四川電力信息安全集中監測分析平臺研究與應用

，

(國網四川省電力公司電力科學研究院，四川 成都 610072)

0 引 言

隨著國家電網公司信息化的不斷建設和完善，八大業務應用整體全面推廣、拓展深化應用，信息化效能、效率、效益提升作用明顯，信息系統的基礎性、全局性、全員性作用日益增強。電網信息安全已經提到與安全生產同樣高度，信息系統安全成為電力安全的最重要組成部分之一。目前國家電網公司已建成邊界監測系統、桌面終端管理系統等信息安全相關系統，但各系統著重點不同，數據較分散，同時對于內網郵箱弱口令、門戶弱口令、網站漏洞等缺乏實時監控手段，不利于信息安全督查工作，也為信息安全埋下了隱患[1]。

針對上述問題，對適合四川電力的信息安全集中監測分析平臺進行研究應用，該平臺能提取現有系統中與安全相關的數據，并對其進行整合、分析；能對網站漏洞、系統弱口令等進行實時監測；能對數據進行綜合展示分析，全面地分析監測報告，幫助深入掌握系統安全漏洞和信息安全趨勢，督查人員通過報告能及時定位安全風險，第一時間通知運維單位快速整改。

1 集中監測分析平臺總體架構

信息安全集中監測分析平臺包括信息安全相關數據抽取規則管理、信息安全相關數據抽取、安全策略配置和下發、系統口令、掃描分析、漏洞掃描分析、安全事件集中管理、安全事件關聯分析、安全設備狀態實時監控、全景展示等功能模塊[2]。圖1為系統總體架構圖。

系統應用采用滿足技術先進性與成熟性相結合的基于J2EE的多層技術構架，以提高系統的靈活性、可擴展性、安全性以及并發處理能力。采用組件技術將界面控制、業務邏輯和數據映射分離，實現系統內部的松耦合，靈活、快速地響應業務變化對系統的需求。系統層次結構總體上劃分為客戶層、接入表示層、業務邏輯層、數據層(包含數據映射層和數據源)，通過各層次系統組件間服務的承載關系，實現系統功能。系統技術架構如圖2所示。

圖1 系統總體架構圖

表示控制層對應平臺中的控制器，實現畫面與后臺的數據交換、畫面之間的遷移、畫面數據的檢查等功能；業務處理層對應具體的業務，在此層處理業務邏輯，并通過數據庫操作層完成到數據庫的交互；持久控制層對應數據庫操作，所有的數據庫操作都必須且只能集中在該層。控制器依賴于業務處理層，而業務處理層依賴于持久控制層，通過依賴注入功能，可以將這種依賴性通過相關配置進行統一管理，最大限度地降低各層次之間的耦合性[3]。

1.1 現有安全數據整合

現有安全數據整合模塊建立信息安全數據表，提取四川電力現有信息系統中與安全相關的數據，進行跨部門、跨平臺的安全信息的統一收集、分析、處理。在數據抽取、轉換和加載(ETL：Extract，Transact，Load)過程中使用包括直接抽取、文件抽取、WEB抽取等幾種常見形式[4]。對不同應用系統，采用不同抽取方式；甚至對同一應用系統中不同的業務數據，也可以采用不同抽取方式。

直接抽取是指ETL服務器直接連接到應用系統后臺數據庫中直接抽取所需數據的方式，因此必須設置嚴格的權限控制，保證用戶不能訪問和修改系統中的其他敏感信息，以免造成安全問題。且由于會對應用系統數據庫造成大量負荷，因此必須進行抽取時間窗口控制，協調對外服務時間和抽取時間，以減少數據抽取對正常業務運行造成的影響。基于以上考慮，這里對數據敏感度較小、數據及時性要求不高的IDS、IPS入侵數據進行直接抽取。

WEB抽取是通過WEB服務獲取系統需要的數據的抽取方式。通過這種方式可以方便獲取需要的數據，同時可以對這些數據做校驗等操作，是目前一種先進的抽取方式，不便的是在數據量很大時，網絡傳輸速度會很忙，嚴重影響系統性能。對于數據量較小、系統接口實現較困難的考核指標類數據采用WEB抽取完成。

文件交換是指將需要抽取的業務數據保存為有格式的文本文件，ETL服務器通過讀此文件內容來獲取業務數據的數據抽取方式。文件交換對原數據庫系統造成影響較小。采用此方式時，應用系統將需要抽取的數據按照約定格式保存在文件中，并通過FTP、文件共享等方式將保存有業務數據的文件傳遞約定位置。ETL服務器從約定位置取出數據文件，并通過文件分析引擎對文件進行分析，取出業務數據。這里除IDS、IPS、小數據外，主要數據均采用文件交換形式傳輸，且傳輸時約定文件傳輸結束標志，標志內容為已傳輸完畢的數據文件的文件名，以及此文件的MD5驗證碼。ETL服務器獲取傳輸結束標志文件后，認為對應的數據文件已經傳輸完畢。然后再通過對數據文件進行MD5驗證，將驗證碼與傳輸結束標志文件內的MD5驗證碼進行對比來驗證數據文件是否完整。同時約定文件重傳標記，當傳遞到約定交換位置的數據文件在上傳完畢和下傳開始期間發生損壞，導致約定位置的數據文件和應用服務器生成的數據文件不一致。這樣，ETL服務器根據約定位置的數據文件計算出的MD5驗證碼就和傳輸結束標志文件中的MD5碼不一致，從而發現文件不一致的錯誤，發現錯誤后，ETL服務器需要使用文件重傳標志來通知應用系統重新傳輸相應的數據文件。

