安全(基线)配置核查系统技术方案-电力版(一)

电力

安全配置核查服务解决方案

2013年月

目录

一.背景............................................................................3

二.需求分析.......................................................................3

二.安全基线研究.....................................................................4

四.安全基线的建立和应用...........................................................7

五.项目概述.......................................................................8

六.解决方案建议...................................................................9

6.1组网部署.....................................................................10

6.2产品特色功能.................................................................11

七.支持型安全服务................................................................13

7.1安全预警.....................................................................14

7.2安全加固.....................................................................14

7.3安全职守.....................................................................14

7.4安全培训.....................................................................14

A.方案总结和展望..................................................................15

-2-

背景

近年来，从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖

度的不断增强，信息系统运维人员的安全意识和安全技能也在逐步提高。最直接的体现为一

一传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全

需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看，是由业务需求导

出的安全需求在驱动着安全建设的全过程。

而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，如何建立一

套行之有效的风险控制与管理手段，是每一个信息化主管所面临的共同挑战。

随着电力行业科技创新能力的日益提高，业务应用的日趋丰富，电力行业业务的开拓越

来越依托于IT技术的进步；电力的发展对信息系统的依赖程度不断增强，对电力信息系统安

全建设模式提出了更高更多的要求，信息安全建设工作已经是电力信息化建设中的重要内容,

安全基线建设就是电力信息安全建设中一项新的举措和尝试。

在电力行业里，各类通信和IT设备采用通用操作系统、数据库，及各类设备间越来越多

的使用IP协议进行通信，其网络安全问题更为凸出。为了维持电力的通信网、'业务系统和支

撑系统设备安全，必须从入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强

和落实安全要求。需要有一种方式进行风险的控制和管理。木技术方案将以安全基线建设为

例，系统介绍安全基线建设在电力信息安全建设工作中的设计与应用

二.需求分析

传统的安全建设模式逐渐向新兴的安全建设模式转变，传统的安全建设模式主要是以安

全事件和新兴的安全技术为主要驱动，在安全建设的过程中处于被动的状态。而随着信息安

全建设工作的小断深入，信息安全建设模式已经逐渐演变为以业务安全需求为主要驱动的主

动式安全建设模式，目前，新兴的信息系统安全基线建设工作就是以业务需求为核心，制定

针对不同系统的详细检查表格和操作指南，建立统一的服务器、网络设备、数据库和应用系

统安全配置规范的一种新兴的安全建设模式。

随着“SGI86”系统工程和国家电网等级保护建设的开展，使电力系统的信息化建设更加迅

速。同时在电力信息网络安全等方面做了大量工作，采取了许多有效措施防止网络安全事件。

确保公司信息安全工作的系统性、安全性、实用性、创新性和全面性。SG186系统工程要求

制定合适的安全管理规范，电力企业需要密切跟踪国内外安全标准化领域内的最新工作成果,

-3-

等6个支撑标准构成，即定义了一套安全基线库。由此SCAP框架就实现了标准化和自动化,

形成了一套针对系统的安全检查基线，得以将FISMA的，言息安全生命周期模型进行落地。

FISMA规范

HighLevelGeneralizedInfermationSecurityRec)uirements

.

