隨著電力行業(yè)信息化建設(shè)的不斷深入,信息安全需求也愈發(fā)明顯。在經(jīng)過5年的信息安全產(chǎn)品大規(guī)模投入建設(shè)后,電力行業(yè)信息安全工程進(jìn)入整合提升階段,也催生了基于風(fēng)險評估思想的統(tǒng)一信息安全管理平臺。這里將結(jié)合電力信息安全現(xiàn)狀,通過深入分析SOC和SMS在整個企業(yè)的運(yùn)行情況反映ISO13335安全模型實(shí)際意義,并指出企業(yè)信息安全建設(shè)是一個持續(xù)的過程。
1、SOC/SMS系統(tǒng)模型
SOC和SMS都是自動的、動態(tài)的風(fēng)險評估系統(tǒng)。從系統(tǒng)架構(gòu)上說,它們都遵從ISO13335提出的以風(fēng)險為核心的安全模型,如圖1所示,相對于ISO17799/BS7799來說,ISO13335提供了一系列可供參考的風(fēng)險管理模型,具有較強(qiáng)的可操作性,而ISO17799/BS7799規(guī)范體現(xiàn)了PDCA(Plan-Do-Control-Act)思想,強(qiáng)調(diào)信息安全管理水平的不斷提高,這一點(diǎn)在ISO13335中沒有涉及,相應(yīng)的在SOC和SMS中也沒有體現(xiàn)。
SOC和SMS遵從的ISO13335安全風(fēng)險模型將資產(chǎn)所面臨的風(fēng)險和相關(guān)要素之間的關(guān)系形象地反映出來。在此,對模型中幾個重要的概念予以簡單解釋:
、亠L(fēng)險(Risk):威脅主體利用資產(chǎn)的漏洞對其造成損失或破壞的可能性;
、谕{(Threat):導(dǎo)致對系統(tǒng)或組織有害的,未預(yù)料的事件發(fā)生的可能性;
、勐┒(Vulnerability):指的是可以被威脅利用的系統(tǒng)缺陷,能夠增加系統(tǒng)被攻擊的可能性;
、苜Y產(chǎn)(Asset):資產(chǎn)是屬于某個組織的有價值的信息或者資源,這里指的是與評估對象信息處理有關(guān)的信息和信息載體。與之對應(yīng)的。SOC和SMS通過脆弱性管理模塊來管理漏洞,通過安全事件管理模塊來反映威脅,最后通過風(fēng)險管理模塊關(guān)聯(lián)所有信息,計算系統(tǒng)風(fēng)險。下面將分析SOC和SMS各個模塊在風(fēng)險評估模型中的具體實(shí)現(xiàn)。
2、功能模塊分析
2.1脆弱型管理模塊
傳統(tǒng)的脆弱性管理需要負(fù)責(zé)管理漏洞信息、跟蹤漏洞的修補(bǔ)過程、開發(fā)一系列策略用于提高信息系統(tǒng)的脆弱性防御能力,從而降低漏洞對信息系統(tǒng)的影響。由于SOC和SMS都足遵循ISO13335指導(dǎo)建議,并沒有生成控制漏洞策略和處理漏洞的能力,其重點(diǎn)放在漏洞的發(fā)現(xiàn)和評估方面。脆弱性產(chǎn)生的主要有3個方面:系統(tǒng)(包括硬件、軟件)設(shè)計的缺陷、系統(tǒng)在實(shí)現(xiàn)中存在的缺陷或錯誤,以及用戶對系統(tǒng)的誤用、誤操作。SOC和SMS的脆弱性管理模塊主要涵蓋了以下兩個方面:
①漏洞管理:通過接受整理外部漏洞掃描系統(tǒng)提供的信息,來評估系統(tǒng)設(shè)計和實(shí)現(xiàn)的缺陷,由于對外部漏洞掃描系統(tǒng)的依賴,SOC和SMS無法對操作系統(tǒng)上的白開發(fā)應(yīng)用系統(tǒng)做脆弱性分析;
、谂渲霉芾恚和ㄟ^安裝在客戶端的代理來搜集客戶端系統(tǒng)配置和策略的缺陷,來減少用戶對系統(tǒng)的誤用與誤操作的可能性。
2.2安全事件管理模塊
SOC和SMS的安全事件管理模塊通過syslog/SNMP方式實(shí)時收集外部安全沒備(包括IDS、IPS、防火墻及電力內(nèi)外網(wǎng)邏輯強(qiáng)隔離裝置等)的安全事件日志,將其標(biāo)準(zhǔn)化、過濾、歸并及關(guān)聯(lián)。最終存入自身安全事件數(shù)據(jù)庫,以滿足實(shí)時事件和歷史趨勢的統(tǒng)計分析,并且為風(fēng)險管理模塊提供基礎(chǔ)數(shù)據(jù)。
①標(biāo)準(zhǔn)化:將外部設(shè)備的日志統(tǒng)一格式,送至后臺處理;
②過濾策略:提供給了用戶對具有特別屬性的安全事件的關(guān)注度調(diào)整,用戶可以自定義具有特別屬性(包括事件名稱、內(nèi)容、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心安全事件進(jìn)行丟棄或特別關(guān)注的安全事件進(jìn)行特別標(biāo)記;
