電力企業安全事件集中管理系統的開發與應用

王皓然 嚴彬元 班秋成

摘? 要：在信息時代，電力企業通過構建信息管理系統，在提高業務辦理效率和客戶服務質量等方面發揮了顯著作用，但是與此同時系統安全漏洞、隱私數據泄露等不良事件的發生率也相應的上升。對于電力企業來說，在享受信息技術帶來便利的同時，還必須高度重視安全管理。文章介紹了一種安全事件集中管理系統，重點從系統功能模塊的設計，事件采集、處理與相應等運行流程等方面，對系統的開發與應用展開了簡要分析。

關鍵詞：電力企業;安全事件;集中管理系統;運行環境

中圖分類號：TM73 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）36-0173-02

Abstract： In the information age， electric power enterprises have played a significant role in improving business processing efficiency and customer service quality by building information management systems， but at the same time， the incidence of adverse events such as system security vulnerabilities and privacy data disclosure has also increased accordingly. For electric power enterprises， while enjoying the convenience brought by information technology， they must also attach great importance to safety management. This paper introduces a centralized security incident management system， and briefly analyzes the development and application of the system from the aspects of the design of the system function module， event collection， processing and corresponding operation flow.

Keywords： electric power enterprise; security event; centralized management system; operating environment

引言

企業運營中遭遇的各類網絡安全問題，具有突發性強、危害性高等特點，為了從源頭上杜絕安全事件引發的各類損失，要求電力企業必須要創新安全管理技術，構建安全事件集中管理系統。通過動態監測、即時響應，實現對非法訪問、惡意入侵的實時告警，以便于安全管理人員迅速做出處理，保證電力企業網絡系統的安全。目前，安全事件集中管理系統已經在電力以及其他行業的企業中得到了推廣使用，效果良好。

1 電力企業安全事件集中管理系統的設計

1.1 關聯分析模塊

現階段電力企業基本上已經建立起了信息安全管理系統，但是在實際運用中，也經常會出現安全檢測結果延時問題嚴重，或是誤報問題。分析其原因，可能與檢測范圍設計不明確、部署方式存在局限性、檢測系統更新不及時等因素有關。因此，在進行安全事件集中管理系統的設計時，也需要針對這些問題，進行針對性的改進和優化。其中，關聯分析技術在解決上述問題中發揮了較為明顯的作用。利用關聯分析引擎，除了能夠進行安全漏洞掃描、安全狀態評估外，還可以利用專家分析系統，對預警預告進行分析。經過二次確認后，再發出告警，這樣就大幅度降低了誤報的問題。

1.2 系統輸入模塊

從具體內容上來看，系統輸入主要分為當前動態發生的事件信息，以及周期性發生的事件信息。對于前者，安全事件集中管理系統可以借助于防火墻、殺毒軟件等，實現對狀態信息的實施監測。一旦監測到系統存在漏洞，或是有非法訪問，則發出告警，或是啟動防護系統用于問題修復。對于后者，則需要定期進行軟件的升級、網絡的維護，從而降低此類安全風險的發生。

1.3 規則集合模塊

由于電力企業的管理系統每時每刻都在進行大量的數據傳輸，不可避免會產生海量的系統訪問信息。其中不乏一些非法訪問，或是隱藏在文件中的病毒。規則集合是多種判斷條件、分析規則的集合，是基于以往電力企業各類安全事件整合后形成的。安全事件集中管理系統只需要將各類輸入信息，與規則集合進行對比，就可以準確、快速的判斷出該信息是否存在安全隱患，從而做到了對安全漏洞、非法訪問的早發現、早處理。另外隨著安全事件集中管理系統運行時間的延長，規則集合中儲存的判斷條件也會不斷的豐富，其實用價值也會相應的提升。

2 電力企業安全事件集中管理系統的實現

2.1 系統基本組成

按照運行流程，安全事件集中管理系統主要分為事件采集、處理、響應三個部分，如圖1所示。該系統利用前端的監測元件，可以對狀態信息、安全事件進行動態收集，然后利用內置無線網絡將信息同步到主機中。主機對這些信息做出相應的處理，包括進行安全風險識別、不良事件報告等，然后根據判斷結果，發出相應的調控指令，最后系統做出響應，實現綜合告警，完成安全事件的處理。

2.2 事件信息采集

采集系統運行中產生的各類信息，是安全事件集中管理系統的首要任務。在事件信息采集中，應滿足時效性和全面性兩個基本要求，這樣才能保證采集到的事件信息具有參考價值。考慮到不同設備的信息格式存在差異，為了提高事件信息的采集效率和減輕分析壓力，需要采用適配器的方式實現對異構系統的連接，適配器支持SNMP TRAP、Syslog等開放的協議或專有協議，對于不能自動輸出事件信息的事件源，可通過部署代理程序（agent）直接采集。

