E-P2DR3F安全防御模型在电力系统中的应用
2013-03-11梁雅元李伟宁梁承东
梁雅元,李伟宁,徐 晖,梁承东
(1.海南电网公司信息部,海南 海口570100;2.南方信息安全等级保护服务中心,广东 广州510000)
随着计算机网络技术的发展以及互联网的广泛应用,网络安全问题日益突出。由于网络的开放性,其从出现就受到各方面形形色色的威胁和攻击。所以,一个高效的安全防御系统的搭建就显得非常重要。在电力领域中,由于其行业工作性质的特殊性,对于加强我国电力信息系统安全性,全面规范电力信息系统的安全管理体系将变得十分必要。传统的P2DR模型[1]以及P2DR2模型[2]已经广泛使用于电力信息系统中,本文将对P2DR2安全防御模型做出进一步改进,并引入一种信息熵对系统进行风险评估,得到一种优化的E-P2DR3F安全防御模型,并通过该模型对电力信息系统进行更深入的研究与分析,使电力信息系统的安全性达到最大化。
1 基于P2DR、P2DR2安全防御模型简介
P2DR安全防御模型是一种基于闭环控制的动态网络安全理论模型,为了构造多层次、全方位以及立体的区域网络安全环境,P2DR安全防御模型包含了策略(Policy)、防护(Protection)、检测(Detection)以及响应(Response)四个组成环节,后来随着人们对业务连续性以及灾难恢复功能的日益关注,将恢复(Restore)加入了模型之中,提出了P2DR2安全防御模型,如图1所示。
图1 P2DR2安全防御模型
(1)策略(Policy)是整个动态网络安全理论模型中的最重要部分,主要定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略以及明确系统的总体安全规划和原则等,整个安全防御模型的其他部分都依赖于策略。(2)防护(Protection)是充分利用现有资源,如防火墙系统、入侵检测系统、蜜罐系统[3]等,采用各种信息安全技术与方式来保证信息系统的完整性、可用性及安全性。(3)检测(Detection)是系统实施响应环节的重要依据,通过不断检测信息系统状态查找信息系统中的各种风险与威胁行为。如使用防火墙系统具有的入侵检测技术[4]或安全审计、系统扫描工具,配合其他专项检测软件,建立访问控制子系统ACS,从而实现信息系统的入侵检测与日志记录等功能,以有益于发现通过ACS的威胁系统的攻击行为。(4)响应(Response)主要是对于那些通过系统检测之后的可疑性威胁行为作出正确与及时响应。实时性是安全响应要求之一,当信息系统遭受外界入侵者的威胁与攻击时,能够第一时间采取响应措施,例如监控威胁攻击行为、调整信息系统安全等级级别、杜绝内外网络链接等。(5)恢复(Restore)又称为灾难备份(Recovery)机制,指的是当信息系统受到攻击或破坏,面临系统瘫痪时,通过对系统文件、功能以及数据等重要信息进行恢复、备份,从而使信息系统恢复到正常运行状态。
传统的安全防御模型在现有的网络或信息系统安全结构体系中应用虽然比较广泛,但已不能满足行业要求,需要改进与扩展。以P2DR2安全防御模型为例,首先,安全策略部署之前应该添加一个全面、规范的风险评估机制;其次,该模型应该完善安全审计机制,为系统安全人员提供一种查看安全事务记录过程的功能;最后,面对海量的、分散的数据信息、行为或事件,该模型应该结合数据信息融合思想,以利于数据信息的高效使用与整合。因此针对以上几个方面,对传统的安全防御模型进行了改进与优化。
2 P2DR2防御优化模型(P2DR3F模型)
