发电企业信息安全态势感知探讨范文

摘要：本文介绍了国内外安全态势感知技术的研究现状，提出了发电企业开展安全态势感知技术研究的必要性，并对安全态势感知中数据挖掘、信息可视化、信息融合等关键技术的实现方法进行了较为细致的阐述，对发电企业开展安全态势感知研究具备一定的参考价值。

关键词：发电企业；安全态势感知；关键技术；信息技术

0引言

2016年4月19日，在安全与信息化工作座谈会上明确指出：“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”随着网络技术不断地更新和发展，网络攻击技术也随之不断演进和发展，新的网络安全攻击手段正在使得传统的安全防御体系面临着前所未有的失效风险。态势感知作为一项新的信息安全防御技术，能够全面感知网络安全威胁态势、洞悉网络及业务应用系统的运行状态，“态势感知”已经成为网络空间安全领域聚焦的热点，也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现，更代表了当前网络安全攻防对抗的最新趋势[1-2]。《美国陆军手册》对态势感知的定义是：一种信息型的视角和技能，能够快速确定环境条件和事件关联性的能力。美国空军首席科学家MicaR.Ends-ley给出了一个动态环境中态势感知的一般定义：“态势感知就是在一定时间和空间中对环境因素的认知，对其意义的理解，以及对其未来状态的预测。”

1态势感知的研究现状

美国于2008年颁布了《国家网络安全综合纲领》（简称CNCI），CNCI由一系列互为补充的纲领组成，明确定义了联邦政府在网络漏洞、威胁和事件方面的信息共享方式、态势感知的基本方法，是美国态势感知体系建设的纲领性文件。基于纲领的定义，美国政府在联邦政府网络中部署了感应式入侵检测系统，基于威胁决策的完整数据包检测，形成一个动态的态势感知体系；加强了各网络指挥中心的连接，提升态势感知意识；明确国土安全部国家网络安全中心（NCSC）总体协调六大指挥中心，成为态势感知体系的推动方，建立跨区域的态势感知能力[3-4]。欧盟的龙虾计划（LobsterProgram)由欧盟委员会所属的信息社会技术项目（IST）资助，计划的全称是Large-scaleMonitoringofBroadbandInternetIn-frastructures，即大规模宽带Internet基础设施监测。该计划启动于2004年1月，其核心目标是：基于被动监测传感器，针对欧洲地区的互联网建立起从2.5Gbps到10Gbps环境下的网络流量监测的试点。具体包括：实现一个能够基于原始流量数据匿名化的工具与通用的匿名数据流量信息表达方式，在不同的参与者之间分享捕获的攻击数据，开展协作分析；在高性能、分布式的监测传感器（TrafficMoni-toring）基础上建立一套应用分析框架和典型应用，支持识别0day蠕虫传播、识别动态端口应用、对互联网服务进行度量等。国内对网络安全态势评估方法的研究相对较晚，理论及应用研究均亟须进一步提高与完善。2016年12月27日，国务院全文刊发了《“十三五”国家信息化规划》，再次强调了态势感知的重要性。“十大任务”中的最后一项即健全网络安全保障体系，提出“全天候全方位感知网络安全态势”[5]。

2发电企业态势感知体系建设的必要性

随着信息化的快速发展，国内外网络安全形势日趋严峻复杂，震网病毒成功攻击了伊朗布什尔核电站，乌克兰两次遭遇网络攻击导致的停电事件，这些都表明针对能源行业的敌对势力始终存在，通过黑客手段攻击电力系统的行为已经成为现实。发电企业是关系国家能源安全和国民经济命脉的国有重要骨干企业，是经过国务院同意进行国家授权投资的机构和国家控股的能源企业。发电企业遵循“分区分域、安全接入、动态感知、全面防护”的主动防御原则，建立了网络安全监测预警、信息通报和应急响应工作机制。随着网络安全法的颁布，为有效应对日趋复杂的网络安全形势，面对可能出现的有组织、系统性、高频度、长期潜伏的网络攻击，发电企业亟须在现有技防措施和防护体系基础上，建立更加完善的管理、技术体系。基于大数据分析，把碎片化的日志信息、威胁情报进行采集并关联分析，对安全威胁情况进行统一监控、分析、预警，让安全设备有机结合为一张安全防护网，确保安全威胁无处遁形。

