，

(國(guó)網(wǎng)四川省電力公司電力科學(xué)研究院，四川 成都 610072)

0 引 言

隨著國(guó)家電網(wǎng)公司信息化的不斷建設(shè)和完善，八大業(yè)務(wù)應(yīng)用整體全面推廣、拓展深化應(yīng)用，信息化效能、效率、效益提升作用明顯，信息系統(tǒng)的基礎(chǔ)性、全局性、全員性作用日益增強(qiáng)。電網(wǎng)信息安全已經(jīng)提到與安全生產(chǎn)同樣高度，信息系統(tǒng)安全成為電力安全的最重要組成部分之一。目前國(guó)家電網(wǎng)公司已建成邊界監(jiān)測(cè)系統(tǒng)、桌面終端管理系統(tǒng)等信息安全相關(guān)系統(tǒng)，但各系統(tǒng)著重點(diǎn)不同，數(shù)據(jù)較分散，同時(shí)對(duì)于內(nèi)網(wǎng)郵箱弱口令、門戶弱口令、網(wǎng)站漏洞等缺乏實(shí)時(shí)監(jiān)控手段，不利于信息安全督查工作，也為信息安全埋下了隱患[1]。

針對(duì)上述問題，對(duì)適合四川電力的信息安全集中監(jiān)測(cè)分析平臺(tái)進(jìn)行研究應(yīng)用，該平臺(tái)能提取現(xiàn)有系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，并對(duì)其進(jìn)行整合、分析；能對(duì)網(wǎng)站漏洞、系統(tǒng)弱口令等進(jìn)行實(shí)時(shí)監(jiān)測(cè)；能對(duì)數(shù)據(jù)進(jìn)行綜合展示分析，全面地分析監(jiān)測(cè)報(bào)告，幫助深入掌握系統(tǒng)安全漏洞和信息安全趨勢(shì)，督查人員通過報(bào)告能及時(shí)定位安全風(fēng)險(xiǎn)，第一時(shí)間通知運(yùn)維單位快速整改。

1 集中監(jiān)測(cè)分析平臺(tái)總體架構(gòu)

信息安全集中監(jiān)測(cè)分析平臺(tái)包括信息安全相關(guān)數(shù)據(jù)抽取規(guī)則管理、信息安全相關(guān)數(shù)據(jù)抽取、安全策略配置和下發(fā)、系統(tǒng)口令、掃描分析、漏洞掃描分析、安全事件集中管理、安全事件關(guān)聯(lián)分析、安全設(shè)備狀態(tài)實(shí)時(shí)監(jiān)控、全景展示等功能模塊[2]。圖1為系統(tǒng)總體架構(gòu)圖。

系統(tǒng)應(yīng)用采用滿足技術(shù)先進(jìn)性與成熟性相結(jié)合的基于J2EE的多層技術(shù)構(gòu)架，以提高系統(tǒng)的靈活性、可擴(kuò)展性、安全性以及并發(fā)處理能力。采用組件技術(shù)將界面控制、業(yè)務(wù)邏輯和數(shù)據(jù)映射分離，實(shí)現(xiàn)系統(tǒng)內(nèi)部的松耦合，靈活、快速地響應(yīng)業(yè)務(wù)變化對(duì)系統(tǒng)的需求。系統(tǒng)層次結(jié)構(gòu)總體上劃分為客戶層、接入表示層、業(yè)務(wù)邏輯層、數(shù)據(jù)層(包含數(shù)據(jù)映射層和數(shù)據(jù)源)，通過各層次系統(tǒng)組件間服務(wù)的承載關(guān)系，實(shí)現(xiàn)系統(tǒng)功能。系統(tǒng)技術(shù)架構(gòu)如圖2所示。