传统的P2DR2安全防御模型构造的是一个动态的防御过程。模型的各个组成部分在安全策略的统一指导下构建成为一个全面的、立体多维的动态安全循环。但是由于电力信息系统的特殊重要性,当外界入侵或攻击电力信息系统时,除了对其进行防护、检测、响应以及恢复之外,有必要对系统安全防御过程中产生的活动行为数据与日志信息进行审计,因此安全防御模型应该增加一种报告(Report)模块,使信息系统安全人员能够通过查询报告数据信息对系统安全性进行深入分析,提早发现系统潜在安全因素,为系统安全防御模型其他组成环节提供辅助数据信息支持,如系统灾难恢复确定时间、系统成功修复标识信息等。除了需要额外的报告模块之外,由于电力信息系统的信息交互量非常大,需在传统安全防御模型的基础之上结合数据融合的思想,增加一种融合(Fusion)环节。所以,加入报告、融合模块不仅更加优化系统功能,而且为制定统一的安全策略提供了相应依据,为系统数据信息高效性利用提供支持。因此,在传统的P2DR2安全防御模型的基础之上提出了P2DR3F模型,该模型应该包括以下重要部分:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)、恢复(Restore)、报告(Report)及融合(Fusion)。
3 E-P2DR3F安全防御模型
3.1 E-P2DR3F简介
E-P2DR3F安全防御模型对P2DR3F模型进行优化改进,它具有动态循环的生命周期过程。在安全策略统一指导之前,有必要对信息系统存在的各种潜在攻击行为、事件或风险因素做一次全面、规范的基于信息熵的风险评估,这样可以为整个系统安全策略的制定提供重要参考依据,如对于风险评估结果值较高的子系统或安全领域,首先对其进行安全性标识,在安全策略中注重对该子系统或安全领域的安全配置,并且在其动态循环的防御模型下进行重点监控;相反,则保持现有状态的安全策略。在统一的安全策略指导下,对其进行防护、检测、响应、恢复、报告、融合。所以,引入基于信息熵的风险评估机制有利于了解安全策略制定之前信息系统各部分的安全风险等级,从而决定安全策略的制定与选取,使系统安全性达到最优化。因此将这种安全防御模型称为基于信息熵(Entropy)的P2DR3F模型,即EP2DR3F安全防御模型,该模型体系结构如图2所示。
图2 E-P2DR3F安全防御模型
3.2 E-P2DR3F安全防御模型在电力系统中的应用
将E-P2DR3F安全防御模型具体地应用到电力系统中,依据电力系统安全管理的严格要求,对该防御模型的各个模块环节进行详细描述。
(1)基于信息熵(Entropy)的风险评估机制:首先应该对电力信息系统中的安全风险等级进行划分,确定风险评估评价集合,如{极高,较高,一般,较低,极低};其次,在依据定性与定量相结合的原则之下,通过邀请信息安全风险评估相关的专业人员进行等级考评,获取风险评估结果矩阵,通过相关安全技术取得风险评估结果值。依据结果值来判定不同子系统或安全领域的风险评估等级。表1为风险评估观察点体系。
从表1中可以看出,二级观察点较多,可以依据其风险等级制定出风险评估结果矩阵。为了简化研究过程,只对一级观察点进行风险评估,获取的风险评估结果矩阵如下:
依据不同观察点求出风险评估需要的信息熵Ei,如依据一级观察点相关数据,通过信息熵计算公式求出输入的熵值E=(E1,E2,E3,E4,E5)=(0.845,0.746,0.922,0.733,0.967);然后依据这些信息熵值与相关计算公式,得到权值系数∮=(∮1,∮2,∮3,∮4,∮5)=(0.437 5,0.514 4,0.173 2,0.349 3,0.211 4)。最后通过层层数据计算,给出相关的风险评估结果值,总体结果集为:∮×R=(0.156 2,0.332 7,0.535 7,0.168 3,0.096 7)。因此,结果值对应于风险评估评价集合{极高,较高,一般,较低,极低},它们的结果值分别为(0.156 2,0.332 7,0.535 7,0.168 3,0.096 7),可以看出其中“一般”的风险等级为0.535 7最高。因此该系统风险评估的安全状态为“一般”。
表1 基于Entropy风险评估观察点体系
