安全(基线)配置核查系统技术方案-电力版

电力

平安配置核查效劳解决方案

2023年月

目录

一.背景...........................................................................1

二.需求分析.......................................................................2

三.平安基线研究...................................................................2

四.平安基线的建立和应用...........................................................4

五.工程概述.......................................................................5

六.解决方案建议...................................................................5

6.1组网部署......................................................................6

6.2产品特色功能..................................................................6

七.支持型平安效劳.................................................................8

7.1平安预警......................................................................8

7.2平安加固......................................................................8

7.3平安职守......................................................................9

7.4平安培训......................................................................9

八.方案总结和展望.................................................................9

一.背景

近年来，从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断

增强，信息系统运维人员的平安意识和平安技能也在逐步提高。最直接的表达为传统以平安事件和

新兴平安技术为主要驱动的平安建设模式，已经逐渐演进为以业务平安需求为主要驱动的主动式平安建

设模式。从典型的信息平安建设过程来看，是由业务需求导出的平安需求在驱动着平安建设的全过程。

而如何获取准确全面的平安需求以指导未来的平安建设并为业务开展效劳，如何建立一套行之有效

的风险控制与管理手段，是每一个信息化主管所面临的共同挑战。

随着电力行业科技创新能力的日益提高，业务应用的日趋丰富，电力行业业务的开拓越来越依托于

IT技术的进步；电力的开展对信息系统的依赖程度不断增强，对电力信息系统平安建设模式提出了更高

更多的要求，信息平安建设工作己经是电力信息化建设中的重要内容，平安基线建设就是电力信息平安

建设中一项新的举措和尝试。

在电力行业里，各类通信和IT设备采用通用操作系统、数据库，及各类设备间越来越多的使用IP

协议进行通信，其网络平安问题更为凸出。为了维持电力的通信网、业务系统和支撑系统设备平安，必

须从入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强和落实平安要求。需要有一种方

式进行风险的控制和管理。本技术方案将以平安基线建设为例，系统介绍平安基线建设在电力信息平安

建设工作中的设计与应用

需求分析

传统的平安建设模式逐渐向新兴的平安建设模式转变，传统的平安建设模式主要是以平安事件和新

兴的平安技术为主要驱动，在平安建设的过程中处于被动的状态。而随着信息平安建设工作的不断深入,

信息平安建设模式已经逐渐演变为以业务平安需求为主要驱动的主动式平安建设模式，目前，新兴的信

息系统平安基线建设工作就是以业务需求为核心，制定针对不同系统的详细检查表格和操作指南，建立

统一的效劳器、网络设备、数据库和应用系统平安配置标准的一种新兴的平安建设模式。

随着“SGI86"系统工程和国家电网等级保护建设的开展，使电力系统的信息化建设更加迅速。同时

在电力信息网络平安等方面做了大量工作，采取了许多有效措施防止网络平安事件。确保公司信息平安

工作的系统性、平安性、实用性、创新性和全面性。SG186系统工程要求制定适宜的平安管理标准，

电力企业需要密切跟踪国内外平安标准化领域内的最新工作成果，并结合国内技术和相关的开展状况,

建立起完整的电力系统平安业务标准，标准的框架体系，制定平安目标和平安实施过程。为进一步提升

