摘要：本文結(jié)合太平灣發(fā)電廠信息中心簡化日常安維工作的實踐，對如何在確保網(wǎng)絡(luò)安全的基礎(chǔ)上，以各類安全功能與安全運維向單一的網(wǎng)關(guān)設(shè)備集中為原則，提高企業(yè)局域網(wǎng)日常安維工作效率，進行了初步探討，并總結(jié)了安全運維工作簡化后取得的實際效果。

關(guān)鍵詞：信息中心；安全維護；工作實踐

中圖分類號：TP335 文獻標識碼：A 文章編號：1007-9599 （2012） 18-0000-02

1 太平灣發(fā)電廠網(wǎng)絡(luò)概況

我廠企業(yè)網(wǎng)絡(luò)覆蓋了丹東綜合辦公及生活基地（丹東綜合辦公樓、泰鑫辦公樓、多經(jīng)辦公樓、誼江佳園和新世紀花園兩個生活區(qū)等）、太平灣電站（副廠房、水調(diào)樓、綜合樓、基地管理處辦公樓及生活區(qū)其它辦公場所）、長甸電站（廠房、通訊樓、綜合樓等）的“兩站三地”，網(wǎng)絡(luò)核心及匯聚設(shè)備集中在丹東綜合辦公樓、太站副廠房、長站通訊樓等三個網(wǎng)絡(luò)機房內(nèi)，聯(lián)網(wǎng)信息點總數(shù)約1500個，是東北電網(wǎng)公司系統(tǒng)中網(wǎng)絡(luò)覆蓋面積最大、聯(lián)網(wǎng)用戶最多、網(wǎng)絡(luò)結(jié)構(gòu)最復(fù)雜的局域網(wǎng)，也是業(yè)務(wù)應(yīng)用系統(tǒng)最多、實用化程度最高、日常維護工作量最大的單位。

2 信息中心日常安維工作現(xiàn)狀

我廠在2001年就已建成了自己的信息中心負責信息工作，近幾年，隨著計算機網(wǎng)絡(luò)應(yīng)用的日益廣泛，廠信息系統(tǒng)不斷充實、完善，信息中心工作量日益增加，但信息中心負責日常安全運維的工作人員卻相對較少。據(jù)我粗略統(tǒng)計，全廠僅日常計算機維護工作每天就不少于20臺·次，如果再發(fā)生一些新病毒爆發(fā)、電源不穩(wěn)定、應(yīng)用軟件升級、硬件換代、上級檢查等臨時事件，那么整個信息中心的技術(shù)人員都要連續(xù)多日甚至數(shù)周加班加點逐個終端進行調(diào)整。而且，由于我廠信息化工作進程的持續(xù)推進，無紙化辦公的最終實現(xiàn)，廠信息系統(tǒng)的重要性得到了更大提高，已經(jīng)從企業(yè)運行管理的輔助性手段變?yōu)楹诵氖侄巍Ｍ瑫r，各類黑客手段迅猛發(fā)展、新的網(wǎng)絡(luò)病毒不斷出現(xiàn)，對信息系統(tǒng)的攻擊變得更加隱蔽，攻擊工具的學習應(yīng)用變得更加簡單，新的攻擊技術(shù)的應(yīng)用變得更加迅速，攻擊危害變得更加復(fù)雜。信息中心的工作量、工作強度與日俱增，技術(shù)人員疲于應(yīng)付日常安維，很難有時間進行網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)優(yōu)化改造的研究與規(guī)劃。

現(xiàn)實環(huán)境督促信息中心進一步提高工作效率。為此，我經(jīng)過深入的調(diào)查研究，與廠有關(guān)領(lǐng)導(dǎo)、產(chǎn)品供應(yīng)商和信息中心同事共同對簡化日常安維工作進行了初步實踐。

3 對簡化信息中心日常安維工作的分析與實踐

3.1 信息中心日常安維工作內(nèi)容與工作量分析

3.1.1 服務(wù)器安全維護，工作量比較小；

3.1.2 網(wǎng)絡(luò)設(shè)備安全維護，工作量比較大；

3.1.3 終端安全維護，這方面工作量極大，占信息中心日常工作量80%以上。

通過以上分析，可以看到信息中心絕大多數(shù)的工作時間都消耗在了終端維護上，如果我們能通過適當?shù)募夹g(shù)和設(shè)備手段，將盡量多的終端維護工作集中在網(wǎng)關(guān)節(jié)點上，那么網(wǎng)絡(luò)終端的安全維護工作量就必然大大降低，信息中心的日常工作內(nèi)容就能得到極大簡化，工作效率就會進一步提高。

3.2 對簡化信息中心日常安維工作的實踐

根據(jù)以上分析結(jié)果，信息中心以大幅度提升工作效率為目標，以各類安全功能與安全運維向單一網(wǎng)關(guān)設(shè)備集中為原則，對簡化日常安維工作進行了積極實踐，其中主要包括：

3.2.1 強制要求安裝終端管理軟件

終端管理軟件的安裝在以下五方面簡化了安維工作：

一是其他安全軟件的部署簡化。一些需要在一定范圍內(nèi)安裝的軟件，原來需要一臺臺計算機去部署，現(xiàn)在可通過終端管理軟件直接推送并安裝。

二是及時進行補丁升級，降低病毒事件發(fā)生頻率。原來由于員工個人電腦知識參差不齊，使操作系統(tǒng)補丁無法及時升級，頻繁引發(fā)病毒事件，現(xiàn)統(tǒng)一進行補丁推送，可大幅度減少此類事件。

