电网信息安全情报集中管控平台研究与建设

2017-02-14鹏苏永东张睿宋

网络安全技术与应用 2017年1期

关键词：漏洞情报威胁

◆肖鹏苏永东张睿宋春

（1.云南电网有限责任公司信息中心云南 650217; 2.云南云电同方科技有限公司云南 650217）

电网信息安全情报集中管控平台研究与建设

◆肖鹏1苏永东1张睿2宋春2

（1.云南电网有限责任公司信息中心云南 650217; 2.云南云电同方科技有限公司云南 650217）

随着信息安全漏洞日益增多，大量电力企业均采购了信息安全漏洞扫描系统，以支持信息安全防护工作。本文在对国内某电力企业在信息安全漏洞管理调研的基础上，识别出现大型电力企业在漏洞管理和威胁情报利用方面面临的困境，有针对性的设计并开发了电网信息安全情报集中管控平台,实现对任意安全情报的统一收集、自动化应用与闭环管控，并针对平台后续深入应用给出了研究方向。

统一信息存储检索; 信息安全漏洞; 微服务; 电网企业; 威胁情报

0 引言

随着新型漏洞和攻击的不断增长，信息安全面临严峻挑战。在信息安全工作中，大量单位还在采用邮件、短信、通知等方式对下属分子公司进行漏洞和威胁情报通报。但从近两年信息安全形势来看，各种漏洞频发，通报各单位响应时间周期较长，然而黑客利用漏洞的技术越来越成熟，时间短攻击快，利用通报过程中的时间窗口进行快速攻击，可造成电网不可估量的损失。并且分子公司由于技术力量薄弱等原因，不能及时、准确地对漏洞进行分析、验证和管理，导致黑客可以利用漏洞进行攻击等。这对于电网企业的信息系统安全防护是一个极大的安全隐患。

对此，开展信息安全漏洞集中管控平台研究与建设，能够有效提升漏洞获取效率、快速进行评估分级并处理、获取威胁情报提前防护，对于电网企业信息安全防护水平的提升具有重要意义

1 国内外研究现状

国外发达国家高度重视信息安全漏洞的管理及控制工作，早在20世纪70年代就开展了针对漏洞的相关研究。随着参与研究的组织越来越多，漏洞数据库也逐步建立，如知名的CVE漏洞库、NVD漏洞库、US-CERT漏洞库等。随着互联网的发展和漏洞数量的快速增长，我国也建立了一定数量的漏洞库，包括国家漏洞库和各信息安全企业自行建立的漏洞库。由于漏洞库的管理机构不同，对漏洞的分类、属性说明、级别说明、命名等均没有统一规范，电网企业在面对海量的漏洞信息和庞大的信息系统时，缺少有效的漏洞管控手段。

近年来，随着威胁情报理念及应用的发展，企业不单需要跟踪修复漏洞，还需要了解相关的攻击手法、攻击者信息等情报以进行全面防护。威胁情报的描述不但包含漏洞信息，而且比漏洞信息的内容更加丰富和灵活。如何有效的对信息安全情报进行统一收集、跟踪与管理，对于信息系统规模较大和对信息安全更为敏感的电网企业来说，是一项巨大的挑战。

2 电网信息安全情报集中管控平台研究

2.1 平台总体架构设计

电网信息安全情报集中管控平台的主要功能在于自动化的采集主要漏洞库和威胁情报发布机构的历史与更新信息，利用情报中的信息结合内网资产情况，形成活跃/高危漏洞库，并通过一系列的流程实现高危漏洞的发布、通报、预警、整改及复核的威胁全生命周期管理[1]。

2.1.1 技术架构体系设计

考虑到信息安全情报的内容格式仍然在不断演化，发布机构的增加、影响IT设备种类也不断增加。这种功能、性能快速变化的应用场景难以通过传统的IT架构实现快速上线与快速扩展。

通过应用微服务架构，系统中的各个微服务可被独立部署，各个微服务之间是松耦合的。服务之间互相协调、互相配合，为用户提供最终价值。每个服务运行在其独立的进程中，服务与服务间采用轻量级的通信机制互相沟通（通常是基于HTTP协议的RESTful API）。每个服务都围绕着具体业务进行构建，并且能够被独立的部署到生产环境、类生产环境等。每个微服务仅关注于完成一件任务并很好地完成该任务。在所有情况下，每个任务代表着一个小的业务能力。

