馬傳國　賈楠　張倩紅　焦洋　鹿一鳴

摘 要 針對信息安全管理中存在的安全產(chǎn)品多、人工分析困難、安全防護滯后于安全威脅等問題，借鑒當前先進的信息安全管理理念，研究及事件采集、日志分析、告警管理、運維流程、定位取證等功能于一體的電力企業(yè)信息安全監(jiān)管平臺，對企業(yè)信息安全狀況（物理安全、邊界安全、應用安全等）進行全局性、局部性的風險評估，對安全信息和安全事件迅速、準確地做出響應、處理和統(tǒng)計，建立起“事前告警、事中響應、事后追查”的信息安全監(jiān)管體系，實現(xiàn)信息安全的可控、能控、在控。

【關鍵詞】信息安全 監(jiān)管平臺 電力企業(yè)

隨著信息化與企業(yè)核心業(yè)務融合的程度越來越高，信息安全問題日漸凸顯。近年來，東營供電公司先后實施了信息內(nèi)外網(wǎng)強隔離、信息系統(tǒng)等級保護、桌面終端安全管理等一系列信息安全防護措施，建立起了較為完備的信息安全技術屏障。但信息安全管理仍存在許多問題和隱患，主要表現(xiàn)在以下四個方面：

（1）傳統(tǒng)意義的安全防護措施各類產(chǎn)品只關注安全的某一方面，這些分散獨立的安全事件信息難以形成全局的風險觀點，導致了安全策略和配置難于統(tǒng)一協(xié)調(diào)，安全事件無法迅速響應。

（2）由于安全相關的信息量越來越大，關鍵的安全信息和告警事件常常被低價值或無價值的告警信息所淹沒，一些全局性的、影響重大的問題很難被分析和提煉出來。

（3）網(wǎng)絡系統(tǒng)和安全系統(tǒng)的日益復雜在不斷地增加運行維護的難度、工作量和人力成本，對于位置分散的、數(shù)目眾多的各類主機、網(wǎng)絡設備、安全設備等進行逐一管理耗時耗力。整天忙于“救火”，卻不知道先“救”哪一個。

（4）由于新的安全威脅總是出現(xiàn)在安全應對措施之前，完全依賴安全技術的安全防護系統(tǒng)無法真正確保網(wǎng)絡的安全和提高企業(yè)的安全防護能力。

1 系統(tǒng)技術方案

1.1 研究目標

建設一個全方位、集中式的電力企業(yè)信息安全監(jiān)管平臺，集中采集各類分散安裝的主機、網(wǎng)絡設備、安全設備的安全信息和事件記錄，進行關聯(lián)性分析、優(yōu)先級判斷和可視化展現(xiàn)，對企業(yè)信息安全狀況（物理安全、邊界安全、應用安全等）進行全局性、局部性的風險評估，對安全策略和配置進行統(tǒng)一協(xié)調(diào)，對安全信息和安全事件迅速、準確地做出響應、處理和統(tǒng)計。

1.2 系統(tǒng)技術要點

（1）基于異構模式的監(jiān)控信息采集平臺。通過Agent、SNMP、WMI、Telnet等多種數(shù)據(jù)采集方式對各種防火墻、路由器、操作系統(tǒng)等日志進行收集，實現(xiàn)對IT基礎架構日志的全面掌控，同時對收集的日志進行標準化和格式化。

（2）構建IT資源運行模型庫，智能分析資源運行狀態(tài)。系統(tǒng)可以根據(jù)采集到的數(shù)據(jù)，生成一個資源運行模型庫，并將實時采集的數(shù)據(jù)與模型庫對比，變化超過預訂范圍即產(chǎn)生報警。

（3）通過對通信包數(shù)據(jù)的檢索、智能分析，準確定位運維問題設備。

（4）通過對運維數(shù)據(jù)包的中轉，控制運維人員對服務器、網(wǎng)絡設備等資源的訪問，并在訪問過程中記錄相應的操作，以備日后審計，實現(xiàn)對運維人員操作的控制、監(jiān)控、審計。

