电力信息安全等级保护测评平台的设计与实现

2012-02-28梁志宏梁智强周强峰

网络安全与数据管理 2012年15期

梁志宏，梁智强，周强峰

（广东电网公司电力科学研究院智能电网所，广东广州 510080）

近年来，我国各个行业的信息安全保障工作虽然取得了很大进展，但从总体上看，我国的信息安全工作尚处于起步阶段，基础薄弱、水平不高，普遍存在信息安全意识和安全防范能力薄弱、信息安全保障工作重点不突出等问题。随着我国国民经济和社会信息化进程全面加快，信息系统的基础性、全局性作用日益增强，信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全，维护国家安全、公共利益和社会稳定，是当前信息化发展中迫切需要解决的重大问题。

在信息保障 IA（Information Assurance）方面，国外起步较早，出台了多个信息技术安全评价标准。美国国防部发布的可信计算机评价准则（TCSEC）是这方面最早的标准。TCSEC将计算机系统的安全划分为4个等级、7个级别。在借鉴国外先进经验和结合我国国情的基础上，公安部于1999年提出并组织制定了强制性国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》[1]，该准则于 2001年 1月1日实施，是我国出版的第一部关于计算机信息系统等级分类的标准，它制定了计算机信息系统安全保护技术能力等级划分的方法，规定了计算机系统安全保护能力的五个等级。

经过多年的推广，信息安全等级保护工作在各个行业得到了深入实施，且在信息安全保障中发挥了重要的作用。但各行业信息安全等级保护测评中目前普遍存在以下问题：（1）等级保护相关数据管理松散，未能加以深入分析和有效利用；（2）测评实施方法不一，一定程度上依赖个人经验和技术水平；（3）测评过程自动化程度较低，影响现场测评效率；（4）报告编写时间较长，导致测评效率低下。针对上述问题，本文依据相关标准和技术要求，结合电力行业特征，设计和实现了一个针对电力行业的信息安全等级保护测评平台。平台集成了自动化测评工具集，基于知识库实现了测评项目管理、测评文档管理、数据统计分析和报告自动生成等功能，有效提高了测评工作效率，较好地满足了等级保护对测评实践智能化和规范化的需求。

1 测评平台的目标

电力信息安全等级保护测评平台的目标是对电力行业信息安全等级保护测评的过程提供管理和工具支持，其需求和设计目标主要有以下几个方面：

（1）全面的信息管理

对测评过程涉及的原始记录、测评标准、历史测评数据、标准测评资料样本、单位和人员资料等，测评平台可以方便地输入输出、查询和引用，并可进行集中统计。

（2）自动化和智能化

尽可能降低测评工程的人工依赖度，为测评过程提供自动化支持，并可对历史数据进行智能化的分析。

（3）高度集成和整合

测评平台集成了信息管理、项目管理、用户管理、知识库和接口驱动等多功能子系统。

（4）人工可干预

由于自动化、智能化处理产生的结果往往不会完全符合实际需要，因此系统需要提供对这些结果进行人工干预的能力。

（5）数据安全性

测评平台中的数据为信息系统的安全数据，具有敏感性特征，因此需保证这些数据在存储和传输过程中的安全性。

2 测评平台总体设计

2.1 测评平台框架设计

测评平台[2]总体上分为服务器和客户端两部分。服务器采用浏览器/服务器结构，包括测评中央处理单元、知识库管理子系统、测评过程管理子系统、数据智能处理子系统、系统后台管理子系统和安全保障等六大功能逻辑子系统。客户端设计为桌面客户端软件，它通过VPN加密隧道与服务器进行通信，完成数据交互。平台总体结构如图1所示。

图1 平台总体设计结构图

2.1.1 测评中央处理单元

测评中央处理单元是测评平台的核心功能组件，主要功能包括：

（1）测评任务调度和分派

接收测评请求，分派测评任务，将根据系统安全等级和知识库生成的测评指导书、测评方法表等相关文档打包分发给测评工程师，由其通过客户端打开。

（2）平台数据调配和整合

平台中存在大量的知识库数据和测评记录等应用数据，测评中央处理单元完成各种数据资源的提取和整合，如测评方案、测评指导书和测评报告的自动生成。

2.1.2 知识库管理子系统

知识库管理子系统对等级保护测评涉及的知识库进行管理。知识库是整个等级保护测评平台的底层支撑数据集群，由所有项目共用，平台管理员在平台初始化时建立知识库并随着测评工作的进行对知识库进行更新维护。知识库具有结构化、易操作和全面有组织的特点，具体包括：标准规范库、测评方法库、风险威胁库、主要问题库和整改建议库。

（1）标准规范库：等级测评相关的各类国家标准和技术要求以及电力行业标准知识。

（2）测评方法库：针对不同安全等级系统的各个测评项的测评问卷和测评实施方法导引。

（3）风险威胁库：信息系统面临的风险威胁及应达到的安全目标只包含4个等级的威胁、安全目标及二者的对应关系知识。

（4）主要问题库：信息系统在等级保护10个方面可能存在的问题详细描述和对应的测评项。

（5）整改建议库：信息系统测评中存在的不符合项或主要问题的整改建议，包括详细整改方法和风险预控措施。

平台通过测评中央处理单元对知识库进行集中调度和数据组织，从知识库中获取相应数据应用于测评过程，如测评指导书生成、测评结果评价、数据融合与统计分析和报告自动生成等。

