安全管理系统的研究与应用
【摘要】随着电力信息化的快速发展，信息设备的不断增长，迫切需要有信息系统的监管系统对其进行支撑，本文将引入安全管理系统，对系统的功能目标、总体架构和技术原理进行分析讨论，并对系统在电力企业中的实际应用情况进行了介绍。

目前，安全管理系统应经投身于电力企业的实际应用当中，并取得了良好的应用效果，为信息系统安全运行提供的可靠的支撑。

【关键词】信息；安全；管理
0 引言
随着国网公司“SG186”工程提前完成，公司明确要求加强信息安全管理，信息安全建设从此提高到了一个新的高度。

随着公司信息化建设，信息网络设备数量越来越多，为保证信息设备运行安全，公司上线一系列信息安全产品，如防火墙、入侵检测、防病毒等等，但如何整合企业所有重要信息设备的信息，通过智能化的分析手段，让企业感知正在发生的安全事件，更好的提升公司安全管理水平，成为现阶段信息安全建设的主要目标。

1 需求描述
随着信息化建设的不断发展，信息安全越来越被企业重视。

在实际大中型网络应用环境中，由于通常采用分期或者分系统建设，在不同的时期和不同应用系统经常会采用不同厂商的安全产品和方案，并引入了相当多异构的安全技术，而来源与防火墙、入侵检测、漏洞扫描、防病毒等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥，在一个中等规模的网络上就可以形成海量安全事件。

这些事件中又存在非常多的误报和重复现象，在进行事件分析时，由于只考虑事件本身的严重程度，没有和实际的业务、资产情况结合，使得一些潜在的威胁往往被忽略。

对于新上线的应用系统的应用层安全性、数据库安全、网络层面的安全防护手段以及日志审计等方面目前还没有切实有效的手段来测试、跟踪和防护；没有切实有效的手段对网络设备、安全防护设备、主机服务器以及新应用系统平台的安全性有一个直观的、准确的、实时的掌握；没有对网络设备、安全防护设备、主机服务器以及新应用系统平台所产生的日志进行统一的、关联的、标准化的分析，这给安全管理所强调的及时性以及工作量带来了一定的隐患和问题。

随着国网“SG186”信息化建设的深入、业务系统的不断增加，提供信息服务的软硬件的种类与数量也随之增加，信息软硬件的运行情况和企业各部门业务的捆绑也越来越紧密，促使企业对信息系统安全的运行维护要求也越来越高，现有的安全管理、安全监控手段已经不能满足日益扩展的复杂的安全保障的需要，迫切需要信息安全管理系统对其进行支撑。

2 总体目标及建设原则
1）总体目标。

针对国网“SG186”的建设要求，推出安全管理平台解决方案，建设满足公司安全建设要求的安全管理系统：整合公司所有重要信息设备的日志信息，通过智能化的分析手段，让企业感知正在发生的安全事件；落实企业的安全策略、管理要求到具体的设备和人员，通过日常安全运维不断提升企业的安全管理水平。

2）基本原则。

系统遵循高可靠性、高灵活性，可扩展性等原则
3 系统功能架构
系统整体功能架构如图1所示：
3.1 系统主要功能
1）系统管理。

包括对Portal的维护（子系统和Portlet的维护）、参数设置（包括标准系统、登录策略设定、地域定义、系统参数设置、网络管理、IP地址段管理）、日志管理、组件管理（可以监控SOC系统内的组件状态）、响应管理、口令策略管理、许可证信息。

2）资产管理。

资产管理主要包括对资产信息的维护和业务系统信息的维护，另外还包括对资产的启用/停用、资产口令的设置（主要是为配置管理和变更管理提供登录信息）、资产信息的导入/导出、预备资产的管理、自定义资产属性、资产发现等功能。

3）设备状态管理。

通过使用SNMP方式向被管理设备获取相关性能信息，然后通过被管理设备的连通情况、CPU、内存的负载情况、网络接口可用情况综合计算设备健康情况，其值在0～100之间，越高越健康。

4）风险管理，主要包括风险管理、数据查询，IP事件管理和工单预警。

风险管理：实时监控SOC系统内各种告警并执行可清除、派单等操作；设置各种实时告警规则（事件、漏洞、脆弱性、变更满足规则产生告警）；关联知识维护（如资产事件和漏洞关联）；
数据查询：对SOC系统内部的各种数据进行查询，包括资产、扫描漏洞、配置脆弱性、配置、配置变更、告警、资产事件及原始事件；
IP 事件管理：可以按IP 地址段、组织、业务系统及地域查询所有原始事件；
工单预警：包括工单管理和预警管理，工单管理包括新建、接收、处理、验证、完成、驳回、关闭及查询；预警管理主要是针对安全漏洞和最新病毒等情况，创建预警并下发到下级SOC系统，还可查看从下级SOC 系统订阅的预警的基本情况。

