王皓然 嚴(yán)彬元 班秋成

摘? 要：在信息時(shí)代，電力企業(yè)通過構(gòu)建信息管理系統(tǒng)，在提高業(yè)務(wù)辦理效率和客戶服務(wù)質(zhì)量等方面發(fā)揮了顯著作用，但是與此同時(shí)系統(tǒng)安全漏洞、隱私數(shù)據(jù)泄露等不良事件的發(fā)生率也相應(yīng)的上升。對(duì)于電力企業(yè)來說，在享受信息技術(shù)帶來便利的同時(shí)，還必須高度重視安全管理。文章介紹了一種安全事件集中管理系統(tǒng)，重點(diǎn)從系統(tǒng)功能模塊的設(shè)計(jì)，事件采集、處理與相應(yīng)等運(yùn)行流程等方面，對(duì)系統(tǒng)的開發(fā)與應(yīng)用展開了簡要分析。

關(guān)鍵詞：電力企業(yè);安全事件;集中管理系統(tǒng);運(yùn)行環(huán)境

中圖分類號(hào)：TM73 文獻(xiàn)標(biāo)志碼：A? ? ? ? ?文章編號(hào)：2095-2945（2020）36-0173-02

Abstract： In the information age， electric power enterprises have played a significant role in improving business processing efficiency and customer service quality by building information management systems， but at the same time， the incidence of adverse events such as system security vulnerabilities and privacy data disclosure has also increased accordingly. For electric power enterprises， while enjoying the convenience brought by information technology， they must also attach great importance to safety management. This paper introduces a centralized security incident management system， and briefly analyzes the development and application of the system from the aspects of the design of the system function module， event collection， processing and corresponding operation flow.

Keywords： electric power enterprise; security event; centralized management system; operating environment

引言

企業(yè)運(yùn)營中遭遇的各類網(wǎng)絡(luò)安全問題，具有突發(fā)性強(qiáng)、危害性高等特點(diǎn)，為了從源頭上杜絕安全事件引發(fā)的各類損失，要求電力企業(yè)必須要?jiǎng)?chuàng)新安全管理技術(shù)，構(gòu)建安全事件集中管理系統(tǒng)。通過動(dòng)態(tài)監(jiān)測(cè)、即時(shí)響應(yīng)，實(shí)現(xiàn)對(duì)非法訪問、惡意入侵的實(shí)時(shí)告警，以便于安全管理人員迅速做出處理，保證電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全。目前，安全事件集中管理系統(tǒng)已經(jīng)在電力以及其他行業(yè)的企業(yè)中得到了推廣使用，效果良好。

1 電力企業(yè)安全事件集中管理系統(tǒng)的設(shè)計(jì)

1.1 關(guān)聯(lián)分析模塊

現(xiàn)階段電力企業(yè)基本上已經(jīng)建立起了信息安全管理系統(tǒng)，但是在實(shí)際運(yùn)用中，也經(jīng)常會(huì)出現(xiàn)安全檢測(cè)結(jié)果延時(shí)問題嚴(yán)重，或是誤報(bào)問題。分析其原因，可能與檢測(cè)范圍設(shè)計(jì)不明確、部署方式存在局限性、檢測(cè)系統(tǒng)更新不及時(shí)等因素有關(guān)。因此，在進(jìn)行安全事件集中管理系統(tǒng)的設(shè)計(jì)時(shí)，也需要針對(duì)這些問題，進(jìn)行針對(duì)性的改進(jìn)和優(yōu)化。其中，關(guān)聯(lián)分析技術(shù)在解決上述問題中發(fā)揮了較為明顯的作用。利用關(guān)聯(lián)分析引擎，除了能夠進(jìn)行安全漏洞掃描、安全狀態(tài)評(píng)估外，還可以利用專家分析系統(tǒng)，對(duì)預(yù)警預(yù)告進(jìn)行分析。經(jīng)過二次確認(rèn)后，再發(fā)出告警，這樣就大幅度降低了誤報(bào)的問題。

