劉 欣，孫辰軍，王云佳

(1.國網(wǎng)河北省電力公司，石家莊 050021;2.河北農(nóng)業(yè)大學(xué)，河北 保定 071001)

安全風(fēng)險(xiǎn)預(yù)警在實(shí)際生產(chǎn)和管理中是一項(xiàng)常用和成熟的工作方式［1］，其強(qiáng)調(diào)通過檢測和評估生產(chǎn)和管理系統(tǒng)風(fēng)險(xiǎn)水平，對尚未發(fā)生的危機(jī)或危險(xiǎn)狀態(tài)進(jìn)行提前報(bào)警或告警，提高對事件或事故的預(yù)防能力，降低其影響程度，最終實(shí)現(xiàn)事件或事故管理模式的轉(zhuǎn)變，即將“以事故發(fā)生后應(yīng)急為主的管理模式轉(zhuǎn)變?yōu)槭虑拔ｋU(xiǎn)態(tài)監(jiān)控、預(yù)防為主的管理模式”。

1 系統(tǒng)功能框架

國風(fēng)河北省電力公司(簡稱“河北電力”)風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)的工作過程為:利用威脅預(yù)警采集設(shè)備(簡稱“TDA”)實(shí)現(xiàn)威脅的快速檢測;獲取TDA 的威脅檢測結(jié)果，根據(jù)風(fēng)險(xiǎn)評估方法，估算威脅發(fā)生對IT資產(chǎn)的影響程度，得到風(fēng)險(xiǎn)級別，然后依據(jù)設(shè)定的風(fēng)險(xiǎn)級別閾值，形成風(fēng)險(xiǎn)預(yù)警;將風(fēng)險(xiǎn)預(yù)警信息傳遞給服務(wù)臺(tái)，服務(wù)臺(tái)產(chǎn)生處理工單，并將該工單分派給地市安全管理員，督促安全管理員依據(jù)威脅處理的安全事件管理流程處理分派的任務(wù);對于任務(wù)處理結(jié)果，服務(wù)臺(tái)通過2 種方式進(jìn)行確認(rèn)，一種是根據(jù)TDA 再次檢測結(jié)果進(jìn)行比對確認(rèn)，另一種是通過回訪調(diào)查確認(rèn);服務(wù)臺(tái)根據(jù)任務(wù)處理過程和結(jié)果，結(jié)合設(shè)定的績效指標(biāo)，形成各市局的威脅處理績效報(bào)表，供管理層、安全管理員及普通用戶查詢。管理層定期根據(jù)績效報(bào)表，對服務(wù)臺(tái)、各市局以及TDA 的部署使用等提出改進(jìn)指導(dǎo)。

鑒于此，風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)的主要功能模塊包括TDA 與數(shù)據(jù)獲取接口、風(fēng)險(xiǎn)評估子系統(tǒng)、服務(wù)臺(tái)、工單管理子系統(tǒng)、威脅處理管理子系統(tǒng)、績效考核子系統(tǒng)等，功能結(jié)構(gòu)關(guān)系如圖1所示。

圖1 風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)功能框架

TDA 接口從TDA 處實(shí)時(shí)讀取威脅告警數(shù)據(jù)，交付給風(fēng)險(xiǎn)評估子系統(tǒng)，估算威脅對應(yīng)的風(fēng)險(xiǎn)級別，根據(jù)風(fēng)險(xiǎn)級別閾值篩選威脅，形成風(fēng)險(xiǎn)預(yù)警信息。服務(wù)臺(tái)是國網(wǎng)河北省電力公司統(tǒng)一的服務(wù)臺(tái)，通過郵件、短信等自動(dòng)方式或通過人工方式將工單分派給地市安全管理員。

2 系統(tǒng)主要功能設(shè)計(jì)

2.1 基礎(chǔ)信息管理

2.1.1 人員管理

威脅處理需要多方人員的配合，包括終端使用人員、服務(wù)臺(tái)人員、威脅處理人員(通常是地市管理員)和管理層，這些人員在系統(tǒng)中映射為五類用戶，即普通用戶(終端使用人員)、服務(wù)臺(tái)用戶、IT 用戶(實(shí)際是地市安全管理員，即威脅處理人員)、管理層用戶以及系統(tǒng)管理員。

