張謝

摘 要：作為電力信息網(wǎng)的重要組成部分，信息網(wǎng)終端終端的安全防護(hù)是日常信息運(yùn)維管理的重點(diǎn)、難點(diǎn)。在分析電力信息網(wǎng)終端安全風(fēng)險(xiǎn)來(lái)源及安全防護(hù)現(xiàn)狀的基礎(chǔ)上，合肥供電公司結(jié)合在運(yùn)的終端自動(dòng)化運(yùn)維工具，集成終端運(yùn)行安全狀態(tài)的檢測(cè)，快速獲取終端異常行為并進(jìn)行網(wǎng)絡(luò)限制接入處理，有效地提高工作效率，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高了電力信息內(nèi)網(wǎng)的安全性，具有一定額推廣價(jià)值。

關(guān)鍵詞：電力信息網(wǎng)；安全防護(hù)；終端安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2017）10-0135-02

電力信息網(wǎng)終端作為信息網(wǎng)的重要組成部分，直接承載了各類生產(chǎn)應(yīng)用開(kāi)放的業(yè)務(wù)功能，給業(yè)務(wù)用戶帶來(lái)了便捷的同時(shí)也面臨著許多不容忽視的安全威脅；信息內(nèi)網(wǎng)終端由于病毒感染、移動(dòng)介質(zhì)的非法使用、內(nèi)外網(wǎng)互聯(lián)等行為給整個(gè)電力信息網(wǎng)帶來(lái)了極大的安全隱患[1]。國(guó)網(wǎng)合肥供電公司在開(kāi)展終端自動(dòng)化運(yùn)維工作的基礎(chǔ)上，同時(shí)積極開(kāi)展將終端安全防護(hù)納入終端自動(dòng)化運(yùn)維工作范圍，自主研發(fā)終端自動(dòng)運(yùn)維安全檢測(cè)工具來(lái)實(shí)現(xiàn)終端的安全優(yōu)化，通過(guò)此工具的應(yīng)用，有效的管理終端設(shè)備，提高工作效率，同時(shí)實(shí)時(shí)監(jiān)控終端，提高信息內(nèi)外網(wǎng)的安全性。該工具目前在合肥公司已全面應(yīng)用，應(yīng)用情況良好。

1 電力信息網(wǎng)終端安全防護(hù)現(xiàn)狀

合肥供電公司按照國(guó)網(wǎng)公司信息安全規(guī)范要求[2]對(duì)信息網(wǎng)進(jìn)行了信雙網(wǎng)隔離改造，目前信息網(wǎng)包括信息內(nèi)網(wǎng)和信息外網(wǎng)。其中信息外網(wǎng)主要包括辦公桌面終端，方便專業(yè)管理人員接入互聯(lián)網(wǎng)，由省電力公司進(jìn)行安全防護(hù)管理；信息內(nèi)網(wǎng)包括市公司本部的局域網(wǎng)、變電站及營(yíng)業(yè)廳使用的廣域網(wǎng)及縣公司網(wǎng)絡(luò)，并按照信息安全“分區(qū)、分級(jí)、分域”的防護(hù)規(guī)范要求，將信息內(nèi)網(wǎng)安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、信息主機(jī)及應(yīng)用環(huán)境4個(gè)層次，各系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端劃分至相應(yīng)安全區(qū)域進(jìn)行防護(hù)。公司現(xiàn)有信息終端2800余臺(tái)以辦公用臺(tái)式機(jī)為主，同時(shí)包括網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)攝像頭、硬盤(pán)錄像機(jī)、繳費(fèi)終端等其他類型。根據(jù)國(guó)網(wǎng)公司終端信息安全管理規(guī)范要求，針對(duì)辦公終端均已安裝北信源桌面管控終端（VRV客戶端）、趨勢(shì)防病毒客戶端及保密終端，并定期進(jìn)行補(bǔ)丁升級(jí)。

隨著信息安全要求的不斷提升，電力信息網(wǎng)終端防護(hù)方法及技術(shù)也不斷提升，目前已形成基礎(chǔ)系統(tǒng)配置審計(jì)、終端行為審計(jì)及終端安全輔助支撐三級(jí)的主、被動(dòng)結(jié)合的防護(hù)機(jī)制[3]。

