張曉東，劉 俊，夏 琨

（1.國網(wǎng)寧夏電力有限公司營銷服務(wù)中心（計(jì)量中心），寧夏 銀川 750021；2.國網(wǎng)寧夏電力有限公司信息通信公司，寧夏 銀川 750001）

0 引 言

隨著信息化建設(shè)與業(yè)務(wù)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，其生產(chǎn)、業(yè)務(wù)支撐系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)也變得越來越復(fù)雜，各類IT 設(shè)備種類和數(shù)量不斷增加，重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，安全管理問題日漸凸出。在信息系統(tǒng)建設(shè)、運(yùn)維過程中，人們往往忽略了安全控制要求，人員誤操作、采用默認(rèn)配置等情況可能會成為網(wǎng)絡(luò)攻擊的突破點(diǎn)，會造成系統(tǒng)停運(yùn)或數(shù)據(jù)丟失等不可估量的損失。因此，有必要多層級開展安全量化評估來實(shí)現(xiàn)對信息行業(yè)安全態(tài)勢的感知，安全量化管理系統(tǒng)具有時(shí)效性強(qiáng)，展示統(tǒng)一、合理的特點(diǎn)，能夠快速得到評估結(jié)果并進(jìn)行風(fēng)險(xiǎn)預(yù)防及加固。

1 目前安全評估存在的問題

近年來，信息系統(tǒng)在電力領(lǐng)域的應(yīng)用呈指數(shù)級增長，安全問題日益嚴(yán)峻，梳理資產(chǎn)信息、進(jìn)行風(fēng)險(xiǎn)評估、分析匯總以及把控電力信息安全態(tài)勢是提升安全水平的必要工作。目前，電力行業(yè)安全評估的主要問題如下文所述。

1.1 安全量化評估效率低

安全量化評估工作涉及面較廣，主要包括設(shè)備安全、信息安全、數(shù)據(jù)安全、系統(tǒng)運(yùn)行安全、工控安全等方面并持續(xù)擴(kuò)大涉及面，在業(yè)務(wù)系統(tǒng)及主機(jī)、數(shù)據(jù)庫、系統(tǒng)應(yīng)用、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、用戶終端等多個(gè)環(huán)節(jié)運(yùn)行過程中，常以人工方式開展安全量化評估，但其工作量巨大，效率低，評估深度不足，存在部分風(fēng)險(xiǎn)點(diǎn)層面無法涉及的問題，存在真空區(qū)。

1.2 安全量化評估層面多，差異大

信息系統(tǒng)各層面安全評估內(nèi)容不同，量化標(biāo)準(zhǔn)多樣，結(jié)果量化差異大，結(jié)果分散、分片，沒有一個(gè)統(tǒng)一的展示，可讀性較差，非專業(yè)人士無法直接感知風(fēng)險(xiǎn)程度。

1.3 安全量化評估準(zhǔn)確性低

通過人力進(jìn)行信息安全量化評估，標(biāo)準(zhǔn)把控難，無法做到深層次安全檢查，周期長，結(jié)果準(zhǔn)確度低，人力開展量化評估嚴(yán)重依賴評估人員的技能水平。

2 國內(nèi)信息安全量化研究現(xiàn)狀

1999年，公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，該標(biāo)準(zhǔn)將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級5 個(gè)等級[1]。

在國內(nèi)運(yùn)營商行業(yè)中，信息安全量化評估具有較大的相似性，目前在國際安全量化評估的研究領(lǐng)域，國內(nèi)運(yùn)營商已走在了前面，其制定了針對通用業(yè)務(wù)系統(tǒng)的安全框架，并且明確編寫了設(shè)備級的安全規(guī)范。如《中國電信集團(tuán)公司CTG-MBOSS 安全規(guī)范》，在框架和規(guī)范都具備的情況下，出現(xiàn)了安全基線管理的自動化工具，把規(guī)范與檢查列表具象化、自動化，從而減少人的工作量，提高工作效率?；跇I(yè)務(wù)系統(tǒng)的基線安全模型如圖1所示。

