信息安全集中監(jiān)測分析平臺包括信息安全相關(guān)數(shù)據(jù)抽取規(guī)則管理、信息安全相關(guān)數(shù)據(jù)抽取、安全策略配置和下發(fā)、系統(tǒng)口令、掃描分析、漏洞掃描分析、安全事件集中管理、安全事件關(guān)聯(lián)分析、安全設備狀態(tài)實時監(jiān)控、全景展示等功能模塊［2］。圖1為系統(tǒng)總體架構(gòu)圖。系統(tǒng)應用采用滿足技術(shù)先進性與成熟性相結(jié)合的基于J2EE的多層技術(shù)構(gòu)架，以提高系統(tǒng)的靈活性、可擴展性、安全性以及并發(fā)處理能力。采用組件技術(shù)將界面控制、業(yè)務邏輯和數(shù)據(jù)映射分離，實現(xiàn)系統(tǒng)內(nèi)部的松耦合，靈活、快速地響應業(yè)務變化對系統(tǒng)的需求。系統(tǒng)層次結(jié)構(gòu)總體上劃分為客戶層、接入表示層、業(yè)務邏輯層、數(shù)據(jù)層(包含數(shù)據(jù)映射層和數(shù)據(jù)源)，通過各層次系統(tǒng)組件間服務的承載關(guān)系，實現(xiàn)系統(tǒng)功能。系統(tǒng)技術(shù)架構(gòu)如圖2所示。表示控制層對應平臺中的控制器，實現(xiàn)畫面與后臺的數(shù)據(jù)交換、畫面之間的遷移、畫面數(shù)據(jù)的檢查等功能;業(yè)務處理層對應具體的業(yè)務，在此層處理業(yè)務邏輯，并通過數(shù)據(jù)庫操作層完成到數(shù)據(jù)庫的交互;持久控制層對應數(shù)據(jù)庫操作，所有的數(shù)據(jù)庫操作都必須且只能集中在該層。控制器依賴于業(yè)務處理層，而業(yè)務處理層依賴于持久控制層，通過依賴注入功能，可以將這種依賴性通過相關(guān)配置進行統(tǒng)一管理，最大限度地降低各層次之間的耦合性［3］。

 

1．1現(xiàn)有安全數(shù)據(jù)整合

 

現(xiàn)有安全數(shù)據(jù)整合模塊建立信息安全數(shù)據(jù)表，提取四川電力現(xiàn)有信息系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，進行跨部門、跨平臺的安全信息的統(tǒng)一收集、分析、處理。在數(shù)據(jù)抽取、轉(zhuǎn)換和加載(ETL:Extract，Transact，Load)過程中使用包括直接抽取、文件抽取、WEB抽取等幾種常見形式［4］。對不同應用系統(tǒng)，采用不同抽取方式;甚至對同一應用系統(tǒng)中不同的業(yè)務數(shù)據(jù)，也可以采用不同抽取方式。直接抽取是指ETL服務器直接連接到應用系統(tǒng)后臺數(shù)據(jù)庫中直接抽取所需數(shù)據(jù)的方式，因此必須設置嚴格的權(quán)限控制，保證用戶不能訪問和修改系統(tǒng)中的其他敏感信息，以免造成安全問題。且由于會對應用系統(tǒng)數(shù)據(jù)庫造成大量負荷，因此必須進行抽取時間窗口控制，協(xié)調(diào)對外服務時間和抽取時間，以減少數(shù)據(jù)抽取對正常業(yè)務運行造成的影響?；谝陨峡紤]，這里對數(shù)據(jù)敏感度較小、數(shù)據(jù)及時性要求不高的IDS、IPS入侵數(shù)據(jù)進行直接抽取。WEB抽取是通過WEB服務獲取系統(tǒng)需要的數(shù)據(jù)的抽取方式。通過這種方式可以方便獲取需要的數(shù)據(jù)，同時可以對這些數(shù)據(jù)做校驗等操作，是目前一種先進的抽取方式，不便的是在數(shù)據(jù)量很大時，網(wǎng)絡傳輸速度會很忙，嚴重影響系統(tǒng)性能。對于數(shù)據(jù)量較小、系統(tǒng)接口實現(xiàn)較困難的考核指標類數(shù)據(jù)采用WEB抽取完成。文件交換是指將需要抽取的業(yè)務數(shù)據(jù)保存為有格式的文本文件，ETL服務器通過讀此文件內(nèi)容來獲取業(yè)務數(shù)據(jù)的數(shù)據(jù)抽取方式。文件交換對原數(shù)據(jù)庫系統(tǒng)造成影響較小。采用此方式時，應用系統(tǒng)將需要抽取的數(shù)據(jù)按照約定格式保存在文件中，并通過FTP、文件共享等方式將保存有業(yè)務數(shù)據(jù)的文件傳遞約定位置。ETL服務器從約定位置取出數(shù)據(jù)文件，并通過文件分析引擎對文件進行分析，取出業(yè)務數(shù)據(jù)。這里除IDS、IPS、小數(shù)據(jù)外，主要數(shù)據(jù)均采用文件交換形式傳輸，且傳輸時約定文件傳輸結(jié)束標志，標志內(nèi)容為已傳輸完畢的數(shù)據(jù)文件的文件名，以及此文件的MD5驗證碼。ETL服務器獲取傳輸結(jié)束標志文件后，認為對應的數(shù)據(jù)文件已經(jīng)傳輸完畢。然后再通過對數(shù)據(jù)文件進行MD5驗證，將驗證碼與傳輸結(jié)束標志文件內(nèi)的MD5驗證碼進行對比來驗證數(shù)據(jù)文件是否完整。同時約定文件重傳標記，當傳遞到約定交換位置的數(shù)據(jù)文件在上傳完畢和下傳開始期間發(fā)生損壞，導致約定位置的數(shù)據(jù)文件和應用服務器生成的數(shù)據(jù)文件不一致。這樣，ETL服務器根據(jù)約定位置的數(shù)據(jù)文件計算出的MD5驗證碼就和傳輸結(jié)束標志文件中的MD5碼不一致，從而發(fā)現(xiàn)文件不一致的錯誤，發(fā)現(xiàn)錯誤后，ETL服務器需要使用文件重傳標志來通知應用系統(tǒng)重新傳輸相應的數(shù)據(jù)文件。數(shù)據(jù)整合分析模塊能幫助安全督查人員在原有系統(tǒng)數(shù)據(jù)的基礎(chǔ)上增強對比分析，對各個信息系統(tǒng)產(chǎn)生的數(shù)據(jù)進行監(jiān)測數(shù)量、監(jiān)測位置、監(jiān)測范圍以及數(shù)據(jù)的匹配度和數(shù)據(jù)類比結(jié)果進行分析，得出不同系統(tǒng)對相似對象監(jiān)控的差異，并按時生成信息安全類比分析報告。