2.1.2 IT 資產(chǎn)和IP 地址管理

IT 資產(chǎn)包括終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，是威脅發(fā)生和檢測的設(shè)備或設(shè)施，通常每個(gè)IT設(shè)備具有相應(yīng)的IP 地址，IP 地址按照河北電力組織結(jié)構(gòu)規(guī)劃和分配，每個(gè)設(shè)備的IP 是固定的，因此，通過IP 地址可以將“威脅、終端、終端用戶、地市、地市安全管理員”關(guān)聯(lián)起來，既便于威脅處理任務(wù)的自動(dòng)分發(fā)，還有助于服務(wù)臺(tái)用戶跟蹤管理威脅處理，并與終端用戶溝通，確認(rèn)終端用戶對威脅處理的滿意程度。

2.1.3 威脅庫

威脅庫的數(shù)據(jù)來源是各市局TDA 檢測到的威脅信息，TDA 能夠檢測惡意軟件、黑客攻擊、信息泄漏、間諜軟件、垃圾軟件、未注冊服務(wù)等6 大類威脅，具體威脅400 多種。

對于每種具體威脅，TDA 能夠檢測到的屬性數(shù)據(jù)包括:威脅編號(hào)、設(shè)備編號(hào)、主機(jī)名、IP 地址、物理MAC 地址、用戶組、日志時(shí)間、威脅具體描述、威脅類型指針、通用威脅告警程度、告警類型。

通過IP 地址可以將地市安全管理員與地區(qū)名稱、主機(jī)名、IP 地址、威脅類型指針、威脅描述、通用告警級別等關(guān)聯(lián)起來。

2.2 信息安全風(fēng)險(xiǎn)評估

目前TDA 產(chǎn)生的通用告警級別是基于威脅發(fā)生對設(shè)備可能造成的直接后果，如權(quán)限提升、DoS、頻繁啟動(dòng)等，但這些現(xiàn)象發(fā)生在普通PC 終端和PC服務(wù)器上，影響程度是顯然不同的，因此，應(yīng)該充分利用風(fēng)險(xiǎn)評估方法，結(jié)合IT 系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)應(yīng)用特點(diǎn)，綜合考慮資產(chǎn)(系統(tǒng)和業(yè)務(wù)應(yīng)用)、威脅、脆弱性三者之間的關(guān)系［2］，估算信息安全風(fēng)險(xiǎn)級別，設(shè)定風(fēng)險(xiǎn)級別閾值，將超出閾值的風(fēng)險(xiǎn)所對應(yīng)的威脅作為預(yù)警對象。

該系統(tǒng)采取文獻(xiàn)［3］中的已有成果作為風(fēng)險(xiǎn)計(jì)算方法:f=ξ1f1(Gn，Gt，Gs)+ξ2f2(f1，Gd)+ξ3f3(f2，Gg)。在實(shí)際應(yīng)用中，對規(guī)模小、業(yè)務(wù)少、威脅影響差別不大的系統(tǒng)，權(quán)重應(yīng)該取接近于1(甚至是1)的值，即直接將威脅檢測結(jié)果作為風(fēng)險(xiǎn)預(yù)警級別;第3 項(xiàng)是為了橫向比較不同地市之間風(fēng)險(xiǎn)預(yù)警級別的細(xì)微差別所設(shè)，其權(quán)重通常相對較小。

2.3 服務(wù)臺(tái)和事件管理流程

由于風(fēng)險(xiǎn)評估過程的復(fù)雜性及風(fēng)險(xiǎn)計(jì)算方法實(shí)時(shí)性的不足［4］，再兼之對威脅和脆弱性等檢測和分析的工具多，數(shù)據(jù)來源復(fù)雜，整合與集成困難，因此，實(shí)踐中通常直接將威脅檢測結(jié)果作為風(fēng)險(xiǎn)預(yù)警事件，很少將風(fēng)險(xiǎn)評估的結(jié)果作為風(fēng)險(xiǎn)預(yù)警事件。由于該文將TDA 作為河北電力統(tǒng)一的威脅事件檢測工具，因此，不僅可以將風(fēng)險(xiǎn)評估結(jié)果作為風(fēng)險(xiǎn)預(yù)警事件，而且還可以將其與基于ITIL 的安全運(yùn)維管理服務(wù)平臺(tái)無縫銜接，提高對安全風(fēng)險(xiǎn)的預(yù)防和處理水平。

