4A管理電力行業(yè)信息系統(tǒng)安全建設的基石

2013-10-16 17:44:59 EP電力信息化網　點擊量：評論 (0)

作為安全體系建設的重要組成部分和基石，訪問控制管理是企業(yè)信息安全建設的第一道防線，實施有效的、安全的訪問控制解決方案是企業(yè)安全體系建設的基礎。主管信息安全領域的政府職能部門和國內的安全企業(yè)一直在研

作為安全體系建設的重要組成部分和基石，訪問控制管理是企業(yè)信息安全建設的第一道防線，實施有效的、安全的訪問控制解決方案是企業(yè)安全體系建設的基礎。主管信息安全領域的政府職能部門和國內的安全企業(yè)一直在研究關于訪問控制的標準和技術，并在借鑒國外信息安全訪問控制領域中成熟的法規(guī)和標準的基礎上，于近兩年提出了“4A”的概念，即建立統(tǒng)一的訪問控制安全管理平臺，在信息系統(tǒng)中實現(xiàn)統(tǒng)一帳號（Account）管理、統(tǒng)一身份認證（Authentication）管理、統(tǒng)一授權(Authorization)管理和統(tǒng)一審計(Audit)管理。在國內，以中國移動為代表的通信行業(yè)已經進行了4A管理成功的推廣和實施。我國的其他重點行業(yè)，如醫(yī)療行業(yè)也都在積極研究制定符合本行業(yè)的4A標準。作為國家重點基礎能源行業(yè)的電力行業(yè)，在等級化保護制度的推動下必然加快對信息安全訪問控制領域標準和技術的研究與應用。

本文結合電力企業(yè)信息系統(tǒng)的安全現(xiàn)狀，在介紹國內外4A管理的背景和發(fā)展現(xiàn)狀的基礎上，闡述了4A統(tǒng)一安全管理平臺的體系結構，以及通過實施4A解決方案，如何解決企業(yè)在信息安全訪問控制方面的問題。

我國電力企業(yè)信息系統(tǒng)現(xiàn)狀及訪問控制面臨的風險

隨著計算機技術、通信技術和網絡技術的發(fā)展，電力系統(tǒng)網上開展的業(yè)務及應用系統(tǒng)越來越多，要求在各業(yè)務系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，根據(jù)國家電監(jiān)會的《電力二次系統(tǒng)安全防護規(guī)定》，電力系統(tǒng)核心網絡按業(yè)務類型劃分，可以分成四大區(qū)域：實時控制區(qū)、非控制生產區(qū)、生產管理區(qū)和管理信息區(qū)。各區(qū)分別屬于不同的安全域，具有不同的安全等級。

電力信息系統(tǒng)由于其自身業(yè)務的特殊性，具有實時性、復雜性、多層次、多需求的特點。隨著我國電力信息化建設的不斷推進，很多電力企業(yè)也已經開始加強電力信息網絡安全建設。但是，電力系統(tǒng)信息安全是一項技術及管理高度復雜的大型系統(tǒng)工程，包括信息網絡安全體系層面的問題和安全管理層面的問題。

目前，在我國的電力行業(yè)信息安全建設中，很多企業(yè)還沒有建立整體的安全體系架構，缺乏信息安全管理的意識，由于網絡建設的歷史問題，存在眾多的“信息孤島”，缺乏進行統(tǒng)一安全管理的解決方案，尤其是在網絡安全建設金字塔底層的基礎安全建設中缺乏統(tǒng)一的訪問控制管理，使企業(yè)的信息安全基礎存在重大的隱患。主要表現(xiàn)在：

1.大量的網絡設備、主機和應用系統(tǒng)都具有各自的帳號管理功能，當需要同時對多個系統(tǒng)進行操作時，需要在系統(tǒng)間來回切換，工作復雜度成倍增加。

2.個別帳號多人共用，擴散范圍難以控制，發(fā)生安全事故時更難以確定實際使用者。

3.隨著系統(tǒng)的增多，為不影響工作效率，用戶往往會采用簡單口令或將多個系統(tǒng)的口令設置成相同的，造成對系統(tǒng)安全性的危害。

4.各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權限，隨著用戶數(shù)增加，權限管理愈發(fā)復雜，系統(tǒng)安全難以得到充分保障。

5.對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為。

由于缺乏統(tǒng)一的訪問控制管理平臺，不僅加重系統(tǒng)管理人員的工作負擔，而且因各業(yè)務系統(tǒng)安全策略不一致，實質上也大大降低了業(yè)務系統(tǒng)的安全系數(shù)，從而增加了整個網絡的安全風險。

統(tǒng)一安全管理的重要組成——4A管理

統(tǒng)一安全管理是企業(yè)安全體系建設的重要思想，它不僅涉及到物理安全、終端安全、網絡安全等基礎設施層面的統(tǒng)一安全管理，同時涉及加密、數(shù)據(jù)安全和認證等應用層面的統(tǒng)一安全管理，4A管理有效地實現(xiàn)了對企業(yè)應用系統(tǒng)和設備的統(tǒng)一的訪問控制管理，包括統(tǒng)一的帳號管理、認證管理、授權管理和審計管理。4A管理與統(tǒng)一安全管理平臺的關系如。

國內外4A安全管理的現(xiàn)狀與發(fā)展

早在1996年，美國的醫(yī)療行業(yè)就頒布了HIPAA法案（健康保險流通與責任法案，Health InsurancePortability and Accountability Act），其中涉及到了如何通過物理上和技術上的安全措施來保證系統(tǒng)的可用性、完整性，以及患者資料的機密性，被認為是醫(yī)療行業(yè)的4A管理法規(guī)。HIPAA法規(guī)在實踐中不斷修改完善，在2003年2月，美國衛(wèi)生與公眾服務部(HHS)對醫(yī)療機構制訂了明確的安全標準，規(guī)定所有提供醫(yī)療健康服務的組織如醫(yī)院、健康