發(fā)電企業(yè)信息安全態(tài)勢感知探討范文
本站小編為你精心準(zhǔn)備了發(fā)電企業(yè)信息安全態(tài)勢感知探討參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:本文介紹了國內(nèi)外安全態(tài)勢感知技術(shù)的研究現(xiàn)狀,提出了發(fā)電企業(yè)開展安全態(tài)勢感知技術(shù)研究的必要性,并對安全態(tài)勢感知中數(shù)據(jù)挖掘、信息可視化、信息融合等關(guān)鍵技術(shù)的實(shí)現(xiàn)方法進(jìn)行了較為細(xì)致的闡述,對發(fā)電企業(yè)開展安全態(tài)勢感知研究具備一定的參考價(jià)值。
關(guān)鍵詞:發(fā)電企業(yè);安全態(tài)勢感知;關(guān)鍵技術(shù);信息技術(shù)
0引言
2016年4月19日,在安全與信息化工作座談會上明確指出:“要樹立正確的網(wǎng)絡(luò)安全觀,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢,增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。”隨著網(wǎng)絡(luò)技術(shù)不斷地更新和發(fā)展,網(wǎng)絡(luò)攻擊技術(shù)也隨之不斷演進(jìn)和發(fā)展,新的網(wǎng)絡(luò)安全攻擊手段正在使得傳統(tǒng)的安全防御體系面臨著前所未有的失效風(fēng)險(xiǎn)。態(tài)勢感知作為一項(xiàng)新的信息安全防御技術(shù),能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行狀態(tài),“態(tài)勢感知”已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域聚焦的熱點(diǎn),也成為網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、方案不斷創(chuàng)新、發(fā)展、演進(jìn)的匯集體現(xiàn),更代表了當(dāng)前網(wǎng)絡(luò)安全攻防對抗的最新趨勢[1-2]。《美國陸軍手冊》對態(tài)勢感知的定義是:一種信息型的視角和技能,能夠快速確定環(huán)境條件和事件關(guān)聯(lián)性的能力。美國空軍首席科學(xué)家MicaR.Ends-ley給出了一個(gè)動態(tài)環(huán)境中態(tài)勢感知的一般定義:“態(tài)勢感知就是在一定時(shí)間和空間中對環(huán)境因素的認(rèn)知,對其意義的理解,以及對其未來狀態(tài)的預(yù)測。”
1態(tài)勢感知的研究現(xiàn)狀
美國于2008年頒布了《國家網(wǎng)絡(luò)安全綜合綱領(lǐng)》(簡稱CNCI),CNCI由一系列互為補(bǔ)充的綱領(lǐng)組成,明確定義了聯(lián)邦政府在網(wǎng)絡(luò)漏洞、威脅和事件方面的信息共享方式、態(tài)勢感知的基本方法,是美國態(tài)勢感知體系建設(shè)的綱領(lǐng)性文件。基于綱領(lǐng)的定義,美國政府在聯(lián)邦政府網(wǎng)絡(luò)中部署了感應(yīng)式入侵檢測系統(tǒng),基于威脅決策的完整數(shù)據(jù)包檢測,形成一個(gè)動態(tài)的態(tài)勢感知體系;加強(qiáng)了各網(wǎng)絡(luò)指揮中心的連接,提升態(tài)勢感知意識;明確國土安全部國家網(wǎng)絡(luò)安全中心(NCSC)總體協(xié)調(diào)六大指揮中心,成為態(tài)勢感知體系的推動方,建立跨區(qū)域的態(tài)勢感知能力[3-4]。