探讨信息安全基线管理理论在电力企业中与应用
最后更新时间:2024-03-07
作者:用户投稿
本站原创
点赞:14830
浏览:60410
本站原创
点赞:14830
浏览:60410
论文导读:
摘要:供电企业通过长期开展信息化建设,建立了一体化企业级信息集成平台,涵盖了生产、建设、营销、管理等各大业务系统,实现了信息纵向贯通、横向集成。随着企业信息化建设的推进,企业在信息网络、数据中心、业务系统以及安全防护建设过程中部署了大量的信息设备及系统。
关键词:信息安全 基线理论 策略
安全基线是新的IT业务保障与运维模式。相对于传统式安全建设的臃肿而繁重,基线式安全更加适度而可控。基线式安全是基于“适度安全”这样一个理念产生的。信息安全是一个相对的命题,只要有业务系统在运转,企业需要实用信息网络,就不可能做到绝对的安全。因此信息安全存在一个合适的度,这个度是成本和效益之间的平衡点,即不能为了效益最大而降低了安全成本,也不能确保安全而无限制的增加安全成本。
基准安全标准将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查等。
基线式安全在于事前测量短板、事中集约监管、事后调理改善;相对于传统安全机制可能隐含的“事前的疏忽、事中的短板、事后的风险损失”的连锁效应;“基线式安全”则通过测量与配平的手段强化防护水平,并基于此提升合规性管理、评价考核和持续改善能力。
基线式安全保障体系建设包括两个过程和三个阶段:
第一阶段,定义目标与制订基线:测量企业所需的理想化安全建设目标与当前水平的差距,同时结合本地保障要求、业务特点和政策法规指引等因素,制订适用于本地的合理安全基线;它将确认安全建设程度、投资重点和持续保障水平;
第二阶段,试行与配平基线:新的安全基线是面向各级各类信息系统分别的“差异性和互补性的安全策略”,作为“维持电力系统稳健运转的一组最佳指标”,基线必须完全契合于各信息系统的保障要求,经过试行和评测后的基线将被落实应用,各类系统依据各自的基线信息安全基线管理理论在电力企业中的与应用由优秀论文网站www.7ctime.com提供,助您写好论文.指标被适度巩固的过程称之为“配平”,这一过程确保它们均达到“理想的安全水平”;
第三阶段,监控与维护基线:确保各类信息系统在运转周期中被针对性保护和持续保护,监控基线的应用情况将确保各系统“仍然保持于一个理想的安全运转水平”;然而,当出现最新的威胁/漏洞、敏感时期的特殊政策或保护要求、新系统的实用化运转或业务变动等情况时,可适时针对当前基线水平进行考核与微调。藉此形成持续改善的PDCA闭环;这一创意兼隐含了集约化监管、运维绩效评价考核的作用。
事实上,更多的安全焦点在乎疏于内控,而非系统漏洞或外部攻击;相对传统安全保障模式的臃肿而繁重,基线模式更加适度和可控。基线是“维持电力系统稳定运转的一组最佳指标”,即是“一个IT业务节点上线时理应具备的安全水平”。制订和补偿这一水平可能带来新的采购,然而多数时候只是调节安全配置和策略、优化制度体系即可。
2.
我们从FDCC项目可以看到,FDCC的目标是在美国联邦政府的几十万台终端计算机上部署整合了安全配置的标准桌面操作系统,以减少联邦计算机中的安全漏洞和非法配置,同时降低采购和运转成本。这一项目最早是在美国空军内部进行,美国空军在数个信息安全组织的帮助下,创建了两种流行Windows操作系统的标准配置,然后在采购中确保所有相关的计算机供应商在配送终端计算机时必须安装安全配置。这一举措获得了很大的成功,通过使用标准安全配置,不仅证明了这种标准安全配置方式能够改善总体安全状态,同时大幅降低了联邦计算机的安全运营成本。
安全漏洞:通常是系统自身的理由引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
业务系统的安全配置库建立起来之后,将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查等。
2.
