CN113132318A - 面向配电自动化系统主站信息安全的主动防御方法及系统 - Google Patents

Abstract

本发明公开了一种面向配电自动化系统主站信息安全的主动防御方法及系统，所述方法包括：基于配电主站的系统架构，将配电主站的主动防御划分成主机层、操作系统及支撑平台层、应用层和网络层；基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。本发明将配电自动化系统传统的被动式防御技术变更为前瞻性的主动防御，弥补了传统配电主站在抵御未知恶意攻击方面的空白，全面提升了配电主站自身的安全免疫能力。

Description

面向配电自动化系统主站信息安全的主动防御方法及系统

技术领域

本发明涉及配电自动化系统网络安全防护技术领域，具体涉及一种面向配电自动化系统主站信息安全的主动防御方法及系统。

背景技术

当前，配电自动化系统的安全防护体系建设以“安全分区、网络专用、横向隔离、纵向认证”为原则，形成了横跨生产控制大区与管理信息大区并覆盖边界、主机、终端等层面的纵深防御体系。其中，配电自动化系统主站(简称“配电主站”)的安全防护包括主站自身的安全防护、与终端业务交互的安全防护以及与系统边界安全防护，如附图1所示。

(1)配电主站的安全防护

1)主机自身安全要求：配电主站前置机服务器应采用经相关部门认证的安全加固操作系统；数据库服务器、工作站等其他服务器宜采用安全的操作系统，满足安全可靠要求；采集服务器应采用经相关部门认证的安全加固操作系统，采用用户名/强口令、动态口令、安全介质、生物识别、数字证书等至少一种措施，实现用户身份认证及账号管理；配电主站应采用经有关机构检测认证的数据库、中间件等支撑软件，满足安全可靠要求；操作系统和支撑软件应仅安装运行需要的组件和应用程序，操作系统和数据库的身份鉴别、访问控制、安全审计等应符合行业内设置的规定；

2)通过配电自动化系统网络安全专项检测工具等，定期进行主站漏洞扫描，发现主站服务器存在的弱口令、多余端口及服务、常见病毒等安全漏洞，并进行脆弱性分析；通过配置IDS/IPS等入侵检测及防御安全设备，实现主站侧攻击行为及恶意代码检测和阻断。

(2)配电主站与配电终端业务交互的安全防护

配电主站前置机配置配电加密认证装置，实现与配电终端的双向身份认证及业务数据的安全防护。

一是具备双向身份鉴别能力，采用数字证书技术实现与终端的双向身份鉴别，防止非法主站控制终端。二是数据安全传输，基于商用密码算法等措施，实现与终端交互业务数据的机密性、完整性、抗重放等保护。三是在生产控制大区设立安全接入区，与配电主站生产控制大区应用之间采用电力专用横向单向隔离装置实现物理隔离，接入生产控制大区的终端均通过安全接入区接入主站。

(3)配电主站边界的安全防护

1)生产控制大区与主网调度系统之间的安全防护

调度自动化系统的安全等级高于配电自动化系统，为满足两个系统之间双向访问控制需求，避免恶意攻击从配电自动化系统入侵主网调度自动化系统，在配电自动化主站I区应用与主网调度自动化系统之间部署电力专用横向单向安全隔离装置，实现两个系统之间的强隔离。

2)生产控制大区与管理信息大区之间的安全防护

配电自动化生产控制大区的安全等级高于管理信息大区，为满足配电自动化系统两个区之间双向访问控制需求，同时避免恶意攻击从管理信息大区入侵生产控制大区，在两个区域的边界部署电力专用横向单向安全隔离装置，实现两个大区之间的强隔离。

3)与其他系统之间的安全防护

配电自动化主站系统与同等安全域的其他业务系统之间也存在互相访问的需求，如从生产管理系统PMS中获取设备的资产信息，为满足此类访问控制需求，通过在两个系统之间部署防火墙等设备，实现系统之间的逻辑隔离。

