賈志義 韓煜 王華

摘 要：安全基線管理系統(tǒng)是現(xiàn)代企業(yè)信息化工作的重要手段，對(duì)于保障企業(yè)信息安全，提高信息管理工作水平具有重要意義。文章對(duì)信息安全基線管理系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、工作流程和關(guān)鍵技術(shù)等重要內(nèi)容進(jìn)行了詳細(xì)介紹，并結(jié)合電力企業(yè)安全基線管理系統(tǒng)的建設(shè)對(duì)安全基線管理系統(tǒng)的重要意義進(jìn)行討論。希望可以對(duì)我國企業(yè)提高信息安全管理工作水平，加快推進(jìn)企業(yè)信息化進(jìn)程有所幫助。

關(guān)鍵詞：安全基線；自動(dòng)化采集；安全檢查；評(píng)估模型

引言

信息化是現(xiàn)代企業(yè)發(fā)展的一個(gè)重要方向。隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)水平的不斷發(fā)展，當(dāng)代企業(yè)信息化程度逐漸加深。信息化極大地提高了企業(yè)工作效率，增加了企業(yè)經(jīng)濟(jì)效能，在企業(yè)生產(chǎn)經(jīng)營過程中扮演著重要角色，成為企業(yè)現(xiàn)代化和先進(jìn)水平的重要標(biāo)志。企業(yè)不斷推進(jìn)信息化建設(shè)的同時(shí)，信息安全也成為企業(yè)高度重視的問題之一。由于企業(yè)關(guān)鍵技術(shù)信息或經(jīng)營信息的泄露，給企業(yè)帶來巨大經(jīng)濟(jì)損失的案例屢見不鮮。為此，企業(yè)在推進(jìn)信息化建設(shè)的同時(shí)也建立了與之配套的信息安全管理制度，有的企業(yè)還成立了信息安全管理部門，專項(xiàng)負(fù)責(zé)企業(yè)信息安全管理工作，通過建立系統(tǒng)的安全管理體系，實(shí)施嚴(yán)密的防范措施，保障企業(yè)信息安全。在企業(yè)信息安全管理工作中，安全基線是一個(gè)基本措施，也是一個(gè)基本概念，它表明信息系統(tǒng)最基本的安全要求。以安全基線為基礎(chǔ)，企業(yè)可以根據(jù)自身采用的信息系統(tǒng)制定不同的漏洞要求和檢查清單要求，進(jìn)而為企業(yè)信息標(biāo)準(zhǔn)化管理提供基本安全框架和原則。安全基線的存在對(duì)于企業(yè)信息安全管理有著巨大的推動(dòng)作用，能夠有效提供企業(yè)信息安全管理水平。由于現(xiàn)代企業(yè)信息工作具有涉及的設(shè)備數(shù)量多、設(shè)備品種規(guī)格復(fù)雜、配置項(xiàng)目繁雜的特點(diǎn)，使得企業(yè)信息工作安全基線管理面臨著很大困難。作為我國信息化程度較深的行業(yè)之一，電力行業(yè)始終把提高安全基線使用的效率，改善信息系統(tǒng)工作狀況，保障供電安全作為企業(yè)信息安全管理的重要內(nèi)容。

1 安全基線管理系統(tǒng)功能架構(gòu)設(shè)計(jì)

安全基線管理系統(tǒng)是信息管理工作中專門負(fù)責(zé)安全基線相關(guān)管理的體系，能夠?qū)崿F(xiàn)信息管理主流設(shè)備配置信息和漏洞信息的自動(dòng)采集，及將采集的數(shù)據(jù)與安全基線進(jìn)行自動(dòng)對(duì)比分析，并形成分析報(bào)告。采用模塊化結(jié)構(gòu)設(shè)計(jì)，一般包含安全基線數(shù)據(jù)采集模塊、數(shù)據(jù)分析處理中心和報(bào)表管理模塊三個(gè)部分。

1.1 安全基線數(shù)據(jù)采集模塊

該模塊根據(jù)具體功能分為漏洞檢測(cè)模塊和配置檢查模塊兩個(gè)部分。顧名思義，漏洞檢查模塊負(fù)責(zé)對(duì)信息系統(tǒng)中包含的設(shè)備漏洞進(jìn)行檢查，現(xiàn)階段能夠配合市面主流的安全漏洞掃描設(shè)備正常運(yùn)行。配置檢查模塊通過SSH/TELNET等方式登錄錄到IT設(shè)備上，以運(yùn)行腳本的方式對(duì)設(shè)備配置情況進(jìn)行采集，采集的內(nèi)容包括設(shè)備的管理賬號(hào)和安全防護(hù)信息等。

