電力

平安配置核查效勞解決方案

2023年月

目錄

一.背景...........................................................................1

二.需求分析.......................................................................2

三.平安基線研究...................................................................2

四.平安基線的建立和應用...........................................................4

五.工程概述.......................................................................5

六.解決方案建議...................................................................5

6.1組網(wǎng)部署......................................................................6

6.2產(chǎn)品特色功能..................................................................6

七.支持型平安效勞.................................................................8

7.1平安預警......................................................................8

7.2平安加固......................................................................8

7.3平安職守......................................................................9

7.4平安培訓......................................................................9

八.方案總結和展望.................................................................9

一.背景

近年來，從中央到地方各級政府的日常政務、以及各行業(yè)企業(yè)的業(yè)務開展對IT系統(tǒng)依賴度的不斷

增強，信息系統(tǒng)運維人員的平安意識和平安技能也在逐步提高。最直接的表達為傳統(tǒng)以平安事件和

新興平安技術為主要驅(qū)動的平安建設模式，已經(jīng)逐漸演進為以業(yè)務平安需求為主要驅(qū)動的主動式平安建

設模式。從典型的信息平安建設過程來看，是由業(yè)務需求導出的平安需求在驅(qū)動著平安建設的全過程。

而如何獲取準確全面的平安需求以指導未來的平安建設并為業(yè)務開展效勞，如何建立一套行之有效

的風險控制與管理手段，是每一個信息化主管所面臨的共同挑戰(zhàn)。

隨著電力行業(yè)科技創(chuàng)新能力的日益提高，業(yè)務應用的日趨豐富，電力行業(yè)業(yè)務的開拓越來越依托于

IT技術的進步；電力的開展對信息系統(tǒng)的依賴程度不斷增強，對電力信息系統(tǒng)平安建設模式提出了更高

更多的要求，信息平安建設工作己經(jīng)是電力信息化建設中的重要內(nèi)容，平安基線建設就是電力信息平安

建設中一項新的舉措和嘗試。

在電力行業(yè)里，各類通信和IT設備采用通用操作系統(tǒng)、數(shù)據(jù)庫，及各類設備間越來越多的使用IP

協(xié)議進行通信，其網(wǎng)絡平安問題更為凸出。為了維持電力的通信網(wǎng)、業(yè)務系統(tǒng)和支撐系統(tǒng)設備平安，必

須從入網(wǎng)測試、工程驗收和運行維護等，設備全生命周期各個階段加強和落實平安要求。需要有一種方

