张晓东,刘 俊,夏 琨
(1.国网宁夏电力有限公司营销服务中心(计量中心),宁夏 银川 750021;2.国网宁夏电力有限公司信息通信公司,宁夏 银川 750001)
随着信息化建设与业务不断发展,网络规模日益扩大,其生产、业务支撑系统的网络结构也变得越来越复杂,各类IT 设备种类和数量不断增加,重要应用和服务器的数量及种类日益增多,安全管理问题日渐凸出。在信息系统建设、运维过程中,人们往往忽略了安全控制要求,人员误操作、采用默认配置等情况可能会成为网络攻击的突破点,会造成系统停运或数据丢失等不可估量的损失。因此,有必要多层级开展安全量化评估来实现对信息行业安全态势的感知,安全量化管理系统具有时效性强,展示统一、合理的特点,能够快速得到评估结果并进行风险预防及加固。
近年来,信息系统在电力领域的应用呈指数级增长,安全问题日益严峻,梳理资产信息、进行风险评估、分析汇总以及把控电力信息安全态势是提升安全水平的必要工作。目前,电力行业安全评估的主要问题如下文所述。
安全量化评估工作涉及面较广,主要包括设备安全、信息安全、数据安全、系统运行安全、工控安全等方面并持续扩大涉及面,在业务系统及主机、数据库、系统应用、安全设备、网络设备、用户终端等多个环节运行过程中,常以人工方式开展安全量化评估,但其工作量巨大,效率低,评估深度不足,存在部分风险点层面无法涉及的问题,存在真空区。
信息系统各层面安全评估内容不同,量化标准多样,结果量化差异大,结果分散、分片,没有一个统一的展示,可读性较差,非专业人士无法直接感知风险程度。
通过人力进行信息安全量化评估,标准把控难,无法做到深层次安全检查,周期长,结果准确度低,人力开展量化评估严重依赖评估人员的技能水平。
1999年,公安部组织起草了《计算机信息系统安全保护等级划分准则》,该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5 个等级[1]。
在国内运营商行业中,信息安全量化评估具有较大的相似性,目前在国际安全量化评估的研究领域,国内运营商已走在了前面,其制定了针对通用业务系统的安全框架,并且明确编写了设备级的安全规范。如《中国电信集团公司CTG-MBOSS 安全规范》,在框架和规范都具备的情况下,出现了安全基线管理的自动化工具,把规范与检查列表具象化、自动化,从而减少人的工作量,提高工作效率。基于业务系统的基线安全模型如图1所示。
安全基线是信息系统配置最基础的安全线,是系统安全稳定运行最基础的安全要求。安全与效益往往互相矛盾,通常面临安全投入高,但显性效益不明显的现象,因此,需要找到成本、投入与网络安全风险底线的平衡点,而安全基线则是这个平衡点,企业可以合理接受网络安全风险的分界线,企业在满足安全要求的同时,也能兼顾网络安全风险这一底线。
在企业信息方面,安全涉及面广,以业务的安全量化评估为基础,充分考虑信息行业的现状和行业最佳实践,基于国家等级保护、风险评估的经验成果,参考行业的量化评估研究思想,研究基于信息行业的业务系统基线的安全量化管理系统,以满足信息系统标准化评价和指导标准,规范电力行业信息安全防护评价措施,以评价结果为导向,为信息安全加固提供支撑,对各层次进行全方位迭代式加固,以提高电力信息系统安全防护水平。
安全量化管理系统对安全漏洞和安全配置进行全量检测及风险评估。
安全漏洞:是信息系统配置不到位、组件本身漏洞、代码设计缺陷等方面问题引起的安全风险,常见的漏洞包括:逻辑漏洞、信息泄露、结构化查询语言(Structured Query Language,SQL)注入、命令执行、拒绝攻击漏洞、蠕虫后门等,都是系统自身的安全风险,反映了其安全脆弱性。
安全配置:是采用了默认配置或人为疏忽因素,造成系统限制宽松,导致的安全风险;主要包括账号、登录限制、口令复杂度、日志记录等方面内容;也反映了系统安全脆弱性;安全配置和系统应用是相关的,安全配置需要与实际业务相匹配,既不能过于严苛影响系统使用或者运行,也不能过于宽松,而带来安全风险[2]。