1.2 數(shù)據(jù)分析處理中心

網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、終端桌面等軟硬件的配置信息和使用漏洞掃描工具得到的掃描數(shù)據(jù)匯總到數(shù)據(jù)分析處理中心。由其按照一定標(biāo)準(zhǔn)進(jìn)行規(guī)范整理，再進(jìn)行歸并壓制和匯聚等預(yù)處理工作。然后將預(yù)處理后的數(shù)據(jù)與設(shè)置好的安全基線庫進(jìn)行對(duì)比分析。

1.3 報(bào)表管理模塊

該模塊以圖形化的人機(jī)交互界面，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)報(bào)表的統(tǒng)一管理。在這個(gè)環(huán)節(jié)可以實(shí)現(xiàn)系統(tǒng)維護(hù)、權(quán)限管理、報(bào)表管理、知識(shí)管理、告警管理、審計(jì)管理等功能。

2 安全基線管理系統(tǒng)工作流程簡(jiǎn)述

第一步，系統(tǒng)設(shè)備配置信息和漏洞信息采集。具體工作由分布式采集網(wǎng)元負(fù)責(zé)。第二步，對(duì)比分析。采集網(wǎng)元將采集到的數(shù)據(jù)匯總至數(shù)據(jù)庫，由系統(tǒng)集中式分析引擎將匯總的信息與預(yù)設(shè)的基線標(biāo)準(zhǔn)進(jìn)行對(duì)比，結(jié)果以報(bào)表形式輸出。另外，系統(tǒng)還內(nèi)設(shè)知識(shí)庫管理模塊，具有對(duì)對(duì)比結(jié)果提供專業(yè)建議和輔助分析服務(wù)功能。在安全基線管理系統(tǒng)中，設(shè)備系統(tǒng)的類型適配和采集接口起著關(guān)鍵性作用。系統(tǒng)通過指紋探測(cè)技術(shù)對(duì)系統(tǒng)類型進(jìn)行分析探測(cè)，通過知識(shí)庫進(jìn)行多種登錄口令與方式驗(yàn)證，進(jìn)行對(duì)象的登錄性檢測(cè)。網(wǎng)元的配置信息通過兩種方式進(jìn)行采集，一是通過Telnet、SSH接口登錄到網(wǎng)元，輸入相關(guān)指令，獲取設(shè)備配置信息，屬于遠(yuǎn)程方式；另一種通過網(wǎng)元運(yùn)行系統(tǒng)提供的Perl腳本，實(shí)現(xiàn)設(shè)備配置信息的定期采集功能，屬于本地方式。

3 安全基線管理系統(tǒng)設(shè)計(jì)理念和關(guān)鍵技術(shù)

3.1 基于用戶行為模式的管理架構(gòu)

安全基線管理系統(tǒng)秉持為用戶提供優(yōu)質(zhì)的用戶體驗(yàn)原則，牢固樹立“以人為本”的理念，在進(jìn)行產(chǎn)品設(shè)計(jì)時(shí)全面考慮用戶的實(shí)際需求、使用習(xí)慣等因素，以最大限度滿足客戶設(shè)計(jì)使用為目標(biāo)，積極推進(jìn)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)和功能完善工作。通過自動(dòng)化的數(shù)據(jù)收集、智能匹配檢查規(guī)范、快速結(jié)果報(bào)表、科學(xué)分值評(píng)定等功能，達(dá)到提高使用效率，降低使用要求的目的。為了能夠以SSL加密通訊方式利用瀏覽器進(jìn)行遠(yuǎn)程管理，系統(tǒng)采用B/S架構(gòu)進(jìn)行管理。目前已經(jīng)實(shí)現(xiàn)的自動(dòng)處理的任務(wù)包括：評(píng)估任務(wù)下發(fā)、掃描結(jié)果自動(dòng)分析、處理和發(fā)送、系統(tǒng)檢測(cè)插件的自動(dòng)升級(jí)等。除此之外，系統(tǒng)具有多用戶管理功能，通過對(duì)不同用戶的權(quán)限進(jìn)行相應(yīng)限制的措施保障系統(tǒng)安全。此外，系統(tǒng)還具有日志審計(jì)功能，能夠?qū)Φ卿?、操作和異常情況進(jìn)行審計(jì)和管理。

