張啟芳，解梁軍，葛網(wǎng)華

（上海室電力公司電力科學(xué)研究院 上海 200237）

隨著信息技術(shù)的發(fā)展，各個行業(yè)的信息化程度都在加快，信息安全在各個行業(yè)中顯得日趨重要，隨著督查工作的開展和深入，現(xiàn)場督查已不能滿足信息系統(tǒng)日益增長的安全需要。因此建設(shè)信息安全督查系統(tǒng)顯得更加重要，在現(xiàn)今背景下，電力企業(yè)信息安全督查平臺的建設(shè)顯得尤為重要。

根據(jù)國家電網(wǎng)公司下發(fā)35號和36號文件指示，國網(wǎng)上海電力科學(xué)研究院承擔了信息安全督查的職能工作。隨著對督查工作的深入，督查工作的日趨繁重，而又面臨地域廣，督查人員偏少的情況，采用現(xiàn)場督查的方式，每個月只能抽查幾家單位，耗費的人力、物力很大，但是效率低下，檢查面也不是全覆蓋；而且又有多個系統(tǒng)的數(shù)據(jù)需要進行匯總，給督查執(zhí)行部門帶來了較大的工作量。因此，建設(shè)信息安全督查系統(tǒng)，提升技術(shù)督查工作的效率，更加全面地了解整個企業(yè)的信息安全狀況是很必需的。

1 督查平臺的系統(tǒng)架構(gòu)

為貫徹國家電網(wǎng)公司近年有關(guān)信息運行與安全工作要求，促進公司信息運行與安全工作水平的提高，強化隱患整改的閉環(huán)管理，客觀、準確量化各單位信息運行與安全工作成效。實現(xiàn)了對信息安全指標考核的適應(yīng)性調(diào)整，并將信息安全指標納入到公司同業(yè)對標的指標中。

信息安全督查組承擔公司信息安全督查職能，通過信息安全常規(guī)與專項督查，實現(xiàn)信息安全相關(guān)指標的具體統(tǒng)計工作，按時將結(jié)果上報科信部；針對發(fā)現(xiàn)的安全問題追蹤其閉環(huán)整改。公司各單位接受公司信息運行與安全工作評價，對評價結(jié)果中提出的問題及時開展整改消缺，不斷提升信息運行與安全工作水平。

1.1 督查平臺系統(tǒng)結(jié)構(gòu)

信息安全督查平臺集成了綠盟設(shè)備的信息漏洞安全隱患數(shù)據(jù)、內(nèi)/外網(wǎng)VRV桌面管理系統(tǒng)的信息數(shù)據(jù)、IMS3000系統(tǒng)/ISS系統(tǒng)的監(jiān)控數(shù)據(jù)、防病毒數(shù)據(jù)、IBM Appscan對網(wǎng)站的安全測評問題數(shù)據(jù)和各單位的運行管理、制度管理等數(shù)據(jù)，在統(tǒng)一的系統(tǒng)平臺上進行綜合展示和對比分析,便于管理機構(gòu)更好的了解企業(yè)的整體安全情況,針對發(fā)現(xiàn)的安全問題追蹤其閉環(huán)整改,也利于各單位更有針對性地進行消缺、整改，不斷提升信息安全防護水平。系統(tǒng)功能結(jié)構(gòu)如圖1所示。

1.2 督查平臺功能架構(gòu)

信息安全督查平臺包括安全信息比對、基本信息、安全信息采集、評分管理4大模塊：

1.2.1 安全信息比

安全信息比對以可交互動態(tài)圖表的方式分單位展示設(shè)備總數(shù)、應(yīng)注冊計算機數(shù)、已注冊計算機數(shù)、注冊率等督查數(shù)據(jù)和各單位間信息、歷史信息的多維度對比；以及每月漏洞消缺情況各單位之間橫向、縱向的比對；靈活的制定報表模板，滿足自定義需求的各種報表，更大程度上的滿足了各種特色需求。

圖1 系統(tǒng)結(jié)構(gòu)功能圖Fig.1 System structure and function diagram

1.2.2 基本信息

基本信息主要是電力公司及各下屬單位間IP規(guī)則的對應(yīng)關(guān)系，根據(jù)企業(yè)存在的具體情況，一個C類IP段的范圍存在不同單位使用的現(xiàn)象，而且由于機構(gòu)改革，人員、辦公地點發(fā)生變化，隨著對應(yīng)IP地址段也發(fā)生改變，IP段劃分的過于細化，不利于IP規(guī)則的維護，會花費維護人員太多的時間，而且容易出錯，因此在系統(tǒng)設(shè)計的最初就考慮了用優(yōu)先級別的方式進行IP地址的維護。

1.2.3 安全信息采集

安全信息采集的數(shù)據(jù)全面，通過二次開發(fā)接口采集安全漏洞掃描系統(tǒng)、AppScan網(wǎng)站安全測評、VRV、ISS、IMS3000等系統(tǒng)的實時數(shù)據(jù)外，并將人工現(xiàn)場督查數(shù)據(jù)、信息安全考評數(shù)據(jù)等信息安全管理數(shù)據(jù)也集成在系統(tǒng)中，vrv桌面管理系統(tǒng)中的數(shù)據(jù)采用爬蟲技術(shù)獲取,間隔時間的長短可以自行設(shè)定獲取數(shù)據(jù)的時間間隔,最大程度上保持了數(shù)據(jù)的時效性,各信息系統(tǒng)數(shù)據(jù)的獲取,實現(xiàn)了對內(nèi)網(wǎng)、外網(wǎng)安全督查數(shù)據(jù)的全面覆蓋。

