齊四清 劉世民 趙 晶 高 敏

內蒙古東部電力有限公司信息通信分公司，呼和浩特 010020

引言

伴隨國家電網(wǎng)體制改革的深入，網(wǎng)絡相關業(yè)務和應用的飛速發(fā)展，安全風險也迅速增大，防范和化解安全風險成為電力企業(yè)非常關注的問題。本文從電力企業(yè)網(wǎng)絡安全的現(xiàn)狀出發(fā)，應用安全設備聯(lián)動系統(tǒng)模型，解決了電力企業(yè)網(wǎng)絡安全設備獨立、靜態(tài)、單一的防護問題，從而有效地協(xié)調管理各類網(wǎng)絡安全設備。

1 電力企業(yè)網(wǎng)絡安全現(xiàn)狀

隨著全球信息化的迅猛發(fā)展，電力系統(tǒng)必將加強與外部世界的信息交流，以提高生產(chǎn)和管理的效率。然而，網(wǎng)絡開放也增加了網(wǎng)絡受攻擊的可能性。目前，電力企業(yè)網(wǎng)絡安全存在著很多問題，如：技術防御整體水平不高，安全威脅，網(wǎng)絡使用的軟硬件沒有有效的管理和改造等[1]。

目前，電力企業(yè)已應用了各種各樣的網(wǎng)絡安全產(chǎn)品，包括防火墻、入侵檢測系統(tǒng)、病毒防護系統(tǒng)、漏洞掃描系統(tǒng)等，它們在一定程度上保障了網(wǎng)絡環(huán)境的安全性。然而，各安全產(chǎn)品仍然停留在“單兵作戰(zhàn)”的局面，無法滿足現(xiàn)電力企業(yè)網(wǎng)絡安全事件頻發(fā)、安全威脅日益突出的現(xiàn)狀。因此，構造聯(lián)動模型，以一系列安全設備為基礎，有機整合各種安全設備數(shù)據(jù)信息，有效地協(xié)調管理各設備，能夠較好的提高電力企業(yè)的網(wǎng)絡安全。

2 聯(lián)動技術

聯(lián)動技術可以涉及很多其他的安全部件，如報警與審計系統(tǒng)、業(yè)務系統(tǒng)、甚至網(wǎng)絡設備等，只要在某個節(jié)點發(fā)生了安全事件，無論是一個簡單的原始事件，還是一些具有分析能力的系統(tǒng)判斷出來的安全事件，它都可能需要將這個事件通過某種機制傳遞給相關的系統(tǒng)[2]。

聯(lián)動技術的提出體現(xiàn)了網(wǎng)絡安全防御向智能化發(fā)展的趨勢，它有機整合了各種網(wǎng)絡安全技術，部署了全面的網(wǎng)絡安全防御體系，有效提升了網(wǎng)絡性能。通過聯(lián)動使各安全設備做到資源整合，協(xié)同工作，產(chǎn)生“1+1＞2”的合力，避免木桶效應的發(fā)生。

3 安全設備聯(lián)動模型

安全設備聯(lián)動模型框架，是將不同廠家的安全設備數(shù)據(jù)進行整合、歸并與關聯(lián)分析，過濾事件中的誤報、產(chǎn)生確定的安全警報，根據(jù)制定的聯(lián)動策略對設備進行動態(tài)配置，使其產(chǎn)生聯(lián)動響應。聯(lián)動模型框架包括數(shù)據(jù)采集層、事件分析層和決策層三部分[1]，如下圖1所示。

3.1 數(shù)據(jù)采集模塊

數(shù)據(jù)采集主要分為日志數(shù)據(jù)采集，數(shù)據(jù)清理和過濾，數(shù)據(jù)轉換和歸并三層結構。

圖1 網(wǎng)絡安全設備聯(lián)動模型框架

圖2 數(shù)據(jù)預處理的邏輯結構

數(shù)據(jù)采集主要是采集電力企業(yè)網(wǎng)絡中能反映網(wǎng)絡安全態(tài)勢信息的日志，包括防火墻、入侵防御系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)。不同的日志信息采用不同的采集方式。文件型日志的采集主要是讀取日志文件，針對數(shù)據(jù)的結構對其進行拆分，并進行存儲[3]。syslog格式存儲的日志采集主要是通過建立syslog服務器，通過UDP協(xié)議接收514端口上的數(shù)據(jù)，并進行存儲。為保證數(shù)據(jù)的實時性，采集的周期要盡可能短。

數(shù)據(jù)清理主要是通過一定的數(shù)據(jù)清理和過濾算法實現(xiàn)對網(wǎng)絡安全設備日志的清理，去除其中錯誤、重復和不完整的數(shù)據(jù)。數(shù)據(jù)轉換則是通過建立數(shù)據(jù)轉換模型將經(jīng)過清理的各類設備日志進行規(guī)范化處理。數(shù)據(jù)歸并是對轉換完成的日志數(shù)據(jù)提取關鍵屬性，合并同類型關鍵數(shù)據(jù)，得到精練的并能充分描述對象的屬性集合。