（1）基礎(chǔ)系統(tǒng)配置審計(jì)：通過(guò)VRV客戶端定期對(duì)終端操作系統(tǒng)的Guest用戶、登錄口令強(qiáng)度、口令過(guò)期策略、系統(tǒng)補(bǔ)丁安裝情況進(jìn)行檢測(cè)，提示終端操作系統(tǒng)存在的安全風(fēng)險(xiǎn)；并由省電科院定期開(kāi)展終端漏洞掃描工作，針對(duì)MS08-77、MS12-020等高危漏洞進(jìn)行掃描并提示整改[6]。

（2）終端行為審計(jì)：通過(guò)VRV客戶端對(duì)終端用戶的違規(guī)內(nèi)外網(wǎng)互聯(lián)、使用非安全移動(dòng)存儲(chǔ)設(shè)備，使用趨勢(shì)防病毒客戶端對(duì)終端病毒感染情況進(jìn)行審計(jì)并提示終端用戶行為存在的安全風(fēng)險(xiǎn)。

（3）終端安全輔助支撐：為增加終端使用人員的信息安全意識(shí)，通過(guò)設(shè)置統(tǒng)一的安全警示屏保、公司內(nèi)網(wǎng)網(wǎng)站定期宣傳、辦公場(chǎng)所信息安全事故展等多種方式開(kāi)展終端安全宣傳工作，進(jìn)一步提升人員信息安全意識(shí)[3]。

在使用信息網(wǎng)終端時(shí)，部分員工的無(wú)意識(shí)行為和安全意識(shí)不足，給信息網(wǎng)安全帶來(lái)了一定的安全隱患[8]，主要表現(xiàn)在以下幾個(gè)方面：

1）終端范圍廣，環(huán)境復(fù)雜，用戶多，終端安全管理難度較大，同時(shí)對(duì)于終端設(shè)備的隨意接入使用，并不及時(shí)安裝監(jiān)控軟件或私自關(guān)閉關(guān)鍵進(jìn)程（如：趨勢(shì)，VRV等），給內(nèi)外網(wǎng)的安全到來(lái)安全風(fēng)險(xiǎn)，也不便于管理人員有效的管理以及對(duì)終端的安全進(jìn)行監(jiān)控。

2）無(wú)線WIFI的熱點(diǎn)的濫用，為黑客利用終端攻擊企業(yè)局域網(wǎng)提供了便利的條件。

3）終端漏洞補(bǔ)丁的不及時(shí)安裝，會(huì)直接導(dǎo)致黑客入侵電腦，獲取終端管理員權(quán)限，植入密碼病毒或者機(jī)密信息等。

4）存在多個(gè)系統(tǒng)賬戶和弱口令，可能導(dǎo)致終端被黑客入侵或者被他人識(shí)別登錄，造成文件丟失、信息外泄等安全隱患。

5）終端服務(wù)的監(jiān)控準(zhǔn)確性差、安全控制策略經(jīng)常無(wú)法生效，以致用戶可以私自啟用某些不安全的服務(wù)，造成信息安全隱患。

6）安裝指定的屏保并合規(guī)設(shè)備屏保，保證終端無(wú)人使用狀態(tài)下，能迅速保護(hù)終端安全，防止他人使用造成信息外泄。

2 電力信息網(wǎng)終端安全防護(hù)提升方法

2.1 安全防護(hù)方法設(shè)計(jì)

為應(yīng)對(duì)信息網(wǎng)終端運(yùn)行潛在的各類安全風(fēng)險(xiǎn)，合肥公司開(kāi)展了各類有效的措施加強(qiáng)安全防護(hù)，例如要求用戶終端在接入電力信息網(wǎng)前達(dá)到一定的安全要求，盡量避免單個(gè)用戶的網(wǎng)絡(luò)安全隱患對(duì)整個(gè)信息網(wǎng)絡(luò)構(gòu)成威脅，并通過(guò)VRV終端定期推送補(bǔ)丁，消除終端系統(tǒng)存在的高危漏洞。但由于信息網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)是非穩(wěn)定的，信息網(wǎng)中的接入設(shè)包含信息終端的狀態(tài)隨著時(shí)間遷移、變遷到非安全狀態(tài)，從而給信息網(wǎng)帶來(lái)新的安全隱患。為此，結(jié)合合肥公司目前在運(yùn)的終端自動(dòng)化運(yùn)維終端工具，在工具中集成終端運(yùn)行數(shù)據(jù)的采集功能；當(dāng)在信息網(wǎng)中收集的網(wǎng)絡(luò)及用戶終端的狀態(tài)信息越多，越能夠準(zhǔn)確地判斷出終端給信息網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)，并及時(shí)給出應(yīng)對(duì)措施，控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

