導語：安全設備在電力企業的運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

安全設備聯動模型框架，是將不同廠家的安全設備數據進行整合、歸并與關聯分析，過濾事件中的誤報、產生確定的安全警報，根據制定的聯動策略對設備進行動態配置，使其產生聯動響應。聯動模型框架包括數據采集層、事件分析層和決策層三部分[1]，如下圖1所示。數據采集主要分為日志數據采集，數據清理和過濾，數據轉換和歸并三層結構。圖2數據預處理的邏輯結構數據采集主要是采集電力企業網絡中能反映網絡安全態勢信息的日志，包括防火墻、入侵防御系統、防病毒系統和漏洞掃描系統。不同的日志信息采用不同的采集方式。文件型日志的采集主要是讀取日志文件，針對數據的結構對其進行拆分，并進行存儲[3]。syslog格式存儲的日志采集主要是通過建立syslog服務器，通過UDP協議接收514端口上的數據，并進行存儲。為保證數據的實時性，采集的周期要盡可能短。數據清理主要是通過一定的數據清理和過濾算法實現對網絡安全設備日志的清理，去除其中錯誤、重復和不完整的數據。數據轉換則是通過建立數據轉換模型將經過清理的各類設備日志進行規范化處理。數據歸并是對轉換完成的日志數據提取關鍵屬性，合并同類型關鍵數據，得到精練的并能充分描述對象的屬性集合。日志預處理模塊是通過在各個網絡安全設備上安全日志采集完成基本安全事件的采集，然后日志采集將各個設備的日志提交到事件管理器進行安全事件的分析與合并，將日志信息歸類上升為安全事件，添加到安全事件數據庫。日志數據的預處理模塊主要是為網絡安全設備聯動系統的數據訪問提供一個公共的統一接口，使訪問者不必考慮數據模型的異構性、數據抽取、數據合成等問題，只需指定想要的數據，而不必關心如何得到。

事件分析層主要是通過分析分析安全事件數據庫中的數據，發現隱藏在這些看似獨立的安全事件背后的邏輯和攻擊信息，也就是發掘出這些網絡安全事件之間的關聯[4]。在安全事件數據庫中，安全事件主要是以屬性作為關鍵字進行存儲的。本模型中事件分析層的關聯算法主要是采用基于攻擊屬性相似性的關聯方法。基于攻擊屬性相似性的關聯方法通過以下幾個步驟對報警進行關聯：（1）計算安全事件不同屬性之間的相似度；（2）當新的安全事件到來時，與已存在的所有事件線程的相應屬性值進行比較，計算它們之間的相似度；（3）將安全事件與事件線程相似度最大、并超過設定閾值的安全事件融合到事件線程中。若不超過設定的閾值，則生成一個新的事件線程。事件分析層主要是結合安全事件數據庫，對當前出現的安全事件或系統漏洞進行關聯規則分析，分析當前時間產生的前提下，可能引發的其他安全事件，并對關聯分析產生的安全事件進行預警，并觸發聯動模塊，使系統設備和工作人員對即將發生的安全事件進行警戒狀態，并進行一定的處理。事件分析層中事件管理器將源事件提交給策略判決點進行策略觸發，管理控制端通過檢索事件數據庫中的事件源和策略庫中事件源對應的相應處理策略完成策略觸發，并將觸發策略返回給策略判決點。策略判決點再將安全事件處理策略下發給各個，通過執行策略的具體內容改變安全設備的相關配置完成安全事件的處理。從整體上構建基于聯動策略的網絡安全設備聯動模型，通過安全事件觸發的機制自動生成安全策略，通過自動化地將設備配置信息傳送給相關設備達到應用安全策略的目的，實現從整體上協調一致，主動動態地保障網絡安全，順應電網智能化的發展趨勢。

本文研究了構建網絡安全設備聯動系統及其在電力企業信息安全領域的應用，通過對信息系統原始日志信息進行規范要求和統一處理，并在大量的日志信息中找到高風險的安全事件，對安全事件進行關聯分析，獲取全面準確的系統潛在威脅，提供準確的安全風險分析報告和風險控制措施。最后從解決安全事件的角度提出應對安全事件的聯動策略，為管理員發出相應的風險告警，有效處理內部違規操作和外部威脅等一系列網絡安全問題。

本文作者：齊四清劉世民趙晶高敏工作單位：內蒙古東部電力有限公司信息通信分公司