吳紅 唐勇 王勝

摘要：電力信息化安全一直是電網(wǎng)對下屬各單位考核的重要技術(shù)指標(biāo)，隨著電力信息化業(yè)務(wù)范圍、類型及數(shù)量逐步增大，異構(gòu)系統(tǒng)業(yè)務(wù)間數(shù)據(jù)流轉(zhuǎn)、單系統(tǒng)業(yè)務(wù)處理等流程中會暴露出各種漏洞，應(yīng)采取高效的數(shù)據(jù)防護(hù)方法對電力信息化過程進(jìn)行安全加固。圍繞數(shù)據(jù)安全審計，提出了一種動態(tài)的實時防守型信息安全處理方法和模型，重點研究了安全日志分層分類樹型存儲結(jié)構(gòu)的實現(xiàn)方法及審計追蹤實時模塊化處理流程，提升了安全風(fēng)險事件的快速、高效處理能力。研究方法可應(yīng)用在電力信息安全綜合管理平臺中，將審計狀態(tài)從被動優(yōu)化變?yōu)橹鲃臃烙?，大大降低了信息運行的風(fēng)險指數(shù)。

關(guān)鍵詞：信息安全；動態(tài)追蹤；追蹤審計

中圖分類號：TP3文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2020）04-64-4

0引言

面對電力PB級數(shù)據(jù)量處理需求現(xiàn)狀，采用開放式的數(shù)據(jù)共享模式可解決擁堵問題，但同時也帶來了極大的數(shù)據(jù)安全問題，會存在很多共享數(shù)據(jù)在不同業(yè)務(wù)部門間執(zhí)行調(diào)取、查詢和修改等操作，數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)遺失等安全問題出現(xiàn)的幾率將會倍增，給管理系統(tǒng)增加更多的隱患，嚴(yán)重的連鎖效應(yīng)會引出很多不確定性的風(fēng)險。例如，投標(biāo)過程中信息被截獲，信息一旦擴(kuò)散到行業(yè)內(nèi)，很可能導(dǎo)致中標(biāo)廠家的能力與項目所應(yīng)具備的條件完全不符，最終導(dǎo)致電網(wǎng)財產(chǎn)的損失。因此應(yīng)提升數(shù)據(jù)處理過程的安全管控能力，對安全事件進(jìn)行嚴(yán)格追蹤，加強(qiáng)安全把控環(huán)節(jié)[1-2]。

1電力信息安全審計技術(shù)

安全審計過程類似于一個對數(shù)據(jù)安全防護(hù)動作的跟蹤和復(fù)查過程，將信息監(jiān)控設(shè)備所記錄下來的安全事件和數(shù)據(jù)進(jìn)行跟蹤、分析及審查，檢查安全事件中是否有錯誤記錄、記錄不到位或者數(shù)據(jù)被篡改等事件的存在。如果有，可以初步推斷存在安全入侵動作或者安全設(shè)備防護(hù)功能失效等情況。安全審計對于大范圍的安全防護(hù)應(yīng)用顯得更為必要，一則是這種場景下會涉及到更多的保護(hù)數(shù)據(jù)、流程及防護(hù)方法，而不同的安全方式過程銜接不緊密，缺失數(shù)據(jù)的對接保護(hù)功能，較容易引入攻擊風(fēng)險。另外需要監(jiān)控的數(shù)據(jù)較多，安全設(shè)備往往會因為防護(hù)能力不足，讓風(fēng)險趁虛而入，因此審計是必不可少且重要的安全防護(hù)手段之一。

傳統(tǒng)的審計方法大都屬于靜態(tài)的審核與復(fù)核，對已經(jīng)產(chǎn)生的安全事件進(jìn)行統(tǒng)一批量的事后處理，當(dāng)檢查出漏洞時，再進(jìn)行追訴，這種事后檢查的措施雖能夠在一定程度上對電網(wǎng)安全防護(hù)能力有所加固，但在危險與安全并行的情形下，電網(wǎng)也會造成較大的財產(chǎn)損失。因此審計方法應(yīng)轉(zhuǎn)變發(fā)展策略，從靜態(tài)守護(hù)型變?yōu)閯討B(tài)防守型，類似一個跟蹤審計過程，當(dāng)檢測一個安全事件，立即進(jìn)行一次安全審計。這樣一方面能快速定位安全漏洞點，另一方面也能將風(fēng)險限制在最小范圍，不會產(chǎn)生連鎖影響。通過選擇最集約化的安全防護(hù)方法，設(shè)計實時跟蹤審計模型，在無大幅度增加安全成本的前提下，又可加強(qiáng)信息化安全系數(shù)，是動態(tài)審計方法提出的最終目標(biāo)[3]。

