電力企業信息安全監管平臺的研究與應用

馬傳國　賈楠　張倩紅　焦洋　鹿一鳴

摘 要 針對信息安全管理中存在的安全產品多、人工分析困難、安全防護滯后于安全威脅等問題，借鑒當前先進的信息安全管理理念，研究及事件采集、日志分析、告警管理、運維流程、定位取證等功能于一體的電力企業信息安全監管平臺，對企業信息安全狀況（物理安全、邊界安全、應用安全等）進行全局性、局部性的風險評估，對安全信息和安全事件迅速、準確地做出響應、處理和統計，建立起“事前告警、事中響應、事后追查”的信息安全監管體系，實現信息安全的可控、能控、在控。

【關鍵詞】信息安全 監管平臺 電力企業

隨著信息化與企業核心業務融合的程度越來越高，信息安全問題日漸凸顯。近年來，東營供電公司先后實施了信息內外網強隔離、信息系統等級保護、桌面終端安全管理等一系列信息安全防護措施，建立起了較為完備的信息安全技術屏障。但信息安全管理仍存在許多問題和隱患，主要表現在以下四個方面：

（1）傳統意義的安全防護措施各類產品只關注安全的某一方面，這些分散獨立的安全事件信息難以形成全局的風險觀點，導致了安全策略和配置難于統一協調，安全事件無法迅速響應。

（2）由于安全相關的信息量越來越大，關鍵的安全信息和告警事件常常被低價值或無價值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。

（3）網絡系統和安全系統的日益復雜在不斷地增加運行維護的難度、工作量和人力成本，對于位置分散的、數目眾多的各類主機、網絡設備、安全設備等進行逐一管理耗時耗力。整天忙于“救火”，卻不知道先“救”哪一個。

（4）由于新的安全威脅總是出現在安全應對措施之前，完全依賴安全技術的安全防護系統無法真正確保網絡的安全和提高企業的安全防護能力。

1 系統技術方案

1.1 研究目標

建設一個全方位、集中式的電力企業信息安全監管平臺，集中采集各類分散安裝的主機、網絡設備、安全設備的安全信息和事件記錄，進行關聯性分析、優先級判斷和可視化展現，對企業信息安全狀況（物理安全、邊界安全、應用安全等）進行全局性、局部性的風險評估，對安全策略和配置進行統一協調，對安全信息和安全事件迅速、準確地做出響應、處理和統計。

1.2 系統技術要點

（1）基于異構模式的監控信息采集平臺。通過Agent、SNMP、WMI、Telnet等多種數據采集方式對各種防火墻、路由器、操作系統等日志進行收集，實現對IT基礎架構日志的全面掌控，同時對收集的日志進行標準化和格式化。

（2）構建IT資源運行模型庫，智能分析資源運行狀態。系統可以根據采集到的數據，生成一個資源運行模型庫，并將實時采集的數據與模型庫對比，變化超過預訂范圍即產生報警。

（3）通過對通信包數據的檢索、智能分析，準確定位運維問題設備。

（4）通過對運維數據包的中轉，控制運維人員對服務器、網絡設備等資源的訪問，并在訪問過程中記錄相應的操作，以備日后審計，實現對運維人員操作的控制、監控、審計。

（5）使用Shark工作流引擎，串聯運維工作的各項環節，實現IT運維規則聯動。

2 主要功能

2.1 信息安全事件集中采集

（1）信息采集：采集來自不同設備的事件記錄（如防火墻、網絡設備、操作系統、數據庫及其它應用程序等）后，進行日志分析、事件優先重要性分析及可視化呈現，是所有安全信息處理的中樞。

（2）報表服務：基于不同設備類型日志定制實現不同展示方式的報表。特別是合規性的報表。

（3）日志庫管理：系統將采集來自不同設備（如防火墻、網絡設備、操作系統、數據庫及其它應用程序等）的各種格式的事件記錄，通過統一的格式轉換存儲到日志庫中。

（4）日志文件下載：FTP日志下載功能，可以方便的從FTP服務器上下載日志文件到系統所在服務器上的指定位置，方便值班人員的查詢、瀏覽、管理重要日志文件。

2.2 信息安全事件日志分析

作為通用事件日志存儲庫分析中心，分析所有企業的事件數據，這些數據進而又用于檢測威脅、快速排除故障和簡化合規性監控。安全事件日志分析系統可以分析所有企業日志數據，同時提供壓縮的、低耗高效和自管理的日志存儲庫。

2.2.1 全網日志的集中分析評估

通過綜合日志審計系統實現了對網絡中的不同類型安全設備（如防火墻，IDS等）、網絡設備（如路由器、交換機）、操作系統（如Windows、 Linux）等多種產品及系統的日志數據的分析，支持對不同格式日志的統一的格式轉換和分析，省去了管理人員以前的單一、逐類進行日志信息分析的模式。

