楊彥仙

摘? 要：安全基線是保證電網信息管理系統(tǒng)穩(wěn)定和安全運行的重要基礎。在智能電網背景下，電力管理中IT主流設備的規(guī)模在不斷擴大，在提供諸多管理便利的同時，如何保障這些IT設備的運行環(huán)境安全、電力數(shù)據安全，成為必須要考慮的問題。文章首先概述了安全基線的主要組成，隨后從確定適用范圍、編制技術規(guī)范、設計系統(tǒng)模型等方面，詳細分析了IT主流設備安全基線的應用流程，最后列舉了安全基線在電力管理中運用所需的幾項核心技術。

關鍵詞：IT設備;安全基線;電力管理;安全配置識別技術

中圖分類號：TM73? ? ? ? ? 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）16-0179-02

Abstract： Security baseline is an important foundation to ensure the stable and safe operation of power grid information management system. In the context of smart grid， the scale of IT mainstream equipment in power management is constantly expanding. While providing a lot of management convenience， how to ensure the operating environment security and power data security of these IT devices has become a problem that must be considered. This paper first summarizes the main components of the safety baseline， then analyzes in detail the application flow of the safety baseline of the mainstream IT equipment from the aspects of determining the scope of application， compiling technical specifications and designing system models， and finally enumerates several core technologies needed for the application of safety baseline in power management.

Keywords： IT equipment; security baseline; power management; security configuration identification technology

引言

安全基線的作用在于為信息管理系統(tǒng)提供最低的安全保證，具體到電力信息管理系統(tǒng)來說，要求所有的IT主流設備，其安全防護水平都要高于安全基線，以保證整個信息系統(tǒng)的穩(wěn)定、安全、高效運行。近年來，電網公司在安全基線研究、部署、推廣等方面進行了大量的嘗試，取得了顯著成果。對于基層供電局來說，也要結合自身的業(yè)務情況，以及電力管理系統(tǒng)的運行需要，及時做好IT主流設備安全基線的規(guī)劃設計、運維管理，從而支持基層電力管理工作和供電服務工作的高質量開展。

1 安全基線的主要內容

1.1 漏洞信息

IT主流設備或常規(guī)應用軟件，由于系統(tǒng)設計缺陷，或是自帶的防護系統(tǒng)存在漏洞等，面臨著較多的安全隱患。為了切實保障電力信息系統(tǒng)的安全，在安全基線中設計了漏洞信息模塊。結合常見的安全漏洞形式，能夠精確識別并記錄DOS（拒絕服務攻擊）漏洞信息、信息泄露信息、數(shù)據庫漏洞信息等。通過檢查這些漏洞信息，可以幫助管理人員更加直觀的認識到當前系統(tǒng)中存在的問題，進而為下一步系統(tǒng)優(yōu)化和漏洞修復提供了必要的參考。

1.2 安全配置

這一模塊又可分為應用系統(tǒng)安全配置、網絡系統(tǒng)安全配置、IT設備安全配置等幾部分。其中，在應用系統(tǒng)安全配置中，一種渠道是保障系統(tǒng)運行平臺的安全性，例如通過定期修補系統(tǒng)漏洞、進行系統(tǒng)訪問檢測等，預防來自外部網絡的安全隱患;另一種渠道則是從應用程序入手，在應用系統(tǒng)的設計、應用程序的運行等方面，進行安全檢查。在網絡安全配置中，大量的數(shù)據信息通過網絡進行輸入和輸出，而這些數(shù)據中本身可能包含一些隱藏的病毒。通過對網絡數(shù)據的嚴格審查，既可以保障網絡系統(tǒng)的安全性，又能夠保證數(shù)據本身的完整性和隱私性。在IT設備安全配置中，主要是對操作系統(tǒng)、數(shù)據庫、路由器、交換機等軟硬件設備進行安全檢查，以保證IT主流設備的運行安全。

1.3 重要狀態(tài)

