1、www.ChinaAET.comComputer Technology and Its Applications计算机技术与应用基于区块链的网络安全系统关键数据存储处理系统设计于运涛1,张大松1,姜洪朝1,吴文2(1.中国电子信息产业集团有限公司第六研究所,北京 100083;2.中国联合网络通信有限公司湖北省分公司,湖北 武汉 430040)摘 要:针对网络安全系统中一些关键数据存储的安全性,设计了基于区块链技术的数据安全存储处理系统。首先,以火电厂为例,分析了其控制系统和网络安全系统的架构;然后,基于火电厂的架构特点,设计了具体的安全数据存储处理系统,给出了应用部署的架构,分析了数据安全存
2、储处理过程;最后,对所设计的系统进行了实际的测试验证。验证结果表明了系统对数据异常检测的正确性和有效性,具有较强的实际应用推广价值。关键词:数据安全;区块链;工控安全;密码算法;网络安全中图分类号:TP399 文献标志码:A DOI:10.16157/j.issn.0258-7998.222829中文引用格式:于运涛,张大松,姜洪朝,等.基于区块链的网络安全系统关键数据存储处理系统设计J.电子技术应用,2023,49(4):78-82.英文引用格式:Yu Yuntao,Zhang Dasong,Jiang Hongzhao,et al.Design of key data storage an
3、d processing system of network security system based on blockchainJ.Application of Electronic Technique,2023,49(4):78-82.Design of key data storage and processing system of network security system based on blockchainYu Yuntao1,Zhang Dasong1,Jiang Hongzhao1,Wu Wen2(1.The 6th Research Institute of Chi
4、na Electronics Corporation,Beijing 100083,China;2.China United Network Communication Co.,Ltd.,Hubei Branch,Wuhan 430040,China)Abstract:Aiming at the security of some key data storage in network security system,this paper designs a data security storage and processing system based on blockchain techn
5、ology.Firstly,taking the thermal power plant as an example,the architecture of its control system and network security system is analyzed.Then,based on the architectural characteristics of thermal power plant,a specific secure data storage and processing system is designed,the architecture of applic
6、ation deployment is given,and the data secure storage and processing process is analyzed.Finally,the designed system is tested and verified.The verification results show that the system is correct and effective for data anomaly detection,and has strong practical application and popularization value.
7、Key words:data security;blockchain;industrial control security;cryptographic algorithm;network security0 引言在现代化的生产企业,网络安全系统的部署应用已经成为常态,尤其是一些大型重要企业,如:石油、电力、金融、通信等行业企业1。在大型企业网络安全系统涉及的设备众多,安全监测产生的数据量巨大,并且持续增长。安全监测的数据需要存储和处理,其中关键的数据更需要合理的保护,尤其是监测到的重要事件数据、关键日志信息、提取的特征库、有意义的处理结果等,但是目前这方面的重视程度很不充分2。经过实际调研发
8、现,目前网络安全关键数据的保存和使用主要依赖于数据库本身的安全,并结合相关管理人员的业务素质来保证数据安全。显然,这种数据保护方法既不合理,也不科学,更没有利用先进技术3。数据安全是网络安全的一个较大分支,尤其在大数据时代,跟数据相关的各种安全事件时有发生,其中不乏 一 些 大 公 司,包 括 Facebook、Under Armour、MyHeritage、顺丰、圆通等国内外知名公司都遭遇过数据安全引发的安全问题4。区块链作为一种最新的分布式数据存储技术,目前已经在各种场合得到普及应用5。采用区块链技术存储78Computer Technology and Its Applications计
