一種基于數據對象的文件動態追蹤方法

吳紅 唐勇 王勝

摘要：電力信息化安全一直是電網對下屬各單位考核的重要技術指標，隨著電力信息化業務范圍、類型及數量逐步增大，異構系統業務間數據流轉、單系統業務處理等流程中會暴露出各種漏洞，應采取高效的數據防護方法對電力信息化過程進行安全加固。圍繞數據安全審計，提出了一種動態的實時防守型信息安全處理方法和模型，重點研究了安全日志分層分類樹型存儲結構的實現方法及審計追蹤實時模塊化處理流程，提升了安全風險事件的快速、高效處理能力。研究方法可應用在電力信息安全綜合管理平臺中，將審計狀態從被動優化變為主動防御，大大降低了信息運行的風險指數。

關鍵詞：信息安全；動態追蹤；追蹤審計

中圖分類號：TP3文獻標志碼：A文章編號：1008-1739（2020）04-64-4

0引言

面對電力PB級數據量處理需求現狀，采用開放式的數據共享模式可解決擁堵問題，但同時也帶來了極大的數據安全問題，會存在很多共享數據在不同業務部門間執行調取、查詢和修改等操作，數據篡改、數據泄露、數據遺失等安全問題出現的幾率將會倍增，給管理系統增加更多的隱患，嚴重的連鎖效應會引出很多不確定性的風險。例如，投標過程中信息被截獲，信息一旦擴散到行業內，很可能導致中標廠家的能力與項目所應具備的條件完全不符，最終導致電網財產的損失。因此應提升數據處理過程的安全管控能力，對安全事件進行嚴格追蹤，加強安全把控環節[1-2]。

1電力信息安全審計技術

安全審計過程類似于一個對數據安全防護動作的跟蹤和復查過程，將信息監控設備所記錄下來的安全事件和數據進行跟蹤、分析及審查，檢查安全事件中是否有錯誤記錄、記錄不到位或者數據被篡改等事件的存在。如果有，可以初步推斷存在安全入侵動作或者安全設備防護功能失效等情況。安全審計對于大范圍的安全防護應用顯得更為必要，一則是這種場景下會涉及到更多的保護數據、流程及防護方法，而不同的安全方式過程銜接不緊密，缺失數據的對接保護功能，較容易引入攻擊風險。另外需要監控的數據較多，安全設備往往會因為防護能力不足，讓風險趁虛而入，因此審計是必不可少且重要的安全防護手段之一。

傳統的審計方法大都屬于靜態的審核與復核，對已經產生的安全事件進行統一批量的事后處理，當檢查出漏洞時，再進行追訴，這種事后檢查的措施雖能夠在一定程度上對電網安全防護能力有所加固，但在危險與安全并行的情形下，電網也會造成較大的財產損失。因此審計方法應轉變發展策略，從靜態守護型變為動態防守型，類似一個跟蹤審計過程，當檢測一個安全事件，立即進行一次安全審計。這樣一方面能快速定位安全漏洞點，另一方面也能將風險限制在最小范圍，不會產生連鎖影響。通過選擇最集約化的安全防護方法，設計實時跟蹤審計模型，在無大幅度增加安全成本的前提下，又可加強信息化安全系數，是動態審計方法提出的最終目標[3]。

2基于數據對象化的安全審計

動態的安全追蹤審計如果采用傳統的執行思路無法實現實時性及大范圍的數據跟蹤監控，被監控的數據涉及范圍領域太大，突發事件申報屬于無法預測的行為，要想快速定位到安全漏洞需要系統花費一定時間，這與實時性是相違背的。因此要想實現快速動態追蹤，應對采集的安全事件進行系統管理，首先將事件抽象化分類存儲，再通過審計數據分析器進行信息比對確認，最終定位安全漏洞問題。

追蹤審計主要分為安全事件采集器和追蹤審計分析模塊兩部分。采集器負責從安全設備中收集設備產生的安全日志，還從交換機、路由器等關鍵網絡設備的流量數據中分析可能存在的攻擊事件和敏感信息。采集層是將收集到的數據按照指定的篩選要求進行篩選后發送給分析層集中存儲。從以上設計方案中發現，事件采集器相比分析模塊更能提升審計整體過程的效率。本文提出的一種基于數據對象化思想的概念，就是將所有數據及文件按照被監控的安全對象進行功能劃分，形成不同層級的數據框有序放入緩存器中存儲。當監測到安全事件內容不匹配或者超出安全數值范圍時系統報警，并定義成風險事件，經過數據劃分后，可快速在存儲器中找到對應的事件判別策略，展開后續審計過程[4-5]。數據對象化劃分樹形模式如圖1所示。

圖1結合了計算機文件管理系統設置思路，形成分層級的樹形文件存儲模式。文件名及關鍵節點劃分以被監測的安全領域、設備及功能為參考依據設定。

最上層為根目錄對象，邏輯關系上實體設備對應的是被監控安全設備，例如，防火墻、交換機、訪問鑒權設備等，每個根目錄包含2個內容：一個是目錄名稱，能夠表現主要設備信息，例如，防火墻定義為FW，交換機定義為SW；另一個是目錄ID，ID號在系統內是唯一的，能夠快速定位到指定目錄中的內容。

中間層為中間目錄對象，主要是根據文件內容劃分，可以分成不同層級的目錄結構，形成有效的文件路徑。例如，隸屬于某省調度中心下的行政交換網中的一套軟交換機的流量監控數據文件，那么這個文件前面的定語就形成了一條文件路徑，國網某省調度中心|省級行政交換網|某市行政交換網|交換機，形成4層級文件目錄，每個層級都定義一個目錄對象，這條目錄對象由對象ID號、對象屬性和對象路徑（上下文文件指針信息）三部分組成。

最下層為具體安全文件數據，這部分數據包含的內容較多，主要分為文件ID號、文件路徑及文件屬性三部分，其中屬性部分因要充分反映文件信息內容，內容細分較詳細，有利于數據信息的比對[6]，具體如表1所示。