信息安全風險預警管理系統(tǒng)的設計與實現(xiàn)

劉 欣，孫辰軍，王云佳

(1.國網(wǎng)河北省電力公司，石家莊 050021;2.河北農(nóng)業(yè)大學，河北 保定 071001)

安全風險預警在實際生產(chǎn)和管理中是一項常用和成熟的工作方式［1］，其強調通過檢測和評估生產(chǎn)和管理系統(tǒng)風險水平，對尚未發(fā)生的危機或危險狀態(tài)進行提前報警或告警，提高對事件或事故的預防能力，降低其影響程度，最終實現(xiàn)事件或事故管理模式的轉變，即將“以事故發(fā)生后應急為主的管理模式轉變?yōu)槭虑拔ｋU態(tài)監(jiān)控、預防為主的管理模式”。

1 系統(tǒng)功能框架

國風河北省電力公司(簡稱“河北電力”)風險預警管理系統(tǒng)的工作過程為:利用威脅預警采集設備(簡稱“TDA”)實現(xiàn)威脅的快速檢測;獲取TDA 的威脅檢測結果，根據(jù)風險評估方法，估算威脅發(fā)生對IT資產(chǎn)的影響程度，得到風險級別，然后依據(jù)設定的風險級別閾值，形成風險預警;將風險預警信息傳遞給服務臺，服務臺產(chǎn)生處理工單，并將該工單分派給地市安全管理員，督促安全管理員依據(jù)威脅處理的安全事件管理流程處理分派的任務;對于任務處理結果，服務臺通過2 種方式進行確認，一種是根據(jù)TDA 再次檢測結果進行比對確認，另一種是通過回訪調查確認;服務臺根據(jù)任務處理過程和結果，結合設定的績效指標，形成各市局的威脅處理績效報表，供管理層、安全管理員及普通用戶查詢。管理層定期根據(jù)績效報表，對服務臺、各市局以及TDA 的部署使用等提出改進指導。

鑒于此，風險預警管理系統(tǒng)的主要功能模塊包括TDA 與數(shù)據(jù)獲取接口、風險評估子系統(tǒng)、服務臺、工單管理子系統(tǒng)、威脅處理管理子系統(tǒng)、績效考核子系統(tǒng)等，功能結構關系如圖1所示。

圖1 風險預警管理系統(tǒng)功能框架

TDA 接口從TDA 處實時讀取威脅告警數(shù)據(jù)，交付給風險評估子系統(tǒng)，估算威脅對應的風險級別，根據(jù)風險級別閾值篩選威脅，形成風險預警信息。服務臺是國網(wǎng)河北省電力公司統(tǒng)一的服務臺，通過郵件、短信等自動方式或通過人工方式將工單分派給地市安全管理員。

2 系統(tǒng)主要功能設計

2.1 基礎信息管理

2.1.1 人員管理

威脅處理需要多方人員的配合，包括終端使用人員、服務臺人員、威脅處理人員(通常是地市管理員)和管理層，這些人員在系統(tǒng)中映射為五類用戶，即普通用戶(終端使用人員)、服務臺用戶、IT 用戶(實際是地市安全管理員，即威脅處理人員)、管理層用戶以及系統(tǒng)管理員。

2.1.2 IT 資產(chǎn)和IP 地址管理

IT 資產(chǎn)包括終端、服務器、網(wǎng)絡設備、安全設備等，是威脅發(fā)生和檢測的設備或設施，通常每個IT設備具有相應的IP 地址，IP 地址按照河北電力組織結構規(guī)劃和分配，每個設備的IP 是固定的，因此，通過IP 地址可以將“威脅、終端、終端用戶、地市、地市安全管理員”關聯(lián)起來，既便于威脅處理任務的自動分發(fā)，還有助于服務臺用戶跟蹤管理威脅處理，并與終端用戶溝通，確認終端用戶對威脅處理的滿意程度。

2.1.3 威脅庫

威脅庫的數(shù)據(jù)來源是各市局TDA 檢測到的威脅信息，TDA 能夠檢測惡意軟件、黑客攻擊、信息泄漏、間諜軟件、垃圾軟件、未注冊服務等6 大類威脅，具體威脅400 多種。

