《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)
電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)
來(lái)源:微型機(jī)與應(yīng)用2012年第15期
梁志宏,梁智強(qiáng),周強(qiáng)峰
(廣東電網(wǎng)公司電力科學(xué)研究院 智能電網(wǎng)所,廣東 廣州 510080)
摘要: 介紹了電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的具體設(shè)計(jì)和實(shí)現(xiàn)方法。平臺(tái)基于國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范和技術(shù)要求,實(shí)現(xiàn)了等級(jí)測(cè)評(píng)的過(guò)程管理、結(jié)果評(píng)價(jià)和統(tǒng)計(jì)分析等功能,并充分考慮了電力行業(yè)信息系統(tǒng)的特征。平臺(tái)具有集成性、自動(dòng)化和可擴(kuò)展性等特點(diǎn),能夠有效提高電力信息安全等級(jí)保護(hù)測(cè)評(píng)的工作效率。
Abstract:
Key words :

摘  要: 介紹了電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的具體設(shè)計(jì)和實(shí)現(xiàn)方法。平臺(tái)基于國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范和技術(shù)要求,實(shí)現(xiàn)了等級(jí)測(cè)評(píng)的過(guò)程管理、結(jié)果評(píng)價(jià)和統(tǒng)計(jì)分析等功能,并充分考慮了電力行業(yè)信息系統(tǒng)的特征。平臺(tái)具有集成性、自動(dòng)化和可擴(kuò)展性等特點(diǎn),能夠有效提高電力信息安全等級(jí)保護(hù)測(cè)評(píng)的工作效率。
關(guān)鍵詞: 電力系統(tǒng);信息安全;等級(jí)保護(hù);測(cè)評(píng)平臺(tái);自動(dòng)化 

 近年來(lái),我國(guó)各個(gè)行業(yè)的信息安全保障工作雖然取得了很大進(jìn)展,但從總體上看,我國(guó)的信息安全工作尚處于起步階段,基礎(chǔ)薄弱、水平不高,普遍存在信息安全意識(shí)和安全防范能力薄弱、信息安全保障工作重點(diǎn)不突出等問(wèn)題。隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程全面加快,信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng),信息資源已經(jīng)成為國(guó)家經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展的重要戰(zhàn)略資源之一。保障信息安全,維護(hù)國(guó)家安全、公共利益和社會(huì)穩(wěn)定,是當(dāng)前信息化發(fā)展中迫切需要解決的重大問(wèn)題。
 在信息保障IA(Information Assurance)方面,國(guó)外起步較早,出臺(tái)了多個(gè)信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)。美國(guó)國(guó)防部發(fā)布的可信計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則(TCSEC)是這方面最早的標(biāo)準(zhǔn)。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。在借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)和結(jié)合我國(guó)國(guó)情的基礎(chǔ)上,公安部于1999年提出并組織制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》[1],該準(zhǔn)則于2001年1月1日實(shí)施,是我國(guó)出版的第一部關(guān)于計(jì)算機(jī)信息系統(tǒng)等級(jí)分類的標(biāo)準(zhǔn),它制定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級(jí)劃分的方法,規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)。