握金涉及的标准和处再流岸

FIPS199:InformationSystemSecurityCategorization

____FIPS200:MMitmimInformationSecurityReeuiremerHs_____

管理层面■技术层面■运维层面

安全控制措总I安全控制措施I安全控制措施

■■■

信息系统安全配置

NIST.NSA.DISA.Vendors.ThirdParties(e.g^OS)Checklists

andImplementationGuidance

图1FISMA遵从模型

简言之SCAP体现了三个方面的特性：

1.可操作性：通过SCAP明确的提出了应该贯穿风险管理的要求和方法，通过技术与

管理两方面的手段，将体系化的指导思想进行落地。

2.标准化：在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线(检查项)，

这些检查项由安全漏洞、安全配置等有关检查内容构成，为标准化的技术安全操作

提供了框架。

3.自动化：针对桌面系统的特性，采用标准化的桧查内容和检查方法，通过自动化的

工具来执行，为自动化的技术安全操作提供支持。

借鉴FISMA的实施和落地过程，在基于业务的安全评估的基础上，构建出基于业务系统

的安全基线模型。该模型围绕承载业务及数据的安全需求，建立一个覆盖企业的业务体系、

应用体系和IT基础设施的多层次的安全系统架构，从而指导企业的风险控制与管理。

-5-

图2安全基线模型

安全基线模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护

的要求，是一个比较宏观的要求。形成基于某业务系统的风险管理系统。

2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、

网络设备、安全设备等不同的设备和系统类型，这些设备类型针对业务层定义的安

全防护要求细化为此层不同模块应该具备的要求。即在技术手段上实现脆弱性、安

全策略以及重要信息的监捽c

3.笫三层是系统实现层，将笫二层模块根据业务系统的特性进一步分解，找到基准安

全配置项和重要策略文件等，即建立安全基线弱点库。如将操作系统可分解为

Windows、Linux等具体系统模块。这些模块中又具体的把第二层的安全防护要求细

化到可执行和实现的要求，称为该业务系统的Windows安全基线、Linux安全基线

等网元的安全基线。

下面以近期关注度比较高的WEB网站安全为例对模型的应用进行说明：

首先WEB网站要对公众用户提供服务，存在互联网的接口，那么就会受到互联网中各种

攻击威胁，造成例如网页内容篡改、网站挂马等结果。在第一层业务需求中就定义需要防范

网页内容篡改、网站挂马的要求。而这些防护要求对「功能架构层的WEBServer.操作系统、

安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求。而针

对这些防范要求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了。第三层中

就是依据WEB应用的承载系统，针对各种安全威胁在不同的模块定义不同的防护要求，这些

不同模块的防护要求就统一称为该WEB网站的安全基线。针对该WEB网站安全基线的检查,

就可以转化为针对WEBServer,承载系统等的脆弱性检查上面。

-6-

见安全基线的建立和应用

首先根据企业状况，建立一套本组织在当前时期的“理想化安全水平基准点”，即“安

全基线”。这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、

特殊时期的安全保障需求等，然后通过一些手段（比如自动化的评估工具）对组织现有的安

全水平进行分析。通过对比“理想化安全水平基准点”，就形成了一套差距分析结论。企业

自身针对这个差距进行适时监测、确认和跟踪即可，对任何违规情况进行预警或通报，提出

“补足差距”的建议方案；而这个“理想安全水平基准点”就是该组织的最优安全状态。追

求规避全部风险也是不现实的，信息系统在达到基线水平之后，部分风险自然会被转移或降

低。这样便可以实现持续定义安全基线，持续监管和持续改进，可以使每一时期每一阶段的

安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合

政策法规要求的风险报表。

系统上线

设备入网设定安全基线

周

期

性

检

测

度量与输出

系统下线

图3安全基线控制图

-7-

一人疏忽

安全配置错误的配置

安全基线

/自身问题

安全漏洞

漏洞、BUG等

图4基线安全的应用

应用第三层面安全基线的要求，可以对目标业务系统展开合规性安全检查，以找出不符

合的项，并选择和实施安全措施来控制安全风险。

1.安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP

通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非

常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统

边界防火墙中需要开后HTTP通信，但一个WAP网关边界就没有这样的需求.因此

在设计业务系统安全基线的时候，安全配置是一个关注的重点。

2.安全漏洞：通常是系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服

务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自

身的安全脆弱性。

业务系统的安全基线建立起来之后，将形成针对不同系统的详细Checklist表格和操作指

南，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系

统的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查等。

五.项目概述

现在，防火墙、防病毒软件等传统的安全管理工具在传统的信息安全建设领域发挥了重

要作用，但如何避免安全产品各自为战，将安全建设整体划一、形成合力仍是信息安全建设

过程中需要关注的问题。

-8-

近年来，**供电公司在信息系统、网络设备的安全管理上管理内容不断拓宽，管理力度不

断加大，部署了防火墙、入侵防御、防病毒等等一系列的安全产品，安装的时间不同，缺乏

统一的安全标准和配置规范，服务器的安全管理上扔存在安全隐患。安全配置核查系统，是**

供电公司对网络设备，信息系统服务进行横向的安全评估和管理，通过分析业务网信息系统

实际现状和面临风险的不同来源，制定针对■不同系统的详细检查表格和操作指南，建立统一

的服务器、网络设备、数据库和应用系统安全配置规范，形成**供电公司业务网安全基线，为

今后公司设备入网、系统验收、日常维护及安全核查工作提供可参照的统一标准和规范。

绿盟安全配置核查系统，主要实现集中自动化的对公司的路由器、数据库、主机系统等

设备的配置进行安全检查，检查后自动生成符合情况报告，并对不符合项提出详细的改进方

案。

支持型安全服务，主要提供安全预警、安全加固、安全咨询等专业安全服务，为**供电公

司提供完善的网络设备安全风险管理，提高移动各中心疝新业务系统上线、第三方系统接入

和日常安全运维检查和加固的实际效果，有效降低安全风险的发生概率。

六.解决方案建议

基于**供电公司目前佗网络系统现状和组织结构，计划采用多套硬件版绿盟安全配置核查

系统部署在网管中心、新业务开发中心和业务支撑中心内，实现分权分区自动化的配置安全

核查。同时，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足便携配

置安全核查的要求，用作统i的数据收集和管理。

安全配置核查建设充分考虑电力信息安全的现状和电力行业最佳实践，同时参考了电监

会、国家经贸委和国家电网等监管部门下发的安全政策文件，继承和吸收了国家等级保护、

风险评估的经验成果，构建出基于业务的基线安全模型（如下图）。

通过该方案的部署实施，形成各中心设备配置安全核查数据的汇总与分析能力。通过分

析处理汇总的核查数据，形成全面的安全配置现状，利r有效利用资源，解决关键问题，降

低系统的脆弱性，提高抗风险的能力。同时，也能周期性的根据集团公司的“安全运维要求”