式進行風險的控制和管理。本技術方案將以平安基線建設為例，系統(tǒng)介紹平安基線建設在電力信息平安

建設工作中的設計與應用

需求分析

傳統(tǒng)的平安建設模式逐漸向新興的平安建設模式轉變，傳統(tǒng)的平安建設模式主要是以平安事件和新

興的平安技術為主要驅(qū)動，在平安建設的過程中處于被動的狀態(tài)。而隨著信息平安建設工作的不斷深入,

信息平安建設模式已經(jīng)逐漸演變?yōu)橐詷I(yè)務平安需求為主要驅(qū)動的主動式平安建設模式，目前，新興的信

息系統(tǒng)平安基線建設工作就是以業(yè)務需求為核心，制定針對不同系統(tǒng)的詳細檢查表格和操作指南，建立

統(tǒng)一的效勞器、網(wǎng)絡設備、數(shù)據(jù)庫和應用系統(tǒng)平安配置標準的一種新興的平安建設模式。

隨著“SGI86"系統(tǒng)工程和國家電網(wǎng)等級保護建設的開展，使電力系統(tǒng)的信息化建設更加迅速。同時

在電力信息網(wǎng)絡平安等方面做了大量工作，采取了許多有效措施防止網(wǎng)絡平安事件。確保公司信息平安

工作的系統(tǒng)性、平安性、實用性、創(chuàng)新性和全面性。SG186系統(tǒng)工程要求制定適宜的平安管理標準，

電力企業(yè)需要密切跟蹤國內(nèi)外平安標準化領域內(nèi)的最新工作成果，并結合國內(nèi)技術和相關的開展狀況,

建立起完整的電力系統(tǒng)平安業(yè)務標準，標準的框架體系，制定平安目標和平安實施過程。為進一步提升

信息平安管理標準，加固平安管理防線，**供電公司開展業(yè)務網(wǎng)平安基線建設工作，對效勞器、網(wǎng)絡設

備和平安產(chǎn)品等建立統(tǒng)一的平安基線配置策略和建議標準。

通過對平安事件的分析，發(fā)現(xiàn)平安事件主要由3個方面引起，平安漏洞方面、平安配置方面，以及

異常事件等方面。平安配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP通

信等方面內(nèi)容，反映了系統(tǒng)自身的平安脆弱性。由平安配置的塊乏可能帶來非常多的平安隱患，因此對

平安配置進行有效的檢查和加固成為整體平安體系建設中的重要一環(huán)。（平安漏洞和異常事件方面本文

不做討論）

三.平安基線研究

針對用戶需求，可以采用平安基線的思想進行風險的控制和管理。

顧名思義，“平安基線〃概念借用了傳統(tǒng)的“基線”概念。字典上對“基線〃的解釋是：一種在測

量、計算或定位中的根本參照。如海岸基線，是水位到達的水位線。類比于“木桶理論”，可以認為平

安基線是平安木桶的最短板，或者說，是最根本的平安要求。

假設我們將企業(yè)信息系統(tǒng)建立平安基線，如對每個網(wǎng)元、應用系統(tǒng)都定義平安基準點，即設定滿足

最根本平安要求的條件?，并在設備入網(wǎng)測試、工程驗收和運行維護等設備全生命周期各個階段加強和落

實平安基線要求，那么可以進行風險的度量，做到風險可控可管。

如何設計一整套適合政企自身業(yè)務特點的平安基線模型呢？我們可參考國內(nèi)外的成功經(jīng)驗，同時結

合一些行業(yè)的風險控制手段，就可以設計出針對業(yè)務系統(tǒng)的基線平安模型。在這些參考內(nèi)容中，最值得

佶鑒的是美國FISMA（TheFederalInformationSecurityManagementAct,聯(lián)邦信息平安管理法案）

的實施和落地過程。

FISMA定義了一個廣泛的框架來保護政府信息、操作和財產(chǎn)來免于自然以及人為的威脅。FISMA

在2002年成為美國電子政府法律的一局部，把責任分配到各種各樣的機構上來確保聯(lián)邦政府的數(shù)據(jù)平

安。其提出了一個包含八個步驟的信息平安生命周期模型，這個模型的執(zhí)行過程涉及面非常廣泛且全面,

但實施、落地的難度也非常大。而后由NIST（美國國家標準技術研究院）牽頭針對其中的技術平安問

迪提出了一套自動化的方案稱為ISAP（Informationsecurityautomationprogram）來促進FISMA的執(zhí)