 經(jīng)過(guò)多年的推廣,信息安全等級(jí)保護(hù)工作在各個(gè)行業(yè)得到了深入實(shí)施,且在信息安全保障中發(fā)揮了重要的作用。但各行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中目前普遍存在以下問(wèn)題:(1)等級(jí)保護(hù)相關(guān)數(shù)據(jù)管理松散,未能加以深入分析和有效利用;(2)測(cè)評(píng)實(shí)施方法不一,一定程度上依賴個(gè)人經(jīng)驗(yàn)和技術(shù)水平;(3)測(cè)評(píng)過(guò)程自動(dòng)化程度較低,影響現(xiàn)場(chǎng)測(cè)評(píng)效率;(4)報(bào)告編寫時(shí)間較長(zhǎng),導(dǎo)致測(cè)評(píng)效率低下。針對(duì)上述問(wèn)題,本文依據(jù)相關(guān)標(biāo)準(zhǔn)和技術(shù)要求,結(jié)合電力行業(yè)特征,設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)針對(duì)電力行業(yè)的信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)。平臺(tái)集成了自動(dòng)化測(cè)評(píng)工具集,基于知識(shí)庫(kù)實(shí)現(xiàn)了測(cè)評(píng)項(xiàng)目管理、測(cè)評(píng)文檔管理、數(shù)據(jù)統(tǒng)計(jì)分析和報(bào)告自動(dòng)生成等功能,有效提高了測(cè)評(píng)工作效率,較好地滿足了等級(jí)保護(hù)對(duì)測(cè)評(píng)實(shí)踐智能化和規(guī)范化的需求。
1 測(cè)評(píng)平臺(tái)的目標(biāo)
 電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的目標(biāo)是對(duì)電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)的過(guò)程提供管理和工具支持,其需求和設(shè)計(jì)目標(biāo)主要有以下幾個(gè)方面:
?。?)全面的信息管理
對(duì)測(cè)評(píng)過(guò)程涉及的原始記錄、測(cè)評(píng)標(biāo)準(zhǔn)、歷史測(cè)評(píng)數(shù)據(jù)、標(biāo)準(zhǔn)測(cè)評(píng)資料樣本、單位和人員資料等,測(cè)評(píng)平臺(tái)可以方便地輸入輸出、查詢和引用,并可進(jìn)行集中統(tǒng)計(jì)。
 (2)自動(dòng)化和智能化
盡可能降低測(cè)評(píng)工程的人工依賴度,為測(cè)評(píng)過(guò)程提供自動(dòng)化支持,并可對(duì)歷史數(shù)據(jù)進(jìn)行智能化的分析。
?。?)高度集成和整合
測(cè)評(píng)平臺(tái)集成了信息管理、項(xiàng)目管理、用戶管理、知識(shí)庫(kù)和接口驅(qū)動(dòng)等多功能子系統(tǒng)。
?。?)人工可干預(yù)
由于自動(dòng)化、智能化處理產(chǎn)生的結(jié)果往往不會(huì)完全符合實(shí)際需要,因此系統(tǒng)需要提供對(duì)這些結(jié)果進(jìn)行人工干預(yù)的能力。
?。?)數(shù)據(jù)安全性
 測(cè)評(píng)平臺(tái)中的數(shù)據(jù)為信息系統(tǒng)的安全數(shù)據(jù),具有敏感性特征,因此需保證這些數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性。
2 測(cè)評(píng)平臺(tái)總體設(shè)計(jì)
2.1 測(cè)評(píng)平臺(tái)框架設(shè)計(jì)

 測(cè)評(píng)平臺(tái)[2]總體上分為服務(wù)器和客戶端兩部分。服務(wù)器采用瀏覽器/服務(wù)器結(jié)構(gòu),包括測(cè)評(píng)中央處理單元、知識(shí)庫(kù)管理子系統(tǒng)、測(cè)評(píng)過(guò)程管理子系統(tǒng)、數(shù)據(jù)智能處理子系統(tǒng)、系統(tǒng)后臺(tái)管理子系統(tǒng)和安全保障等六大功能邏輯子系統(tǒng)??蛻舳嗽O(shè)計(jì)為桌面客戶端軟件,它通過(guò)VPN加密隧道與服務(wù)器進(jìn)行通信,完成數(shù)據(jù)交互。平臺(tái)總體結(jié)構(gòu)如圖1所示。

2.1.1 測(cè)評(píng)中央處理單元
 測(cè)評(píng)中央處理單元是測(cè)評(píng)平臺(tái)的核心功能組件,主要功能包括:
