信息安全集中監(jiān)測(cè)分析平臺(tái)包括信息安全相關(guān)數(shù)據(jù)抽取規(guī)則管理、信息安全相關(guān)數(shù)據(jù)抽取、安全策略配置和下發(fā)、系統(tǒng)口令、掃描分析、漏洞掃描分析、安全事件集中管理、安全事件關(guān)聯(lián)分析、安全設(shè)備狀態(tài)實(shí)時(shí)監(jiān)控、全景展示等功能模塊［2］。圖1為系統(tǒng)總體架構(gòu)圖。系統(tǒng)應(yīng)用采用滿足技術(shù)先進(jìn)性與成熟性相結(jié)合的基于J2EE的多層技術(shù)構(gòu)架，以提高系統(tǒng)的靈活性、可擴(kuò)展性、安全性以及并發(fā)處理能力。采用組件技術(shù)將界面控制、業(yè)務(wù)邏輯和數(shù)據(jù)映射分離，實(shí)現(xiàn)系統(tǒng)內(nèi)部的松耦合，靈活、快速地響應(yīng)業(yè)務(wù)變化對(duì)系統(tǒng)的需求。系統(tǒng)層次結(jié)構(gòu)總體上劃分為客戶層、接入表示層、業(yè)務(wù)邏輯層、數(shù)據(jù)層(包含數(shù)據(jù)映射層和數(shù)據(jù)源)，通過(guò)各層次系統(tǒng)組件間服務(wù)的承載關(guān)系，實(shí)現(xiàn)系統(tǒng)功能。系統(tǒng)技術(shù)架構(gòu)如圖2所示。表示控制層對(duì)應(yīng)平臺(tái)中的控制器，實(shí)現(xiàn)畫(huà)面與后臺(tái)的數(shù)據(jù)交換、畫(huà)面之間的遷移、畫(huà)面數(shù)據(jù)的檢查等功能;業(yè)務(wù)處理層對(duì)應(yīng)具體的業(yè)務(wù)，在此層處理業(yè)務(wù)邏輯，并通過(guò)數(shù)據(jù)庫(kù)操作層完成到數(shù)據(jù)庫(kù)的交互;持久控制層對(duì)應(yīng)數(shù)據(jù)庫(kù)操作，所有的數(shù)據(jù)庫(kù)操作都必須且只能集中在該層。控制器依賴于業(yè)務(wù)處理層，而業(yè)務(wù)處理層依賴于持久控制層，通過(guò)依賴注入功能，可以將這種依賴性通過(guò)相關(guān)配置進(jìn)行統(tǒng)一管理，最大限度地降低各層次之間的耦合性［3］。

 

1．1現(xiàn)有安全數(shù)據(jù)整合

 

