杨彦仙

摘  要：安全基线是保证电网信息管理系统稳定和安全运行的重要基础。在智能电网背景下，电力管理中IT主流设备的规模在不断扩大，在提供诸多管理便利的同时，如何保障这些IT设备的运行环境安全、电力数据安全，成为必须要考虑的问题。文章首先概述了安全基线的主要组成，随后从确定适用范围、编制技术规范、设计系统模型等方面，详细分析了IT主流设备安全基线的应用流程，最后列举了安全基线在电力管理中运用所需的几项核心技术。

关键词：IT设备;安全基线;电力管理;安全配置识别技术

中图分类号：TM73          文献标志码：A         文章编号：2095-2945（2020）16-0179-02

Abstract： Security baseline is an important foundation to ensure the stable and safe operation of power grid information management system. In the context of smart grid， the scale of IT mainstream equipment in power management is constantly expanding. While providing a lot of management convenience， how to ensure the operating environment security and power data security of these IT devices has become a problem that must be considered. This paper first summarizes the main components of the safety baseline， then analyzes in detail the application flow of the safety baseline of the mainstream IT equipment from the aspects of determining the scope of application， compiling technical specifications and designing system models， and finally enumerates several core technologies needed for the application of safety baseline in power management.

Keywords： IT equipment; security baseline; power management; security configuration identification technology

引言

安全基线的作用在于为信息管理系统提供最低的安全保证，具体到电力信息管理系统来说，要求所有的IT主流设备，其安全防护水平都要高于安全基线，以保证整个信息系统的稳定、安全、高效运行。近年来，电网公司在安全基线研究、部署、推广等方面进行了大量的尝试，取得了显著成果。对于基层供电局来说，也要结合自身的业务情况，以及电力管理系统的运行需要，及时做好IT主流设备安全基线的规划设计、运维管理，从而支持基层电力管理工作和供电服务工作的高质量开展。

1 安全基线的主要内容

1.1 漏洞信息

IT主流设备或常规应用软件，由于系统设计缺陷，或是自带的防护系统存在漏洞等，面临着较多的安全隐患。为了切实保障电力信息系统的安全，在安全基线中设计了漏洞信息模块。结合常见的安全漏洞形式，能够精确识别并记录DOS（拒绝服务攻击）漏洞信息、信息泄露信息、数据库漏洞信息等。通过检查这些漏洞信息，可以帮助管理人员更加直观的认识到当前系统中存在的问题，进而为下一步系统优化和漏洞修复提供了必要的参考。

1.2 安全配置

这一模块又可分为应用系统安全配置、网络系统安全配置、IT设备安全配置等几部分。其中，在应用系统安全配置中，一种渠道是保障系统运行平台的安全性，例如通过定期修补系统漏洞、进行系统访问检测等，预防来自外部网络的安全隐患;另一种渠道则是从应用程序入手，在应用系统的设计、应用程序的运行等方面，进行安全检查。在网络安全配置中，大量的数据信息通过网络进行输入和输出，而这些数据中本身可能包含一些隐藏的病毒。通过对网络数据的严格审查，既可以保障网络系统的安全性，又能够保证数据本身的完整性和隐私性。在IT设备安全配置中，主要是对操作系统、数据库、路由器、交换机等软硬件设备进行安全检查，以保证IT主流设备的运行安全。

1.3 重要状态

该模块主要包含了系统当前运行的一些重要参数。管理员可以通过端口状态和运行进程，了解到与之对应的各个IT主流设备的安全状况。重要文件记录了每一台IT主流设备的详细信息，既包括基础性的设备参数，也有设备运行日志。由于系统运行是一个动态变化的过程，并且随着业务的不断扩展，IT主流设备种类、数量也会相应的增加。因此在端口设计上具备较强的可扩展性，可以根据实际情况随时接入新的端口，保证了安全基线始终具有较强的适用性。

2 IT主流设备安全基线的应用流程

2.1 确定安全基线的适用范围

近年来，电力管理系统中使用到的IT主流设备无论是在种类还是数量上，均有逐步增加的趋势。而这些IT主流设备由于操作系統、组织架构、运行模式、安全协议等方面存在较多的差异。为了更好的发挥安全基线的应用效果，在构建安全基线系统的第一步，就是要明确适用范围，以确保电力管理系统中所有的IT主流设备，都能够满足安全运行条件，从而切实提高系统运行稳定性和安全性。

明确信息安全基线的适用范围为管理信息大区内IT主流设备，主要包括AIX系统、Windows系统、Linux系统、HPUNIX系统、Oracle数据库系统、MSSQL数据库系统，WEBLogic中间件、ApacheHTTPServer中间件、Tomcat中间件、IIS中间件、Cisco路由器/交换机、华为网络设备、Cisco防火墙、Juniper防火墙和Nokia防火墙等。通过安全基线标准来提升管理信息大区内的信息安全防护能力。依照范围制定《IT主流设备安全基线技术规范》。