彳j,ISAP出來后延伸出SCAP協(xié)議［SecurityContentAutomationProtocol）,該協(xié)議通過明確的、

標準化的模式使得漏洞管理、平安監(jiān)測和政策符合性與FISMA要求一致。SCAP協(xié)議由CVE、CCE、

CPE、XCCDF、OVAL、CVSS等6個支撐標準構成，即定義了一套平安基線庫。由此SCAP框架就

實現(xiàn)了標準化和自動化，形成了一套針對系統(tǒng)的平安檢查基線，得以將FISMA的信息平安生命周期模

型進行落地。

圖1FISMA遵從模型

簡言之SCAP表達了三個方面的特性：

1.可操作性：通過SCAP明確的提出了應該貫穿風險管理的要求和方法，通過技術與管理兩方面

的手段，將體系化的指導思想進行落地。

2.標準化：在NVD、NCP的根底上，構建了一套針對桌面系統(tǒng)的平安基線（檢查項），這些檢

查項由平安漏洞、平安配置等有關檢查內(nèi)容構成，為標準化的技術平安操作提供了框架。

3.自動化：針對桌面系統(tǒng)的特性，采用標準化的檢查內(nèi)容和檢查方法，通過自動化的工具來執(zhí)行，

為自動化的技術平安操作提供支持。

借鑒FISMA的實施和落地過程，在基于業(yè)務的平安評估的根底上，構建出基于業(yè)務系統(tǒng)的平安基

線模型。該模型圍繞承載業(yè)務及數(shù)據(jù)的平安需求，建立一個覆蓋企業(yè)的業(yè)務體系、應用體系和IT根底

設施的多層次的平安系統(tǒng)架構，從而指導企業(yè)的風險控制與管理。

圖2平安基線模型

平安基線模型以業(yè)務系統(tǒng)為核心，分為業(yè)務層、功能架構層、系統(tǒng)實現(xiàn)層三層架構：

1.第一層是業(yè)務層，這個層面中主要是根據(jù)不同業(yè)務系統(tǒng)的特性，定義不同平安防護的要求，是

一個比擬宏觀的要求。形成基于某業(yè)務系統(tǒng)的風險管理系統(tǒng)。

2.第二層是功能架構層，將業(yè)務系統(tǒng)分解為相對應的應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡設備、

平安設備等不同的設備和系統(tǒng)類型，這些設備類型針對業(yè)務層定義的平安防護要求細化為此層

不同模塊應該具備的要求。即在技術手段上實現(xiàn)脆弱性、平安策略以及重要信息的監(jiān)控。

3.第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務系統(tǒng)的特性進一步分解，找到基準平安配置項和

重要策略文件等，即建立平安基線弱點庫。如將操作系統(tǒng)可分解為Windows、Linux等具體系

統(tǒng)模塊。這些模塊中又具體的把第二層的平安防護要求細化到可執(zhí)行和實現(xiàn)的要求，稱為該'也

務系統(tǒng)的Windows平安基線、Linux平安基線等網(wǎng)元的平安基線。

下面以近期關注度比擬高但WEB網(wǎng)站平安為例對模型的應用進行說明：

首先WEB網(wǎng)站要對公眾用戶提供效勞，存在互聯(lián)網(wǎng)的接口，那么就會受到互聯(lián)網(wǎng)中各種攻擊威脅，

造成例如網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛馬等結果。在第一層業(yè)務需求中就定義需要防范網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛

