IT主流設(shè)備安全基線在電力管理中的運用

楊彥仙

摘? 要：安全基線是保證電網(wǎng)信息管理系統(tǒng)穩(wěn)定和安全運行的重要基礎(chǔ)。在智能電網(wǎng)背景下，電力管理中IT主流設(shè)備的規(guī)模在不斷擴大，在提供諸多管理便利的同時，如何保障這些IT設(shè)備的運行環(huán)境安全、電力數(shù)據(jù)安全，成為必須要考慮的問題。文章首先概述了安全基線的主要組成，隨后從確定適用范圍、編制技術(shù)規(guī)范、設(shè)計系統(tǒng)模型等方面，詳細分析了IT主流設(shè)備安全基線的應用流程，最后列舉了安全基線在電力管理中運用所需的幾項核心技術(shù)。

關(guān)鍵詞：IT設(shè)備;安全基線;電力管理;安全配置識別技術(shù)

中圖分類號：TM73? ? ? ? ? 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）16-0179-02

Abstract： Security baseline is an important foundation to ensure the stable and safe operation of power grid information management system. In the context of smart grid， the scale of IT mainstream equipment in power management is constantly expanding. While providing a lot of management convenience， how to ensure the operating environment security and power data security of these IT devices has become a problem that must be considered. This paper first summarizes the main components of the safety baseline， then analyzes in detail the application flow of the safety baseline of the mainstream IT equipment from the aspects of determining the scope of application， compiling technical specifications and designing system models， and finally enumerates several core technologies needed for the application of safety baseline in power management.

Keywords： IT equipment; security baseline; power management; security configuration identification technology

引言

安全基線的作用在于為信息管理系統(tǒng)提供最低的安全保證，具體到電力信息管理系統(tǒng)來說，要求所有的IT主流設(shè)備，其安全防護水平都要高于安全基線，以保證整個信息系統(tǒng)的穩(wěn)定、安全、高效運行。近年來，電網(wǎng)公司在安全基線研究、部署、推廣等方面進行了大量的嘗試，取得了顯著成果。對于基層供電局來說，也要結(jié)合自身的業(yè)務(wù)情況，以及電力管理系統(tǒng)的運行需要，及時做好IT主流設(shè)備安全基線的規(guī)劃設(shè)計、運維管理，從而支持基層電力管理工作和供電服務(wù)工作的高質(zhì)量開展。

1 安全基線的主要內(nèi)容

1.1 漏洞信息

IT主流設(shè)備或常規(guī)應用軟件，由于系統(tǒng)設(shè)計缺陷，或是自帶的防護系統(tǒng)存在漏洞等，面臨著較多的安全隱患。為了切實保障電力信息系統(tǒng)的安全，在安全基線中設(shè)計了漏洞信息模塊。結(jié)合常見的安全漏洞形式，能夠精確識別并記錄DOS（拒絕服務(wù)攻擊）漏洞信息、信息泄露信息、數(shù)據(jù)庫漏洞信息等。通過檢查這些漏洞信息，可以幫助管理人員更加直觀的認識到當前系統(tǒng)中存在的問題，進而為下一步系統(tǒng)優(yōu)化和漏洞修復提供了必要的參考。

1.2 安全配置

這一模塊又可分為應用系統(tǒng)安全配置、網(wǎng)絡(luò)系統(tǒng)安全配置、IT設(shè)備安全配置等幾部分。其中，在應用系統(tǒng)安全配置中，一種渠道是保障系統(tǒng)運行平臺的安全性，例如通過定期修補系統(tǒng)漏洞、進行系統(tǒng)訪問檢測等，預防來自外部網(wǎng)絡(luò)的安全隱患;另一種渠道則是從應用程序入手，在應用系統(tǒng)的設(shè)計、應用程序的運行等方面，進行安全檢查。在網(wǎng)絡(luò)安全配置中，大量的數(shù)據(jù)信息通過網(wǎng)絡(luò)進行輸入和輸出，而這些數(shù)據(jù)中本身可能包含一些隱藏的病毒。通過對網(wǎng)絡(luò)數(shù)據(jù)的嚴格審查，既可以保障網(wǎng)絡(luò)系統(tǒng)的安全性，又能夠保證數(shù)據(jù)本身的完整性和隱私性。在IT設(shè)備安全配置中，主要是對操作系統(tǒng)、數(shù)據(jù)庫、路由器、交換機等軟硬件設(shè)備進行安全檢查，以保證IT主流設(shè)備的運行安全。

1.3 重要狀態(tài)