?。?)測(cè)評(píng)任務(wù)調(diào)度和分派
接收測(cè)評(píng)請(qǐng)求,分派測(cè)評(píng)任務(wù),將根據(jù)系統(tǒng)安全等級(jí)和知識(shí)庫(kù)生成的測(cè)評(píng)指導(dǎo)書、測(cè)評(píng)方法表等相關(guān)文檔打包分發(fā)給測(cè)評(píng)工程師,由其通過(guò)客戶端打開。
?。?)平臺(tái)數(shù)據(jù)調(diào)配和整合
平臺(tái)中存在大量的知識(shí)庫(kù)數(shù)據(jù)和測(cè)評(píng)記錄等應(yīng)用數(shù)據(jù),測(cè)評(píng)中央處理單元完成各種數(shù)據(jù)資源的提取和整合,如測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書和測(cè)評(píng)報(bào)告的自動(dòng)生成。
2.1.2 知識(shí)庫(kù)管理子系統(tǒng)
 知識(shí)庫(kù)管理子系統(tǒng)對(duì)等級(jí)保護(hù)測(cè)評(píng)涉及的知識(shí)庫(kù)進(jìn)行管理。知識(shí)庫(kù)是整個(gè)等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的底層支撐數(shù)據(jù)集群,由所有項(xiàng)目共用,平臺(tái)管理員在平臺(tái)初始化時(shí)建立知識(shí)庫(kù)并隨著測(cè)評(píng)工作的進(jìn)行對(duì)知識(shí)庫(kù)進(jìn)行更新維護(hù)。知識(shí)庫(kù)具有結(jié)構(gòu)化、易操作和全面有組織的特點(diǎn),具體包括:標(biāo)準(zhǔn)規(guī)范庫(kù)、測(cè)評(píng)方法庫(kù)、風(fēng)險(xiǎn)威脅庫(kù)、主要問(wèn)題庫(kù)和整改建議庫(kù)。
?。?)標(biāo)準(zhǔn)規(guī)范庫(kù):等級(jí)測(cè)評(píng)相關(guān)的各類國(guó)家標(biāo)準(zhǔn)和技術(shù)要求以及電力行業(yè)標(biāo)準(zhǔn)知識(shí)。
?。?)測(cè)評(píng)方法庫(kù):針對(duì)不同安全等級(jí)系統(tǒng)的各個(gè)測(cè)評(píng)項(xiàng)的測(cè)評(píng)問(wèn)卷和測(cè)評(píng)實(shí)施方法導(dǎo)引。
?。?)風(fēng)險(xiǎn)威脅庫(kù):信息系統(tǒng)面臨的風(fēng)險(xiǎn)威脅及應(yīng)達(dá)到的安全目標(biāo)只包含4個(gè)等級(jí)的威脅、安全目標(biāo)及二者的對(duì)應(yīng)關(guān)系知識(shí)。
?。?)主要問(wèn)題庫(kù):信息系統(tǒng)在等級(jí)保護(hù)10個(gè)方面可能存在的問(wèn)題詳細(xì)描述和對(duì)應(yīng)的測(cè)評(píng)項(xiàng)。
 (5)整改建議庫(kù):信息系統(tǒng)測(cè)評(píng)中存在的不符合項(xiàng)或主要問(wèn)題的整改建議,包括詳細(xì)整改方法和風(fēng)險(xiǎn)預(yù)控措施。
 平臺(tái)通過(guò)測(cè)評(píng)中央處理單元對(duì)知識(shí)庫(kù)進(jìn)行集中調(diào)度和數(shù)據(jù)組織,從知識(shí)庫(kù)中獲取相應(yīng)數(shù)據(jù)應(yīng)用于測(cè)評(píng)過(guò)程,如測(cè)評(píng)指導(dǎo)書生成、測(cè)評(píng)結(jié)果評(píng)價(jià)、數(shù)據(jù)融合與統(tǒng)計(jì)分析和報(bào)告自動(dòng)生成等。
2.1.3 測(cè)評(píng)過(guò)程管理子系統(tǒng)
 測(cè)評(píng)過(guò)程管理子系統(tǒng)的主要功能是對(duì)等級(jí)保護(hù)測(cè)評(píng)的項(xiàng)目過(guò)程、相關(guān)文檔和測(cè)評(píng)工具進(jìn)行管理。等級(jí)測(cè)評(píng)過(guò)程分為4個(gè)基本測(cè)評(píng)活動(dòng):測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng),測(cè)評(píng)平臺(tái)對(duì)上述過(guò)程進(jìn)行了完整實(shí)現(xiàn),用戶通過(guò)平臺(tái)錄入測(cè)評(píng)過(guò)程中所需的各項(xiàng)數(shù)據(jù),平臺(tái)對(duì)測(cè)評(píng)各階段文檔和工具進(jìn)行集中管理。此外還具有版本控制功能,用戶可根據(jù)實(shí)際需要對(duì)文檔和測(cè)評(píng)工具進(jìn)行下載或更新。