综上，当前配电主站的安全防护措施主要从三方面进行防范：一是通过部署IDS/IPS等入侵检测设备，识别恶意攻击；二是从应用层解决篡改业务数据以及非法接入等恶意攻击；三是通过采用物理及逻辑隔离装置，建立防护“围墙”，形成一定程度上的网络隔断。即当前配电主站的安全防护措施仍以“封堵查杀”式的被动型防御为主，一方面通过部署各类型的物理隔离装置(如电力专用横向单向隔离装置、数据隔离组件)、逻辑隔离装置(如防火墙)及入侵检测设备，制定访问控制规则，形成网络隔断，防止攻击范围的扩散；另一方面通过采用身份鉴别、数据加密等技术实现设备接入管控及业务交互数据保护。以上防护措施可解决业务数据在交互过程中面临的监听、篡改、重放等大量恶意攻击问题，但随着配电主站通信方式的多样化、开放化发展，以及黑客攻击手段的日益增强，传统的被动式防护手段在未知风险预防及感知、防御黑客入侵设备内部等方面存在一定缺陷。

发明内容

为了解决现有技术中所存在的上述不足，本发明提供一种面向配电自动化系统主站信息安全的主动防御方法及系统。为进一步增强配电主站抵御未知恶意代码攻击、非法操作的能力，亟需开展面向主站的主动防御技术，在入侵行为对配电主站造成影响之前及时精准预警，并采取相应措施避免、转移、降低配电主站系统面临的风险，形成“主动+被动”的全面、系统性的保护，提升配电主站的主动防御水平。

本发明提供的一种面向配电自动化系统主站信息安全的主动防御方法，包括：

基于配电主站的系统架构，将配电主站的主动防御划分成主机层、操作系统及支撑平台层、应用层和网络层；

基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；

在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。

优选的，所述在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，包括：

当在主机层中部署外设接口行为度量组件时，基于所述外设接口行为度量组件收集主机层的风险特征数据；

当在操作系统及支撑平台层中部署的操作系统CPU资源使用率、内存占用率数据获取的插件时，基于所述操作系统CPU资源使用率、内存占用率数据获取的插件，收集操作系统及支撑平台层的风险特征数据；

当在应用层中部署的应用进程信息插件时，基于所述应用进程信息插件，收集应用层的风险特征数据；

当在网络层中部署风险监测装置时，基于所述风险监测装置，采集配电主站侧的安全设备和网络连接设备的各类信息；

其中，所述风险特征包括风险特征数据和各类信息；所述信息包括网络流量、安全事件、访问记录、运行日志和运行状态。

优选的，所述基于所述风险特征进行风险辨识获得信任规则，包括：

对所述风险特征采用机器学习算法进行安全风险的主动辨识；

当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

优选的，所述基于所述风险特征进行风险辨识之后，还包括：

将新识别出的恶意代码和威胁情报在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库。

优选的，所述在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制，包括：

在主机层嵌入可信芯片或在CPU板上划分的可信区域，将信任规则动态的补充到所述可信芯片或可信区域中，并将所述可信芯片或可信区域作为主站可信计算环境的信任源；

在主机层以所述信任源度量服务器和工作站底层硬件驱动的完整性，当服务器和工作站底层硬件驱动完整时，则启动主机，否则停止启动主机；

在操作系统及支撑平台层中当所述主机层的信任源完整性时，将操作系统启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动操作系统，否则停止启动操作系统；

在应用层中当所述操作系统及支撑平台层的信任源完整性时，将应用程序启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动所述应用程序，否则停止启动所述应用程序。

优选的，在所述操作系统及支撑平台层部署中Docker容器引擎。

优选的，在所述应用层中将指定的主站业务应用程序部署在Docker容器中。

优选的，所述将指定的主站业务应用程序部署在Docker容器中之后，还包括：

对应用层中的调度员控制指令口令和用户隐私进行数据脱敏处理。

优选的，在所述网络层的网络边界处划分一台服务器，用于部署蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离；

在指定服务器上部署沙箱系统，对攻击行为进行隔离并溯源。

基于同一发明构思，本发明还提供了一种面向配电自动化系统主站信息安全的主动防御系统，包括：

设置在配电主站的主机层、操作系统及支撑平台层、应用层和网络层；

风险辨识模块，用于基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；

可信计算模块，用于在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。

优选的，所述主机层的风险辨识模块，包括：

主机层的监测装置部署单元，用于在主机层部署外设接口行为度量组件，基于所述外设接口行为度量组件收集主机层的风险特征数据；

主机层的风险辨识单元，用于对主机层的风险特征数据采用机器学习算法进行安全风险的主动辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

