安全設備聯動模型在電力企業(yè)信息安全的應用

齊四清 劉世民 趙 晶 高 敏

內蒙古東部電力有限公司信息通信分公司，呼和浩特 010020

引言

伴隨國家電網體制改革的深入，網絡相關業(yè)務和應用的飛速發(fā)展，安全風險也迅速增大，防范和化解安全風險成為電力企業(yè)非常關注的問題。本文從電力企業(yè)網絡安全的現狀出發(fā)，應用安全設備聯動系統(tǒng)模型，解決了電力企業(yè)網絡安全設備獨立、靜態(tài)、單一的防護問題，從而有效地協調管理各類網絡安全設備。

1 電力企業(yè)網絡安全現狀

隨著全球信息化的迅猛發(fā)展，電力系統(tǒng)必將加強與外部世界的信息交流，以提高生產和管理的效率。然而，網絡開放也增加了網絡受攻擊的可能性。目前，電力企業(yè)網絡安全存在著很多問題，如：技術防御整體水平不高，安全威脅，網絡使用的軟硬件沒有有效的管理和改造等[1]。

目前，電力企業(yè)已應用了各種各樣的網絡安全產品，包括防火墻、入侵檢測系統(tǒng)、病毒防護系統(tǒng)、漏洞掃描系統(tǒng)等，它們在一定程度上保障了網絡環(huán)境的安全性。然而，各安全產品仍然停留在“單兵作戰(zhàn)”的局面，無法滿足現電力企業(yè)網絡安全事件頻發(fā)、安全威脅日益突出的現狀。因此，構造聯動模型，以一系列安全設備為基礎，有機整合各種安全設備數據信息，有效地協調管理各設備，能夠較好的提高電力企業(yè)的網絡安全。

2 聯動技術

聯動技術可以涉及很多其他的安全部件，如報警與審計系統(tǒng)、業(yè)務系統(tǒng)、甚至網絡設備等，只要在某個節(jié)點發(fā)生了安全事件，無論是一個簡單的原始事件，還是一些具有分析能力的系統(tǒng)判斷出來的安全事件，它都可能需要將這個事件通過某種機制傳遞給相關的系統(tǒng)[2]。

聯動技術的提出體現了網絡安全防御向智能化發(fā)展的趨勢，它有機整合了各種網絡安全技術，部署了全面的網絡安全防御體系，有效提升了網絡性能。通過聯動使各安全設備做到資源整合，協同工作，產生“1+1＞2”的合力，避免木桶效應的發(fā)生。

3 安全設備聯動模型

安全設備聯動模型框架，是將不同廠家的安全設備數據進行整合、歸并與關聯分析，過濾事件中的誤報、產生確定的安全警報，根據制定的聯動策略對設備進行動態(tài)配置，使其產生聯動響應。聯動模型框架包括數據采集層、事件分析層和決策層三部分[1]，如下圖1所示。

3.1 數據采集模塊

數據采集主要分為日志數據采集，數據清理和過濾，數據轉換和歸并三層結構。

圖1 網絡安全設備聯動模型框架

圖2 數據預處理的邏輯結構

數據采集主要是采集電力企業(yè)網絡中能反映網絡安全態(tài)勢信息的日志，包括防火墻、入侵防御系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)。不同的日志信息采用不同的采集方式。文件型日志的采集主要是讀取日志文件，針對數據的結構對其進行拆分，并進行存儲[3]。syslog格式存儲的日志采集主要是通過建立syslog服務器，通過UDP協議接收514端口上的數據，并進行存儲。為保證數據的實時性，采集的周期要盡可能短。

數據清理主要是通過一定的數據清理和過濾算法實現對網絡安全設備日志的清理，去除其中錯誤、重復和不完整的數據。數據轉換則是通過建立數據轉換模型將經過清理的各類設備日志進行規(guī)范化處理。數據歸并是對轉換完成的日志數據提取關鍵屬性，合并同類型關鍵數據，得到精練的并能充分描述對象的屬性集合。

