電力版安全基線配置核查系統(tǒng)技術方案

電力

安全配置核查服務處理方案

2023年月

目錄

一.背景.............................................................錯誤!未定義書簽。

二.需求分析.........................................................錯誤!未定義書簽。

二.安全基線研究.....................................................錯誤!未定義書簽。

四.安全基線的建立和應用...........................................錯誤!未定義書簽。

五.項目概述.......................................................錯誤!未定義書簽。

六.處理方案提議...................................................錯誤!未定義書簽。

6.1組網布署......................................................錯誤!未定義書簽。

6.2產品特色功能..................................................錯誤!未定義書簽。

七.支持型安全服務.................................................錯誤!未定義書簽。

7.1安全預警......................................................錯誤!未定義書簽。

7.2安全加固......................................................錯誤!未定義書簽。

7.3安全職守......................................................錯誤!未定義書簽。

7.4安全培訓......................................................錯誤!未定義書簽。

八.方案總結和展望.................................................錯誤!未定義書簽。

一.背景

近年來，從中央到地方各級政府H勺平常政務、以及各行業(yè)企業(yè)的業(yè)務開展對IT系統(tǒng)依賴

度的不停增強，信息系統(tǒng)運維人員的安全意識和安全技能也在逐漸提高。最直接的體現(xiàn)為一

一老式以安全事件和新興安全技術為重要驅動的安全建設模式，已經逐漸演進為以業(yè)務安全

需求為重要驅動的積極式安全建設模式。從經典的信息安全建設過程來看，是由業(yè)務需求導

出的安全需求在驅動著安全建設的全過程。

而怎樣獲取精確全面的安全需求以指導未來的安全建設并為業(yè)務發(fā)展服務，怎樣建立一

套行之有效的風險控制與管理手段，是每一種信息化主管所面臨的共同挑戰(zhàn)。

伴隨電力行業(yè)科技創(chuàng)新能力的I日益提高，業(yè)務應用日勺日趨豐富，電力行業(yè)業(yè)務的開拓越

來越依托于IT技術的）進步：電力的發(fā)展對信息系統(tǒng)的依賴程度不停增強，對電力信息系統(tǒng)安

全建設模式提出了更高更多的規(guī)定，信息安全建設工作已經是電力信息化建設中的重要內容,

安全基線建設就是電力信息安全建設中一項新的舉措和嘗試。

在電力行業(yè)里，各類道信和IT設備采用通用操作系統(tǒng)、數(shù)據(jù)庫，及各類設備間越米越多

的使用IP協(xié)議進行通信，其網絡安全問題更為凸出。為了維持電力的通信網、業(yè)務系統(tǒng)和支

撐系統(tǒng)設備安全，必須從入網測試、工程驗收和運行維護等，設備全生命周期各個階段加強

和貫徹安全規(guī)定。需要有一種方式進行風險的控制和管理。本技術方案將以安全基線建設為

例，系統(tǒng)簡介安全基線建設在電力信息安全建設工作中的設計與應用

也許帶來非常多的安全隱患，因此對安全配置進行有效II勺檢查和加固成為整體安全體系建設

中的重要一-環(huán)。（安全漏洞和異常事件方面本文不做討論）

三.安全基線研究

針對顧客需求，可以采用安全基線日勺思想進行風險的控制和管理。

顧名思義，“安全基線”概念借用了老式的“基線”概念。字典上對“基線”口勺解釋是：

一種在測量、計算或定位中的基本參照。如海岸基線，是水位抵:^的水位線。類比于“木桶理