基于电力行业信息系统安全现状及评估内容的定位,将安全基线合规管理系统分为8 个功能模块,包括安全态势视图、 安全管控、安全监测、安全合规、资产管理、基线管理、系统管理和基线采集。安全基线合规系统整体功能架构如图2所示。
安全基线合规管理系统的设计遵循并考虑了应用完整性、横向整合、架构柔性原则,研究分析系统的业务范围及应用集成关系,合理切分系统功能界面,减少系统应用集成对业务流程的割裂等方面。其核心模块为基线采集,依据网络设备基线库、主机设备基线库、应用系统基线库和数据库基线库等基线库,对安全监测对象开展动态的安全数据采集并进行预处理,采集对象包括主机系统、数据库系统、网络设备、中间件等,采集数据类型包括状态信息、性能信息及配置信息;资产管理、基线管理和系统管理负责系统基础数据的维护;安全管控、安全监测、安全合规负责安全运行状态监测和安全工作流程管控;安全态势视图负责各方面安全态势数据统计分析及展示。
安全量化管理系统服务的对象为安全运维人员与安全管理人员。系统业务分为上层业务和基础业务,其中,上层业务包括安全管控、安全监测、安全合规和安全态势视图4类,基础业务包括资产管理、基线管理和系统管理3 类。
系统以“计划、执行、检查、处理”(PDCA)的闭环管理为主线,对信息安全各阶段的工作提供支撑。
计划:计划阶段的支撑业务包括安全管控类业务中的安全公告,安全管理人员通过安全公告进行工作计划、任务下发。
执行:执行阶段的支撑业务包括安全合规类业务和安全监测类业务,面向安全运维人员的服务内容包括等级保护、风险评估、基线评估,及各类安全配置和事件的监测,以发现安全漏洞和隐患。
检查:检查阶段的支撑业务包括安全管控类业务中的安全问题追踪、风险管理,面向安全管理人员的服务内容包括安全问题和风险消缺情况追踪。
处理:处理阶段的支撑业务包括安全监测类业务中的告警处理,面向安全运维人员的服务内容包括对发现的安全问题的处理情况。
安全基线系统的基础业务为基础数据、策略数据、配置数据等系统运行关键数据提供了维护。
业务数据包括资源类数据、管理类数据、安全管控类数据、安全监测类数据、安全合规类数据和统计分析类数据6 类。
资源类数据是安全系统各业务实施的基础,包括自动发现的数据、人工维护的数据、外部系统获得的数据。资源类数据根据资源对象类型分为主机资源、数据库资源、网络设备资源、安全设备资源、中间件资源、应用系统资源、物理机房资源、安全制度资源、安全人员资源等。
管理类数据是安全量化管理系统各业务实施的指导性数据,包括基线库数据、安全知识库数据。基线库数据指安全基线标准及落地的基线指标采集技术策略,安全合规判定技术策略及相应的安全建议;安全知识库数据指等级保护、风险评估等国家和公司下发的各项安全制度、规范和标准。
安全管控类数据是安全管控类业务数据,包括安全问题管理数据、风险管理数据、安全考核数据及公告数据等,对各项安全工作流程进行记录和维护。
安全监测类数据是安全量化管理系统安全监测类业务的业务数据,包括安全告警数据、安全事件数据、安全督查数据、安全漏洞数据、渗透测试数据等,实时反映各业务系统的安全状况,也为上层统计分析提供安全监测基础数据。
安全合规类数据是系统安全合规类业务数据,包括等级保护数据、风险评估数据、基线评估数据等,反映根据各项安全标准进行安全评价的结果,为上层统计分析提供安全合规基础数据。
统计分析类数据是基于安全管控、安全监测、安全合规类数据的统计分析数据,是安全量化管理系统可视化的主要数据来源,包括关联分析数据、报表数据、等保合规视图数据、风险评估视图数据、告警视图数据、问题追踪视图数据、推送指标数据等。
系统主要实现对IT 资产配置,漏洞、风险的采集与自动化合规,及时发现IT 资产对象存在的安全隐患与风险,提供整改建议。结合《信息系统安全等级保护定级指南》,信息安全防护需求如下文所述。
采用HTTPS 进行交互,确保数据传输过程的保密性,采用用户名+口令+动态验证码的方式防止口令暴力猜解;自动验证用户口令复杂度,强制用户首次登录系统必须修改初始口令,防止默认口令和弱口令的存在。