日志預處理模塊是通過在各個網絡安全設備上安全日志采集代理完成基本安全事件的采集，然后日志采集代理將各個設備的日志提交到事件管理器進行安全事件的分析與合并，將日志信息歸類上升為安全事件，添加到安全事件數據庫。日志數據的預處理模塊主要是為網絡安全設備聯動系統(tǒng)的數據訪問提供一個公共的統(tǒng)一接口，使訪問者不必考慮數據模型的異構性、數據抽取、數據合成等問題，只需指定想要的數據，而不必關心如何得到。

3.2 事件分析層

事件分析層主要是通過分析分析安全事件數據庫中的數據，發(fā)現隱藏在這些看似獨立的安全事件背后的邏輯和攻擊信息，也就是發(fā)掘出這些網絡安全事件之間的關聯[4]。

在安全事件數據庫中，安全事件主要是以屬性作為關鍵字進行存儲的。本模型中事件分析層的關聯算法主要是采用基于攻擊屬性相似性的關聯方法。基于攻擊屬性相似性的關聯方法通過以下幾個步驟對報警進行關聯：（1）計算安全事件不同屬性之間的相似度；（2）當新的安全事件到來時，與已存在的所有事件線程的相應屬性值進行比較，計算它們之間的相似度；（3）將安全事件與事件線程相似度最大、并超過設定閾值的安全事件融合到事件線程中。若不超過設定的閾值，則生成一個新的事件線程。

事件分析層主要是結合安全事件數據庫，對當前出現的安全事件或系統(tǒng)漏洞進行關聯規(guī)則分析，分析當前時間產生的前提下，可能引發(fā)的其他安全事件，并對關聯分析產生的安全事件進行預警，并觸發(fā)聯動模塊，使系統(tǒng)設備和工作人員對即將發(fā)生的安全事件進行警戒狀態(tài)，并進行一定的處理。

3.3 決策層

事件分析層中事件管理器將源事件提交給策略判決點進行策略觸發(fā)，管理控制端通過檢索事件數據庫中的事件源和策略庫中事件源對應的相應處理策略完成策略觸發(fā)，并將觸發(fā)策略返回給策略判決點。策略判決點再將安全事件處理策略下發(fā)給各個代理，通過代理執(zhí)行策略的具體內容改變安全設備的相關配置完成安全事件的處理。

從整體上構建基于聯動策略的網絡安全設備聯動模型，通過安全事件觸發(fā)的機制自動生成安全策略，通過自動化地將設備配置信息傳送給相關設備達到應用安全策略的目的，實現從整體上協調一致，主動動態(tài)地保障網絡安全，順應電網智能化的發(fā)展趨勢。

4 結語

本文研究了構建網絡安全設備聯動系統(tǒng)及其在電力企業(yè)信息安全領域的應用，通過對信息系統(tǒng)原始日志信息進行規(guī)范要求和統(tǒng)一處理，并在大量的日志信息中找到高風險的安全事件，對安全事件進行關聯分析，獲取全面準確的系統(tǒng)潛在威脅，提供準確的安全風險分析報告和風險控制措施。最后從解決安全事件的角度提出應對安全事件的聯動策略，為管理員發(fā)出相應的風險告警，有效處理內部違規(guī)操作和外部威脅等一系列網絡安全問題。

[1]周奕辛.數據清洗算法的研究與應用[D].青島大學碩士學位論文，2005

[2]林超良,洪志全等.基于XMLBean的XML文檔操作研究與實現[J].信息技術，2007

[3]王嵐，翟正軍.WEB日志挖掘的預處理及路徑補全算法的研究[J].微電子學與計算機，2006

[4]馬瑞民，李向云.WEB日志挖掘中數據預處理技術的研究[J].計算機工程與設計，2007

[5]方航鋒，汪海航.日志提取分析系統(tǒng)的設計和實現[J].計算機工程，2004

[6]胡孟梁，耿良.蔡瑞英一種通用綜合日志系統(tǒng)的設計與實現[J].計算機應用與軟件，2008