面向电力CPS风险评估的电力信息网络模型建立方法及系统技术方案

本发明专利技术公开了一种面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估系统，该模型选取漏洞分布威胁度、访问途径和利用复杂度3组安全漏洞评估要素；采用层次分析法建立了脆弱性威胁度评估模型，给出了参数构造方法；在定量评估的基础上，将评估结果定义了脆弱性威胁等级，兼顾了定量评估的客观性和定性评估的直观性；同时，本发明专利技术涉及的系统包括采用分布式结构的漏洞检测部分和服务器部分。本发明专利技术将漏洞扫描系统与电力信息网络的安全分区融合，并采用一种基于CVSS和层次分析法的电力信息网络漏洞威胁评估算法进行漏洞威胁评估，使得该系统可以更安全、更准确的对电力信息网络进行漏洞扫描和安全评估。

【技术实现步骤摘要】

本专利技术涉及一种脆弱性威胁评估模型，特别是涉及一种面向电力信息安全风险评估的电力信息网络脆弱性威胁评估系统与评估方法。
技术介绍
电力信息网络中存在的各种脆弱性(漏洞)是电力CPS信息空间安全风险的重要内因。脆弱性存在于电力信息网络的各个层次和环节之中，一旦被恶意主体所利用，就会影响电力信息系统及其服务的正常运行，并可能通过电力信息业务影响到电力一次系统的可靠运行，从而造成巨大的损失，对电力信息网络进行漏洞扫描是保证电力系统安全的必要步骤。传统的网络漏洞扫描器一般是基于单机的系统，适合结构简单、规模不大的网络环境；已公开的分布式漏洞扫描系统也没有考虑具有物理隔离的不同安全级别的多分区网络结构。电力信息网络按其业务及安全性需求分为4个区，并采用了VPN、防火墙、安全隔离等技术。这些技术的应用，改善了网络的安全性，但也降低了网络的可管理性，限制了传统扫描器对异构系统及较大规模网络实施漏洞扫描的协同工作能力。为保障安全性，电力信息网络对安全区内部与安全区之间的数据传输有严格的限制，普通网络的分布式漏洞扫描系统在漏洞扫描过程中数据传输的安全性得不到保证，这违背了漏洞检测的本意。因此，在电力信息网络的漏洞扫描过程应该避免扫描本身给网络带来的威胁。在评估算法方面，目前应用最广的漏洞评估体系是CVSS。CVSS是一个通用的评估体系，它没有给出算法中确定权重的内在逻辑，在评估电力信息网络中的漏洞时不能将其网络结构和安全需求考虑在内，因此评估结果误差大，不适用于电力信息网络中的脆弱性威胁度评估。
技术实现思路
本专利技术的目的是克服现有方法和技术的不足，提供一种适用于电力CPS风险评估的电力信息网络脆弱性威胁评估方法和漏洞扫描系统架构。提出针对电力CPS的特点选取评估要素和进行赋值、基于层次分析法和灰色聚类法构造评估算法对扫描结果进行威胁度评估，从而改进评估结果的合理性；同时针对传统的漏洞扫描系统在架构和评估算法上存在的不足，提出一个适用于电力信息网络的漏洞扫描系统模型，解决电力信息网络中多安全分区网络的漏洞扫描和数据安全传输问题。本专利技术解决其技术问题所采用的技术方案是：一种面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型建立方法，是基于层次分析法的电力信息网络脆弱性威胁评估模型，具体包括：步骤1、电力信息网络脆弱性威胁评估要素的选取与赋值：参考CVSS评估系统的评估要素，并结合电力CPS的实际情况，选取漏洞分布威胁度、访问途径和利用复杂度作为电力信息网络的漏洞评估要素；步骤2、建立电力信息网络脆弱性威胁评估的层次分析模型：建立电力信息网络脆弱性威胁评估的三层结构模型：目标层是脆弱性威胁度的评估等级，准则层是分布威胁度、访问途径、利用复杂度3个评估要素，措施层是三个评估要素组成的18种排列组合；步骤3、参数构造与计算：根据各评估元素两两之间的相对重要程度，构造各层对上一层的转移矩阵，计算各层的层次排序以及层次总排序；步骤4、根据计算结果将漏洞对应到相应的威胁级别，并作出评估报告；调用漏洞信息，根据算法得到漏洞在措施层中的类别，对应可以得到漏洞的威胁级别，由威胁级别制定评估报告。