2.1.3 测评过程管理子系统

测评过程管理子系统的主要功能是对等级保护测评的项目过程、相关文档和测评工具进行管理。等级测评过程分为4个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，测评平台对上述过程进行了完整实现，用户通过平台录入测评过程中所需的各项数据，平台对测评各阶段文档和工具进行集中管理。此外还具有版本控制功能，用户可根据实际需要对文档和测评工具进行下载或更新。

2.1.4 数据智能处理子系统

数据智能处理子系统包括测评结果综合评价和数据融合与统计分析两个功能模块。测评结果综合评价是从等级保护的10个安全方面进行评估，即物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理，根据信息系统的指标符合性建立数学模型，对信息系统的信息安全状况进行量化评估。系统实现了层次化的灰色关联分析模型[2]、计算信息系统的信息安全评价结果值。数据融合与统计分析功能是对信息安全等级保护测评的各种数据进行统计和对比分析，并可生成可视化图表。

2.1.5 系统后台管理子系统

系统后台管理子系统包括机构管理、系统管理、用户管理和权限管理4个功能模块，完成等级测评委托机构、系统配置信息、用户角色和权限等方面的管理功能。

2.1.6 安全保障子系统

安全保障子系统的设计主要是为了保证等级保护测评平台中各类数据的存储安全和数据传输过程中的安全性。主要包括三个方面：用户对服务器的访问全部采用HTTPS协议，确保访问服务器的用户身份可信和数据传输保密；客户端和服务器之间的通信实现了基于SSL的TCP通信，保证通信过程的安全性；存储在本地的文件全部以加密文件的形式进行存储，只有使用客户端软件才可打开查看。

2.1.7 测评客户端

测评客户端是现场测评工作的执行软件，安装在测评工程师的测评工作终端上。用户登录客户端下载测评任务包和测评工具集，根据现场测评情况对测评结果客观记录和符合性评判，通过测评客户端录入测评结果，待全部测评项都填写完成后将结果上传至平台服务器。客户端还可对信息系统的现场测评结果进行编辑修改和统计查看。服务器根据现场测评结果从知识库中自动提取内容生成完整的测评报告。测评结果通过加密方式保存在客户端，客户端和服务器之间传输的数据进行了应用层加密并采用VPN、SSH等加密隧道进行通信，防止数据传输过程中被篡改，充分保证了数据的安全性。

2.2 平台测评流程

使用等级保护测评平台进行等级测评的流程如图2所示，测评流程由服务器端和客户端两部分组成。

测评首先需要登录进入服务器端，按照平台向导，根据测评准备阶段的访谈内容初始化项目信息。初始化完成后，即开始按等级测评的4个基本内容：选择测评对象、确定项目组成员、创建及分配测评任务包到相应的测评工程师。测评任务包包括测评方案、测评计划和测评指导书，以加密文件的形式存储在服务器上。

测评工程师登录测评客户端，连接至服务器，查看个人测评任务列表，将测评任务包下载至本地。加密文件只能由客户端软件自动导入，解密后打开。测评工程师通过查看、访谈、检查和工具扫描等方式逐项完成测评，记录测评结果。平台提供了扫描工具适配接口，可将工具扫描的结果自动整合进测评记录。所有测评项完成后，测评工程师可通过汇总方式查看或修改测评结果，确认后将测评结果上传至服务器端，自动生成测评报告。报告由项目经理负责审核通过后完成输出。

图2 平台测评流程

3 测评平台关键技术

3.1 基于灰色关联分析的测评结果评价

等级测评的结果分为符合、部分符合和不符合三种情况。实际工作中，大部分系统的测评结果为部分符合，无法对信息系统的安全建设情况进行更深入的分析把握。针对这一问题，本平台的数据智能处理子系统实现了基于层次分析法与灰色关联分析法的灰色多层次评价模型[3-4]，对信息系统的等级测评结果进行量化评价。使用灰色多层次评价模型对信息系统等级测评结果进行综合评价的步骤和方法如下：

（1）建立等级测评评价指标体系

将等级测评评价指标分为3个层次：信息系统安全等级测评结果综合评价（A）为第一层次；等级测评的10个方面物理安全（B1）、网络安全（B2）、主机安全（B3）、应用安全（B4）、数据安全及备份恢复（B5）、安全管理机构（B6）、安全管理制度（B7）、人员安全管理（B8）、系统建设管理（B9）和系统运维管理（B10）作为第二层次；等级测评的各个测评单元作为第三层次，如物理位置选择（C1）、物理访问控制（C2）、防盗窃和防破坏（C3）等。

