返回
基于安全基线电力信息系统运维管理框架探究

基于安全基线电力信息系统运维管理框架探究

ID:15192086

大小:31.00 KB

页数:10页

时间:2018-08-01

基于安全基线电力信息系统运维管理框架探究_第1页
基于安全基线电力信息系统运维管理框架探究_第2页
基于安全基线电力信息系统运维管理框架探究_第3页
基于安全基线电力信息系统运维管理框架探究_第4页
基于安全基线电力信息系统运维管理框架探究_第5页
资源描述:

《基于安全基线电力信息系统运维管理框架探究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10基于安全基线电力信息系统运维管理框架探究10摘要:信息系统安全直接影响电力系统的自身管理和调度,一旦出现安全问题将导致电网失去控制,严重时会导致电网大面积瘫痪。通过构建有效的电力信息系统安全基线标准体系,能够实现各层级的有效业务安全防护。构建面向不间断服务的安全管理框架,对提升信息系统安全稳定运行和完善信息通信调运检体系具有借鉴意义

2、。关键词:安全基线;信息系统运维管理框架;应用分析;建议“十二五”期间,国网天津市电力公司(以下简称天津市电力公司)的信息化建设和应用水平取得大幅度提升,建成了覆盖面更广、集成度更深、智能化更高的业务应用系统。但是在面向外网接入、网关建设、基础设施安全配置等方面,从物理层面到软件层面都存在安全策略升级问题。一、背景及问题分析(一)天津市电力公司信息系统安全管理现状目前,天津市电力公司在信息系统运维领域,仍采用风险和灾备相结合的安全防范策略。主要是对信息系统硬件在设计初进行设备冗余架构设计,结合双活灾备保障信息系统运行不间断;在软件系统层面,通过虚拟化对信息系统各部件进行高可用设计;在应用层面

3、,主要依靠平台软件的漏洞管理,对操作系统进行更新,强化软件和系统安全配置;在网络层面,通过防火墙、负载均衡进行流程控制等。(二)天津市电力公司信息系统安全管理存在的主要问题1.现有信息系统应用复杂,各级安全配置项缺乏人力支撑在系统级平台应用中,除对信息系统应用进行正常的业务维护外,信息系统安全配置项的工作量,超出现有人力负荷。在众多服务器、网络设备、存储、数据库和平台应用间,需进行大量的安全配置项维护,且需要定期进行巡检,而现有有限的运维力量无法确保安全配置项逐一覆盖。2.安全配置管理种类繁多,对运维人员素质要求较高在多系统、多应用集成下的服务集群,容易存在多品牌、多型号情况,系统安全配置涉

4、及从硬件到软件的多层次融合,即使在同一品牌设备下,也往往由于设备用途不同,而进行不同深度的安全防范措施。3.安全基线标准体系不完善,缺少基线核查自动化系统信息系统在运维后期,缺少信息安全风险评估和风险管理框架,面对众多业务系统的基本安全需求,需从国网层面,结合信息系统软件及行业规范标准,利用成熟的安全风险管理经验,构建统一的业务安全基线模型;在安全审核方面,缺少针对各类业务系统的安全防护要求和保护等级的自动化核查,增加了安全运维管理难度。二、国内外研究现状(一)国外关于安全基线理论的研究安全基线的理论基础,即联邦信息安全管理法案FISMA,由美国国家标准和技术研究所(NIST)联合制定。它设

5、计了一个全面的安全模型框架,以保护政府信息、业务及资产,避免自然或人为的威肋,将安全责任落实到各个分支机构。FISMA提出了一个包含8个步骤的信息安全生命周期模型,由NIST牵头,针对其中的技术安全问题,提出了一套自动化的计划-ISAP。之后,延伸出SCAP框架,即安全内容自动化协议。(二)国内安全基线的执行标准我国的《计算机信息系统安全保护等级划分准则》(GBT17859-1999)中,将计算机系统安全保护能力规定为,用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5个等级,并在此基础上,规定了每一保护级所应具有的安全功能。《信息系统安全等级保护基本要求》(GB

6、10T28448-2008),根据现有技术发展水平,规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,包括基本技术要求和基本管理要求。该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。三、基于安全基线的信息系统运维管理框架分析安全基线,是保持信息系统在机密性、完整性和可靠性需求上的最小安全控制,是信息系统的最小安全保证。信息系统安全,需要在安全付出成本与所能承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。(一)建立信息安全基线框架安全基线运维,是电力企业保证电力系统安全最基础的工作。电力系统安全基线的建设,需要根据电力系统业务执行的实际情况,制定相应

7、的安全基线核查标准,并将基线核查贯穿到系统的各个业务生命周期中。从信息系统入网、系统验收和日常运行维护等各阶段,加强和落实安全基线。同时,信息系统安全基线并非一成不变,而是需要根据新要求、新业务、新技术的引入不断更新和优化,及时淘汰落后的基线核查标准,维持安全基线框架的可靠性和安全性。基于电力信息系统安全基线的管理框架(见下图),应确保对信息系统各业务单元和技术单元进行最小的安全保障。同时,对各单元的安全配置

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。