2.1.4 數(shù)據(jù)智能處理子系統(tǒng)
 數(shù)據(jù)智能處理子系統(tǒng)包括測(cè)評(píng)結(jié)果綜合評(píng)價(jià)和數(shù)據(jù)融合與統(tǒng)計(jì)分析兩個(gè)功能模塊。測(cè)評(píng)結(jié)果綜合評(píng)價(jià)是從等級(jí)保護(hù)的10個(gè)安全方面進(jìn)行評(píng)估,即物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理,根據(jù)信息系統(tǒng)的指標(biāo)符合性建立數(shù)學(xué)模型,對(duì)信息系統(tǒng)的信息安全狀況進(jìn)行量化評(píng)估。系統(tǒng)實(shí)現(xiàn)了層次化的灰色關(guān)聯(lián)分析模型[2]、計(jì)算信息系統(tǒng)的信息安全評(píng)價(jià)結(jié)果值。數(shù)據(jù)融合與統(tǒng)計(jì)分析功能是對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)的各種數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和對(duì)比分析,并可生成可視化圖表。
2.1.5 系統(tǒng)后臺(tái)管理子系統(tǒng)
 系統(tǒng)后臺(tái)管理子系統(tǒng)包括機(jī)構(gòu)管理、系統(tǒng)管理、用戶管理和權(quán)限管理4個(gè)功能模塊,完成等級(jí)測(cè)評(píng)委托機(jī)構(gòu)、系統(tǒng)配置信息、用戶角色和權(quán)限等方面的管理功能。
2.1.6 安全保障子系統(tǒng)
 安全保障子系統(tǒng)的設(shè)計(jì)主要是為了保證等級(jí)保護(hù)測(cè)評(píng)平臺(tái)中各類數(shù)據(jù)的存儲(chǔ)安全和數(shù)據(jù)傳輸過(guò)程中的安全性。主要包括三個(gè)方面:用戶對(duì)服務(wù)器的訪問(wèn)全部采用HTTPS協(xié)議,確保訪問(wèn)服務(wù)器的用戶身份可信和數(shù)據(jù)傳輸保密;客戶端和服務(wù)器之間的通信實(shí)現(xiàn)了基于SSL的TCP通信,保證通信過(guò)程的安全性;存儲(chǔ)在本地的文件全部以加密文件的形式進(jìn)行存儲(chǔ),只有使用客戶端軟件才可打開查看。
2.1.7 測(cè)評(píng)客戶端
 測(cè)評(píng)客戶端是現(xiàn)場(chǎng)測(cè)評(píng)工作的執(zhí)行軟件,安裝在測(cè)評(píng)工程師的測(cè)評(píng)工作終端上。用戶登錄客戶端下載測(cè)評(píng)任務(wù)包和測(cè)評(píng)工具集,根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)情況對(duì)測(cè)評(píng)結(jié)果客觀記錄和符合性評(píng)判,通過(guò)測(cè)評(píng)客戶端錄入測(cè)評(píng)結(jié)果,待全部測(cè)評(píng)項(xiàng)都填寫完成后將結(jié)果上傳至平臺(tái)服務(wù)器。客戶端還可對(duì)信息系統(tǒng)的現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果進(jìn)行編輯修改和統(tǒng)計(jì)查看。服務(wù)器根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果從知識(shí)庫(kù)中自動(dòng)提取內(nèi)容生成完整的測(cè)評(píng)報(bào)告。測(cè)評(píng)結(jié)果通過(guò)加密方式保存在客戶端,客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行了應(yīng)用層加密并采用VPN、SSH等加密隧道進(jìn)行通信,防止數(shù)據(jù)傳輸過(guò)程中被篡改,充分保證了數(shù)據(jù)的安全性。
2.2 平臺(tái)測(cè)評(píng)流程
 使用等級(jí)保護(hù)測(cè)評(píng)平臺(tái)進(jìn)行等級(jí)測(cè)評(píng)的流程如圖2所示,測(cè)評(píng)流程由服務(wù)器端和客戶端兩部分組成。