馬的要求。而這些防護要求對于功能架構層的WEBServer、操作系統(tǒng)、平安設備等都存在可能的影響，

因此在這些不同的模塊中需要定義相對應的防范要求。而針對這些防范要求，如何來實現(xiàn)呢？這就需要

定義全面、有效的第三層模塊要求了。第三層中就是依據(jù)WEB應用的承載系統(tǒng)，針對各種平安威脅在

不同的模塊定義不同的防護要求，這些不同模塊的防護要求就統(tǒng)一稱為該WEB網(wǎng)站的平安基線。針對

該WEB網(wǎng)站平安基線的檢查，就可以轉化為針對WEBServer、承載系統(tǒng)等的脆弱性檢查上面。

!1!平安基線的建立和應用

首先根據(jù)企業(yè)狀況，建立一套本組織在當前時期的“理想化平安水平基準點”，即“平安基線〃。

這個''平安基線"可以同時包含政策合規(guī)性的需求、自身的平安建設開展需求、特殊時期的平安保障需

求等，然后通過一些手段｛比方自動化的評估工具）對組織現(xiàn)有的平安水平進行分析。通過比照“理想

化平安水平基準點〃，就形成‘了一套差距分析結論。企業(yè)自身針對這個差距進行適時監(jiān)測、確認和跟蹤

即可，對任何違規(guī)情況進行預警或通報，提出“補足差距”的建議方案；而這個“理想平安水平基準點〃

就是該組織的最優(yōu)平安狀態(tài)。追求躲避全部風險也是不現(xiàn)實的，信息系統(tǒng)在到達基線水平之后，局部風

險自然會被轉移或降低。這樣便可以實現(xiàn)持續(xù)定義平安基線，持續(xù)監(jiān)管和持續(xù)改良，可以使每一時期每

一階段的平安水平都是可控的。同時，收集完數(shù)據(jù)后，根據(jù)企業(yè)平安狀況進行風險的度量，輸出結合政

策法規(guī)要求的風險報表。

圖3平安基線控制圖

圖4基線平安的應用

應用第三層面平安基線的要求，可以對目標業(yè)務系統(tǒng)展開合規(guī)性平安檢查，以找出不符合的項，并

選擇和實施平安措施來控制平安風險。

1.平安配置：通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP通信等方

面內(nèi)容，反映了系統(tǒng)自身的平安脆弱性。平安配置方面與系統(tǒng)的相關性非常大，同一個配置項

在不同業(yè)務環(huán)境中的平安配置要求是不一樣的，如在WEB系統(tǒng)邊界防火墻中需要開啟HTTP

通信，但一個WAP網(wǎng)關邊畀就沒有這樣的需求，因此在設計業(yè)務系統(tǒng)平安基線的時候，平安

配置是一個關注的重點。

2.平安漏洞：通常是系統(tǒng)自身的問題引起的平安風險，一般包括了登錄漏洞、拒絕效勞漏洞、緩

沖區(qū)溢出、信息泄漏、蟠蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的平安脆弱性。

業(yè)務系統(tǒng)的平安基線建立起來之后，將形成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標

準化的技術平安操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè)務系統(tǒng)的上線平安檢查、

笫三方入網(wǎng)平安檢查、合規(guī)平安檢查（上級檢查）、日常平安檢查等。

五.工程概述

現(xiàn)在，防火墻、防病毒軟件等傳統(tǒng)的平安管理工具在傳統(tǒng)的信息平安建設領域發(fā)揮了重要作用，但

如何防止平安產(chǎn)品各自為戰(zhàn)，將平安建設整體劃一、形成合力仍是信息平安建設過程中需要關注的問題。

近年來，**供電公司在信息系統(tǒng)、網(wǎng)絡設備的平安管理上管理內(nèi)容不斷拓寬，管理力度不斷加大，

部署了防火墻、入侵防御、防病毒等等一系列的平安產(chǎn)品，安裝的時間不同，缺乏統(tǒng)一的平安標準和配

置標準，效勞器的平安管理上扔存在平安隱患。平安配置核查系統(tǒng)，是**供電公司對網(wǎng)絡設備，信息系

統(tǒng)效勞進行橫向的平安評估和管理，通過分析業(yè)務網(wǎng)信息系統(tǒng)實際現(xiàn)狀和面臨風險的不同來源，制定針

對不同系統(tǒng)的詳細檢查表格和操作指南，建立統(tǒng)一的效勞器、網(wǎng)絡設備、數(shù)據(jù)庫和應用系統(tǒng)平安配置標

準，形成**供電公司業(yè)務網(wǎng)平安基線，為今后公司設備入網(wǎng)、系統(tǒng)驗收、口常維護及平安核查工作提供

可參照的統(tǒng)i標準和標準。

綠盟平安配置核查系統(tǒng)，主要實現(xiàn)集中自動化的對公司的路由器、數(shù)據(jù)庫、主機系統(tǒng)等設備的配置

在行平安檢查，檢查后自動生成符合情況報告，并對不符合項提出詳細的改良方案。

支持型平安效勞，主要提供平安預警、平安加固、平安咨詢等專業(yè)平安效勞，為**供電公司提供完

善的網(wǎng)絡設備平安風險管理，提高移動各中心對新業(yè)務系統(tǒng)上線、第三方系統(tǒng)接入和日常平安運維檢查

和加固的實際效果，有效降低平安風險的發(fā)生概率。

六.解決方案建議

基于**供電公司目前的網(wǎng)絡系統(tǒng)現(xiàn)狀和組織結構，方案采用多套硬件版綠盟平安配置核查系統(tǒng)部署

在網(wǎng)管中心、新'業(yè)務開發(fā)中心和業(yè)務支撐中心內(nèi)，實現(xiàn)分權分區(qū)自動化的配置平安核查。同時，為了實

現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置平安核查，以及滿足便攜配置平安核查的要求，用作統(tǒng)一的