圖1 系統(tǒng)總體架構(gòu)圖

表示控制層對(duì)應(yīng)平臺(tái)中的控制器，實(shí)現(xiàn)畫面與后臺(tái)的數(shù)據(jù)交換、畫面之間的遷移、畫面數(shù)據(jù)的檢查等功能；業(yè)務(wù)處理層對(duì)應(yīng)具體的業(yè)務(wù)，在此層處理業(yè)務(wù)邏輯，并通過數(shù)據(jù)庫(kù)操作層完成到數(shù)據(jù)庫(kù)的交互；持久控制層對(duì)應(yīng)數(shù)據(jù)庫(kù)操作，所有的數(shù)據(jù)庫(kù)操作都必須且只能集中在該層?？刂破饕蕾囉跇I(yè)務(wù)處理層，而業(yè)務(wù)處理層依賴于持久控制層，通過依賴注入功能，可以將這種依賴性通過相關(guān)配置進(jìn)行統(tǒng)一管理，最大限度地降低各層次之間的耦合性[3]。

1.1 現(xiàn)有安全數(shù)據(jù)整合

現(xiàn)有安全數(shù)據(jù)整合模塊建立信息安全數(shù)據(jù)表，提取四川電力現(xiàn)有信息系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，進(jìn)行跨部門、跨平臺(tái)的安全信息的統(tǒng)一收集、分析、處理。在數(shù)據(jù)抽取、轉(zhuǎn)換和加載(ETL：Extract，Transact，Load)過程中使用包括直接抽取、文件抽取、WEB抽取等幾種常見形式[4]。對(duì)不同應(yīng)用系統(tǒng)，采用不同抽取方式；甚至對(duì)同一應(yīng)用系統(tǒng)中不同的業(yè)務(wù)數(shù)據(jù)，也可以采用不同抽取方式。

直接抽取是指ETL服務(wù)器直接連接到應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)中直接抽取所需數(shù)據(jù)的方式，因此必須設(shè)置嚴(yán)格的權(quán)限控制，保證用戶不能訪問和修改系統(tǒng)中的其他敏感信息，以免造成安全問題。且由于會(huì)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)造成大量負(fù)荷，因此必須進(jìn)行抽取時(shí)間窗口控制，協(xié)調(diào)對(duì)外服務(wù)時(shí)間和抽取時(shí)間，以減少數(shù)據(jù)抽取對(duì)正常業(yè)務(wù)運(yùn)行造成的影響?；谝陨峡紤]，這里對(duì)數(shù)據(jù)敏感度較小、數(shù)據(jù)及時(shí)性要求不高的IDS、IPS入侵?jǐn)?shù)據(jù)進(jìn)行直接抽取。

WEB抽取是通過WEB服務(wù)獲取系統(tǒng)需要的數(shù)據(jù)的抽取方式。通過這種方式可以方便獲取需要的數(shù)據(jù)，同時(shí)可以對(duì)這些數(shù)據(jù)做校驗(yàn)等操作，是目前一種先進(jìn)的抽取方式，不便的是在數(shù)據(jù)量很大時(shí)，網(wǎng)絡(luò)傳輸速度會(huì)很忙，嚴(yán)重影響系統(tǒng)性能。對(duì)于數(shù)據(jù)量較小、系統(tǒng)接口實(shí)現(xiàn)較困難的考核指標(biāo)類數(shù)據(jù)采用WEB抽取完成。

