4A管理电力行业信息系统安全建设的基石

2013-10-16 17:44:59 EP电力信息化网　点击量：评论 (0)

作为安全体系建设的重要组成部分和基石，访问控制管理是企业信息安全建设的第一道防线，实施有效的、安全的访问控制解决方案是企业安全体系建设的基础。主管信息安全领域的政府职能部门和国内的安全企业一直在研

作为安全体系建设的重要组成部分和基石，访问控制管理是企业信息安全建设的第一道防线，实施有效的、安全的访问控制解决方案是企业安全体系建设的基础。主管信息安全领域的政府职能部门和国内的安全企业一直在研究关于访问控制的标准和技术，并在借鉴国外信息安全访问控制领域中成熟的法规和标准的基础上，于近两年提出了“4A”的概念，即建立统一的访问控制安全管理平台，在信息系统中实现统一帐号（Account）管理、统一身份认证（Authentication）管理、统一授权(Authorization)管理和统一审计(Audit)管理。在国内，以中国移动为代表的通信行业已经进行了4A管理成功的推广和实施。我国的其他重点行业，如医疗行业也都在积极研究制定符合本行业的4A标准。作为国家重点基础能源行业的电力行业，在等级化保护制度的推动下必然加快对信息安全访问控制领域标准和技术的研究与应用。

本文结合电力企业信息系统的安全现状，在介绍国内外4A管理的背景和发展现状的基础上，阐述了4A统一安全管理平台的体系结构，以及通过实施4A解决方案，如何解决企业在信息安全访问控制方面的问题。

我国电力企业信息系统现状及访问控制面临的风险

随着计算机技术、通信技术和网络技术的发展，电力系统网上开展的业务及应用系统越来越多，要求在各业务系统之间进行的数据交换也越来越多，根据国家电监会的《电力二次系统安全防护规定》，电力系统核心网络按业务类型划分，可以分成四大区域：实时控制区、非控制生产区、生产管理区和管理信息区。各区分别属于不同的安全域，具有不同的安全等级。

电力信息系统由于其自身业务的特殊性，具有实时性、复杂性、多层次、多需求的特点。随着我国电力信息化建设的不断推进，很多电力企业也已经开始加强电力信息网络安全建设。但是，电力系统信息安全是一项技术及管理高度复杂的大型系统工程，包括信息网络安全体系层面的问题和安全管理层面的问题。

目前，在我国的电力行业信息安全建设中，很多企业还没有建立整体的安全体系架构，缺乏信息安全管理的意识，由于网络建设的历史问题，存在众多的“信息孤岛”，缺乏进行统一安全管理的解决方案，尤其是在网络安全建设金字塔底层的基础安全建设中缺乏统一的访问控制管理，使企业的信息安全基础存在重大的隐患。主要表现在：

1.大量的网络设备、主机和应用系统都具有各自的帐号管理功能，当需要同时对多个系统进行操作时，需要在系统间来回切换，工作复杂度成倍增加。

2.个别帐号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者。

3.随着系统的增多，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的危害。

4.各系统分别管理所属的系统资源，为本系统的用户分配访问权限，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障。

5.对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。

由于缺乏统一的访问控制管理平台，不仅加重系统管理人员的工作负担，而且因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数，从而增加了整个网络的安全风险。

统一安全管理的重要组成——4A管理

统一安全管理是企业安全体系建设的重要思想，它不仅涉及到物理安全、终端安全、网络安全等基础设施层面的统一安全管理，同时涉及加密、数据安全和认证等应用层面的统一安全管理，4A管理有效地实现了对企业应用系统和设备的统一的访问控制管理，包括统一的帐号管理、认证管理、授权管理和审计管理。4A管理与统一安全管理平台的关系如。

国内外4A安全管理的现状与发展

早在1996年，美国的医疗行业就颁布了HIPAA法案（健康保险流通与责任法案，Health InsurancePortability and Accountability Act），其中涉及到了如何通过物理上和技术上的安全措施来保证系统的可用性、完整性，以及患者资料的机密性，被认为是医疗行业的4A管理法规。HIPAA法规在实践中不断修改完善，在2003年2月，美国卫生与公众服务部(HHS)对医疗机构制订了明确的安全标准，规定所有提供医疗健康服务的组织如医院、健康