信息化觀察網(wǎng)

信息系統(tǒng)安全解決方案

解決方案概述

電網(wǎng)網(wǎng)絡(luò)信息化本身職能的特殊性，對信息系統(tǒng)的安全性要求很高，因此在電力行業(yè)網(wǎng)絡(luò)中部署了很多信息安全產(chǎn)品來加強(qiáng)整體安全性。這些安全產(chǎn)品一部分是針對主機(jī)的合規(guī)性掃描，會產(chǎn)生大量的漏報和誤報還有一部分漏洞掃描平臺針對Web進(jìn)行漏洞掃描的時候需要使用爬蟲進(jìn)行抓取，會對業(yè)務(wù)系統(tǒng)產(chǎn)生額外的訪問壓力。電力行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)龐大，IT設(shè)備數(shù)量多、業(yè)務(wù)系統(tǒng)復(fù)雜，這些安全產(chǎn)品在解決資產(chǎn)管理和資產(chǎn)威脅快速發(fā)現(xiàn)和威脅管理的處置流程上比較復(fù)雜，無法對資產(chǎn)威脅的實(shí)時監(jiān)控，同時漏洞信息更新周期比較長無法與市面上最新發(fā)布的漏洞信息跟進(jìn)。缺乏集中的信息安全流程化的安全告警信息處理機(jī)制，不能夠有效實(shí)現(xiàn)資產(chǎn)安全運(yùn)維的快速發(fā)現(xiàn)威脅，及時處置。

安全解決方案

信息系統(tǒng)安全運(yùn)維管理平臺解決方案：

1.綜合監(jiān)控管理： 綜合監(jiān)控管理系統(tǒng)實(shí)現(xiàn)對IT基礎(chǔ)層的路由交換設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、服務(wù)等以及資源關(guān)聯(lián)的端口服務(wù)、日志等的全面監(jiān)管，幫助運(yùn)維員及時了解IT資產(chǎn)的運(yùn)行情況，形成資產(chǎn)統(tǒng)一監(jiān)控。

2.安全運(yùn)維服務(wù)管理： 運(yùn)維服務(wù)管理子系統(tǒng)是安全管理、日常工作和服務(wù)管理的有機(jī)結(jié)合。運(yùn)維服務(wù)管理子系統(tǒng)基于ITIL（運(yùn)維管理最佳實(shí)踐等）和實(shí)際管理需求，提供服務(wù)流程管理、業(yè)務(wù)資源管理、安全管理為主的綜合性管理，以保障運(yùn)維管理的規(guī)范化和標(biāo)準(zhǔn)化，提升日常運(yùn)維管理效能。

3.安全信息采集與分析： 采集各種廠商、各種類型的日志信息，針對采集的各類安全要素信息，實(shí)現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風(fēng)險分析和宏觀態(tài)勢分析。其中，風(fēng)險分析包括了資產(chǎn)價值分析、影響性分析、弱點(diǎn)分析、威脅分析等；宏觀態(tài)勢分析包括了地址熵分析、熱點(diǎn)分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析。

根據(jù)前期從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲、應(yīng)用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù)，進(jìn)行范式化處理，把各種不同表達(dá)方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。

4.安全隱患預(yù)警與處置： 采用主動管理方式，能夠在威脅發(fā)生之前進(jìn)行事前安全管理。主要提供安全威脅預(yù)警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進(jìn)行安全核查。

安全威脅預(yù)警管理，用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

主動漏洞掃描管理，能夠主動地、定期自動化地發(fā)起漏洞掃描、攻擊測試等，并將掃描結(jié)果與資產(chǎn)進(jìn)行匹配，進(jìn)行資產(chǎn)和業(yè)務(wù)的脆弱性管理。配合安全檢查管理，夠協(xié)助運(yùn)維管理人員建立安全配置基線管理體系，實(shí)現(xiàn)資產(chǎn)安全配置檢查工作的標(biāo)準(zhǔn)化、自動化，并將其納入全網(wǎng)業(yè)務(wù)脆弱性和風(fēng)險管控體系。

5.告警管理： 為了全面的收集各類事件告警，系統(tǒng)應(yīng)提供所有事件告警的統(tǒng)一管理。

告警消息能按照應(yīng)用類別、消息種類、消息級別和處理崗位進(jìn)行分類處理。消息種類可分為：操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲、硬件、應(yīng)用、安全和網(wǎng)絡(luò)等。能對告警級別進(jìn)行自定義，根據(jù)級別確定電話告警，短信告警，郵件告警的方式進(jìn)行報警。

6.風(fēng)險管理： 信息安全風(fēng)險管理工作是在安全信息分析與處理功能的基礎(chǔ)上進(jìn)行信息安全風(fēng)險評估、信息安全整改任務(wù)等工作信息安全風(fēng)險評估，根據(jù)安全信息分析結(jié)果開展風(fēng)險評估流程，將風(fēng)險評估結(jié)果形成豐富而詳細(xì)的圖形及報表。

方案特點(diǎn)和優(yōu)勢

信息安全的目標(biāo)就是確保信息在采集、存儲、傳輸、處理、使用、銷毀整個生命周期內(nèi)的保密性、完整性、可用性。從這個角度來看，保障信息安全的手段就是建立一套行之有效的信息安全管理體系實(shí)現(xiàn)對信息保密性、完整性、可用性的有效管理。

本方案主要為實(shí)現(xiàn)對資產(chǎn)信息進(jìn)行統(tǒng)一發(fā)現(xiàn)監(jiān)測，對安全事故進(jìn)行定義、發(fā)現(xiàn)、報告、響應(yīng)、評價、懲戒和預(yù)警等功能。即在資產(chǎn)變動和信息安全事故發(fā)生時能夠迅速對事故進(jìn)行定義、分級，并及時發(fā)現(xiàn)和報告給相關(guān)人員，相關(guān)人員迅速成立處理小組對事故進(jìn)行快速響應(yīng)，防止事態(tài)進(jìn)一步擴(kuò)大，減少損失。事故處理完畢后，要尋找事故發(fā)生的原因，對相關(guān)責(zé)任人員進(jìn)行懲處，避免類似事故再次發(fā)生。

通過對信息資產(chǎn)、信息資產(chǎn)屬性、信息資產(chǎn)的運(yùn)行狀態(tài)、信息資產(chǎn)產(chǎn)生的安全告警信息的集中監(jiān)控、管理與分析，形成由預(yù)警、檢測、防護(hù)、響應(yīng)、恢復(fù)和反擊等一系列動作構(gòu)成的安全閉環(huán)反饋系統(tǒng)。

根據(jù)電力信息系統(tǒng)業(yè)務(wù)流的特點(diǎn)，識別和管理組成內(nèi)部IT基礎(chǔ)架構(gòu)的關(guān)鍵信息資產(chǎn)，制訂統(tǒng)一的信息安全策略，在規(guī)范統(tǒng)一的平臺上有機(jī)整合系統(tǒng)內(nèi)部各種安全資源，實(shí)施集中的安全告警信息管理、安全風(fēng)險管理、終端安全管理等一系列安全管理活動，并通過統(tǒng)一的安全報表、安全報警響應(yīng)以及安全告警信息處理流程，保證電力信息系統(tǒng)正常運(yùn)行和持續(xù)性發(fā)展.