信息安全集中監測分析平臺包括信息安全相關數據抽取規則管理、信息安全相關數據抽取、安全策略配置和下發、系統口令、掃描分析、漏洞掃描分析、安全事件集中管理、安全事件關聯分析、安全設備狀態實時監控、全景展示等功能模塊［2］。圖1為系統總體架構圖。系統應用采用滿足技術先進性與成熟性相結合的基于J2EE的多層技術構架，以提高系統的靈活性、可擴展性、安全性以及并發處理能力。采用組件技術將界面控制、業務邏輯和數據映射分離，實現系統內部的松耦合，靈活、快速地響應業務變化對系統的需求。系統層次結構總體上劃分為客戶層、接入表示層、業務邏輯層、數據層(包含數據映射層和數據源)，通過各層次系統組件間服務的承載關系，實現系統功能。系統技術架構如圖2所示。表示控制層對應平臺中的控制器，實現畫面與后臺的數據交換、畫面之間的遷移、畫面數據的檢查等功能;業務處理層對應具體的業務，在此層處理業務邏輯，并通過數據庫操作層完成到數據庫的交互;持久控制層對應數據庫操作，所有的數據庫操作都必須且只能集中在該層。控制器依賴于業務處理層，而業務處理層依賴于持久控制層，通過依賴注入功能，可以將這種依賴性通過相關配置進行統一管理，最大限度地降低各層次之間的耦合性［3］。

 

1．1現有安全數據整合

 

現有安全數據整合模塊建立信息安全數據表，提取四川電力現有信息系統中與安全相關的數據，進行跨部門、跨平臺的安全信息的統一收集、分析、處理。在數據抽取、轉換和加載(ETL:Extract，Transact，Load)過程中使用包括直接抽取、文件抽取、WEB抽取等幾種常見形式［4］。對不同應用系統，采用不同抽取方式;甚至對同一應用系統中不同的業務數據，也可以采用不同抽取方式。直接抽取是指ETL服務器直接連接到應用系統后臺數據庫中直接抽取所需數據的方式，因此必須設置嚴格的權限控制，保證用戶不能訪問和修改系統中的其他敏感信息，以免造成安全問題。且由于會對應用系統數據庫造成大量負荷，因此必須進行抽取時間窗口控制，協調對外服務時間和抽取時間，以減少數據抽取對正常業務運行造成的影響。基于以上考慮，這里對數據敏感度較小、數據及時性要求不高的IDS、IPS入侵數據進行直接抽取。WEB抽取是通過WEB服務獲取系統需要的數據的抽取方式。通過這種方式可以方便獲取需要的數據，同時可以對這些數據做校驗等操作，是目前一種先進的抽取方式，不便的是在數據量很大時，網絡傳輸速度會很忙，嚴重影響系統性能。對于數據量較小、系統接口實現較困難的考核指標類數據采用WEB抽取完成。文件交換是指將需要抽取的業務數據保存為有格式的文本文件，ETL服務器通過讀此文件內容來獲取業務數據的數據抽取方式。文件交換對原數據庫系統造成影響較小。采用此方式時，應用系統將需要抽取的數據按照約定格式保存在文件中，并通過FTP、文件共享等方式將保存有業務數據的文件傳遞約定位置。ETL服務器從約定位置取出數據文件，并通過文件分析引擎對文件進行分析，取出業務數據。這里除IDS、IPS、小數據外，主要數據均采用文件交換形式傳輸，且傳輸時約定文件傳輸結束標志，標志內容為已傳輸完畢的數據文件的文件名，以及此文件的MD5驗證碼。ETL服務器獲取傳輸結束標志文件后，認為對應的數據文件已經傳輸完畢。然后再通過對數據文件進行MD5驗證，將驗證碼與傳輸結束標志文件內的MD5驗證碼進行對比來驗證數據文件是否完整。同時約定文件重傳標記，當傳遞到約定交換位置的數據文件在上傳完畢和下傳開始期間發生損壞，導致約定位置的數據文件和應用服務器生成的數據文件不一致。這樣，ETL服務器根據約定位置的數據文件計算出的MD5驗證碼就和傳輸結束標志文件中的MD5碼不一致，從而發現文件不一致的錯誤，發現錯誤后，ETL服務器需要使用文件重傳標志來通知應用系統重新傳輸相應的數據文件。數據整合分析模塊能幫助安全督查人員在原有系統數據的基礎上增強對比分析，對各個信息系統產生的數據進行監測數量、監測位置、監測范圍以及數據的匹配度和數據類比結果進行分析，得出不同系統對相似對象監控的差異，并按時生成信息安全類比分析報告。