歐盟的龍蝦計(jì)劃(LobsterProgram)由歐盟委員會所屬的信息社會技術(shù)項(xiàng)目(IST)資助,計(jì)劃的全稱是Large-scaleMonitoringofBroadbandInternetIn-frastructures,即大規(guī)模寬帶Internet基礎(chǔ)設(shè)施監(jiān)測。該計(jì)劃啟動于2004年1月,其核心目標(biāo)是:基于被動監(jiān)測傳感器,針對歐洲地區(qū)的互聯(lián)網(wǎng)建立起從2.5Gbps到10Gbps環(huán)境下的網(wǎng)絡(luò)流量監(jiān)測的試點(diǎn)。具體包括:實(shí)現(xiàn)一個(gè)能夠基于原始流量數(shù)據(jù)匿名化的工具與通用的匿名數(shù)據(jù)流量信息表達(dá)方式,在不同的參與者之間分享捕獲的攻擊數(shù)據(jù),開展協(xié)作分析;在高性能、分布式的監(jiān)測傳感器(TrafficMoni-toring)基礎(chǔ)上建立一套應(yīng)用分析框架和典型應(yīng)用,支持識別0day蠕蟲傳播、識別動態(tài)端口應(yīng)用、對互聯(lián)網(wǎng)服務(wù)進(jìn)行度量等。國內(nèi)對網(wǎng)絡(luò)安全態(tài)勢評估方法的研究相對較晚,理論及應(yīng)用研究均亟須進(jìn)一步提高與完善。2016年12月27日,國務(wù)院全文刊發(fā)了《“十三五”國家信息化規(guī)劃》,再次強(qiáng)調(diào)了態(tài)勢感知的重要性。“十大任務(wù)”中的最后一項(xiàng)即健全網(wǎng)絡(luò)安全保障體系,提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”[5]。
2發(fā)電企業(yè)態(tài)勢感知體系建設(shè)的必要性
隨著信息化的快速發(fā)展,國內(nèi)外網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻復(fù)雜,震網(wǎng)病毒成功攻擊了伊朗布什爾核電站,烏克蘭兩次遭遇網(wǎng)絡(luò)攻擊導(dǎo)致的停電事件,這些都表明針對能源行業(yè)的敵對勢力始終存在,通過黑客手段攻擊電力系統(tǒng)的行為已經(jīng)成為現(xiàn)實(shí)。發(fā)電企業(yè)是關(guān)系國家能源安全和國民經(jīng)濟(jì)命脈的國有重要骨干企業(yè),是經(jīng)過國務(wù)院同意進(jìn)行國家授權(quán)投資的機(jī)構(gòu)和國家控股的能源企業(yè)。發(fā)電企業(yè)遵循“分區(qū)分域、安全接入、動態(tài)感知、全面防護(hù)”的主動防御原則,建立了網(wǎng)絡(luò)安全監(jiān)測預(yù)警、信息通報(bào)和應(yīng)急響應(yīng)工作機(jī)制。隨著網(wǎng)絡(luò)安全法的頒布,為有效應(yīng)對日趨復(fù)雜的網(wǎng)絡(luò)安全形勢,面對可能出現(xiàn)的有組織、系統(tǒng)性、高頻度、長期潛伏的網(wǎng)絡(luò)攻擊,發(fā)電企業(yè)亟須在現(xiàn)有技防措施和防護(hù)體系基礎(chǔ)上,建立更加完善的管理、技術(shù)體系。基于大數(shù)據(jù)分析,把碎片化的日志信息、威脅情報(bào)進(jìn)行采集并關(guān)聯(lián)分析,對安全威脅情況進(jìn)行統(tǒng)一監(jiān)控、分析、預(yù)警,讓安全設(shè)備有機(jī)結(jié)合為一張安全防護(hù)網(wǎng),確保安全威脅無處遁形。
3態(tài)勢感知體系關(guān)鍵技術(shù)
3.1網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)的基本架構(gòu)技術(shù)