文件交換是指將需要抽取的業(yè)務(wù)數(shù)據(jù)保存為有格式的文本文件，ETL服務(wù)器通過讀此文件內(nèi)容來獲取業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)抽取方式。文件交換對(duì)原數(shù)據(jù)庫(kù)系統(tǒng)造成影響較小。采用此方式時(shí)，應(yīng)用系統(tǒng)將需要抽取的數(shù)據(jù)按照約定格式保存在文件中，并通過FTP、文件共享等方式將保存有業(yè)務(wù)數(shù)據(jù)的文件傳遞約定位置。ETL服務(wù)器從約定位置取出數(shù)據(jù)文件，并通過文件分析引擎對(duì)文件進(jìn)行分析，取出業(yè)務(wù)數(shù)據(jù)。這里除IDS、IPS、小數(shù)據(jù)外，主要數(shù)據(jù)均采用文件交換形式傳輸，且傳輸時(shí)約定文件傳輸結(jié)束標(biāo)志，標(biāo)志內(nèi)容為已傳輸完畢的數(shù)據(jù)文件的文件名，以及此文件的MD5驗(yàn)證碼。ETL服務(wù)器獲取傳輸結(jié)束標(biāo)志文件后，認(rèn)為對(duì)應(yīng)的數(shù)據(jù)文件已經(jīng)傳輸完畢。然后再通過對(duì)數(shù)據(jù)文件進(jìn)行MD5驗(yàn)證，將驗(yàn)證碼與傳輸結(jié)束標(biāo)志文件內(nèi)的MD5驗(yàn)證碼進(jìn)行對(duì)比來驗(yàn)證數(shù)據(jù)文件是否完整。同時(shí)約定文件重傳標(biāo)記，當(dāng)傳遞到約定交換位置的數(shù)據(jù)文件在上傳完畢和下傳開始期間發(fā)生損壞，導(dǎo)致約定位置的數(shù)據(jù)文件和應(yīng)用服務(wù)器生成的數(shù)據(jù)文件不一致。這樣，ETL服務(wù)器根據(jù)約定位置的數(shù)據(jù)文件計(jì)算出的MD5驗(yàn)證碼就和傳輸結(jié)束標(biāo)志文件中的MD5碼不一致，從而發(fā)現(xiàn)文件不一致的錯(cuò)誤，發(fā)現(xiàn)錯(cuò)誤后，ETL服務(wù)器需要使用文件重傳標(biāo)志來通知應(yīng)用系統(tǒng)重新傳輸相應(yīng)的數(shù)據(jù)文件。

數(shù)據(jù)整合分析模塊能幫助安全督查人員在原有系統(tǒng)數(shù)據(jù)的基礎(chǔ)上增強(qiáng)對(duì)比分析，對(duì)各個(gè)信息系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行監(jiān)測(cè)數(shù)量、監(jiān)測(cè)位置、監(jiān)測(cè)范圍以及數(shù)據(jù)的匹配度和數(shù)據(jù)類比結(jié)果進(jìn)行分析，得出不同系統(tǒng)對(duì)相似對(duì)象監(jiān)控的差異，并按時(shí)生成信息安全類比分析報(bào)告。

1.2 漏洞實(shí)時(shí)監(jiān)測(cè)

四川電力地域廣，所屬地市單位、控股、代管單位眾多而分散，而專職信息安全督查執(zhí)行人員有限，無(wú)法及時(shí)對(duì)各單位的終端、網(wǎng)絡(luò)等情況及時(shí)進(jìn)行督查，而且在工作時(shí)間進(jìn)行漏洞掃描會(huì)造成系統(tǒng)訪問量增大，影響系統(tǒng)性能。為此，要在集中監(jiān)測(cè)分析平臺(tái)上實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)功能，對(duì)四川電力范圍內(nèi)所有對(duì)內(nèi)、對(duì)外服務(wù)網(wǎng)站漏洞及應(yīng)用系統(tǒng)弱口令等進(jìn)行實(shí)時(shí)監(jiān)測(cè)與提醒。在實(shí)現(xiàn)方式上采用實(shí)時(shí)調(diào)度任務(wù)完成，分別設(shè)計(jì)網(wǎng)站掃描調(diào)度任務(wù)和弱口令掃描調(diào)度任務(wù)，掃描時(shí)由管理員根據(jù)系統(tǒng)實(shí)際運(yùn)行情況配置調(diào)度任務(wù)執(zhí)行時(shí)間、執(zhí)行周期、掃描對(duì)象等信息，系統(tǒng)根據(jù)配置信息調(diào)度掃描任務(wù)進(jìn)行自動(dòng)定時(shí)(一般設(shè)定在夜間)掃描，自動(dòng)匯總分析結(jié)果[5]。

圖3 弱口令監(jiān)測(cè)流程圖

在進(jìn)行信息系統(tǒng)弱口令掃描時(shí)，對(duì)可直接獲取口令明文的被測(cè)系統(tǒng)，本系統(tǒng)按照系統(tǒng)密碼強(qiáng)度規(guī)則分析口令明文，判斷口令的強(qiáng)度，對(duì)不符合規(guī)則的系統(tǒng)口令進(jìn)行記錄。對(duì)不能直接獲取口令明文的被測(cè)系統(tǒng)，本系統(tǒng)按照弱口令字典表、ETL抽取的系統(tǒng)用戶賬號(hào)信息，通過模擬系統(tǒng)登錄原理，檢查被測(cè)系統(tǒng)用戶弱口令，記錄不符合規(guī)則的系統(tǒng)口令，并保留檢測(cè)分析過程，將發(fā)現(xiàn)不符合規(guī)則口令的過程、系統(tǒng)現(xiàn)場(chǎng)情況保存為圖片作為督查證據(jù)。弱口令監(jiān)測(cè)流程圖如圖3。