1.2.4 評分管理

評分管理以安全為核心的數(shù)據(jù)切面分析，本平臺中為安全管理決策的需要，對各類安全監(jiān)控數(shù)據(jù)和安全督查數(shù)據(jù)從信息安全角度，結(jié)合企業(yè)自身的安全督查的個性化需求，實現(xiàn)對數(shù)據(jù)的多維度分析。

評分公式采取多維模型，便于督查管理者根據(jù)相關(guān)要求靈活調(diào)整各個評分項的權(quán)重，刪除和增加各個評分子項。管理排名支持，根據(jù)上海公司的組織特點，實現(xiàn)各單位的信息安全情況能夠很清晰地進行橫向、縱向的比對。評分管理界面如圖2所示。

圖2 評分管理界面Fig.2 Rating management interfoue

2 實現(xiàn)方法及應(yīng)用

2.1 實現(xiàn)方法

本系統(tǒng)采用B/S架構(gòu)JAVA技術(shù)，融合了開發(fā)公司的JDP框架和FLEX框架利用組件靈活定義UI的優(yōu)點，具有良好的擴展性、動態(tài)交互性強、組件復(fù)用度高、響應(yīng)速度快等技術(shù)特點。

1)實現(xiàn)平臺與外部系統(tǒng)(vrv桌面管理系統(tǒng))進行互聯(lián)的相關(guān)接口，實現(xiàn)識別和發(fā)現(xiàn)違規(guī)行為，將報警信息（如：弱口令、病毒行為、違規(guī)外聯(lián)等）發(fā)送到聯(lián)系人手機上，及時的查看和了解情況，更方便消缺的定位。

2)FLEX框架動態(tài)與JDP框架融合技術(shù)，在JDP框架基礎(chǔ)上，在前端采用FLEX技術(shù)，實現(xiàn)高可互動性的動態(tài)圖表，直觀展示各類數(shù)據(jù)及分析報告。

3)多數(shù)據(jù)源集成技術(shù)，采用適配器模型，實現(xiàn)對不同廠商系統(tǒng)數(shù)據(jù)的統(tǒng)進行抽取，具有架構(gòu)清晰，擴展性好，性能穩(wěn)定的特點。

4)多維度數(shù)據(jù)對比分析技術(shù)，各靈活實現(xiàn)平級單位之間，以及同一單位不同時期的數(shù)據(jù)對比分析。

2.2 督查平臺的應(yīng)用

督查平臺主要用于督查執(zhí)行者每月的常態(tài)督查工作，在系統(tǒng)上發(fā)起任務(wù)，完成當月的漏掃工作。Vrv桌面管理系統(tǒng)的數(shù)據(jù)通過督查平臺主動獲取得到，漏洞類別、所屬單位、風(fēng)險級別等相應(yīng)的比對工作都在后臺完成，減少了人工工作量。漏洞明細數(shù)據(jù)通過從系統(tǒng)二次開發(fā)接口提取或得，存儲于后臺數(shù)據(jù)庫中，按照用戶需求生成每月的分析報告、對應(yīng)的解決方案等，便于幫助企業(yè)發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患，更好地保障了信息系統(tǒng)的安全。

各單位每月的信息安全狀況，通過制定的《公司信息運行與安全工作評價體系》的相關(guān)細則、要求，進行復(fù)雜的數(shù)學(xué)計算及結(jié)果分析，并用圖表形式展現(xiàn)在平臺上，排名能夠直觀的進行比較，反映了單位信息安全水平狀況，便于督查管理者了解各單位的整體情況，便于管理，督促整改。關(guān)于漏洞隱患類別和個數(shù)的消缺情況根據(jù)系統(tǒng)上圖形界面展示，有直觀的比對，促進執(zhí)行者的工成效，提高工作水平、工作信心，調(diào)動了工作積極性。

每月通過通報督促整改機制，每月編寫信息安全月度報告和對各單位每月高危主機比重排名進行通報，并且形成一種常態(tài)化機制。

3 結(jié)束語

電力企業(yè)信息安全工作的快速發(fā)展為電力系統(tǒng)的穩(wěn)定運行提供了有力保障,而信息安全技術(shù)督查在其中也扮演了重要的角色。信息安全督查系統(tǒng)經(jīng)過建設(shè)形成較為完善的信息安全督查工作環(huán)境，基礎(chǔ)硬件平臺設(shè)備先進、技術(shù)參數(shù)領(lǐng)先、性能可靠。信息安全督查平臺采用B/S結(jié)構(gòu)，融合了JDP框架和Adobe公司FLEX框架的優(yōu)點，具有擴展性良好、動態(tài)交互強、組件復(fù)用度高、響應(yīng)速度快等技術(shù)特點。后續(xù)將繼續(xù)結(jié)合企業(yè)新的業(yè)務(wù)特點和信息規(guī)劃，不斷豐富安全督查平臺內(nèi)容，完善基礎(chǔ)硬件設(shè)施，使該平臺能更好的為企業(yè)的信息安全提供保障。

[1]王旭,陳濤,繆剛.漏洞掃描技術(shù)在電網(wǎng)信息安全中的作用與實踐[J].電力信息化,2011,9(2):157-160.

[2]高鵬,范杰,郭騫.電力信息系統(tǒng)安全技術(shù)督查策略研究[C].2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集,2012.

[3]李博陵.企業(yè)信息安全管理平臺研究[J].河北省科學(xué)院學(xué)報,2011,28(2):30-33.

[4]牛罡,張棟,吳暉.信息安全管理平臺在電力企業(yè)中的應(yīng)用探討[C].2007年電力信息化高級論壇論文集,2007:471-473.

[5]藍文濤.電力企業(yè)信息系統(tǒng)安全防護措施探討[J].廣西電力.2011,34(1):52-54.

[6]余萍.電力企業(yè)信息安全技術(shù)督查管理系統(tǒng)研究.計算機安全技術(shù).2010(20):121-122,154.