基于电力行业信息安全基线的量化管理系统研究与应用

基于电力行业信息安全基线的量化管理系统研究与应用

汤迪净

中国能源建设集团广东火电工程有限公司   广东 广州 510000

摘要：信息安全定量管理系统是一种基于安全闭环控制的管理方法，它将信息安全技术与管理标准有机地结合在一起，可以对信息系统进行安全评估，制定相应的安全配置规范。定量评价结果可作为系统建设、维护过程安全加固的参考依据；还可以在任意一个阶段对系统的安全状况进行评估，并对其是否处于可接受的程度进行评估。为企业在整个生产过程中的各个环节进行安全控制，包括入网测试、工程验收和运营和维护，以推动安全管理。

关键词：定量分析；安全控制；安全基线；定量评价

前言

随着企业信息化和业务的发展，网络规模的不断扩大，生产、业务支撑系统的网络结构也日趋复杂，各种IT设备的种类和类型也在不断增加，各种重要的应用程序和服务类型日益增多，安全管理问题日趋突出。在信息系统建设和运维过程中，由于人员误操作、使用默认配置等原因，导致系统出现故障、系统故障、数据丢失等无法估计的后果。因此，要对信息产业的安全状况进行多层次的定量评价，以达到对信息产业的安全态势的认识。

1当前的安全评价问题

1.1安全定量评价的有效性

安全量化评估工作涵盖了设备、信息、数据、系统运行安全、工控安全等方面，并不断扩大覆盖面，在业务系统及主机、数据库、系统应用、安全设备、网络设备、用户终端等多个环节运行过程中，常以人工方式开展安全量化评估，但其工作量巨大，效率低，评估深度不足，存在部分风险点层面无法涉及的问题，存在真空区。

1.2安全定量评价的多个方面和差别很大

信息系统各个层次的安全评价指标不尽相同，量化指标多种多样，结果具有很大的量化差异，结果分散、分片、缺乏统一的表述，缺乏可读性，使得非专家人士难以直观地感受到其危险性。

1.3不够精确的定量评价

用人力对信息安全进行量化评价，对标准控制难度大，不能深入地进行安全检查，周期较长，结果精度较差，人力对其进行定量评价，主要依靠技术。

2定量化的信息安全管理体系的设计和研究

2.1安全定量管理体系检验的内容

安全定量管理系统能够全面地探测到安全缺陷和安全配置，并对其进行风险评价。安全漏洞：由信息系统配置、组件本身、代码设计等原因造成的，主要表现为逻辑漏洞、信息泄露、结构化查询语言注入、命令执行、拒绝攻击漏洞、蠕虫后门等。

安全性配置：是由于使用缺省配置或人为疏忽，造成系统约束松弛，而引起的安全性风险；主要包括账号、登录限制、密码复杂度、日记记录等内容[1]；同时，还体现了网络的安全脆弱性；安全配置与系统应用密切相关，安全配置必须与实际操作相适应，不能过分严格地影响到系统的使用和操作，也不能太过松懈，从而造成安全隐患。

2.2安全性基准系统的功能性体系结构

根据安全基线合规管理体系的特点，从安全态势视图、安全控制、安全监控、安全合规、资产管理、基线管理、系统管理、基线收集等8大模块组成。

安全基线合规管理体系在应用完整性、横向整合、架构柔性原则的基础上，对系统的应用领域和应用的整合进行了研究，并合理地划分了系统的功能接口，降低了应用集成对业务流程的割裂等方面。该系统的核心部分是基线数据采集，根据基线库、主机设备基线库、应用系统基线库、数据库基线库等基线库，对安全监控对象进行动态的数据收集和预处理，包括主机系统、数据库系统、网络设备、中间件等，采集数据类型包括状态信息、性能信息及配置信息；负责资产管理、基线管理、系统管理等工作；负责安全监控、安全监控、安全合规监控、安全生产过程监控；“安全形势视图”是对各个领域的安全形势进行统计和分析和演示的。

