王皓然 严彬元 班秋成

摘  要：在信息时代，电力企业通过构建信息管理系统，在提高业务办理效率和客户服务质量等方面发挥了显著作用，但是与此同时系统安全漏洞、隐私数据泄露等不良事件的发生率也相应的上升。对于电力企业来说，在享受信息技术带来便利的同时，还必须高度重视安全管理。文章介绍了一种安全事件集中管理系统，重点从系统功能模块的设计，事件采集、处理与相应等运行流程等方面，对系统的开发与应用展开了简要分析。

关键词：电力企业;安全事件;集中管理系统;运行环境

中图分类号：TM73 文献标志码：A         文章编号：2095-2945（2020）36-0173-02

Abstract： In the information age， electric power enterprises have played a significant role in improving business processing efficiency and customer service quality by building information management systems， but at the same time， the incidence of adverse events such as system security vulnerabilities and privacy data disclosure has also increased accordingly. For electric power enterprises， while enjoying the convenience brought by information technology， they must also attach great importance to safety management. This paper introduces a centralized security incident management system， and briefly analyzes the development and application of the system from the aspects of the design of the system function module， event collection， processing and corresponding operation flow.

Keywords： electric power enterprise; security event; centralized management system; operating environment

引言

企业运营中遭遇的各类网络安全问题，具有突发性强、危害性高等特点，为了从源头上杜绝安全事件引发的各类损失，要求电力企业必须要创新安全管理技术，构建安全事件集中管理系统。通过动态监测、即时响应，实现对非法访问、恶意入侵的实时告警，以便于安全管理人员迅速做出处理，保证电力企业网络系统的安全。目前，安全事件集中管理系统已经在电力以及其他行业的企业中得到了推广使用，效果良好。

1 电力企业安全事件集中管理系统的设计

1.1 关联分析模块

现阶段电力企业基本上已经建立起了信息安全管理系统，但是在实际运用中，也经常会出现安全检测结果延时问题严重，或是误报问题。分析其原因，可能与检测范围设计不明确、部署方式存在局限性、检测系统更新不及时等因素有关。因此，在进行安全事件集中管理系统的设计时，也需要针对这些问题，进行针对性的改进和优化。其中，关联分析技术在解决上述问题中发挥了较为明显的作用。利用关联分析引擎，除了能够进行安全漏洞扫描、安全状态评估外，还可以利用专家分析系统，对预警预告进行分析。经过二次确认后，再发出告警，这样就大幅度降低了误报的问题。

1.2 系统输入模块

从具体内容上来看，系统输入主要分为当前动态发生的事件信息，以及周期性发生的事件信息。对于前者，安全事件集中管理系统可以借助于防火墙、杀毒软件等，实现对状态信息的实施监测。一旦监测到系统存在漏洞，或是有非法访问，则发出告警，或是启动防护系统用于问题修复。对于后者，则需要定期进行软件的升级、网络的维护，从而降低此类安全风险的发生。

1.3 规则集合模块

由于电力企业的管理系统每时每刻都在进行大量的数据传输，不可避免会产生海量的系统访问信息。其中不乏一些非法访问，或是隐藏在文件中的病毒。规则集合是多种判断条件、分析规则的集合，是基于以往电力企业各类安全事件整合后形成的。安全事件集中管理系统只需要将各类输入信息，與规则集合进行对比，就可以准确、快速的判断出该信息是否存在安全隐患，从而做到了对安全漏洞、非法访问的早发现、早处理。另外随着安全事件集中管理系统运行时间的延长，规则集合中储存的判断条件也会不断的丰富，其实用价值也会相应的提升。

2 电力企业安全事件集中管理系统的实现

2.1 系统基本组成

按照运行流程，安全事件集中管理系统主要分为事件采集、处理、响应三个部分，如图1所示。该系统利用前端的监测元件，可以对状态信息、安全事件进行动态收集，然后利用内置无线网络将信息同步到主机中。主机对这些信息做出相应的处理，包括进行安全风险识别、不良事件报告等，然后根据判断结果，发出相应的调控指令，最后系统做出响应，实现综合告警，完成安全事件的处理。

2.2 事件信息采集

采集系统运行中产生的各类信息，是安全事件集中管理系统的首要任务。在事件信息采集中，应满足时效性和全面性两个基本要求，这样才能保证采集到的事件信息具有参考价值。考虑到不同设备的信息格式存在差异，为了提高事件信息的采集效率和减轻分析压力，需要采用适配器的方式实现对异构系统的连接，适配器支持SNMP TRAP、Syslog等开放的协议或专有协议，对于不能自动输出事件信息的事件源，可通过部署代理程序（agent）直接采集。