該模塊主要包含了系統(tǒng)當前運行的一些重要參數(shù)。管理員可以通過端口狀態(tài)和運行進程，了解到與之對應的各個IT主流設(shè)備的安全狀況。重要文件記錄了每一臺IT主流設(shè)備的詳細信息，既包括基礎(chǔ)性的設(shè)備參數(shù)，也有設(shè)備運行日志。由于系統(tǒng)運行是一個動態(tài)變化的過程，并且隨著業(yè)務(wù)的不斷擴展，IT主流設(shè)備種類、數(shù)量也會相應的增加。因此在端口設(shè)計上具備較強的可擴展性，可以根據(jù)實際情況隨時接入新的端口，保證了安全基線始終具有較強的適用性。

2 IT主流設(shè)備安全基線的應用流程

2.1 確定安全基線的適用范圍

近年來，電力管理系統(tǒng)中使用到的IT主流設(shè)備無論是在種類還是數(shù)量上，均有逐步增加的趨勢。而這些IT主流設(shè)備由于操作系統(tǒng)、組織架構(gòu)、運行模式、安全協(xié)議等方面存在較多的差異。為了更好的發(fā)揮安全基線的應用效果，在構(gòu)建安全基線系統(tǒng)的第一步，就是要明確適用范圍，以確保電力管理系統(tǒng)中所有的IT主流設(shè)備，都能夠滿足安全運行條件，從而切實提高系統(tǒng)運行穩(wěn)定性和安全性。

明確信息安全基線的適用范圍為管理信息大區(qū)內(nèi)IT主流設(shè)備，主要包括AIX系統(tǒng)、Windows系統(tǒng)、Linux系統(tǒng)、HPUNIX系統(tǒng)、Oracle數(shù)據(jù)庫系統(tǒng)、MSSQL數(shù)據(jù)庫系統(tǒng)，WEBLogic中間件、ApacheHTTPServer中間件、Tomcat中間件、IIS中間件、Cisco路由器/交換機、華為網(wǎng)絡(luò)設(shè)備、Cisco防火墻、Juniper防火墻和Nokia防火墻等。通過安全基線標準來提升管理信息大區(qū)內(nèi)的信息安全防護能力。依照范圍制定《IT主流設(shè)備安全基線技術(shù)規(guī)范》。

2.2 編制安全基線的管理規(guī)范

IT主流設(shè)備數(shù)量多且分布零散，為了盡快的完成IT主流設(shè)備安全基線的布置任務(wù)，電網(wǎng)公司應當及時編制《IT主流設(shè)備安全基線管理辦法》、《IT主流設(shè)備安全基線技術(shù)規(guī)范》等相關(guān)文件，然后下發(fā)給基層供電局參照執(zhí)行。在這些標準文件中，應當涵蓋供電力系統(tǒng)中所用IT設(shè)備的全部類型，并且按照一定的標準進行分類，針對具體的類別提供相應的安全基線部署方案，作為下一步開展安全基線建設(shè)的重要依據(jù)。同時，各供電局還應結(jié)合自身的實際情況，以及IT主流設(shè)備安全基線的布局需要，完善組織架構(gòu)和明確職責分工，確保安全基線設(shè)計、建設(shè)、檢查等各項工作都有專人負責。另外，結(jié)合安全基線的內(nèi)容組成，像安全配置、補丁管理、通用標準等，也需要參照標準文件中的具體要求加以確定。

2.3 設(shè)計安全基線的基本模型

結(jié)合IT主流設(shè)備的運行特點與安全管理需求，確定安全基線管理系統(tǒng)的基本模型以及內(nèi)部的主要組成。總體來看，核心組成主要有報表管理模塊、基線管理模塊、數(shù)據(jù)采集模塊、安全管理模塊、數(shù)據(jù)庫模塊等。具體來說：（1）報表管理模塊。包含了用戶個人賬戶管理、安全基線基本配置管理、系統(tǒng)漏洞管理等。所有管理事項都會統(tǒng)計并上報給報表中心，然后生成一份報表。（2）基線管理模塊。包含了基線庫管理、端口管理、腳本管理、采集管理等。端口管理中，除了與IT主流設(shè)備相接外，還設(shè)有一個獨立端口，與數(shù)據(jù)庫進行數(shù)據(jù)傳輸。（3）數(shù)據(jù)采集模塊。通過分布在IT主流設(shè)備上的傳感器等功能性元件，進行數(shù)據(jù)采集，采集對象包括漏洞數(shù)據(jù)、運行參數(shù)等。（4）安全管理模塊。包含了防火墻、IDS/IPS、補丁管理、病毒檢測等安全保護系統(tǒng)。