論”，可以認為安全基線是安全木桶的最短板，或者說，是最基本R勺安全規(guī)定。

假如我們將企業(yè)信息系統(tǒng)建立安全基線，如對每個網元、應用系統(tǒng)都定義安全基準點，

即設定滿足最基本安全規(guī)定的條件，并在設備入網測試、工程驗收和運行維護等設備全生命

周期各個階段加強和貫徹安全基線規(guī)定，則可以進行風險的度量，做到風臉可控可管。

怎樣設計一整套適合政企自身業(yè)務特點的安全基線模型呢？我們可參照國內外的成功經

驗，同步結合某些行業(yè)的風險控制手段，就可以設計出針對業(yè)務系統(tǒng)的基線安全模型。在這

些參照內容中，最值得借鑒W、J是美國FISMA（TheFederalInformationSecurityManagement

Act,聯(lián)邦信息安全管理法案）W、J實行和落地過程。

FISMA定義了一種廣泛的框架來保護政府信息、操作和財產來免于自然以及人為的威脅。

FISMA在2023年成為美國電子政府法律II勺一部分，把責任分派到多種各樣的機構上來保證

聯(lián)邦政府的數(shù)據(jù)安全。其提出了一種包括八個環(huán)節(jié)的信息安全生命周期模型，這個模型的執(zhí)

行過程波及面非常廣泛且全面，但實行、落地的難度也非常大。而后由NIST（美國國標技術

研究院）牽頭針對其中的技術安全問題提出了一套自動化的計劃稱為ISAP（Information

securityautomationprogram）來增進FISMA的執(zhí)行，ISAP出來后延伸出SCAP協(xié)議（Security

ContentAutomationProtocol）,該協(xié)議通過明確口勺、原則化歐I模式使得漏洞管理、安全監(jiān)測

和政策符合性與FISMA規(guī)定一致。SCAP協(xié)議由CVE、CCE、CPE、XCCDF、OVAL、OVSS

等6個支撐原則構成，即定義了一套安全基線庫。由此SCAP框架就實現(xiàn)了原則化和自動化，

形成了一套針對系統(tǒng)的安全檢查基線，得以將FISMA的信息安全生命周期模型進行落地。

FISMA規(guī)范

HighLevelGeneralizedInformationSecurityRequirements

規(guī)范涉及的標準和處理流程

FIPS199:InformationSystemSecurityCategorization

FIPS200:MinimumInformationSecurityRequirement

■■■

管理層面技術層面運維層面

安全控制措施安全控制措施安全控制措備

.

信息系統(tǒng)安全配置

NIST.NSA.DISA.Vendors.ThirdParties(e.g..CIS)Checklists

andImplementationGuidance

圖1FISMA遵從模型

簡言之SCAP體現(xiàn)了三個方面的特性：

1.可操作性：通過SCAP明確日勺提出了應當貫穿風險管理的規(guī)定和措施，通過技術與

管理兩方面的J手段，將體系化的J指導思想進行落地。

2.原則化：在NVD、NCP的基礎上，構建了一套針對桌面系統(tǒng)的安全基線（檢查項），

這些檢查項由安全漏洞、安全配置等有關檢查內容構成，為原則化口勺技術安全操作

提供了框架。

3.自動化：針對桌面系統(tǒng)II勺特性，采用原則化U勺檢查內容和檢查措施，通過自動化II勺

工具來執(zhí)行，為自動化的技術安全操作提供支持。

借鑒FISMA的實行和落地過程，在基于業(yè)務的I安全評估的J基礎上，構建出基于業(yè)務系統(tǒng)

小J安全基線模型。該模型圍繞承載業(yè)務及數(shù)據(jù)的安全需求，建立一種覆蓋企業(yè)的業(yè)務體系、

應用體系和IT基礎設施口勺多層次的安全系統(tǒng)架構，從而指導企業(yè)日勺風險控制與管理。

圖2安全基線模型

安全基線模型以業(yè)務系統(tǒng)為關鍵，分為業(yè)務層、功能架構層、系統(tǒng)實現(xiàn)層三層架構：

1.第一層是業(yè)務層，這個層面中重要是根據(jù)不一樣業(yè)務系統(tǒng)的特性，定義不一樣安全

防護的規(guī)定，是一種比較宏觀的規(guī)定。形成基于某業(yè)務系統(tǒng)的風險管理系統(tǒng)。

2.第二層是功能架構層，將業(yè)務系統(tǒng)分解為相對應的應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、

