电力版安全基线配置核查系统技术方案

电力

安全配置核查服务处理方案

2023年月

目录

一.背景.............................................................错误!未定义书签。

二.需求分析.........................................................错误!未定义书签。

二.安全基线研究.....................................................错误!未定义书签。

四.安全基线的建立和应用...........................................错误!未定义书签。

五.项目概述.......................................................错误!未定义书签。

六.处理方案提议...................................................错误!未定义书签。

6.1组网布署......................................................错误!未定义书签。

6.2产品特色功能..................................................错误!未定义书签。

七.支持型安全服务.................................................错误!未定义书签。

7.1安全预警......................................................错误!未定义书签。

7.2安全加固......................................................错误!未定义书签。

7.3安全职守......................................................错误!未定义书签。

7.4安全培训......................................................错误!未定义书签。

八.方案总结和展望.................................................错误!未定义书签。

一.背景

近年来，从中央到地方各级政府H勺平常政务、以及各行业企业的业务开展对IT系统依赖

度的不停增强，信息系统运维人员的安全意识和安全技能也在逐渐提高。最直接的体现为一

一老式以安全事件和新兴安全技术为重要驱动的安全建设模式，已经逐渐演进为以业务安全

需求为重要驱动的积极式安全建设模式。从经典的信息安全建设过程来看，是由业务需求导

出的安全需求在驱动着安全建设的全过程。

而怎样获取精确全面的安全需求以指导未来的安全建设并为业务发展服务，怎样建立一

套行之有效的风险控制与管理手段，是每一种信息化主管所面临的共同挑战。

伴随电力行业科技创新能力的I日益提高，业务应用日勺日趋丰富，电力行业业务的开拓越

来越依托于IT技术的）进步：电力的发展对信息系统的依赖程度不停增强，对电力信息系统安

全建设模式提出了更高更多的规定，信息安全建设工作已经是电力信息化建设中的重要内容,

安全基线建设就是电力信息安全建设中一项新的举措和尝试。

在电力行业里，各类道信和IT设备采用通用操作系统、数据库，及各类设备间越米越多

的使用IP协议进行通信，其网络安全问题更为凸出。为了维持电力的通信网、业务系统和支

撑系统设备安全，必须从入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强

和贯彻安全规定。需要有一种方式进行风险的控制和管理。本技术方案将以安全基线建设为

例，系统简介安全基线建设在电力信息安全建设工作中的设计与应用

也许带来非常多的安全隐患，因此对安全配置进行有效II勺检查和加固成为整体安全体系建设

中的重要一-环。（安全漏洞和异常事件方面本文不做讨论）

三.安全基线研究

针对顾客需求，可以采用安全基线日勺思想进行风险的控制和管理。

顾名思义，“安全基线”概念借用了老式的“基线”概念。字典上对“基线”口勺解释是：

一种在测量、计算或定位中的基本参照。如海岸基线，是水位抵:^的水位线。类比于“木桶理

论”，可以认为安全基线是安全木桶的最短板，或者说，是最基本R勺安全规定。

假如我们将企业信息系统建立安全基线，如对每个网元、应用系统都定义安全基准点，

即设定满足最基本安全规定的条件，并在设备入网测试、工程验收和运行维护等设备全生命

周期各个阶段加强和贯彻安全基线规定，则可以进行风险的度量，做到风脸可控可管。

怎样设计一整套适合政企自身业务特点的安全基线模型呢？我们可参照国内外的成功经

验，同步结合某些行业的风险控制手段，就可以设计出针对业务系统的基线安全模型。在这

些参照内容中，最值得借鉴W、J是美国FISMA（TheFederalInformationSecurityManagement

Act,联邦信息安全管理法案）W、J实行和落地过程。

FISMA定义了一种广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。

FISMA在2023年成为美国电子政府法律II勺一部分，把责任分派到多种各样的机构上来保证

联邦政府的数据安全。其提出了一种包括八个环节的信息安全生命周期模型，这个模型的执

行过程波及面非常广泛且全面，但实行、落地的难度也非常大。而后由NIST（美国国标技术

研究院）牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP（Information

securityautomationprogram）来增进FISMA的执行，ISAP出来后延伸出SCAP协议（Security

ContentAutomationProtocol）,该协议通过明确口勺、原则化欧I模式使得漏洞管理、安全监测

和政策符合性与FISMA规定一致。SCAP协议由CVE、CCE、CPE、XCCDF、OVAL、OVSS

等6个支撑原则构成，即定义了一套安全基线库。由此SCAP框架就实现了原则化和自动化，

形成了一套针对系统的安全检查基线，得以将FISMA的信息安全生命周期模型进行落地。

FISMA规范

HighLevelGeneralizedInformationSecurityRequirements

规范涉及的标准和处理流程

FIPS199:InformationSystemSecurityCategorization

FIPS200:MinimumInformationSecurityRequirement

■■■

管理层面技术层面运维层面

安全控制措施安全控制措施安全控制措备

.

