王皓然 嚴彬元 班秋成

摘? 要：在信息時代，電力企業(yè)通過構建信息管理系統(tǒng)，在提高業(yè)務辦理效率和客戶服務質量等方面發(fā)揮了顯著作用，但是與此同時系統(tǒng)安全漏洞、隱私數(shù)據(jù)泄露等不良事件的發(fā)生率也相應的上升。對于電力企業(yè)來說，在享受信息技術帶來便利的同時，還必須高度重視安全管理。文章介紹了一種安全事件集中管理系統(tǒng)，重點從系統(tǒng)功能模塊的設計，事件采集、處理與相應等運行流程等方面，對系統(tǒng)的開發(fā)與應用展開了簡要分析。

關鍵詞：電力企業(yè);安全事件;集中管理系統(tǒng);運行環(huán)境

中圖分類號：TM73 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）36-0173-02

Abstract： In the information age， electric power enterprises have played a significant role in improving business processing efficiency and customer service quality by building information management systems， but at the same time， the incidence of adverse events such as system security vulnerabilities and privacy data disclosure has also increased accordingly. For electric power enterprises， while enjoying the convenience brought by information technology， they must also attach great importance to safety management. This paper introduces a centralized security incident management system， and briefly analyzes the development and application of the system from the aspects of the design of the system function module， event collection， processing and corresponding operation flow.

Keywords： electric power enterprise; security event; centralized management system; operating environment

引言

企業(yè)運營中遭遇的各類網絡安全問題，具有突發(fā)性強、危害性高等特點，為了從源頭上杜絕安全事件引發(fā)的各類損失，要求電力企業(yè)必須要創(chuàng)新安全管理技術，構建安全事件集中管理系統(tǒng)。通過動態(tài)監(jiān)測、即時響應，實現(xiàn)對非法訪問、惡意入侵的實時告警，以便于安全管理人員迅速做出處理，保證電力企業(yè)網絡系統(tǒng)的安全。目前，安全事件集中管理系統(tǒng)已經在電力以及其他行業(yè)的企業(yè)中得到了推廣使用，效果良好。

1 電力企業(yè)安全事件集中管理系統(tǒng)的設計

1.1 關聯(lián)分析模塊

現(xiàn)階段電力企業(yè)基本上已經建立起了信息安全管理系統(tǒng)，但是在實際運用中，也經常會出現(xiàn)安全檢測結果延時問題嚴重，或是誤報問題。分析其原因，可能與檢測范圍設計不明確、部署方式存在局限性、檢測系統(tǒng)更新不及時等因素有關。因此，在進行安全事件集中管理系統(tǒng)的設計時，也需要針對這些問題，進行針對性的改進和優(yōu)化。其中，關聯(lián)分析技術在解決上述問題中發(fā)揮了較為明顯的作用。利用關聯(lián)分析引擎，除了能夠進行安全漏洞掃描、安全狀態(tài)評估外，還可以利用專家分析系統(tǒng)，對預警預告進行分析。經過二次確認后，再發(fā)出告警，這樣就大幅度降低了誤報的問題。

1.2 系統(tǒng)輸入模塊

從具體內容上來看，系統(tǒng)輸入主要分為當前動態(tài)發(fā)生的事件信息，以及周期性發(fā)生的事件信息。對于前者，安全事件集中管理系統(tǒng)可以借助于防火墻、殺毒軟件等，實現(xiàn)對狀態(tài)信息的實施監(jiān)測。一旦監(jiān)測到系統(tǒng)存在漏洞，或是有非法訪問，則發(fā)出告警，或是啟動防護系統(tǒng)用于問題修復。對于后者，則需要定期進行軟件的升級、網絡的維護，從而降低此類安全風險的發(fā)生。

