4A管理電力行業(yè)信息系統(tǒng)安全建設(shè)的基石

2013-10-16 17:44:59 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

作為安全體系建設(shè)的重要組成部分和基石，訪問(wèn)控制管理是企業(yè)信息安全建設(shè)的第一道防線，實(shí)施有效的、安全的訪問(wèn)控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門和國(guó)內(nèi)的安全企業(yè)一直在研究關(guān)于訪問(wèn)控制的標(biāo)準(zhǔn)和技術(shù)，并在借鑒國(guó)外信息安全訪問(wèn)控制領(lǐng)域中成熟的法規(guī)和標(biāo)準(zhǔn)的基礎(chǔ)上，于近兩年提出了“4A”的概念，即建立統(tǒng)一的訪問(wèn)控制安全管理平臺(tái)，在信息系統(tǒng)中實(shí)現(xiàn)統(tǒng)一帳號(hào)（Account）管理、統(tǒng)一身份認(rèn)證（Authentication）管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一審計(jì)(Audit)管理。在國(guó)內(nèi)，以中國(guó)移動(dòng)為代表的通信行業(yè)已經(jīng)進(jìn)行了4A管理成功的推廣和實(shí)施。我國(guó)的其他重點(diǎn)行業(yè)，如醫(yī)療行業(yè)也都在積極研究制定符合本行業(yè)的4A標(biāo)準(zhǔn)。作為國(guó)家重點(diǎn)基礎(chǔ)能源行業(yè)的電力行業(yè)，在等級(jí)化保護(hù)制度的推動(dòng)下必然加快對(duì)信息安全訪問(wèn)控制領(lǐng)域標(biāo)準(zhǔn)和技術(shù)的研究與應(yīng)用。

本文結(jié)合電力企業(yè)信息系統(tǒng)的安全現(xiàn)狀，在介紹國(guó)內(nèi)外4A管理的背景和發(fā)展現(xiàn)狀的基礎(chǔ)上，闡述了4A統(tǒng)一安全管理平臺(tái)的體系結(jié)構(gòu)，以及通過(guò)實(shí)施4A解決方案，如何解決企業(yè)在信息安全訪問(wèn)控制方面的問(wèn)題。

我國(guó)電力企業(yè)信息系統(tǒng)現(xiàn)狀及訪問(wèn)控制面臨的風(fēng)險(xiǎn)

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開(kāi)展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來(lái)越多，要求在各業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越多，根據(jù)國(guó)家電監(jiān)會(huì)的《電力二次系統(tǒng)安全防護(hù)規(guī)定》，電力系統(tǒng)核心網(wǎng)絡(luò)按業(yè)務(wù)類型劃分，可以分成四大區(qū)域：實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)。各區(qū)分別屬于不同的安全域，具有不同的安全等級(jí)。

電力信息系統(tǒng)由于其自身業(yè)務(wù)的特殊性，具有實(shí)時(shí)性、復(fù)雜性、多層次、多需求的特點(diǎn)。隨著我國(guó)電力信息化建設(shè)的不斷推進(jìn)，很多電力企業(yè)也已經(jīng)開(kāi)始加強(qiáng)電力信息網(wǎng)絡(luò)安全建設(shè)。但是，電力系統(tǒng)信息安全是一項(xiàng)技術(shù)及管理高度復(fù)雜的大型系統(tǒng)工程，包括信息網(wǎng)絡(luò)安全體系層面的問(wèn)題和安全管理層面的問(wèn)題。

目前，在我國(guó)的電力行業(yè)信息安全建設(shè)中，很多企業(yè)還沒(méi)有建立整體的安全體系架構(gòu)，缺乏信息安全管理的意識(shí)，由于網(wǎng)絡(luò)建設(shè)的歷史問(wèn)題，存在眾多的“信息孤島”，缺乏進(jìn)行統(tǒng)一安全管理的解決方案，尤其是在網(wǎng)絡(luò)安全建設(shè)金字塔底層的基礎(chǔ)安全建設(shè)中缺乏統(tǒng)一的訪問(wèn)控制管理，使企業(yè)的信息安全基礎(chǔ)存在重大的隱患。主要表現(xiàn)在：

1.大量的網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)都具有各自的帳號(hào)管理功能，當(dāng)需要同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行操作時(shí)，需要在系統(tǒng)間來(lái)回切換，工作復(fù)雜度成倍增加。

2.個(gè)別帳號(hào)多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時(shí)更難以確定實(shí)際使用者。

3.隨著系統(tǒng)的增多，為不影響工作效率，用戶往往會(huì)采用簡(jiǎn)單口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，造成對(duì)系統(tǒng)安全性的危害。

4.各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問(wèn)權(quán)限，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障。

5.對(duì)各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問(wèn)審計(jì)，無(wú)法進(jìn)行綜合分析，因此不能及時(shí)發(fā)現(xiàn)入侵行為。

由于缺乏統(tǒng)一的訪問(wèn)控制管理平臺(tái)，不僅加重系統(tǒng)管理人員的工作負(fù)擔(dān)，而且因各業(yè)務(wù)系統(tǒng)安全策略不一致，實(shí)質(zhì)上也大大降低了業(yè)務(wù)系統(tǒng)的安全系數(shù)，從而增加了整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

統(tǒng)一安全管理的重要組成——4A管理

統(tǒng)一安全管理是企業(yè)安全體系建設(shè)的重要思想，它不僅涉及到物理安全、終端安全、網(wǎng)絡(luò)安全等基礎(chǔ)設(shè)施層面的統(tǒng)一安全管理，同時(shí)涉及加密、數(shù)據(jù)安全和認(rèn)證等應(yīng)用層面的統(tǒng)一安全管理，4A管理有效地實(shí)現(xiàn)了對(duì)企業(yè)應(yīng)用系統(tǒng)和設(shè)備的統(tǒng)一的訪問(wèn)控制管理，包括統(tǒng)一的帳號(hào)管理、認(rèn)證管理、授權(quán)管理和審計(jì)管理。4A管理與統(tǒng)一安全管理平臺(tái)的關(guān)系如。

國(guó)內(nèi)外4A安全管理的現(xiàn)狀與發(fā)展

早在1996年，美國(guó)的醫(yī)療行業(yè)就頒布了HIPAA法案（健康保險(xiǎn)流通與責(zé)任法案，Health InsurancePortability and Accountability Act），其中涉及到了如何通過(guò)物理上和技術(shù)上的安全措施來(lái)保證系統(tǒng)的可用性、完整性，以及患者資料的機(jī)密性，被認(rèn)為是醫(yī)療行業(yè)的4A管理法規(guī)。HIPAA法規(guī)在實(shí)踐中不斷修改完善，在2003年2月，美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)對(duì)醫(yī)療機(jī)構(gòu)制訂了明確的安全標(biāo)準(zhǔn)，規(guī)定所有提供醫(yī)療健康服務(wù)的組織如醫(yī)院、健康

上一頁(yè) 1 2 3 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