唐漪 馮星光

摘要：近年來網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)安全威脅層出不窮，網(wǎng)絡(luò)與信息安全形勢異常嚴(yán)峻，對網(wǎng)絡(luò)安全工作提出了新的挑戰(zhàn)。為滿足國網(wǎng)公司泛在電力物聯(lián)網(wǎng)的建設(shè)需要，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，設(shè)計(jì)了信息網(wǎng)絡(luò)安全全過程管理平臺。該平臺通過強(qiáng)化信息系統(tǒng)全生命周期各階段安全管理、實(shí)現(xiàn)安全指標(biāo)自動(dòng)化告警處置等，提升了國網(wǎng)公司信息網(wǎng)絡(luò)安全全過程管控水平，在保障信息安全的基礎(chǔ)上，全力支撐公司安全業(yè)務(wù)需求。

關(guān)鍵詞：信息網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全管理;技術(shù)架構(gòu)

0 引言

近期，國網(wǎng)公司召開會議確定了以建設(shè)“具有中國特色國際領(lǐng)先的能源互聯(lián)網(wǎng)企業(yè)”為戰(zhàn)略目標(biāo)，明確走符合中國國情的能源轉(zhuǎn)型發(fā)展道路，以堅(jiān)強(qiáng)智能電網(wǎng)為基礎(chǔ)平臺，強(qiáng)化網(wǎng)絡(luò)互聯(lián)互通和先進(jìn)信息、通信、控制技術(shù)的應(yīng)用，全面建設(shè)能源網(wǎng)架體系、信息支撐體系、網(wǎng)絡(luò)安全防護(hù)體系，構(gòu)建具有泛在互聯(lián)、高效互動(dòng)、智能安全防護(hù)等特征的智慧系統(tǒng)?！?020年電網(wǎng)信息化項(xiàng)目儲備指南》中提出，信息安全的儲備目標(biāo)是“滿足泛在電力物聯(lián)網(wǎng)全場景網(wǎng)絡(luò)安全體系建設(shè)需求，開展自主可控安全裝備研發(fā)及試點(diǎn)驗(yàn)證，全面提升紅隊(duì)攻擊滲透能力，藍(lán)隊(duì)人員的監(jiān)測處置能力和自動(dòng)化防御能力。

根據(jù)國網(wǎng)公司的工作戰(zhàn)略目標(biāo)和項(xiàng)目儲備指導(dǎo)要求，為防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，亟需開展信息網(wǎng)絡(luò)安全管控建設(shè)工作。通過強(qiáng)化信息系統(tǒng)全生命周期各階段安全管理，實(shí)現(xiàn)安全指標(biāo)自動(dòng)化告警處置等，強(qiáng)化國網(wǎng)公司全過程信息安全管控水平，在保障信息安全的基礎(chǔ)上，滿足安全防護(hù)業(yè)務(wù)需求。

1 系統(tǒng)原理及內(nèi)容

1.1? ? 系統(tǒng)原理

信息網(wǎng)絡(luò)安全全過程管理平臺總體架構(gòu)如圖1所示。

（1）展現(xiàn)層：主要提供信息系統(tǒng)上線安全管控、安全指標(biāo)全鏈路告警以及漏洞全生命周期管理功能。（2）業(yè)務(wù)層：主要包括信息安全管控服務(wù)、安全指標(biāo)全鏈路告警、關(guān)聯(lián)分析服務(wù)以及漏洞流程管控服務(wù)等。（3）數(shù)據(jù)層：主要用于統(tǒng)一存儲漏洞管控?cái)?shù)據(jù)、告警分析數(shù)據(jù)、告警跟蹤數(shù)據(jù)以及信息系統(tǒng)管控?cái)?shù)據(jù)等，并通過內(nèi)網(wǎng)郵件系統(tǒng)和短信平臺及時(shí)反饋業(yè)務(wù)申請進(jìn)度。（4）基礎(chǔ)平臺：主要包括MySQL數(shù)據(jù)庫、Linux服務(wù)器、Tomcat應(yīng)用服務(wù)器。（5）外部系統(tǒng)：主要集成了內(nèi)網(wǎng)郵件系統(tǒng)、統(tǒng)一權(quán)限系統(tǒng)和短信平臺。

1.2? ? 系統(tǒng)內(nèi)容

（1）對接入的系統(tǒng)進(jìn)行漏洞掃描，檢查應(yīng)用中存在的漏洞并進(jìn)行修復(fù)，以提高應(yīng)用程序的整體安全性。檢查安全補(bǔ)丁安裝情況，進(jìn)行補(bǔ)丁修復(fù)。（2）通過對系統(tǒng)的安全掃描，獲取系統(tǒng)相關(guān)資源信息，生成系統(tǒng)環(huán)境報(bào)告，并與相關(guān)資源進(jìn)行對比，合理分配安全資源。（3）提供變更安全評估、分析功能，生成評估報(bào)告，并及時(shí)開展信息登記與更新工作。（4）安全指標(biāo)全鏈路告警分析，設(shè)計(jì)安全指標(biāo)全鏈路告警分析功能。（5）漏洞全生命周期管理，具體內(nèi)容包括漏洞上報(bào)模塊、漏洞驗(yàn)證模塊、漏洞下發(fā)、漏洞整改、漏洞復(fù)核等。

