首頁 > 關于我們 > 新聞動態 > 公司新聞

構建理想運營環境,打造電力管理信息大區安全三大能力

發布時間 2018-04-26

習近平總書記一直強調,沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。要落實關鍵信息基礎設施防護責任,行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任,主管部門履行好監管責任。
 
為了響應習總書記的講話,電力系統各級單位也即將展開對各地安全隱患的排查。尤其針對系統的配置核查、域間異常流量、態勢感知能力、弱口令檢測、邊界安全、策略合規、無線安全、僵尸賬號等。眾所周知,電力監控系統建設近年來得到了快速發展,作為承載電網生產控制管理業務系統的管理信息大區一直缺乏流量異常監控、安全配置核查、行為態勢分析必要的安全防護手段。尤其當發生與外界數據交互時,安全威脅很大,內網中的終端、服務器、中間件等應用系統面臨著各類不確定性的威脅。
 
依據《網絡與信息安全預警分析中心頂層設計》等內部文件的相關要求,管理信息大區對各類安全風險、漏洞進行分析響應和通報匯總,提升信息安全事件處置能力,日常監測和預警措施等信息安全工作被提上議事日程。
 
方案概述

 


本方案圍繞各管理信息大區安全建設展開,從安全建設的基礎安全能力構建、態勢感知能力建設、安全服務能力建設三個方面,為管理信息大區構建一個安全、穩定、具備抗風險能力的安全運營環境。

 

 

基礎安全能力構建
 
引入資產管理

 


 

在傳統網絡安全防護方案建議里,大多情形是會在管理信息大區部署防火墻和入侵檢測方式進行訪問控制、已知行為監控,甚至安全域的劃分,我們認為,提升這些手段的準確性一定要引入資產管理(AEM)作為基礎保障。事實上,管理信息大區的網中還有一些接入設備都需要進行全生命周期的管理,譬如針對已知資產接入應該有什么樣的安全策略,新進入網絡的未知的資產應該有什么樣的安全策略,都需要圍繞資產管理來進行,另外,資產管理還可以包括主機、網絡設備、安全設備、數據庫、中間件、設備組件等各類資產類型接入到網絡中的實時呈現。
 
進行配置核查
 
構造內網安全基線,配置核查是首選工具。我們注意到,管理信息大區已經部署了許多國產操作系統、國產中間件等,譬如麒麟、凝思操作系統、達夢數據庫數據庫、華為華三路由交換設備,但是,由于最近中興事件爆發后,必將使我們的設備國產化、系統國產化、芯片國產化等全產業鏈的國產化之路的穩步推進。因此,專門針對國產化系統的配置核查是必然的要求。啟明星辰配置核查CVS系統,不僅對原有管理信息大區已部署系統進行自動化安全配置檢測,還可對更多國產化系統進行核查,譬如人大金倉、南大通用等,必要時,可以支持在線、離線、單機代理、分布式采集等核查方式,應對管理大區較為復雜的核查要求。
 



 
填補流檢測短板
 
在絕大多數傳統網絡安全防護方案建議里,會配備有基于模式匹配的已知威脅檢測,如IDS系統,也會配備基于虛擬執行環境和沙箱的未知威脅檢測技術,如APT檢測,我們認為,在管理信息大區運用這兩類技術作為檢測手段,會有一定滯后性,會錯過最佳的威脅處置時機,以深度流分析技術見長的NBA系統恰好能彌補時效性不足的難題。啟明星辰網絡行為分析系統NBA結合DPI技術,基于行為的威脅識別,基于威脅情報的流分析等一體化融合技術為客戶提供資產持續監測、惡意流量發現、違規流量檢測、網絡行為分析、歷史流量回溯取證等能力,協助客戶及時發現可疑主機、可疑流量,快速定位網絡故障,優化網絡利用效率,歷史異常行為取證,提升網絡監管水平,為有序運行提供有力的支撐。
 
集中化的日志存管
 
根據等級保護2.0的規范要求,對全網的日志審計明確做了要求,然而,在絕大多數傳統網絡安全防護方案建議里鮮見這部分內容的設計。根據規范要求,管理信息大區需要實時不間斷地采集用戶網絡中各種不同廠商的安全設備、網絡設備、主機、操作系統以及各種應用系統產生的日志,為此,選擇合適的日志審計是方案完整性的重要一環。
 
