基于區(qū)塊鏈電力信息安全督查管理技術(shù)研究
發(fā)布時(shí)間:2020-07-10 來(lái)源: 調(diào)研報(bào)告 點(diǎn)擊:
基于區(qū)塊鏈的電力信息安全督查管理技術(shù)研究
安全督查作為國(guó)家電網(wǎng)有限公司信息安全的一項(xiàng)基礎(chǔ)工作,在隱患消缺、數(shù)據(jù)防泄露、重大事件保障、網(wǎng)絡(luò)安全人才培養(yǎng)等方面發(fā)揮了重要作用。在網(wǎng)絡(luò)安全越來(lái)越受到重視的今天,如何將區(qū)塊鏈這一自主創(chuàng)新核心技術(shù)應(yīng)用在省級(jí)電力公司安全督查工作中,做到“資產(chǎn)臺(tái)賬可溯、運(yùn)維過程可管、漏洞整改可控、督查效果可視”。
一、研究背景
近年來(lái)網(wǎng)絡(luò)攻擊手段的不斷演進(jìn)、各種定向持續(xù)威脅攻擊層出不窮,電力關(guān)鍵基礎(chǔ)設(shè)施已被作為網(wǎng)絡(luò)戰(zhàn)首要目標(biāo),并以此來(lái)癱瘓和瓦解敵對(duì)方能源系統(tǒng),擾亂社會(huì)穩(wěn)定和國(guó)家經(jīng)濟(jì)發(fā)展,因此電力系統(tǒng)信息安全已經(jīng)上升到國(guó)家安全的戰(zhàn)略高度。
國(guó)家電網(wǎng)有限公司一直高度重視網(wǎng)絡(luò)與信息安全工作,明確將網(wǎng)絡(luò)信息安全列為“四大安全”之一。安全督查一直是國(guó)家電網(wǎng)有限公司在信息安全領(lǐng)域的一項(xiàng)基礎(chǔ)性工作,然而隨著各類電力信息系統(tǒng)的不斷建設(shè)與更新,以及督查工作向信息通信、調(diào)度、運(yùn)檢、營(yíng)銷等領(lǐng)域全面覆蓋,網(wǎng)省公司內(nèi)部安全督查工作執(zhí)行過程中也逐漸暴露出一些不足,主要體現(xiàn)在以下幾方面。
1)督查臺(tái)賬不清晰:一些自建業(yè)務(wù)系統(tǒng)未經(jīng)備案及安全測(cè)評(píng)私自上線,無(wú)法實(shí)時(shí)更新臺(tái)賬信息并納入督查范圍,導(dǎo)致督查覆蓋面不全,帶來(lái)了較大的安全隱患。
2)工作執(zhí)行效率低:漏洞通報(bào)、整改反饋等信息傳遞主要以郵件收發(fā)為主,缺乏貫穿統(tǒng)一的督查管理平臺(tái),基層單位督查人員不足,大量精力卻耗費(fèi)在報(bào)告編制與人工信息傳遞過程中。
安全督查涉及管理部門、督查單位、省市二級(jí)運(yùn)維單位、研發(fā)單位等多個(gè)主體,主體之間督查月報(bào)、風(fēng)險(xiǎn)排查、整改反饋等業(yè)務(wù)信息交互頻繁,運(yùn)維記錄、資產(chǎn)臺(tái)賬不允許隨意修改,其場(chǎng)景符合區(qū)塊鏈多方信任、數(shù)據(jù)共享、不可篡改等特點(diǎn),因此本文提出一種基于區(qū)塊鏈技術(shù)的電力信息資產(chǎn)全生命周期安全督查管理體系,具備“資產(chǎn)臺(tái)賬可溯、運(yùn)維過程可管、漏洞整改可控、督查效果可視”的能力。通過引入?yún)^(qū)塊鏈督查的平臺(tái)體系架構(gòu),資產(chǎn)臺(tái)賬的分布式鏈上存儲(chǔ)結(jié)構(gòu),以及節(jié)點(diǎn)之間臺(tái)賬信息更新的共識(shí)機(jī)制,督查工作票流轉(zhuǎn)的智能合約,自動(dòng)化隱患發(fā)現(xiàn)與整改驗(yàn)證閉環(huán)管理,資產(chǎn)臺(tái)賬多方信任與督查過程自動(dòng)處置機(jī)制,解決了督查工作中臺(tái)賬不準(zhǔn)確、執(zhí)行效率低的問題。
二、區(qū)塊鏈安全督查系統(tǒng)架構(gòu)
