电力企业信息安全论文:电力信息安全监测

 

信息安全集中监测分析平台包括信息安全相关数据抽取规则管理、信息安全相关数据抽取、安全策略配置和下发、系统口令、扫描分析、漏洞扫描分析、安全事件集中管理、安全事件关联分析、安全设备状态实时监控、全景展示等功能模块［2］。图1为系统总体架构图。系统应用采用满足技术先进性与成熟性相结合的基于J2EE的多层技术构架，以提高系统的灵活性、可扩展性、安全性以及并发处理能力。采用组件技术将界面控制、业务逻辑和数据映射分离，实现系统内部的松耦合，灵活、快速地响应业务变化对系统的需求。系统层次结构总体上划分为客户层、接入表示层、业务逻辑层、数据层(包含数据映射层和数据源)，通过各层次系统组件间服务的承载关系，实现系统功能。系统技术架构如图2所示。表示控制层对应平台中的控制器，实现画面与后台的数据交换、画面之间的迁移、画面数据的检查等功能;业务处理层对应具体的业务，在此层处理业务逻辑，并通过数据库操作层完成到数据库的交互;持久控制层对应数据库操作，所有的数据库操作都必须且只能集中在该层。控制器依赖于业务处理层，而业务处理层依赖于持久控制层，通过依赖注入功能，可以将这种依赖性通过相关配置进行统一管理，最大限度地降低各层次之间的耦合性［3］。

 

1．1现有安全数据整合

 

现有安全数据整合模块建立信息安全数据表，提取四川电力现有信息系统中与安全相关的数据，进行跨部门、跨平台的安全信息的统一收集、分析、处理。在数据抽取、转换和加载(ETL:Extract，Transact，Load)过程中使用包括直接抽取、文件抽取、WEB抽取等几种常见形式［4］。对不同应用系统，采用不同抽取方式;甚至对同一应用系统中不同的业务数据，也可以采用不同抽取方式。直接抽取是指ETL服务器直接连接到应用系统后台数据库中直接抽取所需数据的方式，因此必须设置严格的权限控制，保证用户不能访问和修改系统中的其他敏感信息，以免造成安全问题。且由于会对应用系统数据库造成大量负荷，因此必须进行抽取时间窗口控制，协调对外服务时间和抽取时间，以减少数据抽取对正常业务运行造成的影响。基于以上考虑，这里对数据敏感度较小、数据及时性要求不高的IDS、IPS入侵数据进行直接抽取。WEB抽取是通过WEB服务获取系统需要的数据的抽取方式。通过这种方式可以方便获取需要的数据，同时可以对这些数据做校验等操作，是目前一种先进的抽取方式，不便的是在数据量很大时，网络传输速度会很忙，严重影响系统性能。对于数据量较小、系统接口实现较困难的考核指标类数据采用WEB抽取完成。文件交换是指将需要抽取的业务数据保存为有格式的文本文件，ETL服务器通过读此文件内容来获取业务数据的数据抽取方式。文件交换对原数据库系统造成影响较小。采用此方式时，应用系统将需要抽取的数据按照约定格式保存在文件中，并通过FTP、文件共享等方式将保存有业务数据的文件传递约定位置。ETL服务器从约定位置取出数据文件，并通过文件分析引擎对文件进行分析，取出业务数据。这里除IDS、IPS、小数据外，主要数据均采用文件交换形式传输，且传输时约定文件传输结束标志，标志内容为已传输完毕的数据文件的文件名，以及此文件的MD5验证码。ETL服务器获取传输结束标志文件后，认为对应的数据文件已经传输完毕。然后再通过对数据文件进行MD5验证，将验证码与传输结束标志文件内的MD5验证码进行对比来验证数据文件是否完整。同时约定文件重传标记，当传递到约定交换位置的数据文件在上传完毕和下传开始期间发生损坏，导致约定位置的数据文件和应用服务器生成的数据文件不一致。这样，ETL服务器根据约定位置的数据文件计算出的MD5验证码就和传输结束标志文件中的MD5码不一致，从而发现文件不一致的错误，发现错误后，ETL服务器需要使用文件重传标志来通知应用系统重新传输相应的数据文件。数据整合分析模块能帮助安全督查人员在原有系统数据的基础上增强对比分析，对各个信息系统产生的数据进行监测数量、监测位置、监测范围以及数据的匹配度和数据类比结果进行分析，得出不同系统对相似对象监控的差异，并按时生成信息安全类比分析报告。

 

1．2漏洞实时监测

 

四川电力地域广，所属地市单位、控股、代管单位众多而分散，而专职信息安全督查执行人员有限，无法及时对各单位的终端、网络等情况及时进行督查，而且在工作时间进行漏洞扫描会造成系统访问量增大，影响系统性能。为此，要在集中监测分析平台上实现实时监测功能，对四川电力范围内所有对内、对外服务网站漏洞及应用系统弱口令等进行实时监测与提醒。在实现方式上采用实时调度任务完成，分别设计网站扫描调度任务和弱口令扫描调度任务，扫描时由管理员根据系统实际运行情况配置调度任务执行时间、执行周期、扫描对象等信息，系统根据配置信息调度扫描任务进行自动定时(一般设定在夜间)扫描，自动汇总分析结果［5］。在进行信息系统弱口令扫描时，对可直接获取口令明文的被测系统，本系统按照系统密码强度规则分析口令明文，判断口令的强度，对不符合规则的图3弱口令监测流程图系统口令进行记录。对不能直接获取口令明文的被测系统，本系统按照弱口令字典表、ETL抽取的系统用户账号信息，通过模拟系统登录原理，检查被测系统用户弱口令，记录不符合规则的系统口令，并保留检测分析过程，将发现不符合规则口令的过程、系统现场情况保存为图片作为督查证据。弱口令监测流程图如图3。图4四川电力全网漏洞图图5四川电力全网漏洞环比图图6四川电力当月入侵日志统计图7四川电力各单位告警统计内、外网网站漏洞自动扫描模块主要扫描SQL注入、跨站脚本攻击(XSS)、失效的访问控制、缓存溢出问题、HTTP响应拆分漏洞、参数篡改、隐式字段处理、目录遍历攻击等由OWASP公布的web应用安全漏洞，并针对出现的漏洞给出指导性建议。

 

1．3全景展示

 

具有安全数据整合及漏洞实时监测功能的集中监测分析平台基本完全挖掘出四川电力当前信息系统运行过程中与安全相关的数据，依托对这些海量数据的综合展示分析，管理者能快速识别当前风险，为信息安全下一步投资提供充分的参考依据。

 

2结论

 

针对四川电力当前信息安全相关数据较分散，同时对于弱口令、网站漏洞等缺乏实时监控手段问题，不利于信息安全督查工作开展问题，提出建立信息安全集中监测分析平台，提取现有各系统中与安全相关的数据，并对其进行整合、分析，同时对弱口令、网站漏洞等进行实时监测，最后对海量数据进行综合展示分析，全面地分析监测报告，帮助深入掌握系统安全漏洞和信息安全趋势，实现安全技术和管理的结合，同时利用关联分析可以找出安全事件中各种属性之间的相关特性，排除无意义的信息，及时对安全问题进行快速定位，提高安全事件的应急响应处理能力。值得说明的是，如何利用集中监测分析平台的海量安全事件进行信息安全态势感知，从总体上动态反映网络安全状况，并对网络安全状态的发展趋势进行预测和预警，是安全领域具有挑战性的问题，也是尚需进一步努力的地方［6］。

 

本文作者:刘姗梅 柴继文 工作单位:国网四川省电力公司电力科学研究院