基于貝葉斯網(wǎng)絡(luò)的sdh設(shè)備安全性評估模型

0貝葉斯網(wǎng)絡(luò)的應(yīng)用在能源網(wǎng)絡(luò)中，重要的通信業(yè)務(wù)，如替代能源系統(tǒng)的能源系統(tǒng)，如能源系統(tǒng)的安全穩(wěn)定，遠動和規(guī)劃電話，應(yīng)通過sdh設(shè)備傳輸。隨著通信網(wǎng)絡(luò)管理智能化發(fā)展,SDH設(shè)備的安全影響因素相互關(guān)系復(fù)雜,因此需要一種綜合的、量化的安全評估模型。信息物理融合系統(tǒng)(cyber-physicalsystem,CPS)概念的提出,使人們對通信設(shè)備的安全性研究從純粹信息安全逐步轉(zhuǎn)向信息與物理的協(xié)同安全。文獻從物理組件、應(yīng)用程序、網(wǎng)絡(luò)設(shè)施等方面分析了電力控制環(huán)路和基礎(chǔ)設(shè)施的脆弱性。文獻詳細討論了物理或網(wǎng)絡(luò)攻擊引起智能電網(wǎng)基礎(chǔ)設(shè)施的信息物理安全問題。在信息和網(wǎng)絡(luò)安全研究領(lǐng)域,人們已經(jīng)提出了多種信息安全評估模型:層次結(jié)構(gòu)模型、攻擊圖、貝葉斯等?；谪惾~斯網(wǎng)絡(luò)的評估模型能夠有效利用專家知識和現(xiàn)場數(shù)據(jù)進行量化計算,所以在諸多研究方法中,貝葉斯網(wǎng)絡(luò)一直作為強有力的建模基礎(chǔ)。另外,MATLAB、Bayesialab、GeNIe等多種軟件均支持貝葉斯網(wǎng)絡(luò)的推理計算。本文以貝葉斯網(wǎng)絡(luò)為基本建模方法,綜合電力通信網(wǎng)的運行環(huán)境和業(yè)務(wù)需求,從信息和物理融合的角度分析電力通信網(wǎng)SDH設(shè)備的安全威脅和脆弱性,建立了基于貝葉斯網(wǎng)絡(luò)的SDH設(shè)備綜合安全性評估模型,并用實例驗證了模型的有效性和可行性。1貝葉斯安全模型貝葉斯網(wǎng)絡(luò)是概率論與圖論的結(jié)合,它是變量節(jié)點和有向弧構(gòu)成的有向圖,其中,弧表示節(jié)點間的因果關(guān)系,條件概率表(conditionalprobabilitytable,CPT)表示節(jié)點與其父節(jié)點之間的關(guān)聯(lián)強度。這種表示方法使貝葉斯網(wǎng)絡(luò)具有了強大的推理能力和不確定性處理能力,MATLAB和GeNIe等通用軟件平臺都支持貝葉斯網(wǎng)絡(luò)的推理。信息安全涉及資產(chǎn)、威脅、脆弱性和安全措施等4個要素。資產(chǎn)是指對組織有價值的信息或資源,是安全策略保護的對象;威脅是指可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因;脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié);安全措施是保護資產(chǎn)、抵御威脅,減少脆弱性降低安全事件的影響,以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。這4個要素之間的關(guān)系可以用貝葉斯網(wǎng)絡(luò)進行建模。電力通信系統(tǒng)潛在威脅有:電力員工的疏忽或惡意行為、電力通信設(shè)備故障、自然災(zāi)害、黑客等。針對威脅建立6種不同結(jié)構(gòu)的貝葉斯模型分別描述3種類型的威脅,如表1所示。利用式(1)可計算M1、M3、M5的輸出節(jié)點S為“True”狀態(tài)的后驗概率P(S=True)。式中:P(C)和P(T)分別為節(jié)點C和T的先驗概率;P(V|C)表示節(jié)點V的條件概率;P(S=True|T,V)表示在T、V條件下節(jié)點S為“True”狀態(tài)的概率。利用式(2)可計算M2、M4、M6的輸出節(jié)點S為“True”狀態(tài)的概率P(S=True)。式中:P(S=True|T,V,C)表示T、V、C條件下節(jié)點S為“True”狀態(tài)的概率。表1列出各模型及其特點。