基线配置核查与电网信息安全研究

时间:2022-04-24 11:19:05

导语:基线配置核查与电网信息安全研究一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

基线配置核查与电网信息安全研究

摘要:电力信息安全基线,主要包括有相关操作系统、应用程序和网络设备的安全基准配置,为进一步提高基线配置核查平台的安全系数,需要深入健全基线体系,并基于电网信息安全合规库来优化配置平台。本文通过对贵州电网基线配置核查工具为例,结合基线配置核查平台与信息安全合规库的联合应用研究,以期推动电网信息安全防护水平的持续提升。

关键词:基线;核查平台;合规库

伴随现代科技实力的飞速提升,电力信息系统建设质量得以飞速提升,针对流程、业务逻辑的标准也不断优化,基于计算机、网络控制技术为主体的信息技术,已逐渐融入到电力生产、运作阶段的每一细节中,为提高信息安全系数,电力行业在优化相关设备的同时,不断探索更加高效、稳定、可扩展的基线配置核查方法。

1基线配置核查平台建设

基线配置核查平台要整体核查所有业务内容,以保持业务逻辑的严谨性。在核查阶段,要构建安全规范统一的设备安全规范,并保证定期检查,考虑到电力系统内的信息数量和设备种类庞大、复杂,核查工具要保证高效性、稳定性以及良好的可定制性。核查阶段需针对设备展开迅速安全配置和检测。此外,还要明确基线配置核查的安全结果,以良好的可视化效果对使用者进行展现,方便安全管理人员和业务系统管理人员的整改工作。

1.1基线配置核查策略研究

制定安全基线之后,要做到定期核查业务系统安全质量,通过梳理业务系统与业务逻辑,进一步细分基线配置核查平台框架以及平台实现层。其中,平台实现层内的安全基线标准包括安全漏洞、安全配置两大核查项。第一,安全漏洞。一般由于系统本身出现问题,而引发信息安全隐患。主要体现在登录漏洞和缓冲区溢出,可看出系统本身存在的安全弊端。第二,安全配置。一般体现在人为配置缺陷,即口令、账户、授权等,同样可反应出系统本身存在的安全弊端。

1.2基线配置核查策略库

通过建设基线配置核查策略,结合中国南方电网信息安全合规库的业务需求,和国内系统、设施、应用环境的独特性,参考相关标准制定相对应的Checklist表格与操作坐标,即基线核查策略库,重点应用在检查新业务系统的上线安全系数以及第三方入网安全系数。基线配置核查策略库的研究界限大致分为操作系统、网络设施、数据库和安全设施。

1.3开发基线配置核查工具

基线配置核查工具检查工作的开展,要以智能化配置安全核查系统为前提,能够借助于远程读取、设备系统内参数信息的下载,和电力行业合规库配置标准中的相关规范展开对比分析。为提高基线配置核查工具的便捷性,便于多元化需求的满足。并侧重于和相关系统的有机组合和后续的再次开发工作。可选取模块化设计,平台工作框架具体包括有:(1)专用平台。该平台已得到改善,安全系数相对高。(2)调度核心板块。重点用于评估、检查已实现目标,如对主机存活状态的判断、识别操作系统、剖析并匹配模板。(3)Checklist知识库。即对安全配置参数、数据的核查,核心调度模块以及数据解析等模块的运行基础。(4)扫描结果库。是扫描结果文件得以生成的关键,同样是检索、解析结果的数据参考。(5)数据解析模块。该模块的工作内容在于对报表数据、发展趋势的整体分析,属于任务合并、分布型数据整合归纳后的内容。(6)配置模板库。管理方可借助该模块在任务评估前,针对所核查设备配置相对应的安全配置核查点,和各项核查点权重。(7)WEB页面版块。使用者使用浏览器并借助SSL加密通道与系统WEB页面板块展开交互,便于使用者展开管理。(8)系统升级板块。借助该板块能够不断更新、丰富Checklist知识库,并借助该板块实现相关模块的更新升级。(9)分布型模块。考虑到基线配置核查工具后续会展开相应的部署工作,这一模块可将核查信息提交至管理系统。(10)拓展模块。伴随业务系统的逐渐增加与繁琐化,可借助该模块逐步更新基线配置核查平台可检测到的系统,以保障基线核查质量。

1.4贵州电网基线配置核查建设成果

目前贵州电网已经实现省地两级基线配置平台部署,完成基线配置核查脚本定制开发656项,实现中国南方电网公司基线合规库自动化脚本转发率94%。实现了贵州电网有限责任公司配置核查工作的自动化工作。加大的加强了公司对信息系统、网络设备、安全设备的配置核查水平,有效的增强了公司网络安全防护能力。

2电力行业合规库的联合应用效益

目前,基线配置核查平台在通用设备安全配置方面的应用,已在入网安评、运作维护环节得到运用,切实提供了安全核查质量,以保证业务系统和合规标准的契合,同时,同南网合规库高度契合。基线配置核查工具安全检查系数和质量,都远远高于人工检查,实现减小成本、高效运营的目标。

