电力企业信息安全监管平台的研究与应用
随着信息化与企业核心业务融合的程度越来越高,信息安全问题日渐凸显。近年来,东营供电公司先后实施了信息内外网强隔离、信息系统等级保护、桌面终端安全管理等一系列信息安全防护措施,建立起了较为完备的信息安全技术屏障。但信息安全管理仍存在许多问题和隐患,主要表现在以下四个方面:
(1)传统意义的安全防护措施各类产品只关注安全的某一方面,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调,安全事件无法迅速响应。
(2)由于安全相关的信息量越来越大,关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。
(3)网络系统和安全系统的日益复杂在不断地增加运行维护的难度、工作量和人力成本,对于位置分散的、数目众多的各类主机、网络设备、安全设备等进行逐一管理耗时耗力。整天忙于“救火”,却不知道先“救”哪一个。
(4)由于新的安全威胁总是出现在安全应对措施之前,完全依赖安全技术的安全防护系统无法真正确保网络的安全和提高企业的安全防护能力。
1 系统技术方案
1.1 研究目标
建设一个全方位、集中式的电力企业信息安全监管平台,集中采集各类分散安装的主机、网络设备、安全设备的安全信息和事件记录,进行关联性分析、优先级判断和可视化展现,对企业信息安全状况(物理安全、边界安全、应用安全等)进行全局性、局部性的风险评估,对安全策略和配置进行统一协调,对安全信息和安全事件迅速、准确地做出响应、处理和统计。
1.2 系统技术要点
(1)基于异构模式的监控信息采集平台。通过Agent、SNMP、WMI、Telnet等多种数据采集方式对各种防火墙、路由器、操作系统等日志进行收集,实现对IT基础架构日志的全面掌控,同时对收集的日志进行标准化和格式化。
(2)构建IT资源运行模型库,智能分析资源运行状态。系统可以根据采集到的数据,生成一个资源运行模型库,并将实时采集的数据与模型库对比,变化超过预订范围即产生报警。
(3)通过对通信包数据的检索、智能分析,准确定位运维问题设备。
(4)通过对运维数据包的中转,控制运维人员对服务器、网络设备等资源的访问,并在访问过程中记录相应的操作,以备日后审计,实现对运维人员操作的控制、监控、审计。
(5)使用Shark工作流引擎,串联运维工作的各项环节,实现IT运维规则联动。
2 主要功能
2.1 信息安全事件集中采集
(1)信息采集:采集来自不同设备的事件记录(如防火墙、网络设备、操作系统、数据库及其它应用程序等)后,进行日志分析、事件优先重要性分析及可视化呈现,是所有安全信息处理的中枢。
(2)报表服务:基于不同设备类型日志定制实现不同展示方式的报表。特别是合规性的报表。
(3)日志库管理:系统将采集来自不同设备(如防火墙、网络设备、操作系统、数据库及其它应用程序等)的各种格式的事件记录,通过统一的格式转换存储到日志库中。
(4)日志文件下载:FTP日志下载功能,可以方便的从FTP服务器上下载日志文件到系统所在服务器上的指定位置,方便值班人员的查询、浏览、管理重要日志文件。
2.2 信息安全事件日志分析
作为通用事件日志存储库分析中心,分析所有企业的事件数据,这些数据进而又用于检测威胁、快速排除故障和简化合规性监控。安全事件日志分析系统可以分析所有企业日志数据,同时提供压缩的、低耗高效和自管理的日志存储库。
2.2.1 全网日志的集中分析评估
通过综合日志审计系统实现了对网络中的不同类型安全设备(如防火墙,IDS等)、网络设备(如路由器、交换机)、操作系统(如Windows、 Linux)等多种产品及系统的日志数据的分析,支持对不同格式日志的统一的格式转换和分析,省去了管理人员以前的单一、逐类进行日志信息分析的模式。
2.2.2 全网业务合规管理
综合日志审计系统具有对网络内的非法攻击、病毒爆发、违规外联等事件进行综合汇总分析,从而了解全网中的安全与业务合规状况。