优选的，所述操作系统及支撑平台层的风险辨识模块，包括：

操作系统及支撑平台层的监测装置部署单元，用于在操作系统及支撑平台层上部署操作系统CPU资源使用率、内存占用率数据获取的插件，并基于所述插件收集操作系统及支撑平台层的风险特征数据；

操作系统及支撑平台层的风险辨识单元，用于基于所述操作系统及支撑平台层的风险特征数据对未知风险的进行主动辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

优选的，所述应用层的风险辨识模块，包括：

应用层的监测装置部署单元，用于在应用层部署应用进程信息插件，并基于所述应用进程信息插件收集应用层的风险特征数据；

应用层的风险辨识单元，用于基于所述应用层的风险特征数据对应用软件和配电主站业务的风险进行辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

优选的，所述网络层的风险辨识模块，包括：

网络层的监测装置部署单元，用于在网络层部署风险监测装置，并基于所述风险监测装置采集配电主站侧的安全设备和网络连接设备的各类信息；

网络层的风险辨识单元，用于基于所述各类信息进行风险辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

优选的，所述主机层、操作系统及支撑平台层和应用层的风险辨识模块，还包括：

风险预防单元，用于将新识别出的恶意代码和威胁情报在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库。

优选的，所述主机层的可信计算模块，具体用于以所述信任源度量服务器和工作站底层硬件驱动的完整性，当服务器和工作站底层硬件驱动完整时，则启动主机，否则停止启动主机；

所述操作系统及支撑平台层的可信计算模块，具体用于当所述主机层的信任源完整性时，将操作系统启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动操作系统，否则停止启动操作系统；

所述应用层的可信计算模块，具体用于当所述操作系统及支撑平台层的信任源完整性时，将应用程序启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动所述应用程序，否则停止启动所述应用程序。

优选的，所述操作系统及支撑平台，还包括：

容器引擎单元，用于部署中Docker容器引擎。

优选的，所述应用层，还包括：

容器隔离单元，用于将指定的主站业务应用程序部署在Docker容器中；

数据脱敏单元，用于对应用层中的调度员控制指令口令和用户隐私进行数据脱敏处理。

优选的，所述网络层，包括：

第一防护单元，用于基于部署的蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离；

第二防护单元，用于部署沙箱系统进行攻击行为取证，并对攻击行为进行隔离并溯源。

与现有技术相比，本发明的有益效果为：

本发明提供的技术方案，基于配电主站的系统架构，将配电主站的主动防御分成主机层、操作系统及支撑平台层、应用层和网络层；基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。本发明通过主机层、操作系统及支撑平台层、应用层和网络层；以及风险特征辨识和可信计算能将配电自动化系统传统的被动式防御技术变更为前瞻性的主动防御，弥补了传统配电主站在抵御未知恶意攻击方面的空白，形成了配电主站从主机层、操作系统层以及网络层的一体化主动防御体系，全面提升了配电主站自身的安全免疫能力。

本发明提供的技术方案，通过风险辨识为可信计算体系动态补充信任规则，使可信计算更加全面。

附图说明

图1为本发明当前配电自动化系统安全防护体系；

图2为本发明一种面向配电自动化系统主站信息安全的主动防御方法流程图；

图3为本发明配电主站主机的可信防护示意图；

图4为本发明配电主站应用的容器化部署示意图；

图5为本发明配电主站基于Storm的流式数据处理流程；

图6为本发明配电主站批量数据脱敏流程；

图7为本发明配电主站网络边界主动防御联动策略示意图；

图8为本发明配电主站主动防御架构示意图。

具体实施方式

为了更好地理解本发明，下面结合说明书附图和实例对本发明的内容做进一步的说明。

实施例1

如图2所示，本发明提供了一种面向配电自动化系统主站信息安全的主动防御方法，包括：

S1、基于配电主站的系统架构，将配电主站的主动防御划分成主机层、操作系统及支撑平台层、应用层和网络层；

S2、基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；

S3、在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。

本发明中基于风险辨识获得的信任规则动态的添加到规则库中，为可信计算提供的依据，使可信计算更全面的发现风险。

S2、在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，包括：

当在主机层中部署外设接口行为度量组件时，基于所述外设接口行为度量组件收集主机层的风险特征数据；

当在操作系统及支撑平台层中部署的操作系统CPU资源使用率、内存占用率数据获取的插件时，基于所述操作系统CPU资源使用率、内存占用率数据获取的插件，收集操作系统及支撑平台层的风险特征数据；

