電網(wǎng)信息安全情報(bào)集中管控平臺(tái)研究與建設(shè)

◆肖 鵬蘇永東張 睿宋 春

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

電網(wǎng)信息安全情報(bào)集中管控平臺(tái)研究與建設(shè)

◆肖 鵬1蘇永東1張 睿2宋 春2

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217; 2.云南云電同方科技有限公司 云南 650217）

隨著信息安全漏洞日益增多，大量電力企業(yè)均采購(gòu)了信息安全漏洞掃描系統(tǒng)，以支持信息安全防護(hù)工作。本文在對(duì)國(guó)內(nèi)某電力企業(yè)在信息安全漏洞管理調(diào)研的基礎(chǔ)上，識(shí)別出現(xiàn)大型電力企業(yè)在漏洞管理和威脅情報(bào)利用方面面臨的困境，有針對(duì)性的設(shè)計(jì)并開發(fā)了電網(wǎng)信息安全情報(bào)集中管控平臺(tái),實(shí)現(xiàn)對(duì)任意安全情報(bào)的統(tǒng)一收集、自動(dòng)化應(yīng)用與閉環(huán)管控，并針對(duì)平臺(tái)后續(xù)深入應(yīng)用給出了研究方向。

統(tǒng)一信息存儲(chǔ)檢索; 信息安全漏洞; 微服務(wù); 電網(wǎng)企業(yè); 威脅情報(bào)

0 引言

隨著新型漏洞和攻擊的不斷增長(zhǎng)，信息安全面臨嚴(yán)峻挑戰(zhàn)。在信息安全工作中，大量單位還在采用郵件、短信、通知等方式對(duì)下屬分子公司進(jìn)行漏洞和威脅情報(bào)通報(bào)。但從近兩年信息安全形勢(shì)來看，各種漏洞頻發(fā)，通報(bào)各單位響應(yīng)時(shí)間周期較長(zhǎng)，然而黑客利用漏洞的技術(shù)越來越成熟，時(shí)間短攻擊快，利用通報(bào)過程中的時(shí)間窗口進(jìn)行快速攻擊，可造成電網(wǎng)不可估量的損失。并且分子公司由于技術(shù)力量薄弱等原因，不能及時(shí)、準(zhǔn)確地對(duì)漏洞進(jìn)行分析、驗(yàn)證和管理，導(dǎo)致黑客可以利用漏洞進(jìn)行攻擊等。這對(duì)于電網(wǎng)企業(yè)的信息系統(tǒng)安全防護(hù)是一個(gè)極大的安全隱患。

對(duì)此，開展信息安全漏洞集中管控平臺(tái)研究與建設(shè)，能夠有效提升漏洞獲取效率、快速進(jìn)行評(píng)估分級(jí)并處理、獲取威脅情報(bào)提前防護(hù)，對(duì)于電網(wǎng)企業(yè)信息安全防護(hù)水平的提升具有重要意義

1 國(guó)內(nèi)外研究現(xiàn)狀

國(guó)外發(fā)達(dá)國(guó)家高度重視信息安全漏洞的管理及控制工作，早在20世紀(jì)70年代就開展了針對(duì)漏洞的相關(guān)研究。隨著參與研究的組織越來越多，漏洞數(shù)據(jù)庫(kù)也逐步建立，如知名的CVE漏洞庫(kù)、NVD漏洞庫(kù)、US-CERT漏洞庫(kù)等。隨著互聯(lián)網(wǎng)的發(fā)展和漏洞數(shù)量的快速增長(zhǎng)，我國(guó)也建立了一定數(shù)量的漏洞庫(kù)，包括國(guó)家漏洞庫(kù)和各信息安全企業(yè)自行建立的漏洞庫(kù)。由于漏洞庫(kù)的管理機(jī)構(gòu)不同，對(duì)漏洞的分類、屬性說明、級(jí)別說明、命名等均沒有統(tǒng)一規(guī)范，電網(wǎng)企業(yè)在面對(duì)海量的漏洞信息和龐大的信息系統(tǒng)時(shí)，缺少有效的漏洞管控手段。