數(shù)據(jù)收集和管理。

平安配置核查建設充分考慮電力信息平安的現(xiàn)狀和電力行業(yè)最正確實踐，同時參考了電監(jiān)會、國家

經(jīng)貿(mào)委和國家電網(wǎng)等監(jiān)管部門下發(fā)的平安政策文件，繼承和吸收了國家等級保護、風險評估的經(jīng)驗成果,

構建出基于業(yè)務的基線平安模型1如下列圖）。

通過該方案的部署實施，形成各中心設備配置平安核查數(shù)據(jù)的匯總與分析能力。通過分析處理匯總

的核查數(shù)據(jù)，形成全面的平安配置現(xiàn)狀，利于有效利用資源，解決關健問題，降低系統(tǒng)的脆弱性，提高

抗風險的能力。同時，也能周期性的根據(jù)集團公司的“平安運維要求"進行合規(guī)檢查，促進集團平安檢

查的成果。

圖5基線平安模型

6.1組網(wǎng)部署

圖6配置平安核查系統(tǒng)部署示意圖

配置平安核查系統(tǒng)的組網(wǎng)模式比擬簡單，可以將其旁路部署在既有網(wǎng)絡中。管理員通過WEB頁面

登錄系統(tǒng)下達核查任務，檢查任務既可以遠程執(zhí)行也可以本地執(zhí)行。遠程執(zhí)行，通過Telnet、SMB、

SSH等形式對待查設備進行配置平安核查，需要保證網(wǎng)絡IPTOA,并提供待查設備的管理帳戶和口令；

本地執(zhí)行，對于網(wǎng)絡中不便進行遠程核查的目標系統(tǒng)［Windows系統(tǒng)），提供配套的自動化程序，可

執(zhí)行程序在待查設備本地執(zhí)行后生成報表文件，然后導入到配置平安核查系統(tǒng)中進行匯總和分析。

綠盟平安配置核查系統(tǒng)的應用非常靈活，只要待查設備為支持范圍內(nèi)的網(wǎng)絡設備、主機系統(tǒng)等都能

夠自動化的進行平安配置檢查，就主要的應用情況來看，主要有以下幾種應用：

1.口常運維核查，對現(xiàn)有正在運行的系統(tǒng)設備進行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。

2.新上線系統(tǒng)核查，在新部署的系統(tǒng)設備上線之前進行必要的配置平安檢查，提前發(fā)現(xiàn)配置漏洞

和錯誤。

3.第三方接入核查，對接入移動系統(tǒng)的第三方設備進行配置檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。

重大事件前核查，在重大社會活動、集團平安巡檢等事件前期，對重點設備、系統(tǒng)進行配置平安核

查，提前發(fā)現(xiàn)配置漏洞和錯誤。

6.2產(chǎn)品特色功能

建立平安基線，落實風險控制要求

通過NSFOCUSBVS對重要信息系統(tǒng)建匯平安配置基線，將業(yè)務的平安需求轉換為對網(wǎng)元設備的

具體技術要求進行落實。NSFCUSBVS為管理者的定量觀點與平安專家所采用的具體檢測方法之間架

設了橋梁，通過建立業(yè)務系統(tǒng)的平安配置基線，以實現(xiàn)業(yè)務系統(tǒng)的平安風險度量，讓平安風險可控、可

管。

基于實踐的平安配置知識庫

NSFOCUSRSAS系統(tǒng)的平安配置庫來源于綠盟科技多年平安效勞的執(zhí)著實踐，每一條平安配置都

是綠盟科技平安效勞團隊的多年評估效勞的結晶。

該知識庫內(nèi)容涵蓋了操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫、中間件等多類設備及系統(tǒng)的平安配置加固建議，