三是遠程維護減少了去現(xiàn)場時間。很多計算機問題都是非常簡單的，大量時間都消耗在去現(xiàn)場的路上。通過遠程維護，節(jié)約了去現(xiàn)場的時間，而且終端管理軟件提供了豐富的統(tǒng)計與報表功能，有利于及時發(fā)現(xiàn)共性問題，提前制定解決方案。

四是帶寬控制限制網(wǎng)絡(luò)濫用。當一臺電腦中病毒或進行P2P下載時，會嚴重占用全網(wǎng)資源，安裝終端管理軟件前，我們采用通過對程序特征識別來阻斷的方式解決這一問題，實現(xiàn)起來既復(fù)雜準確率又低，并且容易造成員工反感。安裝軟件后，通過帶寬限制，很好的預(yù)先解決了這個問題。

五是安全基線應(yīng)用。通過評估，我們預(yù)先制定了各部門的安全基線規(guī)則，不滿足安全基線的計算機將被內(nèi)網(wǎng)管理代理程序斷開，有效避免了高危主機的問題向全網(wǎng)泛濫。

3.2.2.通過準入控制杜絕部署漏洞

網(wǎng)絡(luò)與終端的雙重限制簡化了安維工作，但是推廣中又發(fā)現(xiàn)了一些不足，如：部分員工計算機出現(xiàn)問題時，自己重裝系統(tǒng)，經(jīng)常不安裝終端管理軟件客戶端；個別員工認為終端管理軟件破壞了自己的正常使用習慣和隱私，不愿安裝或私自卸載管理軟件；外來人員臨時將自己未安裝終端管理軟件的便攜電腦連入我廠網(wǎng)絡(luò)。目前，這些問題我們已經(jīng)可以通過交換機終端準入來解決。

一是網(wǎng)絡(luò)準入。對于沒有安裝終端管理客戶端的機器，通過交換機的硬件端口的起、宕，進行控制。通過802.1X協(xié)議和EOU協(xié)議，可以有效的在交換機上進行控制，使沒有安裝終端管理客戶端的機器被禁止連入網(wǎng)絡(luò)。

二是應(yīng)用準入。網(wǎng)絡(luò)準入對于既不支持802.1X協(xié)議又不支持EOU協(xié)議的交換機無法起到有效的作用，這時可通過對應(yīng)用的訪問限制進行準入控制。即：在運行應(yīng)用和訪問應(yīng)用的必經(jīng)之路上部署準入組件，使未安裝客戶端的計算機在訪問這些應(yīng)用時，會被準入組件檢查到并阻斷。

三是客戶端準入。一臺未安裝客戶端的機器，如不能連接到任何應(yīng)用服務(wù)器，那么他就只能訪問網(wǎng)內(nèi)的其他計算機了，這時，如果其他計算機安裝了內(nèi)網(wǎng)管理客戶端，那么也會阻斷沒安裝客戶端的計算機的訪問。

通過以上方法，可以確保未安裝客戶端的計算機無法在網(wǎng)內(nèi)行動，其不安全的因素也就不會影響網(wǎng)絡(luò)其他部分。

3.2.3 大規(guī)模部署的簡化

一套有效的手段，會在更廣的范圍進行部署，另一方面，如果有大范圍計算機更新的時候，也需要重新部署，這時部署客戶端軟件對人員消耗極大，因此就需要從全網(wǎng)的角度對內(nèi)網(wǎng)管理軟進行改進：在準入組件上增加客戶端自動下載安裝功能，這樣沒有安裝客戶端的員工在使用時都會得到提示：“需要安裝客戶端”，只要點擊“同意”，即可自動下載安裝，不需技術(shù)人員安裝。

此部分的難點在于：此功能暫時只能在提供WEB服務(wù)的應(yīng)用系統(tǒng)上實現(xiàn)，而且對于一般員工，開機后并不是一定要使用某個內(nèi)部應(yīng)用，這樣，最佳的方式是將升級的準入組件與客戶端程序部署在網(wǎng)關(guān)設(shè)備上，而對于網(wǎng)關(guān)廠商來說，更改硬件系統(tǒng)成本巨大，今后我們將繼續(xù)與合作廠商溝通、協(xié)商，早日進行硬件改造，滿足以上要求。

4 簡化信息中心日常安維工作的影響

應(yīng)用新的安全技術(shù)與流程，簡化日常安維工作，極大的提高了信息中心的工作效率，使得技術(shù)人員能將更多精力放在整體架構(gòu)設(shè)計、系統(tǒng)優(yōu)化和新技術(shù)的學習上來，對全廠網(wǎng)絡(luò)系統(tǒng)的建設(shè)和發(fā)展有著長遠的意義。同時，我們也明白信息技術(shù)迅猛發(fā)展，信息化進程不斷深入，今后我們還要繼續(xù)不斷學習，不斷進步，讓信息系統(tǒng)在企業(yè)管理中發(fā)揮更大的作用。

參考文獻：

[1]彭麗葉，王乃遷，劉振生.淺談企業(yè)級信息中心機房監(jiān)控系統(tǒng)的建設(shè)[J].計算機光盤軟件與應(yīng)用，2010（6）.

[2]李純?nèi)A.煙草行業(yè)信息安全系統(tǒng)建設(shè)策略[J].魅力中國，2009（29）.

[3]信息與網(wǎng)絡(luò)安全研究新進展.全國計算機安全學術(shù)交流會論文集.第二十二卷[C].合肥：中國科技大學出版社，2007.

[作者簡介]

趙盈晨（1976.8-），男，籍貫吉林省吉安市，就職于遼寧省丹東市太平灣發(fā)電廠，安全監(jiān)察部專工，工程師