3 信息安全量化管理系統(tǒng)的設(shè)計(jì)與研究

安全基線是信息系統(tǒng)配置最基礎(chǔ)的安全線，是系統(tǒng)安全穩(wěn)定運(yùn)行最基礎(chǔ)的安全要求。安全與效益往往互相矛盾，通常面臨安全投入高，但顯性效益不明顯的現(xiàn)象，因此，需要找到成本、投入與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)底線的平衡點(diǎn)，而安全基線則是這個(gè)平衡點(diǎn)，企業(yè)可以合理接受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分界線，企業(yè)在滿足安全要求的同時(shí)，也能兼顧網(wǎng)絡(luò)安全風(fēng)險(xiǎn)這一底線。

在企業(yè)信息方面，安全涉及面廣，以業(yè)務(wù)的安全量化評估為基礎(chǔ)，充分考慮信息行業(yè)的現(xiàn)狀和行業(yè)最佳實(shí)踐，基于國家等級保護(hù)、風(fēng)險(xiǎn)評估的經(jīng)驗(yàn)成果，參考行業(yè)的量化評估研究思想，研究基于信息行業(yè)的業(yè)務(wù)系統(tǒng)基線的安全量化管理系統(tǒng)，以滿足信息系統(tǒng)標(biāo)準(zhǔn)化評價(jià)和指導(dǎo)標(biāo)準(zhǔn)，規(guī)范電力行業(yè)信息安全防護(hù)評價(jià)措施，以評價(jià)結(jié)果為導(dǎo)向，為信息安全加固提供支撐，對各層次進(jìn)行全方位迭代式加固，以提高電力信息系統(tǒng)安全防護(hù)水平。

3.1 安全量化管理系統(tǒng)檢測的內(nèi)容

安全量化管理系統(tǒng)對安全漏洞和安全配置進(jìn)行全量檢測及風(fēng)險(xiǎn)評估。

安全漏洞：是信息系統(tǒng)配置不到位、組件本身漏洞、代碼設(shè)計(jì)缺陷等方面問題引起的安全風(fēng)險(xiǎn)，常見的漏洞包括：邏輯漏洞、信息泄露、結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入、命令執(zhí)行、拒絕攻擊漏洞、蠕蟲后門等，都是系統(tǒng)自身的安全風(fēng)險(xiǎn)，反映了其安全脆弱性。

安全配置：是采用了默認(rèn)配置或人為疏忽因素，造成系統(tǒng)限制寬松，導(dǎo)致的安全風(fēng)險(xiǎn)；主要包括賬號、登錄限制、口令復(fù)雜度、日志記錄等方面內(nèi)容；也反映了系統(tǒng)安全脆弱性；安全配置和系統(tǒng)應(yīng)用是相關(guān)的，安全配置需要與實(shí)際業(yè)務(wù)相匹配，既不能過于嚴(yán)苛影響系統(tǒng)使用或者運(yùn)行，也不能過于寬松，而帶來安全風(fēng)險(xiǎn)[2]。

3.2 安全基線系統(tǒng)功能架構(gòu)設(shè)計(jì)

基于電力行業(yè)信息系統(tǒng)安全現(xiàn)狀及評估內(nèi)容的定位，將安全基線合規(guī)管理系統(tǒng)分為8 個(gè)功能模塊，包括安全態(tài)勢視圖、 安全管控、安全監(jiān)測、安全合規(guī)、資產(chǎn)管理、基線管理、系統(tǒng)管理和基線采集。安全基線合規(guī)系統(tǒng)整體功能架構(gòu)如圖2所示。