對于每種具體威脅，TDA 能夠檢測到的屬性數(shù)據(jù)包括:威脅編號、設備編號、主機名、IP 地址、物理MAC 地址、用戶組、日志時間、威脅具體描述、威脅類型指針、通用威脅告警程度、告警類型。

通過IP 地址可以將地市安全管理員與地區(qū)名稱、主機名、IP 地址、威脅類型指針、威脅描述、通用告警級別等關聯(lián)起來。

2.2 信息安全風險評估

目前TDA 產(chǎn)生的通用告警級別是基于威脅發(fā)生對設備可能造成的直接后果，如權限提升、DoS、頻繁啟動等，但這些現(xiàn)象發(fā)生在普通PC 終端和PC服務器上，影響程度是顯然不同的，因此，應該充分利用風險評估方法，結合IT 系統(tǒng)結構和業(yè)務應用特點，綜合考慮資產(chǎn)(系統(tǒng)和業(yè)務應用)、威脅、脆弱性三者之間的關系［2］，估算信息安全風險級別，設定風險級別閾值，將超出閾值的風險所對應的威脅作為預警對象。

該系統(tǒng)采取文獻［3］中的已有成果作為風險計算方法:f=ξ1f1(Gn，Gt，Gs)+ξ2f2(f1，Gd)+ξ3f3(f2，Gg)。在實際應用中，對規(guī)模小、業(yè)務少、威脅影響差別不大的系統(tǒng)，權重應該取接近于1(甚至是1)的值，即直接將威脅檢測結果作為風險預警級別;第3 項是為了橫向比較不同地市之間風險預警級別的細微差別所設，其權重通常相對較小。

2.3 服務臺和事件管理流程

由于風險評估過程的復雜性及風險計算方法實時性的不足［4］，再兼之對威脅和脆弱性等檢測和分析的工具多，數(shù)據(jù)來源復雜，整合與集成困難，因此，實踐中通常直接將威脅檢測結果作為風險預警事件，很少將風險評估的結果作為風險預警事件。由于該文將TDA 作為河北電力統(tǒng)一的威脅事件檢測工具，因此，不僅可以將風險評估結果作為風險預警事件，而且還可以將其與基于ITIL 的安全運維管理服務平臺無縫銜接，提高對安全風險的預防和處理水平。

對于安全運維管理，風險預警管理系統(tǒng)目前所需的功能是服務臺和事件管理，來實現(xiàn)河北電力范圍內的安全威脅統(tǒng)一預警、統(tǒng)一任務分派和統(tǒng)一監(jiān)管。

2.3.1 服務臺

服務臺是河北電力風險預警管理系統(tǒng)統(tǒng)一的監(jiān)管平臺，由服務臺接受風險評估子系統(tǒng)傳遞過來的優(yōu)先級較高的風險預警信息，然后將預警信息通過郵件或短信等自動方式分派給各市局安全管理員，對于需要重點指明的風險預警信息，可通過手工方式分派任務。無論是自動分派還是手工分派，任務均以工單方式派發(fā)，工單上面說明威脅檢測的時間、類型、影響的資產(chǎn)、風險預警級別，以及期望采取措施的時間、推薦的處理方案等。

服務臺將全程跟蹤處理過程，形成處理紀錄，便于向普通用戶發(fā)布處理狀態(tài)信息，以及對安全管理員進行統(tǒng)一績效考核。對于處理結果，無論自動或人工處理，服務臺將利用TDA 的再次檢測結果進行自動比對，以判斷是否處理完畢，然后通過抽查的方式，對安全事件對應的資產(chǎn)屬性進行回訪調查，以確認處理結果。對處理結果的確認是人員績效考核的重要依據(jù)。

2.3.2 安全事件管理流程

每個工單所代表的處理要求即形成一個安全事件，該事件由地市安全管理員負責處理，可以按照ITIL 事件管理中一線、二線、三線人員的方式執(zhí)行，風險預警管理系統(tǒng)目前不做過多的要求，只關注處理狀態(tài)(如，是否及時、等待時間等)和處理結果。

