電力企業(yè)信息安全監(jiān)管平臺(tái)的研究與應(yīng)用

馬傳國(guó)　賈楠　張倩紅　焦洋　鹿一鳴

摘 要 針對(duì)信息安全管理中存在的安全產(chǎn)品多、人工分析困難、安全防護(hù)滯后于安全威脅等問(wèn)題，借鑒當(dāng)前先進(jìn)的信息安全管理理念，研究及事件采集、日志分析、告警管理、運(yùn)維流程、定位取證等功能于一體的電力企業(yè)信息安全監(jiān)管平臺(tái)，對(duì)企業(yè)信息安全狀況（物理安全、邊界安全、應(yīng)用安全等）進(jìn)行全局性、局部性的風(fēng)險(xiǎn)評(píng)估，對(duì)安全信息和安全事件迅速、準(zhǔn)確地做出響應(yīng)、處理和統(tǒng)計(jì)，建立起“事前告警、事中響應(yīng)、事后追查”的信息安全監(jiān)管體系，實(shí)現(xiàn)信息安全的可控、能控、在控。

【關(guān)鍵詞】信息安全 監(jiān)管平臺(tái) 電力企業(yè)

隨著信息化與企業(yè)核心業(yè)務(wù)融合的程度越來(lái)越高，信息安全問(wèn)題日漸凸顯。近年來(lái)，東營(yíng)供電公司先后實(shí)施了信息內(nèi)外網(wǎng)強(qiáng)隔離、信息系統(tǒng)等級(jí)保護(hù)、桌面終端安全管理等一系列信息安全防護(hù)措施，建立起了較為完備的信息安全技術(shù)屏障。但信息安全管理仍存在許多問(wèn)題和隱患，主要表現(xiàn)在以下四個(gè)方面：

（1）傳統(tǒng)意義的安全防護(hù)措施各類產(chǎn)品只關(guān)注安全的某一方面，這些分散獨(dú)立的安全事件信息難以形成全局的風(fēng)險(xiǎn)觀點(diǎn)，導(dǎo)致了安全策略和配置難于統(tǒng)一協(xié)調(diào)，安全事件無(wú)法迅速響應(yīng)。

（2）由于安全相關(guān)的信息量越來(lái)越大，關(guān)鍵的安全信息和告警事件常常被低價(jià)值或無(wú)價(jià)值的告警信息所淹沒(méi)，一些全局性的、影響重大的問(wèn)題很難被分析和提煉出來(lái)。

（3）網(wǎng)絡(luò)系統(tǒng)和安全系統(tǒng)的日益復(fù)雜在不斷地增加運(yùn)行維護(hù)的難度、工作量和人力成本，對(duì)于位置分散的、數(shù)目眾多的各類主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行逐一管理耗時(shí)耗力。整天忙于“救火”，卻不知道先“救”哪一個(gè)。

（4）由于新的安全威脅總是出現(xiàn)在安全應(yīng)對(duì)措施之前，完全依賴安全技術(shù)的安全防護(hù)系統(tǒng)無(wú)法真正確保網(wǎng)絡(luò)的安全和提高企業(yè)的安全防護(hù)能力。

1 系統(tǒng)技術(shù)方案

1.1 研究目標(biāo)

建設(shè)一個(gè)全方位、集中式的電力企業(yè)信息安全監(jiān)管平臺(tái)，集中采集各類分散安裝的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全信息和事件記錄，進(jìn)行關(guān)聯(lián)性分析、優(yōu)先級(jí)判斷和可視化展現(xiàn)，對(duì)企業(yè)信息安全狀況（物理安全、邊界安全、應(yīng)用安全等）進(jìn)行全局性、局部性的風(fēng)險(xiǎn)評(píng)估，對(duì)安全策略和配置進(jìn)行統(tǒng)一協(xié)調(diào)，對(duì)安全信息和安全事件迅速、準(zhǔn)確地做出響應(yīng)、處理和統(tǒng)計(jì)。

1.2 系統(tǒng)技術(shù)要點(diǎn)

