《信息系統(tǒng)安全理論與技術(shù)》

第9章新型電力信息系統(tǒng)安全設(shè)計(jì)案例本章內(nèi)容9.1傳統(tǒng)電力信息系統(tǒng)安全9.2新型電力信息系統(tǒng)的安全需求9.4基于零信任的新型電力信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制設(shè)計(jì)9.5零信任關(guān)鍵能力模型設(shè)計(jì)9.3新型電力信息系統(tǒng)攻擊行為建模技術(shù)9.1傳統(tǒng)電力信息系統(tǒng)安全2016年9月，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)中強(qiáng)調(diào)：“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)?！?017年6月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》施行，電網(wǎng)安全是國(guó)家安全的重要部分。電力系統(tǒng)網(wǎng)絡(luò)空間已成為各國(guó)爭(zhēng)奪的重要戰(zhàn)略空間，網(wǎng)絡(luò)空間對(duì)抗態(tài)勢(shì)不斷加劇。2021年9月28日，國(guó)家電網(wǎng)有限公司召開(kāi)保障供電緊急電視電話會(huì)議，落實(shí)黨中央、國(guó)務(wù)院決策部署，對(duì)供電保障工作進(jìn)行再部署、再推動(dòng)、再落實(shí)，全力以赴保安全、保民生、保重點(diǎn)供電。公司有關(guān)單位扛起電力保供責(zé)任，采取多種措施堅(jiān)決守住大電網(wǎng)安全生命線和民生用電底線。蠕蟲攻擊導(dǎo)致核電站停運(yùn)震網(wǎng)攻擊導(dǎo)致核設(shè)施故障網(wǎng)絡(luò)攻擊導(dǎo)致基輔區(qū)域停電網(wǎng)絡(luò)攻擊+物理破壞攻擊配電系統(tǒng)離心機(jī)損毀攻擊輸油管道全美進(jìn)入緊急狀態(tài)20032010201520192021電網(wǎng)安全威脅1.0電網(wǎng)安全威脅2.0電網(wǎng)安全威脅3.0網(wǎng)絡(luò)入侵、計(jì)算機(jī)病毒等網(wǎng)絡(luò)空間攻擊，導(dǎo)致電網(wǎng)的信息系統(tǒng)故障定向攻擊電力系統(tǒng)感知、決策和執(zhí)行環(huán)節(jié)，造成物理系統(tǒng)的運(yùn)行故障、設(shè)備損毀信息攻擊與物理破壞相結(jié)合的混合攻擊，造成電力系統(tǒng)的系統(tǒng)性癱瘓世界上發(fā)生過(guò)25次損失負(fù)荷超過(guò)800萬(wàn)千瓦的重大停電事故，美國(guó)6次，英國(guó)2次9.1傳統(tǒng)電力信息系統(tǒng)安全9.1傳統(tǒng)電力信息系統(tǒng)安全工業(yè)互聯(lián)網(wǎng)安全典型案例：烏克蘭停電事件協(xié)同攻擊的出現(xiàn)：2015年12月23日烏克蘭大停電事故中，攻擊者通過(guò)BlackEnergy惡意軟件和DDoS等多種網(wǎng)絡(luò)攻擊手段，攻擊了烏克蘭部分變電站，導(dǎo)致烏克蘭7個(gè)110kV變電站和23個(gè)35kV變電站故障，數(shù)十萬(wàn)人斷電。針對(duì)智能電網(wǎng)的網(wǎng)絡(luò)攻擊的建模、檢測(cè)和防御開(kāi)始被廣泛研究分析。烏克蘭停電事件攻擊全程示意圖9.1傳統(tǒng)電力信息系統(tǒng)安全安全防護(hù)能力不足，缺乏對(duì)電力網(wǎng)絡(luò)空間的結(jié)構(gòu)建模和攻擊行為建模。安全預(yù)測(cè)能力不足，缺乏對(duì)攻擊者可能采取攻擊手段的預(yù)判。安全推演能力不足，缺乏處置威脅的最佳行為策略。信息網(wǎng)絡(luò)與物理系統(tǒng)緊密耦合，相互依存；攻擊發(fā)生時(shí)，導(dǎo)致連鎖故障反應(yīng)公開(kāi)的防護(hù)方案：“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”VS