另外，還要注意采集到的事件信息，可能存在重復問題，如果不加以處理無形中增加了系統運行負擔。可以設置篩選程序，由關聯分析引擎對同一時間段內采集到的各類事件信息進行對比，自動對重復的事件信息進行篩選。完成初步篩選后，將事件按照一定的標準進行分類，例如非法訪問歸為一類、系統安全漏洞歸為另一類，為下一步的事件處理創造良好條件。

2.3 事件分析與處理

2.3.1 規則自定義

根據以往的管理經驗，安全事件可能是針對某個文件、某個系統的一個具體的攻擊行為，也有可能是一個復雜的網絡破壞過程。尤其是一些黑客，還會通過隱藏身份，變換IP地址等方式，讓攻擊手段變得更加隱蔽。為了進一步提高對這些安全事件的識別精度、追蹤能力，需要采取規則自定義技術，對各類攻擊行為進行標記，在準確識別后作出告警。目前的安全產品針對這些攻擊行為基本能檢測到并可生成告警，告警信息中一般包含事件類型、安全等級、告警來源、事件名稱、源口、目的IP、源端口、目的端口、發生時間、結束時間等。

2.3.2 知識庫

知識庫是用于存儲安全評估標準、風險識別指標、告警信息與處理記錄的數據庫。在安全事件集中管理系統中，只有保證知識庫內存儲的各類標準、規則、指標足夠豐富，才能支持整個系統的高效運行。知識庫中各類規則的添加、刪除、修改等，可以支持手動調整，從而更加符合電力企業的實際需求。

2.3.3 關聯分析引擎

關聯分析引擎可通過程序開發實現，也可采用目前比較成熟的規則引擎。規則引擎是一個基于規則的專家系統，內部一般采用Rete/Rete2算法。安全事件中的每個元素（字段）都可作為參數輸入，不同安全事件元素之間的關系構成規則，規則引擎引用規則對進入的安全事件進行不斷重復的匹配，當條件滿足時觸發相應的動作。隨著安全事件集中管理系統運行時間的延長，系統會基于以往的分析和處理經驗，不斷的進行自我優化，從而對安全事件的判斷能力得到進一步的增強。

2.4 事件響應處理

2.4.1 即時告警

根據關聯分析結果，如果識別出安全風險，則系統自動進行告警，并且提供分析記錄，以便于管理人員參考，進而作出更加精準的安全事件管理。安全事件集中管理系統與普通的安全防護系統的區別在于，它能夠對系統中產生的告警信息進行匯總，然后統一反饋給終端主機。這樣就可以實現集中告警、集中處理，既可以減輕關聯引擎頻繁響應而導致的系統運行負荷增加問題，同時又能夠最大程度上提高安全事件的響應速度、處理效率。

2.4.2 應急處理

在即時告警的基礎上，安全事件集中管理系統還能夠對已經識別出的各類安全事件，進行綜合分析、全面評估，并基于以往的處理經驗，生成一份針對性較強的應急處理方案。系統管理人員可以參照該方案，盡快完成系統維護和故障排查，保證電力企業的網絡系統始終處于安全運行狀態。

3 電力企業安全事件集中管理系統的應用

3.1 運行環境

為避免當某些安全事件發生時多個檢測系統同時向管理系統發送大量的告警信息，占用大量的網絡帶寬，影響業務系統的正常運行，可在業務系統運行的網絡之外建立帶外的管理網絡（網段），各個檢測設備將網絡管理端口直接接入管理網絡（網段），或終端接口直接接入數據采集處理主機。在縱向的廣域網上采用服務質量（QoS）機制和虛擬專用網（VPN）技術，建立縱向的上下級調度單位之間的連接。

3.2 部署方式

按照功能進行劃分，可以將安全事件集中管理系統分成兩個子系統，其一是數據處理子系統，主要負責事件相關的數據采集、分析等工作;其二是集中管理子系統，主要負責參考分析結果，作出相應的管理決策，并在事件完成處理后，將歷史記錄保留下來。考慮到電力企業的系統結構組成復雜，為了提高安全事件的響應速度，在系統整體部署上采用了分布式部署，將兩個子系統分別用專門的計算機管理，然后再連接到終端主機上，保證了電力企業安全事件集中管理系統的穩定運行。

4 結束語

安全事件分析與管理是電力企業在信息時代，保障自身信息安全、實現穩定發展的重要舉措。通過構建安全事件集中管理系統，與現行的安全防護系統形成相互補充，形成了更加完善的網絡安全管理體系。該系統能夠從安全事件信息采集、綜合分析和及時響應方面，幫助安全管理人員做好電力企業網絡系統運維工作，為電力企業的運營與發展創設了安全的網絡環境。

參考文獻：

[1]李晨.行為安全管理在煤礦安全管理與評價系統中的應用[J].科學與財富，2019（18）：120-121.

[2]戴小新.基于WMI的Windows客戶端安全控制管理系統設計和應用[J].電腦知識與技術，2015（17）：21-23.

[3]朱俊濤，張輝，張帆，等.基于構件的礦井通風安全管理系統的開發研究[J].科學與信息化，2019（16）：162-164.