張謝

摘 要：作為電力信息網(wǎng)的重要組成部分，信息網(wǎng)終端終端的安全防護(hù)是日常信息運維管理的重點、難點。在分析電力信息網(wǎng)終端安全風(fēng)險來源及安全防護(hù)現(xiàn)狀的基礎(chǔ)上，合肥供電公司結(jié)合在運的終端自動化運維工具，集成終端運行安全狀態(tài)的檢測，快速獲取終端異常行為并進(jìn)行網(wǎng)絡(luò)限制接入處理，有效地提高工作效率，降低了網(wǎng)絡(luò)安全風(fēng)險，提高了電力信息內(nèi)網(wǎng)的安全性，具有一定額推廣價值。

關(guān)鍵詞：電力信息網(wǎng)；安全防護(hù)；終端安全

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）10-0135-02

電力信息網(wǎng)終端作為信息網(wǎng)的重要組成部分，直接承載了各類生產(chǎn)應(yīng)用開放的業(yè)務(wù)功能，給業(yè)務(wù)用戶帶來了便捷的同時也面臨著許多不容忽視的安全威脅；信息內(nèi)網(wǎng)終端由于病毒感染、移動介質(zhì)的非法使用、內(nèi)外網(wǎng)互聯(lián)等行為給整個電力信息網(wǎng)帶來了極大的安全隱患[1]。國網(wǎng)合肥供電公司在開展終端自動化運維工作的基礎(chǔ)上，同時積極開展將終端安全防護(hù)納入終端自動化運維工作范圍，自主研發(fā)終端自動運維安全檢測工具來實現(xiàn)終端的安全優(yōu)化，通過此工具的應(yīng)用，有效的管理終端設(shè)備，提高工作效率，同時實時監(jiān)控終端，提高信息內(nèi)外網(wǎng)的安全性。該工具目前在合肥公司已全面應(yīng)用，應(yīng)用情況良好。

1 電力信息網(wǎng)終端安全防護(hù)現(xiàn)狀

合肥供電公司按照國網(wǎng)公司信息安全規(guī)范要求[2]對信息網(wǎng)進(jìn)行了信雙網(wǎng)隔離改造，目前信息網(wǎng)包括信息內(nèi)網(wǎng)和信息外網(wǎng)。其中信息外網(wǎng)主要包括辦公桌面終端，方便專業(yè)管理人員接入互聯(lián)網(wǎng)，由省電力公司進(jìn)行安全防護(hù)管理；信息內(nèi)網(wǎng)包括市公司本部的局域網(wǎng)、變電站及營業(yè)廳使用的廣域網(wǎng)及縣公司網(wǎng)絡(luò)，并按照信息安全“分區(qū)、分級、分域”的防護(hù)規(guī)范要求，將信息內(nèi)網(wǎng)安全域劃分為網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、信息主機及應(yīng)用環(huán)境4個層次，各系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端劃分至相應(yīng)安全區(qū)域進(jìn)行防護(hù)。公司現(xiàn)有信息終端2800余臺以辦公用臺式機為主，同時包括網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)攝像頭、硬盤錄像機、繳費終端等其他類型。根據(jù)國網(wǎng)公司終端信息安全管理規(guī)范要求，針對辦公終端均已安裝北信源桌面管控終端（VRV客戶端）、趨勢防病毒客戶端及保密終端，并定期進(jìn)行補丁升級。

隨著信息安全要求的不斷提升，電力信息網(wǎng)終端防護(hù)方法及技術(shù)也不斷提升，目前已形成基礎(chǔ)系統(tǒng)配置審計、終端行為審計及終端安全輔助支撐三級的主、被動結(jié)合的防護(hù)機制[3]。

（1）基礎(chǔ)系統(tǒng)配置審計：通過VRV客戶端定期對終端操作系統(tǒng)的Guest用戶、登錄口令強度、口令過期策略、系統(tǒng)補丁安裝情況進(jìn)行檢測，提示終端操作系統(tǒng)存在的安全風(fēng)險；并由省電科院定期開展終端漏洞掃描工作，針對MS08-77、MS12-020等高危漏洞進(jìn)行掃描并提示整改[6]。

（2）終端行為審計：通過VRV客戶端對終端用戶的違規(guī)內(nèi)外網(wǎng)互聯(lián)、使用非安全移動存儲設(shè)備，使用趨勢防病毒客戶端對終端病毒感染情況進(jìn)行審計并提示終端用戶行為存在的安全風(fēng)險。

（3）終端安全輔助支撐：為增加終端使用人員的信息安全意識，通過設(shè)置統(tǒng)一的安全警示屏保、公司內(nèi)網(wǎng)網(wǎng)站定期宣傳、辦公場所信息安全事故展等多種方式開展終端安全宣傳工作，進(jìn)一步提升人員信息安全意識[3]。

在使用信息網(wǎng)終端時，部分員工的無意識行為和安全意識不足，給信息網(wǎng)安全帶來了一定的安全隱患[8]，主要表現(xiàn)在以下幾個方面：

1）終端范圍廣，環(huán)境復(fù)雜，用戶多，終端安全管理難度較大，同時對于終端設(shè)備的隨意接入使用，并不及時安裝監(jiān)控軟件或私自關(guān)閉關(guān)鍵進(jìn)程（如：趨勢，VRV等），給內(nèi)外網(wǎng)的安全到來安全風(fēng)險，也不便于管理人員有效的管理以及對終端的安全進(jìn)行監(jiān)控。

