基于準入系統(tǒng)的信息安全防護管理

杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

?

基于準入系統(tǒng)的信息安全防護管理

杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

在全球信息化的推動下，電力系統(tǒng)也越來越依賴于信息網(wǎng)絡(luò)與信息系統(tǒng)，在這樣的環(huán)境下保障電力企業(yè)信息安全也成為每個供電公司的重要任務(wù)。本文闡述了國網(wǎng)泰安供電公司基于準入系統(tǒng)的信息安全防護管理，主要包括了終端管理，主機及辦公終端的加固，違規(guī)事件檢測以及策略下發(fā)等方面的內(nèi)容，目前公司在內(nèi)外網(wǎng)統(tǒng)一部署了網(wǎng)絡(luò)準入系統(tǒng)，并已運行一年多的時間，圍繞準入系統(tǒng)開展信息安全防護工作，在為運維人員帶來便捷的同時，也讓運維工作變的更加準確、高效。先進的技術(shù)和高效的運維在用戶內(nèi)外網(wǎng)接入前，形成了一道可靠地屏障。

準入控制 安全防護 終端加固

1　前言

信息安全防護管理工作是泰安供電公司的關(guān)鍵工作之一，它影響范圍大，涵蓋范圍廣，運維難度高，因此也是公司需要高度重視的工作。信息安全防護工作包括對信息系統(tǒng)和網(wǎng)絡(luò)兩大方面的安全防護，運維工作包括對終端設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等硬件的維護，以及對操作系統(tǒng)軟件、業(yè)務(wù)應(yīng)用軟件等軟件的維護。

基于準入系統(tǒng)的信息安全防護管理是以網(wǎng)絡(luò)準入系統(tǒng)為基礎(chǔ)進行的終端管理，主機及辦公終端的安全加固，違規(guī)事件檢測以及策略下發(fā)等防護工作。利用先進的技術(shù)手段，使防護工作更加省時、準確、高效，從而達到縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理的時間，并杜絕違規(guī)事件的發(fā)生。

2　信息安全防護系統(tǒng)部署實施

2.1基于準入系統(tǒng)的信息安全防護管理流程

公司基于網(wǎng)絡(luò)準入系統(tǒng)，建立起一套信息安全防護工作的工作流程，如圖1所示。

圖1　基于準入系統(tǒng)的信息安全防護管理流程

通過這一工作流程，公司可以輕松完成一些防護工作。例如未安裝防病毒，未注冊，弱口令，補丁的下發(fā)與安裝等等，運維人員可以遠程進行終端問題排查與管理，提高了運維效率，減輕了運維負擔(dān)。

2.2策略的制定與下發(fā)

在部署網(wǎng)絡(luò)準入系統(tǒng)后，公司根據(jù)省公司要求，并結(jié)合自身需要，設(shè)定辦公終端及主機入網(wǎng)前的安全檢查策略，并設(shè)定關(guān)鍵項和非關(guān)鍵項，關(guān)鍵項檢測未通過，設(shè)備無法正常入網(wǎng)，非關(guān)鍵項未通過設(shè)備可以接入網(wǎng)絡(luò)，但有一定的整改時間，整改時間內(nèi)未修復(fù)，設(shè)備會斷開網(wǎng)絡(luò)（公司整改時間一般設(shè)為7天）。

設(shè)定的策略檢查都通過后，設(shè)備可以正常連接網(wǎng)絡(luò)。為了保證主機及辦公終端的信息安全，網(wǎng)絡(luò)準入系統(tǒng)會定時在后臺運行并進行安全檢查，一旦發(fā)生安全問題，會立刻斷開網(wǎng)絡(luò)，并提示用戶修復(fù)。對出現(xiàn)的問題，用戶可以一鍵修復(fù)，操作簡單明了，這也有效避免了公司員工因在信息技術(shù)接受能力上的不同而造成的信息安全事件。

在策略下發(fā)過程中也會出現(xiàn)一些問題。

問題一：在公司的實際使用中，公司的自助售電終端，網(wǎng)絡(luò)打印機等類似設(shè)備，無法通過安全檢測，對于這類設(shè)備需要對IP地址進行例外或可信設(shè)置，這樣終端設(shè)備可以繞過安全監(jiān)測，進行正常入網(wǎng)，但同樣可以遠程監(jiān)測及管理。

