信息安全風險預警管理系統的設計與實現

劉 欣，孫辰軍，王云佳

(1.國網河北省電力公司，石家莊 050021;2.河北農業大學，河北 保定 071001)

安全風險預警在實際生產和管理中是一項常用和成熟的工作方式［1］，其強調通過檢測和評估生產和管理系統風險水平，對尚未發生的危機或危險狀態進行提前報警或告警，提高對事件或事故的預防能力，降低其影響程度，最終實現事件或事故管理模式的轉變，即將“以事故發生后應急為主的管理模式轉變為事前危險態監控、預防為主的管理模式”。

1 系統功能框架

國風河北省電力公司(簡稱“河北電力”)風險預警管理系統的工作過程為:利用威脅預警采集設備(簡稱“TDA”)實現威脅的快速檢測;獲取TDA 的威脅檢測結果，根據風險評估方法，估算威脅發生對IT資產的影響程度，得到風險級別，然后依據設定的風險級別閾值，形成風險預警;將風險預警信息傳遞給服務臺，服務臺產生處理工單，并將該工單分派給地市安全管理員，督促安全管理員依據威脅處理的安全事件管理流程處理分派的任務;對于任務處理結果，服務臺通過2 種方式進行確認，一種是根據TDA 再次檢測結果進行比對確認，另一種是通過回訪調查確認;服務臺根據任務處理過程和結果，結合設定的績效指標，形成各市局的威脅處理績效報表，供管理層、安全管理員及普通用戶查詢。管理層定期根據績效報表，對服務臺、各市局以及TDA 的部署使用等提出改進指導。

鑒于此，風險預警管理系統的主要功能模塊包括TDA 與數據獲取接口、風險評估子系統、服務臺、工單管理子系統、威脅處理管理子系統、績效考核子系統等，功能結構關系如圖1所示。

圖1 風險預警管理系統功能框架

TDA 接口從TDA 處實時讀取威脅告警數據，交付給風險評估子系統，估算威脅對應的風險級別，根據風險級別閾值篩選威脅，形成風險預警信息。服務臺是國網河北省電力公司統一的服務臺，通過郵件、短信等自動方式或通過人工方式將工單分派給地市安全管理員。

2 系統主要功能設計

2.1 基礎信息管理

2.1.1 人員管理

威脅處理需要多方人員的配合，包括終端使用人員、服務臺人員、威脅處理人員(通常是地市管理員)和管理層，這些人員在系統中映射為五類用戶，即普通用戶(終端使用人員)、服務臺用戶、IT 用戶(實際是地市安全管理員，即威脅處理人員)、管理層用戶以及系統管理員。

2.1.2 IT 資產和IP 地址管理

IT 資產包括終端、服務器、網絡設備、安全設備等，是威脅發生和檢測的設備或設施，通常每個IT設備具有相應的IP 地址，IP 地址按照河北電力組織結構規劃和分配，每個設備的IP 是固定的，因此，通過IP 地址可以將“威脅、終端、終端用戶、地市、地市安全管理員”關聯起來，既便于威脅處理任務的自動分發，還有助于服務臺用戶跟蹤管理威脅處理，并與終端用戶溝通，確認終端用戶對威脅處理的滿意程度。

2.1.3 威脅庫

威脅庫的數據來源是各市局TDA 檢測到的威脅信息，TDA 能夠檢測惡意軟件、黑客攻擊、信息泄漏、間諜軟件、垃圾軟件、未注冊服務等6 大類威脅，具體威脅400 多種。

對于每種具體威脅，TDA 能夠檢測到的屬性數據包括:威脅編號、設備編號、主機名、IP 地址、物理MAC 地址、用戶組、日志時間、威脅具體描述、威脅類型指針、通用威脅告警程度、告警類型。

通過IP 地址可以將地市安全管理員與地區名稱、主機名、IP 地址、威脅類型指針、威脅描述、通用告警級別等關聯起來。

2.2 信息安全風險評估

目前TDA 產生的通用告警級別是基于威脅發生對設備可能造成的直接后果，如權限提升、DoS、頻繁啟動等，但這些現象發生在普通PC 終端和PC服務器上，影響程度是顯然不同的，因此，應該充分利用風險評估方法，結合IT 系統結構和業務應用特點，綜合考慮資產(系統和業務應用)、威脅、脆弱性三者之間的關系［2］，估算信息安全風險級別，設定風險級別閾值，將超出閾值的風險所對應的威脅作為預警對象。

該系統采取文獻［3］中的已有成果作為風險計算方法:f=ξ1f1(Gn，Gt，Gs)+ξ2f2(f1，Gd)+ξ3f3(f2，Gg)。在實際應用中，對規模小、業務少、威脅影響差別不大的系統，權重應該取接近于1(甚至是1)的值，即直接將威脅檢測結果作為風險預警級別;第3 項是為了橫向比較不同地市之間風險預警級別的細微差別所設，其權重通常相對較小。

