王 尧，刘 珊，王少博

（国网山西省电力公司电力科学研究院，山西 太原 030001）

0 引言

为提升风电、光伏等新能源消纳空间，降低全社会用能成本，山西能源监管制定并印发《山西独立储能和用户可控负荷参与电力调峰市场交易实施细则（试行）》，指导引导独立储能和用户可控负荷在电力现货试运行期间开展电网削峰填谷。用户可控负荷市场主体包括电力用户和辅助服务聚合商。其中辅助服务聚合商指的是将可控负荷用户聚合集中在一起，作为整体参与电力调峰交易并代理相关商务事宜的机构。辅助服务聚合商参加电力调峰市场交易需满足准入条件，包括基本要求、与调度机构数据交互要求、功率调节要求等。辅助服务聚合商与调度机构进行数据交互，主要依托辅助服务聚合平台（以下简称“聚合平台”）。聚合平台自身网络安全性一旦无法保证，在与调度机构进行数据交互时，极有可能泄露敏感交易数据进而引发交易市场混乱等恶性结果。因此，对聚合平台进行网络安全风险评估势在必行。

1 网络安全风险评估技术

网络安全风险评估是一种主动防御技术，在安全事件未发生时主动分析和评估信息系统潜在安全隐患，根据评估结果而采取恰当的风险控制措施，有效降低网络安全风险。在风险评估技术实际应用过程中，按照技术的应用范围和应用方式，可分为基线核查、自动化漏洞扫描、渗透测试等。

基线核查是通过检查各安全配置参数是否符合安全基线的评估技术，包括操作系统、中间件、数据库等的基线核查，是一种合规性安全检测。安全基线指的是为满足安全规范要求，信息系统安全配置必须达到的基础标准。以操作系统为例，其核查项包括账号配置、口令配置、授权配置、日志配置、IP通信配置等方面内容，这些配置情况可以直接反映操作系统自身安全的脆弱性。

自动化漏洞扫描是基于漏洞数据库通过自动化扫描的手段对目标系统进行安全脆弱性检测，并发现可利用漏洞的安全评估技术，集成端口扫描、后门程序检测、口令爆破、组件检测、应用扫描等模块，实现对目标系统的一体化安全风险评估。

渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种评估技术，一般采用手动操作。测试人员使用与攻击者相同的工具、技术和流程，来查找和展示系统弱点对业务带来的影响。渗透测试会模拟各种可能威胁聚合平台业务的攻击，检查系统是否足够稳定，能否抵抗来自经过聚合平台认证和未经认证的攻击。通过渗透测试往往能发现目标系统更为深层的应用层漏洞。

2 针对聚合平台的适用性分析

2.1 基线核查

在信息系统实际开发运维过程中，开发运维人员往往以降低安全性为代价，提高开发运维工作的便利性，其主要修改项即为服务器基础配置。因此，在聚合平台正式上线投运前，开展基线核查并进行安全加固应作为基本措施，为聚合平台提供基础的安全保障。基线核查是合规性检测，应确保聚合平台服务器相关设置符合各级法律法规，尤以各类日志留存的配置作为核查重点，如服务器安全日志、Web容器日志等，保证聚合平台发生故障或安全事件时，通过日志进行事件分析处置。

根据服务器部署情况，聚合平台可划分为使用云平台和使用自有的独立服务器两种。在安全评估实际实施时，基线核查针对这两种聚合平台，可采用不同的评估方式。云平台服务器初始镜像一般已做基础安全加固，配置的安全性有一定保障，同时云平台的安全中心往往自带基线检查功能。针对此类聚合平台进行基线核查时，可充分利用平台基线检查功能，根据实际情况修改检查策略，采用自动化检测方式批量完成配置检查，提高基线核查效率。而独立服务器一般采用操作系统、中间件、数据库的初始化配置，安全性相对较差，实施评估时可加大人工核查比例，并提供检测详情说明和基线加固建议，协助完成问题整改。

2.2 自动化漏洞扫描

2.2.1 适用性分析

聚合平台一般采用Web架构搭建，由中间件、数据库、缓存组件、远程管理等多种服务或组件构成，向下对可控负荷用户提供服务，向上连接调控机构进行数据交互。依托漏洞数据库，自动化漏洞扫描可将聚合平台中可能存在的已知漏洞、弱口令、简单应用层漏洞扫描出来，完成基础漏洞层面的风险评估，构成风险评估的主体。

