摘要:本文从大数据视角重新审视了电力企业的信息安全现状,对大数据时代电力企业信息安全的未来发展趋势进行了深入的思考。提出了基于用户行为特征分析的信息安全智能分析和决策辅助平台和信息安全态势感知实现信息安全动态管控两大发展方向。
关键词:大数据;信息安全;用户行为特征;态势感知
引言
随着信息技术革命的浪潮汹涌而来,对国际国内政治、经济、文化、社会、军事等领域发展都产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。我国正处在这个大潮之中,受到的影响越来越深,网络和信息安全开始成为国民经济快速发展的一个重要的支点。2014年2月27日,习近平总书记主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话,强调了信息安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
2016年11月7日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,标志着信息安全已经引起了国家的高度重视。同年12月15日,国家电网公司网络安全与信息化专家委员会第一次会议在京召开,公司领导再次强调了公司将坚决贯彻落实国家战略部署,坚持不懈做好信息安全工作,保障电网安全稳定运行,切实履行重要责任。公司将集思广益,凝聚力量,大力推动网络安全与信息化工作再上新台阶。
1、概述
1.1 大数据时代到来
“大数据”是一个较为抽象的概念,虽然近年来已经成为新兴的热点问题,无论是科技还是商业领域,大数据都已经日益广泛的引起关注和研究,但是如同信息科学领域的大多数新兴理念,大数据尚未形成确切的、权威的定义。诸多学者和研究机构都试图对“大数据”进行定义,当前,较为统一的认识是大数据具备以下四个基本特征:数据体量巨大(volume)、数据类型多样(variety)、价值密度低(value)和处理速度快(velocity)。
2013年5月,阿里巴巴集团董事局主席马云在演讲中说,当大部分人还在谈论PC时代的到来时,移动互联网时代其实已经开始;而现在大多数人可能还以为身处移动互联网时代,其实我们已经进入大数据的时代了。一家现代公司来说核心资产已经从实体资本、证券货币价值等转型为数据。微软总裁史密斯这样说过“给我提供一些数据,我就能做出一些改变;如果能给我提供所有数据,我甚至能拯救世界”。
1.2 电力企业信息安全需要紧跟时代脉络
随着经济和社会对于信息技术和网络的依赖程度日益提高,信息安全形势也日益严峻,各类信息安全事件频繁发生,随着全民信息技术知识和信息安全意识的提升,全社会对信息安全的需求和重视程度都与日俱增。与此同时,云计算、移动终端、智能办公、社交网络等等新的信息技术快速发展给信息系统架构带来巨大变化,信息安全也随之迎来挑战。
面对这种形势,电力企业在信息安全上的不断加大投入;把信息安全的重要性提升关乎企业生存与发展的战略高度。虽然各类先进的安全产品不断投入信息安全的防线,各类安全策略和规章制度反复在企业内部强调,但是这些安全手段一般都只能针对特定范围或者特定安全事件,互相之间缺乏有效地数据融合和协同管理机制。以绍兴公司为例,常见的安全防护手段如下图所示。随着信息安全的投入加大,近期还将接入上网行为管理、WAF等等安全设备,但是各套系统往往各自为战,虽然每天都在产生大量日志等等信息数据,但是缺乏有效的利用,这在一家大数据时代的现代企业中意味着最大的资源浪费。
信息技术尤其是信息安全技术,十分重要的一点就是保持先进性,紧跟时代的脉络。随着DT时代的到来,电力企业的信息安全必将走上应用大数据技术,对现有防护手段进行整合、改造和升级的道路。从目前的运维实践来看,大数据技术在未来电力企业信息安全中的应用,必然包含以下两个发展方向:
基于用户行为特征分析的信息安全智能分析和决策辅助平台
信息安全态势感知实现信息安全动态管控
2、基于用户行为特征分析的信息安全智能分析和决策辅助平台
传统的信息安全思路注重外部防御,然而随着信息技术的发展,用户作为信息安全的主体越来越受到重视。信息用户行为学研究已经成为互联网情报学、信息安全学的主流研究方向之一。互联网用户行为分析已经不是新的课题,关于这方面的研究已经相当成熟。但是,国网公司内部的信息网络作为办公专用网络和互联网既有着相通相似的地方也有着截然不同的网络生态;同时国网公司的员工群体作为信息系统用户,也是很独特的用户群体。这就意味着,互联网的用户行为分析研究结果并不完全适用于国网公司信息安全的研究和分析上。
大量信息系统相关数据深入挖掘和用户行为分析相结合,建立基于用户行为特征的信息安全智能分析和决策辅助平台,既体现了科技以人为本的思想,又可以让用户群体真正成为信息安全防护的基础力量。
