管冬平 黄飞飞 程小曼 张翼 黄茜
中国石油西南油气田分公司网络安全监督中心 四川省成都市 610000
一、摘要
随着石油企业信息化需求的不断提高,石油企业对内部网络空间安全越发的重视,中石油于2013年6月份发布了《中国石油安全基线》,各分公司遵照此标准对企业内部设备进行基线加固。本文针对现有基线检查方式的效率问题,检查结果准确率问题以及检查结果汇总问题进行研究,并通过自主开发的检查工具进行操作系统基线的自动化检查配置,较好的解决了当前基线检查效率、精确度以及结果汇总等问题,对企业基线检查工作的提质增效有着显著作用。
关键词:网络安全;基线检查;提质增效;检查配置;安全基线加固
二、引言
中国石油集团公司已经连续多年开展集团范围的网络安全大检查工作。集团公司颁布的《中国石油天然气集团公司网络安全管理办法》时刻提醒企事业单位信息安全保障的重要性,提前排除信息安全隐患,确保信息安全先行,显示了集团对信息安全工作以及生产运行安全合规的要求与决心。油田公司为了更好的贯彻执行集团相关要求,每年对企业内部进行网络安全自查,其中就包括基线检查。基线检查工作繁琐,操作复杂,结果不好汇总,往往需要耗费大量人员协助,为各个单位人员带来额外的工作量。油田公司网络安全监督部门针对这一现状,通过自主开发基线检查工具,实现了基线的自动检查、配置工作,较好的将各单位检查结果进行统一汇总,降低了各单位网络安全接口人员工作量,用实际行动践行了油田公司提质增效工作理念。
三、基线指标体系概述
1.基线理论研究
字典上对“基线”(Baselin)的解释是:一种在测量、计算或定位中的基本参照。基线是一个需求或要求的基准,在实际应用中体现为一种比较的行为,其目的是为决策提供支持。
网络安全基线是网络安全防护必须要满足的最低安全要求,是组织根据自身状况,建立的一套在适合本组织在一段时期内将抽象的安全防护规范,落实为可执行的“理想化的综合基线指标”。安全基线是一个信息系统的最小安全保证,通过与基准的比较,明确差距,为决策提供量化的数据支持。
安全基线需要通过自动化手段对组织现有的安全基线进行实时监测、确认和跟踪,通过分析、对比确定差距并进行自动化基线合规操作。
2.国内基线体系研究
1999年,公安部组织起草了国家强制性标准《计算机信息系统安全保护等级划分准则》,该标准将计算机信息系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级5个等级。该标准的主要目的:一是为了计算机信息系统安全法规的制定和执法部门的监督检查提供依据;二是为安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。这个标准也成为国内信息安全建设的最基本基线。
3.国外基线体系研究
美国FISMA(TheFederalInformationSecurityManagementAct,联邦信息安全管理法案)定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。FISMA在2002年成为美国电子政府法律的一部分,把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大。经过一系列的研究和改进,延伸出SCAP协议(SecurityContentAutomationProtocol),SCAP协议定义了一套安全基线库,得以将FISMA的信息安全生命周期模型进行落地。SCAP的自动化安全基线理念最重要贡献简单总结在于:第一,制定安全基线;第二,通过工具化和自动化的方式落实。
四、应用场景
根据中国石油天然气集团有限公司的要求,操作系统需遵循《中国石油安全基线》的要求,对员工的个人电脑以及服务器进行基线加固。其中涉及账号管理、密码管理、认证授权、日志审计、系统服务、补丁与防护软件、共享文件夹及访问权限、远程维护以及其他方面等。