1.2 系統(tǒng)輸入模塊

從具體內(nèi)容上來看，系統(tǒng)輸入主要分為當(dāng)前動(dòng)態(tài)發(fā)生的事件信息，以及周期性發(fā)生的事件信息。對(duì)于前者，安全事件集中管理系統(tǒng)可以借助于防火墻、殺毒軟件等，實(shí)現(xiàn)對(duì)狀態(tài)信息的實(shí)施監(jiān)測(cè)。一旦監(jiān)測(cè)到系統(tǒng)存在漏洞，或是有非法訪問，則發(fā)出告警，或是啟動(dòng)防護(hù)系統(tǒng)用于問題修復(fù)。對(duì)于后者，則需要定期進(jìn)行軟件的升級(jí)、網(wǎng)絡(luò)的維護(hù)，從而降低此類安全風(fēng)險(xiǎn)的發(fā)生。

1.3 規(guī)則集合模塊

由于電力企業(yè)的管理系統(tǒng)每時(shí)每刻都在進(jìn)行大量的數(shù)據(jù)傳輸，不可避免會(huì)產(chǎn)生海量的系統(tǒng)訪問信息。其中不乏一些非法訪問，或是隱藏在文件中的病毒。規(guī)則集合是多種判斷條件、分析規(guī)則的集合，是基于以往電力企業(yè)各類安全事件整合后形成的。安全事件集中管理系統(tǒng)只需要將各類輸入信息，與規(guī)則集合進(jìn)行對(duì)比，就可以準(zhǔn)確、快速的判斷出該信息是否存在安全隱患，從而做到了對(duì)安全漏洞、非法訪問的早發(fā)現(xiàn)、早處理。另外隨著安全事件集中管理系統(tǒng)運(yùn)行時(shí)間的延長，規(guī)則集合中儲(chǔ)存的判斷條件也會(huì)不斷的豐富，其實(shí)用價(jià)值也會(huì)相應(yīng)的提升。

2 電力企業(yè)安全事件集中管理系統(tǒng)的實(shí)現(xiàn)

2.1 系統(tǒng)基本組成

按照運(yùn)行流程，安全事件集中管理系統(tǒng)主要分為事件采集、處理、響應(yīng)三個(gè)部分，如圖1所示。該系統(tǒng)利用前端的監(jiān)測(cè)元件，可以對(duì)狀態(tài)信息、安全事件進(jìn)行動(dòng)態(tài)收集，然后利用內(nèi)置無線網(wǎng)絡(luò)將信息同步到主機(jī)中。主機(jī)對(duì)這些信息做出相應(yīng)的處理，包括進(jìn)行安全風(fēng)險(xiǎn)識(shí)別、不良事件報(bào)告等，然后根據(jù)判斷結(jié)果，發(fā)出相應(yīng)的調(diào)控指令，最后系統(tǒng)做出響應(yīng)，實(shí)現(xiàn)綜合告警，完成安全事件的處理。

2.2 事件信息采集

采集系統(tǒng)運(yùn)行中產(chǎn)生的各類信息，是安全事件集中管理系統(tǒng)的首要任務(wù)。在事件信息采集中，應(yīng)滿足時(shí)效性和全面性兩個(gè)基本要求，這樣才能保證采集到的事件信息具有參考價(jià)值?？紤]到不同設(shè)備的信息格式存在差異，為了提高事件信息的采集效率和減輕分析壓力，需要采用適配器的方式實(shí)現(xiàn)對(duì)異構(gòu)系統(tǒng)的連接，適配器支持SNMP TRAP、Syslog等開放的協(xié)議或?qū)Ｓ袇f(xié)議，對(duì)于不能自動(dòng)輸出事件信息的事件源，可通過部署代理程序（agent）直接采集。

另外，還要注意采集到的事件信息，可能存在重復(fù)問題，如果不加以處理無形中增加了系統(tǒng)運(yùn)行負(fù)擔(dān)?？梢栽O(shè)置篩選程序，由關(guān)聯(lián)分析引擎對(duì)同一時(shí)間段內(nèi)采集到的各類事件信息進(jìn)行對(duì)比，自動(dòng)對(duì)重復(fù)的事件信息進(jìn)行篩選。完成初步篩選后，將事件按照一定的標(biāo)準(zhǔn)進(jìn)行分類，例如非法訪問歸為一類、系統(tǒng)安全漏洞歸為另一類，為下一步的事件處理創(chuàng)造良好條件。