（5）使用Shark工作流引擎，串聯(lián)運維工作的各項環(huán)節(jié)，實現(xiàn)IT運維規(guī)則聯(lián)動。

2 主要功能

2.1 信息安全事件集中采集

（1）信息采集：采集來自不同設備的事件記錄（如防火墻、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫及其它應用程序等）后，進行日志分析、事件優(yōu)先重要性分析及可視化呈現(xiàn)，是所有安全信息處理的中樞。

（2）報表服務：基于不同設備類型日志定制實現(xiàn)不同展示方式的報表。特別是合規(guī)性的報表。

（3）日志庫管理：系統(tǒng)將采集來自不同設備（如防火墻、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫及其它應用程序等）的各種格式的事件記錄，通過統(tǒng)一的格式轉換存儲到日志庫中。

（4）日志文件下載：FTP日志下載功能，可以方便的從FTP服務器上下載日志文件到系統(tǒng)所在服務器上的指定位置，方便值班人員的查詢、瀏覽、管理重要日志文件。

2.2 信息安全事件日志分析

作為通用事件日志存儲庫分析中心，分析所有企業(yè)的事件數(shù)據(jù)，這些數(shù)據(jù)進而又用于檢測威脅、快速排除故障和簡化合規(guī)性監(jiān)控。安全事件日志分析系統(tǒng)可以分析所有企業(yè)日志數(shù)據(jù)，同時提供壓縮的、低耗高效和自管理的日志存儲庫。

2.2.1 全網(wǎng)日志的集中分析評估

通過綜合日志審計系統(tǒng)實現(xiàn)了對網(wǎng)絡中的不同類型安全設備（如防火墻，IDS等）、網(wǎng)絡設備（如路由器、交換機）、操作系統(tǒng)（如Windows、 Linux）等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的分析，支持對不同格式日志的統(tǒng)一的格式轉換和分析，省去了管理人員以前的單一、逐類進行日志信息分析的模式。

2.2.2 全網(wǎng)業(yè)務合規(guī)管理

綜合日志審計系統(tǒng)具有對網(wǎng)絡內(nèi)的非法攻擊、病毒爆發(fā)、違規(guī)外聯(lián)等事件進行綜合匯總分析，從而了解全網(wǎng)中的安全與業(yè)務合規(guī)狀況。

2.2.3 深層次的數(shù)據(jù)挖掘分析

采用了先進的數(shù)據(jù)挖掘分析技術，從收集到的大量數(shù)據(jù)當中進行深層的數(shù)據(jù)挖掘，該技術融合了數(shù)據(jù)庫、人工智能、統(tǒng)計學等多個領域的理論和技術，從而提取出一些隱含的、潛在的有用信息來為決策系統(tǒng)服務。

2.2.4 報表定制和發(fā)送功能

為用戶提供自定義報表功能，客戶可通過簡單靈活的定制方法定義日報、周報或者月報，報表內(nèi)容包括狀態(tài)統(tǒng)計報表等，展示形式包括餅圖、柱狀圖等，不同類型的報表可以定制不同的統(tǒng)計方法，以郵件的形式按照設置的制表時間自動發(fā)送給定義的報表接收人。

2.2.5 存檔和報告事件

日志分析系統(tǒng)能從分布式的Windows和UNIX主機，路由器，交換機收集事件日志或系統(tǒng)日志。日志將被自動存檔，并立即生成報表以顯示網(wǎng)絡重要的系統(tǒng)信息，直觀地呈現(xiàn)主機的重要事件和所有事件相關的進程等信息。endprint

2.3 信息安全事件報警

本系統(tǒng)提供圖形化報警提醒界面，如果某個特定的區(qū)域發(fā)現(xiàn)符合報警條件的情況，則產(chǎn)生告警。并且將報警信息相應的圖形顯示為紅色擴散狀的小球，以提示管理人員問題點所在，管理人員可通過網(wǎng)絡平面圖直觀查看網(wǎng)絡運行情況。當點擊相應的紅色小球，則顯示具體的報警信息，同時可以進入詳細頁面查看原始日志和標準化后的報警日志。

2.4 運維流程管理

將傳統(tǒng)工作模式中的工作流程固化到系統(tǒng)中，通過電子化的審批模式，將運維工作進行規(guī)范和優(yōu)化、達到工作量化、電子自動化、流程可控、辦事透明、降低成本的效果、幫助企業(yè)實現(xiàn)高效管理。