另外，还要注意采集到的事件信息，可能存在重复问题，如果不加以处理无形中增加了系统运行负担。可以设置筛选程序，由关联分析引擎对同一时间段内采集到的各类事件信息进行对比，自动对重复的事件信息进行筛选。完成初步筛选后，将事件按照一定的标准进行分类，例如非法访问归为一类、系统安全漏洞归为另一类，为下一步的事件处理创造良好条件。

2.3 事件分析与处理

2.3.1 规则自定义

根据以往的管理经验，安全事件可能是针对某个文件、某个系统的一个具体的攻击行为，也有可能是一个复杂的网络破坏过程。尤其是一些黑客，还会通过隐藏身份，变换IP地址等方式，让攻击手段变得更加隐蔽。为了进一步提高对这些安全事件的识别精度、追踪能力，需要采取规则自定义技术，对各类攻击行为进行标记，在准确识别后作出告警。目前的安全产品针对这些攻击行为基本能检测到并可生成告警，告警信息中一般包含事件类型、安全等级、告警来源、事件名称、源口、目的IP、源端口、目的端口、发生时间、结束时间等。

2.3.2 知识库

知识库是用于存储安全评估标准、风险识别指标、告警信息与处理记录的数据库。在安全事件集中管理系统中，只有保证知识库内存储的各类标准、规则、指标足够丰富，才能支持整个系统的高效运行。知识库中各类规则的添加、删除、修改等，可以支持手动调整，从而更加符合电力企业的实际需求。

2.3.3 关联分析引擎

关联分析引擎可通过程序开发实现，也可采用目前比较成熟的规则引擎。规则引擎是一个基于规则的专家系统，内部一般采用Rete/Rete2算法。安全事件中的每个元素（字段）都可作为参数输入，不同安全事件元素之间的关系构成规则，规则引擎引用规则对进入的安全事件进行不断重复的匹配，当条件满足时触发相应的动作。随着安全事件集中管理系统运行时间的延长，系统会基于以往的分析和处理经验，不断的进行自我优化，从而对安全事件的判断能力得到进一步的增强。

2.4 事件响应处理

2.4.1 即时告警

根据关联分析结果，如果识别出安全风险，则系统自动进行告警，并且提供分析记录，以便于管理人员参考，进而作出更加精准的安全事件管理。安全事件集中管理系统与普通的安全防护系统的区别在于，它能够对系统中产生的告警信息进行汇总，然后统一反馈给终端主机。这样就可以实现集中告警、集中处理，既可以减轻关联引擎频繁响应而导致的系统运行负荷增加问题，同时又能够最大程度上提高安全事件的响应速度、处理效率。

2.4.2 应急处理

在即时告警的基础上，安全事件集中管理系统还能够对已经识别出的各类安全事件，进行综合分析、全面评估，并基于以往的处理经验，生成一份针对性较强的应急处理方案。系统管理人员可以参照该方案，尽快完成系统维护和故障排查，保证电力企业的网络系统始终处于安全运行状态。

3 电力企业安全事件集中管理系统的应用

3.1 运行环境

为避免当某些安全事件发生时多个检测系统同时向管理系统发送大量的告警信息，占用大量的网络带宽，影响业务系统的正常运行，可在业务系统运行的网络之外建立带外的管理网络（网段），各个检测设备将网络管理端口直接接入管理网络（网段），或终端接口直接接入数据采集处理主机。在纵向的广域网上采用服务质量（QoS）机制和虚拟专用网（VPN）技术，建立纵向的上下级调度单位之间的连接。

3.2 部署方式

按照功能进行划分，可以将安全事件集中管理系统分成两个子系统，其一是数据处理子系统，主要负责事件相关的数据采集、分析等工作;其二是集中管理子系统，主要负责参考分析结果，作出相应的管理决策，并在事件完成处理后，将历史记录保留下来。考虑到电力企业的系统结构组成复杂，为了提高安全事件的响应速度，在系统整体部署上采用了分布式部署，將两个子系统分别用专门的计算机管理，然后再连接到终端主机上，保证了电力企业安全事件集中管理系统的稳定运行。

4 结束语

安全事件分析与管理是电力企业在信息时代，保障自身信息安全、实现稳定发展的重要举措。通过构建安全事件集中管理系统，与现行的安全防护系统形成相互补充，形成了更加完善的网络安全管理体系。该系统能够从安全事件信息采集、综合分析和及时响应方面，帮助安全管理人员做好电力企业网络系统运维工作，为电力企业的运营与发展创设了安全的网络环境。

参考文献：

[1]李晨.行为安全管理在煤矿安全管理与评价系统中的应用[J].科学与财富，2019（18）：120-121.

[2]戴小新.基于WMI的Windows客户端安全控制管理系统设计和应用[J].电脑知识与技术，2015（17）：21-23.

[3]朱俊涛，张辉，张帆，等.基于构件的矿井通风安全管理系统的开发研究[J].科学与信息化，2019（16）：162-164.