在不損失信息量、節(jié)點間關(guān)系描述合理的前提下,選擇計算難度較低、復(fù)雜度較低的模型。針對概率性的威脅建立2個貝葉斯網(wǎng)絡(luò):M1和M2。通過對模型的復(fù)雜度、CPT維數(shù)和計算難度的比較,顯然M1較優(yōu)。特別是當(dāng)綜合多個威脅、脆弱性和防御措施建立復(fù)雜的安全模型時,模型建立難度和計算難度成倍增加。因此選擇M1作為建模依據(jù)。同樣,選擇M3和M5作為另外兩種威脅的建模依據(jù)。2sdh設(shè)備安全模型2.1sdh主要作用SDH設(shè)備主要由支路板、線路板、交叉板、開銷板、主控板、定時板和母板構(gòu)成,結(jié)構(gòu)如圖1。主要的通信數(shù)據(jù)分為:用戶數(shù)據(jù)、網(wǎng)管數(shù)據(jù)、公務(wù)聯(lián)系信息。用戶數(shù)據(jù)通過支路板、交叉板和線路板在設(shè)備中傳輸,實現(xiàn)信號的開銷處理、分/插復(fù)用、光電轉(zhuǎn)換。當(dāng)設(shè)備出現(xiàn)支路板、開銷處理板或線路板故障時用戶數(shù)據(jù)將無法傳輸,或黑客可潛入通信機房接入通信設(shè)備竊取用戶數(shù)據(jù)。網(wǎng)管數(shù)據(jù)主要用于故障檢測、性能監(jiān)視、維護和配置。支路板和線路板提取開銷字節(jié)中的告警信息,由主控板轉(zhuǎn)發(fā)至本地的網(wǎng)管中心,配置命令的下發(fā)過程與之相反。設(shè)備線路板、支路板或主控板故障均會破壞網(wǎng)管數(shù)據(jù)的可用性。若配置不當(dāng),網(wǎng)管系統(tǒng)的告警功能幫助工作人員及時發(fā)現(xiàn)問題,但是當(dāng)告警信息被非法屏蔽將使設(shè)備無法及時修復(fù),造成更嚴(yán)重的后果。SDH提供了兩路64kbit/s公務(wù)電話,用于遠距離節(jié)點設(shè)備的調(diào)試和維修。傳輸公務(wù)電話信號的開銷板和線路板出現(xiàn)故障會對公務(wù)信號的可用性造成影響。2.2電力通信網(wǎng)的安全評估模型文獻分析了電力通信網(wǎng)的信息安全需求和潛在的威脅,并提出了相應(yīng)的安全防御措施。公用通信網(wǎng)的安全屬性是保密性、完整性和可用性,簡稱CIA。其中最為重要的是保密性(C),然后是完整性(I),最后是可用性(A)。然而,電力通信網(wǎng)關(guān)注的安全屬性順序是可用性、完整性和保密性,簡稱AIC。這意味著,電力通信網(wǎng)的安全評估不能照搬公用通信網(wǎng)的方法,需要深入研究針對電力通信特殊需求的SDH設(shè)備安全評估模型。廣義地劃分,電力通信設(shè)備面臨的潛在威脅有兩種,一種是無意威脅,另一種是蓄意威脅。無意威脅包括設(shè)備自身失效、工作人員的疏忽和自然災(zāi)害等;蓄意威脅包括惡意員工、間諜和黑客等。文獻[10-11]分別從管理和技術(shù)方面對安全防御措施進行詳細的描述,本文對其進行總結(jié)如表2。2.3sdh設(shè)備安全模型的建立通過對SDH設(shè)備安全性的分析,列出了各類威脅、脆弱性以及相應(yīng)的防御措施。依據(jù)2節(jié)中的建模方法,針對每種威脅分別建立貝葉斯模型,再綜合起來建立完整的評估模型。確定SDH設(shè)備安全模型的總目標(biāo):用戶信息的可用性、保密性,管理信息的可用性、完整性、保密性,公務(wù)電話的可用性。確定防御措施、威脅總目標(biāo)的關(guān)系,建立完整的安全評估模型,如圖2。3sdh設(shè)備安全評估方法3.1輸入節(jié)點分配以圖2中的模型為例,對各節(jié)的賦值方法如下:環(huán)境監(jiān)控系統(tǒng)等級防御措施量化分兩種。一類將防御措施實施程度定義5個等級:“高”、“較高”、“中”、“較低”、“低”,分別對應(yīng)賦值為:0.9、0.7、0.5、0.3、0.1。例如防雷系統(tǒng),設(shè)備更換,機房環(huán)境監(jiān)控系統(tǒng)等。另一類防御措施定義2個等級:“高”、“低”,分別對應(yīng)賦值為:0.9、0.1。例如硬件的冗余、定期維護、軟件更新等。