电力监控系统网络安全主动防御研究

电力监控系统网络安全主动防御研究

丁韬

乌兰察布供电公司 , 内蒙古  乌兰察布   012000

摘要：电力监控系统的网络信息安全控制和生产管理高度依赖于各级之间的网络通信。电网安全问题一直威胁着电网的稳定运行。在分析电力自动化技术和监控系统网络信息安全防御需求的基础上，提出了一种主动防御系统的框架设计，并从主机、安全和网络设备三个方面给出了一套完整的防御方法。该系统采用多层架构和功能模块化设计，集数据采集、分析识别、主动防御策略和公共服务于一体。各功能模块的结构相互独立，有利于独立部署或单元测试。

关键词:电力监控系统；网络安全；保护

1机制和算法分析

1.1网络信息安全防御机制

电力自动化技术与监控系统(EAMS)主要采用多层星型网络结构，其中核心层上层为节点，采用主备配置，核心层与骨干层之间采用双星结构。本地和部分变电站或厂属于上层双节点，接入层是指每个变电站和厂可以通过单站或双站归属于本地或上层点。

目前，在新的威胁背景下，安全技术的静态叠加、安全设备的孤立部署、单一固化的防御模式已经不能满足主动防御电网安全发展的需要，需要动态管理和深度防御[3-5]。因此，结合电力监控系统的网络结构，配合安全设备或技术共同抵御各种威胁和攻击，是提高系统安全主动防御能力、帮助解决多层次主动防御问题的重要实践方向。

针对各种异常的网络攻击或安全事件，目前的电力监控系统都是基于各个层面，通过各种安全设施和技术的应用，尽可能地使用先进的手段进行安全防御。而当层级遭遇安全设施无效、防御手段无效或不可抗拒的网络攻击时，多级主动防御模式，结合各种安全防御技术，可以实时主动防御安全攻击，必要时切断风险源，有效处理整体安全与局部安全的关系。

1.2算法分析

网络可信主体是白名单中的主体，主体本身没有被篡改。强制访问控制中的主体是存在于可信进程白名单中并具有相应安全策略的主体。所有受试者、可信受试者和强制访问控制下的受试者

主题的定义如下:

||(S={S1，S2，，Sn}

ST={x|x=Trust，Hash(x)=PTrust(x)}(1)

SM={x|x=Mac，P(x)=PMac}

Trust表示可信进程白名单，Mac表示强制访问控制进程白名单，PMac表示一组强制访问控制策略，P(x)表示进程策略的查询功能。

对象、受保护对象和访问属性定义如下:

l O={O1，O2，，Om}

OP={x|x=O，x=DenyProfile}(2)

A={r，w，e，a}

其中，保护对象是指由与对象相关的强制访问控制策略定义的目标。除非用相关权限定义了与主体相关的强制访问控制，否则与对象相关的所有进程都将实现该策略。本文使用三元组(b，m，f)

要表示系统状态:

b=(S×O×A)(3)

表示处于特定状态的主题、对象和安全属性。自由访问矩阵表示如下:

M={M1，M2，…，Mm}(4)

F=F，代表访问函数，标识为f = (FS，FO，FC)，其中FS指主安全级函数；FC是指当前安全级别功能的主体；FO是指安全级别函数的对象。

为了解释什么样的状态是安全的，什么样的系统是安全的，本文引入了一组安全公理。安全性基于以下四个原则:

A.谨慎的安全措施

状态v=(B，m，f)满足任何安全性当且仅当。

(Si，Oj，x)= bφx = Mij(5)

B.强制性安全措施

状态v=(B，m，f)的简单安全性定义为

Sφ[(O = b(S:x，x))φ(fS(S)= F0(0))](6)

其中=表示后者受前者支配，函数b (s: x1，x2，...xn)返回主体S可以从xi访问到b的对象集。强制安全性定义系统的行为必须满足TMAC模式中强制访问控制策略的要求。也就是主体S对o的访问授权。

C.敏感数据的安全性

状态v=(B，m，f)满足敏感数据的安全性当且仅当。

O = OPΦ

o = b(S:x)φ(F0(0)> fC(S))

VS =(S-SM)φO = b(S:x)(7)

如果一个对象被定义为敏感数据，那么它只会服从被控对象的控制策略，其他对象都会被拒绝。

d.信任安全

状态v=(B，m，f)满足可信安全性当且仅当。

o { OP = STφHash(OP)= pt rust(OP)

它保证了哈希值没有变化的可执行对象能够被执行，否则将被拒绝，从而消除外来病毒和木马，实现自我免疫。这些定理约束了系统的任何行为，在EAMS模型下不能违反这四个定理。