對于安全運(yùn)維管理，風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)目前所需的功能是服務(wù)臺(tái)和事件管理，來實(shí)現(xiàn)河北電力范圍內(nèi)的安全威脅統(tǒng)一預(yù)警、統(tǒng)一任務(wù)分派和統(tǒng)一監(jiān)管。

2.3.1 服務(wù)臺(tái)

服務(wù)臺(tái)是河北電力風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)統(tǒng)一的監(jiān)管平臺(tái)，由服務(wù)臺(tái)接受風(fēng)險(xiǎn)評估子系統(tǒng)傳遞過來的優(yōu)先級較高的風(fēng)險(xiǎn)預(yù)警信息，然后將預(yù)警信息通過郵件或短信等自動(dòng)方式分派給各市局安全管理員，對于需要重點(diǎn)指明的風(fēng)險(xiǎn)預(yù)警信息，可通過手工方式分派任務(wù)。無論是自動(dòng)分派還是手工分派，任務(wù)均以工單方式派發(fā)，工單上面說明威脅檢測的時(shí)間、類型、影響的資產(chǎn)、風(fēng)險(xiǎn)預(yù)警級別，以及期望采取措施的時(shí)間、推薦的處理方案等。

服務(wù)臺(tái)將全程跟蹤處理過程，形成處理紀(jì)錄，便于向普通用戶發(fā)布處理狀態(tài)信息，以及對安全管理員進(jìn)行統(tǒng)一績效考核。對于處理結(jié)果，無論自動(dòng)或人工處理，服務(wù)臺(tái)將利用TDA 的再次檢測結(jié)果進(jìn)行自動(dòng)比對，以判斷是否處理完畢，然后通過抽查的方式，對安全事件對應(yīng)的資產(chǎn)屬性進(jìn)行回訪調(diào)查，以確認(rèn)處理結(jié)果。對處理結(jié)果的確認(rèn)是人員績效考核的重要依據(jù)。

2.3.2 安全事件管理流程

每個(gè)工單所代表的處理要求即形成一個(gè)安全事件，該事件由地市安全管理員負(fù)責(zé)處理，可以按照ITIL 事件管理中一線、二線、三線人員的方式執(zhí)行，風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)目前不做過多的要求，只關(guān)注處理狀態(tài)(如，是否及時(shí)、等待時(shí)間等)和處理結(jié)果。

2.4 統(tǒng)一監(jiān)管和績效考核指標(biāo)

對威脅或風(fēng)險(xiǎn)的統(tǒng)一監(jiān)管，需要考慮監(jiān)管的內(nèi)容和展示方式，主要監(jiān)管內(nèi)容包括:整體監(jiān)管指標(biāo)，河北電力IT 系統(tǒng)總體健康狀況、高風(fēng)險(xiǎn)預(yù)警數(shù)量、已處理及待處理工單數(shù)量、所檢測到的風(fēng)險(xiǎn)TOP5排名等;局部監(jiān)管指標(biāo)，已分派工單的處理情況、各市公司威脅的分布和排序情況;各市公司工單完成及時(shí)率、準(zhǔn)確率等績效數(shù)據(jù)。

該系統(tǒng)以河北電力各市公司為展示單元，基于地圖展示河北電力風(fēng)險(xiǎn)預(yù)警及工單處理情況，直觀展示全局安全狀態(tài)及已處理和待處理工單數(shù)量。

3 應(yīng)用效果

基于JAVA 的Eclipse IDE for Java Developers 平臺(tái)，采用MySQL 數(shù)據(jù)庫，開發(fā)出安全風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)，實(shí)現(xiàn)對河北電力的風(fēng)險(xiǎn)預(yù)警管理。3 個(gè)地市部署TDA，試點(diǎn)運(yùn)行風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)中風(fēng)險(xiǎn)預(yù)警系統(tǒng)和運(yùn)維管理系統(tǒng)，風(fēng)險(xiǎn)級別為5 級，4－5 級為產(chǎn)生風(fēng)險(xiǎn)預(yù)警信息，權(quán)重系數(shù)分別取值為0.2、0.8 和0。通過試點(diǎn)運(yùn)行，該系統(tǒng)取得了以下效果。