近年來，隨著威脅情報(bào)理念及應(yīng)用的發(fā)展，企業(yè)不單需要跟蹤修復(fù)漏洞，還需要了解相關(guān)的攻擊手法、攻擊者信息等情報(bào)以進(jìn)行全面防護(hù)。威脅情報(bào)的描述不但包含漏洞信息，而且比漏洞信息的內(nèi)容更加豐富和靈活。如何有效的對(duì)信息安全情報(bào)進(jìn)行統(tǒng)一收集、跟蹤與管理，對(duì)于信息系統(tǒng)規(guī)模較大和對(duì)信息安全更為敏感的電網(wǎng)企業(yè)來說，是一項(xiàng)巨大的挑戰(zhàn)。

2 電網(wǎng)信息安全情報(bào)集中管控平臺(tái)研究

2.1 平臺(tái)總體架構(gòu)設(shè)計(jì)

電網(wǎng)信息安全情報(bào)集中管控平臺(tái)的主要功能在于自動(dòng)化的采集主要漏洞庫(kù)和威脅情報(bào)發(fā)布機(jī)構(gòu)的歷史與更新信息，利用情報(bào)中的信息結(jié)合內(nèi)網(wǎng)資產(chǎn)情況，形成活躍/高危漏洞庫(kù)，并通過一系列的流程實(shí)現(xiàn)高危漏洞的發(fā)布、通報(bào)、預(yù)警、整改及復(fù)核的威脅全生命周期管理[1]。

2.1.1 技術(shù)架構(gòu)體系設(shè)計(jì)

考慮到信息安全情報(bào)的內(nèi)容格式仍然在不斷演化，發(fā)布機(jī)構(gòu)的增加、影響IT設(shè)備種類也不斷增加。這種功能、性能快速變化的應(yīng)用場(chǎng)景難以通過傳統(tǒng)的IT架構(gòu)實(shí)現(xiàn)快速上線與快速擴(kuò)展。

通過應(yīng)用微服務(wù)架構(gòu)，系統(tǒng)中的各個(gè)微服務(wù)可被獨(dú)立部署，各個(gè)微服務(wù)之間是松耦合的。服務(wù)之間互相協(xié)調(diào)、互相配合，為用戶提供最終價(jià)值。每個(gè)服務(wù)運(yùn)行在其獨(dú)立的進(jìn)程中，服務(wù)與服務(wù)間采用輕量級(jí)的通信機(jī)制互相溝通（通常是基于HTTP協(xié)議的RESTful API）。每個(gè)服務(wù)都圍繞著具體業(yè)務(wù)進(jìn)行構(gòu)建，并且能夠被獨(dú)立的部署到生產(chǎn)環(huán)境、類生產(chǎn)環(huán)境等。每個(gè)微服務(wù)僅關(guān)注于完成一件任務(wù)并很好地完成該任務(wù)。在所有情況下，每個(gè)任務(wù)代表著一個(gè)小的業(yè)務(wù)能力。

圖1 傳統(tǒng)IT架構(gòu)與微服務(wù)架構(gòu)對(duì)比圖

在電網(wǎng)信息安全漏洞集中管控平臺(tái)的建設(shè)中，應(yīng)用微服務(wù)架構(gòu)一方面能夠?qū)⒃泄δ塥?dú)立形成微服務(wù)，避免展現(xiàn)、業(yè)務(wù)和數(shù)據(jù)存取的深度關(guān)聯(lián)，開發(fā)人員通過統(tǒng)一的接口各自完成相關(guān)邏輯的開發(fā)，也實(shí)現(xiàn)了開發(fā)團(tuán)隊(duì)小型化、高效化、語言的靈活化。另一方面對(duì)于性能擴(kuò)展更加靈活，對(duì)于負(fù)載較大的微服務(wù)可以單獨(dú)進(jìn)行擴(kuò)展，避免原有架構(gòu)下對(duì)整套功能的擴(kuò)展，提升了資源利用效率[2]。

2.1.2 統(tǒng)一信息存儲(chǔ)檢索架構(gòu)設(shè)計(jì)