（1）基于異構(gòu)模式的監(jiān)控信息采集平臺(tái)。通過(guò)Agent、SNMP、WMI、Telnet等多種數(shù)據(jù)采集方式對(duì)各種防火墻、路由器、操作系統(tǒng)等日志進(jìn)行收集，實(shí)現(xiàn)對(duì)IT基礎(chǔ)架構(gòu)日志的全面掌控，同時(shí)對(duì)收集的日志進(jìn)行標(biāo)準(zhǔn)化和格式化。

（2）構(gòu)建IT資源運(yùn)行模型庫(kù)，智能分析資源運(yùn)行狀態(tài)。系統(tǒng)可以根據(jù)采集到的數(shù)據(jù)，生成一個(gè)資源運(yùn)行模型庫(kù)，并將實(shí)時(shí)采集的數(shù)據(jù)與模型庫(kù)對(duì)比，變化超過(guò)預(yù)訂范圍即產(chǎn)生報(bào)警。

（3）通過(guò)對(duì)通信包數(shù)據(jù)的檢索、智能分析，準(zhǔn)確定位運(yùn)維問(wèn)題設(shè)備。

（4）通過(guò)對(duì)運(yùn)維數(shù)據(jù)包的中轉(zhuǎn)，控制運(yùn)維人員對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源的訪問(wèn)，并在訪問(wèn)過(guò)程中記錄相應(yīng)的操作，以備日后審計(jì)，實(shí)現(xiàn)對(duì)運(yùn)維人員操作的控制、監(jiān)控、審計(jì)。

（5）使用Shark工作流引擎，串聯(lián)運(yùn)維工作的各項(xiàng)環(huán)節(jié)，實(shí)現(xiàn)IT運(yùn)維規(guī)則聯(lián)動(dòng)。

2 主要功能

2.1 信息安全事件集中采集

（1）信息采集：采集來(lái)自不同設(shè)備的事件記錄（如防火墻、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)及其它應(yīng)用程序等）后，進(jìn)行日志分析、事件優(yōu)先重要性分析及可視化呈現(xiàn)，是所有安全信息處理的中樞。

（2）報(bào)表服務(wù)：基于不同設(shè)備類型日志定制實(shí)現(xiàn)不同展示方式的報(bào)表。特別是合規(guī)性的報(bào)表。

（3）日志庫(kù)管理：系統(tǒng)將采集來(lái)自不同設(shè)備（如防火墻、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)及其它應(yīng)用程序等）的各種格式的事件記錄，通過(guò)統(tǒng)一的格式轉(zhuǎn)換存儲(chǔ)到日志庫(kù)中。

（4）日志文件下載：FTP日志下載功能，可以方便的從FTP服務(wù)器上下載日志文件到系統(tǒng)所在服務(wù)器上的指定位置，方便值班人員的查詢、瀏覽、管理重要日志文件。

2.2 信息安全事件日志分析

作為通用事件日志存儲(chǔ)庫(kù)分析中心，分析所有企業(yè)的事件數(shù)據(jù)，這些數(shù)據(jù)進(jìn)而又用于檢測(cè)威脅、快速排除故障和簡(jiǎn)化合規(guī)性監(jiān)控。安全事件日志分析系統(tǒng)可以分析所有企業(yè)日志數(shù)據(jù)，同時(shí)提供壓縮的、低耗高效和自管理的日志存儲(chǔ)庫(kù)。

2.2.1 全網(wǎng)日志的集中分析評(píng)估

通過(guò)綜合日志審計(jì)系統(tǒng)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中的不同類型安全設(shè)備（如防火墻，IDS等）、網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)）、操作系統(tǒng)（如Windows、 Linux）等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的分析，支持對(duì)不同格式日志的統(tǒng)一的格式轉(zhuǎn)換和分析，省去了管理人員以前的單一、逐類進(jìn)行日志信息分析的模式。

2.2.2 全網(wǎng)業(yè)務(wù)合規(guī)管理

綜合日志審計(jì)系統(tǒng)具有對(duì)網(wǎng)絡(luò)內(nèi)的非法攻擊、病毒爆發(fā)、違規(guī)外聯(lián)等事件進(jìn)行綜合匯總分析，從而了解全網(wǎng)中的安全與業(yè)務(wù)合規(guī)狀況。

