杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

?

基于準(zhǔn)入系統(tǒng)的信息安全防護管理

杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

在全球信息化的推動下，電力系統(tǒng)也越來越依賴于信息網(wǎng)絡(luò)與信息系統(tǒng)，在這樣的環(huán)境下保障電力企業(yè)信息安全也成為每個供電公司的重要任務(wù)。本文闡述了國網(wǎng)泰安供電公司基于準(zhǔn)入系統(tǒng)的信息安全防護管理，主要包括了終端管理，主機及辦公終端的加固，違規(guī)事件檢測以及策略下發(fā)等方面的內(nèi)容，目前公司在內(nèi)外網(wǎng)統(tǒng)一部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，并已運行一年多的時間，圍繞準(zhǔn)入系統(tǒng)開展信息安全防護工作，在為運維人員帶來便捷的同時，也讓運維工作變的更加準(zhǔn)確、高效。先進的技術(shù)和高效的運維在用戶內(nèi)外網(wǎng)接入前，形成了一道可靠地屏障。

準(zhǔn)入控制 安全防護 終端加固

1　前言

信息安全防護管理工作是泰安供電公司的關(guān)鍵工作之一，它影響范圍大，涵蓋范圍廣，運維難度高，因此也是公司需要高度重視的工作。信息安全防護工作包括對信息系統(tǒng)和網(wǎng)絡(luò)兩大方面的安全防護，運維工作包括對終端設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等硬件的維護，以及對操作系統(tǒng)軟件、業(yè)務(wù)應(yīng)用軟件等軟件的維護。

基于準(zhǔn)入系統(tǒng)的信息安全防護管理是以網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)為基礎(chǔ)進行的終端管理，主機及辦公終端的安全加固，違規(guī)事件檢測以及策略下發(fā)等防護工作。利用先進的技術(shù)手段，使防護工作更加省時、準(zhǔn)確、高效，從而達到縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理的時間，并杜絕違規(guī)事件的發(fā)生。

2　信息安全防護系統(tǒng)部署實施

2.1基于準(zhǔn)入系統(tǒng)的信息安全防護管理流程

公司基于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，建立起一套信息安全防護工作的工作流程，如圖1所示。

圖1　基于準(zhǔn)入系統(tǒng)的信息安全防護管理流程

通過這一工作流程，公司可以輕松完成一些防護工作。例如未安裝防病毒，未注冊，弱口令，補丁的下發(fā)與安裝等等，運維人員可以遠程進行終端問題排查與管理，提高了運維效率，減輕了運維負擔(dān)。

2.2策略的制定與下發(fā)

在部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)后，公司根據(jù)省公司要求，并結(jié)合自身需要，設(shè)定辦公終端及主機入網(wǎng)前的安全檢查策略，并設(shè)定關(guān)鍵項和非關(guān)鍵項，關(guān)鍵項檢測未通過，設(shè)備無法正常入網(wǎng)，非關(guān)鍵項未通過設(shè)備可以接入網(wǎng)絡(luò)，但有一定的整改時間，整改時間內(nèi)未修復(fù)，設(shè)備會斷開網(wǎng)絡(luò)（公司整改時間一般設(shè)為7天）。

設(shè)定的策略檢查都通過后，設(shè)備可以正常連接網(wǎng)絡(luò)。為了保證主機及辦公終端的信息安全，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)會定時在后臺運行并進行安全檢查，一旦發(fā)生安全問題，會立刻斷開網(wǎng)絡(luò)，并提示用戶修復(fù)。對出現(xiàn)的問題，用戶可以一鍵修復(fù)，操作簡單明了，這也有效避免了公司員工因在信息技術(shù)接受能力上的不同而造成的信息安全事件。