当在应用层中部署的应用进程信息插件时，基于所述应用进程信息插件，收集应用层的风险特征数据；

当在网络层中部署风险监测装置时，基于所述风险监测装置，采集配电主站侧的安全设备和网络连接设备的各类信息；

其中，所述风险特征包括风险特征数据和各类信息；所述信息包括网络流量、安全事件、访问记录、运行日志和运行状态。

进一步的，基于所述风险特征进行风险辨识获得信任规则，包括：

对所述风险特征采用机器学习算法进行安全风险的主动辨识；

当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

基于所述风险特征进行风险辨识之后，将新识别出的恶意代码和威胁情报在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库。

S3、在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制，包括：

在主机层嵌入可信芯片或在CPU板上划分的可信区域，将信任规则动态的补充到所述可信芯片或可信区域中，并将所述可信芯片或可信区域作为主站可信计算环境的信任源；

在主机层以所述信任源度量服务器和工作站底层硬件驱动的完整性，当服务器和工作站底层硬件驱动完整时，则启动主机，否则停止启动主机；

在操作系统及支撑平台层中当所述主机层的信任源完整性时，将操作系统启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动操作系统，否则停止启动操作系统；

在应用层中当所述操作系统及支撑平台层的信任源完整性时，将应用程序启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动所述应用程序，否则停止启动所述应用程序。

在操作系统及支撑平台层部署中Docker容器引擎。

在应用层中将指定的主站业务应用程序部署在Docker容器中。

将指定的主站业务应用程序部署在Docker容器中之后，对应用层中的调度员控制指令口令和用户隐私进行数据脱敏处理。

本实施例在所述网络层的网络边界处划分一台服务器，用于部署蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离；

在指定服务器上部署沙箱系统，对攻击行为进行隔离并溯源。

实施例2

基于同一发明构思，本发明还提供了一种面向配电自动化系统主站信息安全的主动防御系统，包括：

按照配电主站的系统架构，将配电主站中生产控制大区和管理信息大区的主动防御均分成配电主站主机层、操作系统及支撑平台层、应用层、网络层四个不同层面：

(1)配电主站主机层的主动防御

主机层的主动防御包括以下两方面：

一是利用可信计算实现硬件层的可信保护：首先，硬件层划分TPM可信根，作为整个配电主站可信体系的信任源，可采用嵌入可信芯片或者在CPU板上划分可信区域的方式实现，保证可信芯片或可信区域满足TPM标准，不可被非法访问；其次，以可信根为信任源，度量服务器、工作站底层硬件驱动的完整性(即度量BIOS的完整性)，判断硬件驱动是否遭到篡改，如果发现被破坏，主机将自动停止启动。主机的可信防护如图3所示

二是主站外设接口的行为度量。外设接口包括USB口、网口、串口/并口等，此类接口通常支持热插拔，且通信标准统一，容易成为黑客利用的对象，因此，有必要监测和控制其行为，管控非法操作。

目前，对于安全等级要求较高的系统已经实现了外设接口的行为管控，如通过在服务器内部署专用的安全移动存储介质管理系统，对移动存储介质、鼠标键盘、打印机的使用权限进行控制和使用行为日志记录和审计，包括接入时间、传输内容等信息；并规定只有专用安全存储介质才能接入服务器，且在数据进行交换时要通过安全认证；此外，存储介质在接入时，先通过防病毒软件进行病毒扫描，避免不同主机通过外设设备遭受交叉感染及摆渡攻击。

在此基础之上，为进一步提高主机的安全主动防御能力，可采取外设接口行为特征监测的方式，对其传输的文件、引起的进程等特征进行监控，并通过与机器学习模块的联动，建立起异常识别机制，实现对未知风险的主动辨识。