国网公司内部的信息网络作为办公专用网络无论是信息内网还是信息外网和互联网既有着相通相似的地方也有着截然不同的网络生态;同时国网公司的员工群体作为信息系统用户,也是很独特的用户群体。这就意味着,互联网的用户行为分析研究结果并不完全适用于国网公司信息安全的研究和分析上。大量信息系统相关数据深入挖掘和用户行为分析相结合,建立基于用户行为特征的信息安全智能分析和决策辅助平台,既体现了科技以人为本的思想,又可以让用户群体真正成为信息安全防护的基础力量。
在数据获取阶段,可以通过基于SNMP、多Agent数据采集等主动收集技术,基于侦听、SYSLOG等被动数据采集技术,基于Net Flow的用户网络访问数据采集技术,基于流量全镜像的用户网络访问数据采集技术等等数据采集技术引入到一个数据仓库中,便于数据的多维引入和后续的动态增减,这也是多业务大客户环境下数据挖掘的前提。
为了能够尽量全面的分析网络用户行为,从多系统多平台采集数据。这就意味着多种格式,多种面向,多种维度的数据将用于分析。如何从数据背后发现事物之间可能存在的关联或者联系,这就需要用到数据挖掘中的一个很重要的算法——关联规则挖掘。关联规则的概念由Agrawal、Imielinski、Swami提出,是数据中一种简单但很实用的规则。关联规则模式属于描述型模式,发现关联规则的算法属于无监督学习的方法。
建立基于用户行为特征分析的信息安全智能分析和决策辅助平台,既有助于解决传统信息安全手段依赖设备和技术注重“抵御外敌”却缺乏对用户侧“内功修炼”的关注,同时也是信息技术发展和信息安全动态化、主动化和智能化的必须。随着云计算、大数据、社交网络等等新技术的层出不穷,人的信息行为模式也在不断的改变,并且信息行为与经济行为、社会行为、甚至情感行为的关联性越来越强。相信平台的建立,将会是电力企业信息安全现代化智能化的发展的重要里程碑。
3、信息安全态势感知实现信息安全动态管控
3.1 什么是态势感知
态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的。态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。信息安全态势感知技术能够综合各方面的信息安全因素,从整体上动态反映企业信息安全状况,并对信息安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模信息安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的信息安全系统日志等信息进行自动分析处理与深度挖掘,对企业信息的安全状态进行分析评价,感知信息网络中的异常事件与整体安全态势。
态势感知特别强调环境性、动态性和整体性。环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些信息实体状态发生变化,会影响到其他信息实体的状态,进而影响整个信息系统的态势。
3.2态势感知在电力企业信息安全中的应用
对于电力企业的信息网络而言,一方面网络节点众多、分支复杂、数据流量大,存在多种异构网络环境和应用平台。而当前的网络攻击技术和手段呈平台化、集成化和自动化的发展趋势,网络攻击具有更强的隐蔽性和更长的潜伏时间,网络威胁不断增多且造成的损失不断增大。为了实时、准确地显示整个信息安全态势状况,检测出潜在、恶意的攻击行为,信息安全态势感知要在对网络资源进行要素采集的基础上,通过数据预处理、信息安全态势特征提取、态势评估、态势预测和态势展示等过程来完成,这其中涉及许多相关的大数据技术问题,主要包括数据融合技术、数据挖掘技术、特征提取技术、态势预测技术和可视化技术等。
3.3 数据融合技术
由于信息安全态势感知的数据来自众多的信息安全设备,其数据格式、数据内容、数据质量千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同信息系统、信息网络的不同位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为信息安全态势感知提供更为全面、精准的数据源,从而得到更为准确的信息安全态势。数据融合技术是一个多级、多层面的数据处理过程,主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成,完成对数据的自动监测、关联、相关、估计及组合等处理,从而得到更为准确、可靠的结论。数据融合按信息抽象程度可分为从低到高的三个层次:数据级融合、特征级融合和决策级融合,其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.4 数据挖掘技术