2.2 编制安全基线的管理规范

IT主流设备数量多且分布零散，为了尽快的完成IT主流设备安全基线的布置任务，电网公司应当及时编制《IT主流设备安全基线管理办法》、《IT主流设备安全基线技术规范》等相关文件，然后下发给基层供电局参照执行。在这些标准文件中，应当涵盖供电力系统中所用IT设备的全部类型，并且按照一定的标准进行分类，针对具体的类别提供相应的安全基线部署方案，作为下一步开展安全基线建设的重要依据。同时，各供电局还应结合自身的实际情况，以及IT主流设备安全基线的布局需要，完善组织架构和明确职责分工，确保安全基线设计、建设、检查等各项工作都有专人负责。另外，结合安全基线的内容组成，像安全配置、补丁管理、通用标准等，也需要参照标准文件中的具体要求加以确定。

2.3 设计安全基线的基本模型

结合IT主流设备的运行特点与安全管理需求，确定安全基线管理系统的基本模型以及内部的主要组成。总体来看，核心组成主要有报表管理模块、基线管理模块、数据采集模块、安全管理模块、数据库模块等。具体来说：（1）报表管理模块。包含了用户个人账户管理、安全基线基本配置管理、系统漏洞管理等。所有管理事项都会统计并上报给报表中心，然后生成一份报表。（2）基线管理模块。包含了基线库管理、端口管理、脚本管理、采集管理等。端口管理中，除了与IT主流设备相接外，还设有一个独立端口，与数据库进行数据传输。（3）数据采集模块。通过分布在IT主流设备上的传感器等功能性元件，进行数据采集，采集对象包括漏洞数据、运行参数等。（4）安全管理模块。包含了防火墙、IDS/IPS、补丁管理、病毒检测等安全保护系统。

2.4 开发安全基线的核查工具

安全基線系统在投入运行后，由于IT主流设备运行中产生的数据流庞大，加上存在多个管理终端，这就导致安全基线在实施中也经常面临超负荷运行的情况，久而久之防护能力也会有所下降。同时，由于病毒的不断更新，安全基线也有可能出现对新型病毒防控不到位的情况。为此，还需要开发和使用自动化核查工具，每隔一段时间对安全基线系统进行更新、完善，始终保证对IT主流设备的防护效果。

在检查工具的选择上，有本地检查和远程检查两种。本地检查是基于目标系统的管理员权限，通过Telnet/SSH/SNMP、远程命令获取等方式获取目标系统有关安全配置和状态信息;然后根据这些信息，与预先制定好的检查要求进行比较，分析符合情况;最后根据分析情况汇总出合规性检查结果。而远程检查则是利用漏洞扫描的方式，综合运用NSIP等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞。同时可以提供Open VM工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中。

3 IT主流设备安全基线管理系统的核心技术

3.1 基于用户行为模式的管理架构

安全基线系统的设计初衷，是为了辅助人工完成IT主流设备的安全检查。因此无论是从管理架构的设计还是实用功能的开发上，都是以为管理员提供操作便利为主要目的。安全基线系统需要动态的获取IT主流设备的运行参数和实时公开，因此在设计中还应用了数据自动收集、智能匹配检查、分值科学评定等技术，保证安全基线系统可以对IT主流设备的安全状态做出精准评价，进而为下一步采取相应的管理措施提供了参考。为了能够以SSL加密通讯方式利用浏览器进行远程管理，系统采用B/S架构进行管理。

3.2 高效、智能的安全配置识别技术

结合上文可知，安全基线系统中设计了本地检查和远程检查两种模式，可以支持在不同条件下对本系统的安全配置进行自检，以保证安全基线系统始终发挥稳定的防护功能。为了提高检查的准确率，在设计中也会使用到基于大数据和AI的智能技术。通过实现智能化、全自动的安全配置检查，一方面是克服了传统以人工为主，手动单点检查所存在的准确率低、时效性差等问题;另一方面又能够提供更加广泛的识别范围，让最终的识别和评估结果准确率都得到大幅度的提升，支持了安全基线系统在复杂环境下也能够取得良好应用。

4 结束语

在电力管理信息化发展趋势下，如何保障信息系统中各类IT主流设备的运行安全，是决定电力管理系统功能发挥的重要因素。安全基线系统将漏洞扫描、系统自查、安全配置、整改加固等多项功能集于一体，同时具有较强的可扩展性，保证了较强的环境适应能力。近年来，随着电网公司在安全基线研究方面加大了投入力度，以及各类管理标准、技术规范的出台，为安全基线系统的标准化、智能化发展提供了重要推动力。今后还要继续做好安全基线系统的研究和开发，以支持电力管理信息化的不断发展。

参考文献：

[1]孙轶凡，尚博祥，刘晨.基于安全基线的电力信息系统运维管理框架研究[J].经营与管理，2017（03）：130-132.

[2]罗朝宇，王福新，李宗涛.基于SCAP框架的信息系统安全基线技术研究与应用[J].电力信息与通信技术，2014（7）：97-100.

[3]常荣，李邦源，刘松，等.以信息安全为基线的IT运维服务多体系融合管理研究与实践[J].信息技术与信息化，2018，217（04）：177-180.