電力系統終端敏感數據保護研究與設計

摘 要： 智能電網業務應用系統終端數據存在著數據泄露的風險，對終端進行數據安全保護有著極其重要的作用。通過前期對電力系統業務終端安全風險的分析和研究，設計了基于終端敏感數據的安全防護系統和方法，該系統和方法涉及策略的訪問控制以及是否敏感數據判斷等技術，對該方法的各個環節和流程進行了細致的分析，對電力系統終端敏感數據的安全有很好的防護和借鑒作用。

關鍵詞： 終端設備； 敏感數據； 訪問控制； 密級分類

中圖分類號： TN710?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2013）15?0112?03

Design of sensitive data protection system in power system terminal

LI Wei?wei， ZHANG Tao， LIN Wei?min， MA Yuan?yuan， DENG Song， SHI Jian， WANG Chen

（Nanjing Branch， China Electric Power Research Institute， Nanjing 211100， China）

Abstract： There is a risk of data leakage from the terminal of smart grid business systems， so the protection of terminal data is important. Based on the previous security analysis and research of business terminal of the power system， the security protection system and method for the terminal sensitive data are designed. The system and method involves reasonable access control and sensitive data judgement. Therefore， every link and flow process of the method are analyzed in detail. It plays an important role of protection and reference for the sensitive data in power system terminal.

Keywords： terminal equipment； sensitive data； access control； security classification

0 引 言

隨著智能電網的發展和網絡通信的復雜化，各種終端在電網業務系統中的使用越來越多樣化，這對智能電網數據的安全產生了極大的威脅。終端數據的完整性、保密性以及可用性直接關系到各個電力業務系統的正常使用，其安全性越來越受到重視。面對日漸突出的終端數據泄露問題，對于終端敏感數據進行保護，提高其安全性也愈發重要。

本文通過前期對全生命周期數據防泄漏安全風險的分析和研究，發現電力業務系統終端的主要安全威脅[1]主要包含以下幾個方面，一是終端入網的安全審查，二是非法的數據訪問，三是病毒和安全漏洞，四是安全審計的缺失。針對終端數據安全的這些風險，本文提出了敏感數據的安全防護系統和方法。通過策略的訪問控制和是否敏感數據的識別技術[2?3]，對各個流程進行了分析和設計。

1 終端敏感數據保護總體方案

電力業務系統終端敏感數據保護方案，如圖1所示。電力業務系統終端敏感數據的保護方案主要包含以下幾個方面：

圖1 終端數據保護總體方案

（1）網絡訪問控制。針對其他終端對業務系統終端的訪問，進行限制。

（2）身份認證。對于直接登錄業務系統終端的用戶或者是遠程終端用戶進行用戶名密碼的認證。

（3）增加文件標識。當用戶對文件進行新建時，根據用戶身份確認文件的密級并增加創建者和密級的標識；當對文件進行修改時，如果修改者的密級低于原來文件的密級則禁止操作，否則則增加一個修改者信息。通過這種方式，將用戶對文件的操作進行嚴格的限制。

（4）基于內容感知的敏感數據保護。通過敏感數據識別技術，確認所發送的信息是否涉密，根據訪問控制策略，查看是否允許發送涉密文件。

（5）數據加密。通過對數據內容的敏感數據識別，判斷是否為敏感數據，如果是，則要進行文件加密操作。

（6）安全審計。對終端的操作都要進行記錄和審計，對后期的追責提供依據。

（7）文檔權限控制及外發控制。如果要對文檔進行外發操作，則要檢查策略控制表，看該用戶是否有權限對該文檔進行外發操作。

（8）USB及串口等外設的使用權限。如果要對文檔通過外設進行輸出，則要檢查策略控制表，看該用戶是否有權限對該文檔進行該外設的輸出操作。

2 終端敏感數據保護總體流程

2.1 終端敏感數據策略

管理員將終端數據防泄漏訪問控制[4?6]策略表下發到電力系統采集和加工終端，通過對終端的訪問和外發敏感數據的識別和控制，保證敏感數據的安全。下發的策略主要包含用戶名、密碼、可訪問文檔密級、外發權限、遠程訪問權限、USB、紅外、藍牙、打印機的使用權限，主要內容見表1。

表1 終端數據防泄漏策略表

[用戶名＼密碼＼可訪問密級＼外發權限＼遠程訪問＼USB＼紅外＼藍牙＼打印機＼Lucy＼******＼3＼IP1：port2、

……＼IP44：port32、

……＼N＼N＼N＼N＼Admin＼******＼2＼IP21：port1、

……＼IP5：port78、

……＼Y＼N＼Y＼N＼……＼……＼…＼……＼……＼…＼…＼…＼…＼]

2.2 終端敏感數據保護流程

電力業務系統終端敏感數據流程，如圖2所示。具體步驟如下：

（1）對與遠程的數據訪問，檢查服務端發下的數據防泄漏終端防護策略，查看是否是允許訪問的端口。對于用戶本機登錄訪問，則通過用戶名和密碼進行驗證。如果是允許訪問的遠程終端和用戶，則允許登錄采集或者是加工終端，否則，禁止訪問。