 

1．2漏洞實時監(jiān)測

 

四川電力地域廣，所屬地市單位、控股、代管單位眾多而分散，而專職信息安全督查執(zhí)行人員有限，無法及時對各單位的終端、網(wǎng)絡等情況及時進行督查，而且在工作時間進行漏洞掃描會造成系統(tǒng)訪問量增大，影響系統(tǒng)性能。為此，要在集中監(jiān)測分析平臺上實現(xiàn)實時監(jiān)測功能，對四川電力范圍內(nèi)所有對內(nèi)、對外服務網(wǎng)站漏洞及應用系統(tǒng)弱口令等進行實時監(jiān)測與提醒。在實現(xiàn)方式上采用實時調(diào)度任務完成，分別設計網(wǎng)站掃描調(diào)度任務和弱口令掃描調(diào)度任務，掃描時由管理員根據(jù)系統(tǒng)實際運行情況配置調(diào)度任務執(zhí)行時間、執(zhí)行周期、掃描對象等信息，系統(tǒng)根據(jù)配置信息調(diào)度掃描任務進行自動定時(一般設定在夜間)掃描，自動匯總分析結(jié)果［5］。在進行信息系統(tǒng)弱口令掃描時，對可直接獲取口令明文的被測系統(tǒng)，本系統(tǒng)按照系統(tǒng)密碼強度規(guī)則分析口令明文，判斷口令的強度，對不符合規(guī)則的圖3弱口令監(jiān)測流程圖系統(tǒng)口令進行記錄。對不能直接獲取口令明文的被測系統(tǒng)，本系統(tǒng)按照弱口令字典表、ETL抽取的系統(tǒng)用戶賬號信息，通過模擬系統(tǒng)登錄原理，檢查被測系統(tǒng)用戶弱口令，記錄不符合規(guī)則的系統(tǒng)口令，并保留檢測分析過程，將發(fā)現(xiàn)不符合規(guī)則口令的過程、系統(tǒng)現(xiàn)場情況保存為圖片作為督查證據(jù)。弱口令監(jiān)測流程圖如圖3。圖4四川電力全網(wǎng)漏洞圖圖5四川電力全網(wǎng)漏洞環(huán)比圖圖6四川電力當月入侵日志統(tǒng)計圖7四川電力各單位告警統(tǒng)計內(nèi)、外網(wǎng)網(wǎng)站漏洞自動掃描模塊主要掃描SQL注入、跨站腳本攻擊(XSS)、失效的訪問控制、緩存溢出問題、HTTP響應拆分漏洞、參數(shù)篡改、隱式字段處理、目錄遍歷攻擊等由OWASP公布的web應用安全漏洞，并針對出現(xiàn)的漏洞給出指導性建議。

 

1．3全景展示

 

具有安全數(shù)據(jù)整合及漏洞實時監(jiān)測功能的集中監(jiān)測分析平臺基本完全挖掘出四川電力當前信息系統(tǒng)運行過程中與安全相關(guān)的數(shù)據(jù)，依托對這些海量數(shù)據(jù)的綜合展示分析，管理者能快速識別當前風險，為信息安全下一步投資提供充分的參考依據(jù)。

 

2結(jié)論

 

針對四川電力當前信息安全相關(guān)數(shù)據(jù)較分散，同時對于弱口令、網(wǎng)站漏洞等缺乏實時監(jiān)控手段問題，不利于信息安全督查工作開展問題，提出建立信息安全集中監(jiān)測分析平臺，提取現(xiàn)有各系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，并對其進行整合、分析，同時對弱口令、網(wǎng)站漏洞等進行實時監(jiān)測，最后對海量數(shù)據(jù)進行綜合展示分析，全面地分析監(jiān)測報告，幫助深入掌握系統(tǒng)安全漏洞和信息安全趨勢，實現(xiàn)安全技術(shù)和管理的結(jié)合，同時利用關(guān)聯(lián)分析可以找出安全事件中各種屬性之間的相關(guān)特性，排除無意義的信息，及時對安全問題進行快速定位，提高安全事件的應急響應處理能力。值得說明的是，如何利用集中監(jiān)測分析平臺的海量安全事件進行信息安全態(tài)勢感知，從總體上動態(tài)反映網(wǎng)絡安全狀況，并對網(wǎng)絡安全狀態(tài)的發(fā)展趨勢進行預測和預警，是安全領(lǐng)域具有挑戰(zhàn)性的問題，也是尚需進一步努力的地方［6］。

 

本文作者:劉姍梅 柴繼文 工作單位:國網(wǎng)四川省電力公司電力科學研究院