1.3 規(guī)則集合模塊

由于電力企業(yè)的管理系統(tǒng)每時每刻都在進行大量的數(shù)據(jù)傳輸，不可避免會產生海量的系統(tǒng)訪問信息。其中不乏一些非法訪問，或是隱藏在文件中的病毒。規(guī)則集合是多種判斷條件、分析規(guī)則的集合，是基于以往電力企業(yè)各類安全事件整合后形成的。安全事件集中管理系統(tǒng)只需要將各類輸入信息，與規(guī)則集合進行對比，就可以準確、快速的判斷出該信息是否存在安全隱患，從而做到了對安全漏洞、非法訪問的早發(fā)現(xiàn)、早處理。另外隨著安全事件集中管理系統(tǒng)運行時間的延長，規(guī)則集合中儲存的判斷條件也會不斷的豐富，其實用價值也會相應的提升。

2 電力企業(yè)安全事件集中管理系統(tǒng)的實現(xiàn)

2.1 系統(tǒng)基本組成

按照運行流程，安全事件集中管理系統(tǒng)主要分為事件采集、處理、響應三個部分，如圖1所示。該系統(tǒng)利用前端的監(jiān)測元件，可以對狀態(tài)信息、安全事件進行動態(tài)收集，然后利用內置無線網絡將信息同步到主機中。主機對這些信息做出相應的處理，包括進行安全風險識別、不良事件報告等，然后根據(jù)判斷結果，發(fā)出相應的調控指令，最后系統(tǒng)做出響應，實現(xiàn)綜合告警，完成安全事件的處理。

2.2 事件信息采集

采集系統(tǒng)運行中產生的各類信息，是安全事件集中管理系統(tǒng)的首要任務。在事件信息采集中，應滿足時效性和全面性兩個基本要求，這樣才能保證采集到的事件信息具有參考價值?？紤]到不同設備的信息格式存在差異，為了提高事件信息的采集效率和減輕分析壓力，需要采用適配器的方式實現(xiàn)對異構系統(tǒng)的連接，適配器支持SNMP TRAP、Syslog等開放的協(xié)議或專有協(xié)議，對于不能自動輸出事件信息的事件源，可通過部署代理程序（agent）直接采集。

另外，還要注意采集到的事件信息，可能存在重復問題，如果不加以處理無形中增加了系統(tǒng)運行負擔?？梢栽O置篩選程序，由關聯(lián)分析引擎對同一時間段內采集到的各類事件信息進行對比，自動對重復的事件信息進行篩選。完成初步篩選后，將事件按照一定的標準進行分類，例如非法訪問歸為一類、系統(tǒng)安全漏洞歸為另一類，為下一步的事件處理創(chuàng)造良好條件。

2.3 事件分析與處理

2.3.1 規(guī)則自定義

根據(jù)以往的管理經驗，安全事件可能是針對某個文件、某個系統(tǒng)的一個具體的攻擊行為，也有可能是一個復雜的網絡破壞過程。尤其是一些黑客，還會通過隱藏身份，變換IP地址等方式，讓攻擊手段變得更加隱蔽。為了進一步提高對這些安全事件的識別精度、追蹤能力，需要采取規(guī)則自定義技術，對各類攻擊行為進行標記，在準確識別后作出告警。目前的安全產品針對這些攻擊行為基本能檢測到并可生成告警，告警信息中一般包含事件類型、安全等級、告警來源、事件名稱、源口、目的IP、源端口、目的端口、發(fā)生時間、結束時間等。

2.3.2 知識庫

知識庫是用于存儲安全評估標準、風險識別指標、告警信息與處理記錄的數(shù)據(jù)庫。在安全事件集中管理系統(tǒng)中，只有保證知識庫內存儲的各類標準、規(guī)則、指標足夠豐富，才能支持整個系統(tǒng)的高效運行。知識庫中各類規(guī)則的添加、刪除、修改等，可以支持手動調整，從而更加符合電力企業(yè)的實際需求。

2.3.3 關聯(lián)分析引擎

關聯(lián)分析引擎可通過程序開發(fā)實現(xiàn)，也可采用目前比較成熟的規(guī)則引擎。規(guī)則引擎是一個基于規(guī)則的專家系統(tǒng)，內部一般采用Rete/Rete2算法。安全事件中的每個元素（字段）都可作為參數(shù)輸入，不同安全事件元素之間的關系構成規(guī)則，規(guī)則引擎引用規(guī)則對進入的安全事件進行不斷重復的匹配，當條件滿足時觸發(fā)相應的動作。隨著安全事件集中管理系統(tǒng)運行時間的延長，系統(tǒng)會基于以往的分析和處理經驗，不斷的進行自我優(yōu)化，從而對安全事件的判斷能力得到進一步的增強。