安全基線合規(guī)管理系統(tǒng)的設(shè)計(jì)遵循并考慮了應(yīng)用完整性、橫向整合、架構(gòu)柔性原則，研究分析系統(tǒng)的業(yè)務(wù)范圍及應(yīng)用集成關(guān)系，合理切分系統(tǒng)功能界面，減少系統(tǒng)應(yīng)用集成對業(yè)務(wù)流程的割裂等方面。其核心模塊為基線采集，依據(jù)網(wǎng)絡(luò)設(shè)備基線庫、主機(jī)設(shè)備基線庫、應(yīng)用系統(tǒng)基線庫和數(shù)據(jù)庫基線庫等基線庫，對安全監(jiān)測對象開展動態(tài)的安全數(shù)據(jù)采集并進(jìn)行預(yù)處理，采集對象包括主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、中間件等，采集數(shù)據(jù)類型包括狀態(tài)信息、性能信息及配置信息；資產(chǎn)管理、基線管理和系統(tǒng)管理負(fù)責(zé)系統(tǒng)基礎(chǔ)數(shù)據(jù)的維護(hù)；安全管控、安全監(jiān)測、安全合規(guī)負(fù)責(zé)安全運(yùn)行狀態(tài)監(jiān)測和安全工作流程管控；安全態(tài)勢視圖負(fù)責(zé)各方面安全態(tài)勢數(shù)據(jù)統(tǒng)計(jì)分析及展示。

3.3 安全量化管理系統(tǒng)業(yè)務(wù)架構(gòu)設(shè)計(jì)

安全量化管理系統(tǒng)服務(wù)的對象為安全運(yùn)維人員與安全管理人員。系統(tǒng)業(yè)務(wù)分為上層業(yè)務(wù)和基礎(chǔ)業(yè)務(wù)，其中，上層業(yè)務(wù)包括安全管控、安全監(jiān)測、安全合規(guī)和安全態(tài)勢視圖4類，基礎(chǔ)業(yè)務(wù)包括資產(chǎn)管理、基線管理和系統(tǒng)管理3 類。

系統(tǒng)以“計(jì)劃、執(zhí)行、檢查、處理”（PDCA）的閉環(huán)管理為主線，對信息安全各階段的工作提供支撐。

計(jì)劃：計(jì)劃階段的支撐業(yè)務(wù)包括安全管控類業(yè)務(wù)中的安全公告，安全管理人員通過安全公告進(jìn)行工作計(jì)劃、任務(wù)下發(fā)。

執(zhí)行：執(zhí)行階段的支撐業(yè)務(wù)包括安全合規(guī)類業(yè)務(wù)和安全監(jiān)測類業(yè)務(wù)，面向安全運(yùn)維人員的服務(wù)內(nèi)容包括等級保護(hù)、風(fēng)險(xiǎn)評估、基線評估，及各類安全配置和事件的監(jiān)測，以發(fā)現(xiàn)安全漏洞和隱患。

檢查：檢查階段的支撐業(yè)務(wù)包括安全管控類業(yè)務(wù)中的安全問題追蹤、風(fēng)險(xiǎn)管理，面向安全管理人員的服務(wù)內(nèi)容包括安全問題和風(fēng)險(xiǎn)消缺情況追蹤。

處理：處理階段的支撐業(yè)務(wù)包括安全監(jiān)測類業(yè)務(wù)中的告警處理，面向安全運(yùn)維人員的服務(wù)內(nèi)容包括對發(fā)現(xiàn)的安全問題的處理情況。

安全基線系統(tǒng)的基礎(chǔ)業(yè)務(wù)為基礎(chǔ)數(shù)據(jù)、策略數(shù)據(jù)、配置數(shù)據(jù)等系統(tǒng)運(yùn)行關(guān)鍵數(shù)據(jù)提供了維護(hù)。

3.4 安全量化管理系統(tǒng)業(yè)務(wù)數(shù)據(jù)設(shè)計(jì)

業(yè)務(wù)數(shù)據(jù)包括資源類數(shù)據(jù)、管理類數(shù)據(jù)、安全管控類數(shù)據(jù)、安全監(jiān)測類數(shù)據(jù)、安全合規(guī)類數(shù)據(jù)和統(tǒng)計(jì)分析類數(shù)據(jù)6 類。