2.2.3 深层次的数据挖掘分析
采用了先进的数据挖掘分析技术,从收集到的大量数据当中进行深层的数据挖掘,该技术融合了数据库、人工智能、统计学等多个领域的理论和技术,从而提取出一些隐含的、潜在的有用信息来为决策系统服务。
2.2.4 报表定制和发送功能
为用户提供自定义报表功能,客户可通过简单灵活的定制方法定义日报、周报或者月报,报表内容包括状态统计报表等,展示形式包括饼图、柱状图等,不同类型的报表可以定制不同的统计方法,以邮件的形式按照设置的制表时间自动发送给定义的报表接收人。
2.2.5 存档和报告事件
日志分析系统能从分布式的Windows和UNIX主机,路由器,交换机收集事件日志或系统日志。日志将被自动存档,并立即生成报表以显示网络重要的系统信息,直观地呈现主机的重要事件和所有事件相关的进程等信息。 2.3 信息安全事件报警
本系统提供图形化报警提醒界面,如果某个特定的区域发现符合报警条件的情况,则产生告警。并且将报警信息相应的图形显示为红色扩散状的小球,以提示管理人员问题点所在,管理人员可通过网络平面图直观查看网络运行情况。当点击相应的红色小球,则显示具体的报警信息,同时可以进入详细页面查看原始日志和标准化后的报警日志。
2.4 运维流程管理
将传统工作模式中的工作流程固化到系统中,通过电子化的审批模式,将运维工作进行规范和优化、达到工作量化、电子自动化、流程可控、办事透明、降低成本的效果、帮助企业实现高效管理。
2.5 信息安全事件定位取证系统
从安全信息的来源入手,对各种安全信息进行集中分析,从而有效地发现安全问题,包括攻击、故障和安全事件,并通过事件和攻击痕迹,向管理者阐明当前IT环境的安全状况;同时安全信息监管还包括对安全信息原始数据的保存,为今后的取证准备了必要条件。
3 应用效果
系统运行以来取得了良好效果,公司信息安全管理水平稳步提升,信息安全局面保持良好,取得了明显的成效。
3.1 构建起了完备的信息安全监管防护体系
系统集运维、监测、告警、分析、联动等功能集成于一体,构建了一种全过程、全方位的信息安全监管新模式,辅以策略联动、知识库管以及相关的配套措施,建立起了“事前告警、事中响应、事后追查”的信息安全监管体系,降低了信息安全的风险,避免了由于信息安全事故给企业造成的损失。
3.2 严密的审计回放功能确保操作“可控、在控、能控”
针对系统关注的设备操作进行监控、记录回放,让所有运行的设备操作正确、规范。
3.3 严格的操作监视控制功能有效防止“误操作、非法操作”
系统通过对不同用户化分权限设置和管理,并监控用户的所有操作,防止合法用户的的误操作,非法用户的恶意操作。
3.4 解决了一直以来网管工作的被动局面
量变引起质变,要想改变信息安全工作从被动的问题处理模式到主动的预防问题的发生,就必须从问题的“量变”开始预防,该平台的实施,建立起了完善的预警策略,避免信息安全问题“质变”的发生。
3.5 优化固化管理流程,实现信息安全管理提升
通过科技流程实现了设备的全生命周期管理,将事件、问题、变更过程有序的管理起来,建立可视化的工作管理平台,实现了对管理流程的梳理与再造。岗位工作人员严格按照自己的权限和角色,通过网上审批的刚性执行,实现“行为约束”和“制度落地”。制度直接落实到流程节点,规范了各级人员行为管理,大大提高了管理的规范性和可控性,实现了优化固化流程的工作目标,进一步提升信息安全管理。
4 结语
信息安全监管平台的研制是当前电力企业信息安全管理工作的需要,该系统支持多源安全事件关联,采用先进的事件管理模型,达到了国内领先的技术水平,为信息系统的监控、安全事件的分析以及有针对性地采取相应防护措施提供了有力帮助。系统设计理念先进,采用分层分布式体系设计,具有高度的开放性和可扩展性;支持多源安全事件关联;采用可视化、集中控制的安全监控。该系统在增强网络统一管理和安全管理的同时,实现了信息安全管理工作自动化,提高了安全设备的投资回报率,降低管理成本,提高了工作效率,具有显著的经济效益和很高的推广价值。