3态势感知体系关键技术

3.1网络态势感知系统的基本架构技术

自Endsley提出态势感知三要素后，态势感知技术已经演进到基于多传感器数据融合的网络态势感知功能模型，其系统框架、关键技术不断细化、完善和改进。就体系架构而言，包含C-S模式、B-S模式、三层模式的B-S架构以及基于云计算等类型，但基于Agent的态势感知模型以其具备的异步计算、并行求解、智能化路由以及动态执行等特点，可以极大地提高态势感知的速度与效率，在态势感知的架构体系模型中独树一帜[6]。中国电力科学院蒋诚智博士通过在态势感知的数据采集处理层、评估分析层、协调管理层、态势决策分析层建立不同的智能Agent[1]，并构建了Agent和统一信息库之间的关系，以此为基础创建了一个典型的基于智能Agent的电力信息网络态势感知模型。无论基于何种架构和模型构建电网态势感知基本体系框架，如果要完成实用化应用，都必须首先实现数据挖掘、信息可视化、信息融合三项关键技术的应用。

3.2数据挖掘技术

发电企业安全设备的部署参照分区分域的大原则，使得态势感知探针采集的数据具有数量大、有噪声、模糊、不完全等特性，如果要真实的反馈网络和安全设备的运行状况，则必须将这些数据转化成有规则、有规律、有价值的数据，继而真实反映网络运行状态，便于对安全隐患问题及时处理。安全态势感知的数据挖掘，首先需要收集原始审计数据，把网络数据包/主机事件数据、网络连接数据/主机会话记录根据特定的挖掘规则，编制成有规律信息，反馈至后台数据库，即向给定的数据库传送支持度、可信度都非常高的信息，再采用Apri-ori、APrioriiTid算法，分析数据的因果关系，接着利用写入的数据建立一个贝叶斯分析和决策数据模型，最后采用结合密度方法的动态聚类法，发现网络中的安全问题。

3.3信息可视化技术

在发电企业真实运行的网络安全环境中，设备之间错报、漏报、重复报等问题是非常普遍的，要杜绝这类问题，必须构建安全态势感知环境下的信息可视化。其实质是在数据分析过程中，突破传统文本形式的局限性，注重把大量复杂、抽象的态势数据转换成图形的格式，建立图形信息的搜索功能，让安全管理人员能够利用图形化的信息搜索引擎，更迅捷的掌握当前态势和未来的态势预测信息。日本学者T.Takata提出的Mielog系统，其在运行过程中可通过日志形式，记录态势可视化和数据统计结果，另外通过Web界面，保持2分钟一次的日志视图更新频率，也同时显示4小时内的安全报警信息。如果系统数据无法及时反馈至后台数据库，则采用seeViz工具，可以在网络攻击发生时，利用三维视图，通过离散、平行点方法捕获安全隐患数据，及时传输给后台数据库。

3.4信息融合技术

态势感知中的信息融合技术，是以多源网络信息安全为基本的数据对象，把信息融合的方法和知识作为理论的指导依据，继而构建一个层次化的信息融合模型。信息融合模型包含了多源信息层、安全态势评估层和态势预测层[3]。多源信息层采用不同的数据接入方式，比如蒋诚智博士提出的智能Agent，来获取多源网络安全信息，包括网络拓扑、主机信息（主机权重、主机漏洞、漏洞静态严重性等）、报警信息（对多个入侵检测系统产生的原始报警信息进行预处理后）。在态势评估层，则利用D-S证据理论，对多源信息层采集到的信息进行融合处理，针对不同设备开启不同的服务。所对应的漏洞集，首先采用求和法得到评估结果T1，其次考虑不同服务的权重差异，利用求和法得到评估结果T2，最后考虑各设备在网络中的权重差异，将T1和T2代入，利用加权求和法，得到最终的评估结果T3。在安全预测层，则利用支持向量回归理论，参照历史态势评估结果得到未来单位时间内的态势预测结果。

4结束语

安全态势感知对发电企业而言，是一门既熟悉又陌生的学科，熟悉态势感知所依托的基础安全设备以及设备的告警方式、日志管理，陌生的则是态势感知模型的构建、态势感知三个关键技术的具体实现方法。建立发电企业安全态势感知模型，需要通信专业的同仁在实践中不断摸索，研究、建立、实践并验证新的技术和方法。安全态势感知也是发电企业实现信息网络更加安全的最佳途径。

参考文献

[1]蒋诚智，余勇，林为民.基于智能Agent的电力信息网络安全态势感知模型研究[J].计算机科学，2012，39（12）：98-101.

[2]赵志强.电力信息网络安全分析及解决方案探究[J].网络安全技术与应用，2015，（07）：13.

[3]王选宏，肖云.基于信息融合的网络安全态势感知模型[J].科学技术与工程，2010，10（28）：6899-6902.

[4]梁宏军.网络安全态势感知模型研究[D].长沙：湖南科技大学，2013.

[5]文志诚，陈志刚，邓晓衡，等.基于多源多层次信息融合的网络安全态势感知方法[J].上海交通大学学报，2015，49（08）：1144-1152.

[6]陆万青.网络信息安全对攻击风险预测仿真[J].计算机仿真，2017，（11）：316-319.

作者：胡传力 单位：国家电投江西电力有限公司新昌发电分公司