资源描述:
《能源互联网支撑系统的网络安全监控分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
2019年中国电机工程学会年会论文集能源互联网支撑系统的网络安全监控分析程杰,李灿,胡威,张书林,王婵,郭邯,黄星杰国家电网有限公司信息通信分公司,北京市西城区白广路二条100761;AnalysisofNetworkSecurityMonitoringUndertheEnergyInternetSupportSystemJieCheng,CanLi,WeiHu,ShulinZhang,ChanWang,HanGuo,XingjieHuangStateGridInformation&TelecommunicationBranch/Beijing摘要:本文提出能源互联网支撑系统的网络安全监控分析体系,明确了网络安全监控的工作机制、监控内容、技术手段、统计规范,从监视、分析、处置三个维度完善网络安全监控分析体系,有效监控网络安全态势、发现安全威胁及隐患、管控安全风险。关键词:能源互联网;网络安全;分析监控ABSTRACT:ThispaperpresentsananalysismethodofnetworksecuritymonitoringforanenergyInternetsupportsystem,clarifiestheworkingmechanism,monitoringcontent,technicalmeans,andstatisticalnormsofnetworksecuritymonitoring,andimprovesthemethodofnetworksecuritymonitoringfromthethreedimensionsofmonitoring,analysis,anddisposal.Itcaneffectivelymonitoranetworksecuritysituation,discoversecuritythreatsandpotentialdangers,andmanagesecurityrisks.KEYWORD:Energyinternet;Networksecurity;AnalyticalMonitoring1引言能源互联网的基本结构能源互联网被提出以来一直备受关注,其基本架构大致可分为“能源系统的类互联网化”和“互联网+”两层:前者指能量系统,是互联网思维对现有能源系统的改造;后者指信息系统,是信息互联网在能源系统的融入[1],如图1所示。直观地,能源互联网在于构造一种能源体系使得能源像Internet中的信息一样,任何合法主体都能够自由地接入和分享。从控制角度看,在于通过信息和能源融合,实现信息主导、精准控制的能源体系[2]。为适应安全格局的更新变化和网络信息安能源互联网是建立在信息通信技术上,其架全的现实需求,本文基于能源互联网的基础架构构包含能源系统及IT支撑系统,能源系统包括提出网络安全监控体系,从管理规范、监控要点风力、燃气和热力等,IT支撑系统包括能源路由和技防设施几方面对网络安全监控分析进行了器、智能控制设备和安全监控设备等。全球化能相关探讨,总结和提炼网络安全监控工作的规范源互联意味着网络环境对外开发,实现资源共享和要点,实现支撑系统的网络安全监控和整体分[3,4],随着网络和信息化的快速发展,黑客组织析,供网络安全监控人员借鉴。和网络恐怖组织对网络攻击持续增多,破坏力日益增强[5],因此,能源互联网IT支撑系统的网2网络安全监控体系络安全至关重要。本文重点明确网络安全监控管理规范,依据实际情况明确监控要点,确保有关技防措施可
12019年中国电机工程学会年会论文集用、在用,及时发现重大网络安全事件,有效阻安全设备都处于可用、在用状态。断各类网络攻击行为,并积极共享网络安全情•不发生信息内外网数据批量泄漏事件。报,形成完善的工作体系。网络安全监控体系一利用内外网间的隔离设备对传输信息进行审计,共包含三大模块:管理规范、监控要点和技防设遇到敏感信息及时告警,使用数据库技术对数据施。网络安全监控体系如图2所示。库信息进行脱敏管理,保证数据库信息安全。网络安全监控体系•不发生重要敏感信息的失窃密事件。对包含敏感信息的本地文件做加密处理,文件传输过程也采用加密传输,贯彻信息保密原则。2、监控机制确保网络信息安全,对于安全威胁做到“及时发现、有序应对、处置得当”,开展全天候网络安全分析监控分析是必要的,形成严格的闭环监控机制,应覆盖以下几方面:•落实网络安全监控工作场地、技术装备,具备监控覆盖各类边界、系统、设备、终端等资产的条件,具备基本的网络安全分析能力。