9、算机技术与应用电子技术应用 2023年 第49卷 第4期的数据具有安全透明、不可篡改的特性6。本文采用区块链技术,结合企业典型生产控制系统以及网络安全系统设计了监测数据的安全透明存储和处理系统,用于保证关键监测数据的安全存储、处理和使用,避免由于各种原因导致的数据篡改问题。1 数据安全存储处理系统设计1.1 企业生产控制系统及网络安全系统本文关注的是现代化的大型生产企业,通常是石油、电力、通信等企业,其生产控制系统规模庞大,结构关系复杂,一般会按区域、层级等进行划分管理7。本文以大型火力发电工厂为例进行研究。火电厂的生产控制系统通常分为 4 层:现场设备层、现场控制层、厂级 SIS 层、MIS
10、 层,每层都部署一定数量的数据探针,采集对应层级的网络数据,然后通过交换机将原始数据或者处理后的数据上传到态势感知平台8。态势感知平台和众多的各层数据探针构成具备全层级防护能力的网络安全系统9。火电厂生产控制系统及网络安全系统架构如图 1 所示。(1)现场设备层:该层处于最底层,都是在控制层控制下的关键生产设备。设备层本身一般不会发生网络安全问题,但是网络安全问题一旦传递到底层的生产设备,就会导致严重的生产事故,这是设备层在网络安全系统中最大的特点。(2)现场控制层:该层主要由各种控制系统组成,包括 DCS、SCADA、PLC 等常用控制系统架构。该层直接和设备层相连,只要发生网络安全问题,传
11、递到设备层 的 概 率 极 大,因 此 该 层 通 常 为 网 络 安 全 重 点 防 护对象。(3)厂级 SIS 层:该层主要通过控制层对生产过程进行监控,处理生产过程产生的控制需求,具有厂级综合管理和控制的功能。该层如果产生网络安全问题,只要不向下层传递,风险相对小一些,但是也不能忽视。(4)MIS 层:该层主要是对企业资源的综合管理,提供生产系统的宏观信息,进行各种资源整合,全面协调资源调度。该层的网络安全问题传递到底层的概率相对较小,对生产设备的影响也相对较小,主要考虑的是企业信息资源的损失。同时,该层一般是标准以太网结构,与互联网交互的概率较高,因此给互联网来源的网络 安 全 问 题
12、 提 供 了 入 口,这 是 该 层 需 要 重 点 防 御 的问题。1.2 区块链系统及安全数据存储系统现代化的大型生产系统通常业务体量巨大,生产负荷饱满,因此产生的网络安全关键数据也随之增多,发生数据丢失、残缺、篡改的概率较大。基于区块链技术构建的安全数据存储系统能够很好地解决安全数据存储和使用的完整性10。本文结合安全数据存储需求,采用区块链技术设计的网络安全数据存储系统架构如图 2 所示。系统包括 1 台数据存储服务器、1 台区块链服务器、若干区块链节点。区块链系统采用公有链,区块链节点负责存储摘要信息以及挖矿,区块链服务器负责对内节点管理和对外提供服务接口。图 1大型企业生产控制系统
13、及网络安全系统结构79Computer Technology and Its Applications计算机技术与应用www.ChinaAET.com系统的工作原理是:首先,数据探针或态势感知平台将重要的数据汇集到网络安全数据存储服务器;然后,存储服务器将收到的数据按一定大小或数量打包得到数据包,并提取数据包的摘要;之后,将摘要发送到区块链服务器,区块链服务器发起挖矿通知,由挖矿成功的节点将摘要存入到区块链系统,此时存储服务器上数据的完整性就能得到保护,任何数据改动都会被区块链系统鉴别处理并产生告警信息。1.3 数据安全存储处理过程网络安全系统的关键数据存储处理的核心在于利用区块链技术进行数据
14、存储。区块链系统本质上是一种分布式存储系统,最大的特点是区块链上存储的数据具有不可篡改的特性11。区块链由大量区块首位相连链接而成,第一个区块为创世区块,区块数量随着数据的不断存入而不断增长,数据的存入由区块链系统中的矿工成功挖矿而确定下来12。区块链系统中的某一区块的结构如图 3 所示。在区块中的 Tx1、Tx2、Tx3、Tx4 即是用来存储数据的。基于区块链的数据存储处理过程如下:首先,在网络安全系统中,态势感知平台或数据探针提取得到重要的日志、事件等关键数据;然后分别打包发送到数据存储服务器,数据服务器通过 SHA256 算法提取数据包的摘要 P1、P2、P3 等存入区块链系统中当前区块
15、的交易信息 Tx1、Tx2、Tx3 中13;最后,当当前区块的 Tx1 到 Tx4 都存储完毕时,区块链系统发起挖矿通知,由挖矿成功的节点将当前区块正式 存 入 区 块 链 并 进 行 广 播,由 所 有 节 点 进 行 接 收 和验证14。基于区块链的数据存储处理流程如图 4 所示。2 数据使用安全性测试本文基于区块链技术设计了安全的网络安全关键数据存储处理系统,只要数据存入了该系统中,数据就具有安全性,安全强度由区块链的安全性保证15。这里以数据的查阅使用为例,进行存储数据的安全性测试,从而证明数据存储安全性设计的有效性。在此,先介绍该系统中数据的查阅处理过程。用户图 2基于区块链的数据存
16、储系统图 3区块链中的区块结构图 4基于区块链的数据存储处理流程80Computer Technology and Its Applications计算机技术与应用电子技术应用 2023年 第49卷 第4期通过终端 Web 浏览器接入数据存储服务器,当查找到所需的网络安全设备的数据并需要进行下载或分析时,数据存储服务器先提取数据所在数据包的摘要。然后,通过区块链系统得到事先存储的该数据包摘要,并将 2 个摘要进行对比。若相同,则数据存储服务器将数据发送给终端用户;否则,拒绝正常查阅,并产生警告。2.1 查阅数据正常图 5 所示为正常情况下进行数据查阅的界面显示。界面会主动弹出提示“数据正常”,点击确定后即可进行正常查阅等操作。2.2 查阅数据异常为了测试系统在数据异常情况下的反应,以对设计的有效性进行验证,采用手工故意篡改数据的方式模拟数据异常的案例,然后进行查阅试验。如图 6 所示,事先将待查阅的数据日志进行故意篡改,具体将图示第 5个字符“1”改为“0”,如图 6(b)中的箭头所示。保存后,进行查阅操作,可见系统弹出提示:数据异常,给出了数据包编号,并显示数据包的摘要和对应区块链中