随着电力行业信息化建设的不断深入,信息安全需求也愈发明显。在经过5年的信息安全产品大规模投入建设后,电力行业信息安全工程进入整合提升阶段,也催生了基于风险评估思想的统一信息安全管理平台。这里将结合电力信息安全现状,通过深入分析SOC和SMS在整个企业的运行情况反映ISO13335安全模型实际意义,并指出企业信息安全建设是一个持续的过程。
1、SOC/SMS系统模型
SOC和SMS都是自动的、动态的风险评估系统。从系统架构上说,它们都遵从ISO13335提出的以风险为核心的安全模型,如图1所示,相对于ISO17799/BS7799来说,ISO13335提供了一系列可供参考的风险管理模型,具有较强的可操作性,而ISO17799/BS7799规范体现了PDCA(Plan-Do-Control-Act)思想,强调信息安全管理水平的不断提高,这一点在ISO13335中没有涉及,相应的在SOC和SMS中也没有体现。
SOC和SMS遵从的ISO13335安全风险模型将资产所面临的风险和相关要素之间的关系形象地反映出来。在此,对模型中几个重要的概念予以简单解释:
①风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性;
②威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性;
③漏洞(Vulnerability):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性;
④资产(Asset):资产是属于某个组织的有价值的信息或者资源,这里指的是与评估对象信息处理有关的信息和信息载体。与之对应的。SOC和SMS通过脆弱性管理模块来管理漏洞,通过安全事件管理模块来反映威胁,最后通过风险管理模块关联所有信息,计算系统风险。下面将分析SOC和SMS各个模块在风险评估模型中的具体实现。
2、功能模块分析
2.1脆弱型管理模块
传统的脆弱性管理需要负责管理漏洞信息、跟踪漏洞的修补过程、开发一系列策略用于提高信息系统的脆弱性防御能力,从而降低漏洞对信息系统的影响。由于SOC和SMS都足遵循ISO13335指导建议,并没有生成控制漏洞策略和处理漏洞的能力,其重点放在漏洞的发现和评估方面。脆弱性产生的主要有3个方面:系统(包括硬件、软件)设计的缺陷、系统在实现中存在的缺陷或错误,以及用户对系统的误用、误操作。SOC和SMS的脆弱性管理模块主要涵盖了以下两个方面:
①漏洞管理:通过接受整理外部漏洞扫描系统提供的信息,来评估系统设计和实现的缺陷,由于对外部漏洞扫描系统的依赖,SOC和SMS无法对操作系统上的白开发应用系统做脆弱性分析;
②配置管理:通过安装在客户端的代理来搜集客户端系统配置和策略的缺陷,来减少用户对系统的误用与误操作的可能性。
2.2安全事件管理模块
SOC和SMS的安全事件管理模块通过syslog/SNMP方式实时收集外部安全没备(包括IDS、IPS、防火墙及电力内外网逻辑强隔离装置等)的安全事件日志,将其标准化、过滤、归并及关联。最终存入自身安全事件数据库,以满足实时事件和历史趋势的统计分析,并且为风险管理模块提供基础数据。
①标准化:将外部设备的日志统一格式,送至后台处理;
②过滤策略:提供给了用户对具有特别属性的安全事件的关注度调整,用户可以自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心安全事件进行丢弃或特别关注的安全事件进行特别标记;
③归并策略:特别针对大量相同属性事件进行合并整理;
④关联策略:通过内置的安全规则库,将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对,来达到将普通事件和威胁事件区分的目的。例如IDS发现的用户使用FTP登录是一个正常事件,但若在一段时间内某FTP服务器被反复登录并认证失败,SOC,SMS就可以判断为一次拒绝服务攻击。
总之。安全事件管理模块通过自身策略的设置将海量的安全事件进行提取分析,提供更友好、更准确的已发生“威胁”监测,而ISO13335风险管理中的“威胁”概念中包含的可能发生威胁即未发生威胁。则需要安全管理员通过对安全事件本身的理解(例如发现踩点扫描事件可以判断未来可能发生针对性的攻击)来进行预警。
2.3风险管理模块
以风险驱动的方法去管理信息安全越来越被接受,随着电力行业信息安全等级保护深入开展,以SOC/SMS为代表的风险评估实践也在不断的深入。ISO13335本质上就是以信息资产为对象的定性风险评估,其基本方法分为3个阶段:
①识别资产:资产是信息系统中需要保护的对象,资产拥有价值。部署住企业内网的SOC以服务器为对象节点,采用由安全管理员评分的方法给对象价值赋值。评分标准分为机密性、完整性、可用性和资产价值,稍显粗略。而部署在企业外网的SMS由于把整个企业外网看作一个统一资产,重点关注边界安全事件,没有具体的资产识别;
②关联威胁和漏洞:即识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点。SOC和SMS都采用了将威胁与资产漏洞对应的方法来生成风险。即ISO13335中的威胁通过利用脆弱性来危害资产,从而形成风险;
③评价风险:即从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所而临的信息安全风险。SOC和SMS在可能性是通过定义利用漏洞的威胁事件的概率基线来进行判断,影响程度则通过KPI指数计算,其计算参数包括资产登记比例、资产价值、资产扫描比例、单个资产漏洞级别、单个资产所受威胁风险、资产被容忍的漏洞个数,以及高风险资产所占企业总资产比重等。
总之,风险管理模块通过整合风险评估整个过程中的各个因素最终计算KPI指数来定义风险,通过风险来导出企业安全需求。
3、结语
SOC和SMS在电力企业的部署使企业风险评估得以持续进行,依照ISO13335实现的SOC和SMS虽没有实施对安全改进工作的跟踪审计,但能通过评估安全风险挖掘安全需求,通过关注风险变化持续对信息安全管理做出评价,其风险评估模式具有普遍意义,对电力信息安全管理工作起到了指导作用。下一步SOC和SMS应加强与电力企业实际情况的结合,更好地完成信息安全的闭环管理。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:电力行业基于ISO13335的信息安全管理平台的建设
本文网址:http://www.toberp.com/html/consultation/1083953742.html