3.1 優(yōu)化風(fēng)險(xiǎn)預(yù)警級別的準(zhǔn)確程度及對需處理威脅的篩選情況

一周內(nèi)，TDA 直接檢測到的“高?！备婢?06條，通過風(fēng)險(xiǎn)計(jì)算后，得到的風(fēng)險(xiǎn)預(yù)警信息為58 條，現(xiàn)場實(shí)際檢查確認(rèn)表明，剔除的148 條威脅告警發(fā)生在普通終端上，風(fēng)險(xiǎn)影響程度達(dá)不到4 級和5 級，減少非急需處理的威脅任務(wù)72%。當(dāng)然，從純粹威脅技術(shù)角度看，這72%的威脅是需要及時(shí)處理或采取相應(yīng)應(yīng)對措施的，只不過其優(yōu)先級沒有TDA 直接給出的告警程度那樣高。

3.2 統(tǒng)一分派任務(wù)

58 條風(fēng)險(xiǎn)預(yù)警信息均生成工單，并通過嵌入的內(nèi)部郵件系統(tǒng)自動(dòng)分發(fā)給3 個(gè)地市的安全管理員，實(shí)現(xiàn)了威脅處理任務(wù)的統(tǒng)一分派及統(tǒng)一跟蹤管理。

地市公司的風(fēng)險(xiǎn)預(yù)警數(shù)量和工單數(shù)量均在基于地圖的全局視圖上進(jìn)行可視化展示，管理人員和用戶可以一目了然地了解各市公司系統(tǒng)的安全風(fēng)險(xiǎn)情況及處理情況，特別是已分派任務(wù)和未處理情況。

由于有統(tǒng)一的風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)，地市安全管理員的處理及時(shí)率接近100%，遠(yuǎn)超過以往80%的水平。

4 結(jié)束語

風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)將威脅實(shí)時(shí)檢測、信息安全風(fēng)險(xiǎn)評估、服務(wù)臺(tái)和事件管理以及績效考核等整合在一起，形成安全管理閉環(huán)，對現(xiàn)有的安全管理工作起到了較好的推動(dòng)作用，系統(tǒng)建設(shè)后可進(jìn)對威脅和風(fēng)險(xiǎn)管理的實(shí)時(shí)追蹤，安全管理部門從事后審查轉(zhuǎn)換為事前主動(dòng)任務(wù)分發(fā)和跟蹤管理;基于風(fēng)險(xiǎn)計(jì)算的結(jié)果來產(chǎn)生風(fēng)險(xiǎn)預(yù)警信息，減少了非急需處理的威脅任務(wù)數(shù)量;實(shí)現(xiàn)了河北電力威脅和風(fēng)險(xiǎn)管理的統(tǒng)一監(jiān)管和績效考核。

未來將在風(fēng)險(xiǎn)計(jì)算的精確程度以及監(jiān)管內(nèi)容等方面進(jìn)行更深入研究和實(shí)踐，提高風(fēng)險(xiǎn)分析的自動(dòng)化處理能力及風(fēng)險(xiǎn)處理的準(zhǔn)確性和及時(shí)性，力爭建設(shè)一個(gè)高度自動(dòng)化、智能化的風(fēng)險(xiǎn)預(yù)警系統(tǒng)，進(jìn)一步提升河北電力威脅檢測和風(fēng)險(xiǎn)預(yù)警管理工作水平。

［1］羅 云，宮運(yùn)華，宮寶霖，等，安全風(fēng)險(xiǎn)預(yù)警技術(shù)研究［J］.安全，2005(2):26-29.

［2］GB/T 20984－2007，信息安全風(fēng)險(xiǎn)評估規(guī)范［S］.

［3］馬海珍.基于BP 神經(jīng)網(wǎng)絡(luò)的TDA 風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)研究與實(shí)踐［D］.北京:北京大學(xué)，2011.

［4］高志明.基于業(yè)務(wù)流程的信息安全風(fēng)險(xiǎn)度量方法研究［D］.北京:北京交通大學(xué)，2011.