应集团公司要求油田公司每年在内部开展网络安全检查,其中各个单位涉及操作系统基线检查的设备众多,统计困难,基线加固步骤繁琐,普通员工计算机水平有高有低,大部分员工无法独立自主有效的完成加固任务,导致油田公司存在潜在的网络安全隐患以及人员成本支出过大。西南油气田公司网络安全监督中心从这一现状出发,自主开发了针对Windows操作系统下终端及服务器的安全基线自动检查、加固的工具系统(即基线配置核查与加固系统),并可以生成受检设备的检查结果报告。通过配套的报表工具将检查结果快速的汇总到一起自动生成汇总报表。各单位网络安全管理员通过简单培训,即可快速学会此基线检查工具系统,极大的提高了员工工作效率,提高了单位的治理水平。通过在油田公司的推行情况看,此工具在石油企业内部具备较大应用潜力。后续可以通过将自动化检查配置工具升级完善,使其适配的标准更加全面,这样就可以进一步降低企业网络安全运行成本,提高企业网络安全治理水平。
五、系统介绍
1.系统目标
通过研究安全基线理论,根据中国石油集团公司安全基线管理规定,结合中国石油网络安全现状,基线配置核查与加固系统(以下简称SBL),实现安全基线配置规范化管理,自动识别和扫描Windows操作系统的配置合规性,在此基础之上对系统进行综合评估,得出安全整改加固建议,提高操作系统网络安全的防护能力,提高系统安全性和可用性。
2.系统功能
基线配置核查与加固系统(以下简称SBL)是核查与加固安全基线的工具系统,可用于部署在中石油集团公司内网下的终端及服务器设备基线检测、加固和导出安全基线配置。
SBL经过更新迭代,目前已更新至4.11版本。可对操作系统版本为win7、win8、win10,windows server2003、windows server2008、windows server2012的终端电脑或服务器进行基线核查。主要功能包括一键检测、保存结果、上传结果、设置信息及加一键固。核查内容涵盖了《集团公司终端安全基线配置规范》要求中可以自动判断的检查项,极少部分检查项还需人工判断是否符合基线要求。
3.系统优点
基线配置核查与加固系统具有如下几个优点:
检查项根据中石油集团公司终端/服务器安全基线配置规范定制 ;在进行核查时具有对设备归属信息添加的功能 ;具有一键加固的功能;可对检查结果批量生成表格,方便结果整理与分析 ;操作简单、耗时短。
六、总结
在以往的安全基线检查中,一般使用人工核查或离线脚本的方式进行检查,人工核查的方式受限于计算机使用水平较低的员工无法自行完成检查及加固且逐项检查步骤繁多;而离线脚本的方式受限于设备老旧的问题导致检查过程时间长且不固定;所以SBL对比以往的人工核查与离线脚本核查具有以下明显优势:
在安全基线配置检查层面,人工核查、离线脚本核查检查时间较长且不固定;SBL相较于以往的检查方式的检查过程耗时更短,操作步骤更加简单;
在安全基线加固层面,传统方式的手工逐项加固配置,操作繁复,且受员工自身计算机水平限制,SBL的一键加固可以更快速、简单的完成基线配置加固;
在结果统计分析层面,使用配套的SBLoutcome表格工具,以检查时输入的设备归属维度自动生成的结果汇总报表,分析统计更方便。
综上所述,SBL不需要较高的计算机使用水平就可以让使用者自行完成检查、加固、结果导出,简单操作使非信息专业员工也可完成全部操作,可以达到以下效果:
可以大幅提升基层安全基线配置整改效率及面积;可以大幅提升安全基线合规率的。
对检查人员而言在检查过程中,设备检查耗时更短,设备归属统计更方便,同时也能提供更快捷的统计分析结果报表,可以达到以下效果:大幅缩短检查过程时间,节约时间成本;减少检查人力成本投入;减少结果汇总工作量,缩短分析时间。
可以看出SBL最大的优点在于操作简单、核查耗时短,使无论是检查方或被检查方,在节省时间成本、人力成本的同时,还可以更好的提升安全基线合规率的,最终以实现提质增效的目的。
作者简介:管冬平,男,1973年1月生。1997年7月毕业于江汉石油学院,学士学位。现任中国石油西南油气田分公司网络安全监督中心主任,主要从事网络安全管理工作。