4A管理電力行業(yè)信息系統(tǒng)安全建設(shè)的基石

2013-10-16 17:44:59 EP電力信息化網(wǎng)　點擊量：評論 (0)

作為安全體系建設(shè)的重要組成部分和基石，訪問控制管理是企業(yè)信息安全建設(shè)的第一道防線，實施有效的、安全的訪問控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門和國內(nèi)的安全企業(yè)一直在研

作為安全體系建設(shè)的重要組成部分和基石，訪問控制管理是企業(yè)信息安全建設(shè)的第一道防線，實施有效的、安全的訪問控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門和國內(nèi)的安全企業(yè)一直在研究關(guān)于訪問控制的標準和技術(shù)，并在借鑒國外信息安全訪問控制領(lǐng)域中成熟的法規(guī)和標準的基礎(chǔ)上，于近兩年提出了“4A”的概念，即建立統(tǒng)一的訪問控制安全管理平臺，在信息系統(tǒng)中實現(xiàn)統(tǒng)一帳號（Account）管理、統(tǒng)一身份認證（Authentication）管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一審計(Audit)管理。在國內(nèi)，以中國移動為代表的通信行業(yè)已經(jīng)進行了4A管理成功的推廣和實施。我國的其他重點行業(yè)，如醫(yī)療行業(yè)也都在積極研究制定符合本行業(yè)的4A標準。作為國家重點基礎(chǔ)能源行業(yè)的電力行業(yè)，在等級化保護制度的推動下必然加快對信息安全訪問控制領(lǐng)域標準和技術(shù)的研究與應(yīng)用。

本文結(jié)合電力企業(yè)信息系統(tǒng)的安全現(xiàn)狀，在介紹國內(nèi)外4A管理的背景和發(fā)展現(xiàn)狀的基礎(chǔ)上，闡述了4A統(tǒng)一安全管理平臺的體系結(jié)構(gòu)，以及通過實施4A解決方案，如何解決企業(yè)在信息安全訪問控制方面的問題。

我國電力企業(yè)信息系統(tǒng)現(xiàn)狀及訪問控制面臨的風險

隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多，要求在各業(yè)務(wù)系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，根據(jù)國家電監(jiān)會的《電力二次系統(tǒng)安全防護規(guī)定》，電力系統(tǒng)核心網(wǎng)絡(luò)按業(yè)務(wù)類型劃分，可以分成四大區(qū)域：實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)。各區(qū)分別屬于不同的安全域，具有不同的安全等級。

電力信息系統(tǒng)由于其自身業(yè)務(wù)的特殊性，具有實時性、復(fù)雜性、多層次、多需求的特點。隨著我國電力信息化建設(shè)的不斷推進，很多電力企業(yè)也已經(jīng)開始加強電力信息網(wǎng)絡(luò)安全建設(shè)。但是，電力系統(tǒng)信息安全是一項技術(shù)及管理高度復(fù)雜的大型系統(tǒng)工程，包括信息網(wǎng)絡(luò)安全體系層面的問題和安全管理層面的問題。

目前，在我國的電力行業(yè)信息安全建設(shè)中，很多企業(yè)還沒有建立整體的安全體系架構(gòu)，缺乏信息安全管理的意識，由于網(wǎng)絡(luò)建設(shè)的歷史問題，存在眾多的“信息孤島”，缺乏進行統(tǒng)一安全管理的解決方案，尤其是在網(wǎng)絡(luò)安全建設(shè)金字塔底層的基礎(chǔ)安全建設(shè)中缺乏統(tǒng)一的訪問控制管理，使企業(yè)的信息安全基礎(chǔ)存在重大的隱患。主要表現(xiàn)在：

1.大量的網(wǎng)絡(luò)設(shè)備、主機和應(yīng)用系統(tǒng)都具有各自的帳號管理功能，當需要同時對多個系統(tǒng)進行操作時，需要在系統(tǒng)間來回切換，工作復(fù)雜度成倍增加。

2.個別帳號多人共用，擴散范圍難以控制，發(fā)生安全事故時更難以確定實際使用者。

3.隨著系統(tǒng)的增多，為不影響工作效率，用戶往往會采用簡單口令或?qū)⒍鄠€系統(tǒng)的口令設(shè)置成相同的，造成對系統(tǒng)安全性的危害。

4.各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障。

5.對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為。

由于缺乏統(tǒng)一的訪問控制管理平臺，不僅加重系統(tǒng)管理人員的工作負擔，而且因各業(yè)務(wù)系統(tǒng)安全策略不一致，實質(zhì)上也大大降低了業(yè)務(wù)系統(tǒng)的安全系數(shù)，從而增加了整個網(wǎng)絡(luò)的安全風險。

統(tǒng)一安全管理的重要組成——4A管理

統(tǒng)一安全管理是企業(yè)安全體系建設(shè)的重要思想，它不僅涉及到物理安全、終端安全、網(wǎng)絡(luò)安全等基礎(chǔ)設(shè)施層面的統(tǒng)一安全管理，同時涉及加密、數(shù)據(jù)安全和認證等應(yīng)用層面的統(tǒng)一安全管理，4A管理有效地實現(xiàn)了對企業(yè)應(yīng)用系統(tǒng)和設(shè)備的統(tǒng)一的訪問控制管理，包括統(tǒng)一的帳號管理、認證管理、授權(quán)管理和審計管理。4A管理與統(tǒng)一安全管理平臺的關(guān)系如。

國內(nèi)外4A安全管理的現(xiàn)狀與發(fā)展

早在1996年，美國的醫(yī)療行業(yè)就頒布了HIPAA法案（健康保險流通與責任法案，Health InsurancePortability and Accountability Act），其中涉及到了如何通過物理上和技術(shù)上的安全措施來保證系統(tǒng)的可用性、完整性，以及患者資料的機密性，被認為是醫(yī)療行業(yè)的4A管理法規(guī)。HIPAA法規(guī)在實踐中不斷修改完善，在2003年2月，美國衛(wèi)生與公眾服務(wù)部(HHS)對醫(yī)療機構(gòu)制訂了明確的安全標準，規(guī)定所有提供醫(yī)療健康服務(wù)的組織如醫(yī)院、健康