該模塊主要包含了系統(tǒng)當前運行的一些重要參數(shù)。管理員可以通過端口狀態(tài)和運行進程，了解到與之對應的各個IT主流設備的安全狀況。重要文件記錄了每一臺IT主流設備的詳細信息，既包括基礎性的設備參數(shù)，也有設備運行日志。由于系統(tǒng)運行是一個動態(tài)變化的過程，并且隨著業(yè)務的不斷擴展，IT主流設備種類、數(shù)量也會相應的增加。因此在端口設計上具備較強的可擴展性，可以根據實際情況隨時接入新的端口，保證了安全基線始終具有較強的適用性。

2 IT主流設備安全基線的應用流程

2.1 確定安全基線的適用范圍

近年來，電力管理系統(tǒng)中使用到的IT主流設備無論是在種類還是數(shù)量上，均有逐步增加的趨勢。而這些IT主流設備由于操作系統(tǒng)、組織架構、運行模式、安全協(xié)議等方面存在較多的差異。為了更好的發(fā)揮安全基線的應用效果，在構建安全基線系統(tǒng)的第一步，就是要明確適用范圍，以確保電力管理系統(tǒng)中所有的IT主流設備，都能夠滿足安全運行條件，從而切實提高系統(tǒng)運行穩(wěn)定性和安全性。

明確信息安全基線的適用范圍為管理信息大區(qū)內IT主流設備，主要包括AIX系統(tǒng)、Windows系統(tǒng)、Linux系統(tǒng)、HPUNIX系統(tǒng)、Oracle數(shù)據庫系統(tǒng)、MSSQL數(shù)據庫系統(tǒng)，WEBLogic中間件、ApacheHTTPServer中間件、Tomcat中間件、IIS中間件、Cisco路由器/交換機、華為網絡設備、Cisco防火墻、Juniper防火墻和Nokia防火墻等。通過安全基線標準來提升管理信息大區(qū)內的信息安全防護能力。依照范圍制定《IT主流設備安全基線技術規(guī)范》。

2.2 編制安全基線的管理規(guī)范

IT主流設備數(shù)量多且分布零散，為了盡快的完成IT主流設備安全基線的布置任務，電網公司應當及時編制《IT主流設備安全基線管理辦法》、《IT主流設備安全基線技術規(guī)范》等相關文件，然后下發(fā)給基層供電局參照執(zhí)行。在這些標準文件中，應當涵蓋供電力系統(tǒng)中所用IT設備的全部類型，并且按照一定的標準進行分類，針對具體的類別提供相應的安全基線部署方案，作為下一步開展安全基線建設的重要依據。同時，各供電局還應結合自身的實際情況，以及IT主流設備安全基線的布局需要，完善組織架構和明確職責分工，確保安全基線設計、建設、檢查等各項工作都有專人負責。另外，結合安全基線的內容組成，像安全配置、補丁管理、通用標準等，也需要參照標準文件中的具體要求加以確定。

2.3 設計安全基線的基本模型

結合IT主流設備的運行特點與安全管理需求，確定安全基線管理系統(tǒng)的基本模型以及內部的主要組成?？傮w來看，核心組成主要有報表管理模塊、基線管理模塊、數(shù)據采集模塊、安全管理模塊、數(shù)據庫模塊等。具體來說：（1）報表管理模塊。包含了用戶個人賬戶管理、安全基線基本配置管理、系統(tǒng)漏洞管理等。所有管理事項都會統(tǒng)計并上報給報表中心，然后生成一份報表。（2）基線管理模塊。包含了基線庫管理、端口管理、腳本管理、采集管理等。端口管理中，除了與IT主流設備相接外，還設有一個獨立端口，與數(shù)據庫進行數(shù)據傳輸。（3）數(shù)據采集模塊。通過分布在IT主流設備上的傳感器等功能性元件，進行數(shù)據采集，采集對象包括漏洞數(shù)據、運行參數(shù)等。（4）安全管理模塊。包含了防火墻、IDS/IPS、補丁管理、病毒檢測等安全保護系統(tǒng)。

