電力監(jiān)控系統(tǒng)安全防護是保障電網(wǎng)安全穩(wěn)定運行的必要措施，為提高電力監(jiān)控系統(tǒng)的安全防護能力，本文在分析電力監(jiān)控系統(tǒng)安全防護現(xiàn)狀的基礎(chǔ)上，分析了應(yīng)用系統(tǒng)層面的安全測評中存在缺乏安全性測評標準、測評手段有限和現(xiàn)有測試工具無法直接用于測評在線生產(chǎn)系統(tǒng)等問題。針對這些問題，本文提出將軟件測試方法應(yīng)用于應(yīng)用系統(tǒng)測試的技術(shù)方案，分別是通過搭建模擬環(huán)境進行自動化的動態(tài)測試，以及對應(yīng)用系統(tǒng)源代碼進行靜態(tài)測試。通過二者的有機結(jié)合，可以有效的發(fā)現(xiàn)應(yīng)用系統(tǒng)中的缺陷，及早采取有效措施避免電力生產(chǎn)中軟件缺陷導(dǎo)致的事故和不良后果，從而保障電網(wǎng)的安全穩(wěn)定運行。

【關(guān)鍵詞】電力監(jiān)控系統(tǒng) 安全防護 信息安全 等級保護測評 軟件測試

1 背景

隨著世界經(jīng)濟形勢和能源格局的悄然變化以及通信與信息技術(shù)的飛速發(fā)展，電網(wǎng)這一現(xiàn)代人造網(wǎng)絡(luò)也發(fā)生著新的變化。由于能源需求節(jié)節(jié)攀升，新能源不斷接入，電網(wǎng)規(guī)模日益擴大，資源優(yōu)化配置的能力得到了有效提升；利用現(xiàn)代化的通信與信息技術(shù)，電網(wǎng)的各個系統(tǒng)之間能夠有效互聯(lián)，大大提高了電網(wǎng)的智能程度。但在規(guī)模不斷擴大、智能化不斷提高的同時，電網(wǎng)的安全運行也面臨著新的挑戰(zhàn)。這是因為龐大的電網(wǎng)規(guī)模增加了電網(wǎng)運行與控制的復(fù)雜程度，而開放互聯(lián)的結(jié)構(gòu)增加的電網(wǎng)各系統(tǒng)之間的耦合度，也增加了系統(tǒng)受到攻擊的風險，給監(jiān)控系統(tǒng)的安全防護增加了難度。

電力監(jiān)控系統(tǒng)，是指用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。為貫徹落實公安部、國家電力監(jiān)管機構(gòu)對電力監(jiān)控系統(tǒng)的安全防護要求，遵照國家信息系統(tǒng)等級保護的相關(guān)要求，電力監(jiān)控系統(tǒng)的安全性測評包括二次安防整體安全、網(wǎng)絡(luò)整體安全、交換/路由安全、防火墻安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全、物理安全和數(shù)據(jù)管理安全共9個類別的測評內(nèi)容，從不同的維度規(guī)定了電網(wǎng)監(jiān)控系統(tǒng)安全防護的標準。

在這些維度中，應(yīng)用系統(tǒng)安全是一個值得關(guān)注的內(nèi)容。電力監(jiān)控系統(tǒng)的應(yīng)用系統(tǒng)安全直接關(guān)系電力生產(chǎn)的安全，應(yīng)用系統(tǒng)的缺陷完全可以導(dǎo)致大規(guī)模停電事故的發(fā)生。使用有效手段檢測電力監(jiān)控系統(tǒng)中的軟件缺陷刻不容緩。如圖1所示。

2 問題分析

軟件缺陷是軟件制品的屬性，它通常是指程序中靜態(tài)存在的所有與預(yù)期需求不符的問題。軟件缺陷給系統(tǒng)運行帶來的影響包括：會導(dǎo)致系統(tǒng)意外宕機等不穩(wěn)定現(xiàn)象的發(fā)生，為惡意攻擊者入侵及破壞系統(tǒng)提供通道。這些問題都可能成為電力安全生產(chǎn)的隱患。