网络安全监控体系包括管理规范、监控要点•对高风险及中等风险网络安全事件的和技防设施。其中,管理规范包括合规性、有效确认、分析溯源、取证和事件报告,组织开展漏性、可用性三个方面;监控要点包括网络与边界、洞验证与修复,闭环管控漏洞风险。主机与应用、数据与业务、终端安全四个方面,•完善的安全设备与系统的监控分析、巡共计十八个监控要点;技防设施是指一种常态化检记录工作体系在线运行的网络安全技术防范设施,主要包括通3、统计与分析用技防设施和专用技防设施。通用技防设施包括针对网络安全事件的告警处置,一个规范的防火墙、入侵检测、入侵防御、防病毒系统、桌统计标准和管理流程是非常必要的,及时统计分面终端管控系统、邮件阻断等;专用技防设施包析,有利于后续安全监控分析工作。根据网络安括安全接入平台、隔离装置、外网交互平台、漏全事件的特性,应有序开展如下工作:洞补丁管理、数据保护、安全基线合规、防火墙1)发现告警后应及时统计事件发生的时间、基线合规等。任务来源、任务要求、涉及的人员及系统、反馈时间及要求等,对封禁的恶意IP进行记录,用3网络安全监控模块设计于情报共享。3.1安全监控管理2)定时对网络安全日常监控巡检,执行日1、目标常巡检任务,巡检频率依实际情况确定,若监控网络安全监控的首要目标如下,实现责任范时发现异常事件或严重攻击行为时,及时保存相围内的网络安全事件的“五个不发生”:关数据,完善网络安全日常监控巡检表•不发生网络或系统页面被篡改、系统被3)对网络安全风险预警进行闭环管控跟踪,控制事件。实时监控网页状况防止页面被篡改,统计尚未完成的风险预警,开展销号管理。网站系统尽量采用https加密方式防止数据劫持。对网络安全事件进行统计后,从中提取有价•不发生网络隔离体系被突破事件。利用值的信息,不仅能对网络攻击事件进行溯源分网络间的隔离设备严格区分网络网区域,机房链析,还可以针对网络安全隐患做好安全防御和风路都使用屏蔽措施。险管控工作,重点提取分析攻击总次数、主要攻•不发生关键基础设施防护措施失效事击源、主要攻击目的、主要攻击特征、月度分布、件。定时巡查网络安全设备运行状态,保证所有攻击趋势、各类安全设备与系统的告警等信息,
22019年中国电机工程学会年会论文集用于分析网络安全态势。针对网络攻击事件、信息时代数据就是资产,保证数据安全就是APT事件、拦截IP进行分析,包括月度分布、保护资产不受侵犯,对数据与业务的攻击事件开拦截比例、TOP3攻击源、TOP3攻击目的,统计展监控工作,如数据泄密、业务安全、数据库审分析风险预警和漏洞,包括漏洞类型、存在漏洞计、沙箱蜜罐等。的业务系统、漏洞网域。防止数据泄密可以通过对数据、重要文件等3.2安全监控要点敏感信息和标密数据等以电子邮件、电子文件等1、网络与边界安全形式的外流事件进行监控。保证业务安全可以对对影响网络及边界安全的攻击事件开展监影响业务系统安全的威胁进行监控,根据业务的控工作是非常必要的,主要针对扫描探测、暴露实际需求定制不同的安全监视主题。数据库审计面监测、拒绝服务攻击、暴破撞库、漏洞攻击等主要监控对数据库存在访问行为的IP、异常的进行监控。SQL关键字、异常的SQL语句、返回异常的数扫描探测是对被攻击对象开展地址扫描探据等。沙箱蜜罐监控是将疑似感染病毒木马的文测、端口扫描探测、操作系统扫描探测、漏洞扫件放入沙箱进行检测,记录检查结果,对进入蜜描探测等。暴露面监测是对内部及外部提供的网罐的网络攻击行为进行监控。络服务以及服务对应的端口等进行监控。监控拒4、终端安全绝服务攻击以SYNFLOOD、ICMPFLOOD为代终端安全的攻击事件开展监控工作应包括表的大规模流量冲击型攻击,以及HTTPGET和病毒木马、邮件安全、使用行为、终端合规等。DNSQUERY为代表的应用层资源消耗型攻击对主机、终端感染病毒木马情况进行监控,等。暴破撞库监控以帐号密码探测为目的的攻做到及时排查并查杀。对往来邮件的附件存在恶击,主要表现为异常IP登陆、异常IP访问等。意程序、钓鱼链接等内容进行监控,也应该第一漏洞攻击对采用特定漏洞攻击方式的行为进行时间掌握邮件来源,记录信息后,立即在邮件服检测。务器上删除病毒邮件,并通知用户对邮件情况进2、主机与应用安全行反馈。对终端的违规外联、终端运行状态、非主机安全保证主机在数据存储和处理的保法接入准入控制等内容进行监控,对异常上网行密性、完整性,可用性,应用安全保障应用程序为进行阻断处置,处置完成后恢复网络。终端合使用过程和结果的安全。对影响主机与应用安全规包括对终端弱口令、杀毒软件安装、桌管系统的攻击事件开展监控工作,如后门攻击、僵尸网安装等进行监控,并及时通知用户进行整改。