电力企业信息安全监管平台的研究与应用.docxVIP

?

?

电力企业信息安全监管平台的研究与应用

?

?

马传国贾楠张倩红焦洋鹿一鸣

摘要针对信息安全管理中存在的安全产品多、人工分析困难、安全防护滞后于安全威胁等问题，借鉴当前先进的信息安全管理理念，研究及事件采集、日志分析、告警管理、运维流程、定位取证等功能于一体的电力企业信息安全监管平台，对企业信息安全状况（物理安全、边界安全、应用安全等）进行全局性、局部性的风险评估，对安全信息和安全事件迅速、准确地做出响应、处理和统计，建立起“事前告警、事中响应、事后追查”的信息安全监管体系，实现信息安全的可控、能控、在控。

【关键词】信息安全监管平台电力企业

随着信息化与企业核心业务融合的程度越来越高，信息安全问题日渐凸显。近年来，东营供电公司先后实施了信息内外网强隔离、信息系统等级保护、桌面终端安全管理等一系列信息安全防护措施，建立起了较为完备的信息安全技术屏障。但信息安全管理仍存在许多问题和隐患，主要表现在以下四个方面：

（1）传统意义的安全防护措施各类产品只关注安全的某一方面，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调，安全事件无法迅速响应。

（2）由于安全相关的信息量越来越大，关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。

（3）网络系统和安全系统的日益复杂在不断地增加运行维护的难度、工作量和人力成本，对于位置分散的、数目众多的各类主机、网络设备、安全设备等进行逐一管理耗时耗力。整天忙于“救火”，却不知道先“救”哪一个。

（4）由于新的安全威胁总是出现在安全应对措施之前，完全依赖安全技术的安全防护系统无法真正确保网络的安全和提高企业的安全防护能力。

1系统技术方案

1.1研究目标

建设一个全方位、集中式的电力企业信息安全监管平台，集中采集各类分散安装的主机、网络设备、安全设备的安全信息和事件记录，进行关联性分析、优先级判断和可视化展现，对企业信息安全状况（物理安全、边界安全、应用安全等）进行全局性、局部性的风险评估，对安全策略和配置进行统一协调，对安全信息和安全事件迅速、准确地做出响应、处理和统计。

1.2系统技术要点

（1）基于异构模式的监控信息采集平台。通过Agent、SNMP、WMI、Telnet等多种数据采集方式对各种防火墙、路由器、操作系统等日志进行收集，实现对IT基础架构日志的全面掌控，同时对收集的日志进行标准化和格式化。

（2）构建IT资源运行模型库，智能分析资源运行状态。系统可以根据采集到的数据，生成一个资源运行模型库，并将实时采集的数据与模型库对比，变化超过预订范围即产生报警。

（3）通过对通信包数据的检索、智能分析，准确定位运维问题设备。

（4）通过对运维数据包的中转，控制运维人员对服务器、网络设备等资源的访问，并在访问过程中记录相应的操作，以备日后审计，实现对运维人员操作的控制、监控、审计。

（5）使用Shark工作流引擎，串联运维工作的各项环节，实现IT运维规则联动。

2主要功能

2.1信息安全事件集中采集

（1）信息采集：采集来自不同设备的事件记录（如防火墙、网络设备、操作系统、数据库及其它应用程序等）后，进行日志分析、事件优先重要性分析及可视化呈现，是所有安全信息处理的中枢。

（2）报表服务：基于不同设备类型日志定制实现不同展示方式的报表。特别是合规性的报表。

（3）日志库管理：系统将采集来自不同设备（如防火墙、网络设备、操作系统、数据库及其它应用程序等）的各种格式的事件记录，通过统一的格式转换存储到日志库中。

（4）日志文件下载：FTP日志下载功能，可以方便的从FTP服务器上下载日志文件到系统所在服务器上的指定位置，方便值班人员的查询、浏览、管理重要日志文件。

2.2信息安全事件日志分析

作为通用事件日志存储库分析中心，分析所有企业的事件数据，这些数据进而又用于检测威胁、快速排除故障和简化合规性监控。安全事件日志分析系统可以分析所有企业日志数据，同时提供压缩的、低耗高效和自管理的日志存储库。

2.2.1全网日志的集中分析评估

通过综合日志审计系统实现了对网络中的不同类型安全设备（如防火墙，IDS等）、网络设备（如路由器、交换机）、操作系统（如Windows、Linux）等多种产品及系统的日志数据的分析，支持对不同格式日志的统一的格式转换和分析，省去了管理人员以前的单一、逐类进行日志信息分析的模式。

2.2.2全网业务合规管理

综合日志审计系统具有对网络内的非法攻击、病毒爆发、违规外联等事件进行综合汇总分析，从而了解全网中的安全与业务合规状况。

2.2.3深层次的数据挖掘分析

采用了先进的数据挖掘分析技术，从收集到的大量数据当中进行深层的数据挖掘，该技术