基于區(qū)塊鏈電力信息安全督查管理技術(shù)研究
發(fā)布時間:2020-07-10 來源: 調(diào)研報告 點擊:
基于區(qū)塊鏈的電力信息安全督查管理技術(shù)研究
安全督查作為國家電網(wǎng)有限公司信息安全的一項基礎(chǔ)工作,在隱患消缺、數(shù)據(jù)防泄露、重大事件保障、網(wǎng)絡(luò)安全人才培養(yǎng)等方面發(fā)揮了重要作用。在網(wǎng)絡(luò)安全越來越受到重視的今天,如何將區(qū)塊鏈這一自主創(chuàng)新核心技術(shù)應(yīng)用在省級電力公司安全督查工作中,做到“資產(chǎn)臺賬可溯、運維過程可管、漏洞整改可控、督查效果可視”。
一、研究背景
近年來網(wǎng)絡(luò)攻擊手段的不斷演進(jìn)、各種定向持續(xù)威脅攻擊層出不窮,電力關(guān)鍵基礎(chǔ)設(shè)施已被作為網(wǎng)絡(luò)戰(zhàn)首要目標(biāo),并以此來癱瘓和瓦解敵對方能源系統(tǒng),擾亂社會穩(wěn)定和國家經(jīng)濟發(fā)展,因此電力系統(tǒng)信息安全已經(jīng)上升到國家安全的戰(zhàn)略高度。
國家電網(wǎng)有限公司一直高度重視網(wǎng)絡(luò)與信息安全工作,明確將網(wǎng)絡(luò)信息安全列為“四大安全”之一。安全督查一直是國家電網(wǎng)有限公司在信息安全領(lǐng)域的一項基礎(chǔ)性工作,然而隨著各類電力信息系統(tǒng)的不斷建設(shè)與更新,以及督查工作向信息通信、調(diào)度、運檢、營銷等領(lǐng)域全面覆蓋,網(wǎng)省公司內(nèi)部安全督查工作執(zhí)行過程中也逐漸暴露出一些不足,主要體現(xiàn)在以下幾方面。
1)督查臺賬不清晰:一些自建業(yè)務(wù)系統(tǒng)未經(jīng)備案及安全測評私自上線,無法實時更新臺賬信息并納入督查范圍,導(dǎo)致督查覆蓋面不全,帶來了較大的安全隱患。
2)工作執(zhí)行效率低:漏洞通報、整改反饋等信息傳遞主要以郵件收發(fā)為主,缺乏貫穿統(tǒng)一的督查管理平臺,基層單位督查人員不足,大量精力卻耗費在報告編制與人工信息傳遞過程中。
安全督查涉及管理部門、督查單位、省市二級運維單位、研發(fā)單位等多個主體,主體之間督查月報、風(fēng)險排查、整改反饋等業(yè)務(wù)信息交互頻繁,運維記錄、資產(chǎn)臺賬不允許隨意修改,其場景符合區(qū)塊鏈多方信任、數(shù)據(jù)共享、不可篡改等特點,因此本文提出一種基于區(qū)塊鏈技術(shù)的電力信息資產(chǎn)全生命周期安全督查管理體系,具備“資產(chǎn)臺賬可溯、運維過程可管、漏洞整改可控、督查效果可視”的能力。通過引入?yún)^(qū)塊鏈督查的平臺體系架構(gòu),資產(chǎn)臺賬的分布式鏈上存儲結(jié)構(gòu),以及節(jié)點之間臺賬信息更新的共識機制,督查工作票流轉(zhuǎn)的智能合約,自動化隱患發(fā)現(xiàn)與整改驗證閉環(huán)管理,資產(chǎn)臺賬多方信任與督查過程自動處置機制,解決了督查工作中臺賬不準(zhǔn)確、執(zhí)行效率低的問題。
二、區(qū)塊鏈安全督查系統(tǒng)架構(gòu)
參考區(qū)塊鏈的體系架構(gòu),區(qū)塊鏈安全督查系統(tǒng)可以分為 5 層(見圖 1)。最下層的數(shù)據(jù)層用于分布式存儲資產(chǎn)臺賬信息;網(wǎng)絡(luò)層主要由區(qū)塊鏈節(jié)點、網(wǎng)絡(luò)設(shè)備(交換機、路由器等)、各類資產(chǎn)(業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、 WebService 等)組成,保證網(wǎng)絡(luò)中節(jié)點之間的互聯(lián)互通;共識層主要通過共識算法實現(xiàn)督查臺賬信息在所有節(jié)點之間同步與更新;合約層利用智能合約實現(xiàn)了鏈上運維工作票的流轉(zhuǎn);應(yīng)用層通過管理系統(tǒng)實現(xiàn)督查實時信息的查詢與展示。
圖 1
區(qū)塊鏈安全督查系統(tǒng)架構(gòu)
三、 區(qū)塊鏈安全督查系統(tǒng)及關(guān)鍵技術(shù)
1)資產(chǎn)臺賬區(qū)塊存儲結(jié)構(gòu)。信息資產(chǎn)鏈上存儲的主體單元是區(qū)塊,區(qū)塊分為區(qū)塊頭和區(qū)塊體 2 部分。區(qū)塊頭主要包含前一區(qū)塊哈希、版本、時間戳、隨機數(shù)、 Merkle 根等。區(qū)塊體包含督查系統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)部分為資產(chǎn)的 IP 地址、端口、負(fù)責(zé)人、安全漏洞等安全督查中涉及的關(guān)鍵信息,非結(jié)構(gòu)化數(shù)據(jù)部分主要包括安全測試報告、安全滲透報告等文檔(見圖 2)。