、蹥w并策略:特別針對大量相同屬性事件進(jìn)行合并整理;
、荜P(guān)聯(lián)策略:通過內(nèi)置的安全規(guī)則庫,將原本孤立的實(shí)時事件進(jìn)行縱向時間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對,來達(dá)到將普通事件和威脅事件區(qū)分的目的。例如IDS發(fā)現(xiàn)的用戶使用FTP登錄是一個正常事件,但若在一段時間內(nèi)某FTP服務(wù)器被反復(fù)登錄并認(rèn)證失敗,SOC,SMS就可以判斷為一次拒絕服務(wù)攻擊。
總之。安全事件管理模塊通過自身策略的設(shè)置將海量的安全事件進(jìn)行提取分析,提供更友好、更準(zhǔn)確的已發(fā)生“威脅”監(jiān)測,而ISO13335風(fēng)險管理中的“威脅”概念中包含的可能發(fā)生威脅即未發(fā)生威脅。則需要安全管理員通過對安全事件本身的理解(例如發(fā)現(xiàn)踩點(diǎn)掃描事件可以判斷未來可能發(fā)生針對性的攻擊)來進(jìn)行預(yù)警。
2.3風(fēng)險管理模塊
以風(fēng)險驅(qū)動的方法去管理信息安全越來越被接受,隨著電力行業(yè)信息安全等級保護(hù)深入開展,以SOC/SMS為代表的風(fēng)險評估實(shí)踐也在不斷的深入。ISO13335本質(zhì)上就是以信息資產(chǎn)為對象的定性風(fēng)險評估,其基本方法分為3個階段:
①識別資產(chǎn):資產(chǎn)是信息系統(tǒng)中需要保護(hù)的對象,資產(chǎn)擁有價值。部署住企業(yè)內(nèi)網(wǎng)的SOC以服務(wù)器為對象節(jié)點(diǎn),采用由安全管理員評分的方法給對象價值賦值。評分標(biāo)準(zhǔn)分為機(jī)密性、完整性、可用性和資產(chǎn)價值,稍顯粗略。而部署在企業(yè)外網(wǎng)的SMS由于把整個企業(yè)外網(wǎng)看作一個統(tǒng)一資產(chǎn),重點(diǎn)關(guān)注邊界安全事件,沒有具體的資產(chǎn)識別;
②關(guān)聯(lián)威脅和漏洞:即識別出這些保護(hù)對象面臨的威脅以及自身所存在的能被威脅利用的弱點(diǎn)。SOC和SMS都采用了將威脅與資產(chǎn)漏洞對應(yīng)的方法來生成風(fēng)險。即ISO13335中的威脅通過利用脆弱性來危害資產(chǎn),從而形成風(fēng)險;
③評價風(fēng)險:即從可能性和影響程度這兩個方面來評價信息資產(chǎn)的風(fēng)險,綜合后得到企業(yè)所而臨的信息安全風(fēng)險。SOC和SMS在可能性是通過定義利用漏洞的威脅事件的概率基線來進(jìn)行判斷,影響程度則通過KPI指數(shù)計算,其計算參數(shù)包括資產(chǎn)登記比例、資產(chǎn)價值、資產(chǎn)掃描比例、單個資產(chǎn)漏洞級別、單個資產(chǎn)所受威脅風(fēng)險、資產(chǎn)被容忍的漏洞個數(shù),以及高風(fēng)險資產(chǎn)所占企業(yè)總資產(chǎn)比重等。
總之,風(fēng)險管理模塊通過整合風(fēng)險評估整個過程中的各個因素最終計算KPI指數(shù)來定義風(fēng)險,通過風(fēng)險來導(dǎo)出企業(yè)安全需求。
3、結(jié)語
SOC和SMS在電力企業(yè)的部署使企業(yè)風(fēng)險評估得以持續(xù)進(jìn)行,依照ISO13335實(shí)現(xiàn)的SOC和SMS雖沒有實(shí)施對安全改進(jìn)工作的跟蹤審計,但能通過評估安全風(fēng)險挖掘安全需求,通過關(guān)注風(fēng)險變化持續(xù)對信息安全管理做出評價,其風(fēng)險評估模式具有普遍意義,對電力信息安全管理工作起到了指導(dǎo)作用。下一步SOC和SMS應(yīng)加強(qiáng)與電力企業(yè)實(shí)際情況的結(jié)合,更好地完成信息安全的閉環(huán)管理。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:電力行業(yè)基于ISO13335的信息安全管理平臺的建設(shè)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953742.html