網絡設備、安全設備等不一樣口勺設備和系統(tǒng)類型，這些設備類型針對業(yè)務層定義的

安全防護規(guī)定細化為此層不一樣模塊應當具有的規(guī)定。即在技術手段上實現(xiàn)脆弱性、

安全方略以及重要信息的I監(jiān)控。

3.第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務系統(tǒng)的特性深入分解，找到基準安全

配置項和重要方略文獻等，即建立安全基線弱點車。如將操作系統(tǒng)可分解為Windows.

Linux等詳細系統(tǒng)模塊。這些模塊中又詳細時把第二層日勺安全防護規(guī)定細化到可執(zhí)行

和實現(xiàn)H勺規(guī)定，稱為該業(yè)務系統(tǒng)歐JWindows安全基線、Linux安全基線等網元日勺安

全基線。

下面以近期關注度比較高的WEB網站安全為例對模型的應用進行闡明：

首先WEB網站要對公眾顧客提供服務，存在互聯(lián)網的接口，那么就會受到互聯(lián)網中多種

襲擊威肋、導致例如網頁內容篡改、網站掛馬等成果。在第一層業(yè)務需求中就定義需要防備

網頁內容篡改、網站掛馬的規(guī)定。而這些防護規(guī)定對于功能架構層的WEBServer、操作系統(tǒng)、

安全設備等都存在也許的影響，因此在這些不一樣H勺模塊中需要定義相對應日勺防備規(guī)定。而

針對這些防備規(guī)定，怎樣來實現(xiàn)呢？這就需要定義全面、有效的第三層模塊規(guī)定了。第三層

中就是根據(jù)WEB應用的承載系統(tǒng)，針對多種安全威脅在不一樣口勺模塊定義不一樣H勺防護規(guī)定,

這些不一樣模塊的防護規(guī)定就統(tǒng)一稱為該WEB網站口勺安全基線。針對該WEB網站安全基線

的檢杳，就可以轉化為針對WEBServer、承載系統(tǒng)等日勺脆弱性檢查上面。

U!安全基線的建立和應用

首先根據(jù)企業(yè)狀況，建立一套本組織在目前時期的“理想化安全水平基準點”，即“安

全基線”。這個“安全基線”可以同步包括政策合規(guī)性U勺需求、自身的安全建設發(fā)展需求、

特殊時期的安全保障需求等，然后通過某些手段（例如自動化的評估工具）對組織既有的安

全水平進行分析?。通過對比“理想化安全水平基準點”，就形成了一套差距分析結論。企業(yè)