暗處蓄意而動(dòng)的網(wǎng)絡(luò)攻擊9.1傳統(tǒng)電力信息系統(tǒng)安全現(xiàn)行電網(wǎng)防護(hù)體系

原則：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證形成以邊界防御為核心的現(xiàn)行電網(wǎng)防護(hù)體系安全隱患分析?縱向數(shù)據(jù)明文傳輸

電網(wǎng)數(shù)據(jù)在縱向通過(guò)電力專網(wǎng)進(jìn)行傳輸，大量敏感數(shù)據(jù)在專網(wǎng)內(nèi)以明文形式傳輸，容易造成信息泄露。?橫向防御建構(gòu)不足

橫向防御以網(wǎng)絡(luò)邊界和安全區(qū)之間的隔離為核心進(jìn)行構(gòu)建，安全區(qū)內(nèi)防御薄弱，對(duì)侵入安全區(qū)內(nèi)的攻擊防護(hù)力度不足。電網(wǎng)二次系統(tǒng)安全防護(hù)總體框架9.1傳統(tǒng)電力信息系統(tǒng)安全9.2新型電力信息系統(tǒng)的安全需求（1）電力系統(tǒng)網(wǎng)絡(luò)安全管理制度及技術(shù)標(biāo)準(zhǔn)尚未完善涉及網(wǎng)絡(luò)安全設(shè)備與組件的供應(yīng)商、服務(wù)提供商、企業(yè)用戶的安全責(zé)任體系仍需發(fā)展，缺少切實(shí)可行的安全評(píng)估方案和管理標(biāo)準(zhǔn)。（2）電力信息系統(tǒng)安全邊界模糊在能源互聯(lián)網(wǎng)時(shí)代，能源系統(tǒng)正向碎片化能源時(shí)代轉(zhuǎn)型，并以萬(wàn)物互聯(lián)、高度智能的形態(tài)存在，網(wǎng)絡(luò)邊界不再像傳統(tǒng)經(jīng)典結(jié)構(gòu)那樣清晰，智能終端設(shè)備急劇增加。（3）海量異構(gòu)終端存在安全接入風(fēng)險(xiǎn)新型電網(wǎng)的建設(shè)使電網(wǎng)規(guī)模迅速擴(kuò)大，海量智能終端接入電網(wǎng)，在提升電網(wǎng)運(yùn)行效率的同時(shí)，也帶來(lái)了更多安全風(fēng)險(xiǎn)。例如，DDoS是常見(jiàn)的難防范的攻擊，電網(wǎng)系統(tǒng)中的防火墻并未配置有效防御DDoS攻擊的防護(hù)策略。（4）云環(huán)境下面臨的安全問(wèn)題虛擬化安全問(wèn)題，數(shù)據(jù)集中的安全問(wèn)題，云平臺(tái)可用性問(wèn)題，云平臺(tái)遭受攻擊的問(wèn)題。9.2新型電力信息系統(tǒng)的安全需求（5）5G環(huán)境帶來(lái)的安全問(wèn)題用戶標(biāo)識(shí)的隱私保護(hù)，數(shù)據(jù)的保密性與完整性保護(hù)，保證終端的真實(shí)性，保證網(wǎng)絡(luò)功能的可用性。（6）分布式系統(tǒng)導(dǎo)致的隱私泄露與數(shù)據(jù)竊取等安全問(wèn)題智能電網(wǎng)需要廣泛使用智能電表、分布式電源、智能電器和充放電設(shè)備等。多種設(shè)備接入電網(wǎng)，如計(jì)費(fèi)、監(jiān)控等數(shù)據(jù)劇增，存在數(shù)據(jù)被竊取和被非法控制的安全風(fēng)險(xiǎn)。（7）網(wǎng)絡(luò)安全主動(dòng)防御能力不足基于歷史數(shù)據(jù)的智能入侵檢測(cè)、溯源分析、攻擊反制及主動(dòng)防御的應(yīng)用和研究仍處于探索階段。（8）電網(wǎng)信息系統(tǒng)中網(wǎng)絡(luò)安全態(tài)勢(shì)感知和預(yù)警手段普遍缺乏目前缺乏對(duì)非法外聯(lián)、非法內(nèi)聯(lián)、病毒感染、網(wǎng)絡(luò)入侵等行為的監(jiān)測(cè)及阻斷技術(shù)手段，造成無(wú)法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件并進(jìn)行應(yīng)急處置的問(wèn)題。9.3新型電力信息系統(tǒng)攻擊建模