目前的應(yīng)用系統(tǒng)的安全測評主要存在以下幾方面的問題：

2.1 缺乏安全性測評標準

目前，對國家發(fā)布的信息系統(tǒng)等級保護相關(guān)標準，以及電力行業(yè)監(jiān)管部門發(fā)布的電力監(jiān)控系統(tǒng)安全防護的規(guī)定中，對應(yīng)用安全的檢測內(nèi)容尚不充分。應(yīng)用安全的檢測項目如圖2所示，主要側(cè)重于對軟件身份鑒別、安全標記、訪問控制等方面的功能性測試，以及對軟件的配置（如：用戶口令的配置）等進行檢查，但是對軟件自身的缺陷、安全漏洞等未有明確的檢測標準。

2.2 測評手段有限

對于軟件功能的檢查，除部分測評項目能夠?qū)嵉赝ㄟ^使用軟件檢查外，另一些測評項只能通過訪談系統(tǒng)管理員或查看系統(tǒng)設(shè)計文檔來了解。但由于系統(tǒng)管理員的知識水平不同、對系統(tǒng)的理解程度不同，以及文檔缺失、文檔未及時更新等原因，軟件真實的功能特性、安全特性通常難以獲知。

2.3 現(xiàn)有軟件測試工具無法直接應(yīng)用于電力監(jiān)控系統(tǒng)

在軟件測試領(lǐng)域，動態(tài)測試是工業(yè)界已采用的成熟的軟件測試手段。動態(tài)測試是指通過在抽樣測試數(shù)據(jù)上運行程序來檢驗程序的動態(tài)行為和運行結(jié)果，以期發(fā)現(xiàn)程序缺陷?；诤诤械臐B透測試，是目前廣泛采用的軟件安全性檢測方法，其實質(zhì)就是動態(tài)測試。采用自動化工具對軟件進行滲透測試可能消耗大量的計算資源，使系統(tǒng)CPU及內(nèi)存負載過高；同時，由于動態(tài)測試直接應(yīng)用于正在運行中的被測系統(tǒng)，可能對系統(tǒng)的穩(wěn)定性帶來一定的風險。對于電力監(jiān)控系統(tǒng)這種對穩(wěn)定性、可靠性要求極高的系統(tǒng)，動態(tài)的自動化的測試手段可能會影響系統(tǒng)的正常運行，尤其對于處于生產(chǎn)控制大區(qū)的應(yīng)用系統(tǒng)，這會妨礙生產(chǎn)的安全性，因此動態(tài)測試方法并不適合于直接應(yīng)用在電力監(jiān)控系統(tǒng)中。

綜上所述，有必要對電力監(jiān)控系統(tǒng)中的軟件安全性的檢測方法進行探討。

3 軟件測試技術(shù)在電力監(jiān)控系統(tǒng)安全防護中的應(yīng)用

軟件自動化測試，通常是指使用自動化測試工具對軟件進行測試的過程，這類測試一般不需要人干預(yù)。軟件測試是發(fā)現(xiàn)軟件缺陷的有效手段，按照是否需要執(zhí)行程序，可以將軟件測試方法分為動態(tài)測試和靜態(tài)測試。動態(tài)測試需要運行程序，它的實施步驟通常包括：生成測試用例、運行程序和驗證程序運行結(jié)果三個核心內(nèi)容。靜態(tài)測試是指不執(zhí)行程序而尋找程序代碼中可能存在的缺陷或評估程序代碼的過程。靜態(tài)測試包括主要由人工進行的代碼審查、代碼走查、桌面檢查以及主要由軟件工具自動進行的靜態(tài)分析。

靜態(tài)測試與動態(tài)測試方法各有優(yōu)缺點。靜態(tài)測試方法的分析對象通常是應(yīng)用程序的源代碼，不需要運行程序，因此不會影響被測系統(tǒng)的正常運行，它能夠覆蓋所有的執(zhí)行路徑，但是由于方法本身的近似性，分析過程中會包含一些不可達的路徑，而給測試帶來一些誤報。動態(tài)測試方法是通過向應(yīng)用程序輸入數(shù)據(jù)、運行程序、觀察運行結(jié)果的方式來進行測試，因此測試的覆蓋率與輸入的測試集有關(guān)，通常無法覆蓋程序中的所有執(zhí)行路徑，而使得程序中的一些漏洞無法被檢測出來，給測試結(jié)果帶來影響。