略库是基线检查工具的基础,是检查工具参考的标准。所以基线策略库的研究需要参考国内外安全配置的先进经验,指根据国家电网的业务安全要求,制定一系列安全配置核查的检查规范,并根据这些规范制定出山东省电力的信息安全基线策略库。基线核查策略库将会对供电企业中的网络设备、操作系统和数据库以及相关应用系统的安全配置要求进行定义。
基线策略库的研究内容主要包括、口令、授权、日志、IP地址以及其它方面的内容。这些内容涉及国家电网的检查内容以及可能会影响设备或系统安全性的方面,比如口令的复杂性,存活期、历史口令、口令修改、口令存放等方面的内容。规范中的配置核查部分明确了设备的基本配置安全要求,为在设备入网测试、工程验收和设备运转维护环节明确相关安全要求提供指南。
3.结论
通过实施信息安全基线管理,建立符合供电企业信息安全特点的“基线式安全保障体系”模型,研发信息安全基线检查技术和产品,通过差距分析、建立基线、执行与监控基线、维护基线的过程,进而合理维护供电企业的信息安全保障水平,确保在任意时期的风险制约水平可控、合规性水平可控。
摘要:供电企业通过长期开展信息化建设,建立了一体化企业级信息集成平台,涵盖了生产、建设、营销、管理等各大业务系统,实现了信息纵向贯通、横向集成。随着企业信息化建设的推进,企业在信息网络、数据中心、业务系统以及安全防护建设过程中部署了大量的信息设备及系统。
关键词:信息安全 基线理论 策略
1.信息安全基线理论
所谓的信息安全基线,是在诸多信息安全标准规范中规定的一组安全制约措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的信息安全需求,能使系统达到一定的信息安全防护水平。安全基线是新的IT业务保障与运维模式。相对于传统式安全建设的臃肿而繁重,基线式安全更加适度而可控。基线式安全是基于“适度安全”这样一个理念产生的。信息安全是一个相对的命题,只要有业务系统在运转,企业需要实用信息网络,就不可能做到绝对的安全。因此信息安全存在一个合适的度,这个度是成本和效益之间的平衡点,即不能为了效益最大而降低了安全成本,也不能确保安全而无限制的增加安全成本。
基准安全标准将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查等。
2.信息安全基线管理主要做法
2.1构建安全基线保障体系
2.1.1基线式安全保障体系
“基线式安全”由一套分析模板、一组中立性的工具集、一个轻量级的监管平台实现。基线的测量与制订将协助信息运维人员及时发现那些疏于防范的环节,制订理想化的安全水平,并加以适度的配平和监控。基线式安全在于事前测量短板、事中集约监管、事后调理改善;相对于传统安全机制可能隐含的“事前的疏忽、事中的短板、事后的风险损失”的连锁效应;“基线式安全”则通过测量与配平的手段强化防护水平,并基于此提升合规性管理、评价考核和持续改善能力。
基线式安全保障体系建设包括两个过程和三个阶段:
第一阶段,定义目标与制订基线:测量企业所需的理想化安全建设目标与当前水平的差距,同时结合本地保障要求、业务特点和政策法规指引等因素,制订适用于本地的合理安全基线;它将确认安全建设程度、投资重点和持续保障水平;
第二阶段,试行与配平基线:新的安全基线是面向各级各类信息系统分别的“差异性和互补性的安全策略”,作为“维持电力系统稳健运转的一组最佳指标”,基线必须完全契合于各信息系统的保障要求,经过试行和评测后的基线将被落实应用,各类系统依据各自的基线信息安全基线管理理论在电力企业中的与应用由优秀论文网站www.7ctime.com提供,助您写好论文.指标被适度巩固的过程称之为“配平”,这一过程确保它们均达到“理想的安全水平”;
第三阶段,监控与维护基线:确保各类信息系统在运转周期中被针对性保护和持续保护,监控基线的应用情况将确保各系统“仍然保持于一个理想的安全运转水平”;然而,当出现最新的威胁/漏洞、敏感时期的特殊政策或保护要求、新系统的实用化运转或业务变动等情况时,可适时针对当前基线水平进行考核与微调。藉此形成持续改善的PDCA闭环;这一创意兼隐含了集约化监管、运维绩效评价考核的作用。
事实上,更多的安全焦点在乎疏于内控,而非系统漏洞或外部攻击;相对传统安全保障模式的臃肿而繁重,基线模式更加适度和可控。基线是“维持电力系统稳定运转的一组最佳指标”,即是“一个IT业务节点上线时理应具备的安全水平”。制订和补偿这一水平可能带来新的采购,然而多数时候只是调节安全配置和策略、优化制度体系即可。
2.
