【摘要】 國(guó)網(wǎng)四川省電力公司眉山供電公司于2001年12月26日隨眉山建市而成立，是四川省電力公司下屬特大型一類供電企業(yè)，經(jīng)營(yíng)區(qū)域覆蓋全市一區(qū)五縣及成都部分地區(qū)，供電范圍7390余平方公里，服務(wù)人口360余萬(wàn)人，接入公司內(nèi)網(wǎng)的計(jì)算機(jī)終端達(dá)2200余臺(tái)，網(wǎng)絡(luò)設(shè)備254臺(tái)，服務(wù)器90余臺(tái)。全網(wǎng)采用全動(dòng)態(tài)路由協(xié)議和MPLS VPN 技術(shù)組建，各節(jié)點(diǎn)形成獨(dú)立的局域網(wǎng)。本文從局部安全、全局安全、智能安全三個(gè)層面，建設(shè)一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體，做到信息安全“可控、能控、在控和預(yù)控”。

【關(guān)鍵詞】 管理 信息安全 準(zhǔn)入

一、專業(yè)管理理念和目標(biāo)

1.1 專業(yè)管理的理念或策略

信息安全管理的理念為主動(dòng)作為，從技術(shù)上做到信息安全“可控、能控、在控和預(yù)控”，實(shí)現(xiàn)事前認(rèn)證、事中監(jiān)控、事后審計(jì)的全流程安全管理。

1.2 專業(yè)管理的范圍

綜合數(shù)據(jù)網(wǎng)信息安全體系建設(shè)涉及公司所有員工。

1.3專業(yè)管理的目標(biāo)

信息安全體系建設(shè)的目標(biāo)為違規(guī)外聯(lián)事件為0，桌面弱口令為0，殺毒軟件安裝率為100%，桌面管控系統(tǒng)安裝率為100%以及不出現(xiàn)其它受到考核的不安全行為和事件。

二、當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)安全形勢(shì)

隨著信息化的發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和桌面計(jì)算機(jī)。但是計(jì)算機(jī)病毒、黑客木馬、間諜軟件進(jìn)入桌面計(jì)算機(jī)，在計(jì)算機(jī)上安裝非法軟件，肆意破壞網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，外來電腦接入本單位計(jì)算機(jī)網(wǎng)絡(luò)等問題時(shí)有發(fā)生，這些行為非常容易導(dǎo)致桌面計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。最近幾年來，網(wǎng)絡(luò)安全威脅愈演愈烈，網(wǎng)絡(luò)攻擊工具越來越多樣，越來越容易獲得，所需要的技能越來越低，只需下載一個(gè)黑客程序就可以進(jìn)行攻擊，漏洞利用的時(shí)間越來越短。攻擊的目的性，過去純粹為了比技術(shù)，現(xiàn)在商業(yè)目的越來越明顯。

三、國(guó)網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全現(xiàn)狀

國(guó)網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)經(jīng)過2011年到2012年的大規(guī)模建設(shè)，網(wǎng)絡(luò)覆蓋到了35KV變電站及供電所等機(jī)構(gòu)，形成了規(guī)模巨大的數(shù)據(jù)網(wǎng)絡(luò)，包含連接各級(jí)機(jī)關(guān)、各個(gè)電壓等級(jí)的變電站和供電所的廣域網(wǎng)，以及各個(gè)站點(diǎn)的局域網(wǎng)。

綜合數(shù)據(jù)網(wǎng)的建成為所有辦公終端提供了高速數(shù)據(jù)通道，大大提升了信息化水平和辦公效率。但也帶來了一個(gè)嚴(yán)重問題——安全問題。國(guó)網(wǎng)眉山供電公司在網(wǎng)的計(jì)算機(jī)多，爆發(fā)的安全問題多，管理難度很大。從國(guó)網(wǎng)推廣的北信源安全管控系統(tǒng)監(jiān)控的結(jié)果來看，目前內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)、計(jì)算機(jī)使用弱口令、計(jì)算機(jī)沒有安裝防病毒軟件等問題還很多，北信源的安全管控系統(tǒng)主要是監(jiān)控并不能夠從技術(shù)上進(jìn)行事前規(guī)避。國(guó)網(wǎng)眉山供電公司實(shí)施了大量的管理措施得了一定的效果，但是沒有建立一套全方位的安全技術(shù)系統(tǒng)，提升網(wǎng)絡(luò)的安全性，保護(hù)電力公司的信息資產(chǎn)安全。

為了真正提升網(wǎng)絡(luò)安全性需要建立一個(gè)整體安全架構(gòu)，從局部安全、全局安全、智能安全三個(gè)層面，建設(shè)一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。局部安全針對(duì)關(guān)鍵問題點(diǎn)進(jìn)行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺(tái)基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實(shí)體。