測(cè)評(píng)首先需要登錄進(jìn)入服務(wù)器端,按照平臺(tái)向?qū)?,根?jù)測(cè)評(píng)準(zhǔn)備階段的訪談內(nèi)容初始化項(xiàng)目信息。初始化完成后,即開始按等級(jí)測(cè)評(píng)的4個(gè)基本內(nèi)容:選擇測(cè)評(píng)對(duì)象、確定項(xiàng)目組成員、創(chuàng)建及分配測(cè)評(píng)任務(wù)包到相應(yīng)的測(cè)評(píng)工程師。測(cè)評(píng)任務(wù)包包括測(cè)評(píng)方案、測(cè)評(píng)計(jì)劃和測(cè)評(píng)指導(dǎo)書,以加密文件的形式存儲(chǔ)在服務(wù)器上。
測(cè)評(píng)工程師登錄測(cè)評(píng)客戶端,連接至服務(wù)器,查看個(gè)人測(cè)評(píng)任務(wù)列表,將測(cè)評(píng)任務(wù)包下載至本地。加密文件只能由客戶端軟件自動(dòng)導(dǎo)入,解密后打開。測(cè)評(píng)工程師通過(guò)查看、訪談、檢查和工具掃描等方式逐項(xiàng)完成測(cè)評(píng),記錄測(cè)評(píng)結(jié)果。平臺(tái)提供了掃描工具適配接口,可將工具掃描的結(jié)果自動(dòng)整合進(jìn)測(cè)評(píng)記錄。所有測(cè)評(píng)項(xiàng)完成后,測(cè)評(píng)工程師可通過(guò)匯總方式查看或修改測(cè)評(píng)結(jié)果,確認(rèn)后將測(cè)評(píng)結(jié)果上傳至服務(wù)器端,自動(dòng)生成測(cè)評(píng)報(bào)告。報(bào)告由項(xiàng)目經(jīng)理負(fù)責(zé)審核通過(guò)后完成輸出。
3 測(cè)評(píng)平臺(tái)關(guān)鍵技術(shù)
3.1 基于灰色關(guān)聯(lián)分析的測(cè)評(píng)結(jié)果評(píng)價(jià)

 等級(jí)測(cè)評(píng)的結(jié)果分為符合、部分符合和不符合三種情況。實(shí)際工作中,大部分系統(tǒng)的測(cè)評(píng)結(jié)果為部分符合,無(wú)法對(duì)信息系統(tǒng)的安全建設(shè)情況進(jìn)行更深入的分析把握。針對(duì)這一問(wèn)題,本平臺(tái)的數(shù)據(jù)智能處理子系統(tǒng)實(shí)現(xiàn)了基于層次分析法與灰色關(guān)聯(lián)分析法的灰色多層次評(píng)價(jià)模型[3-4],對(duì)信息系統(tǒng)的等級(jí)測(cè)評(píng)結(jié)果進(jìn)行量化評(píng)價(jià)。使用灰色多層次評(píng)價(jià)模型對(duì)信息系統(tǒng)等級(jí)測(cè)評(píng)結(jié)果進(jìn)行綜合評(píng)價(jià)的步驟和方法如下:
?。?)建立等級(jí)測(cè)評(píng)評(píng)價(jià)指標(biāo)體系
將等級(jí)測(cè)評(píng)評(píng)價(jià)指標(biāo)分為3個(gè)層次:信息系統(tǒng)安全等級(jí)測(cè)評(píng)結(jié)果綜合評(píng)價(jià)(A)為第一層次;等級(jí)測(cè)評(píng)的10個(gè)方面物理安全(B1)、網(wǎng)絡(luò)安全(B2)、主機(jī)安全(B3)、應(yīng)用安全(B4)、數(shù)據(jù)安全及備份恢復(fù)(B5)、安全管理機(jī)構(gòu)(B6)、安全管理制度(B7)、人員安全管理(B8)、系統(tǒng)建設(shè)管理(B9)和系統(tǒng)運(yùn)維管理(B10)作為第二層次;等級(jí)測(cè)評(píng)的各個(gè)測(cè)評(píng)單元作為第三層次,如物理位置選擇(C1)、物理訪問(wèn)控制(C2)、防盜竊和防破壞(C3)等。
?。?)對(duì)等級(jí)測(cè)評(píng)指標(biāo)體系進(jìn)行量化
等級(jí)測(cè)評(píng)中,每個(gè)測(cè)評(píng)單元都包含若干個(gè)測(cè)評(píng)項(xiàng)。首先需要對(duì)測(cè)評(píng)單元進(jìn)行量化,若測(cè)評(píng)單元中的所有測(cè)評(píng)項(xiàng)都為符合,則為該測(cè)評(píng)單元賦值為1;所有測(cè)評(píng)項(xiàng)均為不符合時(shí)賦值為0;包含部分符合項(xiàng)或不適用項(xiàng)時(shí),則根據(jù)部分符合的程度為測(cè)評(píng)單元計(jì)算一個(gè)數(shù)值,該值介于0~1之間。采用根據(jù)對(duì)信息系統(tǒng)安全的影響程度確定各個(gè)測(cè)評(píng)單元的權(quán)重值,建立等級(jí)測(cè)評(píng)指標(biāo)體系賦值表。

 