通過該知識庫可以全面的指導IT信息系統(tǒng)的平安配置及加固工作。并且根據(jù)IT信息系統(tǒng)的不斷開展持

續(xù)進行更新。

多類型設備自動化的平安配置核查

能夠根據(jù)平安配置知識庫的要求，判斷待查設備的檢查工程達標與否，支持百分制對目標系統(tǒng)的達

標情況進行打分。

現(xiàn)有綠盟平安配置核查系統(tǒng)的檢查對象涵蓋/：WindowsXP/2003Server中英文版本操作系統(tǒng)、

Solaris8/9/10中英文版本操作系統(tǒng)、AIX5.X操作系統(tǒng)、Linux操作系統(tǒng)、Oracle8i/9i/10g數(shù)據(jù)庫、Informix

數(shù)據(jù)庫、思科網(wǎng)絡設備、華為網(wǎng)絡設備、Juniper網(wǎng)絡設備。檢查的內(nèi)容包括四個局部，分類如下：

1.賬號管理、認證和授權1賬號、口令和授權）

2.日志配置操作

3.IP協(xié)議平安配置操作

4.設備其他配置操作

集中自動化的配置平安核查

運用遠程核查與本地核查相結合的方式，在多種復雜應用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性平安配

置檢查。

圖7系統(tǒng)工作圖

1.通過“遠程登錄探測”功能，可以完全模擬人進行遠程登錄目標設備以進行平安配置檢測，不

會對目標設備正常運行造成任何影響。

2.對隔離設備等特定使用環(huán)境，“本地平安檢測”功能可直接在目標主機上收集相應的平安配置

信息，并能夠?qū)?shù)據(jù)匯總到NSFOCUSBVS設備上進行統(tǒng)一的數(shù)據(jù)匯總分析。

3.針對大多采用Windows終端的辦公網(wǎng)使用環(huán)境，可通過"ActiveX檢測"功能自動的對所用終

端進行檢測，并可進行統(tǒng)一數(shù)據(jù)分析。

多級多用戶分權使用

針對現(xiàn)有省移動的組織結構和網(wǎng)絡環(huán)境中，支持多級多用戶分權使用.多管理員使用配置平安核杳

系統(tǒng)，對每個使用者能夠設定其允許檢查的范圍，檢查過程中不能對目標系統(tǒng)的配置進行任何修改，只

能進行平安基線檢查工作。支持集中的管理員功能，能對所有配置平安核查的結果進行統(tǒng)一的查閱和分

析。

全面靈活的報表功能

綜合運用歷史數(shù)據(jù)搜索、比照分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統(tǒng)的問題

分布及危害，還可同時掌握多個不同省、市公司、業(yè)務系統(tǒng)的綜合風險變化情況，從而最終做出平安比

照評定?？蔀榫W(wǎng)絡平安狀況的評定和木米網(wǎng)絡建設提供了強有力的決策支撐。

圖8報表輸出圖

根據(jù)不同閱讀人員的需要生成各種自定義報告，提供所需的相關數(shù)據(jù)，從多個視角反映網(wǎng)絡的整體

配置平安狀況。可對不同的檢查點，定義不同的風險分值，對不平安配置分布、危害、平均符合度、設

備信息等多視角進行細粒度的統(tǒng)計分析，生成基于不同角色、不同內(nèi)容和不同格式的報表。

配置加固指南

針對每一條不符合標準的配置項，綠盟平安配置核查系統(tǒng)提供了詳細的配置平安加固指南。加固指

南切合具體的設備類型、系統(tǒng)版本，提出對應的執(zhí)行命令、參數(shù)供加固人員參考，能有效的指導加固操

作。

七.支持型平安效勞

綠盟科技支持型平安效勞以平安運維管理為核心，根據(jù)實際環(huán)境和需求進行效勞的組合及效勞形式

的調(diào)整，提供定期、不定期、實時等形式的效勞V通過各種表現(xiàn)形式的平安效勞，在業(yè)務系統(tǒng)內(nèi)部建立

PDCA循環(huán)機制，實現(xiàn)對信息系統(tǒng)的整體平安運維保障。

此次工程中，