從復(fù)雜網(wǎng)絡(luò)理論出發(fā)，將發(fā)電、輸電、變電等系統(tǒng)設(shè)備抽象為物理域的一個(gè)節(jié)點(diǎn)，構(gòu)成節(jié)點(diǎn)集

，把輸電線路進(jìn)行抽象，作為電力網(wǎng)的邊，構(gòu)成邊的集合。這樣，將電力網(wǎng)絡(luò)抽象為一個(gè)拓?fù)鋱D一次系統(tǒng)（物理層）的小世界網(wǎng)絡(luò)模型從復(fù)雜網(wǎng)絡(luò)理論出發(fā)，將電網(wǎng)中量測(cè)終端、EMS子站、調(diào)度中心等等二次設(shè)備抽象為信息域的一個(gè)節(jié)點(diǎn)。將通信網(wǎng)絡(luò)抽象為一個(gè)由點(diǎn)集和邊集組成的圖。復(fù)雜網(wǎng)絡(luò)模型抽象二次系統(tǒng)（信息層）的無(wú)標(biāo)度網(wǎng)絡(luò)模型電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)建模9.3新型電力信息系統(tǒng)攻擊建模社團(tuán)重疊算法步驟網(wǎng)絡(luò)空間安全治理將點(diǎn)圖轉(zhuǎn)換為邊圖1高水平創(chuàng)新團(tuán)隊(duì)2采用LHN(Leicht，Holme和Newman)相似度計(jì)算方法得到邊圖Glink的相似度矩陣Slink高水平創(chuàng)新團(tuán)隊(duì)4

擴(kuò)展：將相似度矩陣Slink自乘

e次，對(duì)矩陣進(jìn)行標(biāo)準(zhǔn)化處理膨脹：將相似度矩陣Slink點(diǎn)乘r次，并進(jìn)行列歸一化處理執(zhí)行擴(kuò)展和膨脹操作，直至狀態(tài)穩(wěn)定，將矩陣結(jié)果轉(zhuǎn)換為聚簇，得到邊社團(tuán)Clink高水平創(chuàng)新團(tuán)隊(duì)3用“一條邊連接著兩個(gè)節(jié)點(diǎn)”思想進(jìn)行點(diǎn)邊圖逆轉(zhuǎn)換，查找出網(wǎng)絡(luò)的社團(tuán)重疊節(jié)點(diǎn)。調(diào)度中心的選址，既要考慮智能變電站或管理區(qū)域的分配與傳輸性能的優(yōu)化，又要考慮網(wǎng)絡(luò)結(jié)構(gòu)的布置與成本經(jīng)濟(jì)性。按社團(tuán)重疊區(qū)域布置選址能夠較好地滿足上述要求。電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)建模9.3新型電力信息系統(tǒng)攻擊建模電力信息網(wǎng)是多層次、多業(yè)務(wù)的復(fù)雜網(wǎng)絡(luò)，可以分為3層：核心層、骨干層、接入層。根據(jù)算例抽象拓?fù)淠Ｐ透鶕?jù)社團(tuán)重疊方法計(jì)算分區(qū)確定信息網(wǎng)各層次節(jié)點(diǎn)數(shù)確定層次內(nèi)部連接關(guān)系確定層次間耦合關(guān)系構(gòu)建電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)層次間耦合關(guān)系

接入層內(nèi)部：與相耦合的電力節(jié)點(diǎn)之間的連接關(guān)系相同骨干層內(nèi)部：根據(jù)電網(wǎng)各分區(qū)間聯(lián)絡(luò)線實(shí)現(xiàn)內(nèi)部連接核心層內(nèi)部：主、備調(diào)度節(jié)點(diǎn)直接相連層次內(nèi)部連接關(guān)系

