態(tài)勢感知系統(tǒng)在電力網絡中的應用

于斌 劉曦

（內蒙古電力（集團）有限責任公司信息通信分公司 內蒙古自治區(qū)呼和浩特市 010020）

1 內蒙古電網電力網絡現(xiàn)狀、需求及目標

1.1 網絡現(xiàn)狀及需求

近年來，內蒙古電網在信息內網和互聯(lián)網服務區(qū)建設了一系列信息系統(tǒng)優(yōu)化改造工程，并配置了相關軟硬件服務器設備，如內外網隔離工程、IPS&IDS 設備、內外網安全防病毒終端、上網行為審計系統(tǒng)、桌面管控系統(tǒng)、安全準入系統(tǒng)等。但隨著多個系統(tǒng)的引入，安全管理員的工作量劇增，每天需要花費大量的時間逐一登陸相關安全設備管理后臺進行數(shù)據(jù)的獲取，并人工匯總及分析，形成安全報告。

由于現(xiàn)有諸多獨立的安全軟硬件系統(tǒng)及設備無法對公司范圍內系統(tǒng)底數(shù)和安全情況進行全面掌握，不能夠清晰、準確地判斷存在的安全風險，并有效地事先發(fā)出預警，已經發(fā)生的安全事件也無法有效地進行溯源，對所屬各部門及在用重要信息系統(tǒng)、網站的監(jiān)管大多是被動接受上級主管部門通知通報，沒有主動監(jiān)測和事前發(fā)現(xiàn)漏洞的能力和手段。另外在開展重要信息系統(tǒng)和網站安全檢查工作過程中，發(fā)現(xiàn)了許多信息系統(tǒng)存在著高風險的問題，也表明目前安全管理工作確實需要建立一套能夠自動發(fā)現(xiàn)問題、及時處理問題的網絡安全態(tài)勢感知平臺（以下簡稱“平臺”）。

1.2 建設目標

1.2.1 提升網絡安全態(tài)勢感知能力

通過對設備運行日志、流量數(shù)據(jù)和漏洞掃描數(shù)據(jù)的采集和分析，再結合各安全廠商提供的安全資訊、云端威脅情報等信息提前感知業(yè)務系統(tǒng)被攻擊、試探的可能性，并分析確定攻擊的來源信息，以資產、威脅、攻擊、事件等多個態(tài)勢維度進行呈現(xiàn)，針對威脅及時進行預警和通報，使安全決策者能快速掌握全網的安全態(tài)勢，為決策提供依據(jù)。

1.2.2 提升安全威脅事件調查分析能力

充分利用大數(shù)據(jù)技術的“5V”特點，通過可視化技術（UI）建立數(shù)據(jù)之間的關聯(lián)并集中呈現(xiàn)，提高數(shù)據(jù)的可讀性和可操作性，提高相關安全操作人員針對安全事件的實時效率；讓相關分析人員將所有精力集中在安全威脅事件的細節(jié)和過程分析上，第一時間判斷并處置安全威脅事件。

1.2.3 建設態(tài)勢感知大數(shù)據(jù)分析系統(tǒng)

通過收集匯總并自動分析提供數(shù)據(jù)支撐，包括管轄范圍內的網站或者業(yè)務系統(tǒng)基本信息（域名、網站標題、網站IP、等保備案情況、所屬單位/部門、聯(lián)系人等）、網絡安全事件、網絡設備資產情況與指紋信息（操作系統(tǒng)類型、開放端口、開放服務、平臺中間件、技術架構等）、重要信息系統(tǒng)日志采集、流量檢測與事件分析（安全事件、攻擊事件、惡意代碼執(zhí)行、惡意掃描行為等）等，達到全網空間內的態(tài)勢感知分析。結合平臺提供的信息展示，從多個維度分析網絡威脅事件，為網絡威脅行為的研判、決策及某些重要和敏感時期的網絡及信息安全保障工作提供有效的技術支持。

1.2.4 建設網站和WEB 應用系統(tǒng)監(jiān)測預警能力

為響應國家對網站安全要求的政策，落實網站和WEB 應用系統(tǒng)安全監(jiān)測工作，對網站和WEB 應用系統(tǒng)進行長效監(jiān)測機制，建設統(tǒng)一的網站監(jiān)測與預警平臺，以實現(xiàn)全公司重要網站和WEB 應用系統(tǒng)安全的集中管理、大批量任務處理、自動化網站安全監(jiān)測。采用主流安全檢測技術，對重要網站和WEB 應用系統(tǒng)提供實時安全監(jiān)測。通過對網站和WEB 應用系統(tǒng)的不間斷監(jiān)測服務，實現(xiàn)漏洞監(jiān)測、網頁木馬監(jiān)測、變更監(jiān)測、敏感關鍵字、可用性監(jiān)測等，從而全面掌握網站和WEB 應用系統(tǒng)的安全態(tài)勢。

