基于電力行業信息安全基線的量化管理系統研究與應用
隨著信息化建設與業務不斷發展,網絡規模日益擴大,其生產、業務支撐系統的網絡結構也變得越來越復雜,各類 IT 設備種類和數量不斷增加,重要應用和服務器的數量及種類日益增多,安全管理問題日漸凸出。在信息系統建設、運維過程中,人們往往忽略了安全控制要求,人員誤操作、采用默認配置等情況可能會成為網絡攻擊的突破點,會造成系統停運或數據丟失等不可估量的損失。因此,有必要多層級開展安全量化評估來實現對信息行業安全態勢的感知,安全量化管理系統具有時效性強,展示統一、合理的特點,能夠快速得到評估結果并進行風險預防及加固。
1目前安全評估存在的問題
近年來,信息系統在電力領域的應用呈指數級增長,安全問題日益嚴峻,梳理資產信息、進行風險評估、分析匯總以及把控電力信息安全態勢是提升安全水平的必要工作。目前,電力行業安全評估的主要問題如下文所述。
1.1 安全量化評估效率低
安全量化評估工作涉及面較廣,主要包括設備安全、信息安全、數據安全、系統運行安全、工控安全等方面并持續擴大涉及面,在業務系統及主機、數據庫、系統應用、安全設備、網絡設備、用戶終端等多個環節運行過程中,常以人工方式開展安全量化評估,但其工作量巨大,效率低,評估深度不足,存在部分風險點層面無法涉及的問題,存在真空區。
1.2 安全量化評估層面多,差異大
信息系統各層面安全評估內容不同,量化標準多樣,結果量化差異大,結果分散、分片,沒有一個統一的展示,可讀性較差,非專業人士無法直接感知風險程度。
1.3 安全量化評估準確性低
通過人力進行信息安全量化評估,標準把控難,無法做到深層次安全檢查,周期長,結果準確度低,人力開展量化評估嚴重依賴評估人員的技能水平。
2國內信息安全量化研究現狀
1999 年,公安部組織起草了《計算機信息系統安全保護等級劃分準則》,該標準將計算機信息系統安全保護能力劃分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級 5 個等級 [1]。在國內運營商行業中,信息安全量化評估具有較大的相似性,目前在國際安全量化評估的研究領域,國內運營商已走在了前面,其制定了針對通用業務系統的安全框架,并且明確編寫了設備級的安全規范。如《中國電信集團公司 CTG-MBOSS 安全規范》,在框架和規范都具備的情況下,出現了安全基線管理的自動化工具,把規范與檢查列表具象化、自動化,從而減少人的工作量,提高工作效率。基于業務系統的基線安全模型如圖 1 所示。
圖 1 基線安全模型
3信息安全量化管理系統的設計與研究
安全基線是信息系統配置最基礎的安全線,是系統安全穩定運行最基礎的安全要求。安全與效益往往互相矛盾,通常面臨安全投入高,但顯性效益不明顯的現象,因此,需要找到成本、投入與網絡安全風險底線的平衡點,而安全基線則是這個平衡點,企業可以合理接受網絡安全風險的分界線,企業在滿足安全要求的同時,也能兼顧網絡安全風險這一底線。
在企業信息方面,安全涉及面廣,以業務的安全量化評估為基礎,充分考慮信息行業的現狀和行業最佳實踐,基于國家等級保護、風險評估的經驗成果,參考行業的量化評估研究思想,研究基于信息行業的業務系統基線的安全量化管理系統,以滿足信息系統標準化評價和指導標準,規范電力行業信息安全防護評價措施,以評價結果為導向,為信息安全加固提供支撐,對各層次進行全方位迭代式加固,以提高電力信息系統安全防護水平。
3.1 安全量化管理系統檢測的內容
安全量化管理系統對安全漏洞和安全配置進行全量檢測及風險評估。
安全漏洞:是信息系統配置不到位、組件本身漏洞、代碼設計缺陷等方面問題引起的安全風險,常見的漏洞包括:邏輯漏洞、信息泄露、結 構 化 查 詢 語 言(Structured Query Language,SQL)注入、命令執行、拒絕攻擊漏洞、蠕蟲后門等,都是系統自身的安全風險,反映了其安全脆弱性。
安全配置:是采用了默認配置或人為疏忽因素,造成系統限制寬松,導致的安全風險;主要包括賬號、登錄限制、口令復雜度、日志記錄等方面內容;也反映了系統安全脆弱性;安全配置和系統應用是相關的,安全配置需要與實際業務相匹配,既不能過于嚴苛影響系統使用或者運行,也不能過于寬松,而帶來安全風險 。
3.2 安全基線系統功能架構設計