(2)安全策略(Policy):在电力系统中,安全策略是整个安全防御模型最为核心的部分。基于信息熵的风险评估结果值为高可靠性的安全策略提供了信息支持,有利于安全策略制定的完善性。如为制定机房安全管理制度、系统软件、硬件安全管理制度以及系统运维安全管理制度等方面提供了风险安全等级依据,使得在统一安全策略指导下的各个关键环节都能安全动态地循环下去。
(3)安全防护(Protection):在这一环节中可以使用多种信息安全技术进行安全性防护,如使用身份识别技术进行访问安全验证,使用数据加密技术为了保证系统相关重要数据信息的隐私性,另外也可利用防火墙技术对系统内外网进行安全性隔离。除了采用相关信息安全技术对电力系统进行防护之外,也可以使用相关硬件工具进行安全性防护,如采用人脸识别、口令认证设备等对进出人员进行身份确认等。随着计算机安全技术的蓬勃发展、日新月异,也出现了众多无线安全技术,如防无线拦截、抗电磁干扰等技术。
(4)安全检测(Detection):入侵检测技术是安全检测部分最重要也是最为常用的方式和手段。此外,在电力系统中可以额外使用一些安全技术,如网络系统探测技术、安全审计技术等,除了检测系统的潜在风险与威胁之外,也能时刻掌握整个系统运行时期的相关行为状态信息。
(5)安全响应(Response):在电力系统中,该环节相当重要。由于电力与警务单位对于事件安全响应要求特别严格。所以,当检测到系统出现风险与潜在威胁时,必须保证系统能正确地、实时地做出响应,使系统遭受的损失降到最低。如今也出现了相关应用于安全响应方面的技术,如人工免疫[5]、应急控制等技术等。
(6)安全恢复(Restore):电力系统中相关文件与数据信息的重要性不言而喻。因此,当系统受到外界攻击与威胁时,除了采取相关主动处理措施之外,也需要及时地对关键数据信息与应用进行随时备份,这样能够及时使系统从故障状态中恢复出来。
(7)安全报告(Report):首先为系统确定需要报告记录的相关格式与内容,然后采取固定时间点或其他方式进行动态循环报告,如使用数据库对一天或一周的安全事件信息进行日志记录,内容可以分为事件种类、时间阶段、风险级别、处理结果等。通过安全报告模块,可以为系统相关安全人员提供可以随时查阅的可靠数据信息,同时也为安全策略的制定提供了辅助支持。
(8)安全融合(Fusion):海量性、分散性是电力系统中数据信息、行为与事件的重要特点。因此,如何对这些重要的,同时具有关联性的数据进行融合,使其应用参考价值达到最大化是一个急需解决的方面。在安全防御模型中引入了安全融合模块,正好可以解决相关问题。在系统中采用高速搜索引擎机制、哈希索引管理方式等为数据信息提供实时定位功能等。实现了安全融合,可以使有价值的数据的利用率得到提高,清除那些已经没有参考价值的数据信息,也能降低系统存储量,从而实现系统数据信息高性能优化配置。
上述使用E-P2DR3F安全防御模型部署于电力系统中,依据该模型对系统进行高效性、高安全性配置。除了采取安全防御模型管理方式之外,也可以采取一些常用的安全管理机制,如VPN/SSL[6]等。
本文提出的E-P2DR3F安全防御模型对P2DR2模型进行了相关改进,对系统安全性做了进一步地优化配置,为迎合“金盾”计划,全面加强电力系统的安全管理提供了巨大参考价值。
[1]黄勇.基于P2DR安全模型的银行信息安全体系研究与设计[J].信息安全与通信保密,2008(6):115-118.
[2]李小松.一个改进的基于P2DR2的立体网络安全防御体系[M].济南:山东大学,2011.
[3]朱琳.蜜罐技术在入侵检测系统中的研究应用[J].价值工程,2012,31(15):164.
[4]康慧华.基于入侵检测和蜜罐技术的校园网安全防护系统的研究[M].南京:东南大学,2009.
[5]李峰泉.基于人工免疫的网络入侵检测研究[M].西安:西北大学,2010.
[6]徐来.基于CDMA/VPN网络的公安办公系统的应用[M].北京:北京邮电大学,2010.