浅谈安全审计系统在电力企业中应用.pdfVIP

2014·9甘肃-兰州 浅谈安全审计系统在电力企业中的应用 杨波党倩杜宁兰 (国网甘肃省电力公司信息通信公司，甘肃兰州730050) 【摘要】近年来，IT系统发展很快，企业对IT系统的依赖程度也越来越高，各类业务系统 也变得日益复杂。就一个网络信息系统而言，我们不仅需要考虑一些传统的安全问题，还需要关注 非传统领域的安全治理。信息系统安全治理在加大网络边界防护、数据通信安全、防病毒等基础 上，不能忽略内网安全的治理，信息安全运维审计作为内网安全治理的一种有效技术手段应运而 生。本文主要介绍电力企业中安全审计系统的设计及其架构方式，应用后总体优势分析，阐述部署 模式。电力企业实际应用表明：由于信息系统运维安全的要求和1S027000信息安全的考核，在IT 核心资产的访问与操作需要全面的控制和审计，应用技术手段保证操作员身份的合法性，杜绝借 用、盗周、越权使用IT核心资产的可能，确保操作者仅能访问被许可的系统，以及访问者是在被 允许的时间做被许可的事情，自动记录操作者操作内容，确保所有操作行为的可追溯性。以满足信 息安全、IT系统运维管理、企业合规三个方面的要求，有效提高信息网络的安全性。 【关键字】信息安全运雏审计操作控制 YANG Bo，DANGQian ElectricPower 730050) (InformationCommuncation，Gansu Corporation，Lanzhou O 引言 为了保障信息的完整性、可用性、机密性，IT系统网络中大多部署防火墙、IDS、防病毒等各 类安全设备，并且采用了如网络边界划分、强化边界访问控制等多种防护手段，但是对于系统内众 多的网络系统运维人员、第三方系统运维人员以及设备厂商维护人员，大多却缺乏有效的管理与监 控，众所周知系统、网络运维人员享有“最高权限”，一旦出现恶意操作或误操作，将会对业务 系统带来巨大影响，造成不可估量的损失。 对IT系统进行有效运维，是控制内部风险、保障业务连续性的重要手段，但大型机构的IT系 统构成复杂，操作人员众多，如何保障运维工作的有序运转、降低运维风险、提高应急响应能力， 为IT系统提供强有力的后台支撑，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。 1 系统设计及架构方式 随着IT系统的重要性和对业务系统影响越来越大，相关的法律法规对其安全性、可持续性工 作、IT操作风险以及企业内控等都有明确的要求，信息安全等级保护。目前面对这些合规性检查， 只能是制度上的检查，没有有效的数据和技术来说明这些制度是如何落实的。 因此需要在Ⅱ系统安全运维方面建立一种或多种技术手段来满足合规性要求，以满足合规l生检 1231 甘肃省电机工程学会2014年度获奖优秀学术论文集 查的需要。 1．1安全审计系统架构 安全审计系统建设目标是为组织IT系统核心服务器的运维操作提供强有力的认证、监控、审计 手段，使其切实满足内控管理中的合规性要求。它可对主机、服务器、网络设备、安全设备等的管 理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录， 提供细粒度的审计，并支持操作过程的全程回放。它弥补了传统审计系统的不足，将运维审计由事 件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使 用其拥有运维权限的关键资源。它为组织在IT操作风险控制、内控安全和合规性等方面提供一套完 善、有效的审计手段。 委峨 飞汐 图1 安全审计应用系统结构图 1_2网络部署 拙酱