3.2 知識(shí)庫(kù)的實(shí)現(xiàn)
 知識(shí)庫(kù)[4]是等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的基礎(chǔ)組成部分,能夠支持平臺(tái)實(shí)現(xiàn)符合性智能判定和測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書、整改方案等文檔定制生成等高級(jí)功能。知識(shí)表示是實(shí)現(xiàn)知識(shí)存儲(chǔ)和建立知識(shí)庫(kù)的前提,常用的知識(shí)表示方法主要有產(chǎn)生式表示法、框架表示法和面向?qū)ο蟊硎痉ǖ?。根?jù)信息安全等級(jí)保護(hù)的特點(diǎn),平臺(tái)采用了混合知識(shí)表示方式實(shí)現(xiàn)對(duì)等級(jí)保護(hù)測(cè)評(píng)相關(guān)知識(shí)的表示。
 混合知識(shí)表示方法是采用面向?qū)ο蟮姆椒ò旬a(chǎn)生式、框架等表示方法封裝在對(duì)象里的一種表示方法。根據(jù)信息安全等級(jí)保護(hù)測(cè)評(píng)工作的特點(diǎn),其知識(shí)主要分為實(shí)例知識(shí)和規(guī)則知識(shí)兩大類。實(shí)例知識(shí)是以屬性值列表的形式存在,可以通過(guò)面向?qū)ο蟮姆椒▽?shí)現(xiàn)其知識(shí)的表示;規(guī)則知識(shí)主要分為選型知識(shí)和過(guò)程性知識(shí),可以通過(guò)產(chǎn)生式、框架等表示,然后通過(guò)面向?qū)ο蟮姆椒ǚ庋b這些方法實(shí)現(xiàn)規(guī)則知識(shí)的標(biāo)識(shí)。
3.2.1 選型知識(shí)的表示
 等級(jí)測(cè)評(píng)中,測(cè)評(píng)指標(biāo)和整改建議的選擇都屬于選型知識(shí)的范疇,其中涉及很多選型規(guī)則知識(shí),選型規(guī)則主要指確定系統(tǒng)安全等級(jí)、系統(tǒng)類型(管理信息系統(tǒng)或生產(chǎn)業(yè)務(wù)系統(tǒng))等,一般為簡(jiǎn)單因果關(guān)系的規(guī)則。選型規(guī)則的一般表示形式為:
 規(guī)則::=<規(guī)則號(hào)><規(guī)則名><規(guī)則說(shuō)明>
 <規(guī)則號(hào)>::=<字符串>
 <規(guī)則名>::=<字符串>
 <規(guī)則說(shuō)明>::=<IF><THEN>
 首先建立用來(lái)封裝產(chǎn)生式規(guī)則的面向?qū)ο箢?,類中包含公有和私有屬性及用?lái)提取規(guī)則的相關(guān)方法。其中屬性的可信度用來(lái)描述規(guī)則知識(shí)的不確定性,其取值范圍為0~1,表示產(chǎn)生結(jié)果的可能性。下面是等級(jí)測(cè)評(píng)指標(biāo)選擇規(guī)則的偽代碼實(shí)現(xiàn):
class rules: public <規(guī)則基類>
{
//規(guī)則相關(guān)屬性
private
char[10] RulesNo; //選型規(guī)則號(hào)
char[100] RulesName; //規(guī)則名
char[500] Condition; //規(guī)則前提條件
float Credibility; //規(guī)則可信度
……
//規(guī)則的方法
public
CreateRules (<方法參數(shù)>); //創(chuàng)建規(guī)則集
SelectRules (<方法參數(shù)>); //提取規(guī)則
UpdateRules (<方法參數(shù)>); //更新規(guī)則
}
3.2.2 過(guò)程性知識(shí)的表示
 過(guò)程性知識(shí)是表達(dá)等級(jí)測(cè)評(píng)步驟和方法的知識(shí),主要體現(xiàn)在基于規(guī)則推理的過(guò)程,一般通過(guò)程序的方法來(lái)實(shí)現(xiàn)。過(guò)程知識(shí)的表示形式為:
過(guò)程::=<過(guò)程號(hào)><過(guò)程名><過(guò)程說(shuō)明>
<過(guò)程號(hào)>::=<字符串>
<過(guò)程名>::=<字符串>
<過(guò)程說(shuō)明>::=<步驟>[<步驟1>,<步驟2>……]
建立過(guò)程類,其中的步驟采用面向?qū)ο蟮姆椒▉?lái)實(shí)現(xiàn)??梢詧?zhí)行各個(gè)步驟之間的順序、循環(huán)或判斷邏輯。過(guò)程性知識(shí)在等級(jí)測(cè)評(píng)中的偽代碼實(shí)現(xiàn)如下:
