電網信息安全情報集中管控平臺研究與建設

◆肖 鵬蘇永東張 睿宋 春

（1.云南電網有限責任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

電網信息安全情報集中管控平臺研究與建設

◆肖 鵬1蘇永東1張 睿2宋 春2

（1.云南電網有限責任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

隨著信息安全漏洞日益增多，大量電力企業均采購了信息安全漏洞掃描系統，以支持信息安全防護工作。本文在對國內某電力企業在信息安全漏洞管理調研的基礎上，識別出現大型電力企業在漏洞管理和威脅情報利用方面面臨的困境，有針對性的設計并開發了電網信息安全情報集中管控平臺,實現對任意安全情報的統一收集、自動化應用與閉環管控，并針對平臺后續深入應用給出了研究方向。

統一信息存儲檢索; 信息安全漏洞; 微服務; 電網企業; 威脅情報

0 引言

隨著新型漏洞和攻擊的不斷增長，信息安全面臨嚴峻挑戰。在信息安全工作中，大量單位還在采用郵件、短信、通知等方式對下屬分子公司進行漏洞和威脅情報通報。但從近兩年信息安全形勢來看，各種漏洞頻發，通報各單位響應時間周期較長，然而黑客利用漏洞的技術越來越成熟，時間短攻擊快，利用通報過程中的時間窗口進行快速攻擊，可造成電網不可估量的損失。并且分子公司由于技術力量薄弱等原因，不能及時、準確地對漏洞進行分析、驗證和管理，導致黑客可以利用漏洞進行攻擊等。這對于電網企業的信息系統安全防護是一個極大的安全隱患。

對此，開展信息安全漏洞集中管控平臺研究與建設，能夠有效提升漏洞獲取效率、快速進行評估分級并處理、獲取威脅情報提前防護，對于電網企業信息安全防護水平的提升具有重要意義

1 國內外研究現狀

國外發達國家高度重視信息安全漏洞的管理及控制工作，早在20世紀70年代就開展了針對漏洞的相關研究。隨著參與研究的組織越來越多，漏洞數據庫也逐步建立，如知名的CVE漏洞庫、NVD漏洞庫、US-CERT漏洞庫等。隨著互聯網的發展和漏洞數量的快速增長，我國也建立了一定數量的漏洞庫，包括國家漏洞庫和各信息安全企業自行建立的漏洞庫。由于漏洞庫的管理機構不同，對漏洞的分類、屬性說明、級別說明、命名等均沒有統一規范，電網企業在面對海量的漏洞信息和龐大的信息系統時，缺少有效的漏洞管控手段。

近年來，隨著威脅情報理念及應用的發展，企業不單需要跟蹤修復漏洞，還需要了解相關的攻擊手法、攻擊者信息等情報以進行全面防護。威脅情報的描述不但包含漏洞信息，而且比漏洞信息的內容更加豐富和靈活。如何有效的對信息安全情報進行統一收集、跟蹤與管理，對于信息系統規模較大和對信息安全更為敏感的電網企業來說，是一項巨大的挑戰。

2 電網信息安全情報集中管控平臺研究

2.1 平臺總體架構設計

電網信息安全情報集中管控平臺的主要功能在于自動化的采集主要漏洞庫和威脅情報發布機構的歷史與更新信息，利用情報中的信息結合內網資產情況，形成活躍/高危漏洞庫，并通過一系列的流程實現高危漏洞的發布、通報、預警、整改及復核的威脅全生命周期管理[1]。

2.1.1 技術架構體系設計

考慮到信息安全情報的內容格式仍然在不斷演化，發布機構的增加、影響IT設備種類也不斷增加。這種功能、性能快速變化的應用場景難以通過傳統的IT架構實現快速上線與快速擴展。

通過應用微服務架構，系統中的各個微服務可被獨立部署，各個微服務之間是松耦合的。服務之間互相協調、互相配合，為用戶提供最終價值。每個服務運行在其獨立的進程中，服務與服務間采用輕量級的通信機制互相溝通（通常是基于HTTP協議的RESTful API）。每個服務都圍繞著具體業務進行構建，并且能夠被獨立的部署到生產環境、類生產環境等。每個微服務僅關注于完成一件任務并很好地完成該任務。在所有情況下，每個任務代表著一個小的業務能力。

圖1 傳統IT架構與微服務架構對比圖

在電網信息安全漏洞集中管控平臺的建設中，應用微服務架構一方面能夠將原有功能獨立形成微服務，避免展現、業務和數據存取的深度關聯，開發人員通過統一的接口各自完成相關邏輯的開發，也實現了開發團隊小型化、高效化、語言的靈活化。另一方面對于性能擴展更加靈活，對于負載較大的微服務可以單獨進行擴展，避免原有架構下對整套功能的擴展，提升了資源利用效率[2]。

2.1.2 統一信息存儲檢索架構設計

隨著互聯網規模的幾何級數的增長,信息安全日益成為威脅網絡正常運行的主要問題。電網信息安全情報集中管控平臺中，將收集各類安全信息，包括但不限于日志信息、安全掃描信息、威脅信息、流量分析信息，這些信息格式多樣、數量巨大，并且相互關聯。