 

1．2漏洞實時監測

 

四川電力地域廣，所屬地市單位、控股、代管單位眾多而分散，而專職信息安全督查執行人員有限，無法及時對各單位的終端、網絡等情況及時進行督查，而且在工作時間進行漏洞掃描會造成系統訪問量增大，影響系統性能。為此，要在集中監測分析平臺上實現實時監測功能，對四川電力范圍內所有對內、對外服務網站漏洞及應用系統弱口令等進行實時監測與提醒。在實現方式上采用實時調度任務完成，分別設計網站掃描調度任務和弱口令掃描調度任務，掃描時由管理員根據系統實際運行情況配置調度任務執行時間、執行周期、掃描對象等信息，系統根據配置信息調度掃描任務進行自動定時(一般設定在夜間)掃描，自動匯總分析結果［5］。在進行信息系統弱口令掃描時，對可直接獲取口令明文的被測系統，本系統按照系統密碼強度規則分析口令明文，判斷口令的強度，對不符合規則的圖3弱口令監測流程圖系統口令進行記錄。對不能直接獲取口令明文的被測系統，本系統按照弱口令字典表、ETL抽取的系統用戶賬號信息，通過模擬系統登錄原理，檢查被測系統用戶弱口令，記錄不符合規則的系統口令，并保留檢測分析過程，將發現不符合規則口令的過程、系統現場情況保存為圖片作為督查證據。弱口令監測流程圖如圖3。圖4四川電力全網漏洞圖圖5四川電力全網漏洞環比圖圖6四川電力當月入侵日志統計圖7四川電力各單位告警統計內、外網網站漏洞自動掃描模塊主要掃描SQL注入、跨站腳本攻擊(XSS)、失效的訪問控制、緩存溢出問題、HTTP響應拆分漏洞、參數篡改、隱式字段處理、目錄遍歷攻擊等由OWASP公布的web應用安全漏洞，并針對出現的漏洞給出指導性建議。

 

1．3全景展示

 

具有安全數據整合及漏洞實時監測功能的集中監測分析平臺基本完全挖掘出四川電力當前信息系統運行過程中與安全相關的數據，依托對這些海量數據的綜合展示分析，管理者能快速識別當前風險，為信息安全下一步投資提供充分的參考依據。

 

2結論

 

針對四川電力當前信息安全相關數據較分散，同時對于弱口令、網站漏洞等缺乏實時監控手段問題，不利于信息安全督查工作開展問題，提出建立信息安全集中監測分析平臺，提取現有各系統中與安全相關的數據，并對其進行整合、分析，同時對弱口令、網站漏洞等進行實時監測，最后對海量數據進行綜合展示分析，全面地分析監測報告，幫助深入掌握系統安全漏洞和信息安全趨勢，實現安全技術和管理的結合，同時利用關聯分析可以找出安全事件中各種屬性之間的相關特性，排除無意義的信息，及時對安全問題進行快速定位，提高安全事件的應急響應處理能力。值得說明的是，如何利用集中監測分析平臺的海量安全事件進行信息安全態勢感知，從總體上動態反映網絡安全狀況，并對網絡安全狀態的發展趨勢進行預測和預警，是安全領域具有挑戰性的問題，也是尚需進一步努力的地方［6］。

 

本文作者:劉姍梅 柴繼文 工作單位:國網四川省電力公司電力科學研究院