自身針對這個差距進行適時監(jiān)測、確認和跟蹤即可，對任何違規(guī)狀況進行預警或通報，提出

“補足差距”日勺提議方案；而這個“理想安全水平基準點”就是該組織日勺最優(yōu)安全狀態(tài)。追

求規(guī)避所有風險也是不現(xiàn)實的，信息系統(tǒng)在到達基線水平之后，部分風險自然會被轉移或減

少。這樣便可以實現(xiàn)持續(xù)定義安全基線，持續(xù)監(jiān)管和持續(xù)改善，可以使每一時期每一階段的

安全水平都是可控的。同步，搜集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進行風險的度量，輸出結合

政策法規(guī)規(guī)定H勺風險報表。

系統(tǒng)上線

周

期

性

檢

測

圖3安全基線控制圖

“人疏忽

錯誤的配置

,自身問題

漏洞、BUG等

圖4基線安全H勺應用

應用第三層面安全基線的規(guī)定，可以對目的業(yè)務系統(tǒng)展開合規(guī)性安全檢查，以找出不符

合的項，并選擇和實行安全措施來控制安全風險。

1.安全配置：一般都是由于人為的疏忽導致，重要包括了賬號、口令、授權、日志、IP

通信等方面內容，反應了系統(tǒng)自身的安全脆弱性。安全配置方面與系統(tǒng)的有關性非

常大，同?種配置項在不?樣業(yè)務環(huán)境中的安全配置規(guī)定是不?樣樣日勺，如在WEB

系統(tǒng)邊界防火墻中需要啟動通信，但一種WAP網關邊界就沒有這樣口勺需求，因

此在設計業(yè)務系統(tǒng)安全基線口勺時候，安全配置是一種關注的重點。

2.安全漏洞：一般是系統(tǒng)自身日勺問題引起的安全風險，一般包括了登錄漏洞、拒絕服

務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外狀況處置錯誤等，反應了系統(tǒng)自

身的安全脆弱性。

業(yè)務系統(tǒng)H勺安全基線建立起來之后，將形成針對不一樣系統(tǒng)的詳細Checklist表格和操作

指南，為原則化IJ勺技術安全操作提供了框架和原則。其應用范圍非常廣泛，重要包括新業(yè)務

系統(tǒng)的上線安全檢查、第三方入網安全檢查、合規(guī)安全檢查（上級檢查）、平常安全檢查等。

五.項目概述

目前，防火墻、防病毒軟件等老式的安全管理工具在老式的信息安全建設領域發(fā)揮了重

要作用，但怎樣防止安全產品各自為戰(zhàn)，將安全建設整體劃一、形成合力仍是信息安全建設

過程中需要關注的問題。

近年來，**供電企業(yè)在信息系統(tǒng)、網絡設備的安全管理上管理內容不停拓寬，管理力度不

停加大，布署了防火墻、入侵防御、防病毒等等一系列的安全產品，安裝的時間不一樣，缺

乏統(tǒng)一的安全原則和配置規(guī)范，服務器口勺安全管理上扔存在安全隱患。安全配置核查系統(tǒng)，

是**供電企業(yè)對網絡設備，信息系統(tǒng)服務進行橫向的安全評估和管理，通過度析業(yè)務網信息系

統(tǒng)實際現(xiàn)實狀況和面臨風險的不一樣來源，制定針對不一樣系統(tǒng)的詳細檢查表格和操作指南,

建立統(tǒng)一的服務器、網絡設備、數(shù)據(jù)庫和應用系統(tǒng)安全配置規(guī)范，形成**供電企業(yè)業(yè)務網安全

基線，為此后企業(yè)設備入網、系統(tǒng)驗收、平常維護及安全核查工作提供可參照的統(tǒng)一原則和

規(guī)范。

綠盟安全配置核查系統(tǒng)，重要實現(xiàn)集中自動化H勺對企業(yè)的J路由器、數(shù)據(jù)庫、主機系統(tǒng)等

設備的配置進行安全檢查，檢查后自動生成符合狀況匯報，并對不符合項提出詳細的J改善方

案。

支持型安全服務，重要提供安全預警、安全加固、安全征詢等專業(yè)安全服務，為**供電企

業(yè)提供完善日勺網絡設備安全風險管理，提高移動各中心市新業(yè)務系統(tǒng)上線、第三方系統(tǒng)接入

和平常安全運維檢查和加固的實際效果，有效減少安全風險的發(fā)生概率。

六.處理方案提議

基于**供電企業(yè)目前的網絡系統(tǒng)現(xiàn)實狀況和組織構造，計劃采用多套硬件版綠盟安全配置

核查系統(tǒng)布署在網管中心、新業(yè)務開發(fā)中心和業(yè)務支撐中心內，實現(xiàn)分權分區(qū)自動化的配置

安全核查。同步，為了實現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置安全核查，以及滿足便

攜配置安全核查H勺規(guī)定，用作統(tǒng)一口勺數(shù)據(jù)搜集和管理.