class Procedure: public <過(guò)程基類>
{
//屬性
public
char[10] procedureNo; //過(guò)程號(hào)
char[100] procedureName; //過(guò)程名稱

//方法
public
void DoProcedure ( ); //執(zhí)行的過(guò)程
void step ( ); //步驟(可以為多個(gè))
}
3.3 平臺(tái)安全保障功能的實(shí)現(xiàn)
 測(cè)評(píng)平臺(tái)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)均為電力信息系統(tǒng)安全數(shù)據(jù),涉及企業(yè)機(jī)密,因此需保證測(cè)評(píng)平臺(tái)的數(shù)據(jù)安全性。平臺(tái)對(duì)客戶端和服務(wù)器端的數(shù)據(jù)通信主要采用SSL協(xié)議實(shí)現(xiàn)加密、認(rèn)證和完整性校驗(yàn)等安全措施。SSL協(xié)議中包含不同的加密套件,需要根據(jù)數(shù)據(jù)價(jià)值和實(shí)時(shí)性要求選擇適當(dāng)?shù)募用芴准?。如果一次連接的時(shí)間較長(zhǎng),可以使用一時(shí)一密的加密通信方式,用隨機(jī)密鑰生成器生成的密鑰代替一次連接生成的密鑰,還需要在服務(wù)器端加入密鑰生成器生成密鑰和傳送密鑰,而在客戶端接收新密鑰,同時(shí)銷毀舊密鑰。
平臺(tái)直接集成OpenSSL開發(fā)包來(lái)實(shí)現(xiàn)安全保障功能。OpenSSL定義了很多的接口函數(shù)來(lái)實(shí)現(xiàn)SSL安全通信,可以實(shí)現(xiàn)的基本功能如下:(1)SSL數(shù)據(jù)結(jié)構(gòu)的建立;(2)SSL證書解析以及認(rèn)證功能;(3)SSL安全連接建立功能;(4)SSL數(shù)據(jù)傳輸功能(發(fā)送與接收);(5)SSL錯(cuò)誤處理及匯報(bào)功能;(6)SSL連接斷開功能;(7)SSL數(shù)據(jù)結(jié)構(gòu)釋放功能。
 服務(wù)器和客戶端的安全通信實(shí)現(xiàn)過(guò)程如圖3所示。

 本文詳細(xì)介紹了電力信息安全等級(jí)保護(hù)測(cè)評(píng)平臺(tái)的設(shè)計(jì)方法以及平臺(tái)實(shí)現(xiàn)中的關(guān)鍵技術(shù)。該平臺(tái)是一個(gè)具備全面測(cè)評(píng)信息和過(guò)程管理功能、自動(dòng)化和智能化程度高、信息集成度高、支持多標(biāo)準(zhǔn)和擴(kuò)展性良好的測(cè)評(píng)平臺(tái)。平臺(tái)在南方電網(wǎng)系統(tǒng)運(yùn)行技術(shù)支持系統(tǒng)和廣東電網(wǎng)生產(chǎn)業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)中得到了成功應(yīng)用。
參考文獻(xiàn)
[1] 國(guó)家質(zhì)量技術(shù)監(jiān)督局.GB17859-1999.計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].1999.
[2] 黃洪,任衛(wèi)紅,余達(dá)太,等.基于故障樹的等級(jí)測(cè)評(píng)專家系統(tǒng)模型研究[J].計(jì)算機(jī)應(yīng)用研究,2010,27(1):204-208.
[3] 王春元,楊善林,周永務(wù).信息安全等級(jí)測(cè)評(píng)多層次灰關(guān)聯(lián)綜合評(píng)價(jià)[C].第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2006:63-66.
[4] 高陽(yáng),羅軍舟.基于灰色關(guān)聯(lián)決策算法的信息安全風(fēng)險(xiǎn)評(píng)估方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2009,39(2):225-229.
[5] 張璐,陸家琪,褚超美.面向汽車變速器設(shè)計(jì)知識(shí)庫(kù)系統(tǒng)的研究與應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2010,31(12):2861-2864.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。