络、文件篡改、合规性管控、日志审计等。3.3技防设施后门攻击监测网络异常链接,服务异常登确保网络安全,不仅需要严格标准的网络安录,软件程序或文件被篡改等。僵尸网络监测木全监控管理体系,明确安全监控要点,还需要先马、蠕虫、恶意软件等恶意程序或代码的传播,进的技防设施,准确实时的监测并告警,以便安以及网路中的异常流量等。文件篡改对重要网站全监控人员采取应对措施。的文件进行监控,实时监测非授权许可下的修恶意攻击和威胁的形式和途径多种多样,并改。合规性管控主要监测安全基线配置不合规,且不断更新变化,因此任何一类设备都无法全方包括但不限于网络安全设备帐号密码长度、密码位的判断恶意攻击和威胁,目前国内的技防设施复杂度、telnet是否禁止、帐户登陆次数,以及也多种多样,并且部分设备相辅相成,从不同的对管理员登录地址进行限制等;监测主机配置不分析途径发现网络攻击事件并进行溯源分析。合规,如相关资产信息、所属系统、不合规信息、防火墙技术、防病毒系统、桌面管理系统、整改建议、告警级别、首次和最新告警时间、告安全接入平台等是安全监控人员最为熟悉的技警次数等。日志审计主要监测安全设备日志、防设施,同时国内很多技防设施也提供了有效的URL、请求方式、溯源数据等。监测和阻断方案,并且在较低的部署难度和成本3、数据与业务安全下,提升了网络安全威胁发现和处置能力。国内
32019年中国电机工程学会年会论文集很多公司凭借其强有力的技术支撑,汇集多年的参考文献网络攻防经验,已经形成较为完善的策略,拥有[1]吴军.支撑全球能源互联网的信息通信技术[J].信息与电脑较为全面的网络攻击特征库,并且有专业人员不(理论版),2017(17):158-160.[2]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].断的对特征库进行补充更新,具有很强的威胁发计算机研究与发展,2015,52(5):1109-1126.现与风险评估能力,可作为漏洞发现和事件处理[3]SaniAS,YuanD,JinJ,etal.Cybersecurityframeworkfor机制的补充,有效减少木马病毒的横向传播和扩InternetofThings-basedEnergyInternet[J].FutureGenerationComputerSystems,2018.散。[4]MashkinaIV,GuzairovMB,VasilyevVI,etal.Issuesofinformationsecuritycontrolinvirtualizationsegmentof4总结companyinformationsystem[C]//XixIEEEInternationalConferenceonSoftComputingandMeasurements.IEEE,本文提出了能源互联网支撑系统的网络安2016:161-163.全监控体系,从管理规范、监控要点和技防设施[5]王婵,李静,程杰.企业安全运维支撑系统设计与实现[C]//2016电力行业信息化年会论文集.2016.三个模块对网络安全监控分析工作进行了提炼[6]Grusho,Alexander&Grusho,Nick&Levykin,Michael&总结。文中规范了安全管理制度,包括目标、监Timonina,Elena.(2017).Analysisofinformationsecurityof控机制和统计分析,明确了安全监控要点,从管distributedinformationsystems.96-100.10.1109/ICUMT.2017.8255143.理类监控和技术类监控把握监控工作要点,最后对目前较为先进的技防设施进行简述,形成完善收稿日期:2019.7.6作者简介:的网络安全监控方法,在一定程度上加强了对能程杰(1986),男,河南,研究生,高级工程师,信息安全源互联网支撑系统的网络安全监控工作分析能李灿(1993),女,湖南,研究生,无,数据分析力,提升了安全监控体系性能。胡威(1977),男,河南,博士研究生,高级工程师,信息安全完美的防范是不可能完成的任务[6],因此不张书林(1968),男,陕西,研究生,高级工程师,电力通信王婵(1986),女,山东,博士研究生,高级工程师,信息安全断完善监测体系是必须要做的工作。应对变化不郭邯(1993),男,北京,研究生,无,信息安全穷的网络攻击手段和持续增多的攻击数量,将底黄星杰(1989),男,陕西,研究生,信息安全层设备、终端、网络、安全协议全方位纳入监控,应成为在隔离、加密等传统防护措施上的重要补充手段。