信息系统安全配置

NIST.NSA.DISA.Vendors.ThirdParties(e.g..CIS)Checklists

andImplementationGuidance

图1FISMA遵从模型

简言之SCAP体现了三个方面的特性：

1.可操作性：通过SCAP明确日勺提出了应当贯穿风险管理的规定和措施，通过技术与

管理两方面的J手段，将体系化的J指导思想进行落地。

2.原则化：在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线（检查项），

这些检查项由安全漏洞、安全配置等有关检查内容构成，为原则化口勺技术安全操作

提供了框架。

3.自动化：针对桌面系统II勺特性，采用原则化U勺检查内容和检查措施，通过自动化II勺

工具来执行，为自动化的技术安全操作提供支持。

借鉴FISMA的实行和落地过程，在基于业务的I安全评估的J基础上，构建出基于业务系统

小J安全基线模型。该模型围绕承载业务及数据的安全需求，建立一种覆盖企业的业务体系、

应用体系和IT基础设施口勺多层次的安全系统架构，从而指导企业日勺风险控制与管理。

图2安全基线模型

安全基线模型以业务系统为关键，分为业务层、功能架构层、系统实现层三层架构：

1.第一层是业务层，这个层面中重要是根据不一样业务系统的特性，定义不一样安全

防护的规定，是一种比较宏观的规定。形成基于某业务系统的风险管理系统。

2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、

网络设备、安全设备等不一样口勺设备和系统类型，这些设备类型针对业务层定义的

安全防护规定细化为此层不一样模块应当具有的规定。即在技术手段上实现脆弱性、

安全方略以及重要信息的I监控。

3.第三层是系统实现层，将第二层模块根据业务系统的特性深入分解，找到基准安全

配置项和重要方略文献等，即建立安全基线弱点车。如将操作系统可分解为Windows.