一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型的系统，包括采用分布式扫描代理和集中式的服务器；包括服务器端和扫描代理端，其中，所述服务器包括：通信器：负责与扫描代理的通信，包括发送扫描命令与接收漏洞信息；扫描配置模块：提供一个界面，让用户对扫描会话的信息进行配置，然后把配置信息组成扫描参数文件，并加密发送给扫描代理端；扫描结果库：用来存储扫描代理发送过来的扫描结果数据，并接受扫描报告生成模块与评估算法模块的调用；扫描报告生成模块：调用扫描结果库中的扫描漏洞信息，漏洞信息生成扫描报告；评估算法模块：基于层次分析法的面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型对扫描结果进行计算分析，并形成安全评估报告；所述扫描代理端包括：信息传递模块：使系统按照电力信息网络的安全要求完成不同安全区的扫描代理与服务器之间的信息安全传递；扫描引擎服务模块：负责接收中心管理服务器传来的扫描请求，获取主机信息或者与主机TCP/IP端口建立连接并请求服务，并调用扫描插件对端口主机进行扫描；扫描插件模块：由多个扫描插件构成，通过调用扫描插件来执行漏洞扫描，检测出系统中存在的一个或多个漏洞；漏洞库：漏洞数据库收集了国际上公开发布的漏洞数据，用于检查检测的完备性，所述漏洞库与扫描插件之间是一对一或者多对一的关系，即一个插件可以进行一个或多个脆弱点的探测；数据库更新模块，负责扫描插件库和漏洞数据库的更新。在上述的一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型的系统，在服务器端中，扫描结果库分别与扫描报告生成模块、评估算法模块相连接，评估算法模块从扫描结果库中调取扫描结果并根据预置的算法对扫描结果进行计算分析，从而形成安全评估报告；扫描报告生成模块从扫描结果库中调取扫描结果信息生成扫描报告。在上述的一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型的系统，在扫描代理端，扫描引擎服务模块分别与扫描插件模块、漏洞库相连接，扫描引擎服务模块根据服务器端的请求从插件库中调用插件对目标网络进行扫描，并把扫描结果与漏洞库进行匹配看是否发现漏洞,最后把扫描结果传送给服务器端。在上述的一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型的系统，所述的扫描代理端的信息传递模块将信息传到各个安全区之间的信息交换平台，经过综合过滤、访问控制、安全认证、应用代理等环节，完成不同安全区的扫描代理与Ⅲ区的服务器间的数据按照电力二次系统的安全要求的交换；综合过滤，包过滤功能是在网络数据的必经之地截获IP包，对其IP头进行分析，根据数据，包的源地址、目的地址、端口号、TCP连接状态要素进行综合检查；访问控制，访问控制采用安全认证技术，截断不合法连接请求，如数据只能由内网请求连接等；应用代理,合法的连接建立后，由应用网关提供各种服务的代理，并实现应用协议级的安全控制。在上述的一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型的系统，在不同的安全区之间配置数据交换平台，本文档来自技高网...