基于電力行業信息系統安全現狀及評估內容的定位,將安全基線合規管理系統分為 8 個功能模塊,包括安全態勢視圖、 安全管控、安全監測、安全合規、資產管理、基線管理、系統管理和基線采集。安全基線合規系統整體功能架構如圖 2 所示。
圖 2 安全基線合規系統整體功能架構
安全基線合規管理系統的設計遵循并考慮了應用完整性、橫向整合、架構柔性原則,研究分析系統的業務范圍及應用集成關系,合理切分系統功能界面,減少系統應用集成對業務流程的割裂等方面。其核心模塊為基線采集,依據網絡設備基線庫、主機設備基線庫、應用系統基線庫和數據庫基線庫等基線庫,對安全監測對象開展動態的安全數據采集并進行預處理,采集對象包括主機系統、數據庫系統、網絡設備、中間件等,采集數據類型包括狀態信息、性能信息及配置信息;資產管理、基線管理和系統管理負責系統基礎數據的維護;安全管控、安全監測、安全合規負責安全運行狀態監測和安全工作流程管控;安全態勢視圖負責各方面安全態勢數據統計分析及展示。
3.3 安全量化管理系統業務架構設計
安全量化管理系統服務的對象為安全運維人員與安全管理人員。系統業務分為上層業務和基礎業務,其中,上層業務包括安全管控、安全監測、安全合規和安全態勢視圖 4 類,基礎業務包括資產管理、基線管理和系統管理 3 類。
系統以“計劃、執行、檢查、處理”(PDCA)的閉環管理為主線,對信息安全各階段的工作提供支撐。
計劃:計劃階段的支撐業務包括安全管控類業務中的安全公告,安全管理人員通過安全公告進行工作計劃、任務下發。
執行:執行階段的支撐業務包括安全合規類業務和安全監測類業務,面向安全運維人員的服務內容包括等級保護、風險評估、基線評估,及各類安全配置和事件的監測,以發現安全漏洞和隱患。
檢查:檢查階段的支撐業務包括安全管控類業務中的安全問題追蹤、風險管理,面向安全管理人員的服務內容包括安全問題和風險消缺情況追蹤。
處理:處理階段的支撐業務包括安全監測類業務中的告警處理,面向安全運維人員的服務內容包括對發現的安全問題的處理情況。
安全基線系統的基礎業務為基礎數據、策略數據、配置數據等系統運行關鍵數據提供了維護。
3.4 安全量化管理系統業務數據設計
業務數據包括資源類數據、管理類數據、安全管控類數據、安全監測類數據、安全合規類數據和統計分析類數據 6 類。
資源類數據是安全系統各業務實施的基礎,包括自動發現的數據、人工維護的數據、外部系統獲得的數據。資源類數據根據資源對象類型分為主機資源、數據庫資源、網絡設備資源、安全設備資源、中間件資源、應用系統資源、物理機房資源、安全制度資源、安全人員資源等。
管理類數據是安全量化管理系統各業務實施的指導性數據,包括基線庫數據、安全知識庫數據。基線庫數據指安全基線標準及落地的基線指標采集技術策略,安全合規判定技術策略及相應的安全建議;安全知識庫數據指等級保護、風險評估等國家和公司下發的各項安全制度、規范和標準。
安全管控類數據是安全管控類業務數據,包括安全問題管理數據、風險管理數據、安全考核數據及公告數據等,對各項安全工作流程進行記錄和維護。安全監測類數據是安全量化管理系統安全監測類業務的業務數據,包括安全告警數據、安全事件數據、安全督查數據、安全漏洞數據、滲透測試數據等,實時反映各業務系統的安全狀況,也為上層統計分析提供安全監測基礎數據。
安全合規類數據是系統安全合規類業務數據,包括等級保護數據、風險評估數據、基線評估數據等,反映根據各項安全標準進行安全評價的結果,為上層統計分析提供安全合規基礎數據。
統計分析類數據是基于安全管控、安全監測、安全合規類數據的統計分析數據,是安全量化管理系統可視化的主要數據來源,包括關聯分析數據、報表數據、等保合規視圖數據、風險評估視圖數據、告警視圖數據、問題追蹤視圖數據、推送指標數據等。
3.5 安全量化管理系統安全防護設計
系統主要實現對 IT 資產配置,漏洞、風險的采集與自動化合規,及時發現 IT 資產對象存在的安全隱患與風險,提供整改建議。結合《信息系統安全等級保護定級指南》,信息安全防護需求如下文所述。
采用 HTTPS 進行交互,確保數據傳輸過程的保密性,采用用戶名 + 口令 + 動態驗證碼的方式防止口令暴力猜解;自動驗證用戶口令復雜度,強制用戶首次登錄系統必須修改初始口令,防止默認口令和弱口令的存在。