(2)操作系统及支撑平台的主动防御

操作系统层及支撑平台层的主动防御包括以下两方面：

一是通过监测操作系统/数据库等的漏洞、系统文件、资源占用情况等特征，实现风险的辨识。对于已知的系统层漏洞，可以通过建立已知漏洞库，实现对各种形式的漏洞具有针对性和综合性的扫描及判断，如采用配电专用网络安全分析工具，定期对主站系统的漏洞扫描，本发明将其划分为被动防御的范畴；对于未知的系统漏洞，漏洞库的方式已经无法辨识，只能通过监测其被利用后可能引发的异常特征，对攻击行为进行阻断，达到主动防御的目的。异常行为可以通过进程的特征、系统占用资源(如CPU使用率、内存占用率)、API接口被调用情况等特征表征，因此，需通过监测以上特征量，并通过与机器学习模块的联动，建立起异常识别机制，实现对未知风险的主动辨识。

二是操作系统及支撑平台的可信计算，防止系统及平台遭到非法篡改。操作系统及支撑平台的可信度量基于主机层的可信根和信任链的传递实现，只有在可信根的完整性未遭到破坏时，才可通过信任机制计算操作系统及支撑平台的完整性标识值(例如哈希值或签名值)，识别系统是否遭到篡改及恶意控制。一旦发现标识值不一致，则说明系统被篡改，服务器将停止启动。

(3)应用层的主动防御

应用层的主动防御包括以下四方面：

1)风险辨识

包括应用软件的风险监测及辨识、配电主站业务的风险监测及辨识。

①应用软件的风险监测及辨识。应用软件的风险监测包括自身的漏洞、进程、资源占用情况等特征。对于已知的软件漏洞，可以通过漏洞库的方式进行辨识，此项技术已经非常成熟，本发明将其划分为被动防御的范畴。主动防御主要解决未知漏洞的辨识，未知漏洞没有事先建立起的规则库，因此，只能通过监测其一旦被利用后将可能引起的异常行为特征实现对未知漏洞的辨识。如CPU使用率突然增长、内存占用率突然增大、进程行为异常、调用了核心API接口等特征。

②配电主站业务的风险监测及辨识。对配电主站业务的监测主要是对其下发的指令报文进行监测，如对时、遥控、终端参数设置、终端程序远程升级等报文，监测其格式、完整性等内容是否遭到破坏。

2)可信计算

应用层的可信计算基于操作系统及平台层的信任链传递，只有在操作系统及平台层的完整性未遭到破坏时，通过信任机制计算应用软件的完整性标识值，识别应用程序是否遭到篡改及恶意控制。

3)容器隔离

如图4所示，将主站与重要生产业务相关的应用程序(如SCADA、负荷转供、综合告警等)放入Docker容器中运行，每个容器中可以存放一个或多个应用程序。

Docker包含以下三个部件：Docker镜像(Image)、Docker容器(Container)、Docker仓库(repository)；

①Docker镜像(Image)

Docker镜像就是一个只读的模板。比如，一个镜像可以包含一个完整的虚拟机操作系统环境(例如：ubuntu)，里面仅安装了apache或用户需要的其他应用程序。镜像可以用来创建Docker容器。另外Docker提供了一个很简单的机制来创建镜像或者更新现有的镜像，用户甚至可以直接从其他人那里下载一个已经做好的镜像来直接使用。

②Docker容器(Container)

Docker利用容器来运行应用。容器是从镜像创建的运行实例，它可以被启动、开始、停止、删除。每个容器都是相互隔离的、保证安全的平台。可以把容器看作是一个简易版的Linux环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。

③Docker仓库(Repository)

仓库是集中存放镜像文件的场所。仓库注册服务器(Registry)上存放着多个仓库，每个仓库中又包含了多个镜像，每个镜像有不同的标签(tag)。当用户创建了自己的镜像之后就可以使用推送(push)命令将它上传到公有或者私有仓库，这样下次在另外一台机器上使用这个镜像时候，只需要从仓库上下载(pull)下来就可以了。

应用层的容器隔离技术即为每个或者几个应用程序建立一个虚拟的操作系统，将各应用进行隔离，防止恶意代码等病毒在不同应用程序之间的传播，同时防止攻击者企图从一个应用程序获取其他应用程序的敏感信息及通过一个应用程序控制其他程序。

