4A管理電力行業(yè)信息系統(tǒng)安全建設(shè)的基石
作為安全體系建設(shè)的重要組成部分和基石,訪問(wèn)控制管理是企業(yè)信息安全建設(shè)的第一道防線,實(shí)施有效的、安全的訪問(wèn)控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門(mén)和國(guó)內(nèi)的安全企業(yè)一直在研
作為安全體系建設(shè)的重要組成部分和基石,訪問(wèn)控制管理是企業(yè)信息安全建設(shè)的第一道防線,實(shí)施有效的、安全的訪問(wèn)控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門(mén)和國(guó)內(nèi)的安全企業(yè)一直在研究關(guān)于訪問(wèn)控制的標(biāo)準(zhǔn)和技術(shù),并在借鑒國(guó)外信息安全訪問(wèn)控制領(lǐng)域中成熟的法規(guī)和標(biāo)準(zhǔn)的基礎(chǔ)上,于近兩年提出了“4A”的概念,即建立統(tǒng)一的訪問(wèn)控制安全管理平臺(tái),在信息系統(tǒng)中實(shí)現(xiàn)統(tǒng)一帳號(hào)(Account)管理、統(tǒng)一身份認(rèn)證(Authentication)管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一審計(jì)(Audit)管理。在國(guó)內(nèi),以中國(guó)移動(dòng)為代表的通信行業(yè)已經(jīng)進(jìn)行了4A管理成功的推廣和實(shí)施。我國(guó)的其他重點(diǎn)行業(yè),如醫(yī)療行業(yè)也都在積極研究制定符合本行業(yè)的4A標(biāo)準(zhǔn)。作為國(guó)家重點(diǎn)基礎(chǔ)能源行業(yè)的電力行業(yè),在等級(jí)化保護(hù)制度的推動(dòng)下必然加快對(duì)信息安全訪問(wèn)控制領(lǐng)域標(biāo)準(zhǔn)和技術(shù)的研究與應(yīng)用。
本文結(jié)合電力企業(yè)信息系統(tǒng)的安全現(xiàn)狀,在介紹國(guó)內(nèi)外4A管理的背景和發(fā)展現(xiàn)狀的基礎(chǔ)上,闡述了4A統(tǒng)一安全管理平臺(tái)的體系結(jié)構(gòu),以及通過(guò)實(shí)施4A解決方案,如何解決企業(yè)在信息安全訪問(wèn)控制方面的問(wèn)題。
我國(guó)電力企業(yè)信息系統(tǒng)現(xiàn)狀及訪問(wèn)控制面臨的風(fēng)險(xiǎn)
隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)網(wǎng)上開(kāi)展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來(lái)越多,要求在各業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越多,根據(jù)國(guó)家電監(jiān)會(huì)的《電力二次系統(tǒng)安全防護(hù)規(guī)定》,電力系統(tǒng)核心網(wǎng)絡(luò)按業(yè)務(wù)類(lèi)型劃分,可以分成四大區(qū)域:實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)。各區(qū)分別屬于不同的安全域,具有不同的安全等級(jí)。
電力信息系統(tǒng)由于其自身業(yè)務(wù)的特殊性,具有實(shí)時(shí)性、復(fù)雜性、多層次、多需求的特點(diǎn)。隨著我國(guó)電力信息化建設(shè)的不斷推進(jìn),很多電力企業(yè)也已經(jīng)開(kāi)始加強(qiáng)電力信息網(wǎng)絡(luò)安全建設(shè)。但是,電力系統(tǒng)信息安全是一項(xiàng)技術(shù)及管理高度復(fù)雜的大型系統(tǒng)工程,包括信息網(wǎng)絡(luò)安全體系層面的問(wèn)題和安全管理層面的問(wèn)題。
目前,在我國(guó)的電力行業(yè)信息安全建設(shè)中,很多企業(yè)還沒(méi)有建立整體的安全體系架構(gòu),缺乏信息安全管理的意識(shí),由于網(wǎng)絡(luò)建設(shè)的歷史問(wèn)題,存在眾多的“信息孤島”,缺乏進(jìn)行統(tǒng)一安全管理的解決方案,尤其是在網(wǎng)絡(luò)安全建設(shè)金字塔底層的基礎(chǔ)安全建設(shè)中缺乏統(tǒng)一的訪問(wèn)控制管理,使企業(yè)的信息安全基礎(chǔ)存在重大的隱患。主要表現(xiàn)在:
1.大量的網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)都具有各自的帳號(hào)管理功能,當(dāng)需要同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行操作時(shí),需要在系統(tǒng)間來(lái)回切換,工作復(fù)雜度成倍增加。
2.個(gè)別帳號(hào)多人共用,擴(kuò)散范圍難以控制,發(fā)生安全事故時(shí)更難以確定實(shí)際使用者。
3.隨著系統(tǒng)的增多,為不影響工作效率,用戶往往會(huì)采用簡(jiǎn)單口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的,造成對(duì)系統(tǒng)安全性的危害。
4.各系統(tǒng)分別管理所屬的系統(tǒng)資源,為本系統(tǒng)的用戶分配訪問(wèn)權(quán)限,隨著用戶數(shù)增加,權(quán)限管理愈發(fā)復(fù)雜,系統(tǒng)安全難以得到充分保障。
5.對(duì)各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問(wèn)審計(jì),無(wú)法進(jìn)行綜合分析,因此不能及時(shí)發(fā)現(xiàn)入侵行為。
由于缺乏統(tǒng)一的訪問(wèn)控制管理平臺(tái),不僅加重系統(tǒng)管理人員的工作負(fù)擔(dān),而且因各業(yè)務(wù)系統(tǒng)安全策略不一致,實(shí)質(zhì)上也大大降低了業(yè)務(wù)系統(tǒng)的安全系數(shù),從而增加了整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。
統(tǒng)一安全管理的重要組成——4A管理
統(tǒng)一安全管理是企業(yè)安全體系建設(shè)的重要思想,它不僅涉及到物理安全、終端安全、網(wǎng)絡(luò)安全等基礎(chǔ)設(shè)施層面的統(tǒng)一安全管理,同時(shí)涉及加密、數(shù)據(jù)安全和認(rèn)證等應(yīng)用層面的統(tǒng)一安全管理,4A管理有效地實(shí)現(xiàn)了對(duì)企業(yè)應(yīng)用系統(tǒng)和設(shè)備的統(tǒng)一的訪問(wèn)控制管理,包括統(tǒng)一的帳號(hào)管理、認(rèn)證管理、授權(quán)管理和審計(jì)管理。4A管理與統(tǒng)一安全管理平臺(tái)的關(guān)系如。
國(guó)內(nèi)外4A安全管理的現(xiàn)狀與發(fā)展
早在1996年,美國(guó)的醫(yī)療行業(yè)就頒布了HIPAA法案(健康保險(xiǎn)流通與責(zé)任法案,Health InsurancePortability and Accountability Act),其中涉及到了如何通過(guò)物理上和技術(shù)上的安全措施來(lái)保證系統(tǒng)的可用性、完整性,以及患者資料的機(jī)密性,被認(rèn)為是醫(yī)療行業(yè)的4A管理法規(guī)。HIPAA法規(guī)在實(shí)踐中不斷修改完善,在2003年2月,美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)對(duì)醫(yī)療機(jī)構(gòu)制訂了明確的安全標(biāo)準(zhǔn),規(guī)定所有提供醫(yī)療健康服務(wù)的組織如醫(yī)院、健康
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》