【技术保护点】
一种面向电力CPS风险评估的电力信息网络脆弱性威胁评估模型建立方法，其特征在于，是基于层次分析法的电力信息网络脆弱性威胁评估模型，具体包括：步骤1、电力信息网络脆弱性威胁评估要素的选取与赋值：参考CVSS评估系统的评估要素，并结合电力CPS的实际情况，选取漏洞分布威胁度、访问途径和利用复杂度作为电力信息网络的漏洞评估要素；步骤2、建立电力信息网络脆弱性威胁评估的层次分析模型：建立电力信息网络脆弱性威胁评估的三层结构模型：目标层是脆弱性威胁度的评估等级，准则层是分布威胁度、访问途径、利用复杂度3个评估要素，措施层是三个评估要素组成的18种排列组合；步骤3、参数构造与计算：根据各评估元素两两之间的相对重要程度，构造各层对上一层的转移矩阵，计算各层的层次排序以及层次总排序；步骤4、根据计算结果将漏洞对应到相应的威胁级别，并作出评估报告；调用漏洞信息，根据算法得到漏洞在措施层中的类别，对应可以得到漏洞的威胁级别，由威胁级别制定评估报告。

【技术特征摘要】
1.一种面向电力CPS风险评估的电力信息网络脆弱性威胁评估模
型建立方法，其特征在于，是基于层次分析法的电力信息网络脆弱性
威胁评估模型，具体包括：
步骤1、电力信息网络脆弱性威胁评估要素的选取与赋值：参考
CVSS评估系统的评估要素，并结合电力CPS的实际情况，选取漏洞
分布威胁度、访问途径和利用复杂度作为电力信息网络的漏洞评估要
素；
步骤2、建立电力信息网络脆弱性威胁评估的层次分析模型：
建立电力信息网络脆弱性威胁评估的三层结构模型：目标层是脆弱性
威胁度的评估等级，准则层是分布威胁度、访问途径、利用复杂度3
个评估要素，措施层是三个评估要素组成的18种排列组合；
步骤3、参数构造与计算：根据各评估元素两两之间的相对重要
程度，构造各层对上一层的转移矩阵，计算各层的层次排序以及层次
总排序；
步骤4、根据计算结果将漏洞对应到相应的威胁级别，并作出评
估报告；调用漏洞信息，根据算法得到漏洞在措施层中的类别，对应
可以得到漏洞的威胁级别，由威胁级别制定评估报告。
2.一种基于面向电力CPS风险评估的电力信息网络脆弱性威胁评
估模型的系统，包括采用分布式扫描代理和集中式的服务器；其特征
在于：
包括服务器端和扫描代理端，其中，
所述服务器包括：
通信器：负责与扫描代理的通信，包括发送扫描命令与接收漏洞
信息；
扫描配置模块：提供一个界面，让用户对扫描会话的信息进行配
置，然后把配置信息组成扫描参数文件，并加密发送给扫描代理端；
扫描结果库：用来存储扫描代理发送过来的扫描结果数据，并接
受扫描报告生成模块与评估算法模块的调用；
扫描报告生成模块：调用扫描结果库中的扫描漏洞信息，漏洞信
息生成扫描报告；
评估算法模块：基于层次分析法的面向电力CPS风险评估的电力
信息网络脆弱性威胁评估模型对扫描结果进行计算分析，并形成安全
评估报告；
所述扫描代理端包括：
信息传递模块：使系统按照电力信息网络的安全要求完成不同安
全区的扫描代理与服务器之间的信息安全传递；
扫描引擎服务模块：负责接收中心管理服务器传来的扫描请求，
获取主机信息或者与主机TCP/IP端口建立连接并请求服务，并调用扫
描插件对端口主机进行扫描；
扫描插件模块：由多个扫描插件构成，通过调用扫描插件来执行
漏洞扫描，检测出系统中存在的一个或多个漏洞；
漏洞库：漏洞数据库收集了国际上公开发布的漏洞数据，用于检
查检测的完备性，所述漏洞库与扫描插件之间是...

【专利技术属性】
技术研发人员：王宇飞，赵婷，李俊娥，刘剑，杨国泰，茹叶棋，吴亦贝，
申请(专利权)人：全球能源互联网研究院，国家电网公司，国网河北省电力公司，武汉大学，
类型：发明
国别省市：北京;11