電力信息安全一體化積極防御的研究

摘 要：我國電力系統面臨著如何保障信息安全的重要問題。本文通過對電力信息安全防護現狀以及面臨的問題進行分析，并對如何實現電力信息安全一體化積極防御進行研究，從而更好的降低維護信息安全的成本，有效的提高安全防護的能力。

關鍵詞：電力信息；一體化；防御

中圖分類號：TP39 文獻標識碼：A

隨著信息技術的不斷發展，電力企業的信息化技術也日益成熟，經過電力企業多年的實踐和探索，也建成了網絡隔離和分區分域以及縱深防御的防護體系。隨著防護體系的建設，很多新的安全產品被部署到信息安全系統中，但是由于電力企業專職的安全管理人員有限，很難對這些安全產品的運行方法進行深入的掌握，增加了對信息安全防護的維護壓力。因此，如何對這些安全防護產品進行整合，使這些產品能夠自動的監測各種風險并進行安全修補，減小信息安全維護人員的壓力，把他們從繁雜的技術細節中解脫出來，這是我們研究的一個重點。

一、電力信息安全的威脅與風險

（一）電力信息安全面臨的威脅

電力信息系統面臨著來自各方面的威脅，主要有自然威脅、意外人威脅、惡意人威脅以及組件本身的缺陷。系統組件本身的缺陷就是電力系統在設計以及組裝的過程中產生的一些安全隱患，常常發生在電力信息系統的軟件以及硬件組件上。自然威脅就是由于一些自然因素，比如火災揮著雷擊等帶來的一些不可抗拒的威脅。意外人威脅就是由于人員的操作大意等造成的一些安全威脅，這種威脅產生的概率大。惡意人威脅就是有人故意的進行惡意破壞或者是一些黑客行為等。

（二）電力信息安全存在的風險

電力企業的信息安全具備來自多方面的風險，比如有來自互聯網的風險，企業內部的風險、系統的安全風險等。對于電力企業來說，來自內部的風險是比較大的，由于內部人員特別是網絡管理人員，不經意的透漏信息，都可能使系統遭到襲擊，另外，由于安全管理人員的素質不高，用戶口令不合理等這些都可能給信息安全帶來威脅。再者，一些計算機病毒或者一些人惡意的入侵，這些都可能使系統存在這諸多的風險。還有一種情況，就是系統安全存在著風險，系統存在著漏洞，這也容易給電力安全帶來諸多的威脅。電力信息安全存在著諸多的安全和風險，因此，對于電力信息安全一體化防御的研究具有十分重要的意義。

二、關鍵技術與難點

電力企業為了增強自身的信息安全防御的能力，對信息安全進行了多年的實踐和探索，提升了電力信息安全的自主防護能力。但是，現在對于信息安全服務采用的仍然是人工分析，這也使得信息安全服務對人仍然有很大的依賴性，費時費力。許多電力企業也都開始使用了安全漏洞掃描系統以及入侵檢測防御系統，這些安全產品大多專注于特定的安全問題，并且操作程序特別的復雜，檢測報告過于專業，使得使用者必須具有較高的專業性。因此，如何對現有的安全防護產品進行整合，也成為了信息安全防御系統研究的關鍵點。

（一）開放式架構技術

電力信息安全的防護產品種類很多，主要有數據庫系統安全評估、漏洞掃描、等級保護合規性評估、通用服務安全評估以及主機系統安全評估等產品。隨著電力信息安全意識的提高，各單位對于各種防護產品也在不斷的運用，使電力企業信息安全的防護能力有了很大提高。但是，還是停留在被動的防御階段，就是安全防護缺什么東西，才會引進相應的安全防護產品。這也使得我們必須研究出來一種開放式的架構技術，不僅要保留各種安全防護產品的作用和功能，而且還要把每一種單一的安全技術都要進行統一的整合。這種整合必須具有統一的標準，在統一的標準下進行安全技術和產品的整合。在進行設計的過程中，要注重考慮兼容性以及開放性，更好的適應現在的安全防護技術和產品。標準至少包括：統一漏洞庫，統一定義漏洞描述、漏洞級別和解決方案；統一交互規范，所有接入系統的安全產品或組件均能相互通信；統一評價指標，定義安全指標項、指標權重和評價算法，確保不同安全產品對同一風險的評價結果的一致性，并最終形成對整個系統的安全態勢評價。通過這個標準進行相應的接口設計，并按照安全產品的需要進行升級。在接口設計的過程中還要注意一些事項，要注意接口的安全保密性，而且還要滿足不同等級的安全保護標準。

