基線技術信息安全論文

前言：尋找寫作靈感？中文期刊網用心挑選的基線技術信息安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1信息安全基線技術

1.1信息安全基線定義

顧名思義，“信息安全基線”（以下簡稱安全基線）概念借用了傳統的“基線”概念。字典上對“基線”的解釋是：一種在測量、計算或定位中的基本參照。如海岸基線，是水位到達的水位線。安全基線是一個信息技術環境下的一組正式的最小安全需求規格集。

1.2安全木桶理論

“木桶理論”其核心內容為：一只木桶盛水的多少，并不取決于桶壁上最高的那塊木塊，而恰恰取決于桶壁上最短的那塊。在信息安全建設中，“短板”的長度決定了組織整體安全狀況，而安全基線正是決定組織整體信息安全程度的那個“木桶中的最短板”。類比于“木桶理論”，可以認為安全基線就是安全木桶的最短板，或者說，是最基本的信息安全要求。

1.3國內安全基線理論的研究

1999年，公安部組織起草了國家強制性標準《計算機信息系統安全保護等級劃分準則》，該標準將計算機信息系統安全保護能力劃分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級5個等級。該標準的主要目的：一是為了計算機信息系統安全法規的制定和執法部門的監督檢查提供依據；二是為安全產品的研制提供技術支持；三是為安全系統的建設和管理提供技術指導。這個標準也成為國內信息安全建設的最基本基線。

1.4國外安全基線理論的研究

美國FISMA（TheFederalInformationSecurityManagementAct，聯邦信息安全管理法案）定義了一個廣泛的框架來保護政府信息、操作和財產來免于自然以及人為的威脅。FISMA在2002年成為美國電子政府法律的一部分，把責任分配到各種各樣的機構上來確保聯邦政府的數據安全。其提出了一個包含八個步驟的信息安全生命周期模型，這個模型的執行過程涉及面非常廣泛且全面，但實施、落地的難度也非常大。經過一系列的研究和改進，延伸出SCAP協議（SecurityContentAutomationProtocol），SCAP協議定義了一套安全基線庫，得以將FISMA的信息安全生命周期模型進行落地。SCAP的自動化安全基線理念最重要貢獻簡單總結在于：第一，制定安全基線；第二，通過工具化和自動化的方式落實。

2系統目標

通過研究安全基線理論，開發建立安全基線配置規范和核查系統，實現安全基線配置規范化管理，能夠自動識別和掃描信息網絡中各類設備和應用系統的配置合規性，在此基礎之上對系統進行綜合評估，得出安全整改加固建議，提高業務系統的防護能力，提高信息系統的安全性和可用性。

3系統設計

國網河北電科院信息系統安全配置核查系統建設充分吸收了安全基線技術理論經驗，嚴格遵循PDCA管理理念，分三個階段進行系統開發和實踐：1）安全基線配置規范的建立：根據國家等級保護和國家電網公司信息安全管理要求以及業務系統防護需要，建立了符合企業實際需求的安全基線配置規范。規范包括AIX系統、Windows系統、Juniper防火墻、H3C網絡設備、Oracle數據庫、WebLogic中間件等20多種主流系統的安全配置檢查點、檢查標準和整改建議，形成了Checklist表格。2）自動化檢查工具的開發：在安全基線配置規范的基礎上，開展了信息系統安全配置核查系統的開發，將規范中定義的檢查點和檢查方法以系統的形式加以體現，使得信息系統安全基線配置合規性檢查從手工檢查演進為自動化檢查的方式，可以同時進行多個設備和系統的配置檢查。3）實踐和完善：在系統使用過程中，不斷總結使用經驗，發現系統存在的不足，進行系統完善。同時緊跟國家和國家電網公司新的安全管理要求，完善基線配置規范和核查系統。

4系統功能框架

在研究和業務安全相結合的基準安全標準的基礎上，參考國內外的標準、規范，充分考慮了電網行業的現狀和最佳實踐，繼承和吸收了國家等級保護、風險評估的經驗成果，形成了一套基于業務系統的基線安全模型。基線安全模型以業務系統為核心，分為業務層、功能架構層、系統實現層等3層架構：1）第一層是業務層，這個層面中主要是根據不同業務系統的特性，定義不同安全防護的要求，是一個比較宏觀的要求。2）第二層是功能架構層，將業務系統分解為相對應的應用系統、數據庫、操作系統、網絡設備、安全設備等不同的設備/系統模塊，這些模塊針對業務層定義的安全防護要求細化為此層不同模塊應該具備的要求。3）第三層是系統實現層，將第二層的模塊根據業務系統的特性進一步分解，將操作系統分解為Windows、Solaris等系統模塊，網絡設備分解為華為路由器、Cisco路由器等系統模塊。這些模塊把第二層的安全防護要求細化到可執行和實現的要求，稱為Windows安全基線，華為路由器安全基線等。

5系統主要功能

開發的信息系統安全配置核查系統基于WEB管理方式，用戶使用瀏覽器通過SSL加密通道和系統進行信息交互，不僅方便用戶使用，安全性也得到提高。系統采用模塊化設計思想，將整個系統分為基礎平臺層、系統服務層、系統核心層、系統接入層。

5.1基礎平臺層功能

基礎平臺層包含專用硬件平臺和基礎軟件平臺。專用硬件平臺采用經過優化的專用安全系統平臺，具有高安全性和穩定性?；A軟件平臺采用定制的操作系統、硬盤加密解密、應用程序加密解密、輸入輸出加密解密、內置數據庫、Web服務、程序運行環境等。

5.2系統服務層功能

系統服務層主要包含數據處理引擎和系統服務引擎。數據處理引擎是系統內部的數據接口，提供了數據庫訪問、數據緩存、數據同步等功能。系統服務引擎是系統內部的功能接口，提供了系統還原點備份與恢復、任務數據導入導出等功能。

5.3系統核心層功能

系統核心層是產品的核心，包含了基線配置常用的功能模板，具有較強的可擴展功能，主要包括調度引擎、狀態引擎、報表引擎等。調度引擎是掃描工作的協調中心，根據用戶選擇的立即執行的任務、定時執行的任務、周期執行的任務等。狀態引擎是系統狀態的協調中心，包含系統資源狀態、任務執行進度、升級進度信息等。報表引擎主要用于處理報表展示，能夠提供HTML、WORD、EXCEL、PDF等多種報表格式。

5.4系統接入層功能

系統接入層主要用于與用戶的信息交流，包含了用戶訪問的Web頁面、系統訪問控制臺、數據接口等。

6結束語

通過安全基線技術研究與應用建設，很好地解決了國網河北電科院信息在信息系統安全配置方面的薄弱環節，系統投入使用后，效果明顯，查找出了應用系統配置存在的問題，并參考信息系統安全配置核查系統提供的整改建議在被惡意用戶攻擊造成損失之前主動發現應用系統的漏洞并完成修補；形成了安全基線配置規范，統一了運維人員操作標準，提升了運維人員工作效率和工作水平，從而提高了信息系統的整體的安全性。安全配置核查系統的應用是一個逐步完善提升的過程，需要依據業務系統安全防護需求的變化不斷完善配置核查標準，使之適應不斷變化的信息安全形勢。

作者：左曉軍 陳亮 陳澤 單位：國網河北省電力公司電力科學研究院 國網天津電力公司電力科學研究院