在策略下發(fā)過程中也會出現(xiàn)一些問題。

問題一：在公司的實際使用中，公司的自助售電終端，網(wǎng)絡(luò)打印機等類似設(shè)備，無法通過安全檢測，對于這類設(shè)備需要對IP地址進行例外或可信設(shè)置，這樣終端設(shè)備可以繞過安全監(jiān)測，進行正常入網(wǎng)，但同樣可以遠程監(jiān)測及管理。

問題二：對于一小部分終端，易出現(xiàn)無論怎樣修復(fù)都無法通過安全檢查，例如補丁安裝不上，密碼策略無法修復(fù)等，這類終端多使用的是盜版XP或GHOST系統(tǒng)版本，因此需要對這部分終端統(tǒng)一更換XP或WIN7正版系統(tǒng)。

問題三：對于一小部分終端，出現(xiàn)針對客戶端運行狀態(tài)異常并無法修復(fù)的問題，經(jīng)檢查發(fā)現(xiàn)為與北信源桌面兼容性問題，將安全準(zhǔn)入小助手與北信源桌面客戶端卸載后按步驟安裝即可通過安全檢查。

2.3主機及辦公終端加固

2.3.1辦公終端加固

基于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的策略檢測，可以對終端弱口令、屏幕保護、是否注冊桌面系統(tǒng)、遠程桌面、安裝防病毒、賬號禁用、補丁安裝等問題進行修復(fù)。不僅如此，對定期下載最新系統(tǒng)補丁庫，也可以利用公司網(wǎng)絡(luò)準(zhǔn)入設(shè)備，進行補丁的分發(fā)和安裝。

2.3.2主機加固

主機加固方法與終端類似，但是對加固工作要求更高，在準(zhǔn)入系統(tǒng)的基礎(chǔ)上，對于BVS檢測出來的一些問題需要運維人員參照安全配置作業(yè)指導(dǎo)書進行手動修復(fù)，對掃描出現(xiàn)的問題不斷進行整改，最終將主機得分提升到滿分。

3　應(yīng)用評估

3.1遠程終端故障排查案例

當(dāng)用戶報修終端故障無法連接網(wǎng)絡(luò)時，運維人員通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對這一故障進行問題排查：

首先，運維人員詢問用戶IP地址，然后進入網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的管理界面，輸入IP地址進行搜索，我們可以得到該用戶的一些信息，在這些信息中包含該用戶終端在最后一次正常入網(wǎng)時所在交換機及其端口，根據(jù)這些信息，我們可以進入相應(yīng)交換機排查交換機是否正常，包括交換機是否正常工作，交換機配置或端口配置是否正確，IP與MAC地址是否綁定等。如果這些問題都被一一排除后，則進入下一部排查工作。

我們點擊操作以查看用戶詳細信息，下面有用戶最新認證與安檢結(jié)果，如果進入后顯示存在安全隱患，則說明因策略檢查未通過而無法聯(lián)網(wǎng)，這時運維人員可以根據(jù)具體情況指導(dǎo)用戶進行策略修復(fù)。如果進入后顯示“認證超時，設(shè)備可能無法正常上網(wǎng)，這時在交換機正常的前提下，則可以斷定為終端網(wǎng)卡故障、網(wǎng)線故障和墻體模塊故障三個問題，這時運維人員可以有針對性的進行現(xiàn)場故障處理工作。

3.2違規(guī)事件檢測案例

3.2.1對違規(guī)私接集線器、路由器設(shè)備的檢測

隨著公司人事變動，經(jīng)常會出現(xiàn)辦公場所網(wǎng)絡(luò)接口不夠用的情況，有些人會采用加集線器、路由器等設(shè)備來拓展網(wǎng)絡(luò)接口。這樣的做法會對信息安全會造成較大的安全隱患，也是公司不允許的行為。