隨著互聯(lián)網(wǎng)規(guī)模的幾何級(jí)數(shù)的增長(zhǎng),信息安全日益成為威脅網(wǎng)絡(luò)正常運(yùn)行的主要問題。電網(wǎng)信息安全情報(bào)集中管控平臺(tái)中，將收集各類安全信息，包括但不限于日志信息、安全掃描信息、威脅信息、流量分析信息，這些信息格式多樣、數(shù)量巨大，并且相互關(guān)聯(lián)。

通過應(yīng)用Elastic Search作為存儲(chǔ)平臺(tái)，能夠滿足威脅情報(bào)收集的全面性的續(xù)期，實(shí)現(xiàn)海量多元異構(gòu)數(shù)據(jù)的存儲(chǔ)，并對(duì)上層分析應(yīng)用提供統(tǒng)一的數(shù)據(jù)獲取接口，屏蔽多來源、多格式信息檢索的復(fù)雜性，提升檢索效率，解決傳統(tǒng)數(shù)據(jù)庫(kù)引擎面對(duì)多源異構(gòu)海量數(shù)據(jù)檢索效率極低的問題。

2.2 平臺(tái)功能設(shè)計(jì)

2.2.1 平臺(tái)業(yè)務(wù)流程

平臺(tái)的業(yè)務(wù)流程如圖2所示。

信息安全情報(bào)分為內(nèi)部情報(bào)和外部情報(bào)，內(nèi)部情報(bào)支持規(guī)則、檢測(cè)工具自動(dòng)產(chǎn)生，外部情報(bào)支持手工錄入或接口自動(dòng)獲取，在錄入情報(bào)信息的時(shí)候，可以關(guān)聯(lián)到受影響的資產(chǎn)[3]。

（1）內(nèi)部情報(bào)收集

根據(jù)系統(tǒng)各監(jiān)測(cè)掃描組件報(bào)告、流量檢測(cè)分析結(jié)果結(jié)合日志分析結(jié)果，進(jìn)行匯總與格式化處理，便于提供給威脅分析模塊進(jìn)行專項(xiàng)分析。利用規(guī)則管理實(shí)現(xiàn)規(guī)則的設(shè)置，結(jié)合檢索調(diào)度管理實(shí)現(xiàn)根據(jù)規(guī)則進(jìn)行定期收集。

圖2 平臺(tái)業(yè)務(wù)流程

（2）外部情報(bào)收集

從手工錄入接口、威脅交換信息導(dǎo)入接口和網(wǎng)絡(luò)爬蟲接口輸入或主動(dòng)檢索威脅信息。手工錄入接口提供向?qū)降耐獠客{情報(bào)錄入模式，引導(dǎo)相關(guān)人員完成外部威脅情報(bào)的錄入，有效對(duì)錄入信息進(jìn)行格式化存儲(chǔ)，便于后續(xù)交換與分析; 威脅信息交換接口支持XML、excle、HTML、STIX、OpenIOC等多種格式的威脅交換信息接口，用于批量威脅信息的雙向交換; 網(wǎng)絡(luò)爬蟲接口利用爬蟲技術(shù)等從各知名漏洞、威脅發(fā)布網(wǎng)站抓取所發(fā)布的最新漏洞、威脅公開時(shí)間、嚴(yán)重程度及受影響的系統(tǒng)、軟件版本等。如有可能，同時(shí)獲取漏洞發(fā)布網(wǎng)站的攻擊示例及漏洞驗(yàn)證方法或修補(bǔ)方法等。

原始信息獲取完成后，對(duì)于各接口獲取的信息進(jìn)行統(tǒng)一解析與格式化處理，便于提供給威脅分析模塊進(jìn)行專項(xiàng)分析。

（3）威脅分析

根據(jù)匯總上來的基礎(chǔ)威脅信息，調(diào)用規(guī)則或發(fā)布給技術(shù)支撐單位、安全專家進(jìn)行專項(xiàng)分析，完成威脅類型分析、威脅嚴(yán)重程度分析、威脅影響范圍分析、威脅起始時(shí)間判斷、應(yīng)對(duì)措施建議分析。提供知識(shí)庫(kù)功能，借助知識(shí)庫(kù)完成相關(guān)威脅分析，并且將本次分析結(jié)果更新到知識(shí)庫(kù)中。

