基于贝尔-拉帕都拉模型的电力网络安全防护指标研究
2015-10-14陈颖聪
陈颖聪
(广东电网有限责任公司梅州供电局,广东梅州514021)
基于贝尔-拉帕都拉模型的电力网络安全防护指标研究
陈颖聪
(广东电网有限责任公司梅州供电局,广东梅州514021)
针对某供电局信息网络安全防护的要求,重点是安全区不同范围的隔离与安全等划分和最新出现的工业控制系统SCA⁃DA病毒防范,采用贝尔一拉帕都拉模型,并结合电力系统以工业控制系统为主的重要特点,从其存取方式、操作、授权状态、授权管理、模型结构和变换规则等方面进行重点讨论,并在此基础上给出最终的信息网络安全防护模型。
网络安全;贝尔一拉帕都拉;授权管理;SCADA
0 引言
电力数据网随着通信和网络技术的发展,其接入的端口越来越多,不乏极其重要的控制终端,随着云计算技术带来的变革,使得电力内部网络的数据交换愈加重要。而电力自动化数据在提高传输效率过程中充分利用了INTER网和无线网,调度数据网和软交换技术在电网的大量应用,让开发和维护过程中的工作量得到减少的同时,也出现了更多新的问题,内部的信息在网络传播的过程中出现了泄漏和损失的情况,有时候还存在信息被人为入侵破坏的情况,使得电网存在失控、误控的风险。因此加强信息安全防范工作,在电力自动化通信技术发展的过程中是一项必不可少的重要任务。
1 电力防护网络安全体系的概述
电网安全防护整个过程就相当复杂,且极具系统化特点,其整个防护过程中将防护流程和管理技术通过先进的防护技术结合为一个整体。一般情况下,此工程在模型建立的过程中都参照信息安全工程学建立模型的基本方法,安全工程在试验中实施项目的全过程都能够得到信息安全工程模型,只是在实际防护过程中存在一系列差异,信息安全工程模型仅仅针对一些单一设备的安全设置,而电力通信防护体系的考虑更加系统化、复杂化。将这些因素归结为一个整体,安全策略、安全管理、技术管理这三个方面是整体中包含的主要因素,也是信息安全模型构成的主要部分。
2 贝尔-拉帕都拉模型
贝尔-拉帕都拉模型是在1970年,美国军方提出的,用于解决分时系统的信息安全和保密问题,这个模型主要用于防止机密信息被未经授权的主体访问。使用贝尔-拉帕都拉模型系统向新系统用户(主题)和数据(对象)做相应的安全标签,因此,系统也称为多级安全系统、水平和模型用于限制对象访问操作的主题,该模型用于加强访问控制信息的机密性。
2.1贝尔-拉帕都拉模型的基本概念简介
贝尔-拉帕都拉模型中的实体系统分为两类,主体和对象。主体是活跃的和可以执行的动作元素。每一个研究对象都被分配一个允许操作范围的机密性和完整性:最小/最大安全级别和最小/最大完整性级别,并将最低安全级别(最大的满级)为主体的写作水平,将完整的最高机密级别(最低级别)为主体的阅读水平。对象是一个被动的信息元素包含容器,它不是抽象的数据库结构,但较低的操作系统在一个单一的文件。每一个对象分配一个惟一的标识符和惟一获得一个固定的水平和访问控制。
主体,可以进一步细分为可信和不可信的问题。可信主体的主要部分阅读水平严格主导写作水平。访问不受信任的主体需要加强监控。
对于系统元素密级,即安全级别,可定义为:L=(C,S),C为密级,S表示范围(系统中非分层元素集合的一个子集)。密级分为绝密、机密、秘密和公开四种,并满足全序关系,即“>”关系。安全级别将满足偏序的格(称支配),即满足“≥”关系。
设在安全级别L1=(C1,S1),L2=(C2,S2)下,L1支配L2成立(记L1≥L2),当且仅当C1≥C2和S2∈S1成立;类似有L1>L2成立,当且仅当C1>C2和S1∈S2成立:L1<L2成立,当且仅当C1<C2和S2∈S1成立:L1=L2成立,当且仅当C1≤C2和S1∈S2成立;
如果对于给定的L1和L2,有L1≥L2与L1≤L2均不成立,则称L1与L2不可比。
贝尔-拉帕都拉模型对系统中的每个用户(主体)分配一个安全级别,称为允许安全级,即对用户的置信度;同时,模型对系统中的每个客体也分配一个安全级别,以反映信息的敏感度和对数据的损害度。
模型中主体对客体可执行的存取方式有4种:
Read-only;
添加Append:
执行Execute;
读写Read-write。
贝尔-拉帕都拉模型支持基于隶属关系的分散管理,即客体的建立者是客体的属主。属主有对此客体的存取权限,并可将这些权限授予/回收其他用户,但隶属关系不变。
2.2系统状态
在贝尔-拉帕都拉模型中用四元组(b,M,f,H)来描述系统的状态,其中b表示当前存取集,形如<主体,客体,存取方式>,即<S,O,m>:M为存取矩阵,即M(S,O),用以描述每个主体以何方式存取客体;f是一个与系统中各主体和各客体及它们安全级别相联系的级别函数,即f:0∩S→L,其中S,0,L分别是主体、客体、安全级别的集合;H为当前客体的层次结构,是一棵带根有向树,其节点与客体对应,未激活或不可存取的客体则不包含在其中。