資源類數(shù)據(jù)是安全系統(tǒng)各業(yè)務(wù)實(shí)施的基礎(chǔ)，包括自動發(fā)現(xiàn)的數(shù)據(jù)、人工維護(hù)的數(shù)據(jù)、外部系統(tǒng)獲得的數(shù)據(jù)。資源類數(shù)據(jù)根據(jù)資源對象類型分為主機(jī)資源、數(shù)據(jù)庫資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源、中間件資源、應(yīng)用系統(tǒng)資源、物理機(jī)房資源、安全制度資源、安全人員資源等。

管理類數(shù)據(jù)是安全量化管理系統(tǒng)各業(yè)務(wù)實(shí)施的指導(dǎo)性數(shù)據(jù)，包括基線庫數(shù)據(jù)、安全知識庫數(shù)據(jù)。基線庫數(shù)據(jù)指安全基線標(biāo)準(zhǔn)及落地的基線指標(biāo)采集技術(shù)策略，安全合規(guī)判定技術(shù)策略及相應(yīng)的安全建議；安全知識庫數(shù)據(jù)指等級保護(hù)、風(fēng)險(xiǎn)評估等國家和公司下發(fā)的各項(xiàng)安全制度、規(guī)范和標(biāo)準(zhǔn)。

安全管控類數(shù)據(jù)是安全管控類業(yè)務(wù)數(shù)據(jù)，包括安全問題管理數(shù)據(jù)、風(fēng)險(xiǎn)管理數(shù)據(jù)、安全考核數(shù)據(jù)及公告數(shù)據(jù)等，對各項(xiàng)安全工作流程進(jìn)行記錄和維護(hù)。

安全監(jiān)測類數(shù)據(jù)是安全量化管理系統(tǒng)安全監(jiān)測類業(yè)務(wù)的業(yè)務(wù)數(shù)據(jù)，包括安全告警數(shù)據(jù)、安全事件數(shù)據(jù)、安全督查數(shù)據(jù)、安全漏洞數(shù)據(jù)、滲透測試數(shù)據(jù)等，實(shí)時(shí)反映各業(yè)務(wù)系統(tǒng)的安全狀況，也為上層統(tǒng)計(jì)分析提供安全監(jiān)測基礎(chǔ)數(shù)據(jù)。

安全合規(guī)類數(shù)據(jù)是系統(tǒng)安全合規(guī)類業(yè)務(wù)數(shù)據(jù)，包括等級保護(hù)數(shù)據(jù)、風(fēng)險(xiǎn)評估數(shù)據(jù)、基線評估數(shù)據(jù)等，反映根據(jù)各項(xiàng)安全標(biāo)準(zhǔn)進(jìn)行安全評價(jià)的結(jié)果，為上層統(tǒng)計(jì)分析提供安全合規(guī)基礎(chǔ)數(shù)據(jù)。

統(tǒng)計(jì)分析類數(shù)據(jù)是基于安全管控、安全監(jiān)測、安全合規(guī)類數(shù)據(jù)的統(tǒng)計(jì)分析數(shù)據(jù)，是安全量化管理系統(tǒng)可視化的主要數(shù)據(jù)來源，包括關(guān)聯(lián)分析數(shù)據(jù)、報(bào)表數(shù)據(jù)、等保合規(guī)視圖數(shù)據(jù)、風(fēng)險(xiǎn)評估視圖數(shù)據(jù)、告警視圖數(shù)據(jù)、問題追蹤視圖數(shù)據(jù)、推送指標(biāo)數(shù)據(jù)等。

3.5 安全量化管理系統(tǒng)安全防護(hù)設(shè)計(jì)

系統(tǒng)主要實(shí)現(xiàn)對IT 資產(chǎn)配置，漏洞、風(fēng)險(xiǎn)的采集與自動化合規(guī)，及時(shí)發(fā)現(xiàn)IT 資產(chǎn)對象存在的安全隱患與風(fēng)險(xiǎn)，提供整改建議。結(jié)合《信息系統(tǒng)安全等級保護(hù)定級指南》，信息安全防護(hù)需求如下文所述。