安全配置核查建設充足考慮電力信息安全的現(xiàn)實狀況和電力行業(yè)最佳實踐，同步參照了

電監(jiān)會、國家經貿委和國家電網等監(jiān)管部門下發(fā)的安全政策文獻，繼承和吸取了國家絳級保

護、風險評估II勺經驗成果，構建出基于業(yè)務的基線安全模型（如下圖）。

通過該方案日勺布署實行，形成各中心設備配置安全核查數(shù)據(jù)的匯總與分析能力。通過度

析處理匯總日勺核查數(shù)據(jù)，形成全面日勺安全配置現(xiàn)實狀況，利于有效運用資源，處理關鍵問題，

減少系統(tǒng)的脆弱性，提高抗風險的能力。同步，也能周期性的根據(jù)集團企業(yè)H勺“安仝運維規(guī)

定”進行合規(guī)檢杳，增進集團安全檢杳口勺成果。

6.1組網布署

網管中心

圖6配置安全核查系統(tǒng)布署示意圖

配置安全核查系統(tǒng)的組網模式比較簡樸，可以將其旁路布署在既有網絡中。管理員通過

WEB頁面登錄系統(tǒng)下達核查任務，檢查任務既可以遠程次行也可以當?shù)貓?zhí)行。遠程執(zhí)行，通

過Telnet、SMB、SSH等形式看待查設備進行配置安全核查，需要保證網絡IP可達，并提供

待查設備的管理帳戶和口令；當?shù)貓?zhí)行，對于網絡中不便進行遠程核查的目的系統(tǒng)（Windows

系統(tǒng)），提供配套日勺自動化程序，可執(zhí)行程序在待杳設備當?shù)貓?zhí)行后生成報表文獻，然后導

入到配置安全核查系統(tǒng)中進行匯總和分析。

綠盟安全配置核查系統(tǒng)的應用非常靈活，只要待查設備為支持范圍內的網絡設備、主機

系統(tǒng)等都可以自動化的進行安全配置檢查，就重要的應用狀況來看，重要有如下幾種應用：

1.平常運維核查，對既有正在運行的系統(tǒng)設備進行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。

2.新上線系統(tǒng)核查，在新布署的系統(tǒng)設備上線之前進行必要的配置安全檢查，提前發(fā)