限制上傳可執行文件、程序、圖片、代碼等風險數據,對“;、/、?、‘、<、>”等特殊字符進行過濾或轉換,防止 SQL 注入、跨站腳本等惡意攻擊。
根據業務需求和最小權限原則,設定不同的角色和權限,防止保密或受限數據的非法訪問。在敏感數據(如口令、關鍵業務系統數據)存儲過程中,采用加密技術進行加密,確保數據存儲安全。
提供覆蓋每個用戶的安全審計功能,對應用系統的用戶登錄、用戶退出、操作等重要安全事件進行審計,配置獨立的審計進程,保證審計記錄無法被刪除、修改或覆蓋,維護審計活動的完整性。
系統自動定期備份數據,并采用加密技術進行加密存儲。安全基線合規系統配備獨立的采集引擎,僅讀取資產對象配置信息,不安裝任何程序且不產生殘留文件。
為避免影響其他業務系統正常運行,系統提供掃描周期與閾值設置功能,用戶可根據自身網絡帶寬和業務系統繁忙程度自定義設置掃描周期和閾值。
3.6 安全量化管理系統硬件部署架構
按照電力信息二次系統防護原則,該系統通過部署 2 臺集群數據庫和 2 臺服務器,接入數據中心核心交換機。在安全性方面,通過防火墻實現系統的安全訪問控制;在數據采集方面,各網絡設備、主機設備配置數據采集功能供安全基線合規系統進行數據抽取并統一分析展示。其典型硬件架構如圖 3 所示。
圖 3 安全量化評估管理系統硬件架構
3.7 安全量化管理系統管理應用
該系統建立在業務系統的安全評估和基線梳理基礎上。在了解組織資產現狀的基礎上,梳理軟件、硬件資產屬性,建立基線核查基礎臺賬數據,協同業務、研發、運行等環節管理者討論指定符合網絡安全管理的合理化、實用化標準和管理制度,各環節管理者一體化運作。
安全量化評估需明確基線的訂制、實施、評審責任,利用該系統進行全方位基線檢測。網絡安全管理機構全方位管控基線問題整改,將實施情況和實施效果進行通報,提高安全基線問題整改落實的效果。
安全基線庫是針對信息系統而建立的包含漏洞、軟件版本、安全配置等方面的詳細要求,是安全框架和標準 [3],為安全管理、操作提供基礎支撐。主要包括新系統上線前第三方安全檢查、系統上線前安全檢查、安全合規性檢查、日常排查、等保檢查等。通過對系統進行安全合規檢查,找出系統安全脆弱點,有針對性地開展安全管理,實施安全措施,控制安全風險。
3.8 安全量化管理系統檢查實施
利用該系統開展安全檢查,針對服務器操作系統、數據庫、軟件和容器的配置進行安全檢測,并提供檢測結果說明和加固建議,用以支撐系統安全加固,降低入侵風險并滿足安全合規要求。
在量化脆弱性時,要考慮各信息系統、設備的差異化,功能應用不同,安全要求也不同;相同系統,在不同的應用場景中,安全要求也要隨之改變。因此,對系統進行評估時,需要與系統開發設計人員、系統管理員、系統運維人員、網絡運維人員、安全管理人員等對評估結果進行核實確認,針對反饋內容,對基線庫條目進行新增、刪除等操作,動態化調整保存到基線數據庫中,迭代式優化完善,形成符合所屬行業、企業要求的標準。
4應用成果與創新點
信息安全基線是信息系統安全、穩定運行的基礎,對提高網絡和信息系統安全起到至關重要的作用,明確信息安全底線,做好安全管理合規,保障安全防線。
4.1 信息安全閉環管理
基于安全基線思想,分析 ISO/IEC 27001《信息安全管理體系標準》,建立基于電力信息系統安全防護設計、建設、運維、評估、應急事件處置、監督全過程管控的安全量化管理系統,實現電力信息系統安全防護全過程的管控;同時,創新地將安全基線與 PDCA 結合并應用到信息安全防護工作中,全流程閉環信息安全管控,提升電力行業信息安全防護水平。
4.2 面向業務的安全量化評估深化應用
等級保護等應用均是面向業務系統展開的,各業務系統的安全要素有共性亦有個性;安全量化管理系統則將個性化與共性化數據進行量化,能直觀地展示對象的安全態勢。
4.3 自動化采集和分析
依據等級保護、各項規章制度建立基線庫模型,開展自動化采集和分析主機、數據庫、網絡設備等系統關鍵環節數據,通過分析、統計,進行統一直觀展示。
5結 語
數字化轉型進程正不斷加快,電力行業信息網絡安全問題不容忽視,必須建立企業網絡安全基線管理體系,常態化安全合規管理,迭代式安全基線排查加固,構建網絡安全防線。
引用本文:張曉東 , 劉俊 , 夏琨 . 基于電力行業信息安全基線的量化管理系統研究與應用 [J]. 信息安全與通信保密 ,2022(4):11-17.
