國網眉山供電公司信息安全體系建設實踐

【摘要】 國網四川省電力公司眉山供電公司于2001年12月26日隨眉山建市而成立，是四川省電力公司下屬特大型一類供電企業，經營區域覆蓋全市一區五縣及成都部分地區，供電范圍7390余平方公里，服務人口360余萬人，接入公司內網的計算機終端達2200余臺，網絡設備254臺，服務器90余臺。全網采用全動態路由協議和MPLS VPN 技術組建，各節點形成獨立的局域網。本文從局部安全、全局安全、智能安全三個層面，建設一個多層次、全方位的立體防護體系，使網絡成為智能化的安全實體，做到信息安全“可控、能控、在控和預控”。

【關鍵詞】 管理 信息安全 準入

一、專業管理理念和目標

1.1 專業管理的理念或策略

信息安全管理的理念為主動作為，從技術上做到信息安全“可控、能控、在控和預控”，實現事前認證、事中監控、事后審計的全流程安全管理。

1.2 專業管理的范圍

綜合數據網信息安全體系建設涉及公司所有員工。

1.3專業管理的目標

信息安全體系建設的目標為違規外聯事件為0，桌面弱口令為0，殺毒軟件安裝率為100%，桌面管控系統安裝率為100%以及不出現其它受到考核的不安全行為和事件。

二、當前的計算機網絡安全形勢

隨著信息化的發展，業務和應用完全依賴于計算機網絡和桌面計算機。但是計算機病毒、黑客木馬、間諜軟件進入桌面計算機，在計算機上安裝非法軟件，肆意破壞網絡和業務系統，外來電腦接入本單位計算機網絡等問題時有發生，這些行為非常容易導致桌面計算機和計算機網絡系統的癱瘓。最近幾年來，網絡安全威脅愈演愈烈，網絡攻擊工具越來越多樣，越來越容易獲得，所需要的技能越來越低，只需下載一個黑客程序就可以進行攻擊，漏洞利用的時間越來越短。攻擊的目的性，過去純粹為了比技術，現在商業目的越來越明顯。

三、國網眉山供電公司綜合數據網信息安全現狀

國網眉山供電公司綜合數據網經過2011年到2012年的大規模建設，網絡覆蓋到了35KV變電站及供電所等機構，形成了規模巨大的數據網絡，包含連接各級機關、各個電壓等級的變電站和供電所的廣域網，以及各個站點的局域網。

綜合數據網的建成為所有辦公終端提供了高速數據通道，大大提升了信息化水平和辦公效率。但也帶來了一個嚴重問題——安全問題。國網眉山供電公司在網的計算機多，爆發的安全問題多，管理難度很大。從國網推廣的北信源安全管控系統監控的結果來看，目前內網計算機違規外聯、計算機使用弱口令、計算機沒有安裝防病毒軟件等問題還很多，北信源的安全管控系統主要是監控并不能夠從技術上進行事前規避。國網眉山供電公司實施了大量的管理措施得了一定的效果，但是沒有建立一套全方位的安全技術系統，提升網絡的安全性，保護電力公司的信息資產安全。

為了真正提升網絡安全性需要建立一個整體安全架構，從局部安全、全局安全、智能安全三個層面，建設一個多層次、全方位的立體防護體系，使網絡成為智能化的安全實體。局部安全針對關鍵問題點進行安全部署，抵御最基礎的安全威脅；全局安全利用安全策略完成產品間的分工協作，達到協同防御的目的；智能安全在統一的安全管理平臺基礎上，借助于開放融合的大安全模型，將網絡安全變為從感知到響應的智能實體。

四、國網眉山供電公司綜合數據網信息安全體系建設規劃

4.1局部安全

目前國網眉山供電公司的網絡僅在連接省干網的出口部署了防火墻設備，防火墻能夠進行邊界保護和基于網絡層面的訪問控制，但是對應用層的攻擊如通過Email攜帶病毒，通過網頁掛木馬方式對用戶攻擊等不能夠阻斷，應用層攻擊行為能夠對業務系統造成較大損害。

局部安全建設要對電業局網絡進行分區：外聯區、服務器區、接入區。外聯區：外聯區是國網眉山供電公司與省干網連接的邊界區域；服務器區：服務器區是國網眉山供電公司的數據中心，存放重要的業務數據；接入區：接入區是各個站點及電力公司的局域網區域；

完成局部安全建設后，本電業局與省公司及其他電業局之間的安全攻擊將被隔離，本電業局的攻擊不會影響到省公司和其他電業局。本電業局內部的攻擊也不會影響到服務器區的業務系統。提升了業務系統的安全性。對于電業局的網絡系統基本上沒有安全防范的措施，所以需要重建安全技術體系。