物理層與接入層：電力節(jié)點(diǎn)與接入層節(jié)點(diǎn)一一對(duì)應(yīng)接入層與骨干層：接入層的重疊節(jié)點(diǎn)與骨干層節(jié)點(diǎn)相連骨干層與核心層：采用全耦合模式電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)建模9.3新型電力信息系統(tǒng)攻擊建模社團(tuán)社團(tuán)成員邊界節(jié)點(diǎn)重疊節(jié)點(diǎn)134,32,33,22，35,37，36,25，31,3036，30，37，22，2536，30，37，22，25，3，38，49，8，55，18，19，7，29，28，11，23，56，57216，1，12，9，8，49，10，13，48，17，45，15，44，46，14，47，55，3，2，383，38，48，49，8，55318，4，6，5，8，7，3，19，28，293，8，18，19，7，29，28411，51，50，49，38，48，3711，37，38，49，48523，21，20，18，22，19，3622，19，23，18，3663，7，54，53，55，28，52，2929，55，3，7，29，2877，29，30，22，25，24，26，27，28，2323，25，28，30，22，7，29856，40，42，41，11，43，5711，56，57936，38，37，56，57，3957，56，37，38，36電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)建模9.3新型電力信息系統(tǒng)攻擊建模模型物理層57782.744.950.12物理信息雙層1351683.525.170.05接入層包含57個(gè)節(jié)點(diǎn)，骨干層包含19個(gè)節(jié)點(diǎn)，核心層包含2個(gè)節(jié)點(diǎn)。最終生成的物理-信息-調(diào)度三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包含57個(gè)電力節(jié)點(diǎn)，78個(gè)信息節(jié)點(diǎn)。接入層骨干層核心層(節(jié)點(diǎn)數(shù))(邊數(shù))(節(jié)點(diǎn)平均度)(平均最短路徑長(zhǎng)度)(聚類系數(shù))節(jié)點(diǎn)平均度增加，說(shuō)明節(jié)點(diǎn)連接的邊數(shù)增加，耦合網(wǎng)絡(luò)更加復(fù)雜，重要的節(jié)點(diǎn)增多；平均最短路徑長(zhǎng)度增加，反映了因?yàn)檫厰?shù)的增加和新節(jié)點(diǎn)的加入，節(jié)點(diǎn)之間互通的路徑條數(shù)增多，表明耦合網(wǎng)絡(luò)比單層電力網(wǎng)絡(luò)更加復(fù)雜；聚類系數(shù)減小，表示耦合網(wǎng)絡(luò)節(jié)點(diǎn)的緊密程度變得稀疏，面對(duì)網(wǎng)絡(luò)攻擊有一定的魯棒性。

電力系統(tǒng)網(wǎng)絡(luò)空間結(jié)構(gòu)建模9.3新型電力信息系統(tǒng)攻擊建模傳統(tǒng)網(wǎng)絡(luò)攻擊模型現(xiàn)代網(wǎng)絡(luò)攻擊模型基于樹結(jié)構(gòu)的攻擊模型基于圖結(jié)構(gòu)的攻擊模型基于網(wǎng)結(jié)構(gòu)的攻擊模型攻擊鏈模型ATT&CK模型鉆石模型混合攻擊攻擊樹攻擊圖攻擊網(wǎng)攻擊鏈/ATT&CK鉆石網(wǎng)絡(luò)攻擊模型作為一種攻擊者視角的攻擊場(chǎng)景表示，能夠綜合描述復(fù)雜多變環(huán)境下的網(wǎng)絡(luò)攻擊行為。9.3新型電力信息系統(tǒng)攻擊建模攻擊樹結(jié)構(gòu)包括根節(jié)點(diǎn)、分支節(jié)點(diǎn)和葉子節(jié)點(diǎn)。根節(jié)點(diǎn)是攻擊者終極攻擊目標(biāo)，葉節(jié)點(diǎn)是攻擊者采取的具體的攻擊手段，中間節(jié)點(diǎn)是葉節(jié)點(diǎn)和根節(jié)點(diǎn)的過(guò)渡。有三種節(jié)點(diǎn)邏輯關(guān)系：或、與、順序與。ATT&CK是由MITRE提出的一套反映各個(gè)攻擊生命周期的攻擊行為的模型和知識(shí)庫(kù)，是對(duì)網(wǎng)絡(luò)攻擊手法的描述，使攻擊手法的表達(dá)有了一致性的標(biāo)準(zhǔn)?；旌瞎艄魳銩TT&CK具有結(jié)構(gòu)化特點(diǎn)，適合多步攻擊行為分析，可以量化攻擊行為更具細(xì)粒度、易共享、基于真實(shí)觀測(cè)的戰(zhàn)術(shù)與技術(shù)庫(kù)9.3新型電力信息系統(tǒng)攻擊建模網(wǎng)絡(luò)空間安全治理確定葉節(jié)點(diǎn)種類及數(shù)目選擇安全屬性量化葉節(jié)點(diǎn)模糊層次分析法計(jì)算安全屬性權(quán)值計(jì)算根節(jié)點(diǎn)實(shí)現(xiàn)概率特定系統(tǒng)ATT&CK電力系統(tǒng)攻擊樹網(wǎng)絡(luò)攻擊行為建模流程針對(duì)電網(wǎng)攻擊有很多種分類，基于通信覆蓋范圍的攻擊分類、基于“CIA”攻擊目標(biāo)的攻擊分類等，下圖是對(duì)電力信息網(wǎng)絡(luò)的全場(chǎng)景攻擊總結(jié)。9.3新型電力信息系統(tǒng)攻擊建模網(wǎng)絡(luò)空間安全治理ATT＆CK矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部，每列列出了單獨(dú)的技術(shù)。黃色標(biāo)注部分是ATT&CK框架約束下的電網(wǎng)攻擊手段，以此為基礎(chǔ)構(gòu)建攻擊行為模型。確定葉節(jié)點(diǎn)種類及數(shù)目選擇安全屬性量化葉節(jié)點(diǎn)模糊層次分析法計(jì)算安全屬性權(quán)值計(jì)算根節(jié)點(diǎn)實(shí)現(xiàn)概率特定系統(tǒng)ATT&CK電力系統(tǒng)攻擊樹網(wǎng)絡(luò)攻擊行為建模流程具有“順序與”邏輯關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率9.3新型電力信息系統(tǒng)攻擊建模①給每個(gè)葉節(jié)點(diǎn)賦予三個(gè)屬性：攻擊成本、攻擊難度和攻擊隱蔽性。用多屬性效用理論，得到葉節(jié)點(diǎn)被攻擊成功的概率。②為了減少主觀性，根據(jù)比較尺度對(duì)安全屬性兩兩進(jìn)行比較，構(gòu)建模糊判斷矩陣。根節(jié)點(diǎn)實(shí)現(xiàn)概率為