圖1：總體架構

圖2：技術架構

圖3：應用架構

1.2.5 建設形成快速告警和應急響應機制

結合網站監(jiān)測、流量監(jiān)測、日志監(jiān)測等進行網絡安全通報，通報方法結合電話、郵件、短信等多種方式，實現(xiàn)監(jiān)管部門到網站和業(yè)務系統(tǒng)建設部門的信息互通，可為安全管理員提供實時告警，提升管理員安全響應速度。

2 建設內容

2.1 建設范圍及規(guī)模

平臺主要是在信息內外網部署平臺和監(jiān)測引擎，對所有業(yè)務系統(tǒng)和資產建立長效監(jiān)測機制，結合網絡中的流量和日志數(shù)據(jù)進行關聯(lián)系分析，實時發(fā)現(xiàn)網絡中存在的威脅和風險，提前進行預防和加固，避免由于網絡攻擊對信息系統(tǒng)的破壞，保障業(yè)務安全可靠運行。

2.2 主要功能模塊

本工程建設功能涵蓋了內蒙古電網信息內外網的網絡安全管理主要業(yè)務工作，共5 個功能模塊，具體為大數(shù)據(jù)支撐模塊、實時監(jiān)測模塊、威脅感知模塊、通報預警模塊、應急響應模塊。

2.2.1 大數(shù)據(jù)支撐模塊

通過已部署的安全設備和系統(tǒng)接口中獲取數(shù)據(jù)；識別收集到的各類安全數(shù)據(jù)，將不同類型的數(shù)據(jù)都按照相同的格式進行存儲；將海量數(shù)據(jù)中的無用信息去除，經過初步處理成為易于檢索，查詢和引用的形式。具體包括數(shù)據(jù)的采集、處理、存儲、分析等功能。

2.2.2 實時監(jiān)測模塊

以地圖形式式實時展示信息系統(tǒng)及網站的安全態(tài)勢，按區(qū)域定位指定信息系統(tǒng)及網站所在的區(qū)域邏輯位置；使用可視化大屏自動投放和交互；動態(tài)展示安全風險最高的信息系統(tǒng)及網站安全情況，進行滾動展示；能夠動態(tài)展示安全問題最嚴重的前十條信息；能夠動態(tài)展示最新發(fā)現(xiàn)的漏洞情況；能夠實時展示信息系統(tǒng)及網站的可用性情況；能夠在地圖上將發(fā)生的安全事件所屬區(qū)域展現(xiàn)出來；支持與云安全中心聯(lián)動，并將云安全中心推送信息安全事件展現(xiàn)；支持多方數(shù)據(jù)源多個產品接入并進行集中分析與展示。

對監(jiān)測到的信息安全整體概況匯總形成報表，并支持各網站的分類統(tǒng)計；支持自定義對象（如部門、負責人、網站、任務等）的安全情況，并可按弱點等級或弱點類型分析；報表具備餅圖、曲線圖、柱狀圖等多種形式的分析并能提供監(jiān)管、通告、整改要求、任務等各視角的報告。

2.2.3 威脅感知模塊

統(tǒng)計采集到的信息系統(tǒng)及網站個數(shù)并可視化呈現(xiàn)，包括總體態(tài)勢、資產態(tài)勢、威脅態(tài)勢、事件態(tài)勢等；統(tǒng)計安全風險和安全事件類型分布和數(shù)量；統(tǒng)計系統(tǒng)存在漏洞、木馬、敏感詞、篡改四類安全隱患的站點個數(shù)；實時提醒最新發(fā)生的安全威脅；根據(jù)不同維度(區(qū)域、級別等)對列控站點進行統(tǒng)計、分析、匯總和展示；對信息系統(tǒng)及網站支持同比和對比分析漏洞、木馬、篡改等趨勢分析，以多種圖形化方式（如折線圖、柱狀圖等）展現(xiàn)；對網絡安全態(tài)勢進行分析及匯總，做到對網絡安全系統(tǒng)發(fā)展態(tài)勢整體的把握。

