欢迎来到天天文库
浏览记录
ID:33199593
大小:50.50 KB
页数:7页
时间:2019-02-22
《信息安全基线技术在电网企业中的研究与应用》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、信息安全基线技术在电网企业中的研究与应用-电气论文信息安全基线技术在电网企业中的研究与应用左晓军1 陈亮2 陈泽1(1.国网河北省电力公司电力科学研究院,河北石家庄050021;2.国网天津电力公司电力科学研究院,中国天津300384)【摘要】本文通过研究信息安全基线技术,提出在信息安全基线理论基础上建立安全配置自动化核查的方法和步骤,制定了统一的安全配置规范,形成了一套针对企业快速、有效的信息系统安全配置核查系统,解决了困扰信息运维人员的难题。关键词安全;基线;配置;核查0 引言近年来,随着电力行业飞速发展,以网络、计算机
2、自动控制技术为代表的信息技术已渗透到电力生产、经营的各个方面。随着网络规模日益扩大,重要应用和服务器的数量及种类日益增多,传统的被动式安全防御模式已经很难适应当前信息化发展水平。统计表明,安全事件中19.4%的攻击是来自于利用系统配置错误,15.3%是利用已知的系统漏洞。事实证明,绝大多数的网络攻击事件都是利用厂商已经公布而用户未及时修补的漏洞和产品不安全的配置[1]。国网河北电科院采用专业的信息系统安全漏洞扫描系统,形成了初步的漏洞管理解决方案。但是针对信息系统配置合规性方面,还没有形成统一的标准来规范运维人员和督查人员的
3、操作行为,无法满足企业信息系统上线安全检查、第三方设备入网安全检查、日常安全检查的业务需求。面对不断增加的信息设备,如何完成系统配置合规性检查和修复,成为一个急需解决的问题。1 信息安全基线技术1.1 信息安全基线定义顾名思义,“信息安全基线”(以下简称安全基线)概念借用了传统的“基线”概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线[2]。安全基线是一个信息技术环境下的一组正式的最小安全需求规格集。1.2 安全木桶理论“木桶理论”其核心内容为:一只木桶盛水的多少,并不取决于
4、桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块。在信息安全建设中,“短板”的长度决定了组织整体安全状况,而安全基线正是决定组织整体信息安全程度的那个“木桶中的最短板”。类比于“木桶理论”,可以认为安全基线就是安全木桶的最短板,或者说,是最基本的信息安全要求。1.3 国内安全基线理论的研究1999年,公安部组织起草了国家强制性标准《计算机信息系统安全保护等级划分准则》,该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级5个等级[2]。该标准的主要目的:一是为
5、了计算机信息系统安全法规的制定和执法部门的监督检查提供依据;二是为安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。这个标准也成为国内信息安全建设的最基本基线。1.4 国外安全基线理论的研究美国FISMA(TheFederalInformationSecurityManagementAct,联邦信息安全管理法案)定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA在2002年成为美国电子政府法律的一部分,把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提出了一个包含八个
6、步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大[3]。经过一系列的研究和改进,延伸出SCAP协议(SecurityContentAutomationProtocol),SCAP协议定义了一套安全基线库,得以将FISMA的信息安全生命周期模型进行落地。SCAP的自动化安全基线理念最重要贡献简单总结在于:第一,制定安全基线;第二,通过工具化和自动化的方式落实。2 系统目标通过研究安全基线理论,开发建立安全基线配置规范和核查系统,实现安全基线配置规范化管理,能够自动识别和扫描信息网络
7、中各类设备和应用系统的配置合规性,在此基础之上对系统进行综合评估,得出安全整改加固建议,提高业务系统的防护能力,提高信息系统的安全性和可用性。3 系统设计国网河北电科院信息系统安全配置核查系统建设充分吸收了安全基线技术理论经验,严格遵循PDCA管理理念,分三个阶段进行系统开发和实践:1)安全基线配置规范的建立:根据国家等级保护和国家电网公司信息安全管理要求以及业务系统防护需要,建立了符合企业实际需求的安全基线配置规范。规范包括AIX系统、Windows系统、Juniper防火墙、H3C网络设备、Oracle数据库、WebLo
8、gic中间件等20多种主流系统的安全配置检查点、检查标准和整改建议,形成了Checklist表格。2)自动化检查工具的开发:在安全基线配置规范的基础上,开展了信息系统安全配置核查系统的开发,将规范中定义的检查点和检查方法以系统的形式加以体现,使得信息系统安全基线配置合规性检查从手工检查演进
此文档下载收益归作者所有