SCI论文(www.lunwensci.com):
摘要:在计算机、通信技术的双重影响下,各行各业纷纷将信息化建设的工作提上日程。本文从电力行业的视角出发,在对安全技术、感知技术进行简要说明的基础上,围绕可感知网络态势的系统展开了讨论,具体内容涉及系统结构、功能模块还有建立模型等方面,供相关人员参考。
关键词:电力行业;网络安全;安全态势感知
Analysis of Network Security Situation Awareness in Power Industry
HAN Jie1,ZHONG Yiming2,CHEN Mingliang3
(1.State Grid Shaoxing Power Supply Company,Shaoxing Zhejiang 312000;2.Electric Power Research Institute of State Grid Jiangxi Electric Power Co.,Ltd.,Nanchang Jiangxi 330096;3.State Grid Jiangxi Electric Power Co.,Ltd.,Nanchang Jiangxi 330077)
【Abstract】:Under the dual influence of computer and communication technology,all walks of life have put the work of information construction on the agenda.From the perspective of power industry,based on the brief description of security technology and perception technology,the discussion focused on the system that can perceive the network situation,the specific contents include system structure,functional modules and model establishment,for reference of relevant personnel.
【Key words】:power industry;network security;security situational awareness
0引言
作为我国的基础设施,电力系统所表现出安全性往往会给社会稳定性产生深远影响,对电力系统进行安全防护势在必行。此举一方面能够避免业务核心数据被更改或是被窃取,另一方面可最大程度降低网络被渗透的可能性,以免由于信息安全受到威胁,导致大范围停电或是引起不必要的电网事故。要想使防护工作取得理想成效,关键是要对网络态势进行实时监控,这也是本文所讨论的重点。
1研究背景
出于提高电力网络稳定性与安全性的考虑,电网公司构建了集纵向认证与横向隔离于一体的防护机制,同时接入了漏洞扫描和防火墙等子系统。考虑到电力网络较为复杂,不仅安全日志数量极多,且各类日志间的关联并不明显,一旦有攻击事件发生,工作人员往往需要从多个设备上获取所需信息,并通过关联分析的方式确定最终处理方案,无论是分析效率还是分析完整度均难以得到保证。要想扭转上述局面,关键是要构建起综合性的感知系统,确保工作人员可对网络状态具有实时了解[1]。
2技术发展情况
2.1安全技术
(1)防火墙。作为对未授权、授权通信实体进行判
断的设备,防火墙的作用主要是避免信息被不法分子所修改,除特殊情况外,防火墙均应被部署在网络边界处,此举可将信息外泄的概率降至最低。作为分区分域的核心手段,防火墙能够为内网提供全面且有效的保护,但也要明确该技术所存在不足,即:无法对内部攻击、旁路攻击进行有效防范,同时对策略配置具有极强的依赖性。(2)风险管理。风险管理的作用,主要是确保工作人员能够对网络潜在风险具有全面且准确的了解,通过制定针对性防控方案的方式,为网络安全性提供保证。风险管理所依托基础为风险评估,需要先对系统脆弱性还有威胁进行识别,再结合脆弱性程度以及威胁发生概率,对事故出现概率加以确定,为日后管理工作的有序开展提供理论依据[2]。(3)入侵检测。攻击方绕过防护设备对网络进行攻击的情况时有发生,若工作人员能够第一时间发现攻击行为并加以处理,将确保网络攻击给系统安全所造成影响被降至最低,对入侵进行检测的重要性有目共睹。现阶段,该技术的应用方向有两个,分别是误用检测以及异常检测,前者能够以攻击行为所表现出特点为依据,对知识库进行建立,确保攻击行为可得到及时检测,后者则需要先对正常行为进行分析并建立相关模型,再通过比较模型和网络行为的方式,得出相关结论。一般来说,误用检测更适合被用来对已发生攻击行为进行检测,具有漏报概率较高的不足,而异常检测可有效弥补误用检测所存在不足,现已在诸多领域得到了广泛应用。