四、國(guó)網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全體系建設(shè)規(guī)劃

4.1局部安全

目前國(guó)網(wǎng)眉山供電公司的網(wǎng)絡(luò)僅在連接省干網(wǎng)的出口部署了防火墻設(shè)備，防火墻能夠進(jìn)行邊界保護(hù)和基于網(wǎng)絡(luò)層面的訪問控制，但是對(duì)應(yīng)用層的攻擊如通過Email攜帶病毒，通過網(wǎng)頁(yè)掛木馬方式對(duì)用戶攻擊等不能夠阻斷，應(yīng)用層攻擊行為能夠?qū)I(yè)務(wù)系統(tǒng)造成較大損害。

局部安全建設(shè)要對(duì)電業(yè)局網(wǎng)絡(luò)進(jìn)行分區(qū)：外聯(lián)區(qū)、服務(wù)器區(qū)、接入?yún)^(qū)。外聯(lián)區(qū)：外聯(lián)區(qū)是國(guó)網(wǎng)眉山供電公司與省干網(wǎng)連接的邊界區(qū)域；服務(wù)器區(qū)：服務(wù)器區(qū)是國(guó)網(wǎng)眉山供電公司的數(shù)據(jù)中心，存放重要的業(yè)務(wù)數(shù)據(jù)；接入?yún)^(qū)：接入?yún)^(qū)是各個(gè)站點(diǎn)及電力公司的局域網(wǎng)區(qū)域；

完成局部安全建設(shè)后，本電業(yè)局與省公司及其他電業(yè)局之間的安全攻擊將被隔離，本電業(yè)局的攻擊不會(huì)影響到省公司和其他電業(yè)局。本電業(yè)局內(nèi)部的攻擊也不會(huì)影響到服務(wù)器區(qū)的業(yè)務(wù)系統(tǒng)。提升了業(yè)務(wù)系統(tǒng)的安全性。對(duì)于電業(yè)局的網(wǎng)絡(luò)系統(tǒng)基本上沒有安全防范的措施，所以需要重建安全技術(shù)體系。

4.2全局安全

全局安全是通過網(wǎng)絡(luò)設(shè)備與安全設(shè)備的配合提供端到端的安全防護(hù)。通過局部安全建設(shè)能夠抵御內(nèi)部的安全攻擊，但是不能夠控制攻擊的在內(nèi)部的泛濫，需要通過網(wǎng)絡(luò)設(shè)備的準(zhǔn)入功能，在網(wǎng)絡(luò)的與用戶終端的邊界建立準(zhǔn)入機(jī)制，只允許合法的用戶訪問網(wǎng)絡(luò)，且只允許合法用戶符合安全要求的終端訪問網(wǎng)絡(luò)，并通過客戶端軟件強(qiáng)制功能提升終端的自身的安全性。

全局安全的主要建設(shè)內(nèi)容為：

身份認(rèn)證：變開放的網(wǎng)絡(luò)為封閉網(wǎng)絡(luò)防止外來非法計(jì)算機(jī)訪問網(wǎng)絡(luò)；在網(wǎng)絡(luò)接入設(shè)備上開啟網(wǎng)絡(luò)認(rèn)證功能，開啟該功能后，當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)是無(wú)法轉(zhuǎn)發(fā)任何數(shù)據(jù)的，只有認(rèn)證報(bào)文能夠通過網(wǎng)絡(luò)與認(rèn)證服務(wù)器交互，只有合法的員工輸入正確的用戶名和密碼后認(rèn)證成功，該用戶獲得第一級(jí)訪問網(wǎng)絡(luò)的權(quán)限，僅能夠訪問安全隔離區(qū)；外來的非法計(jì)算機(jī)因沒有賬號(hào)和口令而無(wú)法向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)。

安全評(píng)估：加強(qiáng)計(jì)算機(jī)的安全性，只有符合安全規(guī)范的計(jì)算機(jī)才能夠訪問網(wǎng)絡(luò)；當(dāng)合法員工輸入正確的賬號(hào)和口令后獲得第一訪問網(wǎng)絡(luò)的權(quán)限后，啟動(dòng)對(duì)計(jì)算機(jī)的安全檢查，檢查內(nèi)容包括弱口令檢查、防病毒軟件、操作系統(tǒng)補(bǔ)丁、必須要運(yùn)行的軟件等。弱口令檢查是掃描計(jì)算機(jī)賬號(hào)的口令，與弱口令字典進(jìn)行比對(duì)，如果存在弱口令則認(rèn)證失敗，要求用戶修改口令，直到口令改為強(qiáng)口令，避免被破解口令后遠(yuǎn)程控制該計(jì)算機(jī)；防病毒軟件檢查是掃描系統(tǒng)是否安裝防病毒軟件以及是否更新病毒庫(kù)，如果沒有安裝防病毒軟件或者病毒庫(kù)沒有更新，則認(rèn)證失敗。并要求計(jì)算機(jī)訪問安全隔離區(qū)進(jìn)行修復(fù)，安裝防病毒軟件或者進(jìn)行病毒庫(kù)升級(jí)，保證計(jì)算機(jī)具有防病毒能力，能夠?qū)νㄟ^計(jì)算機(jī)外設(shè)及通過網(wǎng)絡(luò)散播的病毒進(jìn)行殺毒。