2.4 開發(fā)安全基線的核查工具

安全基線系統(tǒng)在投入運行后，由于IT主流設(shè)備運行中產(chǎn)生的數(shù)據(jù)流龐大，加上存在多個管理終端，這就導致安全基線在實施中也經(jīng)常面臨超負荷運行的情況，久而久之防護能力也會有所下降。同時，由于病毒的不斷更新，安全基線也有可能出現(xiàn)對新型病毒防控不到位的情況。為此，還需要開發(fā)和使用自動化核查工具，每隔一段時間對安全基線系統(tǒng)進行更新、完善，始終保證對IT主流設(shè)備的防護效果。

在檢查工具的選擇上，有本地檢查和遠程檢查兩種。本地檢查是基于目標系統(tǒng)的管理員權(quán)限，通過Telnet/SSH/SNMP、遠程命令獲取等方式獲取目標系統(tǒng)有關(guān)安全配置和狀態(tài)信息;然后根據(jù)這些信息，與預先制定好的檢查要求進行比較，分析符合情況;最后根據(jù)分析情況匯總出合規(guī)性檢查結(jié)果。而遠程檢查則是利用漏洞掃描的方式，綜合運用NSIP等多種領(lǐng)先技術(shù)，自動、高效、及時準確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞。同時可以提供Open VM工作流程平臺，將先進的漏洞管理理念貫穿整個產(chǎn)品實現(xiàn)過程中。

3 IT主流設(shè)備安全基線管理系統(tǒng)的核心技術(shù)

3.1 基于用戶行為模式的管理架構(gòu)

安全基線系統(tǒng)的設(shè)計初衷，是為了輔助人工完成IT主流設(shè)備的安全檢查。因此無論是從管理架構(gòu)的設(shè)計還是實用功能的開發(fā)上，都是以為管理員提供操作便利為主要目的。安全基線系統(tǒng)需要動態(tài)的獲取IT主流設(shè)備的運行參數(shù)和實時公開，因此在設(shè)計中還應用了數(shù)據(jù)自動收集、智能匹配檢查、分值科學評定等技術(shù)，保證安全基線系統(tǒng)可以對IT主流設(shè)備的安全狀態(tài)做出精準評價，進而為下一步采取相應的管理措施提供了參考。為了能夠以SSL加密通訊方式利用瀏覽器進行遠程管理，系統(tǒng)采用B/S架構(gòu)進行管理。

3.2 高效、智能的安全配置識別技術(shù)

結(jié)合上文可知，安全基線系統(tǒng)中設(shè)計了本地檢查和遠程檢查兩種模式，可以支持在不同條件下對本系統(tǒng)的安全配置進行自檢，以保證安全基線系統(tǒng)始終發(fā)揮穩(wěn)定的防護功能。為了提高檢查的準確率，在設(shè)計中也會使用到基于大數(shù)據(jù)和AI的智能技術(shù)。通過實現(xiàn)智能化、全自動的安全配置檢查，一方面是克服了傳統(tǒng)以人工為主，手動單點檢查所存在的準確率低、時效性差等問題;另一方面又能夠提供更加廣泛的識別范圍，讓最終的識別和評估結(jié)果準確率都得到大幅度的提升，支持了安全基線系統(tǒng)在復雜環(huán)境下也能夠取得良好應用。

4 結(jié)束語

在電力管理信息化發(fā)展趨勢下，如何保障信息系統(tǒng)中各類IT主流設(shè)備的運行安全，是決定電力管理系統(tǒng)功能發(fā)揮的重要因素。安全基線系統(tǒng)將漏洞掃描、系統(tǒng)自查、安全配置、整改加固等多項功能集于一體，同時具有較強的可擴展性，保證了較強的環(huán)境適應能力。近年來，隨著電網(wǎng)公司在安全基線研究方面加大了投入力度，以及各類管理標準、技術(shù)規(guī)范的出臺，為安全基線系統(tǒng)的標準化、智能化發(fā)展提供了重要推動力。今后還要繼續(xù)做好安全基線系統(tǒng)的研究和開發(fā)，以支持電力管理信息化的不斷發(fā)展。

參考文獻：

[1]孫軼凡，尚博祥，劉晨.基于安全基線的電力信息系統(tǒng)運維管理框架研究[J].經(jīng)營與管理，2017（03）：130-132.

[2]羅朝宇，王福新，李宗濤.基于SCAP框架的信息系統(tǒng)安全基線技術(shù)研究與應用[J].電力信息與通信技術(shù)，2014（7）：97-100.

[3]常榮，李邦源，劉松，等.以信息安全為基線的IT運維服務(wù)多體系融合管理研究與實踐[J].信息技術(shù)與信息化，2018，217（04）：177-180.