終端運(yùn)維工具與終端安全安全防護(hù)關(guān)聯(lián)的核心功能包括：（1）以客戶端安裝的方式在終端運(yùn)行實(shí)時(shí)監(jiān)控并自動(dòng)修復(fù)存在的安全隱患，如無(wú)法修復(fù)安全隱患時(shí)，終端將被隔離，只訪問(wèn)指定的服務(wù)器。（2）以網(wǎng)頁(yè)的方式實(shí)現(xiàn)上傳漏洞補(bǔ)丁和指定屏保、監(jiān)控的信息結(jié)果進(jìn)行展示并信息導(dǎo)出等功能。具體功能如下：

（1）客戶端直接對(duì)終端設(shè)備的進(jìn)程、服務(wù)、賬戶、口令、趨勢(shì)、VRV進(jìn)行監(jiān)控，通過(guò)網(wǎng)絡(luò)適配器對(duì)網(wǎng)卡、無(wú)線WIFI進(jìn)行監(jiān)控，同時(shí)通過(guò)對(duì)已配置監(jiān)控的漏洞補(bǔ)丁、屏保進(jìn)行監(jiān)視，將此監(jiān)控的結(jié)果進(jìn)行保存、反饋，并同時(shí)對(duì)存在的安全危害項(xiàng)進(jìn)行修復(fù)完善。

（2）管理人員通過(guò)網(wǎng)站頁(yè)面展示信息，能夠準(zhǔn)確了解終端的運(yùn)行情況，實(shí)時(shí)查看終端是否符合國(guó)網(wǎng)公司的各項(xiàng)信息安全規(guī)章制度，同時(shí)也可及時(shí)發(fā)現(xiàn)具體的違規(guī)終端信息并及時(shí)處理。

（3）安全檢查管理：安全檢查管理通過(guò)以列表的形式將所有終端的監(jiān)控信息結(jié)果進(jìn)行展示，可通過(guò)IP、MAC、檢測(cè)項(xiàng)等關(guān)鍵字進(jìn)行篩選顯示。展示信息包括：所屬部門(mén)、使用人、IP地址、MAC地址、趨勢(shì)是否安裝、VRV是否安裝、漏洞補(bǔ)丁是否安裝、是否單賬戶、口令是否合格等信息。同時(shí)也提供檢測(cè)信息導(dǎo)出Excel文檔功能。

2.2 安全防護(hù)工具應(yīng)用

工具在客戶端上定期依據(jù)審計(jì)項(xiàng)目對(duì)終端安全狀態(tài)進(jìn)行檢測(cè)，并上傳至后臺(tái)系統(tǒng)，安全項(xiàng)目檢測(cè)界面見(jiàn)圖1。檢測(cè)結(jié)束后若不滿足終端安全防護(hù)要求，客戶端工具通過(guò)調(diào)用系統(tǒng)防火墻，限制終端的網(wǎng)絡(luò)接入，只允許客戶端接入特定的漏洞服務(wù)器，防止終端給信息網(wǎng)帶來(lái)的潛在的安全風(fēng)險(xiǎn)。

3 結(jié)語(yǔ)

在分析電力信息網(wǎng)終端運(yùn)行安全風(fēng)險(xiǎn)的基礎(chǔ)上，合肥公司自助研發(fā)了終端安全風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)工具，通過(guò)工具應(yīng)用，能夠有效的對(duì)終端設(shè)備進(jìn)行有效的監(jiān)控和分析，并及時(shí)有效的修復(fù)安全檢測(cè)項(xiàng)以及將分析的總體結(jié)果通過(guò)管理端進(jìn)行詳細(xì)展示，有效地提高工作效率，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高了電力信息內(nèi)網(wǎng)的安全性，具有一定額推廣價(jià)值。

參考文獻(xiàn)

[1]張羽.基于IP接入實(shí)現(xiàn)桌面終端安全準(zhǔn)入控制管理[J].電力信息化，2009.10.

[2]呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化，2011（6）.

[3]李偉.多類型終端的準(zhǔn)入控制分析[J].數(shù)字化用戶，2014（7）.