參考區(qū)塊鏈的體系架構(gòu),區(qū)塊鏈安全督查系統(tǒng)可以分為 5 層(見圖 1)。最下層的數(shù)據(jù)層用于分布式存儲(chǔ)資產(chǎn)臺(tái)賬信息;網(wǎng)絡(luò)層主要由區(qū)塊鏈節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等)、各類資產(chǎn)(業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、 WebService 等)組成,保證網(wǎng)絡(luò)中節(jié)點(diǎn)之間的互聯(lián)互通;共識(shí)層主要通過共識(shí)算法實(shí)現(xiàn)督查臺(tái)賬信息在所有節(jié)點(diǎn)之間同步與更新;合約層利用智能合約實(shí)現(xiàn)了鏈上運(yùn)維工作票的流轉(zhuǎn);應(yīng)用層通過管理系統(tǒng)實(shí)現(xiàn)督查實(shí)時(shí)信息的查詢與展示。
圖 1
區(qū)塊鏈安全督查系統(tǒng)架構(gòu)
三、 區(qū)塊鏈安全督查系統(tǒng)及關(guān)鍵技術(shù)
1)資產(chǎn)臺(tái)賬區(qū)塊存儲(chǔ)結(jié)構(gòu)。信息資產(chǎn)鏈上存儲(chǔ)的主體單元是區(qū)塊,區(qū)塊分為區(qū)塊頭和區(qū)塊體 2 部分。區(qū)塊頭主要包含前一區(qū)塊哈希、版本、時(shí)間戳、隨機(jī)數(shù)、 Merkle 根等。區(qū)塊體包含督查系統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)部分為資產(chǎn)的 IP 地址、端口、負(fù)責(zé)人、安全漏洞等安全督查中涉及的關(guān)鍵信息,非結(jié)構(gòu)化數(shù)據(jù)部分主要包括安全測(cè)試報(bào)告、安全滲透報(bào)告等文檔(見圖 2)。
圖 2 區(qū)塊數(shù)據(jù)結(jié)構(gòu)
2)資產(chǎn)臺(tái)賬鏈上更新共識(shí)機(jī)制。本文利用獎(jiǎng)懲激勵(lì)機(jī)制,改進(jìn) EOS 的委托權(quán)益人證明機(jī)制(Delegated Proof of Stake, DPoS)共識(shí)算法來(lái)保證資產(chǎn)臺(tái)賬鏈上的存儲(chǔ)及更新,通過協(xié)同過濾推薦算法改善原 DPoS 共識(shí)機(jī)制中節(jié)點(diǎn)投票不積極的情況,同時(shí)降低惡意分叉的可能性,使得投票選出來(lái)的節(jié)點(diǎn)更容易被整個(gè)督查系統(tǒng)接受。
圖 3 顯示了改進(jìn)后的 DPoS 共識(shí)算法在督查系統(tǒng)中的應(yīng)用,資產(chǎn)臺(tái)賬區(qū)塊產(chǎn)生后,由區(qū)塊鏈廣播機(jī)制將產(chǎn)生區(qū)塊的請(qǐng)求信息分發(fā)到區(qū)塊鏈網(wǎng)絡(luò)中,網(wǎng)絡(luò)中的節(jié)點(diǎn)會(huì)參與區(qū)塊哈希值計(jì)算,當(dāng)哈希一致性的計(jì)算結(jié)果達(dá)到 51%的比例后,系統(tǒng)視為此區(qū)塊 Hash 值有效,將區(qū)塊信息通過共識(shí)節(jié)點(diǎn)寫入?yún)^(qū)塊中,同步到所有區(qū)塊鏈節(jié)點(diǎn)。圖 3 中研發(fā)單位、運(yùn)維單位、督查單位均部署具有記賬權(quán)限的區(qū)塊鏈節(jié)點(diǎn),當(dāng)區(qū)塊發(fā)起寫入請(qǐng)求時(shí),只要被選舉出來(lái)的單位算力超過 51%即可完成哈希值的驗(yàn)證,大大提升了區(qū)塊哈希值的共識(shí)速度,同時(shí)本
系統(tǒng)引進(jìn)了獎(jiǎng)懲激勵(lì)機(jī)制,可動(dòng)態(tài)調(diào)節(jié)權(quán)重比例,使其良性循環(huán),確保督查鏈的可靠性。
