淺議供電企業安全基線管理系統的設計

賈志義 韓煜 王華

摘 要：安全基線管理系統是現代企業信息化工作的重要手段，對于保障企業信息安全，提高信息管理工作水平具有重要意義。文章對信息安全基線管理系統的結構設計、工作流程和關鍵技術等重要內容進行了詳細介紹，并結合電力企業安全基線管理系統的建設對安全基線管理系統的重要意義進行討論。希望可以對我國企業提高信息安全管理工作水平，加快推進企業信息化進程有所幫助。

關鍵詞：安全基線；自動化采集；安全檢查；評估模型

引言

信息化是現代企業發展的一個重要方向。隨著信息技術和計算機網絡技術水平的不斷發展，當代企業信息化程度逐漸加深。信息化極大地提高了企業工作效率，增加了企業經濟效能，在企業生產經營過程中扮演著重要角色，成為企業現代化和先進水平的重要標志。企業不斷推進信息化建設的同時，信息安全也成為企業高度重視的問題之一。由于企業關鍵技術信息或經營信息的泄露，給企業帶來巨大經濟損失的案例屢見不鮮。為此，企業在推進信息化建設的同時也建立了與之配套的信息安全管理制度，有的企業還成立了信息安全管理部門，專項負責企業信息安全管理工作，通過建立系統的安全管理體系，實施嚴密的防范措施，保障企業信息安全。在企業信息安全管理工作中，安全基線是一個基本措施，也是一個基本概念，它表明信息系統最基本的安全要求。以安全基線為基礎，企業可以根據自身采用的信息系統制定不同的漏洞要求和檢查清單要求，進而為企業信息標準化管理提供基本安全框架和原則。安全基線的存在對于企業信息安全管理有著巨大的推動作用，能夠有效提供企業信息安全管理水平。由于現代企業信息工作具有涉及的設備數量多、設備品種規格復雜、配置項目繁雜的特點，使得企業信息工作安全基線管理面臨著很大困難。作為我國信息化程度較深的行業之一，電力行業始終把提高安全基線使用的效率，改善信息系統工作狀況，保障供電安全作為企業信息安全管理的重要內容。

1 安全基線管理系統功能架構設計

安全基線管理系統是信息管理工作中專門負責安全基線相關管理的體系，能夠實現信息管理主流設備配置信息和漏洞信息的自動采集，及將采集的數據與安全基線進行自動對比分析，并形成分析報告。采用模塊化結構設計，一般包含安全基線數據采集模塊、數據分析處理中心和報表管理模塊三個部分。

1.1 安全基線數據采集模塊

該模塊根據具體功能分為漏洞檢測模塊和配置檢查模塊兩個部分。顧名思義，漏洞檢查模塊負責對信息系統中包含的設備漏洞進行檢查，現階段能夠配合市面主流的安全漏洞掃描設備正常運行。配置檢查模塊通過SSH/TELNET等方式登錄錄到IT設備上，以運行腳本的方式對設備配置情況進行采集，采集的內容包括設備的管理賬號和安全防護信息等。

1.2 數據分析處理中心

網絡設備、安全設備、主機、數據庫、中間件、終端桌面等軟硬件的配置信息和使用漏洞掃描工具得到的掃描數據匯總到數據分析處理中心。由其按照一定標準進行規范整理，再進行歸并壓制和匯聚等預處理工作。然后將預處理后的數據與設置好的安全基線庫進行對比分析。