2.4 開發(fā)安全基線的核查工具

安全基線系統(tǒng)在投入運行后，由于IT主流設備運行中產生的數(shù)據流龐大，加上存在多個管理終端，這就導致安全基線在實施中也經常面臨超負荷運行的情況，久而久之防護能力也會有所下降。同時，由于病毒的不斷更新，安全基線也有可能出現(xiàn)對新型病毒防控不到位的情況。為此，還需要開發(fā)和使用自動化核查工具，每隔一段時間對安全基線系統(tǒng)進行更新、完善，始終保證對IT主流設備的防護效果。

在檢查工具的選擇上，有本地檢查和遠程檢查兩種。本地檢查是基于目標系統(tǒng)的管理員權限，通過Telnet/SSH/SNMP、遠程命令獲取等方式獲取目標系統(tǒng)有關安全配置和狀態(tài)信息;然后根據這些信息，與預先制定好的檢查要求進行比較，分析符合情況;最后根據分析情況匯總出合規(guī)性檢查結果。而遠程檢查則是利用漏洞掃描的方式，綜合運用NSIP等多種領先技術，自動、高效、及時準確地發(fā)現(xiàn)網絡資產存在的安全漏洞。同時可以提供Open VM工作流程平臺，將先進的漏洞管理理念貫穿整個產品實現(xiàn)過程中。

3 IT主流設備安全基線管理系統(tǒng)的核心技術

3.1 基于用戶行為模式的管理架構

安全基線系統(tǒng)的設計初衷，是為了輔助人工完成IT主流設備的安全檢查。因此無論是從管理架構的設計還是實用功能的開發(fā)上，都是以為管理員提供操作便利為主要目的。安全基線系統(tǒng)需要動態(tài)的獲取IT主流設備的運行參數(shù)和實時公開，因此在設計中還應用了數(shù)據自動收集、智能匹配檢查、分值科學評定等技術，保證安全基線系統(tǒng)可以對IT主流設備的安全狀態(tài)做出精準評價，進而為下一步采取相應的管理措施提供了參考。為了能夠以SSL加密通訊方式利用瀏覽器進行遠程管理，系統(tǒng)采用B/S架構進行管理。

3.2 高效、智能的安全配置識別技術

結合上文可知，安全基線系統(tǒng)中設計了本地檢查和遠程檢查兩種模式，可以支持在不同條件下對本系統(tǒng)的安全配置進行自檢，以保證安全基線系統(tǒng)始終發(fā)揮穩(wěn)定的防護功能。為了提高檢查的準確率，在設計中也會使用到基于大數(shù)據和AI的智能技術。通過實現(xiàn)智能化、全自動的安全配置檢查，一方面是克服了傳統(tǒng)以人工為主，手動單點檢查所存在的準確率低、時效性差等問題;另一方面又能夠提供更加廣泛的識別范圍，讓最終的識別和評估結果準確率都得到大幅度的提升，支持了安全基線系統(tǒng)在復雜環(huán)境下也能夠取得良好應用。

4 結束語

在電力管理信息化發(fā)展趨勢下，如何保障信息系統(tǒng)中各類IT主流設備的運行安全，是決定電力管理系統(tǒng)功能發(fā)揮的重要因素。安全基線系統(tǒng)將漏洞掃描、系統(tǒng)自查、安全配置、整改加固等多項功能集于一體，同時具有較強的可擴展性，保證了較強的環(huán)境適應能力。近年來，隨著電網公司在安全基線研究方面加大了投入力度，以及各類管理標準、技術規(guī)范的出臺，為安全基線系統(tǒng)的標準化、智能化發(fā)展提供了重要推動力。今后還要繼續(xù)做好安全基線系統(tǒng)的研究和開發(fā)，以支持電力管理信息化的不斷發(fā)展。

參考文獻：

[1]孫軼凡，尚博祥，劉晨.基于安全基線的電力信息系統(tǒng)運維管理框架研究[J].經營與管理，2017（03）：130-132.

[2]羅朝宇，王福新，李宗濤.基于SCAP框架的信息系統(tǒng)安全基線技術研究與應用[J].電力信息與通信技術，2014（7）：97-100.

[3]常榮，李邦源，劉松，等.以信息安全為基線的IT運維服務多體系融合管理研究與實踐[J].信息技術與信息化，2018，217（04）：177-180.