信息平安管理标准，加固平安管理防线，**供电公司开展业务网平安基线建设工作，对效劳器、网络设

备和平安产品等建立统一的平安基线配置策略和建议标准。

通过对平安事件的分析，发现平安事件主要由3个方面引起，平安漏洞方面、平安配置方面，以及

异常事件等方面。平安配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通

信等方面内容，反映了系统自身的平安脆弱性。由平安配置的块乏可能带来非常多的平安隐患，因此对

平安配置进行有效的检查和加固成为整体平安体系建设中的重要一环。（平安漏洞和异常事件方面本文

不做讨论）

三.平安基线研究

针对用户需求，可以采用平安基线的思想进行风险的控制和管理。

顾名思义，“平安基线〃概念借用了传统的“基线”概念。字典上对“基线〃的解释是：一种在测

量、计算或定位中的根本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为平

安基线是平安木桶的最短板，或者说，是最根本的平安要求。

假设我们将企业信息系统建立平安基线，如对每个网元、应用系统都定义平安基准点，即设定满足

最根本平安要求的条件・，并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落

实平安基线要求，那么可以进行风险的度量，做到风险可控可管。

如何设计一整套适合政企自身业务特点的平安基线模型呢？我们可参考国内外的成功经验，同时结

合一些行业的风险控制手段，就可以设计出针对业务系统的基线平安模型。在这些参考内容中，最值得

佶鉴的是美国FISMA（TheFederalInformationSecurityManagementAct,联邦信息平安管理法案）

的实施和落地过程。

FISMA定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA

在2002年成为美国电子政府法律的一局部，把责任分配到各种各样的机构上来确保联邦政府的数据平

安。其提出了一个包含八个步骤的信息平安生命周期模型，这个模型的执行过程涉及面非常广泛且全面,

但实施、落地的难度也非常大。而后由NIST（美国国家标准技术研究院）牵头针对其中的技术平安问

迪提出了一套自动化的方案称为ISAP（Informationsecurityautomationprogram）来促进FISMA的执

彳j,ISAP出来后延伸出SCAP协议［SecurityContentAutomationProtocol）,该协议通过明确的、

标准化的模式使得漏洞管理、平安监测和政策符合性与FISMA要求一致。SCAP协议由CVE、CCE、

CPE、XCCDF、OVAL、CVSS等6个支撑标准构成，即定义了一套平安基线库。由此SCAP框架就

实现了标准化和自动化，形成了一套针对系统的平安检查基线，得以将FISMA的信息平安生命周期模

型进行落地。

图1FISMA遵从模型

简言之SCAP表达了三个方面的特性：

1.可操作性：通过SCAP明确的提出了应该贯穿风险管理的要求和方法，通过技术与管理两方面

的手段，将体系化的指导思想进行落地。

2.标准化：在NVD、NCP的根底上，构建了一套针对桌面系统的平安基线（检查项），这些检

查项由平安漏洞、平安配置等有关检查内容构成，为标准化的技术平安操作提供了框架。

3.自动化：针对桌面系统的特性，采用标准化的检查内容和检查方法，通过自动化的工具来执行，

为自动化的技术平安操作提供支持。

借鉴FISMA的实施和落地过程，在基于业务的平安评估的根底上，构建出基于业务系统的平安基

线模型。该模型围绕承载业务及数据的平安需求，建立一个覆盖企业的业务体系、应用体系和IT根底

设施的多层次的平安系统架构，从而指导企业的风险控制与管理。

图2平安基线模型

平安基线模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同平安防护的要求，是

一个比拟宏观的要求。形成基于某业务系统的风险管理系统。

2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、

平安设备等不同的设备和系统类型，这些设备类型针对业务层定义的平安防护要求细化为此层

不同模块应该具备的要求。即在技术手段上实现脆弱性、平安策略以及重要信息的监控。

3.第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，找到基准平安配置项和

重要策略文件等，即建立平安基线弱点库。如将操作系统可分解为Windows、Linux等具体系

统模块。这些模块中又具体的把第二层的平安防护要求细化到可执行和实现的要求，称为该'也

务系统的Windows平安基线、Linux平安基线等网元的平安基线。

下面以近期关注度比拟高但WEB网站平安为例对模型的应用进行说明：

首先WEB网站要对公众用户提供效劳，存在互联网的接口，那么就会受到互联网中各种攻击威胁，

造成例如网页内容篡改、网站挂马等结果。在第一层业务需求中就定义需要防范网页内容篡改、网站挂