进行合规检查，促进集团安全检查的成果。

-9-

6.1组网部署

网管中心

图6配置安全核查系统部署示意图

配置安全核查系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过

WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。远程执行，通

过Telnet、SMB、SSH等形式对待查设备进行配置安全核查，需要保证网络IP可达，并提供

待查设备的管理帐户和口令：本地执行，对于网络中不便进行远程核查的目标系统（Windows

-10-

系统），提供配套的自动化程序，可执行程序在待查设备本地执行后生成报表文件，然后导

入到配置安全核查系统中进行汇总和分析。

绿盟安全配置核查系统的应用非常灵活，只要待查设备为支持范围内的网络设备、主机

系统等都能够自动化的进行安全配置检查，就主要的应用情况来看，主要有以下几种应用：

1.日常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。

2.新上线系统核查，在新部署的系统设备上线之前进行必要的配置安全检查，提前发

现配置漏洞和错误。

3.第三方接入核查，对接入移动系统的第三方设备进行配置检查，提前发现配置漏洞

和错误。

重大事件前核查，在重大社会活动、集团安全巡检等事件前期，对重点设备、系统进行

配置安全核查，提前发现配置漏洞和错误。

6.2产品特色功能

建立安全基线，落实风险控制要求

通过NSFOCUSBVS对重要信息系统建立安全配置基线，将业务的安全需求转换为对网

元设备的具体技术要求进行落实。NSFCUSBVS为管理者的定展观点与安全专家所采用的

具体检测方法之间架设了桥梁，通过建立业务系统的安全配置基线，以实现业务系统的安全

风险度量，让安全风险可挖、可管。

基于实践的安全配置知识库

NSFOCUSRSAS系统的安全配置库来源于绿盟科技多年安全服务的执着实践，每一条

安全配置都是绿盟科技安全服务团队的多年评估服务的结晶。

该知识库内容涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配

置加固建议，通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。并且根据IT

信息系统的不断发展持续进行更新。

多类型设备自动化的安全配置核查

能够根据安全配置知识库的要求，判断待查设备的检查项目达标与否，支持百分制对目

标系统的达标情况进行打分。

现有绿盟安全配置核查系统的检查对象涵盖了：WindowsXP/2003Server中英文版本操

作系统、Solaris8/9/10中英文版本操作系统、AIX5.X操作系统、Linux操作系统、Oracle

8i/9i/10g数据库、Informix数据库、思科网络设备、华为网络设备、Juniper网络设备。检查

的内容包括四个部分，分类如卜.：

1.账号管理、认证和授权（账号、口令和授权）

-11-

2.日志配置操作

3.IP协议安全配置操作

4.设备其他配置操作

集中自动化的配置安全核查

运用远程核查与本地核查相结合的方式.在多种复杂应用环境下均可比现自动化的大规

模性安全配置检查。

(Login&Query

信息获取W

安全配It核2E系统数据分析和展示

被检测系统

图7系统工作图

1.通过“远程登录探测”功能，可以完全模拟人进行远程登录H标设备以进行安全配

置检测，不会对H标设备正常运行造成任何影响。

2.对隔离设备等特定使用环境，“本地安全检测”功能可直接在目标主机上收集相应

的安全配置信息，并能够将数据汇总到NSFOCUSBVS设备上进行统一的数据汇总

分析。

3.针对大多采用Windows终端的办公网使用环境.可通过“ActiveX检测”功能自动

的对所用终端进行检测，并可进行统一数据分析。

多级多用户分权使用

针对现有省移动的组织结构和网络环境中，支持多级多用户分权使用。多管理员使用配

置安全核查系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的

配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安

全核查的结果进行统一的查阅和分析。

全面灵活的报表功能

综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观了解单个

系统的问题分布及危害，还可同M掌握多个不同省、巾公司、业务系统的综合风险变化情况,

-12-

从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策

支撑。

图8报表输出图

根据不同阅读人员的需要生成各种自定义报告，提供所需的相关数据，从多个视角反映

网络的整体配置安全状况。可对不同的检查点，定义不同的风险分值，对不安全配置分布、

危害、平均符合度、设备信息等多视角进行细粒度的统计分析，生成基于不同角色、不同内

容和不同格式的报表。

配置加固指南

针对每一条不符合规范的配置项，绿盟安全配置核查系统提供了详细的配置安全加固指

南。加固指南切合具体的设备类型、系统版本，提出对应的执行命令、参数供加固人员参考,

能有效的指导加固操作。

七.支持型安全服务

绿盟科技支持型安全服务以安全运维管理为核心，根据实际环境和需求进行服务的组合

及服务形式的调整，提供定期、不定期、实时等形式的服务。通过各种表现形式的安全服务,

在业务系统内部建立PDCA循环机制，实现对信息系统的整体安全运维保障。

此次项目中，通过绿盟科技支持型安全服务为移动提供配置安全核查系统上线后的安全

运维服务工作，为日常安全运维保障工作提供有效的支持服务。

-13-

7.1安全预警