2.3 事件分析與處理

2.3.1 規(guī)則自定義

根據(jù)以往的管理經(jīng)驗(yàn)，安全事件可能是針對(duì)某個(gè)文件、某個(gè)系統(tǒng)的一個(gè)具體的攻擊行為，也有可能是一個(gè)復(fù)雜的網(wǎng)絡(luò)破壞過程。尤其是一些黑客，還會(huì)通過隱藏身份，變換IP地址等方式，讓攻擊手段變得更加隱蔽。為了進(jìn)一步提高對(duì)這些安全事件的識(shí)別精度、追蹤能力，需要采取規(guī)則自定義技術(shù)，對(duì)各類攻擊行為進(jìn)行標(biāo)記，在準(zhǔn)確識(shí)別后作出告警。目前的安全產(chǎn)品針對(duì)這些攻擊行為基本能檢測(cè)到并可生成告警，告警信息中一般包含事件類型、安全等級(jí)、告警來源、事件名稱、源口、目的IP、源端口、目的端口、發(fā)生時(shí)間、結(jié)束時(shí)間等。

2.3.2 知識(shí)庫

知識(shí)庫是用于存儲(chǔ)安全評(píng)估標(biāo)準(zhǔn)、風(fēng)險(xiǎn)識(shí)別指標(biāo)、告警信息與處理記錄的數(shù)據(jù)庫。在安全事件集中管理系統(tǒng)中，只有保證知識(shí)庫內(nèi)存儲(chǔ)的各類標(biāo)準(zhǔn)、規(guī)則、指標(biāo)足夠豐富，才能支持整個(gè)系統(tǒng)的高效運(yùn)行。知識(shí)庫中各類規(guī)則的添加、刪除、修改等，可以支持手動(dòng)調(diào)整，從而更加符合電力企業(yè)的實(shí)際需求。

2.3.3 關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析引擎可通過程序開發(fā)實(shí)現(xiàn)，也可采用目前比較成熟的規(guī)則引擎。規(guī)則引擎是一個(gè)基于規(guī)則的專家系統(tǒng)，內(nèi)部一般采用Rete/Rete2算法。安全事件中的每個(gè)元素（字段）都可作為參數(shù)輸入，不同安全事件元素之間的關(guān)系構(gòu)成規(guī)則，規(guī)則引擎引用規(guī)則對(duì)進(jìn)入的安全事件進(jìn)行不斷重復(fù)的匹配，當(dāng)條件滿足時(shí)觸發(fā)相應(yīng)的動(dòng)作。隨著安全事件集中管理系統(tǒng)運(yùn)行時(shí)間的延長，系統(tǒng)會(huì)基于以往的分析和處理經(jīng)驗(yàn)，不斷的進(jìn)行自我優(yōu)化，從而對(duì)安全事件的判斷能力得到進(jìn)一步的增強(qiáng)。

2.4 事件響應(yīng)處理

2.4.1 即時(shí)告警

根據(jù)關(guān)聯(lián)分析結(jié)果，如果識(shí)別出安全風(fēng)險(xiǎn)，則系統(tǒng)自動(dòng)進(jìn)行告警，并且提供分析記錄，以便于管理人員參考，進(jìn)而作出更加精準(zhǔn)的安全事件管理。安全事件集中管理系統(tǒng)與普通的安全防護(hù)系統(tǒng)的區(qū)別在于，它能夠?qū)ο到y(tǒng)中產(chǎn)生的告警信息進(jìn)行匯總，然后統(tǒng)一反饋給終端主機(jī)。這樣就可以實(shí)現(xiàn)集中告警、集中處理，既可以減輕關(guān)聯(lián)引擎頻繁響應(yīng)而導(dǎo)致的系統(tǒng)運(yùn)行負(fù)荷增加問題，同時(shí)又能夠最大程度上提高安全事件的響應(yīng)速度、處理效率。