圖 2 區(qū)塊數(shù)據(jù)結(jié)構(gòu)
2)資產(chǎn)臺賬鏈上更新共識機制。本文利用獎懲激勵機制,改進(jìn) EOS 的委托權(quán)益人證明機制(Delegated Proof of Stake, DPoS)共識算法來保證資產(chǎn)臺賬鏈上的存儲及更新,通過協(xié)同過濾推薦算法改善原 DPoS 共識機制中節(jié)點投票不積極的情況,同時降低惡意分叉的可能性,使得投票選出來的節(jié)點更容易被整個督查系統(tǒng)接受。
圖 3 顯示了改進(jìn)后的 DPoS 共識算法在督查系統(tǒng)中的應(yīng)用,資產(chǎn)臺賬區(qū)塊產(chǎn)生后,由區(qū)塊鏈廣播機制將產(chǎn)生區(qū)塊的請求信息分發(fā)到區(qū)塊鏈網(wǎng)絡(luò)中,網(wǎng)絡(luò)中的節(jié)點會參與區(qū)塊哈希值計算,當(dāng)哈希一致性的計算結(jié)果達(dá)到 51%的比例后,系統(tǒng)視為此區(qū)塊 Hash 值有效,將區(qū)塊信息通過共識節(jié)點寫入?yún)^(qū)塊中,同步到所有區(qū)塊鏈節(jié)點。圖 3 中研發(fā)單位、運維單位、督查單位均部署具有記賬權(quán)限的區(qū)塊鏈節(jié)點,當(dāng)區(qū)塊發(fā)起寫入請求時,只要被選舉出來的單位算力超過 51%即可完成哈希值的驗證,大大提升了區(qū)塊哈希值的共識速度,同時本
系統(tǒng)引進(jìn)了獎懲激勵機制,可動態(tài)調(diào)節(jié)權(quán)重比例,使其良性循環(huán),確保督查鏈的可靠性。
圖 3 DPoS 工作機制在安全督查系統(tǒng)中的優(yōu)化應(yīng)用
3)安全事件自動處置智能合約。在信息資產(chǎn)運行過程中,存在資產(chǎn)信息變更工作票業(yè)務(wù),工作票標(biāo)明了資產(chǎn)變更信息和作業(yè)時間。當(dāng)區(qū)塊鏈督查系統(tǒng)
接收到資產(chǎn)變更工作票請求后會將工作票信息和執(zhí)行合約的時間節(jié)點存放到智能合約執(zhí)行變量中,進(jìn)而履行區(qū)塊鏈智能合約的自動執(zhí)行,在運維操作執(zhí)行完成后,將變更后的資產(chǎn)臺賬信息寫入?yún)^(qū)塊鏈中。
同時信息安全督查系統(tǒng)會定時執(zhí)行隱患排查任務(wù),對資產(chǎn)進(jìn)行排查識別和安全滲透,將資產(chǎn)識別結(jié)果與督查鏈上資產(chǎn)數(shù)據(jù)比對。當(dāng)資產(chǎn)指紋不匹配(出現(xiàn)未備案違規(guī)部署的系統(tǒng)、未知端口、系統(tǒng)版本不一致等問題)或發(fā)現(xiàn)漏洞隱患時,觸發(fā)安全隱患整改智能合約,以郵件的方式,發(fā)送整改通知給運維單位及人員。相關(guān)作業(yè)人員整改后通過資產(chǎn)信息變更工作票機制反饋到督查系統(tǒng)中,系統(tǒng)會對整改情況進(jìn)行驗證,實現(xiàn)安全風(fēng)險智能化檢測與自動化處置與閉環(huán)驗證。
圖 4 闡述了督查鏈網(wǎng)絡(luò)執(zhí)行智能合約的通信模型,智能合約由督查鏈內(nèi)的多個單位共同參與制定,協(xié)議中明確了參與各方的權(quán)利和義務(wù),并且包含觸發(fā)智能合約自動執(zhí)行的條件。智能合約編寫完成后會被上傳到督查鏈網(wǎng)絡(luò),即全網(wǎng)節(jié)點都會接收該智能合約。節(jié)點會定期檢查是否存在滿足智能合約條件的事件,如果滿足將會推送到待驗證的隊列中。系統(tǒng)中的區(qū)塊鏈節(jié)點會本地執(zhí)行智能合約代碼,并將執(zhí)行結(jié)果進(jìn)行相互驗證,等大多數(shù)驗證節(jié)點對該事件達(dá)成共識后,智能合約將成功執(zhí)行。
圖 4 智能合約通信模型
四、解決的問題和意義
1)解決了督查臺賬不清晰的問題。利用區(qū)塊鏈技術(shù),建立一條包含管理部門、督查單位、省市二級運維單位、研發(fā)單位等多方參與的督查鏈,共同維護(hù)資產(chǎn)臺賬信息,保障了全省督查臺賬信息的準(zhǔn)確性與不可隨意篡改。
2)解決了督查工作執(zhí)行效率低的問題。區(qū)塊鏈節(jié)點利用網(wǎng)絡(luò)空間測繪、自動化滲透等方式常態(tài)化對資產(chǎn)安全狀況進(jìn)行監(jiān)測與風(fēng)險評估,發(fā)現(xiàn)系統(tǒng)未備案上線運行、安全漏洞等風(fēng)險隱患,并利用智能合約自動執(zhí)行,實現(xiàn)了安全隱患下發(fā)、整改、反饋、驗證的閉環(huán)管理,提升安全督查工作效率。
相關(guān)熱詞搜索:區(qū)塊 信息安全 技術(shù)研究
熱點文章閱讀