(tài)脆弱的分析融合動態(tài)安全態(tài)勢的評估，這樣就可以主動的防御來自各方面的風險以及漏洞，并利用計算機技術(shù)進行智能化分析，進行動態(tài)采集以及融合、評估，掌握信息安全的發(fā)展趨勢和發(fā)展情況，從而對信息安全發(fā)展趨勢進行更好的預(yù)測。另一方面，還要將信息安全服務(wù)與安全測評聯(lián)系在一起，信息安全系統(tǒng)包括體系規(guī)劃、安全管理、安全咨詢等，這樣就可以形成一個完整的保障體系，有利于信息系統(tǒng)的數(shù)據(jù)的分析，及時的掌握信息系統(tǒng)的風險，更好的對信息安全發(fā)展趨勢進行動態(tài)評估，更好的為后期安全服務(wù)提供指導。

三、平臺設(shè)計

（一）總體框架設(shè)計

電力信息安全積極防御一體化主要有管理控制層、數(shù)據(jù)采集層以及數(shù)據(jù)分析層和風險控制層組成。管理控制層就是要對整體的安全態(tài)勢進行分析、預(yù)測以及評價和展望，并及時對安全策略進行調(diào)整，對解決方案進行設(shè)計，對風險進行監(jiān)控和評價；風險控制層就是要對風險數(shù)據(jù)庫以及漏洞知識庫進行風險的規(guī)避、減低以及有效的控制；數(shù)據(jù)采集層就是要負責數(shù)據(jù)庫系統(tǒng)、通用服務(wù)以及業(yè)務(wù)應(yīng)用等不同層面的安全屬性采集，并把采集到的數(shù)據(jù)傳輸給數(shù)據(jù)分析層。數(shù)據(jù)分析層就是對數(shù)據(jù)進行綜合的分析，并把分析的結(jié)果傳輸?shù)斤L險數(shù)據(jù)庫。為了對組件的數(shù)據(jù)進行更好的關(guān)聯(lián)，對電力信息一體化防御平臺要設(shè)計出三個數(shù)據(jù)庫，分別為漏洞知識庫、風險數(shù)據(jù)庫以及管理數(shù)據(jù)庫。漏洞知識庫就是對漏洞分類、漏洞解決方法等經(jīng)驗知識進行的存儲；管理數(shù)據(jù)庫主要是存儲管理信息，例如用戶信息、任務(wù)信息以及報表信息等；風險數(shù)據(jù)庫就是對安全風險信息進行監(jiān)測并進行存儲。電力信息安全一體化積極防御平臺就是根據(jù)總部、網(wǎng)省以及地市所進行的一體化設(shè)計，更好的進行分布式部署。這樣可以進行上級對下級的監(jiān)督管理，可以更好的下達任務(wù)以及查看信息，實現(xiàn)總部對各級發(fā)展情況的全程掌控，有利于做出科學正確的決策。

（二）組件設(shè)計

1基礎(chǔ)組件

電力信息安全積極防御一體化平臺，其基礎(chǔ)組件主要有安全測評類組件與安全加固類組件共同組成。為了更好的提高組件之間以及組件與平臺之間的兼容性和相互性，組件必須要采用統(tǒng)一的架構(gòu)設(shè)計，并且每個組件都要有網(wǎng)絡(luò)訪問模塊、平臺交互模塊以及數(shù)據(jù)庫交互模塊三大模塊。測評組件主要是對測評任務(wù)進行積極的分析，通過漏洞知識庫的支持，進行安全系數(shù)分析，輸出分析數(shù)據(jù)，并把分析后的數(shù)據(jù)傳輸給風險數(shù)據(jù)庫。加固組件主要是對加固任務(wù)信息的分析，并通過風險數(shù)據(jù)庫中的測評結(jié)果，對測評對象進行加固，通過驗證后進入到風險監(jiān)控階段。加固分為兩種，即系統(tǒng)加固和本地加固，本地加固可以直接在測評對象上進行，但是系統(tǒng)加固則要通過網(wǎng)絡(luò)或者是加強邊界等安全防護措施來進行加固，以更好的降低測評對象的風險。基礎(chǔ)組件設(shè)計中難點之一是要開發(fā)設(shè)計可適應(yīng)大部分主流安全防護產(chǎn)品的標準軟件代理模塊與平臺進行交互。另外，如何解決產(chǎn)品自帶漏洞庫與平臺統(tǒng)一漏洞庫之間的轉(zhuǎn)換也需要重點考慮。

2高級應(yīng)用組件

在電力信息安全一體化積極防御平臺中，其高級應(yīng)用組件包括很多內(nèi)容，如安全策略、安全態(tài)勢、風險監(jiān)控組件以及解決方案等。其中安全態(tài)勢組件就是要對安全狀況以及系統(tǒng)性能的信息進行分析和數(shù)據(jù)的融合與挖掘，不僅能夠呈現(xiàn)出安全態(tài)勢，而且還能對安全態(tài)勢進行更好的預(yù)測和分析。安全策略和解決方案就是通過對電力信息的安全態(tài)勢分析，自動化的生成一些加固解決方案，然后人工進行干預(yù)后，組件能夠自動的執(zhí)行。風險監(jiān)控組件就是進行實時的監(jiān)控，對于一些高危的風險點進行重點監(jiān)控。高級應(yīng)用組件在整個平臺中具有關(guān)鍵性的地位，它解決了通用安全防護軟件中的一些缺陷，即只針對特定類型的安全問題進行。高級應(yīng)用組件對安全態(tài)勢進行綜合的預(yù)測和分析，并進行可視化的展現(xiàn)、風險評價與監(jiān)控，這是電力信息安全一體化平臺研究的重點和難點。

結(jié)語

在電力信息安全一體化積極防御研究中，設(shè)計并開發(fā)了一些基礎(chǔ)類測評與加固組件，并在一些重大信息安全活動中得到了應(yīng)用，取得了良好的效果，有效的提高了安全防護的效率。今后要努力進行設(shè)計和研究，建立起一個動態(tài)調(diào)整以及能夠自主加固的安全防護系統(tǒng)，進一步加強信息安全在電力企業(yè)建設(shè)中的保障作用，更好的為信息安全防護工作提供有效的決策支持。

參考文獻

[1]國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護規(guī)定（電監(jiān)會5號令）[Z].北京：國家電力監(jiān)管委員會，2004.

[2]馮國登.信息安全測評理論與技術(shù)[N].計算機學報，2009（04）.

[3]閆斌，曲俊華，齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].計算機安全，2003（01）.