5）安全事件管理，主要包括安全事件的收集标准化、关联分析、审计分析。

安全事件的收集、标准化：通过syslog、snmp trap、socket方式接入监控设备的安全日志，并通过加载agent的方式完成对日志的标准化工作；
关联分析：在事件标准化的基础上，对相关设备的日志进行关联分析；系统自带多条关联规则。

3.2 系统主要特点
1）产品系列灵活的统计告警规则设置。

系统内置丰富的统计告警规则，并支持扩展和自定义规则，这些规则从不同层面上反映当前的安全管理状况，所有的规则都可以根据定义的条件触发相应的告警。

2）强大的关联分析能力。

支持事件关联和定损关联，能够基于资产进行综合风险分析和计算。

3）企业级的分布能力。

支持多级安全管理中心的数据交互或者同步，并在中国电信项目中首先得到了应用。

同时领信安全管理中心建立了灵活的授权体系，不同群体之间互不影响，感觉就像在使用一套独立的系统。

4）极高的处理性能。

支持大量资产以及每日数千万事件的处理，支持分布式采集与处理。

5）强大的智能处理引擎。

不但支持基于事件的关联分析，而且支持基于资产的关联分析，分析的结果可以关联到知识库和解决方案。

6）全面的安全产品支持。

支持大量现有安全产品的集中监控，保证即插即用。

7）内置scanner的解决方案。

通过内置scanner，将传统的扫描工具上升到基于资产的漏洞管理的高度，通过安全管理中心解决方案的强大功能获得了企业级的漏洞管理、维护和关联功能。

4 技术原理
信息安全管理系统源于以风险为核心的安全管理体系。

信息安全
（Information security）的主要目标是信息和信息资产的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持。

为了保证信息资产的保密性、完整性和可用性，必须使用风险管理的手段，风险管理是企业安全管理的核心，正确的风险管理方法是不断评估和监控企业信息资产中存在的风险，并采取一定的防护措施和响应管理流程，保证对风险的抑制。

风险控制是一个动态的模型，通过考量风险控制的过程中的资产及其价值、威胁、漏洞和防护措施等主要因数，计算出需要关注的风险值：
资产及资产价值：资产是只对某个组织有价值的东西，信息资产具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。

安全属性的不同通常也意味着安全控制、保护功能需求的不同。

通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。

威胁：威胁是对系统和企业网的资产引起不期望事件而造成损害的潜在可能性。

威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。

威胁也可能源于偶发的、或蓄意的事件。

一般来说，威胁总是要利用企业网络中的系统、应用或服务的漏洞才可能成功地对资产造成伤害。

漏洞：漏洞和资产紧密相连，它可能被威胁利用、引起资产损失或伤害。

值得注意的是，漏洞本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。

防护措施：防护措施可以是安全产品部署、策略执行、人工加固等，防护措施通过降低威胁发生的可能性，将风险降到可接受的范围之内。

所有的安全产品和安全技术都是通过改变风险的某一属性从而达到降低风险的目标，最终保护宝贵的信息资产。

5 在电力企业中的应用情况及效益分析
信息安全管理系统在我公司已成功部署，项目覆盖公司所有重要信息网络设备，7*24小时实时监控单位内部网络流量、主机日志、网络设备日志、安全设备日志、以及应用系统的相关配置信息和安全策略，通过协议解析和基线比对从而有效的实时的对业务系统应用层进行监控，对整个信息网络事件的发现具有很好的效果。

6 结语
信息安全管理系统在我公司已成功部署，系统增强了信息系统的安全性，易用性，和可维护性；提高了运维人员工作效率，节省了网络安全的投资。

系统投
入运行后降低了系统管理人员的工作负担和技术要求，降低了公司局域网服务器的维护负担，提高了公司网络系统的可靠性、可用性和稳定性。

增强信息系统安全稳定性，减小业务故障发生的周期，提高信息网络管理效率，适应了国网信息安全发展需求。

【参考文献】
[1]冯登国，张阳，张玉清.信息安全风险评估综述[J].通讯学报，2004（7）.
[2]朱岩，杨永田，张玉清.基于层次结构的信息安全评估模型研究[J].计算机工程与研究，2004（6）.。