1.2安全基线模型设计
在研究和业务安全相结合的基准安全标准体系基础上,参考国内外的标准、规范,以及成熟经验形成一个针对业务系统的安全基线模型。我们从FDCC项目可以看到,FDCC的目标是在美国联邦政府的几十万台终端计算机上部署整合了安全配置的标准桌面操作系统,以减少联邦计算机中的安全漏洞和非法配置,同时降低采购和运转成本。这一项目最早是在美国空军内部进行,美国空军在数个信息安全组织的帮助下,创建了两种流行Windows操作系统的标准配置,然后在采购中确保所有相关的计算机供应商在配送终端计算机时必须安装安全配置。这一举措获得了很大的成功,通过使用标准安全配置,不仅证明了这种标准安全配置方式能够改善总体安全状态,同时大幅降低了联邦计算机的安全运营成本。
2.2建立基线核查策略库
2.1基线核查策略
安全配置:通常都是由于人为的疏忽造成,主要包括了、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,安全配置是一个关注的重点。安全漏洞:通常是系统自身的理由引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
业务系统的安全配置库建立起来之后,将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检查等。
2.
2.2建立基线核查策略库
建立信息安全基线核查策略库,内容上主要参考国际上主流的安全检查策略,并结合国网公司安全防护要求和应用系统等级保护的强度,以及国内设备、系统及应用环境的特殊性,开发一套适用于山东省电力的强制性系统安全差距与策略标准。首先从一些安全等级较低的信息系统或IT设备开始,并且逐步固定检查策略库的模板,搭建与信息所实际应用环境类似的模拟测试环境,对检查策略库进行严格的测试;然后根据前期确定的检查策略库模板开发后续系统及应用,保证其标准风格的统一性。2.3基线核查策略库内容
基线策论文导读:企业中的网络设备、操作系统和数据库以及相关应用系统的安全配置要求进行定义。基线策略库的研究内容主要包括、口令、授权、日志、IP地址以及其它方面的内容。这些内容涉及国家电网的检查内容以及可能会影响设备或系统安全性的方面,比如口令的复杂性,存活期、历史口令、口令修改、口令存放等方面的内容。规范中的配略库是基线检查工具的基础,是检查工具参考的标准。所以基线策略库的研究需要参考国内外安全配置的先进经验,指根据国家电网的业务安全要求,制定一系列安全配置核查的检查规范,并根据这些规范制定出山东省电力的信息安全基线策略库。基线核查策略库将会对供电企业中的网络设备、操作系统和数据库以及相关应用系统的安全配置要求进行定义。
基线策略库的研究内容主要包括、口令、授权、日志、IP地址以及其它方面的内容。这些内容涉及国家电网的检查内容以及可能会影响设备或系统安全性的方面,比如口令的复杂性,存活期、历史口令、口令修改、口令存放等方面的内容。规范中的配置核查部分明确了设备的基本配置安全要求,为在设备入网测试、工程验收和设备运转维护环节明确相关安全要求提供指南。
3.结论
通过实施信息安全基线管理,建立符合供电企业信息安全特点的“基线式安全保障体系”模型,研发信息安全基线检查技术和产品,通过差距分析、建立基线、执行与监控基线、维护基线的过程,进而合理维护供电企业的信息安全保障水平,确保在任意时期的风险制约水平可控、合规性水平可控。