現(xiàn)有安全數(shù)據(jù)整合模塊建立信息安全數(shù)據(jù)表，提取四川電力現(xiàn)有信息系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，進(jìn)行跨部門(mén)、跨平臺(tái)的安全信息的統(tǒng)一收集、分析、處理。在數(shù)據(jù)抽取、轉(zhuǎn)換和加載(ETL:Extract，Transact，Load)過(guò)程中使用包括直接抽取、文件抽取、WEB抽取等幾種常見(jiàn)形式［4］。對(duì)不同應(yīng)用系統(tǒng)，采用不同抽取方式;甚至對(duì)同一應(yīng)用系統(tǒng)中不同的業(yè)務(wù)數(shù)據(jù)，也可以采用不同抽取方式。直接抽取是指ETL服務(wù)器直接連接到應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)中直接抽取所需數(shù)據(jù)的方式，因此必須設(shè)置嚴(yán)格的權(quán)限控制，保證用戶不能訪問(wèn)和修改系統(tǒng)中的其他敏感信息，以免造成安全問(wèn)題。且由于會(huì)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)造成大量負(fù)荷，因此必須進(jìn)行抽取時(shí)間窗口控制，協(xié)調(diào)對(duì)外服務(wù)時(shí)間和抽取時(shí)間，以減少數(shù)據(jù)抽取對(duì)正常業(yè)務(wù)運(yùn)行造成的影響。基于以上考慮，這里對(duì)數(shù)據(jù)敏感度較小、數(shù)據(jù)及時(shí)性要求不高的IDS、IPS入侵?jǐn)?shù)據(jù)進(jìn)行直接抽取。WEB抽取是通過(guò)WEB服務(wù)獲取系統(tǒng)需要的數(shù)據(jù)的抽取方式。通過(guò)這種方式可以方便獲取需要的數(shù)據(jù)，同時(shí)可以對(duì)這些數(shù)據(jù)做校驗(yàn)等操作，是目前一種先進(jìn)的抽取方式，不便的是在數(shù)據(jù)量很大時(shí)，網(wǎng)絡(luò)傳輸速度會(huì)很忙，嚴(yán)重影響系統(tǒng)性能。對(duì)于數(shù)據(jù)量較小、系統(tǒng)接口實(shí)現(xiàn)較困難的考核指標(biāo)類數(shù)據(jù)采用WEB抽取完成。文件交換是指將需要抽取的業(yè)務(wù)數(shù)據(jù)保存為有格式的文本文件，ETL服務(wù)器通過(guò)讀此文件內(nèi)容來(lái)獲取業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)抽取方式。文件交換對(duì)原數(shù)據(jù)庫(kù)系統(tǒng)造成影響較小。采用此方式時(shí)，應(yīng)用系統(tǒng)將需要抽取的數(shù)據(jù)按照約定格式保存在文件中，并通過(guò)FTP、文件共享等方式將保存有業(yè)務(wù)數(shù)據(jù)的文件傳遞約定位置。ETL服務(wù)器從約定位置取出數(shù)據(jù)文件，并通過(guò)文件分析引擎對(duì)文件進(jìn)行分析，取出業(yè)務(wù)數(shù)據(jù)。這里除IDS、IPS、小數(shù)據(jù)外，主要數(shù)據(jù)均采用文件交換形式傳輸，且傳輸時(shí)約定文件傳輸結(jié)束標(biāo)志，標(biāo)志內(nèi)容為已傳輸完畢的數(shù)據(jù)文件的文件名，以及此文件的MD5驗(yàn)證碼。ETL服務(wù)器獲取傳輸結(jié)束標(biāo)志文件后，認(rèn)為對(duì)應(yīng)的數(shù)據(jù)文件已經(jīng)傳輸完畢。然后再通過(guò)對(duì)數(shù)據(jù)文件進(jìn)行MD5驗(yàn)證，將驗(yàn)證碼與傳輸結(jié)束標(biāo)志文件內(nèi)的MD5驗(yàn)證碼進(jìn)行對(duì)比來(lái)驗(yàn)證數(shù)據(jù)文件是否完整。同時(shí)約定文件重傳標(biāo)記，當(dāng)傳遞到約定交換位置的數(shù)據(jù)文件在上傳完畢和下傳開(kāi)始期間發(fā)生損壞，導(dǎo)致約定位置的數(shù)據(jù)文件和應(yīng)用服務(wù)器生成的數(shù)據(jù)文件不一致。這樣，ETL服務(wù)器根據(jù)約定位置的數(shù)據(jù)文件計(jì)算出的MD5驗(yàn)證碼就和傳輸結(jié)束標(biāo)志文件中的MD5碼不一致，從而發(fā)現(xiàn)文件不一致的錯(cuò)誤，發(fā)現(xiàn)錯(cuò)誤后，ETL服務(wù)器需要使用文件重傳標(biāo)志來(lái)通知應(yīng)用系統(tǒng)重新傳輸相應(yīng)的數(shù)據(jù)文件。數(shù)據(jù)整合分析模塊能幫助安全督查人員在原有系統(tǒng)數(shù)據(jù)的基礎(chǔ)上增強(qiáng)對(duì)比分析，對(duì)各個(gè)信息系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行監(jiān)測(cè)數(shù)量、監(jiān)測(cè)位置、監(jiān)測(cè)范圍以及數(shù)據(jù)的匹配度和數(shù)據(jù)類比結(jié)果進(jìn)行分析，得出不同系統(tǒng)對(duì)相似對(duì)象監(jiān)控的差異，并按時(shí)生成信息安全類比分析報(bào)告。

 

1．2漏洞實(shí)時(shí)監(jiān)測(cè)

 