4)数据脱敏

应用层的数据脱敏技术可防止重要生产数据(例如：调度员控制指令口令的存储)或用户隐私等敏感信息泄露。按照数据的应用场景，将主站侧数据脱敏划分为动态数据脱敏和静态数据脱敏，对于实时性要求较高的数据，采用动态数据脱敏(流式数据脱敏技术，如控制指令的下发及回应、遥测/遥信报文等)，可以在使用敏感数据时进行脱敏；对于实时性要求不高的数据，采用静态数据脱敏(批量数据脱敏技术，如终端通道、点表配置信息)，只有数据处于非活跃状态下才能进行脱敏(如数据存储脱敏)。

①基于Storm流式数据脱敏技术

Storm是一个分布式的、可靠的、容错的数据流处理系统。该集群的输入流由Spout组件进行管理，即Spout向bolt传递数据后，bolt或者向其他bolt传递数据，或者将数据保存到某些存储器内，而一个Storm集群就是在一连串的bolt之间转换spout传过来的数据。

由于Storm的数据处理方式是增量的实时处理，因此数据脱敏模块应该具备增量数据脱敏的功能。当数据还没有全部完成传输时，可以采用脱敏模块去读历史数据并结合相应的算法进行数据脱敏，将敏感词去掉，依据脱敏规则将数据做泛化处理。流式数据脱敏的优势是从数据开始传输时刻就进行了数据处理，与配电主站业务数据的产生及传输特点相匹配，基于Storm的流式数据处理流程如图5所示。

②批量数据脱敏技术

批量数据接入是指数据来源于一个稳定的、基本不变的存储介质，通过数据扫描的方式一次性将数据采集到数据平台，数据以历史数据为主，数据源一般来自文件、关系型数据库、NoSQL数据库等。批量数据脱敏可以在数据导入的过程中进行脱敏，也可以在数据进入数据平台后，调用脱敏程序模块来进行脱敏，批量数据的脱敏可以结合数据的关联关系，运用复杂的脱敏算法以达到更好的脱敏效果。批量数据脱敏流程如图6所示，对于日志类信息，采用基于Flume的脱敏方式，对于数据库类信息，采用基于Sqoop的脱敏方式。Flume为一个高可用的，高可靠的，分布式的海量日志采集、聚合和传输的系统；FlumeInterceptor为Flume的数据拦截器，在拦截器中调用数据脱敏程序，输出脱敏后的数据，然后数据进一步通过非法信息拦截器(Unid Interceptor)，完成非法数据过滤；Sqoop是适用于关系型数据库的数据采集，可以通过建立中间表，编写用户定义函数及程序的方式，最后通过任务调度程序，批量进行数据脱敏。基于两种脱敏方式形成的数据最终将进入HadoopCluster(分布式系统架构群)中，并随着数据调度环节分配至各主站应用中继续使用。

(4)网络层的主动防御

配电主站的网络防护对象包括配电主站网络边界(生产控制大区与管理信息大区边界、生产控制大区与安全接入区边界)及配电主站内部服务器的网络连接节点。

网络边界的报文交互及网络流量为主动防御提供了很好的输入资源，可通过部署安全监测探针或者通过规定交换机、安全类设备的接口获取网络边界的流量情况；网络连接节点可通过部署安全沙箱进行攻击行为取证，实现恶意文件及安全事件的日志采集与分析。

通过对采集到的数据进行建模，识别出恶意攻击，同时在交换机和防火墙内部署蜜罐诱捕功能，将非法扫描等攻击报文重定向到蜜罐后，蜜罐通过提供虚假资源与其进行交互，并进一步确定其攻击意图，实现引流联动，从而实现主动实时防御。网络边界的主动防御联动策略如图7所示。

本实施例以某配电自动化主站系统为例，如图8所示，综合主机层、操作系统及支撑平台层、应用层、网络层的主动防御技术，以风险辨识及预防体系、可信计算为两大支撑体系，辅以操作系统及支撑平台、主站业务应用的容器隔离技术、数据脱敏以及网络的主动诱捕、安全沙箱技术，共同构建配电主站的主动防御架构。

(1)主机层

在配电主站主机主板上嵌入TPM可信芯片，作为主站可信计算环境的信任源，并部署外设接口行为度量组件，用于收集主机层风险特征数据。

(2)操作系统及支撑平台层

以主机层的可信芯片为信任源，通过计算操作系统启动过程中的摘要值，并与存放于TMP芯片中的预置摘要值作比较，若一致，则可正常启动操作系统，若不一致，则立即停止启动；并部署操作系统CPU资源使用率、内存占用率数据获取的插件，用于收集操作系统及支撑平台层的风险特征数据；此外，还需在操作系统层部署Docker容器引擎。