采用HTTPS 進(jìn)行交互，確保數(shù)據(jù)傳輸過程的保密性，采用用戶名+口令+動態(tài)驗(yàn)證碼的方式防止口令暴力猜解；自動驗(yàn)證用戶口令復(fù)雜度，強(qiáng)制用戶首次登錄系統(tǒng)必須修改初始口令，防止默認(rèn)口令和弱口令的存在。

限制上傳可執(zhí)行文件、程序、圖片、代碼等風(fēng)險(xiǎn)數(shù)據(jù)，對“;、/、？、‘、<、>”等特殊字符進(jìn)行過濾或轉(zhuǎn)換，防止SQL 注入、跨站腳本等惡意攻擊。

根據(jù)業(yè)務(wù)需求和最小權(quán)限原則，設(shè)定不同的角色和權(quán)限，防止保密或受限數(shù)據(jù)的非法訪問。在敏感數(shù)據(jù)（如口令、關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)）存儲過程中，采用加密技術(shù)進(jìn)行加密，確保數(shù)據(jù)存儲安全。

提供覆蓋每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)的用戶登錄、用戶退出、操作等重要安全事件進(jìn)行審計(jì)，配置獨(dú)立的審計(jì)進(jìn)程，保證審計(jì)記錄無法被刪除、修改或覆蓋，維護(hù)審計(jì)活動的完整性。

系統(tǒng)自動定期備份數(shù)據(jù)，并采用加密技術(shù)進(jìn)行加密存儲。安全基線合規(guī)系統(tǒng)配備獨(dú)立的采集引擎，僅讀取資產(chǎn)對象配置信息，不安裝任何程序且不產(chǎn)生殘留文件。

為避免影響其他業(yè)務(wù)系統(tǒng)正常運(yùn)行，系統(tǒng)提供掃描周期與閾值設(shè)置功能，用戶可根據(jù)自身網(wǎng)絡(luò)帶寬和業(yè)務(wù)系統(tǒng)繁忙程度自定義設(shè)置掃描周期和閾值。

3.6 安全量化管理系統(tǒng)硬件部署架構(gòu)

按照電力信息二次系統(tǒng)防護(hù)原則，該系統(tǒng)通過部署2 臺集群數(shù)據(jù)庫和2 臺服務(wù)器，接入數(shù)據(jù)中心核心交換機(jī)。在安全性方面，通過防火墻實(shí)現(xiàn)系統(tǒng)的安全訪問控制；在數(shù)據(jù)采集方面，各網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備配置數(shù)據(jù)采集功能供安全基線合規(guī)系統(tǒng)進(jìn)行數(shù)據(jù)抽取并統(tǒng)一分析展示。其典型硬件架構(gòu)如圖3所示。

3.7 安全量化管理系統(tǒng)管理應(yīng)用

該系統(tǒng)建立在業(yè)務(wù)系統(tǒng)的安全評估和基線梳理基礎(chǔ)上。在了解組織資產(chǎn)現(xiàn)狀的基礎(chǔ)上，梳理軟件、硬件資產(chǎn)屬性，建立基線核查基礎(chǔ)臺賬數(shù)據(jù)，協(xié)同業(yè)務(wù)、研發(fā)、運(yùn)行等環(huán)節(jié)管理者討論指定符合網(wǎng)絡(luò)安全管理的合理化、實(shí)用化標(biāo)準(zhǔn)和管理制度，各環(huán)節(jié)管理者一體化運(yùn)作。

安全量化評估需明確基線的訂制、實(shí)施、評審責(zé)任，利用該系統(tǒng)進(jìn)行全方位基線檢測。網(wǎng)絡(luò)安全管理機(jī)構(gòu)全方位管控基線問題整改，將實(shí)施情況和實(shí)施效果進(jìn)行通報(bào)，提高安全基線問題整改落實(shí)的效果。