自Endsley提出態(tài)勢感知三要素后,態(tài)勢感知技術(shù)已經(jīng)演進(jìn)到基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢感知功能模型,其系統(tǒng)框架、關(guān)鍵技術(shù)不斷細(xì)化、完善和改進(jìn)。就體系架構(gòu)而言,包含C-S模式、B-S模式、三層模式的B-S架構(gòu)以及基于云計(jì)算等類型,但基于Agent的態(tài)勢感知模型以其具備的異步計(jì)算、并行求解、智能化路由以及動態(tài)執(zhí)行等特點(diǎn),可以極大地提高態(tài)勢感知的速度與效率,在態(tài)勢感知的架構(gòu)體系模型中獨(dú)樹一幟[6]。中國電力科學(xué)院蔣誠智博士通過在態(tài)勢感知的數(shù)據(jù)采集處理層、評估分析層、協(xié)調(diào)管理層、態(tài)勢決策分析層建立不同的智能Agent[1],并構(gòu)建了Agent和統(tǒng)一信息庫之間的關(guān)系,以此為基礎(chǔ)創(chuàng)建了一個(gè)典型的基于智能Agent的電力信息網(wǎng)絡(luò)態(tài)勢感知模型。無論基于何種架構(gòu)和模型構(gòu)建電網(wǎng)態(tài)勢感知基本體系框架,如果要完成實(shí)用化應(yīng)用,都必須首先實(shí)現(xiàn)數(shù)據(jù)挖掘、信息可視化、信息融合三項(xiàng)關(guān)鍵技術(shù)的應(yīng)用。
3.2數(shù)據(jù)挖掘技術(shù)
發(fā)電企業(yè)安全設(shè)備的部署參照分區(qū)分域的大原則,使得態(tài)勢感知探針采集的數(shù)據(jù)具有數(shù)量大、有噪聲、模糊、不完全等特性,如果要真實(shí)的反饋網(wǎng)絡(luò)和安全設(shè)備的運(yùn)行狀況,則必須將這些數(shù)據(jù)轉(zhuǎn)化成有規(guī)則、有規(guī)律、有價(jià)值的數(shù)據(jù),繼而真實(shí)反映網(wǎng)絡(luò)運(yùn)行狀態(tài),便于對安全隱患問題及時(shí)處理。安全態(tài)勢感知的數(shù)據(jù)挖掘,首先需要收集原始審計(jì)數(shù)據(jù),把網(wǎng)絡(luò)數(shù)據(jù)包/主機(jī)事件數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)據(jù)/主機(jī)會話記錄根據(jù)特定的挖掘規(guī)則,編制成有規(guī)律信息,反饋至后臺數(shù)據(jù)庫,即向給定的數(shù)據(jù)庫傳送支持度、可信度都非常高的信息,再采用Apri-ori、APrioriiTid算法,分析數(shù)據(jù)的因果關(guān)系,接著利用寫入的數(shù)據(jù)建立一個(gè)貝葉斯分析和決策數(shù)據(jù)模型,最后采用結(jié)合密度方法的動態(tài)聚類法,發(fā)現(xiàn)網(wǎng)絡(luò)中的安全問題。
3.3信息可視化技術(shù)
在發(fā)電企業(yè)真實(shí)運(yùn)行的網(wǎng)絡(luò)安全環(huán)境中,設(shè)備之間錯(cuò)報(bào)、漏報(bào)、重復(fù)報(bào)等問題是非常普遍的,要杜絕這類問題,必須構(gòu)建安全態(tài)勢感知環(huán)境下的信息可視化。其實(shí)質(zhì)是在數(shù)據(jù)分析過程中,突破傳統(tǒng)文本形式的局限性,注重把大量復(fù)雜、抽象的態(tài)勢數(shù)據(jù)轉(zhuǎn)換成圖形的格式,建立圖形信息的搜索功能,讓安全管理人員能夠利用圖形化的信息搜索引擎,更迅捷的掌握當(dāng)前態(tài)勢和未來的態(tài)勢預(yù)測信息。日本學(xué)者T.Takata提出的Mielog系統(tǒng),其在運(yùn)行過程中可通過日志形式,記錄態(tài)勢可視化和數(shù)據(jù)統(tǒng)計(jì)結(jié)果,另外通過Web界面,保持2分鐘一次的日志視圖更新頻率,也同時(shí)顯示4小時(shí)內(nèi)的安全報(bào)警信息。如果系統(tǒng)數(shù)據(jù)無法及時(shí)反饋至后臺數(shù)據(jù)庫,則采用seeViz工具,可以在網(wǎng)絡(luò)攻擊發(fā)生時(shí),利用三維視圖,通過離散、平行點(diǎn)方法捕獲安全隱患數(shù)據(jù),及時(shí)傳輸給后臺數(shù)據(jù)庫。
