安全设备在电力企业的运用

安全设备联动模型框架，是将不同厂家的安全设备数据进行整合、归并与关联分析，过滤事件中的误报、产生确定的安全警报，根据制定的联动策略对设备进行动态配置，使其产生联动响应。联动模型框架包括数据采集层、事件分析层和决策层三部分[1]，如下图1所示。数据采集主要分为日志数据采集，数据清理和过滤，数据转换和归并三层结构。图2数据预处理的逻辑结构数据采集主要是采集电力企业网络中能反映网络安全态势信息的日志，包括防火墙、入侵防御系统、防病毒系统和漏洞扫描系统。不同的日志信息采用不同的采集方式。文件型日志的采集主要是读取日志文件，针对数据的结构对其进行拆分，并进行存储[3]。syslog格式存储的日志采集主要是通过建立syslog服务器，通过UDP协议接收514端口上的数据，并进行存储。为保证数据的实时性，采集的周期要尽可能短。数据清理主要是通过一定的数据清理和过滤算法实现对网络安全设备日志的清理，去除其中错误、重复和不完整的数据。数据转换则是通过建立数据转换模型将经过清理的各类设备日志进行规范化处理。数据归并是对转换完成的日志数据提取关键属性，合并同类型关键数据，得到精练的并能充分描述对象的属性集合。日志预处理模块是通过在各个网络安全设备上安全日志采集完成基本安全事件的采集，然后日志采集将各个设备的日志提交到事件管理器进行安全事件的分析与合并，将日志信息归类上升为安全事件，添加到安全事件数据库。日志数据的预处理模块主要是为网络安全设备联动系统的数据访问提供一个公共的统一接口，使访问者不必考虑数据模型的异构性、数据抽取、数据合成等问题，只需指定想要的数据，而不必关心如何得到。

事件分析层主要是通过分析分析安全事件数据库中的数据，发现隐藏在这些看似独立的安全事件背后的逻辑和攻击信息，也就是发掘出这些网络安全事件之间的关联[4]。在安全事件数据库中，安全事件主要是以属性作为关键字进行存储的。本模型中事件分析层的关联算法主要是采用基于攻击属性相似性的关联方法。基于攻击属性相似性的关联方法通过以下几个步骤对报警进行关联：（1）计算安全事件不同属性之间的相似度；（2）当新的安全事件到来时，与已存在的所有事件线程的相应属性值进行比较，计算它们之间的相似度；（3）将安全事件与事件线程相似度最大、并超过设定阈值的安全事件融合到事件线程中。若不超过设定的阈值，则生成一个新的事件线程。事件分析层主要是结合安全事件数据库，对当前出现的安全事件或系统漏洞进行关联规则分析，分析当前时间产生的前提下，可能引发的其他安全事件，并对关联分析产生的安全事件进行预警，并触发联动模块，使系统设备和工作人员对即将发生的安全事件进行警戒状态，并进行一定的处理。事件分析层中事件管理器将源事件提交给策略判决点进行策略触发，管理控制端通过检索事件数据库中的事件源和策略库中事件源对应的相应处理策略完成策略触发，并将触发策略返回给策略判决点。策略判决点再将安全事件处理策略下发给各个，通过执行策略的具体内容改变安全设备的相关配置完成安全事件的处理。从整体上构建基于联动策略的网络安全设备联动模型，通过安全事件触发的机制自动生成安全策略，通过自动化地将设备配置信息传送给相关设备达到应用安全策略的目的，实现从整体上协调一致，主动动态地保障网络安全，顺应电网智能化的发展趋势。

本文研究了构建网络安全设备联动系统及其在电力企业信息安全领域的应用，通过对信息系统原始日志信息进行规范要求和统一处理，并在大量的日志信息中找到高风险的安全事件，对安全事件进行关联分析，获取全面准确的系统潜在威胁，提供准确的安全风险分析报告和风险控制措施。最后从解决安全事件的角度提出应对安全事件的联动策略，为管理员发出相应的风险告警，有效处理内部违规操作和外部威胁等一系列网络安全问题。

本文作者：齐四清刘世民赵晶高敏工作单位：内蒙古东部电力有限公司信息通信分公司