2.4.2 應(yīng)急處理

在即時(shí)告警的基礎(chǔ)上，安全事件集中管理系統(tǒng)還能夠?qū)σ呀?jīng)識(shí)別出的各類安全事件，進(jìn)行綜合分析、全面評(píng)估，并基于以往的處理經(jīng)驗(yàn)，生成一份針對(duì)性較強(qiáng)的應(yīng)急處理方案。系統(tǒng)管理人員可以參照該方案，盡快完成系統(tǒng)維護(hù)和故障排查，保證電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)始終處于安全運(yùn)行狀態(tài)。

3 電力企業(yè)安全事件集中管理系統(tǒng)的應(yīng)用

3.1 運(yùn)行環(huán)境

為避免當(dāng)某些安全事件發(fā)生時(shí)多個(gè)檢測(cè)系統(tǒng)同時(shí)向管理系統(tǒng)發(fā)送大量的告警信息，占用大量的網(wǎng)絡(luò)帶寬，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行，可在業(yè)務(wù)系統(tǒng)運(yùn)行的網(wǎng)絡(luò)之外建立帶外的管理網(wǎng)絡(luò)（網(wǎng)段），各個(gè)檢測(cè)設(shè)備將網(wǎng)絡(luò)管理端口直接接入管理網(wǎng)絡(luò)（網(wǎng)段），或終端接口直接接入數(shù)據(jù)采集處理主機(jī)。在縱向的廣域網(wǎng)上采用服務(wù)質(zhì)量（QoS）機(jī)制和虛擬專用網(wǎng)（VPN）技術(shù)，建立縱向的上下級(jí)調(diào)度單位之間的連接。

3.2 部署方式

按照功能進(jìn)行劃分，可以將安全事件集中管理系統(tǒng)分成兩個(gè)子系統(tǒng)，其一是數(shù)據(jù)處理子系統(tǒng)，主要負(fù)責(zé)事件相關(guān)的數(shù)據(jù)采集、分析等工作;其二是集中管理子系統(tǒng)，主要負(fù)責(zé)參考分析結(jié)果，作出相應(yīng)的管理決策，并在事件完成處理后，將歷史記錄保留下來?？紤]到電力企業(yè)的系統(tǒng)結(jié)構(gòu)組成復(fù)雜，為了提高安全事件的響應(yīng)速度，在系統(tǒng)整體部署上采用了分布式部署，將兩個(gè)子系統(tǒng)分別用專門的計(jì)算機(jī)管理，然后再連接到終端主機(jī)上，保證了電力企業(yè)安全事件集中管理系統(tǒng)的穩(wěn)定運(yùn)行。

4 結(jié)束語

安全事件分析與管理是電力企業(yè)在信息時(shí)代，保障自身信息安全、實(shí)現(xiàn)穩(wěn)定發(fā)展的重要舉措。通過構(gòu)建安全事件集中管理系統(tǒng)，與現(xiàn)行的安全防護(hù)系統(tǒng)形成相互補(bǔ)充，形成了更加完善的網(wǎng)絡(luò)安全管理體系。該系統(tǒng)能夠從安全事件信息采集、綜合分析和及時(shí)響應(yīng)方面，幫助安全管理人員做好電力企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)維工作，為電力企業(yè)的運(yùn)營與發(fā)展創(chuàng)設(shè)了安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]李晨.行為安全管理在煤礦安全管理與評(píng)價(jià)系統(tǒng)中的應(yīng)用[J].科學(xué)與財(cái)富，2019（18）：120-121.

[2]戴小新.基于WMI的Windows客戶端安全控制管理系統(tǒng)設(shè)計(jì)和應(yīng)用[J].電腦知識(shí)與技術(shù)，2015（17）：21-23.

[3]朱俊濤，張輝，張帆，等.基于構(gòu)件的礦井通風(fēng)安全管理系統(tǒng)的開發(fā)研究[J].科學(xué)與信息化，2019（16）：162-164.