通過應用Elastic Search作為存儲平臺，能夠滿足威脅情報收集的全面性的續期，實現海量多元異構數據的存儲，并對上層分析應用提供統一的數據獲取接口，屏蔽多來源、多格式信息檢索的復雜性，提升檢索效率，解決傳統數據庫引擎面對多源異構海量數據檢索效率極低的問題。

2.2 平臺功能設計

2.2.1 平臺業務流程

平臺的業務流程如圖2所示。

信息安全情報分為內部情報和外部情報，內部情報支持規則、檢測工具自動產生，外部情報支持手工錄入或接口自動獲取，在錄入情報信息的時候，可以關聯到受影響的資產[3]。

（1）內部情報收集

根據系統各監測掃描組件報告、流量檢測分析結果結合日志分析結果，進行匯總與格式化處理，便于提供給威脅分析模塊進行專項分析。利用規則管理實現規則的設置，結合檢索調度管理實現根據規則進行定期收集。

圖2 平臺業務流程

（2）外部情報收集

從手工錄入接口、威脅交換信息導入接口和網絡爬蟲接口輸入或主動檢索威脅信息。手工錄入接口提供向導式的外部威脅情報錄入模式，引導相關人員完成外部威脅情報的錄入，有效對錄入信息進行格式化存儲，便于后續交換與分析; 威脅信息交換接口支持XML、excle、HTML、STIX、OpenIOC等多種格式的威脅交換信息接口，用于批量威脅信息的雙向交換; 網絡爬蟲接口利用爬蟲技術等從各知名漏洞、威脅發布網站抓取所發布的最新漏洞、威脅公開時間、嚴重程度及受影響的系統、軟件版本等。如有可能，同時獲取漏洞發布網站的攻擊示例及漏洞驗證方法或修補方法等。

原始信息獲取完成后，對于各接口獲取的信息進行統一解析與格式化處理，便于提供給威脅分析模塊進行專項分析。

（3）威脅分析

根據匯總上來的基礎威脅信息，調用規則或發布給技術支撐單位、安全專家進行專項分析，完成威脅類型分析、威脅嚴重程度分析、威脅影響范圍分析、威脅起始時間判斷、應對措施建議分析。提供知識庫功能，借助知識庫完成相關威脅分析，并且將本次分析結果更新到知識庫中。

（4）信息安全情報管理

根據分析完成的信息安全情報，可以進行情報通報、跟蹤處理、自動化應用、防護有效性檢測、情報變更等管理流程，幫助電網企業快速、有效、完整、閉環的根據信息安全情報完成大規模信息系統的安全防護和預警行動。

2.2.2 平臺主要功能及實現

（1）總覽視圖

提供了信息安全情報的新增數量、討論數量、相關消息和請求以及各威脅在分析進展、影響等級等方面的分析情況。

圖3 總覽視圖

（2）情報詳情查看

圖4 情報詳情

可以查看選定情報的詳細信息。包括威脅編號、提交機構、提交人、提交日期、分類、威脅等級、發布范圍、分析進展、威脅描述、發布狀態信息。如果威脅的屬性與其他威脅的屬性一致，將產生威脅的關聯，這對于識別同一攻擊組織非常有用。如圖4所示[4]。

（3）情報屬性

情報屬性是用來詳細說明相關信息的數據格式。借助屬性可以將情報格式化，并且可以使部分字段能夠成為可用于安全檢測的特征。可以創建的屬性主要包括說明類、IP地址類、域名、文件名、文件HASH、文件路徑、Email發件人、其他檢測特征等類型。同樣支持上傳惡意軟件樣本作為附件，同時惡意軟件樣本將自動被HASH作為屬性。為了防止惡意軟件被無意執行，上傳的惡意軟件樣本將被加密壓縮保存。

圖5 情報屬性

（4）通報預警

支持將上述信息安全情報向有關單位、部門進行通報，并跟蹤完成預警行動和預防性處置。

圖6 通報預警

3 結束語

電網信息安全漏洞集中管控平臺的建設中，在技術上和應用上采用微服務架構和統一存儲架構解決平臺功能變更頻繁、變更周期短、數據量較大的問題，在應用上盡可能提供自動化工具實現信息安全情報的收集、應用，有效的降低了IT設備安全防護措施應用的時間周期，并支持閉環管理。

后續應基于本平臺，利用大數據分析技術和信息安全審計技術，可實現攻擊者畫像，以開展更有針對性的防護與反制。

[1]王曉甜，張玉清.安全漏洞自動收集系統的設計與實現[J].計算機工程，2006.

[2]葛先軍，李志勇，何友.漏洞信息數據挖掘系統設計[J].計算機工程與設計，2009.

[3]顧韻華，張金喜，李佩.網絡安全漏洞信息采集系統的研究[J].計算機工程與設計，2011.

[4]Common Vulnerabilities and Exposures(CVE)[EB/OL].h ttp://eve.mitre.org/,2016.

[5]高寅生.安全漏洞庫設計與實現.微電子學與計算機，20 07.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/，2016.

[7]About Us.& More About US-CERT [EB/OL].http:// www.uscert.gov/aboutus.html.

[8]Common vulnerability scoring system[EB/OL].http://w ww.first.org/cvss/.