3.4信息融合技術(shù)
態(tài)勢感知中的信息融合技術(shù),是以多源網(wǎng)絡(luò)信息安全為基本的數(shù)據(jù)對象,把信息融合的方法和知識作為理論的指導(dǎo)依據(jù),繼而構(gòu)建一個(gè)層次化的信息融合模型。信息融合模型包含了多源信息層、安全態(tài)勢評估層和態(tài)勢預(yù)測層[3]。多源信息層采用不同的數(shù)據(jù)接入方式,比如蔣誠智博士提出的智能Agent,來獲取多源網(wǎng)絡(luò)安全信息,包括網(wǎng)絡(luò)拓?fù)洹⒅鳈C(jī)信息(主機(jī)權(quán)重、主機(jī)漏洞、漏洞靜態(tài)嚴(yán)重性等)、報(bào)警信息(對多個(gè)入侵檢測系統(tǒng)產(chǎn)生的原始報(bào)警信息進(jìn)行預(yù)處理后)。在態(tài)勢評估層,則利用D-S證據(jù)理論,對多源信息層采集到的信息進(jìn)行融合處理,針對不同設(shè)備開啟不同的服務(wù)。所對應(yīng)的漏洞集,首先采用求和法得到評估結(jié)果T1,其次考慮不同服務(wù)的權(quán)重差異,利用求和法得到評估結(jié)果T2,最后考慮各設(shè)備在網(wǎng)絡(luò)中的權(quán)重差異,將T1和T2代入,利用加權(quán)求和法,得到最終的評估結(jié)果T3。在安全預(yù)測層,則利用支持向量回歸理論,參照歷史態(tài)勢評估結(jié)果得到未來單位時(shí)間內(nèi)的態(tài)勢預(yù)測結(jié)果。
4結(jié)束語
安全態(tài)勢感知對發(fā)電企業(yè)而言,是一門既熟悉又陌生的學(xué)科,熟悉態(tài)勢感知所依托的基礎(chǔ)安全設(shè)備以及設(shè)備的告警方式、日志管理,陌生的則是態(tài)勢感知模型的構(gòu)建、態(tài)勢感知三個(gè)關(guān)鍵技術(shù)的具體實(shí)現(xiàn)方法。建立發(fā)電企業(yè)安全態(tài)勢感知模型,需要通信專業(yè)的同仁在實(shí)踐中不斷摸索,研究、建立、實(shí)踐并驗(yàn)證新的技術(shù)和方法。安全態(tài)勢感知也是發(fā)電企業(yè)實(shí)現(xiàn)信息網(wǎng)絡(luò)更加安全的最佳途徑。
參考文獻(xiàn)
[1]蔣誠智,余勇,林為民.基于智能Agent的電力信息網(wǎng)絡(luò)安全態(tài)勢感知模型研究[J].計(jì)算機(jī)科學(xué),2012,39(12):98-101.
[2]趙志強(qiáng).電力信息網(wǎng)絡(luò)安全分析及解決方案探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,(07):13.
[3]王選宏,肖云.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].科學(xué)技術(shù)與工程,2010,10(28):6899-6902.
[4]梁宏軍.網(wǎng)絡(luò)安全態(tài)勢感知模型研究[D].長沙:湖南科技大學(xué),2013.
[5]文志誠,陳志剛,鄧曉衡,等.基于多源多層次信息融合的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].上海交通大學(xué)學(xué)報(bào),2015,49(08):1144-1152.
[6]陸萬青.網(wǎng)絡(luò)信息安全對攻擊風(fēng)險(xiǎn)預(yù)測仿真[J].計(jì)算機(jī)仿真,2017,(11):316-319.
作者:胡傳力 單位:國家電投江西電力有限公司新昌發(fā)電分公司