私接集線器、路由器的危害有很多。一方面，如果存在多個集線器，容易因人為原因?qū)⒓€器連接成環(huán)路，引起廣播風(fēng)暴，此時幾個小集線器就會影響整個公司的網(wǎng)絡(luò)穩(wěn)定；另一方面，路由器，甚至無線路由器易被不法分子利用，輕松地介入公司內(nèi)網(wǎng)，造成公司秘密泄露。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以檢測到違規(guī)私接的集線器、路由器設(shè)備，這樣可以使信息運維人員及時發(fā)現(xiàn)并對這些違規(guī)行為進行制止，從而消除安全隱患，保障公司信息安全。

3.2.2對違規(guī)外聯(lián)事件的檢測

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以檢測到一些試圖連接到外部網(wǎng)絡(luò)的進程，而后快速斷開用戶網(wǎng)絡(luò)。但是，違規(guī)外聯(lián)事件具有不預(yù)判性和觸發(fā)原因多樣性的特點，因此網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)并不能完全阻止違規(guī)事件的發(fā)生，需要公司加大信息安全宣傳力度，做好信息安全培訓(xùn)，提高全體員工的信息安全意識。通過管理與技術(shù)并重的方法，來徹底杜絕違規(guī)外聯(lián)事件的發(fā)生。

4　實踐效果

基于準(zhǔn)入系統(tǒng)的信息安全防護管理可以讓運維工作更加省時、高效，并且對于安全基線加固工作有很大的幫助。此外，準(zhǔn)入系統(tǒng)還帶有違規(guī)事件監(jiān)測功能，對于一些違規(guī)事件的發(fā)生起到很好的防護作用，形成了一道堅固的安全防護高墻，保證公司信息安全工作的順利進行。

4.1縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理時間

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)使運維人員的工作更加規(guī)范化、流程化，也加強了對終端及網(wǎng)絡(luò)設(shè)備進行集中監(jiān)控和維護的能力，使網(wǎng)絡(luò)運行穩(wěn)定性和設(shè)備故障檢修效率大幅提高。

公司在2014年底購買并成功部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，運維人員對比了2013年與2014年的信息設(shè)備故障處理時間，發(fā)現(xiàn)故障處理時間有明顯降低，效率得到大幅度提升。

4.2不斷做好主機及辦公終端的加固工作

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的使用也對公司開展安全基線加固工作提供了便利，充分利用準(zhǔn)入系統(tǒng)安全策略檢查功能和批處理程序下發(fā)功能，不斷做好泰安公司的主機及辦公終端的加固工作。

4.3杜絕違規(guī)事件的發(fā)生

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的部署可以很好地避免一些違規(guī)事件的發(fā)生：

①入網(wǎng)前的安全檢查功能，可以避免弱口令、防病毒未安裝、未注冊等安全事件的發(fā)生；

②定期循環(huán)檢查功能，可以防止用戶在接入網(wǎng)絡(luò)后私自修改安全設(shè)置；

③安全報警功能，可以監(jiān)測端口私接路由器、集線器等設(shè)備，并且對違規(guī)進程觸發(fā)的違規(guī)外聯(lián)事件具有較好的防范作用。

5　結(jié)論

總體而言，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)使得信息安全防護工作更加有效、堅固，它不僅是一套系統(tǒng)那么簡單，而是可以讓我們形成一套高效、省時的工作流程，為我們的工作提供了新的思路，在今后，泰安公司的信息安全防護水平也會更上一層樓。

［1］ 孫慶恭，基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，現(xiàn)代計算機（專業(yè)版），2010（03）

［2］ 馬智勇，基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，信息技術(shù)，2012（09）

［3］ 陳賽，實施準(zhǔn)入控制保護內(nèi)網(wǎng)健康［J］，中國教育網(wǎng)絡(luò)，2009（05）

［4］ 葛春，張強，張洪杰，王虹，基于內(nèi)網(wǎng)的信息安全防護系統(tǒng)設(shè)計與實現(xiàn)［J］，科技創(chuàng)新導(dǎo)報，2009（33）

個人簡介

杜慧珺，1990- ，助理工程師，從事公司內(nèi)外網(wǎng)網(wǎng)絡(luò)運維工作。