2.5 信息安全事件定位取證系統(tǒng)

從安全信息的來源入手，對各種安全信息進行集中分析，從而有效地發(fā)現(xiàn)安全問題，包括攻擊、故障和安全事件，并通過事件和攻擊痕跡，向管理者闡明當前IT環(huán)境的安全狀況；同時安全信息監(jiān)管還包括對安全信息原始數(shù)據(jù)的保存，為今后的取證準備了必要條件。

3 應用效果

系統(tǒng)運行以來取得了良好效果，公司信息安全管理水平穩(wěn)步提升，信息安全局面保持良好，取得了明顯的成效。

3.1 構建起了完備的信息安全監(jiān)管防護體系

系統(tǒng)集運維、監(jiān)測、告警、分析、聯(lián)動等功能集成于一體，構建了一種全過程、全方位的信息安全監(jiān)管新模式，輔以策略聯(lián)動、知識庫管以及相關的配套措施，建立起了“事前告警、事中響應、事后追查”的信息安全監(jiān)管體系，降低了信息安全的風險，避免了由于信息安全事故給企業(yè)造成的損失。

3.2 嚴密的審計回放功能確保操作“可控、在控、能控”

針對系統(tǒng)關注的設備操作進行監(jiān)控、記錄回放，讓所有運行的設備操作正確、規(guī)范。

3.3 嚴格的操作監(jiān)視控制功能有效防止“誤操作、非法操作”

系統(tǒng)通過對不同用戶化分權限設置和管理，并監(jiān)控用戶的所有操作，防止合法用戶的的誤操作，非法用戶的惡意操作。

3.4 解決了一直以來網(wǎng)管工作的被動局面

量變引起質(zhì)變，要想改變信息安全工作從被動的問題處理模式到主動的預防問題的發(fā)生，就必須從問題的“量變”開始預防，該平臺的實施，建立起了完善的預警策略，避免信息安全問題“質(zhì)變”的發(fā)生。

3.5 優(yōu)化固化管理流程，實現(xiàn)信息安全管理提升

通過科技流程實現(xiàn)了設備的全生命周期管理，將事件、問題、變更過程有序的管理起來，建立可視化的工作管理平臺，實現(xiàn)了對管理流程的梳理與再造。崗位工作人員嚴格按照自己的權限和角色，通過網(wǎng)上審批的剛性執(zhí)行，實現(xiàn)“行為約束”和“制度落地”。制度直接落實到流程節(jié)點，規(guī)范了各級人員行為管理，大大提高了管理的規(guī)范性和可控性，實現(xiàn)了優(yōu)化固化流程的工作目標，進一步提升信息安全管理。

4 結語

信息安全監(jiān)管平臺的研制是當前電力企業(yè)信息安全管理工作的需要，該系統(tǒng)支持多源安全事件關聯(lián)，采用先進的事件管理模型，達到了國內(nèi)領先的技術水平，為信息系統(tǒng)的監(jiān)控、安全事件的分析以及有針對性地采取相應防護措施提供了有力幫助。系統(tǒng)設計理念先進，采用分層分布式體系設計，具有高度的開放性和可擴展性；支持多源安全事件關聯(lián)；采用可視化、集中控制的安全監(jiān)控。該系統(tǒng)在增強網(wǎng)絡統(tǒng)一管理和安全管理的同時，實現(xiàn)了信息安全管理工作自動化，提高了安全設備的投資回報率，降低管理成本，提高了工作效率，具有顯著的經(jīng)濟效益和很高的推廣價值。

參考文獻

[1]王曉峻，來曉陽.構建基于虛擬計算的安全管控平臺[J].電信技術，2010，6，74-76.

[2]孫建慶.信息系統(tǒng)運維綜合監(jiān)管平臺設計[J].電力信息化，2009.7（3）.

作者簡介

馬傳國（1982-），男，回族，山東省青州市人。大學本科學歷?，F(xiàn)為國網(wǎng)東營供電公司工程師。研究方向為網(wǎng)絡與信息安全。

作者單位

國網(wǎng)東營供電公司 山東省東營市 257091endprint