問題二：對于一小部分終端，易出現(xiàn)無論怎樣修復(fù)都無法通過安全檢查，例如補丁安裝不上，密碼策略無法修復(fù)等，這類終端多使用的是盜版XP或GHOST系統(tǒng)版本，因此需要對這部分終端統(tǒng)一更換XP或WIN7正版系統(tǒng)。

問題三：對于一小部分終端，出現(xiàn)針對客戶端運行狀態(tài)異常并無法修復(fù)的問題，經(jīng)檢查發(fā)現(xiàn)為與北信源桌面兼容性問題，將安全準入小助手與北信源桌面客戶端卸載后按步驟安裝即可通過安全檢查。

2.3主機及辦公終端加固

2.3.1辦公終端加固

基于網(wǎng)絡(luò)準入系統(tǒng)的策略檢測，可以對終端弱口令、屏幕保護、是否注冊桌面系統(tǒng)、遠程桌面、安裝防病毒、賬號禁用、補丁安裝等問題進行修復(fù)。不僅如此，對定期下載最新系統(tǒng)補丁庫，也可以利用公司網(wǎng)絡(luò)準入設(shè)備，進行補丁的分發(fā)和安裝。

2.3.2主機加固

主機加固方法與終端類似，但是對加固工作要求更高，在準入系統(tǒng)的基礎(chǔ)上，對于BVS檢測出來的一些問題需要運維人員參照安全配置作業(yè)指導(dǎo)書進行手動修復(fù)，對掃描出現(xiàn)的問題不斷進行整改，最終將主機得分提升到滿分。

3　應(yīng)用評估

3.1遠程終端故障排查案例

當(dāng)用戶報修終端故障無法連接網(wǎng)絡(luò)時，運維人員通過網(wǎng)絡(luò)準入系統(tǒng)對這一故障進行問題排查：

首先，運維人員詢問用戶IP地址，然后進入網(wǎng)絡(luò)準入系統(tǒng)的管理界面，輸入IP地址進行搜索，我們可以得到該用戶的一些信息，在這些信息中包含該用戶終端在最后一次正常入網(wǎng)時所在交換機及其端口，根據(jù)這些信息，我們可以進入相應(yīng)交換機排查交換機是否正常，包括交換機是否正常工作，交換機配置或端口配置是否正確，IP與MAC地址是否綁定等。如果這些問題都被一一排除后，則進入下一部排查工作。

我們點擊操作以查看用戶詳細信息，下面有用戶最新認證與安檢結(jié)果，如果進入后顯示存在安全隱患，則說明因策略檢查未通過而無法聯(lián)網(wǎng)，這時運維人員可以根據(jù)具體情況指導(dǎo)用戶進行策略修復(fù)。如果進入后顯示“認證超時，設(shè)備可能無法正常上網(wǎng)，這時在交換機正常的前提下，則可以斷定為終端網(wǎng)卡故障、網(wǎng)線故障和墻體模塊故障三個問題，這時運維人員可以有針對性的進行現(xiàn)場故障處理工作。

3.2違規(guī)事件檢測案例

3.2.1對違規(guī)私接集線器、路由器設(shè)備的檢測

隨著公司人事變動，經(jīng)常會出現(xiàn)辦公場所網(wǎng)絡(luò)接口不夠用的情況，有些人會采用加集線器、路由器等設(shè)備來拓展網(wǎng)絡(luò)接口。這樣的做法會對信息安全會造成較大的安全隱患，也是公司不允許的行為。

私接集線器、路由器的危害有很多。一方面，如果存在多個集線器，容易因人為原因?qū)⒓€器連接成環(huán)路，引起廣播風(fēng)暴，此時幾個小集線器就會影響整個公司的網(wǎng)絡(luò)穩(wěn)定；另一方面，路由器，甚至無線路由器易被不法分子利用，輕松地介入公司內(nèi)網(wǎng)，造成公司秘密泄露。