2.3安全定量MMS的商业体系结构设计

安全定量化管理系统是以安全操作人员和安全管理者为目标的。系统服务可划分为高层次服务和基本服务，其中，高层次服务包括安全监控、安全监控、安全合规和安全态势四大类，基础服务包括资产管理、基线管理和系统管理[2]。该体系以PDCA“规划、执行、检查、处理”闭环的方式，为信息安全各个环节的工作提供支持。

计划：计划期内的辅助作业包含了安全控制类作业中的安全通告，作业计划、作业发布等。实施：实施阶段的支持业务包括：安全遵从性业务和监控业务，针对安全运营人员提供的服务包括等级保护、风险评估、基线评估、各种安全配置和事故监控，及时发现安全缺陷和风险。

稽核：稽查阶段的支援业务主要有安全问题追踪、风险管理，而针对安全管理人员的服务则包含安全问题及风险消除追踪。

处理：处理阶段的支持业务包含了监控业务中的报警处理，而针对安全操作人员的业务则包含了对发现的安全问题的处理。

基础业务为基础数据、策略数据、配置数据等提供了重要的数据支持。

2.4业务数据的安全定量管理系统的设计

业务数据主要分为六类：资源类、管理类、安全监控类、安全监控类、安全合规类、统计分析类类。资源类型数据是系统实现的基础，它包含了数据的自动发现、人工维护和外部系统获取的数据。资源类数据按资源对象的种类分为主机、数据库、网络设备、安全设备、中间件、应用系统、物理机房、安全系统、安全人员等。安全量化管理系统中的各个业务的执行，主要包括基础库、安全知识库等。基线数据库数据指的是基准基准和基准基准收集的技术战略，以及相关的技术决策和相关的安全建议；安全知识库是指国家和公司发布的等级保护、风险评估等安全制度、规范和标准。安全控制数据是安全控制类型的数据，包含安全问题管理数据、风险管理数据、安全评价数据、安全信息公开数据，并对安全工作过程进行记录、维护。

安全监控数据是安全监控业务的业务数据，主要包含安全报警、安全事件、安全督查、安全漏洞、渗透测试等，能够实时地反映各个业务系统的安全状态，为上层统计分析提供安全监测基础数据。安全规范类型数据是指系统安全规范类型的数据，包含等级保护数据、风险评估数据、基线评估数据，反映了基于安全规范的安全评估结果，为高层数据的统计分析提供了基础数据。数据分析类数据是以安全控制、安全监控、安全合规数据为基础的数据，是安全定量管理系统可视化的重要数据源，它包含关联分析、报表、等保合规视图、风险评估视图、告警视图、问题跟踪视图、推送指标数据等。

3实践性和创新性

3.1封闭的信息安全管理

在安全基线理念的基础上，对ISO/IEC27001《信息安全管理体系标准》进行了分析，构建了以电力信息系统安全防护设计、建设、运维、评估、应急事件处置和监督全过程管控为基础的安全量化管理系统，实现电力信息系统安全防护全过程的管控；同时，将安全基线和PDCA相结合，实现了信息安全的全过程闭环管理，提高了电力企业的信息安全保护能力。

3.2以业务为导向的定量评价在企业中的应用

级别防护等应用都以商业系统为基础，各个业务系统的安全性因素既具有共性又具有个性；而安全量化管理系统则是将个体化和共性化的数据量化，能够直观地反映出目标的安全状况。

3.3自动收集与分析

依据等级保护、各项规章制度建立基础数据库，进行主机、数据库、网络设备等关键环节的数据的自动收集和分析，通过分析统计，实现统一、直观的显示。

4结论

随着我国电网的数字化转型，电力工业的信息网络安全问题也不容忽视，因此，要建立电网安全基线，加强电网的安全监管，加强安全基线的检查和加固，构筑电网的安全防御。

参考文献

[1]杨庆明.信息安全基线管理在企业信息化中的应用与研究[J].信息系统工程,2013(7):71-72,50.

[2]李晨,王伟.安全基线控制在风险管理过程中的应用[J].网络安全技术与应用,2009(9):4-7.