[发明专利]一种电力终端及其嵌入式系统的信息安全防护方法与体系

说明书

本发明公开了一种电力终端及其嵌入式系统的信息安全防护方法与体系，依据人工免疫原理通过免疫自稳、免疫监视和免疫防御方式主动进行信息安全防护，包括如下步骤：S1，建立用于免疫自稳的嵌入式系统内生可信运行环境；S2，加载用于免疫监视的嵌入式系统异常检测逻辑检查程序；S3，根据步骤S2检查的结果，选择是否加载用于免疫防御的故障应急处理及事件记录程序：若步骤S2检查的结果异常，则加载用于免疫防御的故障应急处理及事件记录程序；否则，则不加载。本发明模拟人体免疫三大功能免疫自稳、免疫监视和免疫防御，赋予电力终端拟人的主动免疫安全防护能力，在一定程度上维护了电力工控终端的信息安全，降低了电力终端的安全风险。

技术领域

本发明涉及电力系统信息安全技术领域，特别是涉及一种电力终端及其嵌入式系统的信息安全防护方法与体系。

背景技术

电力系统传统上主要依赖边界隔离和专用系统私有协议保障网络安全，一般基于通用软、硬件平台研发电力终端，除用户智能终端依赖较简单的SM1国密算法保障安全外，极少考虑网络安全防护。

近年来，以“火焰”和“Black Energy”等恶意代码为主要技术手段的高级持续性威胁(advanced persistent threat，APT)对能源等工业控制系统造成了巨大危害，其扩散和破坏过程非常隐蔽，可以突破现有以“隔离、检测、查杀”为主的安全防护措施，给系统致命一击。目前，中国电网已经全面建成了以网络隔离及边界防护为主的网络安全纵深防护体系，但面对以快速演进的恶意代码为主要技术手段的APT攻击，存在防护技术滞后于攻击手段、安全功能制约于业务功能、防护措施影响控制业务实时性等问题。

自然界中，生物的免疫系统主要用于识别属于正常机体本身的“自我”以及来自生物体内和体外的异常的“非我”，并且随时主动检测和查杀不属于机体本身的抗原。从上述描述中可以看出，电力终端嵌入式系统的安全问题与生物免疫系统所遇到的问题具有惊人的相似性，两者都要在不断变化的环境中维持系统的稳定性。因此，人工免疫系统(Artificial Immune System，AIS)的主要思想是借鉴生物免疫系统，以生物体免疫系统所具有的诸多特性为基础理论，结合实际工程与应用中实际情况来解决问题。目前人工免疫系统已经在病毒检测、恶意代码分析等方面的应用有研究。但是，如何将人工免疫应用于电力终端嵌入式系统的信息安全防护方面，则仍然是一项亟待解决的关键技术问题。

发明内容

有鉴于此，本发明的目的在于借鉴人体免疫学的相关理念，提供一种电力终端及其嵌入式系统的信息安全防护方法与体系，降低攻击破坏和故障异常导致的电力终端安全风险。

一方面，本发明提供了一种电力终端嵌入式系统的信息安全防护方法，依据人工免疫原理通过免疫自稳、免疫监视和免疫防御方式主动进行信息安全防护，包括如下步骤：

S1，建立用于免疫自稳的嵌入式系统内生可信运行环境；

S2，加载用于免疫监视的嵌入式系统异常检测逻辑检查程序；

S3，根据步骤S2检查的结果，选择是否加载用于免疫防御的故障应急处理及事件记录程序：若步骤S2检查的结果异常，则加载用于免疫防御的故障应急处理及事件记录程序；否则，则不加载。

进一步地，步骤S1所述的建立用于免疫自稳的嵌入式系统内生可信运行环境的具体步骤包括：

S11，在电力终端投入运行前，针对终端上所有合法加载的业务应用，调用加密算法对所有可执行程序进行哈希度量，将所有生成的度量结果加入知识库中，形成应用程序的白名单列表；

S12，电力终端可执行程序在运行之前，将捕获的可执行程序镜像交给完整性度量模块；

S13，完整性度量模块调用密码模块的功能，采用加密算法对可执行程序镜像实施度量；