（2）對于用戶訪問，如果是對文件進行操作的話，通過文件驅動的控制，在不影響文件使用的前提下，在文件中嵌入標簽，標識操作的類型和用戶。

（3）對文件通過敏感數據判斷接口，判斷是否敏感數據，如果是則要進行加密操作。

（4）如果要對文件進行外發的操作，則檢查數據防泄漏終端防護策略，看外發的地址是否在可外發范圍內，如果在則進行傳輸，如果不在，禁止操作。

（5）對于要對文件進行打印或者是USB傳輸操作，則檢查服務端下發的數據防泄漏終端防護策略，查看是否是可以使用的外設，如果是則允許進行打印和USB傳輸，否則，禁止操作。

（6）在操作的過程中，對于系統登錄，外發等操作，要進行日志的記錄，便于后期的安全審計和追蹤問責。

圖2 終端的數據防泄漏流程

2.3 終端敏感數據保護技術實現

在采集終端及加工處理終端策略方案的實現中，主要設計的技術實現包括文件的管控和外設的管控，文件的管控主要包括敏感數據的判斷、敏感數據加解密和不同密級敏感數據的訪問控制。

在對外設的管控上，主要采取控制開關的方式，根據策略對其進行控制，主要對文件的管控進行介紹，在對文件的防泄漏管控技術上，主要實現的功能有：是否敏感數據判斷、敏感數據加解密、不同密級敏感數據的訪問控制。

對是否敏感數據的判斷主要是通過敏感數據知識庫進行學習，將待操作的文件進行是否敏感數據的判斷。對數據的加解密和訪問控制主要是采用過濾驅動[7?8]的方式來實現。具體實現如圖3所示。

圖3 過濾驅動的數據流程

文件系統過濾驅動技術[9]即通過在文件系統驅動上加載過濾驅動，能夠對所有的文件訪問請求IRP進行攔截，并根據具體的訪問保護策略對相應的IRP進行攔截，并根據具體的訪問保護策略對相應的IRP進行攔截，可以在細粒度級別上對文件的操作進行控制，從而能夠實現對文件訪問的有效保護。文件系統過濾驅動作為一種內核態中間層驅動，不需要改變下層驅動或用戶程序而增加新的功能，具有安全性高、透明性好、擴展性好、可擴展性好、自我防護能力強等特點。實現過程描述如下：

（1）當一個用戶線程發出一個I/O請求，此時CPU進入核心態處理。

（2）I/O管理器構造一個輸入/輸出請求包（I/O Request Package，IRP）來請求這個I/O請求，然后調用文件系統驅動。

（3）文件系統驅動完成適當的處理，I/O管理器返回處理結果，I/O管理器將結果返回給請求的進程。

通過使用文件過濾驅動可以對文件數據的讀寫進行訪問控制，在文件過濾驅動程序中可以攔截到對文件的所有操作，包括新建、讀寫、刪除、重命名等等，以及文件名和文件內容，最及時的響應用戶的訪問請求，是對用戶操作文件的行為實施訪問控制的最佳渠道。文件系統驅動的主要處理包括，增加標識、確定密級、文件加解密處理。通過文件過濾驅動，在進行新建、讀寫、刪除、重命名等操作的時候，在解析的文檔格式的標示部分增加用戶名和對文件的操作類型標識。通過解析文件格式，在不妨礙文件正常使用的字段中，增加文件的創建、修改、外發者的信息的方式，便于后期管控和審計。

通過采集來自不同業務系統、不同業務類型的敏感數據作為示例數據，使用這些示例數據構建知識庫，然后構建決策模型，并使用該模型對知識庫中的內容通過文本識別技術，來識別文檔數據是否敏感數據。對敏感數據進行加密操作以及外設輸出控制。

（4）返回處理完的IRP給I/O管理器。

（5）I/O管理器按照順序將IRP傳向下一個驅動。

（6）底層返回IRP給I/O管理器。

3 結 語

本文通過對電力系統終端安全保護技術的研究，設計了終端安全保護架構和保護方法。主要通過對終端文檔網絡外發和外設使用結合文件密級的限制對其進行安全防護，對電力業務系統終端的數據安全起到很好的保護作用。

參考文獻

[1] 李偉偉，張濤，林為民，等.電力系統敏感數據全生命周期安全風險分析[J].電力信息化，2012（11）：78?81.

[2] 張國棟，張華祥.基于語義的文本特征加權分類算法[J].計算機應用研究，2012，29（12）：4476?4478.

[3] FERNANDOF， KSENIYA Z， WOLF?GANG M. Text categorization methods for automatic estimation of verbal intelligence [J]. Expert Systems with Applications， 2012， 39（10）： 9807?9820.

[4] 余昇，祝璐，沈昌祥.多級安全模型[J].計算機工程與設計，2012，31（13）：2939?2950.

[5] 嚴駿，蘇正煉，凌海峰，等.MIS中基于部門和角色的細粒度訪問控制模型[J].計算機應用，2011，31（2）：523?526.

[6] 李唯冠，趙逢禹.帶屬性策略的RBAC權限訪問控制模型[J].小型微型計算機系統，2013，34（2）：328?331.

[7] 張倩紅，陳雪華，馬傳國，等.基于網絡環境的計算機終端數據安全防護研究術[J].電力信息化，2011（11）：84?87.

[8] 李珠峰.Windows系統中基于文件過濾驅動的文件動態訪問控制技術[J].電腦知識與技術，2012，8（9）：2045?2047.

[9] 王蘭英，居錦武.基于IRP的Windows設備驅動程序文件操作的實現[J].四川理工學院學報，2010，23（1）：41?43.