2.2.2 技术参数分析

当前主流的自动化漏洞扫描设备或工具可以分为两类，一类是以国家信息安全漏洞库、国家信息安全漏洞共享平台等公开漏洞库为主要漏洞库，用于发现操作系统、组件、设备的已知漏洞，简称为主机漏扫；另一类是以Web应用程序为扫描目标，用于发现SQL注入、文件上传、信息泄露等Web应用层漏洞，简称为应用漏扫。

主机漏扫可以省去各种既耗时又耗力的人工操作，测试人员不必逐个测试验证聚合平台是否存在某项已知漏洞。从安全评估的全面性和效率上出发，自动化漏洞扫描必须包含主机漏扫。需要注意的技术参数主要有扫描速率和漏洞数据库版本两项。扫描速率可以根据聚合平台实际网络吞吐量进行调整，或者兼顾扫描效率和平台平稳运行以适中的速率进行。保持漏洞数据库版本为最新，同时辅以特定漏洞验证脚本、应用层框架漏洞验证工具，弥补漏洞库的安全评估缺失项。

应用漏扫在配置和操作得当的情况下，可以辅助测试人员发现应用层漏洞，可作为安全评估的可选项。之所以应用漏扫非必要，是因为应用漏扫一旦配置或操作不当，可能会对聚合平台造成一定影响，如服务器宕机、数据篡改等。为了消除应用漏扫对聚合平台的影响，安全评估就不能针对生产环境的聚合平台开展，聚合商必须具备单独的测试环境，这无疑增加了风险评估的成本。

2.3 渗透测试

2.3.1 适用性分析

为了可控负荷用户使用上的便利，聚合平台一般是公网开放的，可控负荷用户可通过公网访问聚合平台。对于外部攻击者而言，主要攻击点就是对外开放的Web服务。因此，针对聚合平台开展安全评估时，应将渗透测试作为安全评估的重要补充。因为渗透测试人员会在评估过程中利用最新攻击技术，思考越过安全防护的方法，提供更为深入的评估，极大地弥补了自动化测试容易忽略的业务逻辑漏洞，如数据验证、完整性检查。同时，渗透测试可以辅助分析，帮助识别自动化漏洞扫描误报的问题。

2.3.2 技术参数分析

根据授权范围的大小，渗透测试可划分为黑盒、灰盒、白盒三类渗透测试方式。黑盒是指评估方对聚合平台的结构一无所知，完全模拟外部攻击者探寻任何可从外部发起攻击的安全漏洞；灰盒是指评估方通过实地访谈、查询资料等方式对聚合平台具备初步了解，但不了解聚合平台的内部数据结构、代码和算法；白盒是指评估方可以获取聚合平台的所有设计实施文件，如源代码、二进制程序、设计文档等，在此基础上进行安全评估。

针对聚合平台开展渗透测试时，首先应综合权衡评估双方利益应考虑灰盒模式。安全评估在已知平台信息的前提下，评估工作会更高效，测评效果更显著。显然，从白盒、灰盒再到黑盒，安全评估的充分性是依次降低的，从评估方角度出发，白盒模式更有利于发现聚合平台的安全隐患。而对于聚合商自身来说，聚合平台的设计实施文件具备一定商业价值，不应贸然外传，否则可能会造成经济损失，同时也可能因为评估方的不当行为带来安全隐患。因此，适中的灰盒模式可兼顾评估双方利益，聚合商仅提供聚合平台设备与应用账号密码，并在评估结束后立即修改口令和配置，而无需提供设计文档和源代码，这样既有利于安全评估的开展，又在供应链层面保障聚合平台的安全性。其次，渗透测试的评估效果与测试人员自身经验和技术水平直接相关，在聚合平台安全评估中可根据实际情况选用经验更为丰富的测试人员进行测试，充分查找出聚合平台Web应用层潜在的安全隐患。渗透测试通常分为信息收集、漏洞扫描、漏洞利用、后渗透4个步骤，在对聚合平台的安全评估中一般仅需前3步即可，后渗透可能会对聚合商其他信息系统甚至调控机构造成影响。

3 结束语

针对电力辅助服务聚合平台进行网络安全风险评估时，应将基线核查作为基础措施，自动化漏洞扫描作为主要手段，渗透测试作为重要补充。基线核查可根据聚合平台服务器实际部署情况，调整自动化核查和人工核查比例，提高基线核查效率和效果；自动化漏洞扫描应包含主机漏扫，扫描速率适中，辅以特定漏洞验证脚本、应用层框架漏洞验证工具；渗透测试选用灰盒模式，取消后渗透环节。