马的要求。而这些防护要求对于功能架构层的WEBServer、操作系统、平安设备等都存在可能的影响，

因此在这些不同的模块中需要定义相对应的防范要求。而针对这些防范要求，如何来实现呢？这就需要

定义全面、有效的第三层模块要求了。第三层中就是依据WEB应用的承载系统，针对各种平安威胁在

不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为该WEB网站的平安基线。针对

该WEB网站平安基线的检查，就可以转化为针对WEBServer、承载系统等的脆弱性检查上面。

!1!平安基线的建立和应用

首先根据企业状况，建立一套本组织在当前时期的“理想化平安水平基准点”，即“平安基线〃。

这个''平安基线"可以同时包含政策合规性的需求、自身的平安建设开展需求、特殊时期的平安保障需

求等，然后通过一些手段｛比方自动化的评估工具）对组织现有的平安水平进行分析。通过比照“理想

化平安水平基准点〃，就形成‘了一套差距分析结论。企业自身针对这个差距进行适时监测、确认和跟踪

即可，对任何违规情况进行预警或通报，提出“补足差距”的建议方案；而这个“理想平安水平基准点〃

就是该组织的最优平安状态。追求躲避全部风险也是不现实的，信息系统在到达基线水平之后，局部风

险自然会被转移或降低。这样便可以实现持续定义平安基线，持续监管和持续改良，可以使每一时期每

一阶段的平安水平都是可控的。同时，收集完数据后，根据企业平安状况进行风险的度量，输出结合政

策法规要求的风险报表。

图3平安基线控制图

图4基线平安的应用

应用第三层面平安基线的要求，可以对目标业务系统展开合规性平安检查，以找出不符合的项，并

选择和实施平安措施来控制平安风险。

1.平安配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方

面内容，反映了系统自身的平安脆弱性。平安配置方面与系统的相关性非常大，同一个配置项

在不同业务环境中的平安配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP

通信，但一个WAP网关边畀就没有这样的需求，因此在设计业务系统平安基线的时候，平安

配置是一个关注的重点。

2.平安漏洞：通常是系统自身的问题引起的平安风险，一般包括了登录漏洞、拒绝效劳漏洞、缓

冲区溢出、信息泄漏、蟠虫后门、意外情况处置错误等，反映了系统自身的平安脆弱性。

业务系统的平安基线建立起来之后，将形成针对不同系统的详细Checklist表格和操作指南，为标

准化的技术平安操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线平安检查、

笫三方入网平安检查、合规平安检查（上级检查）、日常平安检查等。

五.工程概述

现在，防火墙、防病毒软件等传统的平安管理工具在传统的信息平安建设领域发挥了重要作用，但

如何防止平安产品各自为战，将平安建设整体划一、形成合力仍是信息平安建设过程中需要关注的问题。

近年来，**供电公司在信息系统、网络设备的平安管理上管理内容不断拓宽，管理力度不断加大，

部署了防火墙、入侵防御、防病毒等等一系列的平安产品，安装的时间不同，缺乏统一的平安标准和配

置标准，效劳器的平安管理上扔存在平安隐患。平安配置核查系统，是**供电公司对网络设备，信息系

统效劳进行横向的平安评估和管理，通过分析业务网信息系统实际现状和面临风险的不同来源，制定针

对不同系统的详细检查表格和操作指南，建立统一的效劳器、网络设备、数据库和应用系统平安配置标

准，形成**供电公司业务网平安基线，为今后公司设备入网、系统验收、口常维护及平安核查工作提供

可参照的统i标准和标准。

绿盟平安配置核查系统，主要实现集中自动化的对公司的路由器、数据库、主机系统等设备的配置

在行平安检查，检查后自动生成符合情况报告，并对不符合项提出详细的改良方案。

支持型平安效劳，主要提供平安预警、平安加固、平安咨询等专业平安效劳，为**供电公司提供完

善的网络设备平安风险管理，提高移动各中心对新业务系统上线、第三方系统接入和日常平安运维检查

和加固的实际效果，有效降低平安风险的发生概率。

六.解决方案建议

基于**供电公司目前的网络系统现状和组织结构，方案采用多套硬件版绿盟平安配置核查系统部署

在网管中心、新'业务开发中心和业务支撑中心内，实现分权分区自动化的配置平安核查。同时，为了实

现对第三方接入系统、临时测试系统的配置平安核查，以及满足便携配置平安核查的要求，用作统一的

数据收集和管理。

平安配置核查建设充分考虑电力信息平安的现状和电力行业最正确实践，同时参考了电监会、国家

经贸委和国家电网等监管部门下发的平安政策文件，继承和吸收了国家等级保护、风险评估的经验成果,

构建出基于业务的基线平安模型1如下列图）。

通过该方案的部署实施，形成各中心设备配置平安核查数据的汇总与分析能力。通过分析处理汇总

的核查数据，形成全面的平安配置现状，利于有效利用资源，解决关健问题，降低系统的脆弱性，提高

抗风险的能力。同时，也能周期性的根据集团公司的“平安运维要求"进行合规检查，促进集团平安检

查的成果。

图5基线平安模型

6.1组网部署

图6配置平安核查系统部署示意图

