導(dǎo)語：安全設(shè)備在電力企業(yè)的運(yùn)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

安全設(shè)備聯(lián)動模型框架，是將不同廠家的安全設(shè)備數(shù)據(jù)進(jìn)行整合、歸并與關(guān)聯(lián)分析，過濾事件中的誤報、產(chǎn)生確定的安全警報，根據(jù)制定的聯(lián)動策略對設(shè)備進(jìn)行動態(tài)配置，使其產(chǎn)生聯(lián)動響應(yīng)。聯(lián)動模型框架包括數(shù)據(jù)采集層、事件分析層和決策層三部分[1]，如下圖1所示。數(shù)據(jù)采集主要分為日志數(shù)據(jù)采集，數(shù)據(jù)清理和過濾，數(shù)據(jù)轉(zhuǎn)換和歸并三層結(jié)構(gòu)。圖2數(shù)據(jù)預(yù)處理的邏輯結(jié)構(gòu)數(shù)據(jù)采集主要是采集電力企業(yè)網(wǎng)絡(luò)中能反映網(wǎng)絡(luò)安全態(tài)勢信息的日志，包括防火墻、入侵防御系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)。不同的日志信息采用不同的采集方式。文件型日志的采集主要是讀取日志文件，針對數(shù)據(jù)的結(jié)構(gòu)對其進(jìn)行拆分，并進(jìn)行存儲[3]。syslog格式存儲的日志采集主要是通過建立syslog服務(wù)器，通過UDP協(xié)議接收514端口上的數(shù)據(jù)，并進(jìn)行存儲。為保證數(shù)據(jù)的實時性，采集的周期要盡可能短。數(shù)據(jù)清理主要是通過一定的數(shù)據(jù)清理和過濾算法實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備日志的清理，去除其中錯誤、重復(fù)和不完整的數(shù)據(jù)。數(shù)據(jù)轉(zhuǎn)換則是通過建立數(shù)據(jù)轉(zhuǎn)換模型將經(jīng)過清理的各類設(shè)備日志進(jìn)行規(guī)范化處理。數(shù)據(jù)歸并是對轉(zhuǎn)換完成的日志數(shù)據(jù)提取關(guān)鍵屬性，合并同類型關(guān)鍵數(shù)據(jù)，得到精練的并能充分描述對象的屬性集合。日志預(yù)處理模塊是通過在各個網(wǎng)絡(luò)安全設(shè)備上安全日志采集完成基本安全事件的采集，然后日志采集將各個設(shè)備的日志提交到事件管理器進(jìn)行安全事件的分析與合并，將日志信息歸類上升為安全事件，添加到安全事件數(shù)據(jù)庫。日志數(shù)據(jù)的預(yù)處理模塊主要是為網(wǎng)絡(luò)安全設(shè)備聯(lián)動系統(tǒng)的數(shù)據(jù)訪問提供一個公共的統(tǒng)一接口，使訪問者不必考慮數(shù)據(jù)模型的異構(gòu)性、數(shù)據(jù)抽取、數(shù)據(jù)合成等問題，只需指定想要的數(shù)據(jù)，而不必關(guān)心如何得到。

事件分析層主要是通過分析分析安全事件數(shù)據(jù)庫中的數(shù)據(jù)，發(fā)現(xiàn)隱藏在這些看似獨(dú)立的安全事件背后的邏輯和攻擊信息，也就是發(fā)掘出這些網(wǎng)絡(luò)安全事件之間的關(guān)聯(lián)[4]。在安全事件數(shù)據(jù)庫中，安全事件主要是以屬性作為關(guān)鍵字進(jìn)行存儲的。本模型中事件分析層的關(guān)聯(lián)算法主要是采用基于攻擊屬性相似性的關(guān)聯(lián)方法?；诠魧傩韵嗨菩缘年P(guān)聯(lián)方法通過以下幾個步驟對報警進(jìn)行關(guān)聯(lián)：（1）計算安全事件不同屬性之間的相似度；（2）當(dāng)新的安全事件到來時，與已存在的所有事件線程的相應(yīng)屬性值進(jìn)行比較，計算它們之間的相似度；（3）將安全事件與事件線程相似度最大、并超過設(shè)定閾值的安全事件融合到事件線程中。若不超過設(shè)定的閾值，則生成一個新的事件線程。事件分析層主要是結(jié)合安全事件數(shù)據(jù)庫，對當(dāng)前出現(xiàn)的安全事件或系統(tǒng)漏洞進(jìn)行關(guān)聯(lián)規(guī)則分析，分析當(dāng)前時間產(chǎn)生的前提下，可能引發(fā)的其他安全事件，并對關(guān)聯(lián)分析產(chǎn)生的安全事件進(jìn)行預(yù)警，并觸發(fā)聯(lián)動模塊，使系統(tǒng)設(shè)備和工作人員對即將發(fā)生的安全事件進(jìn)行警戒狀態(tài)，并進(jìn)行一定的處理。事件分析層中事件管理器將源事件提交給策略判決點(diǎn)進(jìn)行策略觸發(fā)，管理控制端通過檢索事件數(shù)據(jù)庫中的事件源和策略庫中事件源對應(yīng)的相應(yīng)處理策略完成策略觸發(fā)，并將觸發(fā)策略返回給策略判決點(diǎn)。策略判決點(diǎn)再將安全事件處理策略下發(fā)給各個，通過執(zhí)行策略的具體內(nèi)容改變安全設(shè)備的相關(guān)配置完成安全事件的處理。從整體上構(gòu)建基于聯(lián)動策略的網(wǎng)絡(luò)安全設(shè)備聯(lián)動模型，通過安全事件觸發(fā)的機(jī)制自動生成安全策略，通過自動化地將設(shè)備配置信息傳送給相關(guān)設(shè)備達(dá)到應(yīng)用安全策略的目的，實現(xiàn)從整體上協(xié)調(diào)一致，主動動態(tài)地保障網(wǎng)絡(luò)安全，順應(yīng)電網(wǎng)智能化的發(fā)展趨勢。

本文研究了構(gòu)建網(wǎng)絡(luò)安全設(shè)備聯(lián)動系統(tǒng)及其在電力企業(yè)信息安全領(lǐng)域的應(yīng)用，通過對信息系統(tǒng)原始日志信息進(jìn)行規(guī)范要求和統(tǒng)一處理，并在大量的日志信息中找到高風(fēng)險的安全事件，對安全事件進(jìn)行關(guān)聯(lián)分析，獲取全面準(zhǔn)確的系統(tǒng)潛在威脅，提供準(zhǔn)確的安全風(fēng)險分析報告和風(fēng)險控制措施。最后從解決安全事件的角度提出應(yīng)對安全事件的聯(lián)動策略，為管理員發(fā)出相應(yīng)的風(fēng)險告警，有效處理內(nèi)部違規(guī)操作和外部威脅等一系列網(wǎng)絡(luò)安全問題。

本文作者：齊四清劉世民趙晶高敏工作單位：內(nèi)蒙古東部電力有限公司信息通信分公司