图1 传统IT架构与微服务架构对比图

在电网信息安全漏洞集中管控平台的建设中，应用微服务架构一方面能够将原有功能独立形成微服务，避免展现、业务和数据存取的深度关联，开发人员通过统一的接口各自完成相关逻辑的开发，也实现了开发团队小型化、高效化、语言的灵活化。另一方面对于性能扩展更加灵活，对于负载较大的微服务可以单独进行扩展，避免原有架构下对整套功能的扩展，提升了资源利用效率[2]。

2.1.2 统一信息存储检索架构设计

随着互联网规模的几何级数的增长,信息安全日益成为威胁网络正常运行的主要问题。电网信息安全情报集中管控平台中，将收集各类安全信息，包括但不限于日志信息、安全扫描信息、威胁信息、流量分析信息，这些信息格式多样、数量巨大，并且相互关联。

通过应用Elastic Search作为存储平台，能够满足威胁情报收集的全面性的续期，实现海量多元异构数据的存储，并对上层分析应用提供统一的数据获取接口，屏蔽多来源、多格式信息检索的复杂性，提升检索效率，解决传统数据库引擎面对多源异构海量数据检索效率极低的问题。

2.2 平台功能设计

2.2.1 平台业务流程

平台的业务流程如图2所示。

信息安全情报分为内部情报和外部情报，内部情报支持规则、检测工具自动产生，外部情报支持手工录入或接口自动获取，在录入情报信息的时候，可以关联到受影响的资产[3]。

（1）内部情报收集

根据系统各监测扫描组件报告、流量检测分析结果结合日志分析结果，进行汇总与格式化处理，便于提供给威胁分析模块进行专项分析。利用规则管理实现规则的设置，结合检索调度管理实现根据规则进行定期收集。

图2 平台业务流程

（2）外部情报收集

从手工录入接口、威胁交换信息导入接口和网络爬虫接口输入或主动检索威胁信息。手工录入接口提供向导式的外部威胁情报录入模式，引导相关人员完成外部威胁情报的录入，有效对录入信息进行格式化存储，便于后续交换与分析; 威胁信息交换接口支持XML、excle、HTML、STIX、OpenIOC等多种格式的威胁交换信息接口，用于批量威胁信息的双向交换; 网络爬虫接口利用爬虫技术等从各知名漏洞、威胁发布网站抓取所发布的最新漏洞、威胁公开时间、严重程度及受影响的系统、软件版本等。如有可能，同时获取漏洞发布网站的攻击示例及漏洞验证方法或修补方法等。

原始信息获取完成后，对于各接口获取的信息进行统一解析与格式化处理，便于提供给威胁分析模块进行专项分析。

（3）威胁分析

根据汇总上来的基础威胁信息，调用规则或发布给技术支撑单位、安全专家进行专项分析，完成威胁类型分析、威胁严重程度分析、威胁影响范围分析、威胁起始时间判断、应对措施建议分析。提供知识库功能，借助知识库完成相关威胁分析，并且将本次分析结果更新到知识库中。

（4）信息安全情报管理

根据分析完成的信息安全情报，可以进行情报通报、跟踪处理、自动化应用、防护有效性检测、情报变更等管理流程，帮助电网企业快速、有效、完整、闭环的根据信息安全情报完成大规模信息系统的安全防护和预警行动。

2.2.2 平台主要功能及实现

（1）总览视图

提供了信息安全情报的新增数量、讨论数量、相关消息和请求以及各威胁在分析进展、影响等级等方面的分析情况。

图3 总览视图

（2）情报详情查看

图4 情报详情

可以查看选定情报的详细信息。包括威胁编号、提交机构、提交人、提交日期、分类、威胁等级、发布范围、分析进展、威胁描述、发布状态信息。如果威胁的属性与其他威胁的属性一致，将产生威胁的关联，这对于识别同一攻击组织非常有用。如图4所示[4]。

（3）情报属性

情报属性是用来详细说明相关信息的数据格式。借助属性可以将情报格式化，并且可以使部分字段能够成为可用于安全检测的特征。可以创建的属性主要包括说明类、IP地址类、域名、文件名、文件HASH、文件路径、Email发件人、其他检测特征等类型。同样支持上传恶意软件样本作为附件，同时恶意软件样本将自动被HASH作为属性。为了防止恶意软件被无意执行，上传的恶意软件样本将被加密压缩保存。