③具有“或”邏輯關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率具有“與”邏輯關(guān)系的節(jié)點(diǎn)，其父節(jié)點(diǎn)的實(shí)現(xiàn)概率確定葉節(jié)點(diǎn)種類及數(shù)目選擇安全屬性量化葉節(jié)點(diǎn)模糊層次分析法計(jì)算安全屬性權(quán)值計(jì)算根節(jié)點(diǎn)實(shí)現(xiàn)概率特定系統(tǒng)ATT&CK電力系統(tǒng)攻擊樹網(wǎng)絡(luò)攻擊行為建模流程9.3新型電力信息系統(tǒng)攻擊建模高水平創(chuàng)新團(tuán)隊(duì)結(jié)合ATT&CK和電力信息網(wǎng)的全場(chǎng)景攻擊，將智能電網(wǎng)可能遭受的安全攻擊構(gòu)建成攻擊樹。電網(wǎng)攻擊樹構(gòu)造

攻擊序列S1{E1,E2}S2{E3}S3{E4,E5}S4{E6,E7}S5{E8}S6{E9E10}舉例分析9.3新型電力信息系統(tǒng)攻擊建模攻擊序列屬性評(píng)分攻擊序列攻擊成本攻擊難度攻擊隱蔽性S1432S2121S3134S4311S5233S6322模糊判斷矩陣安全屬性權(quán)重矩陣攻擊序列成功概率