2.2.4 通報預警模塊

根據(jù)維修感知、實時監(jiān)測、追蹤溯源、情報信息、偵查調查等模塊獲取到的態(tài)勢、趨勢、攻擊、威脅、風險、隱患、問題等情況進行匯總和分析，并自動研判，使安全管理員可以及時將情況上報、通報、下達，并進行預警和快速處置工作。具體包括分析研判、預警展示、通報處置、安全通報等功能。

2.2.5 應急響應模塊

根據(jù)監(jiān)測發(fā)現(xiàn)到的網絡攻擊、重大安全隱患等異常事件情況以及相關部門通報的情況，實現(xiàn)安全隱患消除任務的下發(fā)、審核、處置和反饋等工作。相關負責部門及人員按照處置要求和規(guī)范進行實時處置，第一時間消除負面影響和隱藏危害。對安全事件處置情況、負責人現(xiàn)場勘察情況以及系統(tǒng)及人員證據(jù)收集等方面情況及時建檔、歸檔并入庫。在網絡攻擊事件發(fā)生后，對攻擊事件做應急處置，將安全事件轉為快速處置任務，包括新增任務、批量上傳任務。

3 技術方案

3.1 總體架構

采用大數(shù)據(jù)架構采集企業(yè)內所有IT 基礎設施數(shù)據(jù)，利用機器學習、規(guī)則引擎、場景建模、行為識別、關聯(lián)分析等方法對網絡內所有機器數(shù)據(jù)進行統(tǒng)一分析，實現(xiàn)對網絡攻擊行為、安全異常事件、未知威脅的發(fā)現(xiàn)和告警。平臺提供對網絡內信息數(shù)據(jù)的集中存儲、全文檢索、態(tài)勢場景、可視化展現(xiàn)功等功能（平臺總體架構如圖1所示）。

由于平臺涉及數(shù)據(jù)的收集工作，需要由目前已部署的安全系統(tǒng)進行數(shù)據(jù)接入，方案如下：

3.1.1 IT 審計系統(tǒng)接入

IT 審計系統(tǒng)負責提供接口，使平臺獲取網絡基礎設備日志、安全設備日志、關系型和非關系型數(shù)據(jù)庫日志、中間件日志、應用系統(tǒng)日志、操作系統(tǒng)日志、采集現(xiàn)有業(yè)務系統(tǒng)日志、終端安全功能日志等相關日志數(shù)據(jù)。

3.1.2 IT 資產一體化系統(tǒng)接入

IT 資產一體化系統(tǒng)負責提供接口，使平臺獲取主機系統(tǒng)、網絡設備、安全設備、數(shù)據(jù)庫、應用中間件、操作系統(tǒng)、歸屬單位等IT資產數(shù)據(jù)信息及IP 地址、MAC 地址、廠商、識別碼、服務號等信息。

3.2 技術架構

平臺以大數(shù)據(jù)分析技術為核心，通過采集網絡內所有關鍵基礎設施數(shù)據(jù)，利用機器學習、數(shù)據(jù)建模、行為識別、關聯(lián)分析等方法，結合豐富的威脅情報，建立快速有效的威脅檢測、分析、處置能力，使得的信息安全可知、可見、可控（邏輯架構如圖2所示）。

3.3 應用架構

平臺通過采集企業(yè)內所有網絡安全數(shù)據(jù)信息，利用機器學習、規(guī)則引擎、場景建模、關聯(lián)分析等方法對企業(yè)內所有安全數(shù)據(jù)進行統(tǒng)一處理分析，實現(xiàn)對網絡攻擊行為、安全威脅事件、脆弱性等網絡安全問題的發(fā)現(xiàn)和告警。平臺提供了對企業(yè)安全信息數(shù)據(jù)的集中存儲、全文檢索、態(tài)勢場景、可視化展現(xiàn)功等能、同時搭載內部威脅情報中心模塊。平臺從應用架構上分為數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)挖掘和業(yè)務應用層組成（平臺應用架構如圖3所示）。

4 結語

隨著大數(shù)據(jù)（BIG DATA）和人工智能技術（AI）的快速發(fā)展，“兩化”（信息化和工業(yè)化）的快速融合背景的推進，智能設備的迅速普及，讓常規(guī)網絡攻擊變得可提前分析及預防。同時，隨著我國電力電網信息化和智能化的逐步推進，作為國家安全的重要基石，電力網絡安全面臨的網絡安全風險亦日益凸顯。內蒙古電網網絡安全態(tài)勢感知平臺的順利建成及投入使用，在我國即將進入“十四五”發(fā)展的重要階段，將進一步保障內蒙古電網的網絡和信息安全。