信息安全态势感知将采集的大量网络设备的数据经过数据融合处理后,转化为格式统一的数据单元。这些数据单元数量庞大,携带的信息众多,有用信息与无用信息鱼龙混杂,难以辨识。要掌握相对准确、实时的网络安全态势,必须剔除干扰信息。数据挖掘就是指从大量的数据中挖掘出有用的信息,即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、事先未知的,但又有潜在用处的并且最终可理解的信息和知识的非平凡过程(Nontrivial Process)。数据挖掘可分为描述性挖掘和预测性挖掘,描述性挖掘用于刻画数据库中数据的一般特性;预测性挖掘在当前数据上进行推断,并加以预测。数据挖掘方法主要有:关联分析法、序列模式分析法、分类分析法和聚类分析法。
3.5 特征提取技术
信息安全态势特征提取技术是通过一系列数学方法处理,将大规模信息安全数据归并融合成一组或者几组在一定值域范围内的数值,这些数值具有表现信息系统实时运行状况的一系列特征,用以反映信息安全状况和受威胁程度等情况。信息安全态势特征提取是信息安全态势评估和预测的基础,对整个态势评估和预测有着重要的影响,信息安全态势特征提取方法主要有层次分析法、模糊层次分析法、德尔菲法和综合分析法。
3.6 态势预测技术
信息安全态势预测就是根据信息系统运行状况发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况,是信息安全态势感知的一个重要组成部分。信息系统在不同时刻的安全态势彼此相关,安全态势的变化有一定的内部规律,这种规律可以预测信息在将来时刻的安全态势,从而可以有预见性地进行安全策略的配置,实现动态的信息安全管理,预防大规模信息安全事件的发生。信息安全态势预测方法主要有神经网络预测法、时间序列预测法、基于灰色理论预测法。
3.7 可视化技术
信息安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势,而通过传统的文本或简单图形表示,使得寻找有用、关键的信息非常困难。可视化技术是利用计算机图形学和图像处理技术,将数据转换成图形或图像在屏幕上显示出来,并进行交互处理的理论、方法和技术。它涉及计算机图形学、图像处理、计算机视觉、计算机辅助设计等多个领域。目前已有很多研究将可视化技术和可视化工具应用于态势感知领域,在信息安全态势感知的每一个阶段都充分利用可视化方法,将信息安全态势合并为连贯的信息安全态势图,快速发现信息安全威胁,直观把握信息安全状况。
4、信息安全态势感知应用前景
信息安全态势感知是电力企业未来信息安全智能防御和动态管控的重要一环。利用态势感知,不仅能够全面掌握当前公司的信息安全状态;还可以实现外部安全形式的评估,攻击预警和未来安全趋势的预测。现阶段,可以先从基于多源日志的网络安全态势感知开始着手,也就是整合现有的多种信息安全设备上以多样的检测方式和事件报告机制生成的海量数据,通过关联分析和数据融合等处理,形成初步的态势感知系统雏形。
结语
在任何一家现代企业,信息安全都是关乎企业生存发展的命脉。信息安全需要的不仅仅是资金、设备和人员的投入;更重要的是需要有企业具备发展的眼光和前瞻性的思维。在大数据、云计算、互联网+等等新的技术、新的理念已经成为信息技术发展大势所趋的今天,电力企业只有顺应时代,积极地探索和发展基于大数据技术的信息安全,从技术上、思维上、企业管理上全面的拥抱新时代、新技术。相信对于大数据信息安全的思考,绝不会流于纸上谈兵,将是电力企业未来信息化发展的关键一步。基于用户行为特征分析的信息安全智能分析和决策辅助平台和信息安全态势感知实现信息安全动态管控是现阶段大数据技术和信息安全结合相对比较容易实现的两大发展方向,相信通过对这两方面的研究和探索,将为将来深化研究大数据信息安全积累经验、奠定基础。
参考文献:
[l]Tony Hey,Stewart Tansley.The Fourth Paradigm:Data-Intensive Scientific Discovery.Microsoft,2009.10.
[2]孟小峰,慈祥.大数据管理概念技术与挑战[J]。计算机研究与发展,2013,50(1):146-169.
[3]孙军军,赵明清,李辉,冯梅.企业信息安全现状与发展趋势分析。信息网络安全,2012(10):90-92.
[4]陈春霖,屠正伟,郭靓.国家电网公司网络与信息安全态势感知的实践。电力信息与通信技术,2017(6):3-8.
作者简介:汪磊(1980-),男性,工程师,从事电力系统信息运维管理工作。