(3)应用层

以操作系统及支撑平台层的完整性为基础，通过计算应用程序启动过程中的摘要值，并与存放于TMP芯片中的预置摘要值作比较，若一致，则可正常启动应用程序，若不一致，则立即停止启动；并部署应用进程信息插件，用于收集应用层的风险特征数据；此外，对于重要主站业务应用程序(如SCADA、负荷转供、综合告警)需部署在Docker容器中，并对调度员控制指令口令和用户隐私进行数据脱敏处理。

(4)网络层

在配电主站系统的网络边界处划分一台服务器，用于部署蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离运行；在重要服务器上部署沙箱系统，对于WEB浏览等行为，均通过沙箱系统运行，有助于及时隔离并溯源攻击行为。

风险辨识及预防体系包括特征监测、风险辨识、风险评估、风险预防四部分，形成“智能分析、信誉共享、策略联动”的风险监控策略：通过部署风险监测装置(探针或接口)，对配电主站侧的安全设备、网络连接设备等进行网络流量、安全事件、访问记录、运行日志、运行状态等各类信息采集；根据采集到的数据，采用机器学习算法实现安全风险的主动辨识；一旦判定出安全威胁后，依据策略模型给执行器(如防火墙或交换机)下发告警、阻断等相应控制策略；同时，新识别出的恶意代码和威胁情报还会在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库，实现信誉共享。本实施例中风险辨识及预防体系可以部署在主机层、操作系统及支撑平台层、应用层和网络层的一层或多层中。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本发明的实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均包含在申请待批的本发明的权利要求范围之内。

Claims (19)

1.一种面向配电自动化系统主站信息安全的主动防御方法，其特征在于，包括：

基于配电主站的系统架构，将配电主站的主动防御划分成主机层、操作系统及支撑平台层、应用层和网络层；

基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；

在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。

2.如权利要求1所述的方法，其特征在于，所述在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，包括：

当在主机层中部署外设接口行为度量组件时，基于所述外设接口行为度量组件收集主机层的风险特征数据；

当在操作系统及支撑平台层中部署的操作系统CPU资源使用率、内存占用率数据获取的插件时，基于所述操作系统CPU资源使用率、内存占用率数据获取的插件，收集操作系统及支撑平台层的风险特征数据；

当在应用层中部署的应用进程信息插件时，基于所述应用进程信息插件，收集应用层的风险特征数据；

当在网络层中部署风险监测装置时，基于所述风险监测装置，采集配电主站侧的安全设备和网络连接设备的各类信息；

其中，所述风险特征包括风险特征数据和各类信息；所述信息包括网络流量、安全事件、访问记录、运行日志和运行状态。

3.如权利要求2所述的方法，其特征在于，所述基于所述风险特征进行风险辨识获得信任规则，包括：

对所述风险特征采用机器学习算法进行安全风险的主动辨识；

当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

4.如权利要求3所述的方法，其特征在于，所述基于所述风险特征进行风险辨识之后，还包括：

将新识别出的恶意代码和威胁情报在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库。

5.如权利要求1所述的方法，其特征在于，所述在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制，包括：

在主机层嵌入可信芯片或在CPU板上划分的可信区域，将信任规则动态的补充到所述可信芯片或可信区域中，并将所述可信芯片或可信区域作为主站可信计算环境的信任源；

在主机层以所述信任源度量服务器和工作站底层硬件驱动的完整性，当服务器和工作站底层硬件驱动完整时，则启动主机，否则停止启动主机；

在操作系统及支撑平台层中当所述主机层的信任源完整性时，将操作系统启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动操作系统，否则停止启动操作系统；

在应用层中当所述操作系统及支撑平台层的信任源完整性时，将应用程序启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动所述应用程序，否则停止启动所述应用程序。

6.如权利要求1所述的方法，其特征在于，在所述操作系统及支撑平台层部署中Docker容器引擎。

7.如权利要求6所述的方法，其特征在于，在所述应用层中将指定的主站业务应用程序部署在Docker容器中。

8.如权利要求7所述的方法，其特征在于，所述将指定的主站业务应用程序部署在Docker容器中之后，还包括：

对应用层中的调度员控制指令口令和用户隐私进行数据脱敏处理。

9.如权利要求1所述的方法，其特征在于，在所述网络层的网络边界处划分一台服务器，用于部署蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离；