2.2感知技术
信息时代的到来加快了网络发展的速度,不仅网络规模有所增大,其内部结构也较以往更加复杂,攻击工具的类型及数量均有所增加,沿用现有防护技术所能取得效果十分有限,在此背景下,可感知网络态势的技术应运而生。该技术强调以可给网络安全造成影响的因素为依据,通过综合分析安全事件的方式,得出具有现实意义的结论。而从电力行业的立场来看,网络安全态势主要指的是网络行为、用户行为和设备状态的发展趋势,这也决定了要想对安全态势进行系统且准确的感知,关键是要综合考虑各安全因素。
3感知系统设计要点说明
3.1整体结构
对感知网络态势并评估安全风险的系统进行设计时,设计人员应做到将信息资产作为切入点,在落实安全事件管理相关工作的基础上,对评估模型进行建立,为日后分析事件风险还有应急响应等工作的高效开展提供有力支持。对本系统进行设计的关键是以现有数据融合技术为基础,在全面融合漏洞扫描、IDS还有防火墙日志的前提下,通过对关联事件进行全面分析的方式,使告警更具准确性以及针对性[3]。此外,本系统还创造性地引入了评估模型、分层模型,旨在通过实时评估的方式,使工作人员对网络态势具有更加准确的了解,通过快速确定风险点还有攻击源的方式,为安全防护及后续工作的开展奠基。
本系统可被拆分成三部分,分别是数据接口,管理数据的平台,展示平台。其中,数据接口可细分为采集接口、系统接口,前者负责对安全日志所记录数据进行采集和处理,后者的作用是保证本系统能够与扫描系统、管理系统实现无缝对接。管理平台的功能较多,包括但不限于界面管理、资产管理以及权限管理,展示平台的作用是实时监控,并根据所采集数据完成关联分析等工作。
3.2功能模块
(1)脆弱管理模块。脆弱性是指资产潜在的薄弱环节,一旦脆弱性被不法分子所用,将使企业资产受到威胁甚至损害。对其进行管理的侧重点有两个:一是采集相关信息;二是管理相关信息。从电力行业的立场来看,其获取脆弱性信息的途径主要有三个,分别是核查安全配置、人工审计漏洞以及扫描漏洞,强调以采集相关信息为前提,通过范式处理的方式,获得和信息资产存在密切关联的数据。
(2)资产管理模块。信息资产指的是企业现有的或所能控制的、可在未来给自身创造可观收入的资源,各类信息资产所对应表示形式往往存在显著差别,其所面临风险及威胁自然也有所不同。对电力行业而言,管理信息资产的前提是以信息化运维所表现出特征为依据,在确立相关表示模型的基础上,对潜在威胁、信息资产间的联系加以明确。本文所设计系统强调以现行管理规范为依据,通过评估资产价值的方式,对信息资产在保密性、实际价值还有完整性等方面所提出需求加以明确,确保工作人员能够系统且高效的完成对资产属性进行管理的工作。
(3)安全管理模块。作为本系统的核心模块,安全事件管理主要负责对安全告警、安全日志等信息进行管理,确保安全告警可获得全过程监控,同时为工作人员提供帮助,通过查询历史数据等方式,实现对安全态势进行实时感知的目标。随着该模块投入运行,工作人员可第一时间发现外界安全威胁,并根据所做出攻击与入侵行为,对事件源进行锁定,通过审计和调查取证双管齐下的方式,使管理工作得到有序开展,为网络所具有安全性及稳定性提供保证。
该模块可被细分成三层:1)采集层,该层的任务主要是采集多协议还有多元数据,数据来源包括应用服务、网络设备以及数据库。随后,由该模块负责将处理后日志分类,提炼相关规律,获得满足关联分析、聚合分析各项条件的安全日志[4]。对网络规模较大且信息类型复杂的电力行业来说,无论是服务器日志还是安全日志,其数量均十分巨大,鉴于此,设计人员提出引入分布存储模式的建议,对写入日志、处理日志的速度进行提升,以此来保证系统吞吐量达到行业有关标准。2)业务层,该层负责对处理所得规范日志进行关联分析、实时分析以及历史分析,其中,关联分析的又一作用是聚合安全日志,在增强安全告警所具有针对性的基础上,确保相关信息可获得更加直观且准确的表述。实际运用场景有访问远程跳板,非法篡改网页等。3)应用层,该层的作用是对分析结构、安全态势进行可视化展示,同时对权限、资产以及日志进行系统管理。信息时代的来临,无形中增加了网络环境的复杂程度,日志数量也较以往有所增加,出于提高查询效率的考虑,设计人员计划引入分布式框架对该系统进行设计,通过新增查询器数量的方式,在保证查询准确性的同时优化响应速度,使响应效率达到预期水平。
