4A管理電力行業信息系統安全建設的基石

2013-10-16 17:44:59 EP電力信息化網　點擊量：評論 (0)

作為安全體系建設的重要組成部分和基石，訪問控制管理是企業信息安全建設的第一道防線，實施有效的、安全的訪問控制解決方案是企業安全體系建設的基礎。主管信息安全領域的政府職能部門和國內的安全企業一直在研

作為安全體系建設的重要組成部分和基石，訪問控制管理是企業信息安全建設的第一道防線，實施有效的、安全的訪問控制解決方案是企業安全體系建設的基礎。主管信息安全領域的政府職能部門和國內的安全企業一直在研究關于訪問控制的標準和技術，并在借鑒國外信息安全訪問控制領域中成熟的法規和標準的基礎上，于近兩年提出了“4A”的概念，即建立統一的訪問控制安全管理平臺，在信息系統中實現統一帳號（Account）管理、統一身份認證（Authentication）管理、統一授權(Authorization)管理和統一審計(Audit)管理。在國內，以中國移動為代表的通信行業已經進行了4A管理成功的推廣和實施。我國的其他重點行業，如醫療行業也都在積極研究制定符合本行業的4A標準。作為國家重點基礎能源行業的電力行業，在等級化保護制度的推動下必然加快對信息安全訪問控制領域標準和技術的研究與應用。

本文結合電力企業信息系統的安全現狀，在介紹國內外4A管理的背景和發展現狀的基礎上，闡述了4A統一安全管理平臺的體系結構，以及通過實施4A解決方案，如何解決企業在信息安全訪問控制方面的問題。

我國電力企業信息系統現狀及訪問控制面臨的風險

隨著計算機技術、通信技術和網絡技術的發展，電力系統網上開展的業務及應用系統越來越多，要求在各業務系統之間進行的數據交換也越來越多，根據國家電監會的《電力二次系統安全防護規定》，電力系統核心網絡按業務類型劃分，可以分成四大區域：實時控制區、非控制生產區、生產管理區和管理信息區。各區分別屬于不同的安全域，具有不同的安全等級。

電力信息系統由于其自身業務的特殊性，具有實時性、復雜性、多層次、多需求的特點。隨著我國電力信息化建設的不斷推進，很多電力企業也已經開始加強電力信息網絡安全建設。但是，電力系統信息安全是一項技術及管理高度復雜的大型系統工程，包括信息網絡安全體系層面的問題和安全管理層面的問題。

目前，在我國的電力行業信息安全建設中，很多企業還沒有建立整體的安全體系架構，缺乏信息安全管理的意識，由于網絡建設的歷史問題，存在眾多的“信息孤島”，缺乏進行統一安全管理的解決方案，尤其是在網絡安全建設金字塔底層的基礎安全建設中缺乏統一的訪問控制管理，使企業的信息安全基礎存在重大的隱患。主要表現在：

1.大量的網絡設備、主機和應用系統都具有各自的帳號管理功能，當需要同時對多個系統進行操作時，需要在系統間來回切換，工作復雜度成倍增加。

2.個別帳號多人共用，擴散范圍難以控制，發生安全事故時更難以確定實際使用者。

3.隨著系統的增多，為不影響工作效率，用戶往往會采用簡單口令或將多個系統的口令設置成相同的，造成對系統安全性的危害。

4.各系統分別管理所屬的系統資源，為本系統的用戶分配訪問權限，隨著用戶數增加，權限管理愈發復雜，系統安全難以得到充分保障。

5.對各個系統缺乏集中統一的訪問審計，無法進行綜合分析，因此不能及時發現入侵行為。

由于缺乏統一的訪問控制管理平臺，不僅加重系統管理人員的工作負擔，而且因各業務系統安全策略不一致，實質上也大大降低了業務系統的安全系數，從而增加了整個網絡的安全風險。

統一安全管理的重要組成——4A管理

統一安全管理是企業安全體系建設的重要思想，它不僅涉及到物理安全、終端安全、網絡安全等基礎設施層面的統一安全管理，同時涉及加密、數據安全和認證等應用層面的統一安全管理，4A管理有效地實現了對企業應用系統和設備的統一的訪問控制管理，包括統一的帳號管理、認證管理、授權管理和審計管理。4A管理與統一安全管理平臺的關系如。

國內外4A安全管理的現狀與發展

早在1996年，美國的醫療行業就頒布了HIPAA法案（健康保險流通與責任法案，Health InsurancePortability and Accountability Act），其中涉及到了如何通過物理上和技術上的安全措施來保證系統的可用性、完整性，以及患者資料的機密性，被認為是醫療行業的4A管理法規。HIPAA法規在實踐中不斷修改完善，在2003年2月，美國衛生與公眾服務部(HHS)對醫療機構制訂了明確的安全標準，規定所有提供醫療健康服務的組織如醫院、健康