四川電力地域廣，所屬地市單位、控股、代管單位眾多而分散，而專職信息安全督查執(zhí)行人員有限，無(wú)法及時(shí)對(duì)各單位的終端、網(wǎng)絡(luò)等情況及時(shí)進(jìn)行督查，而且在工作時(shí)間進(jìn)行漏洞掃描會(huì)造成系統(tǒng)訪問(wèn)量增大，影響系統(tǒng)性能。為此，要在集中監(jiān)測(cè)分析平臺(tái)上實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)功能，對(duì)四川電力范圍內(nèi)所有對(duì)內(nèi)、對(duì)外服務(wù)網(wǎng)站漏洞及應(yīng)用系統(tǒng)弱口令等進(jìn)行實(shí)時(shí)監(jiān)測(cè)與提醒。在實(shí)現(xiàn)方式上采用實(shí)時(shí)調(diào)度任務(wù)完成，分別設(shè)計(jì)網(wǎng)站掃描調(diào)度任務(wù)和弱口令掃描調(diào)度任務(wù)，掃描時(shí)由管理員根據(jù)系統(tǒng)實(shí)際運(yùn)行情況配置調(diào)度任務(wù)執(zhí)行時(shí)間、執(zhí)行周期、掃描對(duì)象等信息，系統(tǒng)根據(jù)配置信息調(diào)度掃描任務(wù)進(jìn)行自動(dòng)定時(shí)(一般設(shè)定在夜間)掃描，自動(dòng)匯總分析結(jié)果［5］。在進(jìn)行信息系統(tǒng)弱口令掃描時(shí)，對(duì)可直接獲取口令明文的被測(cè)系統(tǒng)，本系統(tǒng)按照系統(tǒng)密碼強(qiáng)度規(guī)則分析口令明文，判斷口令的強(qiáng)度，對(duì)不符合規(guī)則的圖3弱口令監(jiān)測(cè)流程圖系統(tǒng)口令進(jìn)行記錄。對(duì)不能直接獲取口令明文的被測(cè)系統(tǒng)，本系統(tǒng)按照弱口令字典表、ETL抽取的系統(tǒng)用戶賬號(hào)信息，通過(guò)模擬系統(tǒng)登錄原理，檢查被測(cè)系統(tǒng)用戶弱口令，記錄不符合規(guī)則的系統(tǒng)口令，并保留檢測(cè)分析過(guò)程，將發(fā)現(xiàn)不符合規(guī)則口令的過(guò)程、系統(tǒng)現(xiàn)場(chǎng)情況保存為圖片作為督查證據(jù)。弱口令監(jiān)測(cè)流程圖如圖3。圖4四川電力全網(wǎng)漏洞圖圖5四川電力全網(wǎng)漏洞環(huán)比圖圖6四川電力當(dāng)月入侵日志統(tǒng)計(jì)圖7四川電力各單位告警統(tǒng)計(jì)內(nèi)、外網(wǎng)網(wǎng)站漏洞自動(dòng)掃描模塊主要掃描SQL注入、跨站腳本攻擊(XSS)、失效的訪問(wèn)控制、緩存溢出問(wèn)題、HTTP響應(yīng)拆分漏洞、參數(shù)篡改、隱式字段處理、目錄遍歷攻擊等由OWASP公布的web應(yīng)用安全漏洞，并針對(duì)出現(xiàn)的漏洞給出指導(dǎo)性建議。

 

1．3全景展示

 

具有安全數(shù)據(jù)整合及漏洞實(shí)時(shí)監(jiān)測(cè)功能的集中監(jiān)測(cè)分析平臺(tái)基本完全挖掘出四川電力當(dāng)前信息系統(tǒng)運(yùn)行過(guò)程中與安全相關(guān)的數(shù)據(jù)，依托對(duì)這些海量數(shù)據(jù)的綜合展示分析，管理者能快速識(shí)別當(dāng)前風(fēng)險(xiǎn)，為信息安全下一步投資提供充分的參考依據(jù)。

 

2結(jié)論

 

針對(duì)四川電力當(dāng)前信息安全相關(guān)數(shù)據(jù)較分散，同時(shí)對(duì)于弱口令、網(wǎng)站漏洞等缺乏實(shí)時(shí)監(jiān)控手段問(wèn)題，不利于信息安全督查工作開(kāi)展問(wèn)題，提出建立信息安全集中監(jiān)測(cè)分析平臺(tái)，提取現(xiàn)有各系統(tǒng)中與安全相關(guān)的數(shù)據(jù)，并對(duì)其進(jìn)行整合、分析，同時(shí)對(duì)弱口令、網(wǎng)站漏洞等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，最后對(duì)海量數(shù)據(jù)進(jìn)行綜合展示分析，全面地分析監(jiān)測(cè)報(bào)告，幫助深入掌握系統(tǒng)安全漏洞和信息安全趨勢(shì)，實(shí)現(xiàn)安全技術(shù)和管理的結(jié)合，同時(shí)利用關(guān)聯(lián)分析可以找出安全事件中各種屬性之間的相關(guān)特性，排除無(wú)意義的信息，及時(shí)對(duì)安全問(wèn)題進(jìn)行快速定位，提高安全事件的應(yīng)急響應(yīng)處理能力。值得說(shuō)明的是，如何利用集中監(jiān)測(cè)分析平臺(tái)的海量安全事件進(jìn)行信息安全態(tài)勢(shì)感知，從總體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全狀態(tài)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，是安全領(lǐng)域具有挑戰(zhàn)性的問(wèn)題，也是尚需進(jìn)一步努力的地方［6］。

 

本文作者:劉姍梅 柴繼文 工作單位:國(guó)網(wǎng)四川省電力公司電力科學(xué)研究院