根據(jù)上述分析，在電力監(jiān)控系統(tǒng)的安全防護中，我們可以在以下幾方面應(yīng)用軟件測試技術(shù)，發(fā)現(xiàn)電力監(jiān)控系統(tǒng)中的安全漏洞。

3.1 搭建模擬環(huán)境，進行自動化的動態(tài)測試

由于對在線系統(tǒng)進行測試可能破壞電力監(jiān)控系統(tǒng)的正常運行，因此可以通過搭建模擬環(huán)境的方法，對電力監(jiān)控系統(tǒng)的應(yīng)用進行測試。在測試環(huán)境中，可以使用自動的測試工具對應(yīng)用進行安全性測試。這種方法的優(yōu)點是，自動化測試工具的測試過程高效，人工干預(yù)較少，可以檢測出應(yīng)用軟件中的漏洞。endprint

滲透測試工具是目前應(yīng)用最為廣泛的動態(tài)測試工具，其原理是對于B＼S架構(gòu)的應(yīng)用系統(tǒng)利用網(wǎng)頁爬蟲算法遍歷網(wǎng)站的URL資源，識別每個URL的交互數(shù)據(jù)，對數(shù)據(jù)進行有針對性的變異并進行重放測試，根據(jù)返回結(jié)果判斷安全問題。許多軟件廠商都有針對各自技術(shù)研發(fā)出的滲透測試產(chǎn)品，如表1所示。

通過搭建模擬環(huán)境進行動態(tài)測試的方案，其缺點在于模擬環(huán)境可能與軟件應(yīng)用的真實環(huán)境存在差異，給測試結(jié)果帶來影響，其差異包括以下幾個方面：

（1）數(shù)據(jù)不同： 測試環(huán)境中的數(shù)據(jù)通常與真實數(shù)據(jù)不同，例如測試環(huán)境中用戶口令、用戶權(quán)限分配等業(yè)務(wù)數(shù)據(jù)。

（2）軟件配置不同：如軟件運行的操作系統(tǒng)、中間件版本不同。

（3）硬件環(huán)境不同：由于成本等因素，在測試環(huán)境下，通常難以按照真實應(yīng)用環(huán)境中的硬件設(shè)置進行部署，例如：數(shù)據(jù)的發(fā)送端通常用模擬軟件代替。

這些差異都可能導(dǎo)致模擬環(huán)境中測試結(jié)果與真實環(huán)境下的測試結(jié)果的不同。另外，隨著Web2.0的發(fā)展，AJAX、Webservice等技術(shù)的廣泛應(yīng)用，如今的Web應(yīng)用交互方式不再只通過URL進行交互，而是通過多種方式，所交互的數(shù)據(jù)格式也不盡相同，因此自動化工具可能無法適應(yīng)這種交互方式，存在部分安全風險無法被自動工具檢測到的情況，而導(dǎo)致漏報。因此，在實際測試中，還可以通過手工測試的方法，彌補自動測試的遺漏。

3.2 使用靜態(tài)測試方法檢測應(yīng)用的源代碼

通過靜態(tài)檢測應(yīng)用的二進制代碼或源代碼，同樣可以在不影響程序運行的情況下發(fā)現(xiàn)程序中的漏洞。

靜態(tài)分析是在不運行軟件的前提下進行分析的過程，分析的對象可以是源代碼或目標代碼，甚至是程序文檔。靜態(tài)分析技術(shù)種類繁多，其中基本的分析方法包括詞法分析、語法分析、控制流分析、數(shù)據(jù)流分析等。控制流和數(shù)據(jù)流分析通常被用于程序缺陷檢測、程序優(yōu)化、程序安全性分析等各個方面。但是由于分析過程中對程序進行了一些抽象和近似，會導(dǎo)致分析結(jié)果不精確。例如路徑的可達性分析：給定一條路徑，判斷是否有變量的初始取值，使得程序沿該路徑執(zhí)行。路徑可達性分析問題在理論上是一個不可判定的問題，各種精度的數(shù)據(jù)流分析方法計算出的都是近似結(jié)果。為了提高分析的準確度，研究人員采用了數(shù)學上比較成熟的形式化方法，單獨或與基本的程序分析技術(shù)相結(jié)合，對程序進行更有效的分析。其中具有代表性的技術(shù)包括模型檢測、約束求解等。源代碼分析工具如表2所示。