2.2.3 深層次的數(shù)據(jù)挖掘分析

采用了先進(jìn)的數(shù)據(jù)挖掘分析技術(shù)，從收集到的大量數(shù)據(jù)當(dāng)中進(jìn)行深層的數(shù)據(jù)挖掘，該技術(shù)融合了數(shù)據(jù)庫(kù)、人工智能、統(tǒng)計(jì)學(xué)等多個(gè)領(lǐng)域的理論和技術(shù)，從而提取出一些隱含的、潛在的有用信息來(lái)為決策系統(tǒng)服務(wù)。

2.2.4 報(bào)表定制和發(fā)送功能

為用戶提供自定義報(bào)表功能，客戶可通過(guò)簡(jiǎn)單靈活的定制方法定義日?qǐng)?bào)、周報(bào)或者月報(bào)，報(bào)表內(nèi)容包括狀態(tài)統(tǒng)計(jì)報(bào)表等，展示形式包括餅圖、柱狀圖等，不同類型的報(bào)表可以定制不同的統(tǒng)計(jì)方法，以郵件的形式按照設(shè)置的制表時(shí)間自動(dòng)發(fā)送給定義的報(bào)表接收人。

2.2.5 存檔和報(bào)告事件

日志分析系統(tǒng)能從分布式的Windows和UNIX主機(jī)，路由器，交換機(jī)收集事件日志或系統(tǒng)日志。日志將被自動(dòng)存檔，并立即生成報(bào)表以顯示網(wǎng)絡(luò)重要的系統(tǒng)信息，直觀地呈現(xiàn)主機(jī)的重要事件和所有事件相關(guān)的進(jìn)程等信息。endprint

2.3 信息安全事件報(bào)警

本系統(tǒng)提供圖形化報(bào)警提醒界面，如果某個(gè)特定的區(qū)域發(fā)現(xiàn)符合報(bào)警條件的情況，則產(chǎn)生告警。并且將報(bào)警信息相應(yīng)的圖形顯示為紅色擴(kuò)散狀的小球，以提示管理人員問(wèn)題點(diǎn)所在，管理人員可通過(guò)網(wǎng)絡(luò)平面圖直觀查看網(wǎng)絡(luò)運(yùn)行情況。當(dāng)點(diǎn)擊相應(yīng)的紅色小球，則顯示具體的報(bào)警信息，同時(shí)可以進(jìn)入詳細(xì)頁(yè)面查看原始日志和標(biāo)準(zhǔn)化后的報(bào)警日志。

2.4 運(yùn)維流程管理

將傳統(tǒng)工作模式中的工作流程固化到系統(tǒng)中，通過(guò)電子化的審批模式，將運(yùn)維工作進(jìn)行規(guī)范和優(yōu)化、達(dá)到工作量化、電子自動(dòng)化、流程可控、辦事透明、降低成本的效果、幫助企業(yè)實(shí)現(xiàn)高效管理。

2.5 信息安全事件定位取證系統(tǒng)

從安全信息的來(lái)源入手，對(duì)各種安全信息進(jìn)行集中分析，從而有效地發(fā)現(xiàn)安全問(wèn)題，包括攻擊、故障和安全事件，并通過(guò)事件和攻擊痕跡，向管理者闡明當(dāng)前IT環(huán)境的安全狀況；同時(shí)安全信息監(jiān)管還包括對(duì)安全信息原始數(shù)據(jù)的保存，為今后的取證準(zhǔn)備了必要條件。

3 應(yīng)用效果

系統(tǒng)運(yùn)行以來(lái)取得了良好效果，公司信息安全管理水平穩(wěn)步提升，信息安全局面保持良好，取得了明顯的成效。

3.1 構(gòu)建起了完備的信息安全監(jiān)管防護(hù)體系

系統(tǒng)集運(yùn)維、監(jiān)測(cè)、告警、分析、聯(lián)動(dòng)等功能集成于一體，構(gòu)建了一種全過(guò)程、全方位的信息安全監(jiān)管新模式，輔以策略聯(lián)動(dòng)、知識(shí)庫(kù)管以及相關(guān)的配套措施，建立起了“事前告警、事中響應(yīng)、事后追查”的信息安全監(jiān)管體系，降低了信息安全的風(fēng)險(xiǎn)，避免了由于信息安全事故給企業(yè)造成的損失。