在本文所设计系统中,上述模块获取安全信息的途径主要分为三类:一是服务器、防火墙及网络安全日志;二是防病毒日志;三是安全告警和阻断日志。要想使安全告警得到系统化展示,关键要做到几点:(1)整合所采集安全事件,在归并、处理安全事件的基础上,对存储格式进行统一。(2)根据所提炼规律完成关联分析,强调以事件发生时间为依据,结合检测所得结论,对事件是否存在关联进行判断。(3)落实统计关联分析相关工作,简单来说,就是由用户对事件发生数量进行定义,待事件量与限值持平,便可触发相关事件。(4)整合资产台账、脆弱性相关数据,对信息资产当前所处安全状态进行科学且全面的评估,得出最终结论。
3.3建立模型
(1)关联模型。该模型的作用是以安全告警为依据,对事件关联程度进行分析,确保工作人员能够以安全告警为切入点,对受到攻击的设备、攻击源设备相关信息进行查询,并根据扫描、核查结果,对设备所存在漏洞加以明确,使攻击事件尽快得到解决。工作人员可经由本系统对安全告警信息进行获取,同时对被攻击方、攻击源加以确定,通过快速且全面的分析,对被攻击方是否有安全漏洞进行明确,若发现被攻击方存在潜在漏洞,可通过应急处置的方式,对由此而引发的一系列问题加以解决。此外,该模型的作用还体现在以下方面:帮助工作人员尽快确定攻击行为所带来问题,将分析不规范或是类似问题出现的概率降至最低。在建立关联模型时,出于提高其运行效率的考虑,设计人员计划引入CEP计算框架,简单来说,就是用查询语言替代关联规则,基于CEP引擎匹配数据流,确保处理速度始终维持在较高水准。
在实际运用中,有几方面内容需要引起重视:1)规则分析需要先对关联引擎做规则匹配处理,再对违规行为、攻击行为进行分析。工作人员可视情况构建多事件规则或是单事件规则,其中,多事件规则的特点在于其能够对满足数个规则的复杂事件进行匹配,单事件规则仅能匹配规则单一的事件。2)情境分析强调先对运行环境、安全事件进行整合,再通过关联分析的方式,对潜在安全威胁进行快速识别。现阶段,该技术已在资产分析、弱点分析和拓扑分析等领域得到了运用,其中,资产分析的关键是将资产名称及类型和事件IP地址相关联,弱点分析则强调将目标资产潜在漏洞、安全事件相关联,拓扑分析需要以故障传播特点为依据,基于拓扑空间对告警事件出现时间和分布情况进行分析,由此来获得相应的诊断结论。3)行为分析,其作用主要是为安全分析逆转助力,弱化分析工作对关联引擎所具有的依赖性。考虑到高级威胁往往不存在签名,同时攻击行为具有明显的不确定性,要想使行为分析发挥出应有作用,关键是要以异常检测所获得数据为基础,结合正常行为对可疑活动进行揭露。事实证明,这样做一方面能够提高分析效率,另一方面能够减少事故调查量,相关人员应对此引起重视。
(2)评估模型。该模型需要先输入脆弱性、资产赋值还有威胁,再通过矩阵运算的方式,对风险分值加以确定。对电力行业而言,获取威胁信息的途径主要有扫描报告、核查报告以及安全告警。出于提升工作人员获取安全风险相关信息的速度的考虑,本系统计划对自动运算技术加以应用,强调以安全时间影响范围、资产漏洞以及价值为依据,对风险进行计算。事实证明,这样做可使CIA属性给资产所造成影响得到如实展示,工作人员可借助上述模型对业务属性、事件威胁进行分析,真正做到通过管理安全事件潜在风险的方式,使业务风险得到系统且有效的管理。
4结语
近几年,电力行业所依托网络结构的复杂程度大幅提高,为提高安全防护有效性,相关人员提出以数据融合为基础,对相关感知系统进行建立的方案。本文重点介绍了感知系统的设计要点,指出要想使安全态势得到准确评估,关键是要建立可说明网络脆弱性、主机和服务间所存在关联的模型,同时结合可间接影响网络安全性的风险,对网络态势进行全面评估。
参考文献
[1]朱海鹏,赵磊,秦昆,等.基于大数据分析的电力监控网络安全主动防护策略研究[J].电测与仪表,2020,57(21):133-139.
[2]任郡枝,陈健,姜心怡,等.考虑可移动式储能与网络重构的弹性配电网灾后恢复策略[J].电力建设,2020,41(3):86-92.
[3]倪伟东,武利会,王俊丰.基于自主安全芯片的配网自动化系统网络安全防护及硬件加速[J].电力科学与技术学报,2020,35(3):166-172.
[4]陈霖,许爱东,蒋屹新,等.基于动态增量聚类分析的电力信息网络攻击模式识别算法[J].南方电网技术,2020,14(8):25-32.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/40695.html