現(xiàn)配置漏洞和錯誤。

3.第三方接入核查，對接入移動系統(tǒng)的第三方設備進行配置檢杳，提前發(fā)現(xiàn)配置漏洞

和錯誤。

重大事件前核查，在重大社會活動、集團安全巡檢等事件前期，對重點設備、系統(tǒng)進行

配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯誤。

6.2產品特色功能

建立安全基線，貫徹風險控制規(guī)定

通過NSFOCUSBVS對重要信息系統(tǒng)建立安全配置基線，將業(yè)務的安全需求轉換為對網

元設備的詳細技術規(guī)定進行貫徹。NSFCUSBVS為管理者的定量觀點與安全專家所采用的

詳細檢測措施之間架設了橋梁，通過建'Z業(yè)務系統(tǒng)日勺安全配置基線，以實現(xiàn)業(yè)務系統(tǒng)的安全

風險度量，讓安全風險可挖、可管。

基于實踐的安全配置知識庫

NSFOCUSRSAS系統(tǒng)日勺安全配置庫來源于綠盟科技數(shù)年安全服務的執(zhí)著實踐，每?條

安全配置都是綠盟科技安全服務團體的數(shù)年評估服務的結晶。

該知識庫內容涵蓋了操作系統(tǒng)、網絡設備、數(shù)據(jù)庫、中間件等多類設備及系統(tǒng)的安全配

置加固提議，通過該知識庫可以全面日勺指導IT信息系統(tǒng)的安全配置及加固工作。并且根據(jù)IT

信息系統(tǒng)的不停發(fā)展持續(xù)進行更新。

多類型設備自動化的I安全配置核查

可以根據(jù)安全配置知識庫的規(guī)定，判斷待查設備11勺檢查項目達標與否，支持百分制對目

的系統(tǒng)的達標狀況進行打分。

既有綠盟安全配置核查系統(tǒng)歐I檢查對象涵蓋了：WindowsXP/2023Server中英文版本操

作系統(tǒng)、Solaris8/9/10中英文版本操作系統(tǒng)、AIX5.X操作系統(tǒng)、Linux操作系統(tǒng)、Oracle

8i/9i/10g數(shù)據(jù)庫、Informix數(shù)據(jù)庫、思科網絡設備、華為網絡設備、Juniper網絡設備。檢查

的）內容包括四個部分，分類如下：

1.賬號管理、認證和授權（賬號、口令和授權）

2.日志配置操作

3.IP協(xié)議安全配置操作

4.設備其他配置操作

集中自動化的配置安全核查

運用遠程核查與當?shù)睾瞬橄嘟Y合的方式，在多種復雜應用環(huán)境下均可實現(xiàn)自動化的大規(guī)

模性安全配置檢查。

&Query?;

伯圮我取

圖7系統(tǒng)工作圖

1.通過“遠程登錄探測”功能，可以完全模擬人進行遠程登錄FW勺設備以進行安全配

置檢測，不會對目11勺設備正常運行導致任何影響。

2.對隔離設備等特定使用環(huán)境，“當?shù)匕踩珯z測”功能可直接在目H勺主機上搜集對應

日勺安全配置信息，并可以將數(shù)據(jù)匯總到NSFOCUSBVS設備上進行統(tǒng)一日勺數(shù)據(jù)匯總

分析。

3.針對大多采用Windows終端的辦公網使用環(huán)境.可通過“ActiveX檢測”功能自動

的對所用終端進行檢測，并可進行統(tǒng)一數(shù)據(jù)分析。

多級多顧客分權使用

針對既有省移動的組織構造和網絡環(huán)境中，支持多級多顧客分權使用。多管理員使用配

置安全核查系統(tǒng)，對每個使用者可以設定其容許檢查日勺范闈，檢杳過程中不能對目的系統(tǒng)的）

配置進行任何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安

全核查的成果進行統(tǒng)一的查閱和分析。

全面靈活的報表功能

綜合運用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀理解單個

系統(tǒng)的問題分布及危害，還可同步掌握多種不一樣省、市企業(yè)、業(yè)務系統(tǒng)的綜合風險變化狀

況，從而最終做出安全對比評估。可為網絡安全狀況H勺評估和未來網絡建設提供了強有力的

決策支撐。

圖8報表輸出圖

根據(jù)不一樣閱讀人員的需要生成多種自定義匯報，提供所需的有關數(shù)據(jù)，從多種視角反

應網絡的整體配置安全狀況?？蓪Σ灰粯拥臋z查點，定義不一樣的風險分值，對不安全配置

分布、危害、平均符合度、設備信息等多視角進行細粒度的記錄分析，生成基于不一樣角色、

不一樣內容和不一樣格式的報表。

配置加固指南

針對每一條不符合規(guī)范的配置項，綠盟安全配置核查系統(tǒng)提供了詳細的配置安全加固指

南。加固指南切合詳細的設備類型、系統(tǒng)版本，提出對應的執(zhí)行命令、參數(shù)供加固人員參照,

能有效歐I指導加固操作。

七.支持型安全服務

綠盟科技支持型安全服務以安全運維管理為關鍵，根據(jù)實際環(huán)境和需求進行服務的組合

及服務形式的調整，提供定期、不定期、實時等形式的服務。通過多種體現(xiàn)形式的安全服務，

在業(yè)務系統(tǒng)內部建立PDCA循環(huán)機制，實現(xiàn)對信息系統(tǒng)向整體安全運維保障。

本次項目中，通過綠盟科技支持型安全服務為移動提供配置安全核查系統(tǒng)上線后的安全

運維服務工作，為平常安全運維保障工作提供有效的支持服務。

7.1安全預警

目前.，信息安全問題正以每周新增兒卜甚?至兒白例的速度在全世界得到