电力行业中的4A管理.pdfVIP

2007 年全国电力企业信息化大会论文集 电力行业中的4A 管理 张柯丽 （国瑞数码安全系统有限公司） 摘要：随着电力企业信息化的进一步深入和发展，产生了 “信息孤岛”和诸如账号管理混乱、权限管理分散、信息 审计乏力等安全问题，给企业的经营管理带来了很大困难。本文提出了一个将账号管理、认证管理、权限管理、审 计管理融为一体的平台化解决方案 （4A 管理解决方案），实现电力企业信息资源的安全管理，促进业务集成，整合 已建应用，避免重复建设，降低开发成本，解决了信息孤岛问题和信息系统管理相关的安全问题；为各级电力企业 信息系统安全管理提供了一个参考方案。 1 电力企业信息化建设中面临的问题 电力企业的信息化建设经过多年的发展，已经取得了一系列的成就和经验。尤其是近几年，电力 企业在信息化意识、信息化建设推进的广度和深度、经验积累等方面都取得了不少收获。毋庸置疑，信息 化带来了劳动生产率的大大提高，信息化加强了电力企业的管理力度，杜绝了人工管理上出现的一 些漏洞，有力地促进电力企业的发展。 但是，由于电力企业网络的复杂庞大、业务种类的复杂多样，所以电力企业的应用一般是由不同 厂家分不同时期进行创建的，由于不同厂家对于信息安全管理认识和研发能力的不同，造成了用户 账号管理分散、认证方式多样、授权管理复杂、审计信息有限的情况，从而给企业信息安全管理带来了很 大负担和隐患。这些隐患典型的表现如：采用传统的基于用户名/密码的方式进行系统登录，很容易被 黑客或其它内部人员截获用户账号和口令，从而攻破应用系统；多人共享账号，在出现问题时，难 以追踪实施具体操作的自然人等。 电力系统信息安全管理问题已威胁到电力系统的安全、稳定、经济、优质运行，为此，电力企业给予 信息安全管理以很大的重视，并相继在其相关的 “十一五”规划中进行了规划和界定，例如国家电 网集团就在 “SG186”工程中提出了安全保障体系的概念，其中就包含了信息安全管理相关的内容。 电力系统信息安全管理方面存在的问题主要有： 缺乏集中用户账号管理机制：电力企业系统中有大量的网络设备、主机和应用系统，分别属于不 同的专业人员进行管理；账号繁多，管理困难，管理成本较高；对于离职或者工作岗位变更的用户， 很难干净彻底的删除或者禁止相应账号，容易产生无主账号或者容易发生安全问题；当维护人员同 时对多个系统进行维护时，工作复杂度会成倍增加； 缺乏集中用户身份认证机制：用户身份认证是建立安全应用系统的第一道防线，电网企业系统 众多，而业务系统和设备管理的用户身份认证各自为政、互不相同，其认证的方式呈现多样化，用户 登录不同的业务系统可能采用完全不同的登录方式，管理员对于用户的管理在后台是分散的； 缺乏集中的资源访问授权机制：电力企业各系统分别管理所属的系统资源，为本系统的用户分 配权限；缺乏集中的资源授权管理平台，无法严格按照最小权限原则分配权限；随着用户数量的增 282 2007 年全国电力企业信息化大会论文集 加，权限管理任务越来越重，系统的安全性无法得到充分保证； 缺乏集中的日志审计机制：由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互 独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统 及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计；无法对整个电力系统进行综 合分析，不能及时发现入侵行为和不规范操作行为。 难以划分不同用户的权限管理域：在电力企业中，信息系统的用户包括“系统管理员用户”、“业 务系统用户”、“同级单位用户”等等，由于没有集中统一的账号管理、认证、授权、审计机制，管理员难以 对诸多不同的用户按照权限管理域进行合理划分，从而难以实施有效的管理措施和手段。 国瑞数码安全系统有限公司，作为一家提供专业安全技术和服务的公司，一直关注着国家电力 企业的信息化安全建设，在企业信息化安全建设方面积累了丰富的经验。国瑞公司依靠自己强大的信 息安全技术研发队伍，经过多年的市场调研和产品研发，推出了资源访问控制应用安全平台产品 DigitalTrust ，可以很好地解决电力行业信息系统安全管理4A 方面的问题。 2 DigitalTrust 资源访问控制安全平台简介 2.1 系统概述