圖 3 DPoS 工作機(jī)制在安全督查系統(tǒng)中的優(yōu)化應(yīng)用
3)安全事件自動(dòng)處置智能合約。在信息資產(chǎn)運(yùn)行過程中,存在資產(chǎn)信息變更工作票業(yè)務(wù),工作票標(biāo)明了資產(chǎn)變更信息和作業(yè)時(shí)間。當(dāng)區(qū)塊鏈督查系統(tǒng)
接收到資產(chǎn)變更工作票請(qǐng)求后會(huì)將工作票信息和執(zhí)行合約的時(shí)間節(jié)點(diǎn)存放到智能合約執(zhí)行變量中,進(jìn)而履行區(qū)塊鏈智能合約的自動(dòng)執(zhí)行,在運(yùn)維操作執(zhí)行完成后,將變更后的資產(chǎn)臺(tái)賬信息寫入?yún)^(qū)塊鏈中。
同時(shí)信息安全督查系統(tǒng)會(huì)定時(shí)執(zhí)行隱患排查任務(wù),對(duì)資產(chǎn)進(jìn)行排查識(shí)別和安全滲透,將資產(chǎn)識(shí)別結(jié)果與督查鏈上資產(chǎn)數(shù)據(jù)比對(duì)。當(dāng)資產(chǎn)指紋不匹配(出現(xiàn)未備案違規(guī)部署的系統(tǒng)、未知端口、系統(tǒng)版本不一致等問題)或發(fā)現(xiàn)漏洞隱患時(shí),觸發(fā)安全隱患整改智能合約,以郵件的方式,發(fā)送整改通知給運(yùn)維單位及人員。相關(guān)作業(yè)人員整改后通過資產(chǎn)信息變更工作票機(jī)制反饋到督查系統(tǒng)中,系統(tǒng)會(huì)對(duì)整改情況進(jìn)行驗(yàn)證,實(shí)現(xiàn)安全風(fēng)險(xiǎn)智能化檢測(cè)與自動(dòng)化處置與閉環(huán)驗(yàn)證。
圖 4 闡述了督查鏈網(wǎng)絡(luò)執(zhí)行智能合約的通信模型,智能合約由督查鏈內(nèi)的多個(gè)單位共同參與制定,協(xié)議中明確了參與各方的權(quán)利和義務(wù),并且包含觸發(fā)智能合約自動(dòng)執(zhí)行的條件。智能合約編寫完成后會(huì)被上傳到督查鏈網(wǎng)絡(luò),即全網(wǎng)節(jié)點(diǎn)都會(huì)接收該智能合約。節(jié)點(diǎn)會(huì)定期檢查是否存在滿足智能合約條件的事件,如果滿足將會(huì)推送到待驗(yàn)證的隊(duì)列中。系統(tǒng)中的區(qū)塊鏈節(jié)點(diǎn)會(huì)本地執(zhí)行智能合約代碼,并將執(zhí)行結(jié)果進(jìn)行相互驗(yàn)證,等大多數(shù)驗(yàn)證節(jié)點(diǎn)對(duì)該事件達(dá)成共識(shí)后,智能合約將成功執(zhí)行。
圖 4 智能合約通信模型
四、解決的問題和意義
1)解決了督查臺(tái)賬不清晰的問題。利用區(qū)塊鏈技術(shù),建立一條包含管理部門、督查單位、省市二級(jí)運(yùn)維單位、研發(fā)單位等多方參與的督查鏈,共同維護(hù)資產(chǎn)臺(tái)賬信息,保障了全省督查臺(tái)賬信息的準(zhǔn)確性與不可隨意篡改。
2)解決了督查工作執(zhí)行效率低的問題。區(qū)塊鏈節(jié)點(diǎn)利用網(wǎng)絡(luò)空間測(cè)繪、自動(dòng)化滲透等方式常態(tài)化對(duì)資產(chǎn)安全狀況進(jìn)行監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)系統(tǒng)未備案上線運(yùn)行、安全漏洞等風(fēng)險(xiǎn)隱患,并利用智能合約自動(dòng)執(zhí)行,實(shí)現(xiàn)了安全隱患下發(fā)、整改、反饋、驗(yàn)證的閉環(huán)管理,提升安全督查工作效率。
相關(guān)熱詞搜索:區(qū)塊 信息安全 技術(shù)研究
熱點(diǎn)文章閱讀