2.1经济效益

精确部署“安全基线自动核查工具系统”,将信息系统中暗藏的风险隐患控制在一定范畴下,切实提高设备自身的安全防护水平。该方式所形成的经济效益具体反映在:将业务系统出现弊端所产生的系列经济、形象损失控制在合理范畴内,是提高经济效益的主要手段。第一,减少信息安全隐患,提高经济效益。在信息安全范畴内,ALE(年损益预算)占关键位置,指的是一年周期内由于某风险而出现的可预期资产亏损,即:ALE=SLE×AROSLE:单一损益预算;ARO即年度发生率。以贵州电网为例,借助于IT设备基线将156个应用系统加固,20000套PC终端,1546套主机、中间件、网络和相关数据库系统,假设参考某主机系统、应用系统信息风险事件比例是1%,信息风险事件亏损为50000元/起,PC终端信息风险事件比例为2%/年,且数据丢失亏损为10000元/次,则直观经济亏损为:ALE=(SLE×ARO)=(156+1546)*1%*50000+20000*2%*10000=485.1万元Σ核算2015—2016年的经济亏损,为485.1*2=970.2万。同时,营销与生产系统、协调办公系统等由于数据丢失而出现的亏损无法用实际资金亏损来估算。一旦上述系统由于风险事件而出现的金额损失长数以万计,所以,具体节省的直观经济成本已高出上述经济数额。第二,优化运维效率,节省人力资源。基线配置核查平台实现了相关信息、参数的自动化核查,取代了之前的人力核查手段,系统智能核查效率远高出人力核查的300倍,可自动生成相应的文件,为运维方提供了相对精细的优化策略,降低了人力劳动强度。其覆盖范畴包括公司本部、信息中心和地市供电单位,参考各单位2人/月,以5000元/人次来核算,贵州电网公司在该两年间的人力成本大致节省了2*5*12*2*5000元=120万。第三,借助统两级级联的架构策略,硬、软件投资以基线配置核查平台选取中心部署(省公司本部)分级级联、分散式收集(省公司本部、信息中心和地区供电局)的全面性构架措施,整体归纳由相关信息设施的基线配置核查参数,可及时发现信息设施基线配置核查平台中存在的弊端,引导平台进行加固。将各地区供电单位节省软件经费45万、硬件经费25万,将电网公司整体成本节省4*700000=280万。

2.2社会效益

首先,可科学部署基线配置核查平台的内部架构,全面提高平台的风险防护水平,通过提供高质量的供电服务,有利于推动当地民生经济的可持续发展。其次,借助于基线配置核查平台的安全运作,对信息系统的科学构建与运作维护发挥引导作用,尽可能降低电网公司信息风险事件的发生概率,防止因信息风险事件对电网公司的健康运营造成负面影响。

3结语

基于对基线配置核查平台的构建研究,全面打造了整体统一的基线配置核查安全标准,有效发现信息系统内的漏洞,提高了运行维护的工作质量,进而实现信息系统安全系数的整体上升,避免了出现因信息安全事件造成的经济、社会形象损失,尤其是和信息安全合规库联合应用后,成效较为显著,切实强化了电网信息系统的安全防护水平。同时,基线配置核查平台的优化需要循序渐进,要科学结合信息系统安全防护标准的变化,来优化核查规范,使其可适用于动态发展的信息安全态势。

作者:张民磊 单位:贵州电网有限责任公司

参考文献

[1]邹玉林.面向信息安全等级测评的安全配置核查系统[D].中国海洋大学,2013.

[2]尚杰.基于业务的安全基线检查平台的设计和实现[D].北京邮电大学,2011.

[3]张辰冬,杨闯.增值业务平台安全基线体系建设方案解析[C].//辽宁省通信学会2015年信息网络与信息技术年会论文集.2015:446-451.

[4]南方电网科学研究院有限责任公司,电子科技大学.基于SCAP的安全基线评估方法:中国,CN201410180456.0[P].2014-7-16.

[5]张震,冯伟,颜金韬等.一种基于云扫描技术的系统安全配置基线核查机制及方法[J].电信工程技术与标准化,2012,25(4):31-34.

[6]马文,江翰,彭秋霞等.电力信息安全基线自动化核查[J].云南电力技术,2013,41(1):89-90.

[7]杨庆明.信息安全基线管理在企业信息化中的应用与研究[J].信息系统工程,2013,(7):71-72,50.

[8]左晓军,陈亮,陈泽等.信息安全基线技术在电网企业中的研究与应用[J].科技视界,2015,(3):287-288.

[9]崔高智,张跃斌,李斌等.关于电力信息安全基线自动化核查的探讨[J].科技创新与应用,2013,(33):163-163.

[10]陈军,饶婕,陈虹等.基于SCAP的自动化安全基线核查研究[J].计算机时代,2016,(4):28-31.

[11]邢静宇.电力信息网络节点安全检测和评估技术研究[D].北京邮电大学,2015.

[12]中国联合网络通信集团有限公司.一种安全基线核查方法和设备:中国,CN201410563532.6[P].2015-2-18.