2.3 服務臺和事件管理流程

由于風險評估過程的復雜性及風險計算方法實時性的不足［4］，再兼之對威脅和脆弱性等檢測和分析的工具多，數據來源復雜，整合與集成困難，因此，實踐中通常直接將威脅檢測結果作為風險預警事件，很少將風險評估的結果作為風險預警事件。由于該文將TDA 作為河北電力統一的威脅事件檢測工具，因此，不僅可以將風險評估結果作為風險預警事件，而且還可以將其與基于ITIL 的安全運維管理服務平臺無縫銜接，提高對安全風險的預防和處理水平。

對于安全運維管理，風險預警管理系統目前所需的功能是服務臺和事件管理，來實現河北電力范圍內的安全威脅統一預警、統一任務分派和統一監管。

2.3.1 服務臺

服務臺是河北電力風險預警管理系統統一的監管平臺，由服務臺接受風險評估子系統傳遞過來的優先級較高的風險預警信息，然后將預警信息通過郵件或短信等自動方式分派給各市局安全管理員，對于需要重點指明的風險預警信息，可通過手工方式分派任務。無論是自動分派還是手工分派，任務均以工單方式派發，工單上面說明威脅檢測的時間、類型、影響的資產、風險預警級別，以及期望采取措施的時間、推薦的處理方案等。

服務臺將全程跟蹤處理過程，形成處理紀錄，便于向普通用戶發布處理狀態信息，以及對安全管理員進行統一績效考核。對于處理結果，無論自動或人工處理，服務臺將利用TDA 的再次檢測結果進行自動比對，以判斷是否處理完畢，然后通過抽查的方式，對安全事件對應的資產屬性進行回訪調查，以確認處理結果。對處理結果的確認是人員績效考核的重要依據。

2.3.2 安全事件管理流程

每個工單所代表的處理要求即形成一個安全事件，該事件由地市安全管理員負責處理，可以按照ITIL 事件管理中一線、二線、三線人員的方式執行，風險預警管理系統目前不做過多的要求，只關注處理狀態(如，是否及時、等待時間等)和處理結果。

2.4 統一監管和績效考核指標

對威脅或風險的統一監管，需要考慮監管的內容和展示方式，主要監管內容包括:整體監管指標，河北電力IT 系統總體健康狀況、高風險預警數量、已處理及待處理工單數量、所檢測到的風險TOP5排名等;局部監管指標，已分派工單的處理情況、各市公司威脅的分布和排序情況;各市公司工單完成及時率、準確率等績效數據。

該系統以河北電力各市公司為展示單元，基于地圖展示河北電力風險預警及工單處理情況，直觀展示全局安全狀態及已處理和待處理工單數量。

3 應用效果

基于JAVA 的Eclipse IDE for Java Developers 平臺，采用MySQL 數據庫，開發出安全風險預警管理系統，實現對河北電力的風險預警管理。3 個地市部署TDA，試點運行風險預警管理系統中風險預警系統和運維管理系統，風險級別為5 級，4－5 級為產生風險預警信息，權重系數分別取值為0.2、0.8 和0。通過試點運行，該系統取得了以下效果。

3.1 優化風險預警級別的準確程度及對需處理威脅的篩選情況

一周內，TDA 直接檢測到的“高危”告警206條，通過風險計算后，得到的風險預警信息為58 條，現場實際檢查確認表明，剔除的148 條威脅告警發生在普通終端上，風險影響程度達不到4 級和5 級，減少非急需處理的威脅任務72%。當然，從純粹威脅技術角度看，這72%的威脅是需要及時處理或采取相應應對措施的，只不過其優先級沒有TDA 直接給出的告警程度那樣高。

3.2 統一分派任務

58 條風險預警信息均生成工單，并通過嵌入的內部郵件系統自動分發給3 個地市的安全管理員，實現了威脅處理任務的統一分派及統一跟蹤管理。

地市公司的風險預警數量和工單數量均在基于地圖的全局視圖上進行可視化展示，管理人員和用戶可以一目了然地了解各市公司系統的安全風險情況及處理情況，特別是已分派任務和未處理情況。

由于有統一的風險預警管理系統，地市安全管理員的處理及時率接近100%，遠超過以往80%的水平。

4 結束語

風險預警管理系統將威脅實時檢測、信息安全風險評估、服務臺和事件管理以及績效考核等整合在一起，形成安全管理閉環，對現有的安全管理工作起到了較好的推動作用，系統建設后可進對威脅和風險管理的實時追蹤，安全管理部門從事后審查轉換為事前主動任務分發和跟蹤管理;基于風險計算的結果來產生風險預警信息，減少了非急需處理的威脅任務數量;實現了河北電力威脅和風險管理的統一監管和績效考核。

未來將在風險計算的精確程度以及監管內容等方面進行更深入研究和實踐，提高風險分析的自動化處理能力及風險處理的準確性和及時性，力爭建設一個高度自動化、智能化的風險預警系統，進一步提升河北電力威脅檢測和風險預警管理工作水平。

［1］羅 云，宮運華，宮寶霖，等，安全風險預警技術研究［J］.安全，2005(2):26-29.

［2］GB/T 20984－2007，信息安全風險評估規范［S］.

［3］馬海珍.基于BP 神經網絡的TDA 風險預警管理系統研究與實踐［D］.北京:北京大學，2011.

［4］高志明.基于業務流程的信息安全風險度量方法研究［D］.北京:北京交通大學，2011.