各等級強度威脅的年度分布雷擊或其他自然災(zāi)害等為概率事件,可綜合頻率和強度來量化。定義威脅強度為3個等級:“高”、“中”、“低”。統(tǒng)計多年內(nèi)各等級強度威脅的年均次數(shù)N。對每個強度分別設(shè)權(quán)重值為:Wi(i=1,2,3),其中Wi表示未采取任何措施的條件下,該強度的威脅造成設(shè)備故障的可能性,利用專家知識、管理人員的工作經(jīng)驗,對各個強度的威脅造成設(shè)備故障的可能性Wi進行打分。威脅節(jié)點的值可利用式(3)計算。3.2sdh設(shè)備電源故障描述貝葉斯圖形表示了節(jié)點間的因果關(guān)系,CPT則用于描述節(jié)點間關(guān)系強弱的程度,如表3,表中:T表示“真”;F表示“假”;C5表示電源冗余;C6為防雷系統(tǒng);V3表示雷擊后電源故障。表3中描述了即使設(shè)有防雷系統(tǒng)、備份電源,SDH設(shè)備電源也存在被雷擊擊壞的可能性。防雷系統(tǒng)是抵御雷擊的重要措施,當(dāng)防雷系統(tǒng)未能抵御雷擊,即使設(shè)備存在冗余電源,SDH設(shè)備電源也易被雷擊破壞。3.3matlab中常用的貝葉斯制造軟件貝葉斯算法已經(jīng)發(fā)展成為一種成熟的數(shù)學(xué)算法,不僅可以通過在MATLAB上安裝BNT軟件包以實現(xiàn)貝葉斯建模及推理,還存在各種更簡單實用的軟件平臺如GeNIe、Bayesialab等。本文選擇GeNIe2.0軟件來計算模型輸出節(jié)點的值。4安全評估結(jié)果分析為了提升重要廠站設(shè)備或故障率較高設(shè)備的安全性,電網(wǎng)必須在有限條件下做出最有效的加強措施。本文選取某供電公司下屬變電站的1臺SDH設(shè)備為例,說明所提出的模型可幫助決策者了解每項措施對不同傳輸數(shù)據(jù)的影響程度。通過與現(xiàn)場工作人員的交流,采集該SDH設(shè)備的各項防御措施信息,依據(jù)第3.1節(jié)方法對防御措施節(jié)點賦值,統(tǒng)計每種威脅的次數(shù)和強度,計算威脅程度,如表4。根據(jù)表4中設(shè)備基本信息,利用本文建立的基于貝葉斯的安全評估模型,對設(shè)備內(nèi)用戶數(shù)據(jù)和管理數(shù)據(jù)進行安全性評估,評估結(jié)果如圖3(a)所示。選擇有效的防御措施,提出最佳設(shè)備安全提升方案是電力通信決策者最關(guān)心的問題。本文以兩種典型的防御措施為例,分別分析每個措施對數(shù)據(jù)安全性的影響,如圖3(b)和圖3(c)所示。假設(shè)將設(shè)備接地,安裝接口、電源加強防雷裝置,電源過流保護等,即將C14節(jié)點賦值為0.9,分別計算用戶數(shù)據(jù)的可用性、保密性,公務(wù)信息的可用性,和管理數(shù)據(jù)的可用性、完整性、保密性,如圖3(b)所示。與圖3(a)相比,加強防雷措施后,用戶數(shù)據(jù)的可用性G1和管理數(shù)據(jù)的可用性G3被破壞的概率約降低0.05,且其他安全目標(biāo)未受影響,安全性未得到顯著提高。另假設(shè)對員工進行安全知識、操作規(guī)程、加強安全意識等,即對C11節(jié)點賦值為0.9時,安全評估結(jié)果如圖3(c)所示。與圖3(a)相比,加強員工培訓(xùn)后,用戶數(shù)據(jù)的可用性G1、管理數(shù)據(jù)的可用性G3被破壞的概率約降低0.52,管理數(shù)據(jù)的保密性G4被破壞的概率約降低0.02,其他安全目標(biāo)未受影響。因此,可判斷加強員工培訓(xùn)比加強防雷措施能夠較大程度地降低用戶數(shù)據(jù)的可用性G1和管理數(shù)據(jù)的可用性G3被破壞的概率,提高設(shè)備的安全性。由此可見,本文提出的安全評估方法可有效幫助決策者了解每項防御措施對每個數(shù)據(jù)的安全屬性不同程度的影響,并從中選擇最有效的防御措施設(shè)計SDH設(shè)備安全性提升方案。5貝葉斯模型建立方法安全評估的研究不僅具有伴生特性,還需要前瞻性。本文從物理和信息兩個方面分析電力通信設(shè)備的脆弱性和可能存在的威脅,并依據(jù)威脅、脆弱性、防御措施和