安全(基线)配置核查系统技术方案-电力版.docx

15一. 背景近年来,从中央到地方各级政府的日常政务、以及各行业企业的业务开展对 IT系统依赖度的不断增强,信息系统运维人员的安全意识和安全技能也在逐步提高。最直接的体现为——传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,如何建立一套行之有效的风险控制与管理手段,是每一个信息化主管所面临的共同挑战。随着电力行业科技创新能力的日益提高,业务应用的日趋丰富,电力行业业务的开拓越来越依托于IT技术的进步;电力的发展对信息系统的依赖程度不断增强,对电力信息系统安全建设模式提出了更高更多的要求,信息安全建设工作已经是电力信息化建设中的重要内容,安全基线建设就是电力信息安全建设中一项新的举措和尝试。在电力行业里,各类通信和IT设备采用通用操作系统、数据库,及各类设备间越来越多的使用IP协议进行通信,其网络安全问题更为凸出。为了维持电力的通信网、业务系统和支撑系统设备安全,必须从入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实安全要求。需要有一种方式进行风险的控制和管理。本技术方案将以安全基线建设为例,系统介绍安全基线建设在电力信息安全建设工作中的设计与应用二. 需求分析传统的安全建设模式逐渐向新兴的安全建设模式转变,传统的安全建设模式主要是以安全事件和新兴的安全技术为主要驱动,在安全建设的过程中处于被动的状态。而随着信息安全建设工作的不断深入,信息安全建设模式已经逐渐演变为以业务安全需求为主要驱动的主动式安全建设模式,目前,新兴的信息系统安全基线建设工作就是以业务需求为核心,制定针对不同系统的详细检查表格和操作指南,建立统一的服务器、网络设备、数据库和应用系统安全配置规范的一种新兴的安全建设模式。随着“SGl86”系统工程和国家电网等级保护建设的开展,使电力系统的信息化建设更加迅速。同时在电力信息网络安全等方面做了大量工作, 采取了许多有效措施防止网络安全事件。确保公司信息安全工作的系统性、安全性、实用性、创新性和全面性。 SG186系统工程要求制定合适的安全管理规范,电力企业需要密切跟踪国内外安全标准化领域内的最新工作成果,并结合国内技术和相关的发展状况, 建立起完整的电力系统安全业务规范, 标准的框架体系,制定安全目标和安全实施过程。为进一步提升信息安全管理规范,加固安全管理防线, **供电公司开展业务网安全基线建设工作,对服务器、网络设备和安全产品等建立统一的安全基线配置策略和建议规范。通过对安全事件的分析,发现安全事件主要由 3个方面引起,安全漏洞方面、安全配置方面,以及异常事件等方面。安全配置通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、 IP通信等方面内容,反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患,因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。(安全漏洞和异常事件方面本文不做讨论)三. 安全基线研究针对用户需求,可以采用安全基线的思想进行风险的控制和管理。顾名思义,“安全基线”概念借用了传统的“基线”概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最基本的安全要求。假如我们将企业信息系统建立安全基线,如对每个网元、应用系统都定义安全基准点,即设定满足最基本安全要求的条件,并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求,则可以进行风险的度量,做到风险可控可管。如何设计一整套适合政企自身业务特点的安全基线模型呢?我们可参考国内外的成功经验,同时结合一些行业的风险控制手段,就可以设计出针对业务系统的基线安全模型。在这些参考内容中,最值得借鉴的是美国FISMA(TheFederalInformationSecurityManagementAct,联邦信息安全管理法案)的实施和落地过程。FISMA定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA在2002年成为美国电子政府法律的一部分,把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提