圖4 四川電力全網(wǎng)漏洞圖

圖5 四川電力全網(wǎng)漏洞環(huán)比圖

圖6 四川電力當(dāng)月入侵日志統(tǒng)計(jì)

圖7 四川電力各單位告警統(tǒng)計(jì)

內(nèi)、外網(wǎng)網(wǎng)站漏洞自動(dòng)掃描模塊主要掃描SQL注入、跨站腳本攻擊(XSS)、失效的訪問控制、緩存溢出問題、HTTP響應(yīng)拆分漏洞、參數(shù)篡改、隱式字段處理、目錄遍歷攻擊等由 OWASP(open web application security project，開放式web 應(yīng)用程序安全項(xiàng)目)所公布的 web 應(yīng)用安全漏洞，并針對(duì)出現(xiàn)的漏洞給出指導(dǎo)性建議。

1.3 全景展示

具有安全數(shù)據(jù)整合及漏洞實(shí)時(shí)監(jiān)測(cè)功能的集中監(jiān)測(cè)分析平臺(tái)基本完全挖掘出四川電力當(dāng)前信息系統(tǒng)運(yùn)行過程中與安全相關(guān)的數(shù)據(jù)，依托對(duì)這些海量數(shù)據(jù)的綜合展示分析，管理者能快速識(shí)別當(dāng)前風(fēng)險(xiǎn)，為信息安全下一步投資提供充分的參考依據(jù)。

2 結(jié) 論

針對(duì)四川電力當(dāng)前信息安全相關(guān)數(shù)據(jù)較分散，同時(shí)對(duì)于弱口令、網(wǎng)站漏洞等缺乏實(shí)時(shí)監(jiān)控手段問題，不利于信息安全督查工作開展問題，提出建立信息安全集中監(jiān)測(cè)分析平臺(tái)，提取現(xiàn)有各系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，并對(duì)其進(jìn)行整合、分析，同時(shí)對(duì)弱口令、網(wǎng)站漏洞等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，最后對(duì)海量數(shù)據(jù)進(jìn)行綜合展示分析，全面地分析監(jiān)測(cè)報(bào)告，幫助深入掌握系統(tǒng)安全漏洞和信息安全趨勢(shì)，實(shí)現(xiàn)安全技術(shù)和管理的結(jié)合，同時(shí)利用關(guān)聯(lián)分析可以找出安全事件中各種屬性之間的相關(guān)特性，排除無(wú)意義的信息，及時(shí)對(duì)安全問題進(jìn)行快速定位，提高安全事件的應(yīng)急響應(yīng)處理能力。

值得說明的是，如何利用集中監(jiān)測(cè)分析平臺(tái)的海量安全事件進(jìn)行信息安全態(tài)勢(shì)感知，從總體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全狀態(tài)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，是安全領(lǐng)域具有挑戰(zhàn)性的問題，也是尚需進(jìn)一步努力的地方[6]。

[1] 四川省電力公司.四川省電力公司“十二五”信息化規(guī)劃[Z].2011.

[2] 沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述[J].中國(guó)科學(xué)，E輯: 信息科學(xué)，2007，37(2): 129-150.

[3] 郭紅星.網(wǎng)絡(luò)信息安全預(yù)警監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2012(2)：48-50.

[4] 王剛軍，張學(xué)松，郭志忠.電力信息安全的監(jiān)控與分析[J].電網(wǎng)技術(shù)，2004，28(9)：50-53.

[5] 趙衍.基于網(wǎng)絡(luò)數(shù)據(jù)挖掘的信息安全監(jiān)控體系[J].上海管理科學(xué)，2010，23(4)：52-55.

[6] 余勇，林為民.基于等級(jí)保護(hù)的電力信息安全監(jiān)控系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2012(11)：440-442.