數據整合分析模塊能幫助安全督查人員在原有系統數據的基礎上增強對比分析，對各個信息系統產生的數據進行監測數量、監測位置、監測范圍以及數據的匹配度和數據類比結果進行分析，得出不同系統對相似對象監控的差異，并按時生成信息安全類比分析報告。

1.2 漏洞實時監測

四川電力地域廣，所屬地市單位、控股、代管單位眾多而分散，而專職信息安全督查執行人員有限，無法及時對各單位的終端、網絡等情況及時進行督查，而且在工作時間進行漏洞掃描會造成系統訪問量增大，影響系統性能。為此，要在集中監測分析平臺上實現實時監測功能，對四川電力范圍內所有對內、對外服務網站漏洞及應用系統弱口令等進行實時監測與提醒。在實現方式上采用實時調度任務完成，分別設計網站掃描調度任務和弱口令掃描調度任務，掃描時由管理員根據系統實際運行情況配置調度任務執行時間、執行周期、掃描對象等信息，系統根據配置信息調度掃描任務進行自動定時(一般設定在夜間)掃描，自動匯總分析結果[5]。

圖3 弱口令監測流程圖

在進行信息系統弱口令掃描時，對可直接獲取口令明文的被測系統，本系統按照系統密碼強度規則分析口令明文，判斷口令的強度，對不符合規則的系統口令進行記錄。對不能直接獲取口令明文的被測系統，本系統按照弱口令字典表、ETL抽取的系統用戶賬號信息，通過模擬系統登錄原理，檢查被測系統用戶弱口令，記錄不符合規則的系統口令，并保留檢測分析過程，將發現不符合規則口令的過程、系統現場情況保存為圖片作為督查證據。弱口令監測流程圖如圖3。

圖4 四川電力全網漏洞圖

圖5 四川電力全網漏洞環比圖

圖6 四川電力當月入侵日志統計

圖7 四川電力各單位告警統計

內、外網網站漏洞自動掃描模塊主要掃描SQL注入、跨站腳本攻擊(XSS)、失效的訪問控制、緩存溢出問題、HTTP響應拆分漏洞、參數篡改、隱式字段處理、目錄遍歷攻擊等由 OWASP(open web application security project，開放式web 應用程序安全項目)所公布的 web 應用安全漏洞，并針對出現的漏洞給出指導性建議。

1.3 全景展示

具有安全數據整合及漏洞實時監測功能的集中監測分析平臺基本完全挖掘出四川電力當前信息系統運行過程中與安全相關的數據，依托對這些海量數據的綜合展示分析，管理者能快速識別當前風險，為信息安全下一步投資提供充分的參考依據。

2 結 論

針對四川電力當前信息安全相關數據較分散，同時對于弱口令、網站漏洞等缺乏實時監控手段問題，不利于信息安全督查工作開展問題，提出建立信息安全集中監測分析平臺，提取現有各系統中與安全相關的數據，并對其進行整合、分析，同時對弱口令、網站漏洞等進行實時監測，最后對海量數據進行綜合展示分析，全面地分析監測報告，幫助深入掌握系統安全漏洞和信息安全趨勢，實現安全技術和管理的結合，同時利用關聯分析可以找出安全事件中各種屬性之間的相關特性，排除無意義的信息，及時對安全問題進行快速定位，提高安全事件的應急響應處理能力。

值得說明的是，如何利用集中監測分析平臺的海量安全事件進行信息安全態勢感知，從總體上動態反映網絡安全狀況，并對網絡安全狀態的發展趨勢進行預測和預警，是安全領域具有挑戰性的問題，也是尚需進一步努力的地方[6]。

[1] 四川省電力公司.四川省電力公司“十二五”信息化規劃[Z].2011.

[2] 沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學，E輯: 信息科學，2007，37(2): 129-150.

[3] 郭紅星.網絡信息安全預警監控系統設計與實現[J].計算機安全，2012(2)：48-50.

[4] 王剛軍，張學松，郭志忠.電力信息安全的監控與分析[J].電網技術，2004，28(9)：50-53.

[5] 趙衍.基于網絡數據挖掘的信息安全監控體系[J].上海管理科學，2010，23(4)：52-55.

[6] 余勇，林為民.基于等級保護的電力信息安全監控系統的設計[J].計算機科學，2012(11)：440-442.