安全基線庫是針對信息系統(tǒng)而建立的包含漏洞、軟件版本、安全配置等方面的詳細(xì)要求，是安全框架和標(biāo)準(zhǔn)[3]，為安全管理、操作提供基礎(chǔ)支撐。主要包括新系統(tǒng)上線前第三方安全檢查、系統(tǒng)上線前安全檢查、安全合規(guī)性檢查、日常排查、等保檢查等。通過對系統(tǒng)進(jìn)行安全合規(guī)檢查，找出系統(tǒng)安全脆弱點(diǎn)，有針對性地開展安全管理，實(shí)施安全措施，控制安全風(fēng)險(xiǎn)。

3.8 安全量化管理系統(tǒng)檢查實(shí)施

利用該系統(tǒng)開展安全檢查，針對服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、軟件和容器的配置進(jìn)行安全檢測，并提供檢測結(jié)果說明和加固建議，用以支撐系統(tǒng)安全加固，降低入侵風(fēng)險(xiǎn)并滿足安全合規(guī)要求。

在量化脆弱性時(shí)，要考慮各信息系統(tǒng)、設(shè)備的差異化，功能應(yīng)用不同，安全要求也不同；相同系統(tǒng)，在不同的應(yīng)用場景中，安全要求也要隨之改變。因此，對系統(tǒng)進(jìn)行評估時(shí)，需要與系統(tǒng)開發(fā)設(shè)計(jì)人員、系統(tǒng)管理員、系統(tǒng)運(yùn)維人員、網(wǎng)絡(luò)運(yùn)維人員、安全管理人員等對評估結(jié)果進(jìn)行核實(shí)確認(rèn)，針對反饋內(nèi)容，對基線庫條目進(jìn)行新增、刪除等操作，動態(tài)化調(diào)整保存到基線數(shù)據(jù)庫中，迭代式優(yōu)化完善，形成符合所屬行業(yè)、企業(yè)要求的標(biāo)準(zhǔn)。

4 應(yīng)用成果與創(chuàng)新點(diǎn)

信息安全基線是信息系統(tǒng)安全、穩(wěn)定運(yùn)行的基礎(chǔ)，對提高網(wǎng)絡(luò)和信息系統(tǒng)安全起到至關(guān)重要的作用，明確信息安全底線，做好安全管理合規(guī)，保障安全防線。

4.1 信息安全閉環(huán)管理

基于安全基線思想，分析ISO/IEC 27001《信息安全管理體系標(biāo)準(zhǔn)》，建立基于電力信息系統(tǒng)安全防護(hù)設(shè)計(jì)、建設(shè)、運(yùn)維、評估、應(yīng)急事件處置、監(jiān)督全過程管控的安全量化管理系統(tǒng)，實(shí)現(xiàn)電力信息系統(tǒng)安全防護(hù)全過程的管控；同時(shí)，創(chuàng)新地將安全基線與PDCA 結(jié)合并應(yīng)用到信息安全防護(hù)工作中，全流程閉環(huán)信息安全管控，提升電力行業(yè)信息安全防護(hù)水平。

4.2 面向業(yè)務(wù)的安全量化評估深化應(yīng)用

等級保護(hù)等應(yīng)用均是面向業(yè)務(wù)系統(tǒng)展開的，各業(yè)務(wù)系統(tǒng)的安全要素有共性亦有個(gè)性；安全量化管理系統(tǒng)則將個(gè)性化與共性化數(shù)據(jù)進(jìn)行量化，能直觀地展示對象的安全態(tài)勢。

4.3 自動化采集和分析

依據(jù)等級保護(hù)、各項(xiàng)規(guī)章制度建立基線庫模型，開展自動化采集和分析主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等系統(tǒng)關(guān)鍵環(huán)節(jié)數(shù)據(jù)，通過分析、統(tǒng)計(jì)，進(jìn)行統(tǒng)一直觀展示。

5 結(jié) 語

數(shù)字化轉(zhuǎn)型進(jìn)程正不斷加快，電力行業(yè)信息網(wǎng)絡(luò)安全問題不容忽視，必須建立企業(yè)網(wǎng)絡(luò)安全基線管理體系，常態(tài)化安全合規(guī)管理，迭代式安全基線排查加固，構(gòu)建網(wǎng)絡(luò)安全防線。