2基于數(shù)據(jù)對象化的安全審計

動態(tài)的安全追蹤審計如果采用傳統(tǒng)的執(zhí)行思路無法實現(xiàn)實時性及大范圍的數(shù)據(jù)跟蹤監(jiān)控，被監(jiān)控的數(shù)據(jù)涉及范圍領(lǐng)域太大，突發(fā)事件申報屬于無法預(yù)測的行為，要想快速定位到安全漏洞需要系統(tǒng)花費一定時間，這與實時性是相違背的。因此要想實現(xiàn)快速動態(tài)追蹤，應(yīng)對采集的安全事件進(jìn)行系統(tǒng)管理，首先將事件抽象化分類存儲，再通過審計數(shù)據(jù)分析器進(jìn)行信息比對確認(rèn)，最終定位安全漏洞問題。

追蹤審計主要分為安全事件采集器和追蹤審計分析模塊兩部分。采集器負(fù)責(zé)從安全設(shè)備中收集設(shè)備產(chǎn)生的安全日志，還從交換機(jī)、路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備的流量數(shù)據(jù)中分析可能存在的攻擊事件和敏感信息。采集層是將收集到的數(shù)據(jù)按照指定的篩選要求進(jìn)行篩選后發(fā)送給分析層集中存儲。從以上設(shè)計方案中發(fā)現(xiàn)，事件采集器相比分析模塊更能提升審計整體過程的效率。本文提出的一種基于數(shù)據(jù)對象化思想的概念，就是將所有數(shù)據(jù)及文件按照被監(jiān)控的安全對象進(jìn)行功能劃分，形成不同層級的數(shù)據(jù)框有序放入緩存器中存儲。當(dāng)監(jiān)測到安全事件內(nèi)容不匹配或者超出安全數(shù)值范圍時系統(tǒng)報警，并定義成風(fēng)險事件，經(jīng)過數(shù)據(jù)劃分后，可快速在存儲器中找到對應(yīng)的事件判別策略，展開后續(xù)審計過程[4-5]。數(shù)據(jù)對象化劃分樹形模式如圖1所示。

圖1結(jié)合了計算機(jī)文件管理系統(tǒng)設(shè)置思路，形成分層級的樹形文件存儲模式。文件名及關(guān)鍵節(jié)點劃分以被監(jiān)測的安全領(lǐng)域、設(shè)備及功能為參考依據(jù)設(shè)定。

最上層為根目錄對象，邏輯關(guān)系上實體設(shè)備對應(yīng)的是被監(jiān)控安全設(shè)備，例如，防火墻、交換機(jī)、訪問鑒權(quán)設(shè)備等，每個根目錄包含2個內(nèi)容：一個是目錄名稱，能夠表現(xiàn)主要設(shè)備信息，例如，防火墻定義為FW，交換機(jī)定義為SW；另一個是目錄ID，ID號在系統(tǒng)內(nèi)是唯一的，能夠快速定位到指定目錄中的內(nèi)容。

中間層為中間目錄對象，主要是根據(jù)文件內(nèi)容劃分，可以分成不同層級的目錄結(jié)構(gòu)，形成有效的文件路徑。例如，隸屬于某省調(diào)度中心下的行政交換網(wǎng)中的一套軟交換機(jī)的流量監(jiān)控數(shù)據(jù)文件，那么這個文件前面的定語就形成了一條文件路徑，國網(wǎng)某省調(diào)度中心|省級行政交換網(wǎng)|某市行政交換網(wǎng)|交換機(jī)，形成4層級文件目錄，每個層級都定義一個目錄對象，這條目錄對象由對象ID號、對象屬性和對象路徑（上下文文件指針信息）三部分組成。

最下層為具體安全文件數(shù)據(jù)，這部分?jǐn)?shù)據(jù)包含的內(nèi)容較多，主要分為文件ID號、文件路徑及文件屬性三部分，其中屬性部分因要充分反映文件信息內(nèi)容，內(nèi)容細(xì)分較詳細(xì)，有利于數(shù)據(jù)信息的比對[6]，具體如表1所示。