Linux等详细系统模块。这些模块中又详细时把第二层日勺安全防护规定细化到可执行

和实现H勺规定，称为该业务系统欧JWindows安全基线、Linux安全基线等网元日勺安

全基线。

下面以近期关注度比较高的WEB网站安全为例对模型的应用进行阐明：

首先WEB网站要对公众顾客提供服务，存在互联网的接口，那么就会受到互联网中多种

袭击威肋、导致例如网页内容篡改、网站挂马等成果。在第一层业务需求中就定义需要防备

网页内容篡改、网站挂马的规定。而这些防护规定对于功能架构层的WEBServer、操作系统、

安全设备等都存在也许的影响，因此在这些不一样H勺模块中需要定义相对应日勺防备规定。而

针对这些防备规定，怎样来实现呢？这就需要定义全面、有效的第三层模块规定了。第三层

中就是根据WEB应用的承载系统，针对多种安全威胁在不一样口勺模块定义不一样H勺防护规定,

这些不一样模块的防护规定就统一称为该WEB网站口勺安全基线。针对该WEB网站安全基线

的检杳，就可以转化为针对WEBServer、承载系统等日勺脆弱性检查上面。

U!安全基线的建立和应用

首先根据企业状况，建立一套本组织在目前时期的“理想化安全水平基准点”，即“安

全基线”。这个“安全基线”可以同步包括政策合规性U勺需求、自身的安全建设发展需求、

特殊时期的安全保障需求等，然后通过某些手段（例如自动化的评估工具）对组织既有的安

全水平进行分析・。通过对比“理想化安全水平基准点”，就形成了一套差距分析结论。企业

自身针对这个差距进行适时监测、确认和跟踪即可，对任何违规状况进行预警或通报，提出

“补足差距”日勺提议方案；而这个“理想安全水平基准点”就是该组织日勺最优安全状态。追

求规避所有风险也是不现实的，信息系统在到达基线水平之后，部分风险自然会被转移或减

少。这样便可以实现持续定义安全基线，持续监管和持续改善，可以使每一时期每一阶段的

安全水平都是可控的。同步，搜集完数据后，根据企业安全状况进行风险的度量，输出结合

政策法规规定H勺风险报表。

系统上线

周

期

性

检

测

图3安全基线控制图

“人疏忽

错误的配置

,自身问题

漏洞、BUG等

图4基线安全H勺应用

应用第三层面安全基线的规定，可以对目的业务系统展开合规性安全检查，以找出不符

合的项，并选择和实行安全措施来控制安全风险。

1.安全配置：一般都是由于人为的疏忽导致，重要包括了账号、口令、授权、日志、IP

通信等方面内容，反应了系统自身的安全脆弱性。安全配置方面与系统的有关性非

常大，同•种配置项在不•样业务环境中的安全配置规定是不•样样日勺，如在WEB

系统边界防火墙中需要启动通信，但一种WAP网关边界就没有这样口勺需求，因

此在设计业务系统安全基线口勺时候，安全配置是一种关注的重点。

2.安全漏洞：一般是系统自身日勺问题引起的安全风险，一般包括了登录漏洞、拒绝服

务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外状况处置错误等，反应了系统自

身的安全脆弱性。

业务系统H勺安全基线建立起来之后，将形成针对不一样系统的详细Checklist表格和操作

指南，为原则化IJ勺技术安全操作提供了框架和原则。其应用范围非常广泛，重要包括新业务

系统的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、平常安全检查等。

五.项目概述

目前，防火墙、防病毒软件等老式的安全管理工具在老式的信息安全建设领域发挥了重

要作用，但怎样防止安全产品各自为战，将安全建设整体划一、形成合力仍是信息安全建设

过程中需要关注的问题。

近年来，**供电企业在信息系统、网络设备的安全管理上管理内容不停拓宽，管理力度不

停加大，布署了防火墙、入侵防御、防病毒等等一系列的安全产品，安装的时间不一样，缺

乏统一的安全原则和配置规范，服务器口勺安全管理上扔存在安全隐患。安全配置核查系统，

是**供电企业对网络设备，信息系统服务进行横向的安全评估和管理，通过度析业务网信息系

统实际现实状况和面临风险的不一样来源，制定针对不一样系统的详细检查表格和操作指南,

建立统一的服务器、网络设备、数据库和应用系统安全配置规范，形成**供电企业业务网安全

基线，为此后企业设备入网、系统验收、平常维护及安全核查工作提供可参照的统一原则和

规范。

绿盟安全配置核查系统，重要实现集中自动化H勺对企业的J路由器、数据库、主机系统等

设备的配置进行安全检查，检查后自动生成符合状况汇报，并对不符合项提出详细的J改善方

案。

支持型安全服务，重要提供安全预警、安全加固、安全征询等专业安全服务，为**供电企

业提供完善日勺网络设备安全风险管理，提高移动各中心市新业务系统上线、第三方系统接入

和平常安全运维检查和加固的实际效果，有效减少安全风险的发生概率。

六.处理方案提议

基于**供电企业目前的网络系统现实状况和组织构造，计划采用多套硬件版绿盟安全配置

核查系统布署在网管中心、新业务开发中心和业务支撑中心内，实现分权分区自动化的配置

安全核查。同步，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足便

携配置安全核查H勺规定，用作统一口勺数据搜集和管理.