2.4 事件響應處理

2.4.1 即時告警

根據(jù)關聯(lián)分析結果，如果識別出安全風險，則系統(tǒng)自動進行告警，并且提供分析記錄，以便于管理人員參考，進而作出更加精準的安全事件管理。安全事件集中管理系統(tǒng)與普通的安全防護系統(tǒng)的區(qū)別在于，它能夠對系統(tǒng)中產生的告警信息進行匯總，然后統(tǒng)一反饋給終端主機。這樣就可以實現(xiàn)集中告警、集中處理，既可以減輕關聯(lián)引擎頻繁響應而導致的系統(tǒng)運行負荷增加問題，同時又能夠最大程度上提高安全事件的響應速度、處理效率。

2.4.2 應急處理

在即時告警的基礎上，安全事件集中管理系統(tǒng)還能夠對已經識別出的各類安全事件，進行綜合分析、全面評估，并基于以往的處理經驗，生成一份針對性較強的應急處理方案。系統(tǒng)管理人員可以參照該方案，盡快完成系統(tǒng)維護和故障排查，保證電力企業(yè)的網絡系統(tǒng)始終處于安全運行狀態(tài)。

3 電力企業(yè)安全事件集中管理系統(tǒng)的應用

3.1 運行環(huán)境

為避免當某些安全事件發(fā)生時多個檢測系統(tǒng)同時向管理系統(tǒng)發(fā)送大量的告警信息，占用大量的網絡帶寬，影響業(yè)務系統(tǒng)的正常運行，可在業(yè)務系統(tǒng)運行的網絡之外建立帶外的管理網絡（網段），各個檢測設備將網絡管理端口直接接入管理網絡（網段），或終端接口直接接入數(shù)據(jù)采集處理主機。在縱向的廣域網上采用服務質量（QoS）機制和虛擬專用網（VPN）技術，建立縱向的上下級調度單位之間的連接。

3.2 部署方式

按照功能進行劃分，可以將安全事件集中管理系統(tǒng)分成兩個子系統(tǒng)，其一是數(shù)據(jù)處理子系統(tǒng)，主要負責事件相關的數(shù)據(jù)采集、分析等工作;其二是集中管理子系統(tǒng)，主要負責參考分析結果，作出相應的管理決策，并在事件完成處理后，將歷史記錄保留下來?？紤]到電力企業(yè)的系統(tǒng)結構組成復雜，為了提高安全事件的響應速度，在系統(tǒng)整體部署上采用了分布式部署，將兩個子系統(tǒng)分別用專門的計算機管理，然后再連接到終端主機上，保證了電力企業(yè)安全事件集中管理系統(tǒng)的穩(wěn)定運行。

4 結束語

安全事件分析與管理是電力企業(yè)在信息時代，保障自身信息安全、實現(xiàn)穩(wěn)定發(fā)展的重要舉措。通過構建安全事件集中管理系統(tǒng)，與現(xiàn)行的安全防護系統(tǒng)形成相互補充，形成了更加完善的網絡安全管理體系。該系統(tǒng)能夠從安全事件信息采集、綜合分析和及時響應方面，幫助安全管理人員做好電力企業(yè)網絡系統(tǒng)運維工作，為電力企業(yè)的運營與發(fā)展創(chuàng)設了安全的網絡環(huán)境。

參考文獻：

[1]李晨.行為安全管理在煤礦安全管理與評價系統(tǒng)中的應用[J].科學與財富，2019（18）：120-121.

[2]戴小新.基于WMI的Windows客戶端安全控制管理系統(tǒng)設計和應用[J].電腦知識與技術，2015（17）：21-23.

[3]朱俊濤，張輝，張帆，等.基于構件的礦井通風安全管理系統(tǒng)的開發(fā)研究[J].科學與信息化，2019（16）：162-164.