每个客体只有一个安全级别(建立时赋予的),记为fo;而每个主体可以有两个安全级别:允许安全数fs和当前安全数fc(可变的,注册时使用),并且fs(s)≥fc(s)成立。
2.3贝尔-拉帕都拉模型的操作
(1)按要求的方式对客体的存取进行初始化,实现在当前存取集b中增加三元组;
(2)终止之前,get开始的存取方式,实现在当前存取集b中删除三元组;
(3)授予一个主体对一个客体的某种存取方式,它修改存取矩阵M,即在存储矩阵中插人一项;
(4)回收之前、由授予give开始的存取方式,它修改存取矩阵M,即在存储矩阵中删除一项:它有强制release的作用,即删除当前存取集b的三元组(要求回收授权的主体对操作所涉及的客体的父节点应具有存写权);
(5)激活一个客体,将其变为可存取,此操作修改当前客体的层次结构H,即增加一节点;
(6)将客体状态转为未激活状态,它修改当前客体的层次结构H,即删除一节点及其后续节点,并修改当前存取集b,使能存取该客体的主体的存取将终止;
(7)改变主体的当前安全级别(在允许安全级别下),它修改级别函数f;
(8)修改客体(未激活的)的安全级别,并修改级别函数f(只能增加安全级别,但必须满足f≥fo)。
2.4贝尔-拉帕都拉模型的规则
贝尔-拉帕都拉模型的具体安全规则有6条。
(1)简单安全规则ss
简单安全规则意味着只有当一个主体的安全级别控制另一个对象的安全级别,这个对象的主体访问权限(只读,读,写)。如果“读”和“写”存取方式的元素M(S,O)均有fs(s)≥fo(o),那么v=(b,M,f,H)满足ss规则。简单安全规则的目的是为了防止主体阅读比它允许对象中的信息安全级别的高水平的安全,防止身体从不允许直接访问的对象的访问级别信息。
(2)*规则
*规则的含义是:
1)只有当对象的安全级别控制当前的安全级别,对象的主题一个不可信的“添加”的权限:
2)只有当对象的安全级别等于当前安全级别的主体,一个不受信任的主题可以有“写”的权限对象;
3)当对象的安全级别只控制主体的当前的安全级别,一个不受信任的主题可以有“读取”权限对象。
一个系统的状态v=(b,M,f,H)满足关规则,当且仅当对每个主体S∈S’(S是不可信主体的集合),且对所有客体O,有:
对不可信主体,规则包括了ss规则,其证明如下:
设S是不可信主体,O是一客体,m∈M[S,O]是满足*规则的存取方式授权(从全部4种操作来考虑)。若m=append或m=execute,则m一定满足ss规则,因为ss规则没有对其施加任何限制;此外若m=write,因为m满足*规则,所以fc(S’)= fo(O),又因fs(S’)≥fc(S’),所以fc(S’)≥fo(O),因此ss规则成立;最后,若m=read,因为m满足*规则,所以fs(S’)≥fo(O),又因为fs(S’)≥fc(S’),所以fc(S’)≥fo(O),因此ss规则成立。
上述两规则的适用范围不同,ss规则要求对所有主体均成立,而*规则仅要求对不可信主体成立。
可以启动使用简单安全规则ss和*两个基本规则:
1)没有读——主体只能读安全级别由主要对象信息的安全级别;
2)没有写下——主题只有主导主题的安全水平安全级别的对象写信息。
3)两个基本规则反映了强制访问控制策略,它控制系统中信息的流动,保证若达不到所需的允许安全级别,则不能访问它不应该访问的信息。
(3)稳定规则原则。稳定规则的意思是不能被任何对象激活,它使系统稳定。当前版本允许一个主体可以修改、激活对象的类别。
(4)独立的安全规则。意义是主体只能在获得所需的授权来执行相应的访问,即应该有相应的项目在访问矩阵。
当且仅当对所有主体S,客体O和存取方式m,有:
则称系统状态满足自主安全规则。
规则(1)-(4)为基本规则,满足它们的系统称为是安全的。
(5)未激活客体的不可存取性规则。含义是一个主体不能读取一个未激活客体的内容。该规则的形式化表示:
系统状态v=(b,M,f,H)满足未激活客体的不可存取性规则,当且仅当对任何主体S,任何未激活客体O,成立:
(6)未激活客体的重写规则。每个新激活客体均被赋予一个独立于前一次激活状态的初始状态,未激活客体的重写规则的含义是使每次激活时的初始状态都不同。
3 基于因子分析的信息安全指标选取
根据工作内容,本文汇总了与信息安全相关的27个指标作为原始输入数据,对所有指标进行因素分析,如表1。采用因子分析法决定因素的抽取,并用最大变异法进行转轴,分析因素结构。