軟件管理：目前國(guó)網(wǎng)要求所有終端安裝北信源的安全管控軟件，但是部分終端沒有安裝，導(dǎo)致無(wú)法評(píng)估真實(shí)網(wǎng)絡(luò)安全狀態(tài)，建設(shè)全局安全啟動(dòng)了網(wǎng)絡(luò)準(zhǔn)入功能，如果終端不安裝北信源軟件就無(wú)法訪問網(wǎng)絡(luò)，通過技術(shù)手段保證每個(gè)接入網(wǎng)絡(luò)的終端必須安裝北信源安全管控軟件，提升國(guó)網(wǎng)考核的注冊(cè)率。

防內(nèi)網(wǎng)外聯(lián)：?jiǎn)⒂镁W(wǎng)絡(luò)準(zhǔn)入功能后，準(zhǔn)入客戶端可以在終端上對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)下發(fā)隔離策略，只有被安全認(rèn)證服務(wù)器認(rèn)證通過的網(wǎng)卡才能夠訪問網(wǎng)絡(luò)，而安全認(rèn)證服務(wù)器是在信息內(nèi)網(wǎng)中的。當(dāng)終端接入到互聯(lián)網(wǎng)上時(shí)，只有認(rèn)證數(shù)據(jù)能夠通過，因互聯(lián)網(wǎng)上沒有安全認(rèn)證服務(wù)器所以認(rèn)證不通過，終端無(wú)法獲得授權(quán)而無(wú)法訪問網(wǎng)絡(luò)。在終端運(yùn)行過程中插入WLAN網(wǎng)卡或者3G網(wǎng)卡也無(wú)法聯(lián)網(wǎng)，因?yàn)樵诨ヂ?lián)網(wǎng)上無(wú)法進(jìn)行認(rèn)證所以網(wǎng)卡被隔離無(wú)法訪問互聯(lián)網(wǎng)。

全局安全建設(shè)后，對(duì)于具有安全隱患的終端將無(wú)法接入到網(wǎng)絡(luò)，大大提高網(wǎng)絡(luò)的安全性，終端自身也具有了較高的防御性，可以抵御網(wǎng)絡(luò)中的攻擊。

4.3智能安全

局部安全和全局安全建設(shè)后，整個(gè)網(wǎng)絡(luò)具有了較高的安全性。但是還不具備足夠的智能性。智能安全的目標(biāo)是動(dòng)態(tài)調(diào)整終端安全性、識(shí)別安全攻擊并快速定位和隔離攻擊，將安全事件控制在最小的范圍之內(nèi)。在終端使用過程安全狀態(tài)會(huì)發(fā)生變化，智能安全的目標(biāo)是使得終端具備智能提升安全性能力，通過動(dòng)態(tài)補(bǔ)丁升級(jí)服務(wù)器可以保證終端缺乏必要安全補(bǔ)丁時(shí)能夠自動(dòng)從補(bǔ)丁服務(wù)器上獲取補(bǔ)丁，避免操作系統(tǒng)受到漏洞攻擊；當(dāng)病毒庫(kù)版本升級(jí)后終端能夠自動(dòng)進(jìn)行升級(jí)。

另外，部署安全審計(jì)服務(wù)器將整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)服務(wù)器等日志能夠統(tǒng)一管理，當(dāng)出現(xiàn)安全事件時(shí)能夠主動(dòng)告警并快速定位，并且可以隔離攻擊源。

五、總結(jié)

國(guó)網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全體系的建設(shè)必須是端到端、全面、智能的安全防護(hù)體系，從網(wǎng)絡(luò)入口開始進(jìn)行管控和安全防護(hù)，保證只有達(dá)到一定安全要求的終端才能夠接入網(wǎng)絡(luò)，在終端使用網(wǎng)絡(luò)過程中能夠動(dòng)態(tài)更新自身的安全狀態(tài)提升自身安全防護(hù)能力，終端訪問的業(yè)務(wù)系統(tǒng)受到嚴(yán)密防護(hù)。對(duì)于網(wǎng)絡(luò)中出現(xiàn)的安全事件能夠快速定位并快速隔離，將安全事件的影響降低到最小。做到事前認(rèn)證、事中監(jiān)控、事后審計(jì)的全流程安全管理。