3.2 高效、智能的安全配置識(shí)別技術(shù)

通過先進(jìn)的計(jì)算機(jī)軟件，在遠(yuǎn)程檢測(cè)和本地檢測(cè)的配合使用下，可以實(shí)現(xiàn)多種復(fù)雜應(yīng)用環(huán)境下的大規(guī)模安全配置檢查自動(dòng)化，有效避免了手動(dòng)單點(diǎn)安全配置檢查花費(fèi)時(shí)間較長的缺點(diǎn)，降低失誤風(fēng)險(xiǎn)，提高了檢測(cè)準(zhǔn)確率。系統(tǒng)設(shè)計(jì)中采用智能的并發(fā)算法提高配置審計(jì)工具的評(píng)估速度和準(zhǔn)確率。該算法具有廣泛的應(yīng)用范圍，可以實(shí)現(xiàn)目標(biāo)系統(tǒng)信息收集技術(shù)和途徑的多樣化。通過對(duì)目標(biāo)系統(tǒng)目標(biāo)評(píng)估模型的建立及對(duì)中間結(jié)果數(shù)據(jù)的不斷調(diào)整，使得目標(biāo)系統(tǒng)最終評(píng)估結(jié)果的準(zhǔn)確率大為提高。

3.3 多維、細(xì)粒度的統(tǒng)計(jì)分析

系統(tǒng)提供的數(shù)據(jù)報(bào)表有離線和在線兩種形式，并有與之相配套的報(bào)表控制器，可以根據(jù)用戶要求提取相應(yīng)信息，形成具有不同針對(duì)性的報(bào)表。企業(yè)決策者和管理人員可以根據(jù)基線管理系統(tǒng)提供的分析數(shù)據(jù)，從宏觀和微觀兩個(gè)方面把握系統(tǒng)安全動(dòng)態(tài)，進(jìn)行網(wǎng)絡(luò)建設(shè)決策。

4 應(yīng)用案例

某大型供電局以上文提供的設(shè)計(jì)方法對(duì)安全基線管理體系進(jìn)行設(shè)計(jì)開發(fā)。截至目前，該系統(tǒng)已經(jīng)正式投入運(yùn)行。和系統(tǒng)使用前相比，供電局信息安全管理工作效率大幅提高，有效減輕了信息系統(tǒng)安全管理人員的日常維護(hù)管理工作，企業(yè)信息安全管理工作再上新臺(tái)階，企業(yè)經(jīng)濟(jì)效益獲得顯著提升。

5 結(jié)束語

安全基線管理系統(tǒng)是企業(yè)信息管理體系的重要組成部分，是企業(yè)開展信息安全基線管理工作的主要工具。隨著企業(yè)信息化程度的日漸加深和安全基線在企業(yè)信息安全工作方面的重要作用，使用安全基線管理系統(tǒng)實(shí)施信息安全管理的企業(yè)數(shù)目成上升趨勢(shì)。給企業(yè)安全基線管理系統(tǒng)提供了廣闊的市場(chǎng)空間。安全基線管理系統(tǒng)集安全管理、配置、檢查、掃描、整改加固等功能為一體，技術(shù)先進(jìn)，兼容性強(qiáng)，可廣泛應(yīng)用于各類安全和合規(guī)性檢查的綜合檢查評(píng)估管理工作，對(duì)于現(xiàn)代企業(yè)信息安全管理實(shí)現(xiàn)系統(tǒng)化、標(biāo)準(zhǔn)化、自動(dòng)化具有重要推動(dòng)作用。

參考文獻(xiàn)

[1]桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用[J].計(jì)算機(jī)安全，2011（10）：23-27.

[2]桑梓勤.電信運(yùn)營企業(yè)的安全基線與等級(jí)保護(hù)[J].電信網(wǎng)技術(shù)，2007（9）.

[3]孫鐵.創(chuàng)建自主可控的業(yè)務(wù)系統(tǒng)安全基線技術(shù)體系[J].信息網(wǎng)絡(luò)安全，2009（5）.