2）無線WIFI的熱點的濫用，為黑客利用終端攻擊企業(yè)局域網(wǎng)提供了便利的條件。

3）終端漏洞補丁的不及時安裝，會直接導(dǎo)致黑客入侵電腦，獲取終端管理員權(quán)限，植入密碼病毒或者機密信息等。

4）存在多個系統(tǒng)賬戶和弱口令，可能導(dǎo)致終端被黑客入侵或者被他人識別登錄，造成文件丟失、信息外泄等安全隱患。

5）終端服務(wù)的監(jiān)控準(zhǔn)確性差、安全控制策略經(jīng)常無法生效，以致用戶可以私自啟用某些不安全的服務(wù)，造成信息安全隱患。

6）安裝指定的屏保并合規(guī)設(shè)備屏保，保證終端無人使用狀態(tài)下，能迅速保護(hù)終端安全，防止他人使用造成信息外泄。

2 電力信息網(wǎng)終端安全防護(hù)提升方法

2.1 安全防護(hù)方法設(shè)計

為應(yīng)對信息網(wǎng)終端運行潛在的各類安全風(fēng)險，合肥公司開展了各類有效的措施加強安全防護(hù)，例如要求用戶終端在接入電力信息網(wǎng)前達(dá)到一定的安全要求，盡量避免單個用戶的網(wǎng)絡(luò)安全隱患對整個信息網(wǎng)絡(luò)構(gòu)成威脅，并通過VRV終端定期推送補丁，消除終端系統(tǒng)存在的高危漏洞。但由于信息網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)是非穩(wěn)定的，信息網(wǎng)中的接入設(shè)包含信息終端的狀態(tài)隨著時間遷移、變遷到非安全狀態(tài)，從而給信息網(wǎng)帶來新的安全隱患。為此，結(jié)合合肥公司目前在運的終端自動化運維終端工具，在工具中集成終端運行數(shù)據(jù)的采集功能；當(dāng)在信息網(wǎng)中收集的網(wǎng)絡(luò)及用戶終端的狀態(tài)信息越多，越能夠準(zhǔn)確地判斷出終端給信息網(wǎng)帶來的安全風(fēng)險，并及時給出應(yīng)對措施，控制網(wǎng)絡(luò)安全風(fēng)險。

終端運維工具與終端安全安全防護(hù)關(guān)聯(lián)的核心功能包括：（1）以客戶端安裝的方式在終端運行實時監(jiān)控并自動修復(fù)存在的安全隱患，如無法修復(fù)安全隱患時，終端將被隔離，只訪問指定的服務(wù)器。（2）以網(wǎng)頁的方式實現(xiàn)上傳漏洞補丁和指定屏保、監(jiān)控的信息結(jié)果進(jìn)行展示并信息導(dǎo)出等功能。具體功能如下：

（1）客戶端直接對終端設(shè)備的進(jìn)程、服務(wù)、賬戶、口令、趨勢、VRV進(jìn)行監(jiān)控，通過網(wǎng)絡(luò)適配器對網(wǎng)卡、無線WIFI進(jìn)行監(jiān)控，同時通過對已配置監(jiān)控的漏洞補丁、屏保進(jìn)行監(jiān)視，將此監(jiān)控的結(jié)果進(jìn)行保存、反饋，并同時對存在的安全危害項進(jìn)行修復(fù)完善。

（2）管理人員通過網(wǎng)站頁面展示信息，能夠準(zhǔn)確了解終端的運行情況，實時查看終端是否符合國網(wǎng)公司的各項信息安全規(guī)章制度，同時也可及時發(fā)現(xiàn)具體的違規(guī)終端信息并及時處理。

（3）安全檢查管理：安全檢查管理通過以列表的形式將所有終端的監(jiān)控信息結(jié)果進(jìn)行展示，可通過IP、MAC、檢測項等關(guān)鍵字進(jìn)行篩選顯示。展示信息包括：所屬部門、使用人、IP地址、MAC地址、趨勢是否安裝、VRV是否安裝、漏洞補丁是否安裝、是否單賬戶、口令是否合格等信息。同時也提供檢測信息導(dǎo)出Excel文檔功能。

2.2 安全防護(hù)工具應(yīng)用

工具在客戶端上定期依據(jù)審計項目對終端安全狀態(tài)進(jìn)行檢測，并上傳至后臺系統(tǒng)，安全項目檢測界面見圖1。檢測結(jié)束后若不滿足終端安全防護(hù)要求，客戶端工具通過調(diào)用系統(tǒng)防火墻，限制終端的網(wǎng)絡(luò)接入，只允許客戶端接入特定的漏洞服務(wù)器，防止終端給信息網(wǎng)帶來的潛在的安全風(fēng)險。

3 結(jié)語

在分析電力信息網(wǎng)終端運行安全風(fēng)險的基礎(chǔ)上，合肥公司自助研發(fā)了終端安全風(fēng)險監(jiān)測與防護(hù)工具，通過工具應(yīng)用，能夠有效的對終端設(shè)備進(jìn)行有效的監(jiān)控和分析，并及時有效的修復(fù)安全檢測項以及將分析的總體結(jié)果通過管理端進(jìn)行詳細(xì)展示，有效地提高工作效率，降低了網(wǎng)絡(luò)安全風(fēng)險，提高了電力信息內(nèi)網(wǎng)的安全性，具有一定額推廣價值。

參考文獻(xiàn)

[1]張羽.基于IP接入實現(xiàn)桌面終端安全準(zhǔn)入控制管理[J].電力信息化，2009.10.

[2]呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化，2011（6）.

[3]李偉.多類型終端的準(zhǔn)入控制分析[J].數(shù)字化用戶，2014（7）.