2.4 統(tǒng)一監(jiān)管和績效考核指標

對威脅或風險的統(tǒng)一監(jiān)管，需要考慮監(jiān)管的內容和展示方式，主要監(jiān)管內容包括:整體監(jiān)管指標，河北電力IT 系統(tǒng)總體健康狀況、高風險預警數(shù)量、已處理及待處理工單數(shù)量、所檢測到的風險TOP5排名等;局部監(jiān)管指標，已分派工單的處理情況、各市公司威脅的分布和排序情況;各市公司工單完成及時率、準確率等績效數(shù)據(jù)。

該系統(tǒng)以河北電力各市公司為展示單元，基于地圖展示河北電力風險預警及工單處理情況，直觀展示全局安全狀態(tài)及已處理和待處理工單數(shù)量。

3 應用效果

基于JAVA 的Eclipse IDE for Java Developers 平臺，采用MySQL 數(shù)據(jù)庫，開發(fā)出安全風險預警管理系統(tǒng)，實現(xiàn)對河北電力的風險預警管理。3 個地市部署TDA，試點運行風險預警管理系統(tǒng)中風險預警系統(tǒng)和運維管理系統(tǒng)，風險級別為5 級，4－5 級為產(chǎn)生風險預警信息，權重系數(shù)分別取值為0.2、0.8 和0。通過試點運行，該系統(tǒng)取得了以下效果。

3.1 優(yōu)化風險預警級別的準確程度及對需處理威脅的篩選情況

一周內，TDA 直接檢測到的“高?！备婢?06條，通過風險計算后，得到的風險預警信息為58 條，現(xiàn)場實際檢查確認表明，剔除的148 條威脅告警發(fā)生在普通終端上，風險影響程度達不到4 級和5 級，減少非急需處理的威脅任務72%。當然，從純粹威脅技術角度看，這72%的威脅是需要及時處理或采取相應應對措施的，只不過其優(yōu)先級沒有TDA 直接給出的告警程度那樣高。

3.2 統(tǒng)一分派任務

58 條風險預警信息均生成工單，并通過嵌入的內部郵件系統(tǒng)自動分發(fā)給3 個地市的安全管理員，實現(xiàn)了威脅處理任務的統(tǒng)一分派及統(tǒng)一跟蹤管理。

地市公司的風險預警數(shù)量和工單數(shù)量均在基于地圖的全局視圖上進行可視化展示，管理人員和用戶可以一目了然地了解各市公司系統(tǒng)的安全風險情況及處理情況，特別是已分派任務和未處理情況。

由于有統(tǒng)一的風險預警管理系統(tǒng)，地市安全管理員的處理及時率接近100%，遠超過以往80%的水平。

4 結束語

風險預警管理系統(tǒng)將威脅實時檢測、信息安全風險評估、服務臺和事件管理以及績效考核等整合在一起，形成安全管理閉環(huán)，對現(xiàn)有的安全管理工作起到了較好的推動作用，系統(tǒng)建設后可進對威脅和風險管理的實時追蹤，安全管理部門從事后審查轉換為事前主動任務分發(fā)和跟蹤管理;基于風險計算的結果來產(chǎn)生風險預警信息，減少了非急需處理的威脅任務數(shù)量;實現(xiàn)了河北電力威脅和風險管理的統(tǒng)一監(jiān)管和績效考核。

未來將在風險計算的精確程度以及監(jiān)管內容等方面進行更深入研究和實踐，提高風險分析的自動化處理能力及風險處理的準確性和及時性，力爭建設一個高度自動化、智能化的風險預警系統(tǒng)，進一步提升河北電力威脅檢測和風險預警管理工作水平。

［1］羅 云，宮運華，宮寶霖，等，安全風險預警技術研究［J］.安全，2005(2):26-29.

［2］GB/T 20984－2007，信息安全風險評估規(guī)范［S］.

［3］馬海珍.基于BP 神經(jīng)網(wǎng)絡的TDA 風險預警管理系統(tǒng)研究與實踐［D］.北京:北京大學，2011.

［4］高志明.基于業(yè)務流程的信息安全風險度量方法研究［D］.北京:北京交通大學，2011.