1.3 報表管理模塊

該模塊以圖形化的人機交互界面，實現系統數據報表的統一管理。在這個環節可以實現系統維護、權限管理、報表管理、知識管理、告警管理、審計管理等功能。

2 安全基線管理系統工作流程簡述

第一步，系統設備配置信息和漏洞信息采集。具體工作由分布式采集網元負責。第二步，對比分析。采集網元將采集到的數據匯總至數據庫，由系統集中式分析引擎將匯總的信息與預設的基線標準進行對比，結果以報表形式輸出。另外，系統還內設知識庫管理模塊，具有對對比結果提供專業建議和輔助分析服務功能。在安全基線管理系統中，設備系統的類型適配和采集接口起著關鍵性作用。系統通過指紋探測技術對系統類型進行分析探測，通過知識庫進行多種登錄口令與方式驗證，進行對象的登錄性檢測。網元的配置信息通過兩種方式進行采集，一是通過Telnet、SSH接口登錄到網元，輸入相關指令，獲取設備配置信息，屬于遠程方式；另一種通過網元運行系統提供的Perl腳本，實現設備配置信息的定期采集功能，屬于本地方式。

3 安全基線管理系統設計理念和關鍵技術

3.1 基于用戶行為模式的管理架構

安全基線管理系統秉持為用戶提供優質的用戶體驗原則，牢固樹立“以人為本”的理念，在進行產品設計時全面考慮用戶的實際需求、使用習慣等因素，以最大限度滿足客戶設計使用為目標，積極推進系統結構設計和功能完善工作。通過自動化的數據收集、智能匹配檢查規范、快速結果報表、科學分值評定等功能，達到提高使用效率，降低使用要求的目的。為了能夠以SSL加密通訊方式利用瀏覽器進行遠程管理，系統采用B/S架構進行管理。目前已經實現的自動處理的任務包括：評估任務下發、掃描結果自動分析、處理和發送、系統檢測插件的自動升級等。除此之外，系統具有多用戶管理功能，通過對不同用戶的權限進行相應限制的措施保障系統安全。此外，系統還具有日志審計功能，能夠對登錄、操作和異常情況進行審計和管理。

3.2 高效、智能的安全配置識別技術

通過先進的計算機軟件，在遠程檢測和本地檢測的配合使用下，可以實現多種復雜應用環境下的大規模安全配置檢查自動化，有效避免了手動單點安全配置檢查花費時間較長的缺點，降低失誤風險，提高了檢測準確率。系統設計中采用智能的并發算法提高配置審計工具的評估速度和準確率。該算法具有廣泛的應用范圍，可以實現目標系統信息收集技術和途徑的多樣化。通過對目標系統目標評估模型的建立及對中間結果數據的不斷調整，使得目標系統最終評估結果的準確率大為提高。

3.3 多維、細粒度的統計分析

系統提供的數據報表有離線和在線兩種形式，并有與之相配套的報表控制器，可以根據用戶要求提取相應信息，形成具有不同針對性的報表。企業決策者和管理人員可以根據基線管理系統提供的分析數據，從宏觀和微觀兩個方面把握系統安全動態，進行網絡建設決策。

4 應用案例

某大型供電局以上文提供的設計方法對安全基線管理體系進行設計開發。截至目前，該系統已經正式投入運行。和系統使用前相比，供電局信息安全管理工作效率大幅提高，有效減輕了信息系統安全管理人員的日常維護管理工作，企業信息安全管理工作再上新臺階，企業經濟效益獲得顯著提升。

5 結束語

安全基線管理系統是企業信息管理體系的重要組成部分，是企業開展信息安全基線管理工作的主要工具。隨著企業信息化程度的日漸加深和安全基線在企業信息安全工作方面的重要作用，使用安全基線管理系統實施信息安全管理的企業數目成上升趨勢。給企業安全基線管理系統提供了廣闊的市場空間。安全基線管理系統集安全管理、配置、檢查、掃描、整改加固等功能為一體，技術先進，兼容性強，可廣泛應用于各類安全和合規性檢查的綜合檢查評估管理工作，對于現代企業信息安全管理實現系統化、標準化、自動化具有重要推動作用。

參考文獻

[1]桂永宏.業務系統安全基線的研究及應用[J].計算機安全，2011（10）：23-27.

[2]桑梓勤.電信運營企業的安全基線與等級保護[J].電信網技術，2007（9）.

[3]孫鐵.創建自主可控的業務系統安全基線技術體系[J].信息網絡安全，2009（5）.