在指定服务器上部署沙箱系统，对攻击行为进行隔离并溯源。

10.一种面向配电自动化系统主站信息安全的主动防御系统，其特征在于，包括：

设置在配电主站的主机层、操作系统及支撑平台层、应用层和网络层；

风险辨识模块，用于基于在所述主机层、操作系统及支撑平台层、应用层和/或网络层中部署的监测装置，获取对应层的风险特征，并基于所述风险特征进行风险辨识获得信任规则；

可信计算模块，用于在所述主机层、操作系统及支撑平台层和应用层中均基于所述信任规则通过可信计算确定是否遭到篡改和恶意控制。

11.如权利要求10所述的系统，其特征在于，所述主机层的风险辨识模块，包括：

主机层的监测装置部署单元，用于在主机层部署外设接口行为度量组件，基于所述外设接口行为度量组件收集主机层的风险特征数据；

主机层的风险辨识单元，用于对主机层的风险特征数据采用机器学习算法进行安全风险的主动辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

12.如权利要求10所述的系统，其特征在于，所述操作系统及支撑平台层的风险辨识模块，包括：

操作系统及支撑平台层的监测装置部署单元，用于在操作系统及支撑平台层上部署操作系统CPU资源使用率、内存占用率数据获取的插件，并基于所述插件收集操作系统及支撑平台层的风险特征数据；

操作系统及支撑平台层的风险辨识单元，用于基于所述操作系统及支撑平台层的风险特征数据对未知风险的进行主动辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

13.如权利要求10所述的系统，其特征在于，所述应用层的风险辨识模块，包括：

应用层的监测装置部署单元，用于在应用层部署应用进程信息插件，并基于所述应用进程信息插件收集应用层的风险特征数据；

应用层的风险辨识单元，用于基于所述应用层的风险特征数据对应用软件和配电主站业务的风险进行辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

14.如权利要求10所述的系统，其特征在于，所述网络层的风险辨识模块，包括：

网络层的监测装置部署单元，用于在网络层部署风险监测装置，并基于所述风险监测装置采集配电主站侧的安全设备和网络连接设备的各类信息；

网络层的风险辨识单元，用于基于所述各类信息进行风险辨识；还用于当判定出安全威胁时获得信任规则，并依据策略模型给执行器下发告警或阻断的控制策略。

15.如权利要求10所述的系统，其特征在于，所述主机层、操作系统及支撑平台层和应用层的风险辨识模块，还包括：

风险预防单元，用于将新识别出的恶意代码和威胁情报在整个配电主站系统进行共享，为每个环节的网络设备及安全设备建立联动的情报库。

16.如权利要求10所述的系统，其特征在于，

所述主机层的可信计算模块，具体用于以所述信任源度量服务器和工作站底层硬件驱动的完整性，当服务器和工作站底层硬件驱动完整时，则启动主机，否则停止启动主机；

所述操作系统及支撑平台层的可信计算模块，具体用于当所述主机层的信任源完整性时，将操作系统启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动操作系统，否则停止启动操作系统；

所述应用层的可信计算模块，具体用于当所述操作系统及支撑平台层的信任源完整性时，将应用程序启动过程中的摘要值与所述信任源中的预置摘要值作比较，若一致，则启动所述应用程序，否则停止启动所述应用程序。

17.如权利要求10所述的系统，其特征在于，所述操作系统及支撑平台，还包括：

容器引擎单元，用于部署中Docker容器引擎。

18.如权利要求17所述的系统，其特征在于，所述应用层，还包括：

容器隔离单元，用于将指定的主站业务应用程序部署在Docker容器中；

数据脱敏单元，用于对应用层中的调度员控制指令口令和用户隐私进行数据脱敏处理。

19.如权利要求10所述的系统，其特征在于，所述网络层，包括：

第一防护单元，用于基于部署的蜜罐系统，主动诱捕黑客攻击并将攻击行为进行隔离；

第二防护单元，用于部署沙箱系统进行攻击行为取证，并对攻击行为进行隔离并溯源。

Images