安全设备联动模型在电力企业信息安全的应用

齐四清 刘世民 赵 晶 高 敏

内蒙古东部电力有限公司信息通信分公司，呼和浩特 010020

引言

伴随国家电网体制改革的深入，网络相关业务和应用的飞速发展，安全风险也迅速增大，防范和化解安全风险成为电力企业非常关注的问题。本文从电力企业网络安全的现状出发，应用安全设备联动系统模型，解决了电力企业网络安全设备独立、静态、单一的防护问题，从而有效地协调管理各类网络安全设备。

1 电力企业网络安全现状

随着全球信息化的迅猛发展，电力系统必将加强与外部世界的信息交流，以提高生产和管理的效率。然而，网络开放也增加了网络受攻击的可能性。目前，电力企业网络安全存在着很多问题，如：技术防御整体水平不高，安全威胁，网络使用的软硬件没有有效的管理和改造等[1]。

目前，电力企业已应用了各种各样的网络安全产品，包括防火墙、入侵检测系统、病毒防护系统、漏洞扫描系统等，它们在一定程度上保障了网络环境的安全性。然而，各安全产品仍然停留在“单兵作战”的局面，无法满足现电力企业网络安全事件频发、安全威胁日益突出的现状。因此，构造联动模型，以一系列安全设备为基础，有机整合各种安全设备数据信息，有效地协调管理各设备，能够较好的提高电力企业的网络安全。

2 联动技术

联动技术可以涉及很多其他的安全部件，如报警与审计系统、业务系统、甚至网络设备等，只要在某个节点发生了安全事件，无论是一个简单的原始事件，还是一些具有分析能力的系统判断出来的安全事件，它都可能需要将这个事件通过某种机制传递给相关的系统[2]。

联动技术的提出体现了网络安全防御向智能化发展的趋势，它有机整合了各种网络安全技术，部署了全面的网络安全防御体系，有效提升了网络性能。通过联动使各安全设备做到资源整合，协同工作，产生“1+1＞2”的合力，避免木桶效应的发生。

3 安全设备联动模型

安全设备联动模型框架，是将不同厂家的安全设备数据进行整合、归并与关联分析，过滤事件中的误报、产生确定的安全警报，根据制定的联动策略对设备进行动态配置，使其产生联动响应。联动模型框架包括数据采集层、事件分析层和决策层三部分[1]，如下图1所示。

3.1 数据采集模块

数据采集主要分为日志数据采集，数据清理和过滤，数据转换和归并三层结构。

图1 网络安全设备联动模型框架

图2 数据预处理的逻辑结构

数据采集主要是采集电力企业网络中能反映网络安全态势信息的日志，包括防火墙、入侵防御系统、防病毒系统和漏洞扫描系统。不同的日志信息采用不同的采集方式。文件型日志的采集主要是读取日志文件，针对数据的结构对其进行拆分，并进行存储[3]。syslog格式存储的日志采集主要是通过建立syslog服务器，通过UDP协议接收514端口上的数据，并进行存储。为保证数据的实时性，采集的周期要尽可能短。

数据清理主要是通过一定的数据清理和过滤算法实现对网络安全设备日志的清理，去除其中错误、重复和不完整的数据。数据转换则是通过建立数据转换模型将经过清理的各类设备日志进行规范化处理。数据归并是对转换完成的日志数据提取关键属性，合并同类型关键数据，得到精练的并能充分描述对象的属性集合。

日志预处理模块是通过在各个网络安全设备上安全日志采集代理完成基本安全事件的采集，然后日志采集代理将各个设备的日志提交到事件管理器进行安全事件的分析与合并，将日志信息归类上升为安全事件，添加到安全事件数据库。日志数据的预处理模块主要是为网络安全设备联动系统的数据访问提供一个公共的统一接口，使访问者不必考虑数据模型的异构性、数据抽取、数据合成等问题，只需指定想要的数据，而不必关心如何得到。

3.2 事件分析层

事件分析层主要是通过分析分析安全事件数据库中的数据，发现隐藏在这些看似独立的安全事件背后的逻辑和攻击信息，也就是发掘出这些网络安全事件之间的关联[4]。

在安全事件数据库中，安全事件主要是以属性作为关键字进行存储的。本模型中事件分析层的关联算法主要是采用基于攻击属性相似性的关联方法。基于攻击属性相似性的关联方法通过以下几个步骤对报警进行关联：（1）计算安全事件不同属性之间的相似度；（2）当新的安全事件到来时，与已存在的所有事件线程的相应属性值进行比较，计算它们之间的相似度；（3）将安全事件与事件线程相似度最大、并超过设定阈值的安全事件融合到事件线程中。若不超过设定的阈值，则生成一个新的事件线程。

事件分析层主要是结合安全事件数据库，对当前出现的安全事件或系统漏洞进行关联规则分析，分析当前时间产生的前提下，可能引发的其他安全事件，并对关联分析产生的安全事件进行预警，并触发联动模块，使系统设备和工作人员对即将发生的安全事件进行警戒状态，并进行一定的处理。

3.3 决策层

事件分析层中事件管理器将源事件提交给策略判决点进行策略触发，管理控制端通过检索事件数据库中的事件源和策略库中事件源对应的相应处理策略完成策略触发，并将触发策略返回给策略判决点。策略判决点再将安全事件处理策略下发给各个代理，通过代理执行策略的具体内容改变安全设备的相关配置完成安全事件的处理。

从整体上构建基于联动策略的网络安全设备联动模型，通过安全事件触发的机制自动生成安全策略，通过自动化地将设备配置信息传送给相关设备达到应用安全策略的目的，实现从整体上协调一致，主动动态地保障网络安全，顺应电网智能化的发展趋势。

4 结语

本文研究了构建网络安全设备联动系统及其在电力企业信息安全领域的应用，通过对信息系统原始日志信息进行规范要求和统一处理，并在大量的日志信息中找到高风险的安全事件，对安全事件进行关联分析，获取全面准确的系统潜在威胁，提供准确的安全风险分析报告和风险控制措施。最后从解决安全事件的角度提出应对安全事件的联动策略，为管理员发出相应的风险告警，有效处理内部违规操作和外部威胁等一系列网络安全问题。

[1]周奕辛.数据清洗算法的研究与应用[D].青岛大学硕士学位论文，2005

[2]林超良,洪志全等.基于XMLBean的XML文档操作研究与实现[J].信息技术，2007

[3]王岚，翟正军.WEB日志挖掘的预处理及路径补全算法的研究[J].微电子学与计算机，2006

[4]马瑞民，李向云.WEB日志挖掘中数据预处理技术的研究[J].计算机工程与设计，2007

[5]方航锋，汪海航.日志提取分析系统的设计和实现[J].计算机工程，2004

[6]胡孟梁，耿良.蔡瑞英一种通用综合日志系统的设计与实现[J].计算机应用与软件，2008