3.2 嚴(yán)密的審計(jì)回放功能確保操作“可控、在控、能控”

針對(duì)系統(tǒng)關(guān)注的設(shè)備操作進(jìn)行監(jiān)控、記錄回放，讓所有運(yùn)行的設(shè)備操作正確、規(guī)范。

3.3 嚴(yán)格的操作監(jiān)視控制功能有效防止“誤操作、非法操作”

系統(tǒng)通過(guò)對(duì)不同用戶化分權(quán)限設(shè)置和管理，并監(jiān)控用戶的所有操作，防止合法用戶的的誤操作，非法用戶的惡意操作。

3.4 解決了一直以來(lái)網(wǎng)管工作的被動(dòng)局面

量變引起質(zhì)變，要想改變信息安全工作從被動(dòng)的問(wèn)題處理模式到主動(dòng)的預(yù)防問(wèn)題的發(fā)生，就必須從問(wèn)題的“量變”開(kāi)始預(yù)防，該平臺(tái)的實(shí)施，建立起了完善的預(yù)警策略，避免信息安全問(wèn)題“質(zhì)變”的發(fā)生。

3.5 優(yōu)化固化管理流程，實(shí)現(xiàn)信息安全管理提升

通過(guò)科技流程實(shí)現(xiàn)了設(shè)備的全生命周期管理，將事件、問(wèn)題、變更過(guò)程有序的管理起來(lái)，建立可視化的工作管理平臺(tái)，實(shí)現(xiàn)了對(duì)管理流程的梳理與再造。崗位工作人員嚴(yán)格按照自己的權(quán)限和角色，通過(guò)網(wǎng)上審批的剛性執(zhí)行，實(shí)現(xiàn)“行為約束”和“制度落地”。制度直接落實(shí)到流程節(jié)點(diǎn)，規(guī)范了各級(jí)人員行為管理，大大提高了管理的規(guī)范性和可控性，實(shí)現(xiàn)了優(yōu)化固化流程的工作目標(biāo)，進(jìn)一步提升信息安全管理。

4 結(jié)語(yǔ)

信息安全監(jiān)管平臺(tái)的研制是當(dāng)前電力企業(yè)信息安全管理工作的需要，該系統(tǒng)支持多源安全事件關(guān)聯(lián)，采用先進(jìn)的事件管理模型，達(dá)到了國(guó)內(nèi)領(lǐng)先的技術(shù)水平，為信息系統(tǒng)的監(jiān)控、安全事件的分析以及有針對(duì)性地采取相應(yīng)防護(hù)措施提供了有力幫助。系統(tǒng)設(shè)計(jì)理念先進(jìn)，采用分層分布式體系設(shè)計(jì)，具有高度的開(kāi)放性和可擴(kuò)展性；支持多源安全事件關(guān)聯(lián)；采用可視化、集中控制的安全監(jiān)控。該系統(tǒng)在增強(qiáng)網(wǎng)絡(luò)統(tǒng)一管理和安全管理的同時(shí)，實(shí)現(xiàn)了信息安全管理工作自動(dòng)化，提高了安全設(shè)備的投資回報(bào)率，降低管理成本，提高了工作效率，具有顯著的經(jīng)濟(jì)效益和很高的推廣價(jià)值。

參考文獻(xiàn)

[1]王曉峻，來(lái)曉陽(yáng).構(gòu)建基于虛擬計(jì)算的安全管控平臺(tái)[J].電信技術(shù)，2010，6，74-76.

[2]孫建慶.信息系統(tǒng)運(yùn)維綜合監(jiān)管平臺(tái)設(shè)計(jì)[J].電力信息化，2009.7（3）.

作者簡(jiǎn)介

馬傳國(guó)（1982-），男，回族，山東省青州市人。大學(xué)本科學(xué)歷?，F(xiàn)為國(guó)網(wǎng)東營(yíng)供電公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

作者單位

國(guó)網(wǎng)東營(yíng)供電公司 山東省東營(yíng)市 257091endprint