2 系統(tǒng)功能

2.1? ? 技術(shù)架構(gòu)

信息網(wǎng)絡(luò)安全全過程管理平臺技術(shù)架構(gòu)如圖2所示。

平臺前端使用vue、jQuery等主流框架進(jìn)行開發(fā)，支持Html5、CSS3規(guī)范和jTopo開源框架。后端服務(wù)使用SpringBoot框架進(jìn)行開發(fā)，主要用于平臺各模塊數(shù)據(jù)開發(fā);部分組件采用前后端分離的開發(fā)方式。接口使用HTTP Restful方式進(jìn)行開發(fā)。

2.2? ? 功能架構(gòu)

信息網(wǎng)絡(luò)安全全過程管理平臺功能架構(gòu)如圖3所示。

（1）系統(tǒng)上下線管理：對需要接入的業(yè)務(wù)系統(tǒng)，提供業(yè)務(wù)系統(tǒng)上下線申請并提交至管理員進(jìn)行審核等功能。（2）系統(tǒng)漏洞掃描：通過掃描工具對接入的系統(tǒng)進(jìn)行自動(dòng)掃描，出具掃描結(jié)果。（3）滲透測試：對安全資源進(jìn)行滲透測試。（4）漏洞補(bǔ)丁管理：提供補(bǔ)丁庫的維護(hù)與管理功能。（5）重大變更管理：對發(fā)生重大變更的業(yè)務(wù)系統(tǒng)資源進(jìn)行管理。（6）資源分配管理：根據(jù)掃描結(jié)果，選取資源。（7）數(shù)據(jù)清除歸檔：提供已下線的系統(tǒng)數(shù)據(jù)清除功能，并對相關(guān)信息歸檔保存。（8）權(quán)限回收。（9）安全指標(biāo)配置：針對網(wǎng)絡(luò)安全分析室建設(shè)、S6000看板以及安全技防工具實(shí)用化等方面考核指標(biāo)，提供指標(biāo)配置與維護(hù)功能。（10）指標(biāo)工單管理：提供指標(biāo)工單新建、搜索工單、指標(biāo)工單處理情況跟蹤等功能。（11）漏洞上報(bào)：紅隊(duì)申請人根據(jù)已通過的備案申請單，開展漏洞掃描工作并將掃描結(jié)果進(jìn)行上傳，并發(fā)送至電科院負(fù)責(zé)人進(jìn)行審核。（12）漏洞審核：電科院負(fù)責(zé)人對結(jié)果進(jìn)行審核驗(yàn)證，并對掃描結(jié)果信息進(jìn)行審核操作，審核通過后提交至省信通。（13）漏洞下發(fā)：系統(tǒng)根據(jù)審核通過的掃描結(jié)果，自動(dòng)生成漏洞整改通知單，根據(jù)設(shè)備IP自動(dòng)關(guān)聯(lián)整改負(fù)責(zé)人，利用系統(tǒng)的自動(dòng)下發(fā)和手工下發(fā)功能，將整改通知單下發(fā)至設(shè)備負(fù)責(zé)人，并通過郵件的方式通知相關(guān)人員。（14）漏洞整改：設(shè)備負(fù)責(zé)人收到漏洞整改通知單后，根據(jù)整改單的信息，對設(shè)備漏洞進(jìn)行整改與修復(fù)，整改完成后在系統(tǒng)中反饋提交至電科院。（15）漏洞復(fù)核：電科院負(fù)責(zé)人收到漏洞整改結(jié)果后，對設(shè)備漏洞進(jìn)行復(fù)測，確認(rèn)問題是否整改完成，如未整改完成，則退回重新整改。

3 結(jié)語

國網(wǎng)公司通過信息網(wǎng)絡(luò)安全全過程管理平臺的建設(shè)與應(yīng)用，實(shí)現(xiàn)了安全指標(biāo)的自動(dòng)化告警，并形成了流程化工單管理制度，為告警處理情況提供了跟蹤依據(jù)。同時(shí)，通過開展紅藍(lán)隊(duì)漏洞全生命周期管理工作，實(shí)現(xiàn)了對全網(wǎng)漏洞的跟蹤功能，全面優(yōu)化提升了信息網(wǎng)絡(luò)安全。

收稿日期：2020-07-04

作者簡介：唐漪（1987—），女，安徽合肥人，助理工程師，從事水利監(jiān)理工作。