（4）信息安全情報(bào)管理

根據(jù)分析完成的信息安全情報(bào)，可以進(jìn)行情報(bào)通報(bào)、跟蹤處理、自動(dòng)化應(yīng)用、防護(hù)有效性檢測(cè)、情報(bào)變更等管理流程，幫助電網(wǎng)企業(yè)快速、有效、完整、閉環(huán)的根據(jù)信息安全情報(bào)完成大規(guī)模信息系統(tǒng)的安全防護(hù)和預(yù)警行動(dòng)。

2.2.2 平臺(tái)主要功能及實(shí)現(xiàn)

（1）總覽視圖

提供了信息安全情報(bào)的新增數(shù)量、討論數(shù)量、相關(guān)消息和請(qǐng)求以及各威脅在分析進(jìn)展、影響等級(jí)等方面的分析情況。

圖3 總覽視圖

（2）情報(bào)詳情查看

圖4 情報(bào)詳情

可以查看選定情報(bào)的詳細(xì)信息。包括威脅編號(hào)、提交機(jī)構(gòu)、提交人、提交日期、分類、威脅等級(jí)、發(fā)布范圍、分析進(jìn)展、威脅描述、發(fā)布狀態(tài)信息。如果威脅的屬性與其他威脅的屬性一致，將產(chǎn)生威脅的關(guān)聯(lián)，這對(duì)于識(shí)別同一攻擊組織非常有用。如圖4所示[4]。

（3）情報(bào)屬性

情報(bào)屬性是用來詳細(xì)說明相關(guān)信息的數(shù)據(jù)格式。借助屬性可以將情報(bào)格式化，并且可以使部分字段能夠成為可用于安全檢測(cè)的特征。可以創(chuàng)建的屬性主要包括說明類、IP地址類、域名、文件名、文件HASH、文件路徑、Email發(fā)件人、其他檢測(cè)特征等類型。同樣支持上傳惡意軟件樣本作為附件，同時(shí)惡意軟件樣本將自動(dòng)被HASH作為屬性。為了防止惡意軟件被無意執(zhí)行，上傳的惡意軟件樣本將被加密壓縮保存。

圖5 情報(bào)屬性

（4）通報(bào)預(yù)警

支持將上述信息安全情報(bào)向有關(guān)單位、部門進(jìn)行通報(bào)，并跟蹤完成預(yù)警行動(dòng)和預(yù)防性處置。

圖6 通報(bào)預(yù)警

3 結(jié)束語

電網(wǎng)信息安全漏洞集中管控平臺(tái)的建設(shè)中，在技術(shù)上和應(yīng)用上采用微服務(wù)架構(gòu)和統(tǒng)一存儲(chǔ)架構(gòu)解決平臺(tái)功能變更頻繁、變更周期短、數(shù)據(jù)量較大的問題，在應(yīng)用上盡可能提供自動(dòng)化工具實(shí)現(xiàn)信息安全情報(bào)的收集、應(yīng)用，有效的降低了IT設(shè)備安全防護(hù)措施應(yīng)用的時(shí)間周期，并支持閉環(huán)管理。

后續(xù)應(yīng)基于本平臺(tái)，利用大數(shù)據(jù)分析技術(shù)和信息安全審計(jì)技術(shù)，可實(shí)現(xiàn)攻擊者畫像，以開展更有針對(duì)性的防護(hù)與反制。

[1]王曉甜，張玉清.安全漏洞自動(dòng)收集系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2006.

[2]葛先軍，李志勇，何友.漏洞信息數(shù)據(jù)挖掘系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009.

[3]顧韻華，張金喜，李佩.網(wǎng)絡(luò)安全漏洞信息采集系統(tǒng)的研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011.

[4]Common Vulnerabilities and Exposures(CVE)[EB/OL].h ttp://eve.mitre.org/,2016.

[5]高寅生.安全漏洞庫(kù)設(shè)計(jì)與實(shí)現(xiàn).微電子學(xué)與計(jì)算機(jī)，20 07.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/，2016.

[7]About Us.& More About US-CERT [EB/OL].http:// www.uscert.gov/aboutus.html.

[8]Common vulnerability scoring system[EB/OL].http://w ww.first.org/cvss/.