2实现架构

2.1防御策略分析

电力监控系统网络安全主动防御策略自上而下发布，分为访问控制、安全访问和入侵防御三大类。策略的优先级分为低、中、高三个级别。对于高风险事件，应采用高优先级的合作保护策略。

2.2安全设备防御机制

当业务节点上触发安全威胁或安全事件时，需要及时发布防御策略，控制安全问题的蔓延。大部分网络攻击的目标都是从端点开始，端点渗透通过长时延、数据收集、人工智能等手段改变。这些终端节点多指主机设备，如服务器、工作站、监控主机等。结合网络设备、安全设备、代理等安全防护设备，对存在安全风险的主机设备进行主动防御控制，需要综合运用服务禁止、逻辑阻断、物理隔离等防御措施。

(1)服务关闭。通过监控和发现主机设备的操作事件，如未授权的USB访问、串口访问、并口访问、光驱加载、可疑用户登录、用户危险操作、非法外链或登录会话等，需要向主机设备发送主动防御控制命令，代理程序代表主机设备执行命令，从而及时限制安全威胁的进一步发展。禁用服务的防御机制应采用数字签名来实现受控端。

认证，防止签发伪造订单。其防御措施包括禁用USB外设、串口、并口、光驱、强制注销账号、限制外部连接和禁用主机相关网络服务。需要通过执行返回的结果来持续监控防御行动的实施效果。例如，对于被网络服务禁用的防御策略控制，需要通过其他安全设备收集的附加检测或验证方法来确认防御动作是否成功。

(2)逻辑阻塞。对于非法外部连接、危险远程登录操作或服务失败的防御模式，需要通过外部安全设备限制甚至阻止可疑的外部访问连接和远程登录连接。在逻辑阻断控制过程中，将逻辑阻断策略的防御动作发送给相应的安全设备，协调对风险主机的网络逻辑限制或阻断，并进一步持续监控命令执行的效果。例如，通过向垂直加密或防火墙设备发送指定的IP地址、端口或协议报文过滤策略，根据后续是否能收集到安全设备发送的不符合安全策略的访问报警信息，确定逻辑阻断的防控效果。

(3)物理隔离。为了消除主动防护措施，如服务禁用、防御效果不佳的逻辑阻断，或者分析显示某个区域的业务主机或节点存在安全隐患，需要在主机源甚至局域网隔离上实际落实这个问题，切断其与全网的连接。在物理隔离防御控制过程中，采用网络设备策略对目标风险源或区域物理网络进行隔离控制。比如第一步，找到所有直接连接到安全风险相关主机的交换机，通过SNMP(简单网络管理协议)v3协议发出防御控制命令断开指定端口。下一步是监控是否接收到网络设备返回的trap事件，判断控制操作是否成功执行，或者通过SNMP协议查询端口状态，确保已经成功隔离风险源。

3验证分析

近几年的一个月，Struts20day漏洞(NoS2-045)出现，并被评定为高风险，如图2所示。这个漏洞的影响范围很广，可以直接访问系统的根权限，所以危害是巨大的。通过SNMP访问管理系统和ROOT，SNMP是一个网站硬件卡信息。S2-045执行的第一条指令“who”返回根权限，S2-045执行的第二条指令“ifconfig”返回硬件卡信息。

S2-045是一个典型的命令执行漏洞。EAMS通过操作系统层的强制访问控制策略(自学获得)控制WEB中间件对系统命令的系统调用。我们可以在操作系统层面终结S2-045，可以从根本上解决这类应用组件的安全问题。

4结论

主动安全防御是提高网络空间信息安全防护的有效途径之一。本文阐述了电力自动化技术和监控系统的网络信息安全体系结构，分析了电力监控系统的安全防护需求，设计并实现了一个电力监控系统网络安全主动防御原型系统。结果表明，该系统通过网络安全事件的信息共享和主动防御策略数据库的快速决策，能够有效应对各种场景下的网络安全事件，避免安全风险的进一步扩散。实现由被动防御向主动防御的转变，具有一定的理论研究和实际应用价值。下一阶段，我们将继续验证适用于电力监控系统的主动防御系统的现场测试。

参考文献

［1］唐佳乾，李惠．网络物理电力系统建模分析与控制研究框架［J］．电力系统自动化，2017，10（09）：21－22.

［2］陈俊．网络空间安全协同防御体系结构研究［J］．通信技术，2017，10（09）：21－22.

［3］曹旭．基于协同的网络安全防御系统研究［J］．电力系统保护与控制，2017，07（19）：34－37.