安全配置核查建设充足考虑电力信息安全的现实状况和电力行业最佳实践，同步参照了

电监会、国家经贸委和国家电网等监管部门下发的安全政策文献，继承和吸取了国家绛级保

护、风险评估II勺经验成果，构建出基于业务的基线安全模型（如下图）。

通过该方案日勺布署实行，形成各中心设备配置安全核查数据的汇总与分析能力。通过度

析处理汇总日勺核查数据，形成全面日勺安全配置现实状况，利于有效运用资源，处理关键问题，

减少系统的脆弱性，提高抗风险的能力。同步，也能周期性的根据集团企业H勺“安仝运维规

定”进行合规检杳，增进集团安全检杳口勺成果。

6.1组网布署

网管中心

图6配置安全核查系统布署示意图

配置安全核查系统的组网模式比较简朴，可以将其旁路布署在既有网络中。管理员通过

WEB页面登录系统下达核查任务，检查任务既可以远程次行也可以当地执行。远程执行，通

过Telnet、SMB、SSH等形式看待查设备进行配置安全核查，需要保证网络IP可达，并提供

待查设备的管理帐户和口令；当地执行，对于网络中不便进行远程核查的目的系统（Windows

系统），提供配套日勺自动化程序，可执行程序在待杳设备当地执行后生成报表文献，然后导

入到配置安全核查系统中进行汇总和分析。

绿盟安全配置核查系统的应用非常灵活，只要待查设备为支持范围内的网络设备、主机

系统等都可以自动化的进行安全配置检查，就重要的应用状况来看，重要有如下几种应用：

1.平常运维核查，对既有正在运行的系统设备进行定期检查，发现配置漏洞和错误。

2.新上线系统核查，在新布署的系统设备上线之前进行必要的配置安全检查，提前发

现配置漏洞和错误。

3.第三方接入核查，对接入移动系统的第三方设备进行配置检杳，提前发现配置漏洞

和错误。

重大事件前核查，在重大社会活动、集团安全巡检等事件前期，对重点设备、系统进行

配置安全核查，提前发现配置漏洞和错误。

6.2产品特色功能

建立安全基线，贯彻风险控制规定

通过NSFOCUSBVS对重要信息系统建立安全配置基线，将业务的安全需求转换为对网

元设备的详细技术规定进行贯彻。NSFCUSBVS为管理者的定量观点与安全专家所采用的

详细检测措施之间架设了桥梁，通过建'Z业务系统日勺安全配置基线，以实现业务系统的安全

风险度量，让安全风险可挖、可管。

基于实践的安全配置知识库

NSFOCUSRSAS系统日勺安全配置库来源于绿盟科技数年安全服务的执着实践，每•条

安全配置都是绿盟科技安全服务团体的数年评估服务的结晶。

该知识库内容涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配

置加固提议，通过该知识库可以全面日勺指导IT信息系统的安全配置及加固工作。并且根据IT

信息系统的不停发展持续进行更新。

多类型设备自动化的I安全配置核查

可以根据安全配置知识库的规定，判断待查设备11勺检查项目达标与否，支持百分制对目

的系统的达标状况进行打分。

既有绿盟安全配置核查系统欧I检查对象涵盖了：WindowsXP/2023Server中英文版本操

作系统、Solaris8/9/10中英文版本操作系统、AIX5.X操作系统、Linux操作系统、Oracle

8i/9i/10g数据库、Informix数据库、思科网络设备、华为网络设备、Juniper网络设备。检查

的）内容包括四个部分，分类如下：

1.账号管理、认证和授权（账号、口令和授权）

2.日志配置操作

3.IP协议安全配置操作

4.设备其他配置操作

集中自动化的配置安全核查

运用远程核查与当地核查相结合的方式，在多种复杂应用环境下均可实现自动化的大规

模性安全配置检查。

&Query♦;

伯圮我取

图7系统工作图

1.通过“远程登录探测”功能，可以完全模拟人进行远程登录FW勺设备以进行安全配

置检测，不会对目11勺设备正常运行导致任何影响。

2.对隔离设备等特定使用环境，“当地安全检测”功能可直接在目H勺主机上搜集对应

日勺安全配置信息，并可以将数据汇总到NSFOCUSBVS设备上进行统一日勺数据汇总

分析。

3.针对大多采用Windows终端的办公网使用环境.可通过“ActiveX检测”功能自动

的对所用终端进行检测，并可进行统一数据分析。

多级多顾客分权使用

针对既有省移动的组织构造和网络环境中，支持多级多顾客分权使用。多管理员使用配

置安全核查系统，对每个使用者可以设定其容许检查日勺范闱，检杳过程中不能对目的系统的）

配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安

全核查的成果进行统一的查阅和分析。

全面灵活的报表功能

综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观理解单个

系统的问题分布及危害，还可同步掌握多种不一样省、市企业、业务系统的综合风险变化状

况，从而最终做出安全对比评估。可为网络安全状况H勺评估和未来网络建设提供了强有力的

决策支撑。

图8报表输出图

根据不一样阅读人员的需要生成多种自定义汇报，提供所需的有关数据，从多种视角反

应网络的整体配置安全状况。可对不一样的检查点，定义不一样的风险分值，对不安全配置

分布、危害、平均符合度、设备信息等多视角进行细粒度的记录分析，生成基于不一样角色、

不一样内容和不一样格式的报表。

配置加固指南

针对每一条不符合规范的配置项，绿盟安全配置核查系统提供了详细的配置安全加固指

南。加固指南切合详细的设备类型、系统版本，提出对应的执行命令、参数供加固人员参照,

能有效欧I指导加固操作。

七.支持型安全服务

绿盟科技支持型安全服务以安全运维管理为关键，根据实际环境和需求进行服务的组合

及服务形式的调整，提供定期、不定期、实时等形式的服务。通过多种体现形式的安全服务，

在业务系统内部建立PDCA循环机制，实现对信息系统向整体安全运维保障。

本次项目中，通过绿盟科技支持型安全服务为移动提供配置安全核查系统上线后的安全

运维服务工作，为平常安全运维保障工作提供有效的支持服务。

7.1安全预警

目前.，信息安全问题正以每周新增儿卜甚•至儿白例的速度在全世界得到