2.2.2 全網業務合規管理

綜合日志審計系統具有對網絡內的非法攻擊、病毒爆發、違規外聯等事件進行綜合匯總分析，從而了解全網中的安全與業務合規狀況。

2.2.3 深層次的數據挖掘分析

采用了先進的數據挖掘分析技術，從收集到的大量數據當中進行深層的數據挖掘，該技術融合了數據庫、人工智能、統計學等多個領域的理論和技術，從而提取出一些隱含的、潛在的有用信息來為決策系統服務。

2.2.4 報表定制和發送功能

為用戶提供自定義報表功能，客戶可通過簡單靈活的定制方法定義日報、周報或者月報，報表內容包括狀態統計報表等，展示形式包括餅圖、柱狀圖等，不同類型的報表可以定制不同的統計方法，以郵件的形式按照設置的制表時間自動發送給定義的報表接收人。

2.2.5 存檔和報告事件

日志分析系統能從分布式的Windows和UNIX主機，路由器，交換機收集事件日志或系統日志。日志將被自動存檔，并立即生成報表以顯示網絡重要的系統信息，直觀地呈現主機的重要事件和所有事件相關的進程等信息。endprint

2.3 信息安全事件報警

本系統提供圖形化報警提醒界面，如果某個特定的區域發現符合報警條件的情況，則產生告警。并且將報警信息相應的圖形顯示為紅色擴散狀的小球，以提示管理人員問題點所在，管理人員可通過網絡平面圖直觀查看網絡運行情況。當點擊相應的紅色小球，則顯示具體的報警信息，同時可以進入詳細頁面查看原始日志和標準化后的報警日志。

2.4 運維流程管理

將傳統工作模式中的工作流程固化到系統中，通過電子化的審批模式，將運維工作進行規范和優化、達到工作量化、電子自動化、流程可控、辦事透明、降低成本的效果、幫助企業實現高效管理。

2.5 信息安全事件定位取證系統

從安全信息的來源入手，對各種安全信息進行集中分析，從而有效地發現安全問題，包括攻擊、故障和安全事件，并通過事件和攻擊痕跡，向管理者闡明當前IT環境的安全狀況；同時安全信息監管還包括對安全信息原始數據的保存，為今后的取證準備了必要條件。

3 應用效果

系統運行以來取得了良好效果，公司信息安全管理水平穩步提升，信息安全局面保持良好，取得了明顯的成效。

3.1 構建起了完備的信息安全監管防護體系

系統集運維、監測、告警、分析、聯動等功能集成于一體，構建了一種全過程、全方位的信息安全監管新模式，輔以策略聯動、知識庫管以及相關的配套措施，建立起了“事前告警、事中響應、事后追查”的信息安全監管體系，降低了信息安全的風險，避免了由于信息安全事故給企業造成的損失。

3.2 嚴密的審計回放功能確保操作“可控、在控、能控”

針對系統關注的設備操作進行監控、記錄回放，讓所有運行的設備操作正確、規范。

3.3 嚴格的操作監視控制功能有效防止“誤操作、非法操作”

系統通過對不同用戶化分權限設置和管理，并監控用戶的所有操作，防止合法用戶的的誤操作，非法用戶的惡意操作。

3.4 解決了一直以來網管工作的被動局面

量變引起質變，要想改變信息安全工作從被動的問題處理模式到主動的預防問題的發生，就必須從問題的“量變”開始預防，該平臺的實施，建立起了完善的預警策略，避免信息安全問題“質變”的發生。

3.5 優化固化管理流程，實現信息安全管理提升

通過科技流程實現了設備的全生命周期管理，將事件、問題、變更過程有序的管理起來，建立可視化的工作管理平臺，實現了對管理流程的梳理與再造。崗位工作人員嚴格按照自己的權限和角色，通過網上審批的剛性執行，實現“行為約束”和“制度落地”。制度直接落實到流程節點，規范了各級人員行為管理，大大提高了管理的規范性和可控性，實現了優化固化流程的工作目標，進一步提升信息安全管理。

4 結語

信息安全監管平臺的研制是當前電力企業信息安全管理工作的需要，該系統支持多源安全事件關聯，采用先進的事件管理模型，達到了國內領先的技術水平，為信息系統的監控、安全事件的分析以及有針對性地采取相應防護措施提供了有力幫助。系統設計理念先進，采用分層分布式體系設計，具有高度的開放性和可擴展性；支持多源安全事件關聯；采用可視化、集中控制的安全監控。該系統在增強網絡統一管理和安全管理的同時，實現了信息安全管理工作自動化，提高了安全設備的投資回報率，降低管理成本，提高了工作效率，具有顯著的經濟效益和很高的推廣價值。

參考文獻

[1]王曉峻，來曉陽.構建基于虛擬計算的安全管控平臺[J].電信技術，2010，6，74-76.

[2]孫建慶.信息系統運維綜合監管平臺設計[J].電力信息化，2009.7（3）.

作者簡介

馬傳國（1982-），男，回族，山東省青州市人。大學本科學歷。現為國網東營供電公司工程師。研究方向為網絡與信息安全。

作者單位

國網東營供電公司 山東省東營市 257091endprint