（二）服務一體化技術

隨著信息安全技術的不斷發展，信息安全技術以及信息安全的工具也取得了很好的成效，信息安全測評向智能化、綜合化以及服務一體化發展。但是，現在的風險評估理論仍然是被動、靜態的，主要通過資產的重要性、資產的脆弱性以及資產所面臨的威脅這三個方面進行，被動性很強。信息安全的發展趨勢，就是要讓靜態脆弱的分析融合動態安全態勢的評估，這樣就可以主動的防御來自各方面的風險以及漏洞，并利用計算機技術進行智能化分析，進行動態采集以及融合、評估，掌握信息安全的發展趨勢和發展情況，從而對信息安全發展趨勢進行更好的預測。另一方面，還要將信息安全服務與安全測評聯系在一起，信息安全系統包括體系規劃、安全管理、安全咨詢等，這樣就可以形成一個完整的保障體系，有利于信息系統的數據的分析，及時的掌握信息系統的風險，更好的對信息安全發展趨勢進行動態評估，更好的為后期安全服務提供指導。

三、平臺設計

（一）總體框架設計

電力信息安全積極防御一體化主要有管理控制層、數據采集層以及數據分析層和風險控制層組成。管理控制層就是要對整體的安全態勢進行分析、預測以及評價和展望，并及時對安全策略進行調整，對解決方案進行設計，對風險進行監控和評價；風險控制層就是要對風險數據庫以及漏洞知識庫進行風險的規避、減低以及有效的控制；數據采集層就是要負責數據庫系統、通用服務以及業務應用等不同層面的安全屬性采集，并把采集到的數據傳輸給數據分析層。數據分析層就是對數據進行綜合的分析，并把分析的結果傳輸到風險數據庫。為了對組件的數據進行更好的關聯，對電力信息一體化防御平臺要設計出三個數據庫，分別為漏洞知識庫、風險數據庫以及管理數據庫。漏洞知識庫就是對漏洞分類、漏洞解決方法等經驗知識進行的存儲；管理數據庫主要是存儲管理信息，例如用戶信息、任務信息以及報表信息等；風險數據庫就是對安全風險信息進行監測并進行存儲。電力信息安全一體化積極防御平臺就是根據總部、網省以及地市所進行的一體化設計，更好的進行分布式部署。這樣可以進行上級對下級的監督管理，可以更好的下達任務以及查看信息，實現總部對各級發展情況的全程掌控，有利于做出科學正確的決策。

（二）組件設計

1基礎組件

電力信息安全積極防御一體化平臺，其基礎組件主要有安全測評類組件與安全加固類組件共同組成。為了更好的提高組件之間以及組件與平臺之間的兼容性和相互性，組件必須要采用統一的架構設計，并且每個組件都要有網絡訪問模塊、平臺交互模塊以及數據庫交互模塊三大模塊。測評組件主要是對測評任務進行積極的分析，通過漏洞知識庫的支持，進行安全系數分析，輸出分析數據，并把分析后的數據傳輸給風險數據庫。加固組件主要是對加固任務信息的分析，并通過風險數據庫中的測評結果，對測評對象進行加固，通過驗證后進入到風險監控階段。加固分為兩種，即系統加固和本地加固，本地加固可以直接在測評對象上進行，但是系統加固則要通過網絡或者是加強邊界等安全防護措施來進行加固，以更好的降低測評對象的風險?；A組件設計中難點之一是要開發設計可適應大部分主流安全防護產品的標準軟件代理模塊與平臺進行交互。另外，如何解決產品自帶漏洞庫與平臺統一漏洞庫之間的轉換也需要重點考慮。

2高級應用組件

在電力信息安全一體化積極防御平臺中，其高級應用組件包括很多內容，如安全策略、安全態勢、風險監控組件以及解決方案等。其中安全態勢組件就是要對安全狀況以及系統性能的信息進行分析和數據的融合與挖掘，不僅能夠呈現出安全態勢，而且還能對安全態勢進行更好的預測和分析。安全策略和解決方案就是通過對電力信息的安全態勢分析，自動化的生成一些加固解決方案，然后人工進行干預后，組件能夠自動的執行。風險監控組件就是進行實時的監控，對于一些高危的風險點進行重點監控。高級應用組件在整個平臺中具有關鍵性的地位，它解決了通用安全防護軟件中的一些缺陷，即只針對特定類型的安全問題進行。高級應用組件對安全態勢進行綜合的預測和分析，并進行可視化的展現、風險評價與監控，這是電力信息安全一體化平臺研究的重點和難點。

結語

在電力信息安全一體化積極防御研究中，設計并開發了一些基礎類測評與加固組件，并在一些重大信息安全活動中得到了應用，取得了良好的效果，有效的提高了安全防護的效率。今后要努力進行設計和研究，建立起一個動態調整以及能夠自主加固的安全防護系統，進一步加強信息安全在電力企業建設中的保障作用，更好的為信息安全防護工作提供有效的決策支持。

參考文獻

[1]國家電力監管委員會.電力二次系統安全防護規定（電監會5號令）[Z].北京：國家電力監管委員會，2004.

[2]馮國登.信息安全測評理論與技術[N].計算機學報，2009（04）.

[3]閆斌，曲俊華，齊林海.電力企業網絡信息安全系統建設方案的研究[J].計算機安全，2003（01）.