動態(tài)的程序分析技術(shù)通常從可執(zhí)行程序開始，通過運行程序觸發(fā)程序失效，通過可觀察到的程序失效分析程序中的可疑代碼，從而發(fā)現(xiàn)程序中的缺陷。動態(tài)分析能夠利用程序的輸入執(zhí)行程序，獲得更精確的結(jié)果。但它通常只分析對某一輸入下的程序路徑，而不能覆蓋程序所有可能的執(zhí)行情況。而靜態(tài)程序分析，分析程序所有可能的執(zhí)行路徑，分析范圍更加全面，更容易發(fā)現(xiàn)不易覆蓋的程序路徑中的缺陷。

4 結(jié)論

電力監(jiān)控系統(tǒng)對應(yīng)用軟件的穩(wěn)定性和安全性都有著極高的要求，將軟件測試方法應(yīng)用于這類系統(tǒng)，利用動態(tài)測試技術(shù)對模擬環(huán)境中的應(yīng)用系統(tǒng)進行測試，利用靜態(tài)測試技術(shù)對軟件源代碼進行測試，將動態(tài)測試與靜態(tài)測試有機的結(jié)合起來，能夠準確的發(fā)現(xiàn)電力監(jiān)控系統(tǒng)中的缺陷，及早采取有效措施避免電力生產(chǎn)中軟件缺陷導(dǎo)致的事故和不良后果，從而保障電網(wǎng)的安全穩(wěn)定運行。

參考文獻

[1]鐘清.智能電網(wǎng)關(guān)鍵技術(shù)研究[M].北京：中國電力出版社，2011.

[2]李小平，鐘宏，丁儼.關(guān)于應(yīng)用系統(tǒng)安全的研究[J].北京理工大學學報（英文版），2002，11（2）：198-202.

[3]王青.WU Shu-jian，李明樹.軟件缺陷預(yù)測技術(shù)[J].軟件學報，2008，19（7）：1565-1580.

[4]王升保.信息安全等級保護體系研究及應(yīng)用[D].合肥：合肥工業(yè)大學，2009.

[5]范淵.應(yīng)用層等級保護測評工具應(yīng)用實例分析[J].信息網(wǎng)絡(luò)安全，2012（z1）：127-131.

[6]張健，徐寶文.軟件測試（專輯前言）[J].計算機學報，2011，34（6）：951-952.

[7]潘古兵.Web應(yīng)用程序滲透測試方法研究[D].重慶：西南大學，2012.

[8]單錦輝，姜瑛，孫萍.軟件測試研究進展[J].北京大學學報（自然科學版），2005，41（1）：134-145.

[9]孟云秀，趙正旭.基于源代碼分析的軟件靜態(tài)測試[J].河北省科學院學報，2013，30（2）：16-21.

[10]張健.精確的程序靜態(tài)分析[J].計算機學報，2008，31（9）：1549-1553.

[11]安金霞，王國慶，李樹芳.基于多維度覆蓋率的軟件測試動態(tài)評價方法[J].軟件學報，2010.

[12]蒲石.Web安全滲透測試研究[D].西安：西安電子科技大學，2010.

[13]楊宇，張健.程序靜態(tài)分析技術(shù)與工具[J].計算機科學，2004，31（2）：171-174.

[14]林惠民，張文輝.模型檢測：理論、方法與應(yīng)用[J].電子學報，2002， 30（z1）：1907-1912.

[15]嚴俊.基于約束求解的自動化軟件測試研究[D].北京：中國科學院軟件研究所，2007.

作者簡介

伍曉泉（1984-），女，工學博士，計算機軟件與理論專業(yè)。主要研究方向為軟件工程、電力系統(tǒng)自動化、電力系統(tǒng)信息安全。

作者單位

廣東電網(wǎng)公司電力科學研究院 廣東省廣州市 510080endprint