攻擊序列

成功概率S1{E1,E2}0.375S2{E3}0.248S3{E4,E5}0.470S4{E6,E7}0.280S5{E8}0.241S6{E9E10}0.354舉例分析對(duì)19個(gè)攻擊手段構(gòu)成的6條攻擊序列進(jìn)行成功概率的比較9.3新型電力信息系統(tǒng)攻擊建模高水平創(chuàng)新團(tuán)隊(duì)考慮電力系統(tǒng)發(fā)電側(cè)、變電側(cè)、配電側(cè)、輸電側(cè)、用電側(cè)的組成部分及容易遭受的攻擊，構(gòu)建出六棵不同類型設(shè)備節(jié)點(diǎn)的攻擊樹，而設(shè)備的攻擊樹構(gòu)成整個(gè)電力系統(tǒng)的攻擊森林。高水平創(chuàng)新團(tuán)隊(duì)攻擊擴(kuò)展——攻擊森林構(gòu)成9.3新型電力信息系統(tǒng)攻擊建模網(wǎng)絡(luò)空間安全治理攻擊擴(kuò)展——攻擊森林構(gòu)成攻擊樹/構(gòu)成攻擊森林后，提供攻擊檢測(cè)策略。9.3新型電力信息系統(tǒng)攻擊建模對(duì)該圖采用深度優(yōu)先搜索進(jìn)行遍歷得到8856種攻擊檢測(cè)策略。每個(gè)技術(shù)都有成功概率，相乘得到一整條攻擊路徑成功概率，成功概率超過(guò)15%的有149種。攻擊樹的入度、出度只能為1，具有一定的限制，將其拓展為圖的形式9.3新型電力信息系統(tǒng)攻擊建模關(guān)聯(lián)告警信息從自然語(yǔ)言文本中，抽取出特定的事件或事實(shí)信息，將海量?jī)?nèi)容自動(dòng)分類、提取和重構(gòu)。信息包括實(shí)體、關(guān)系、事件。信息抽取主要包括三個(gè)子任務(wù)：關(guān)系抽取、命名實(shí)體識(shí)別、事件抽取。部分關(guān)聯(lián)告警信息展示將深度神經(jīng)網(wǎng)絡(luò)模型應(yīng)用于自然語(yǔ)言處理任務(wù)，以降低特征工程的成本?；谏窠?jīng)網(wǎng)絡(luò)訓(xùn)練出的詞嵌入（語(yǔ)言數(shù)字化）來(lái)進(jìn)行文本匹配計(jì)算，訓(xùn)練方式簡(jiǎn)潔，所得的詞語(yǔ)向量表示的語(yǔ)義可計(jì)算性進(jìn)一步加強(qiáng)。信息抽取文本匹配9.3新型電力信息系統(tǒng)攻擊建模攻擊路徑選擇攻擊路徑顯示成功概率顯示請(qǐng)輸入想要顯示的最大攻擊路徑數(shù)攻擊圖共計(jì)可以探測(cè)8856條攻擊路徑1499.3新型電力信息系統(tǒng)攻擊建模電網(wǎng)攻擊拒絕查看安全損失拒絕控制失去控制失去可用性未經(jīng)授權(quán)的命令消息修改控制設(shè)備參數(shù)停止系統(tǒng)服務(wù)修改警報(bào)設(shè)置報(bào)警抑制修改控制邏輯阻止報(bào)告信息阻止命令信息拒絕服務(wù)常用端口程序上傳遠(yuǎn)程服務(wù)漏洞利用遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)服務(wù)掃描報(bào)告消息欺騙檢測(cè)逃逸主機(jī)痕跡擦除有效賬號(hào)用戶執(zhí)行外部遠(yuǎn)程服務(wù)利用互聯(lián)網(wǎng)開(kāi)放設(shè)備利用攻擊路徑顯示9.3新型電力信息系統(tǒng)攻擊建模攻擊路徑選擇攻擊路徑顯示成功概率顯示攻擊成功概率路徑顯示路徑信息執(zhí)行9.3新型電力信息系統(tǒng)攻擊建模第3條攻擊路徑9.3新型電力信息系統(tǒng)攻擊建模序號(hào)告警節(jié)點(diǎn)告警行為告警時(shí)間告警等級(jí)111修改控制設(shè)備參數(shù)2021-08-1721：27：071211拒絕控制2021-08-1721：28：081338網(wǎng)絡(luò)嗅探2021-08-1721：29：041411修改控制設(shè)備參數(shù)2021-08-1721：29：331511拒絕控制2021-08-1721：30：091655阻止報(bào)告信息2021-08-1721：30：111告警信息分析結(jié)果9.3新型電力信息系統(tǒng)攻擊建模關(guān)聯(lián)告警信息電網(wǎng)攻擊拒絕查看安全損失未經(jīng)授權(quán)的命令消息修改控制設(shè)備參數(shù)修改警報(bào)設(shè)置報(bào)警抑制修改控制邏輯常用端口程序上傳遠(yuǎn)程服務(wù)漏洞利用遠(yuǎn)程系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)服務(wù)掃描報(bào)告消息欺騙檢測(cè)逃逸主機(jī)痕跡擦除有效賬號(hào)用戶執(zhí)行外部遠(yuǎn)程服務(wù)利用互聯(lián)網(wǎng)開(kāi)放設(shè)備利用零信任理念是一種全新的網(wǎng)絡(luò)安全防護(hù)理念，零信任的核心概念是默認(rèn)不信任任何申請(qǐng)?jiān)L問(wèn)資源的主體，無(wú)論該主體來(lái)自于內(nèi)部或外部網(wǎng)絡(luò)，都需要經(jīng)過(guò)認(rèn)證和權(quán)限判定構(gòu)建全新的訪問(wèn)控制的信任基礎(chǔ)，本質(zhì)上就是構(gòu)成以身份為核心的動(dòng)態(tài)訪問(wèn)控制體系。。