限制上传可执行文件、程序、图片、代码等风险数据,对“;、/、?、‘、<、>”等特殊字符进行过滤或转换,防止SQL 注入、跨站脚本等恶意攻击。
根据业务需求和最小权限原则,设定不同的角色和权限,防止保密或受限数据的非法访问。在敏感数据(如口令、关键业务系统数据)存储过程中,采用加密技术进行加密,确保数据存储安全。
提供覆盖每个用户的安全审计功能,对应用系统的用户登录、用户退出、操作等重要安全事件进行审计,配置独立的审计进程,保证审计记录无法被删除、修改或覆盖,维护审计活动的完整性。
系统自动定期备份数据,并采用加密技术进行加密存储。安全基线合规系统配备独立的采集引擎,仅读取资产对象配置信息,不安装任何程序且不产生残留文件。
为避免影响其他业务系统正常运行,系统提供扫描周期与阈值设置功能,用户可根据自身网络带宽和业务系统繁忙程度自定义设置扫描周期和阈值。
按照电力信息二次系统防护原则,该系统通过部署2 台集群数据库和2 台服务器,接入数据中心核心交换机。在安全性方面,通过防火墙实现系统的安全访问控制;在数据采集方面,各网络设备、主机设备配置数据采集功能供安全基线合规系统进行数据抽取并统一分析展示。其典型硬件架构如图3所示。
该系统建立在业务系统的安全评估和基线梳理基础上。在了解组织资产现状的基础上,梳理软件、硬件资产属性,建立基线核查基础台账数据,协同业务、研发、运行等环节管理者讨论指定符合网络安全管理的合理化、实用化标准和管理制度,各环节管理者一体化运作。
安全量化评估需明确基线的订制、实施、评审责任,利用该系统进行全方位基线检测。网络安全管理机构全方位管控基线问题整改,将实施情况和实施效果进行通报,提高安全基线问题整改落实的效果。
安全基线库是针对信息系统而建立的包含漏洞、软件版本、安全配置等方面的详细要求,是安全框架和标准[3],为安全管理、操作提供基础支撑。主要包括新系统上线前第三方安全检查、系统上线前安全检查、安全合规性检查、日常排查、等保检查等。通过对系统进行安全合规检查,找出系统安全脆弱点,有针对性地开展安全管理,实施安全措施,控制安全风险。
利用该系统开展安全检查,针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议,用以支撑系统安全加固,降低入侵风险并满足安全合规要求。
在量化脆弱性时,要考虑各信息系统、设备的差异化,功能应用不同,安全要求也不同;相同系统,在不同的应用场景中,安全要求也要随之改变。因此,对系统进行评估时,需要与系统开发设计人员、系统管理员、系统运维人员、网络运维人员、安全管理人员等对评估结果进行核实确认,针对反馈内容,对基线库条目进行新增、删除等操作,动态化调整保存到基线数据库中,迭代式优化完善,形成符合所属行业、企业要求的标准。
信息安全基线是信息系统安全、稳定运行的基础,对提高网络和信息系统安全起到至关重要的作用,明确信息安全底线,做好安全管理合规,保障安全防线。
基于安全基线思想,分析ISO/IEC 27001《信息安全管理体系标准》,建立基于电力信息系统安全防护设计、建设、运维、评估、应急事件处置、监督全过程管控的安全量化管理系统,实现电力信息系统安全防护全过程的管控;同时,创新地将安全基线与PDCA 结合并应用到信息安全防护工作中,全流程闭环信息安全管控,提升电力行业信息安全防护水平。
等级保护等应用均是面向业务系统展开的,各业务系统的安全要素有共性亦有个性;安全量化管理系统则将个性化与共性化数据进行量化,能直观地展示对象的安全态势。
依据等级保护、各项规章制度建立基线库模型,开展自动化采集和分析主机、数据库、网络设备等系统关键环节数据,通过分析、统计,进行统一直观展示。
数字化转型进程正不断加快,电力行业信息网络安全问题不容忽视,必须建立企业网络安全基线管理体系,常态化安全合规管理,迭代式安全基线排查加固,构建网络安全防线。