刘 欣,孙辰军,王云佳
(1.国网河北省电力公司,石家庄 050021;2.河北农业大学,河北 保定 071001)
安全风险预警在实际生产和管理中是一项常用和成熟的工作方式[1],其强调通过检测和评估生产和管理系统风险水平,对尚未发生的危机或危险状态进行提前报警或告警,提高对事件或事故的预防能力,降低其影响程度,最终实现事件或事故管理模式的转变,即将“以事故发生后应急为主的管理模式转变为事前危险态监控、预防为主的管理模式”。
国风河北省电力公司(简称“河北电力”)风险预警管理系统的工作过程为:利用威胁预警采集设备(简称“TDA”)实现威胁的快速检测;获取TDA 的威胁检测结果,根据风险评估方法,估算威胁发生对IT资产的影响程度,得到风险级别,然后依据设定的风险级别阈值,形成风险预警;将风险预警信息传递给服务台,服务台产生处理工单,并将该工单分派给地市安全管理员,督促安全管理员依据威胁处理的安全事件管理流程处理分派的任务;对于任务处理结果,服务台通过2 种方式进行确认,一种是根据TDA 再次检测结果进行比对确认,另一种是通过回访调查确认;服务台根据任务处理过程和结果,结合设定的绩效指标,形成各市局的威胁处理绩效报表,供管理层、安全管理员及普通用户查询。管理层定期根据绩效报表,对服务台、各市局以及TDA 的部署使用等提出改进指导。
鉴于此,风险预警管理系统的主要功能模块包括TDA 与数据获取接口、风险评估子系统、服务台、工单管理子系统、威胁处理管理子系统、绩效考核子系统等,功能结构关系如图1所示。
图1 风险预警管理系统功能框架
TDA 接口从TDA 处实时读取威胁告警数据,交付给风险评估子系统,估算威胁对应的风险级别,根据风险级别阈值筛选威胁,形成风险预警信息。服务台是国网河北省电力公司统一的服务台,通过邮件、短信等自动方式或通过人工方式将工单分派给地市安全管理员。
2.1.1 人员管理
威胁处理需要多方人员的配合,包括终端使用人员、服务台人员、威胁处理人员(通常是地市管理员)和管理层,这些人员在系统中映射为五类用户,即普通用户(终端使用人员)、服务台用户、IT 用户(实际是地市安全管理员,即威胁处理人员)、管理层用户以及系统管理员。
2.1.2 IT 资产和IP 地址管理
IT 资产包括终端、服务器、网络设备、安全设备等,是威胁发生和检测的设备或设施,通常每个IT设备具有相应的IP 地址,IP 地址按照河北电力组织结构规划和分配,每个设备的IP 是固定的,因此,通过IP 地址可以将“威胁、终端、终端用户、地市、地市安全管理员”关联起来,既便于威胁处理任务的自动分发,还有助于服务台用户跟踪管理威胁处理,并与终端用户沟通,确认终端用户对威胁处理的满意程度。
2.1.3 威胁库
威胁库的数据来源是各市局TDA 检测到的威胁信息,TDA 能够检测恶意软件、黑客攻击、信息泄漏、间谍软件、垃圾软件、未注册服务等6 大类威胁,具体威胁400 多种。
对于每种具体威胁,TDA 能够检测到的属性数据包括:威胁编号、设备编号、主机名、IP 地址、物理MAC 地址、用户组、日志时间、威胁具体描述、威胁类型指针、通用威胁告警程度、告警类型。
通过IP 地址可以将地市安全管理员与地区名称、主机名、IP 地址、威胁类型指针、威胁描述、通用告警级别等关联起来。
目前TDA 产生的通用告警级别是基于威胁发生对设备可能造成的直接后果,如权限提升、DoS、频繁启动等,但这些现象发生在普通PC 终端和PC服务器上,影响程度是显然不同的,因此,应该充分利用风险评估方法,结合IT 系统结构和业务应用特点,综合考虑资产(系统和业务应用)、威胁、脆弱性三者之间的关系[2],估算信息安全风险级别,设定风险级别阈值,将超出阈值的风险所对应的威胁作为预警对象。
该系统采取文献[3]中的已有成果作为风险计算方法:f=ξ1f1(Gn,Gt,Gs)+ξ2f2(f1,Gd)+ξ3f3(f2,Gg)。在实际应用中,对规模小、业务少、威胁影响差别不大的系统,权重应该取接近于1(甚至是1)的值,即直接将威胁检测结果作为风险预警级别;第3 项是为了横向比较不同地市之间风险预警级别的细微差别所设,其权重通常相对较小。
由于风险评估过程的复杂性及风险计算方法实时性的不足[4],再兼之对威胁和脆弱性等检测和分析的工具多,数据来源复杂,整合与集成困难,因此,实践中通常直接将威胁检测结果作为风险预警事件,很少将风险评估的结果作为风险预警事件。由于该文将TDA 作为河北电力统一的威胁事件检测工具,因此,不仅可以将风险评估结果作为风险预警事件,而且还可以将其与基于ITIL 的安全运维管理服务平台无缝衔接,提高对安全风险的预防和处理水平。