原則任何訪問(wèn)主體都需要經(jīng)過(guò)認(rèn)證和權(quán)限判定以單詞通信為單位授予對(duì)資源的訪問(wèn)權(quán)限權(quán)限授予是動(dòng)態(tài)的所有數(shù)據(jù)和服務(wù)都被視為資源通信的安全性不應(yīng)該由主體的網(wǎng)絡(luò)位置決定9.4基于零信任的新型電力信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制設(shè)計(jì)9.4基于零信任的新型電力信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制設(shè)計(jì)9.5零信任關(guān)鍵能力模型設(shè)計(jì)身份安全基礎(chǔ)設(shè)施零信任體系中要求任何申請(qǐng)?jiān)L問(wèn)的用戶或設(shè)備都具有合法數(shù)字身份，并對(duì)所有數(shù)字身份進(jìn)行生命周期管理。新型電網(wǎng)中智能終端數(shù)量巨大，可采用標(biāo)識(shí)密碼體系替換傳統(tǒng)的數(shù)字證書。標(biāo)識(shí)密碼是Shamir在1984年提出的一種密碼體系，核心思想是以用戶身份作為用戶的公鑰。與數(shù)字證書相比，IBC有效減少對(duì)數(shù)字證書管理的復(fù)雜性，使得系統(tǒng)更加方便部署和使用。數(shù)字身份全生命周期9.5零信任關(guān)鍵能力模型設(shè)計(jì)身份安全基礎(chǔ)設(shè)施1.KGC產(chǎn)生隨機(jī)數(shù)作為簽名主私鑰，并計(jì)算簽名主公鑰2.KGC選擇并公開(kāi)用一個(gè)字節(jié)表示的簽名私鑰生成函數(shù)標(biāo)識(shí)符hid3.根據(jù)主體A的身份標(biāo)識(shí)，KGC首先計(jì)算4.計(jì)算5.計(jì)算主體A的私鑰為SM9數(shù)字簽名算法9.5零信任關(guān)鍵能力模型設(shè)計(jì)身份安全基礎(chǔ)設(shè)施安全性分析KGC產(chǎn)生隨機(jī)數(shù)作為系統(tǒng)簽名主私鑰，并計(jì)算簽名主私鑰。主體Alice將自己的姓名作為身份標(biāo)識(shí)向KGC申請(qǐng)進(jìn)行身份創(chuàng)建，KGC為Alice分配其私鑰，身份創(chuàng)建成功。在基于q-strongDiffle-Hellman假設(shè)下，不存在多項(xiàng)式時(shí)間算法能夠破解SM9算法，SM9的加密強(qiáng)度約等于3072位的RSA。該身份管理方案在滿足安全性需求的情況下提高了身份管理的效率，是一種可行的新型電力系統(tǒng)下的身份管理機(jī)制。SM9加密實(shí)例測(cè)試9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估云平臺(tái)是新型電網(wǎng)建設(shè)的重點(diǎn)之一，在云平臺(tái)的環(huán)境下，主體的行為特征表現(xiàn)出一定程度的模糊性和動(dòng)態(tài)性，即使主體已經(jīng)完成身份認(rèn)證，仍無(wú)法確保主體的行為完全可靠，甚至主體可能進(jìn)行某些破壞系統(tǒng)安全的行為?；诖嗽?，當(dāng)主體申請(qǐng)?jiān)L問(wèn)系統(tǒng)資源時(shí)，需要根據(jù)主體行為特征計(jì)算主體的信任值，為訪問(wèn)控制提供判定依據(jù)。9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估信任評(píng)估方法初始證據(jù)數(shù)據(jù)：證據(jù)規(guī)范化：獲取初始判斷矩陣：獲取模糊一致矩陣：9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估信任評(píng)估方法計(jì)算特性權(quán)重向量由證據(jù)矩陣和權(quán)重矩陣計(jì)算特性評(píng)估值矩陣：F矩陣是證據(jù)矩陣E和權(quán)重矩陣M計(jì)算