網(wǎng)絡(luò)準入系統(tǒng)可以檢測到違規(guī)私接的集線器、路由器設(shè)備，這樣可以使信息運維人員及時發(fā)現(xiàn)并對這些違規(guī)行為進行制止，從而消除安全隱患，保障公司信息安全。

3.2.2對違規(guī)外聯(lián)事件的檢測

網(wǎng)絡(luò)準入系統(tǒng)可以檢測到一些試圖連接到外部網(wǎng)絡(luò)的進程，而后快速斷開用戶網(wǎng)絡(luò)。但是，違規(guī)外聯(lián)事件具有不預(yù)判性和觸發(fā)原因多樣性的特點，因此網(wǎng)絡(luò)準入系統(tǒng)并不能完全阻止違規(guī)事件的發(fā)生，需要公司加大信息安全宣傳力度，做好信息安全培訓(xùn)，提高全體員工的信息安全意識。通過管理與技術(shù)并重的方法，來徹底杜絕違規(guī)外聯(lián)事件的發(fā)生。

4　實踐效果

基于準入系統(tǒng)的信息安全防護管理可以讓運維工作更加省時、高效，并且對于安全基線加固工作有很大的幫助。此外，準入系統(tǒng)還帶有違規(guī)事件監(jiān)測功能，對于一些違規(guī)事件的發(fā)生起到很好的防護作用，形成了一道堅固的安全防護高墻，保證公司信息安全工作的順利進行。

4.1縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理時間

網(wǎng)絡(luò)準入系統(tǒng)使運維人員的工作更加規(guī)范化、流程化，也加強了對終端及網(wǎng)絡(luò)設(shè)備進行集中監(jiān)控和維護的能力，使網(wǎng)絡(luò)運行穩(wěn)定性和設(shè)備故障檢修效率大幅提高。

公司在2014年底購買并成功部署了網(wǎng)絡(luò)準入系統(tǒng)，運維人員對比了2013年與2014年的信息設(shè)備故障處理時間，發(fā)現(xiàn)故障處理時間有明顯降低，效率得到大幅度提升。

4.2不斷做好主機及辦公終端的加固工作

網(wǎng)絡(luò)準入系統(tǒng)的使用也對公司開展安全基線加固工作提供了便利，充分利用準入系統(tǒng)安全策略檢查功能和批處理程序下發(fā)功能，不斷做好泰安公司的主機及辦公終端的加固工作。

4.3杜絕違規(guī)事件的發(fā)生

網(wǎng)絡(luò)準入系統(tǒng)的部署可以很好地避免一些違規(guī)事件的發(fā)生：

①入網(wǎng)前的安全檢查功能，可以避免弱口令、防病毒未安裝、未注冊等安全事件的發(fā)生；

②定期循環(huán)檢查功能，可以防止用戶在接入網(wǎng)絡(luò)后私自修改安全設(shè)置；

③安全報警功能，可以監(jiān)測端口私接路由器、集線器等設(shè)備，并且對違規(guī)進程觸發(fā)的違規(guī)外聯(lián)事件具有較好的防范作用。

5　結(jié)論

總體而言，網(wǎng)絡(luò)準入系統(tǒng)使得信息安全防護工作更加有效、堅固，它不僅是一套系統(tǒng)那么簡單，而是可以讓我們形成一套高效、省時的工作流程，為我們的工作提供了新的思路，在今后，泰安公司的信息安全防護水平也會更上一層樓。

［1］ 孫慶恭，基于多層準入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，現(xiàn)代計算機（專業(yè)版），2010（03）

［2］ 馬智勇，基于多層準入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，信息技術(shù)，2012（09）

［3］ 陳賽，實施準入控制保護內(nèi)網(wǎng)健康［J］，中國教育網(wǎng)絡(luò)，2009（05）

［4］ 葛春，張強，張洪杰，王虹，基于內(nèi)網(wǎng)的信息安全防護系統(tǒng)設(shè)計與實現(xiàn)［J］，科技創(chuàng)新導(dǎo)報，2009（33）

個人簡介

杜慧珺，1990- ，助理工程師，從事公司內(nèi)外網(wǎng)網(wǎng)絡(luò)運維工作。