配置平安核查系统的组网模式比拟简单，可以将其旁路部署在既有网络中。管理员通过WEB页面

登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。远程执行，通过Telnet、SMB、

SSH等形式对待查设备进行配置平安核查，需要保证网络IPTOA,并提供待查设备的管理帐户和口令；

本地执行，对于网络中不便进行远程核查的目标系统［Windows系统），提供配套的自动化程序，可

执行程序在待查设备本地执行后生成报表文件，然后导入到配置平安核查系统中进行汇总和分析。

绿盟平安配置核查系统的应用非常灵活，只要待查设备为支持范围内的网络设备、主机系统等都能

够自动化的进行平安配置检查，就主要的应用情况来看，主要有以下几种应用：

1.口常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。

2.新上线系统核查，在新部署的系统设备上线之前进行必要的配置平安检查，提前发现配置漏洞

和错误。

3.第三方接入核查，对接入移动系统的第三方设备进行配置检查，提前发现配置漏洞和错误。

重大事件前核查，在重大社会活动、集团平安巡检等事件前期，对重点设备、系统进行配置平安核

查，提前发现配置漏洞和错误。

6.2产品特色功能

建立平安基线，落实风险控制要求

通过NSFOCUSBVS对重要信息系统建汇平安配置基线，将业务的平安需求转换为对网元设备的

具体技术要求进行落实。NSFCUSBVS为管理者的定量观点与平安专家所采用的具体检测方法之间架

设了桥梁，通过建立业务系统的平安配置基线，以实现业务系统的平安风险度量，让平安风险可控、可

管。

基于实践的平安配置知识库

NSFOCUSRSAS系统的平安配置库来源于绿盟科技多年平安效劳的执着实践，每一条平安配置都

是绿盟科技平安效劳团队的多年评估效劳的结晶。

该知识库内容涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的平安配置加固建议，

通过该知识库可以全面的指导IT信息系统的平安配置及加固工作。并且根据IT信息系统的不断开展持

续进行更新。

多类型设备自动化的平安配置核查

能够根据平安配置知识库的要求，判断待查设备的检查工程达标与否，支持百分制对目标系统的达

标情况进行打分。

现有绿盟平安配置核查系统的检查对象涵盖/：WindowsXP/2003Server中英文版本操作系统、

Solaris8/9/10中英文版本操作系统、AIX5.X操作系统、Linux操作系统、Oracle8i/9i/10g数据库、Informix

数据库、思科网络设备、华为网络设备、Juniper网络设备。检查的内容包括四个局部，分类如下：

1.账号管理、认证和授权1账号、口令和授权）

2.日志配置操作

3.IP协议平安配置操作

4.设备其他配置操作

集中自动化的配置平安核查

运用远程核查与本地核查相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性平安配

置检查。

图7系统工作图

1.通过“远程登录探测”功能，可以完全模拟人进行远程登录目标设备以进行平安配置检测，不

会对目标设备正常运行造成任何影响。

2.对隔离设备等特定使用环境，“本地平安检测”功能可直接在目标主机上收集相应的平安配置

信息，并能够将数据汇总到NSFOCUSBVS设备上进行统一的数据汇总分析。

3.针对大多采用Windows终端的办公网使用环境，可通过"ActiveX检测"功能自动的对所用终

端进行检测，并可进行统一数据分析。

多级多用户分权使用

针对现有省移动的组织结构和网络环境中，支持多级多用户分权使用.多管理员使用配置平安核杳

系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的配置进行任何修改，只

能进行平安基线检查工作。支持集中的管理员功能，能对所有配置平安核查的结果进行统一的查阅和分

析。

全面灵活的报表功能

综合运用历史数据搜索、比照分析、汇总查看、趋势分析等工具，不仅可直观了解单个系统的问题

分布及危害，还可同时掌握多个不同省、市公司、业务系统的综合风险变化情况，从而最终做出平安比

照评定。可为网络平安状况的评定和木米网络建设提供了强有力的决策支撑。

图8报表输出图

根据不同阅读人员的需要生成各种自定义报告，提供所需的相关数据，从多个视角反映网络的整体

配置平安状况。可对不同的检查点，定义不同的风险分值，对不平安配置分布、危害、平均符合度、设

备信息等多视角进行细粒度的统计分析，生成基于不同角色、不同内容和不同格式的报表。

配置加固指南

针对每一条不符合标准的配置项，绿盟平安配置核查系统提供了详细的配置平安加固指南。加固指

南切合具体的设备类型、系统版本，提出对应的执行命令、参数供加固人员参考，能有效的指导加固操

作。

七.支持型平安效劳

绿盟科技支持型平安效劳以平安运维管理为核心，根据实际环境和需求进行效劳的组合及效劳形式

的调整，提供定期、不定期、实时等形式的效劳V通过各种表现形式的平安效劳，在业务系统内部建立

PDCA循环机制，实现对信息系统的整体平安运维保障。

此次工程中，