對(duì)角線上的值主體信任值：9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估信任等級(jí)劃分信任等級(jí)信任區(qū)間可信度權(quán)限等級(jí)1極不可信拒絕訪問(wèn)2不可信拒絕訪問(wèn)3低可信只讀4中等可信下載5高可信修改、上傳9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估安全性分析搭建虛擬機(jī)平臺(tái)，模擬用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)電網(wǎng)服務(wù)的條件下算法的安全性。將主體的行為證據(jù)分為三種類型：安全特性，功能特性，可靠特性。以安全特性為例，安全特性可劃分為4種證據(jù)類型：主題嘗試非法認(rèn)證次數(shù)s1，主體嘗試越權(quán)訪問(wèn)次數(shù)s2，主體設(shè)備所含漏洞數(shù)s3,，主體非法掃描端口次數(shù)s4，將行為證據(jù)值進(jìn)行標(biāo)準(zhǔn)化處理后，可以得到安全特性的規(guī)范證據(jù)值為：根據(jù)安全證據(jù)的重要性，可以計(jì)算得到安全特性的初始判斷矩陣為：9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估安全性分析將初始判斷矩陣轉(zhuǎn)化為模糊性一致矩陣為：由模糊一致性矩陣可以求得安全特性中各證據(jù)的權(quán)重為：同理，將功能特性和可靠特性按照該步驟進(jìn)行規(guī)范量化處理后，可以計(jì)算得到用戶的可信度為0.628。根據(jù)主體信任等級(jí)劃分規(guī)則，該主體處于中等可信等級(jí)，可以獲得下載資源的權(quán)限。該情況與電網(wǎng)通信狀況基本符合，當(dāng)使用開(kāi)放的公共網(wǎng)絡(luò)時(shí)，主體的安全性無(wú)法得到保障，擁有的權(quán)限應(yīng)收到限制。9.5零信任關(guān)鍵能力模型設(shè)計(jì)持續(xù)信任評(píng)估安全性分析在主體訪問(wèn)的過(guò)程中，初始可信度作為初始授權(quán)的依據(jù)，信任評(píng)估算法還應(yīng)當(dāng)對(duì)主體后續(xù)訪問(wèn)中的行為有及時(shí)的反饋?？梢钥闯?，隨著主體非法行為比例的增大，主體的可信度會(huì)迅速下降，信任評(píng)估引擎對(duì)主體的非法行為具有敏感性，符合實(shí)際需求，該信任評(píng)估模型能夠?qū)χ黧w的訪問(wèn)權(quán)限進(jìn)行及時(shí)調(diào)整。9.5零信任關(guān)鍵能力模型設(shè)計(jì)動(dòng)態(tài)訪問(wèn)控制現(xiàn)有電網(wǎng)防護(hù)體系使用基于角色的訪問(wèn)控制，存在權(quán)限濫用隱患。零信任模型下的訪問(wèn)控制體系采用基于角色的訪問(wèn)控制實(shí)現(xiàn)粗粒度授權(quán)，建立基本的權(quán)限基線，并基于屬性的訪問(wèn)控制實(shí)現(xiàn)對(duì)權(quán)限的細(xì)粒度控制，根據(jù)主體和客體的實(shí)時(shí)屬性對(duì)主體權(quán)限進(jìn)行控制，提高了權(quán)限分配的靈活度，更進(jìn)一步實(shí)現(xiàn)最小權(quán)限原則，降低了權(quán)限泄露的風(fēng)險(xiǎn)。9.5零信任關(guān)鍵能力模型設(shè)計(jì)動(dòng)態(tài)訪問(wèn)控制安全性分析動(dòng)態(tài)訪問(wèn)控制主要包括兩部分。認(rèn)證部分采用多因素身份認(rèn)證加強(qiáng)認(rèn)證的安全性，其中SM9算法的安全性在身份安全基礎(chǔ)設(shè)施部分已經(jīng)進(jìn)行分析，多因素認(rèn)證還能夠結(jié)合其他認(rèn)證方式如生物特征、動(dòng)態(tài)驗(yàn)證碼、用戶名口令等方式共同對(duì)主體身份進(jìn)行認(rèn)證，進(jìn)一步加強(qiáng)認(rèn)證的安全性，確保主體身份可信。訪問(wèn)控制策略的制定在保留傳統(tǒng)防護(hù)體系中RBAC機(jī)制的同時(shí)，引入基于屬性的訪問(wèn)控制機(jī)制，通過(guò)對(duì)訪問(wèn)上下文環(huán)境的實(shí)時(shí)判定限制了傳統(tǒng)RBAC靜態(tài)權(quán)限授予的缺陷，并結(jié)合持續(xù)信任評(píng)估進(jìn)一步對(duì)主體權(quán)限進(jìn)