啟明星辰日志審計系統(TSOC-SA)是一款面向電力行業信息系統日志審計的成熟的安全產品。它能夠通過主被動結合的手段,實時不間斷地采集用戶網絡中各種不同廠商的系統以及各種應用系統產生的海量日志信息,并將這些信息匯集到審計中心,進行集中化存儲、備份、查詢、審計、告警、響應,并出具豐富的報表報告,獲悉全網的整體安全運行態勢,實現全生命周期的日志管理。還可以為管理這提供了強大的日志綜合審計功能,為不用層級的管理需求提供了多視角、多層次的審計視圖、日志查詢和報表管理等功能。

 

態勢感知能力建設
 
在管理信息大區部完成基礎安全能力建設之時,對基礎防護手段的數據集中展現十分必要,畢竟能夠為信息中心提供準確、有效的態勢感知展示即是能力,也是難點所在。因此,通過態勢感知能力建設,可以有效建立起從數據產生到數據展現的全流程機制,可以有效打通數據源產生的情報轉化,可以強化網絡的資源配置合理性提升運營過程的合規性,協助管理員的安全加固水平提升威脅應急響應能力。
 
啟明星辰網絡態勢感知系統正是全方位的態勢感知的集大成者,它由六個維度的感知構成,分別是資產感知、攻擊感知、漏洞感知、運行感知、威脅感知和風險感知,綜合這六個感知維度形成面向管理信息大區的綜合態勢監視或態勢總覽。通過這六個維度的專項分析呈現,管理者可以聚焦整合、按需搭配,形成適合自身業務需要和安全態勢監控需要的態勢感知系統。


 

 


 

安全服務能力建設

 
定期安全評估與培訓
 
針對管理信息大區的各類信息系統,我們建議應服從信息安全風險評估方法按照國信辦頒發的《關于印發<信息安全風險評估指南>的通知》(國信辦【2006】9號),需要對網內各類系統提供周期性的信息安全評估,對可能存在的系統設計缺陷、軟硬件設備缺陷進行客觀評價,另外,需要結合最新的安全形勢進行專項分析研究,對大區內涉及到的管理人員進行定期培訓,提升安全意識,熟悉安全工具,提升網絡與信息系統的安全保障能力。
 
安全事件響應與處置
 
安全界最流行的一句諺語就是“就怕黑客惦記”,因此,針對管理信息大區的各類信息系統的安全事件響應與處置能力建設是繞不開的話題。遵循的國際國內標準和規范ISO-17799/BS7799/ISO27001信息安全管理體系國際標準,公安部頒布的《信息安全等級保護管理辦法》及相關規定,軟件開發服從CMM要求,VISAF的保障功能要素模型(FEM---FunctionElementModel)等相關規范,安全事件響應與處置能力建設上會涉及到以下幾個方面的內容,包括但不限于:
 

 

◆日志的取證與解析
當管理信息大區發生網絡攻擊時,通常會在各安全設備或系統上存有攻擊入侵的相關痕跡,需要在這些日志中找出攻擊者及攻擊的行為特征等相關信息。
 
◆安全威脅分析場景建模與有效性驗證
通過多層級的事件關聯、威脅情報關聯和統計分析等手段,建立安全威脅檢測分析模型。并通過模擬黑客攻擊入侵的方式,驗證各個環境的安全日志的提取、分析過程是否準確;檢驗安全威脅分析場景模型是否有效。
 
◆對攻擊行為的真實性進行判斷
從態勢感知平臺上獲取最新的威脅情報和漏洞情報信息,在日志分析過程中引入威脅情報和漏洞情報數據,確定攻擊行為的真實可靠性。
 
◆重大活動保障及安全事件應急響應
如重大活動安全保障期間,幫助用戶值守,解決最新爆發的黑客入侵、僵木蠕毒爆發、異常行為診斷等安全問題。
 
啟明星辰的“泰合北斗服務團隊”專注于安全運維服務,特別是高級安全事件分析服務,擁有安全行業頂級專家上百位,從業十年以上的安全專家、滲透黑客、數據分析師、安全分析師、產品專家更是數千人,獲得專項領域專利多達數百項,因此,對于電力行業管理信息大區的安全防護上提供源源不斷的人才保障。
 
方案總結
 
正值各類高危安全事件頻繁發生的今天,本方案充分結合電力信息系統的業務需求,以管理信息大區的實際安全防護出發,從安全建設的基礎安全能力構建、態勢感知能力建設、安全服務能力建設三個方面入手,用戶側的安全閉環工作必將妥善得到解決,大區的網絡安全防護能力必將得到規范、有序、穩步推進。

下一篇