在进行因子分析之前,首先对数据进行适合性检验,如表2。要检验样本数据是否适合进行因素分析,判断的指标主要有两个,即KMO和Bartlett’s球形检验的卡方值。当KMO值愈大时,表示变量间的共同因素愈多,愈适合进行因子分析,根据Kaiser(1974)的观点,如果KMO的值小于0.5时,则不宜进行因子分析。数据分析结果表明,此处KMO值为0.923,适合进行因子分析。此外,Bartlett’s球形检验的卡方值为5 361.878(自由度为351),Sig.小于0.001达显著,代表母群体的相关矩阵间有共同因素存在,适合进行因子分析。
表1 信息安全相关指标
表2 KMO及Bartlett's检验
转轴后,被所有共同因素解释的总变异量不变(特征值总和不变),转轴前后5个共同因素可解释的总变异量为86.43%。因子分析的结果见表3。
表3 转轴后各因素方差贡献率
由表4中对网络信息安全的指标体系在因子分析下的结果,命名如下。
第一因子为整体安全隐患,包含指标:信息系统总体架构、服务区安全、完整性破坏;第二因子为主机安全隐患,包含指标:操作系统安全、网络出口安全、病毒防护、病毒定义库升级、Windows系统补丁;第三因子为网络安全隐患,包含指标:网络线路安全、入侵监测、管理员口令设置、网络管理工具、欺骗、伪装;第四因子为应用安全隐患,包含指标:启用服务数量、软件补丁、旁路控制、信息泄漏、拒绝服务、窃听;第五因子管理安全隐患,安全隔离、安全防护流程、违反授权、工作人员的随意行为、拦截/篡改、非法使用。
4 结论
本文根据电力信息网络安全保护的需要,探讨了其授权、访问模式、操作、授权管理、模型结构和转换规则。重点是标准化的安全、路由和工业控制系统防病毒问题。同时,考虑各种信息安全模型的特点,因此选择基于贝尔-拉帕都拉安全保护信息安全模型,以适应供电网络的一些特性需求,形成了五大安全因子:整体安全隐患、主机安全隐患、网络安全隐患、应用安全隐患、管理安全隐患。
[1]陈晰.电力系统稳态分析[M].北京:中国电力出版社,1996.
[2]张焕国.计算机安全保密技术[M].北京:机械工业出版社,1995.
[3]李海泉,李健.计算机系统安全技术[M].北京:人民邮电出版社,2001.
[4]刘军,陶树平.SYBASE数据库的安全及安全的应用程序设计[J].计算机工程与应用,1998(4):3-5.
[5]秦拯.一种新型的入侵检测模型的研究与实现[J].计算机科学,2001,28(11):96-99.
[6]白小冰.基于人工免疫模型的网络人侵检测系统[J].计算机工程与应用,2002,38(9):133-135.
[7]戴英侠,连一峰.系统安全与入侵检测[M].重庆:重庆大学出版社,2002.
Electricity Network Security Index Based on Bell-La Madura Model
CHEN Ying-cong
(Meizhou Power Supply Bureau,Meizhou514021,China)
According to power supply bureau network security requirements,focusing on a range of different areas such as security and safety division of the isolation and the latest in SCADA industrial control system to prevent the virus,using Bell-La Madura model,combined with the power system for industrial control the important feature of the system is based,focused discussion from the aspect of access methods,operations,authorization status,authorization management,model structure and transformation rules,and give the final network security model based on this.
network security;Bell-La Madura;authorization management;SCADA
TM73
A文献标识码:1009-9492(2015)12-0033-05
10.3969/j.issn.1009-9492.2015.12.009
陈颖聪,男,1983年生,广东梅州人,硕士,工程师。研究领域:电力信息技术。
(编辑:阮毅)
2015-10-31