对于安全运维管理,风险预警管理系统目前所需的功能是服务台和事件管理,来实现河北电力范围内的安全威胁统一预警、统一任务分派和统一监管。
2.3.1 服务台
服务台是河北电力风险预警管理系统统一的监管平台,由服务台接受风险评估子系统传递过来的优先级较高的风险预警信息,然后将预警信息通过邮件或短信等自动方式分派给各市局安全管理员,对于需要重点指明的风险预警信息,可通过手工方式分派任务。无论是自动分派还是手工分派,任务均以工单方式派发,工单上面说明威胁检测的时间、类型、影响的资产、风险预警级别,以及期望采取措施的时间、推荐的处理方案等。
服务台将全程跟踪处理过程,形成处理纪录,便于向普通用户发布处理状态信息,以及对安全管理员进行统一绩效考核。对于处理结果,无论自动或人工处理,服务台将利用TDA 的再次检测结果进行自动比对,以判断是否处理完毕,然后通过抽查的方式,对安全事件对应的资产属性进行回访调查,以确认处理结果。对处理结果的确认是人员绩效考核的重要依据。
2.3.2 安全事件管理流程
每个工单所代表的处理要求即形成一个安全事件,该事件由地市安全管理员负责处理,可以按照ITIL 事件管理中一线、二线、三线人员的方式执行,风险预警管理系统目前不做过多的要求,只关注处理状态(如,是否及时、等待时间等)和处理结果。
对威胁或风险的统一监管,需要考虑监管的内容和展示方式,主要监管内容包括:整体监管指标,河北电力IT 系统总体健康状况、高风险预警数量、已处理及待处理工单数量、所检测到的风险TOP5排名等;局部监管指标,已分派工单的处理情况、各市公司威胁的分布和排序情况;各市公司工单完成及时率、准确率等绩效数据。
该系统以河北电力各市公司为展示单元,基于地图展示河北电力风险预警及工单处理情况,直观展示全局安全状态及已处理和待处理工单数量。
基于JAVA 的Eclipse IDE for Java Developers 平台,采用MySQL 数据库,开发出安全风险预警管理系统,实现对河北电力的风险预警管理。3 个地市部署TDA,试点运行风险预警管理系统中风险预警系统和运维管理系统,风险级别为5 级,4-5 级为产生风险预警信息,权重系数分别取值为0.2、0.8 和0。通过试点运行,该系统取得了以下效果。
一周内,TDA 直接检测到的“高危”告警206条,通过风险计算后,得到的风险预警信息为58 条,现场实际检查确认表明,剔除的148 条威胁告警发生在普通终端上,风险影响程度达不到4 级和5 级,减少非急需处理的威胁任务72%。当然,从纯粹威胁技术角度看,这72%的威胁是需要及时处理或采取相应应对措施的,只不过其优先级没有TDA 直接给出的告警程度那样高。
58 条风险预警信息均生成工单,并通过嵌入的内部邮件系统自动分发给3 个地市的安全管理员,实现了威胁处理任务的统一分派及统一跟踪管理。
地市公司的风险预警数量和工单数量均在基于地图的全局视图上进行可视化展示,管理人员和用户可以一目了然地了解各市公司系统的安全风险情况及处理情况,特别是已分派任务和未处理情况。
由于有统一的风险预警管理系统,地市安全管理员的处理及时率接近100%,远超过以往80%的水平。
风险预警管理系统将威胁实时检测、信息安全风险评估、服务台和事件管理以及绩效考核等整合在一起,形成安全管理闭环,对现有的安全管理工作起到了较好的推动作用,系统建设后可进对威胁和风险管理的实时追踪,安全管理部门从事后审查转换为事前主动任务分发和跟踪管理;基于风险计算的结果来产生风险预警信息,减少了非急需处理的威胁任务数量;实现了河北电力威胁和风险管理的统一监管和绩效考核。
未来将在风险计算的精确程度以及监管内容等方面进行更深入研究和实践,提高风险分析的自动化处理能力及风险处理的准确性和及时性,力争建设一个高度自动化、智能化的风险预警系统,进一步提升河北电力威胁检测和风险预警管理工作水平。
[1]罗 云,宫运华,宫宝霖,等,安全风险预警技术研究[J].安全,2005(2):26-29.
[2]GB/T 20984-2007,信息安全风险评估规范[S].
[3]马海珍.基于BP 神经网络的TDA 风险预警管理系统研究与实践[D].北京:北京大学,2011.
[4]高志明.基于业务流程的信息安全风险度量方法研究[D].北京:北京交通大学,2011.