（2）对等级测评指标体系进行量化

等级测评中，每个测评单元都包含若干个测评项。首先需要对测评单元进行量化，若测评单元中的所有测评项都为符合，则为该测评单元赋值为1；所有测评项均为不符合时赋值为0；包含部分符合项或不适用项时，则根据部分符合的程度为测评单元计算一个数值，该值介于0～1之间。采用根据对信息系统安全的影响程度确定各个测评单元的权重值，建立等级测评指标体系赋值表。

（3）指标值规范化处理及关联度计算

系统所有测评单元的分值都为1时，形成的数列作为参考数列；按步骤（2）中的方法形成的测评单元分值数列作为比较数列。由式（1）、式（2）计算出测评单元的关联系数和关联度。设参考数列（又称母序列）为Y={Y（k）|k=1，2， … ，n}，比较数列（又称子序列）为 Xi={Xi（k）|k=1，2，…，n}，i=1，2，…，m，则 Y（k）与 Xi（k）的关联系数为：

ρ∈（0，∞）称为分辨系数，ρ越小，分辨率越大，一般ρ的取值空间为[0，1]，具体取值可视情况而定，但通常取 ρ=0.5。

因为关联系数是比较数列在各个时刻的关联程度值，所以它的数值不止一个，而信息又过于分散不便于进行整体比较。因此，有必要将各个时刻的关联系数集中于一个值，即取其平均值作为比较数列与参考数列间关联程度的数量表示，y（k）与 xi（k）的关联度为：

（4）评价结果分析

根据步骤（2）计算出的关联度和各个测评单元的权重值，用式（3）求出等级测评结果综合评价值。因不同测评方面的关联度对整个系统的信息安全评价具有不同的重要性，即按不同测评方面的重要程度大小赋予相应的权值{a（j）|j=1，2，…，m}。其中为测评方面数，则综合评价指标为：

3.2 知识库的实现

知识库[4]是等级保护测评平台的基础组成部分，能够支持平台实现符合性智能判定和测评方案、测评指导书、整改方案等文档定制生成等高级功能。知识表示是实现知识存储和建立知识库的前提，常用的知识表示方法主要有产生式表示法、框架表示法和面向对象表示法等。根据信息安全等级保护的特点，平台采用了混合知识表示方式实现对等级保护测评相关知识的表示。

混合知识表示方法是采用面向对象的方法把产生式、框架等表示方法封装在对象里的一种表示方法。根据信息安全等级保护测评工作的特点，其知识主要分为实例知识和规则知识两大类。实例知识是以属性值列表的形式存在，可以通过面向对象的方法实现其知识的表示；规则知识主要分为选型知识和过程性知识，可以通过产生式、框架等表示，然后通过面向对象的方法封装这些方法实现规则知识的标识。

3.2.1 选型知识的表示

等级测评中，测评指标和整改建议的选择都属于选型知识的范畴，其中涉及很多选型规则知识，选型规则主要指确定系统安全等级、系统类型（管理信息系统或生产业务系统）等，一般为简单因果关系的规则。选型规则的一般表示形式为：

首先建立用来封装产生式规则的面向对象类，类中包含公有和私有属性及用来提取规则的相关方法。其中属性的可信度用来描述规则知识的不确定性，其取值范围为0～1，表示产生结果的可能性。下面是等级测评指标选择规则的伪代码实现：

3.2.2 过程性知识的表示

过程性知识是表达等级测评步骤和方法的知识，主要体现在基于规则推理的过程，一般通过程序的方法来实现。过程知识的表示形式为：

建立过程类，其中的步骤采用面向对象的方法来实现。可以执行各个步骤之间的顺序、循环或判断逻辑。过程性知识在等级测评中的伪代码实现如下：

3.3 平台安全保障功能的实现

测评平台中存储和传输的数据均为电力信息系统安全数据，涉及企业机密，因此需保证测评平台的数据安全性。平台对客户端和服务器端的数据通信主要采用SSL协议实现加密、认证和完整性校验等安全措施。SSL协议中包含不同的加密套件，需要根据数据价值和实时性要求选择适当的加密套件。如果一次连接的时间较长，可以使用一时一密的加密通信方式，用随机密钥生成器生成的密钥代替一次连接生成的密钥，还需要在服务器端加入密钥生成器生成密钥和传送密钥，而在客户端接收新密钥，同时销毁旧密钥。

平台直接集成OpenSSL开发包来实现安全保障功能。OpenSSL定义了很多的接口函数来实现SSL安全通信，可以实现的基本功能如下：（1）SSL数据结构的建立；（2）SSL证书解析以及认证功能；（3）SSL安全连接建立功能；（4）SSL 数据传输功能（发送与接收）；（5）SSL错误处理及汇报功能；（6）SSL连接断开功能；（7）SSL数据结构释放功能。

服务器和客户端的安全通信实现过程如图3所示。

本文详细介绍了电力信息安全等级保护测评平台的设计方法以及平台实现中的关键技术。该平台是一个具备全面测评信息和过程管理功能、自动化和智能化程度高、信息集成度高、支持多标准和扩展性良好的测评平台。平台在南方电网系统运行技术支持系统和广东电网生产业务系统等级保护测评中得到了成功应用。