日志預處理模塊是通過在各個網(wǎng)絡安全設備上安全日志采集代理完成基本安全事件的采集，然后日志采集代理將各個設備的日志提交到事件管理器進行安全事件的分析與合并，將日志信息歸類上升為安全事件，添加到安全事件數(shù)據(jù)庫。日志數(shù)據(jù)的預處理模塊主要是為網(wǎng)絡安全設備聯(lián)動系統(tǒng)的數(shù)據(jù)訪問提供一個公共的統(tǒng)一接口，使訪問者不必考慮數(shù)據(jù)模型的異構性、數(shù)據(jù)抽取、數(shù)據(jù)合成等問題，只需指定想要的數(shù)據(jù)，而不必關心如何得到。

3.2 事件分析層

事件分析層主要是通過分析分析安全事件數(shù)據(jù)庫中的數(shù)據(jù)，發(fā)現(xiàn)隱藏在這些看似獨立的安全事件背后的邏輯和攻擊信息，也就是發(fā)掘出這些網(wǎng)絡安全事件之間的關聯(lián)[4]。

在安全事件數(shù)據(jù)庫中，安全事件主要是以屬性作為關鍵字進行存儲的。本模型中事件分析層的關聯(lián)算法主要是采用基于攻擊屬性相似性的關聯(lián)方法?；诠魧傩韵嗨菩缘年P聯(lián)方法通過以下幾個步驟對報警進行關聯(lián)：（1）計算安全事件不同屬性之間的相似度；（2）當新的安全事件到來時，與已存在的所有事件線程的相應屬性值進行比較，計算它們之間的相似度；（3）將安全事件與事件線程相似度最大、并超過設定閾值的安全事件融合到事件線程中。若不超過設定的閾值，則生成一個新的事件線程。

事件分析層主要是結合安全事件數(shù)據(jù)庫，對當前出現(xiàn)的安全事件或系統(tǒng)漏洞進行關聯(lián)規(guī)則分析，分析當前時間產(chǎn)生的前提下，可能引發(fā)的其他安全事件，并對關聯(lián)分析產(chǎn)生的安全事件進行預警，并觸發(fā)聯(lián)動模塊，使系統(tǒng)設備和工作人員對即將發(fā)生的安全事件進行警戒狀態(tài)，并進行一定的處理。

3.3 決策層

事件分析層中事件管理器將源事件提交給策略判決點進行策略觸發(fā)，管理控制端通過檢索事件數(shù)據(jù)庫中的事件源和策略庫中事件源對應的相應處理策略完成策略觸發(fā)，并將觸發(fā)策略返回給策略判決點。策略判決點再將安全事件處理策略下發(fā)給各個代理，通過代理執(zhí)行策略的具體內容改變安全設備的相關配置完成安全事件的處理。

從整體上構建基于聯(lián)動策略的網(wǎng)絡安全設備聯(lián)動模型，通過安全事件觸發(fā)的機制自動生成安全策略，通過自動化地將設備配置信息傳送給相關設備達到應用安全策略的目的，實現(xiàn)從整體上協(xié)調一致，主動動態(tài)地保障網(wǎng)絡安全，順應電網(wǎng)智能化的發(fā)展趨勢。

4 結語

本文研究了構建網(wǎng)絡安全設備聯(lián)動系統(tǒng)及其在電力企業(yè)信息安全領域的應用，通過對信息系統(tǒng)原始日志信息進行規(guī)范要求和統(tǒng)一處理，并在大量的日志信息中找到高風險的安全事件，對安全事件進行關聯(lián)分析，獲取全面準確的系統(tǒng)潛在威脅，提供準確的安全風險分析報告和風險控制措施。最后從解決安全事件的角度提出應對安全事件的聯(lián)動策略，為管理員發(fā)出相應的風險告警，有效處理內部違規(guī)操作和外部威脅等一系列網(wǎng)絡安全問題。

[1]周奕辛.數(shù)據(jù)清洗算法的研究與應用[D].青島大學碩士學位論文，2005

[2]林超良,洪志全等.基于XMLBean的XML文檔操作研究與實現(xiàn)[J].信息技術，2007

[3]王嵐，翟正軍.WEB日志挖掘的預處理及路徑補全算法的研究[J].微電子學與計算機，2006

[4]馬瑞民，李向云.WEB日志挖掘中數(shù)據(jù)預處理技術的研究[J].計算機工程與設計，2007

[5]方航鋒，汪海航.日志提取分析系統(tǒng)的設計和實現(xiàn)[J].計算機工程，2004

[6]胡孟梁，耿良.蔡瑞英一種通用綜合日志系統(tǒng)的設計與實現(xiàn)[J].計算機應用與軟件，2008