4.2全局安全

全局安全是通過網絡設備與安全設備的配合提供端到端的安全防護。通過局部安全建設能夠抵御內部的安全攻擊，但是不能夠控制攻擊的在內部的泛濫，需要通過網絡設備的準入功能，在網絡的與用戶終端的邊界建立準入機制，只允許合法的用戶訪問網絡，且只允許合法用戶符合安全要求的終端訪問網絡，并通過客戶端軟件強制功能提升終端的自身的安全性。

全局安全的主要建設內容為：

身份認證：變開放的網絡為封閉網絡防止外來非法計算機訪問網絡；在網絡接入設備上開啟網絡認證功能，開啟該功能后，當計算機接入網絡時是無法轉發任何數據的，只有認證報文能夠通過網絡與認證服務器交互，只有合法的員工輸入正確的用戶名和密碼后認證成功，該用戶獲得第一級訪問網絡的權限，僅能夠訪問安全隔離區；外來的非法計算機因沒有賬號和口令而無法向網絡發送任何數據。

安全評估：加強計算機的安全性，只有符合安全規范的計算機才能夠訪問網絡；當合法員工輸入正確的賬號和口令后獲得第一訪問網絡的權限后，啟動對計算機的安全檢查，檢查內容包括弱口令檢查、防病毒軟件、操作系統補丁、必須要運行的軟件等。弱口令檢查是掃描計算機賬號的口令，與弱口令字典進行比對，如果存在弱口令則認證失敗，要求用戶修改口令，直到口令改為強口令，避免被破解口令后遠程控制該計算機；防病毒軟件檢查是掃描系統是否安裝防病毒軟件以及是否更新病毒庫，如果沒有安裝防病毒軟件或者病毒庫沒有更新，則認證失敗。并要求計算機訪問安全隔離區進行修復，安裝防病毒軟件或者進行病毒庫升級，保證計算機具有防病毒能力，能夠對通過計算機外設及通過網絡散播的病毒進行殺毒。

軟件管理：目前國網要求所有終端安裝北信源的安全管控軟件，但是部分終端沒有安裝，導致無法評估真實網絡安全狀態，建設全局安全啟動了網絡準入功能，如果終端不安裝北信源軟件就無法訪問網絡，通過技術手段保證每個接入網絡的終端必須安裝北信源安全管控軟件，提升國網考核的注冊率。

防內網外聯：啟用網絡準入功能后，準入客戶端可以在終端上對網絡驅動下發隔離策略，只有被安全認證服務器認證通過的網卡才能夠訪問網絡，而安全認證服務器是在信息內網中的。當終端接入到互聯網上時，只有認證數據能夠通過，因互聯網上沒有安全認證服務器所以認證不通過，終端無法獲得授權而無法訪問網絡。在終端運行過程中插入WLAN網卡或者3G網卡也無法聯網，因為在互聯網上無法進行認證所以網卡被隔離無法訪問互聯網。

全局安全建設后，對于具有安全隱患的終端將無法接入到網絡，大大提高網絡的安全性，終端自身也具有了較高的防御性，可以抵御網絡中的攻擊。

4.3智能安全

局部安全和全局安全建設后，整個網絡具有了較高的安全性。但是還不具備足夠的智能性。智能安全的目標是動態調整終端安全性、識別安全攻擊并快速定位和隔離攻擊，將安全事件控制在最小的范圍之內。在終端使用過程安全狀態會發生變化，智能安全的目標是使得終端具備智能提升安全性能力，通過動態補丁升級服務器可以保證終端缺乏必要安全補丁時能夠自動從補丁服務器上獲取補丁，避免操作系統受到漏洞攻擊；當病毒庫版本升級后終端能夠自動進行升級。

另外，部署安全審計服務器將整個網絡中的網絡設備、安全設備、業務服務器等日志能夠統一管理，當出現安全事件時能夠主動告警并快速定位，并且可以隔離攻擊源。

五、總結

國網眉山供電公司綜合數據網信息安全體系的建設必須是端到端、全面、智能的安全防護體系，從網絡入口開始進行管控和安全防護，保證只有達到一定安全要求的終端才能夠接入網絡，在終端使用網絡過程中能夠動態更新自身的安全狀態提升自身安全防護能力，終端訪問的業務系統受到嚴密防護。對于網絡中出現的安全事件能夠快速定位并快速隔離，將安全事件的影響降低到最小。做到事前認證、事中監控、事后審計的全流程安全管理。