基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理

杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

?

基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理

杜慧珺 盧一鳴 周佳 杜海婷 王曉

國網(wǎng)山東省電力公司泰安供電公司

在全球信息化的推動(dòng)下，電力系統(tǒng)也越來越依賴于信息網(wǎng)絡(luò)與信息系統(tǒng)，在這樣的環(huán)境下保障電力企業(yè)信息安全也成為每個(gè)供電公司的重要任務(wù)。本文闡述了國網(wǎng)泰安供電公司基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理，主要包括了終端管理，主機(jī)及辦公終端的加固，違規(guī)事件檢測以及策略下發(fā)等方面的內(nèi)容，目前公司在內(nèi)外網(wǎng)統(tǒng)一部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，并已運(yùn)行一年多的時(shí)間，圍繞準(zhǔn)入系統(tǒng)開展信息安全防護(hù)工作，在為運(yùn)維人員帶來便捷的同時(shí)，也讓運(yùn)維工作變的更加準(zhǔn)確、高效。先進(jìn)的技術(shù)和高效的運(yùn)維在用戶內(nèi)外網(wǎng)接入前，形成了一道可靠地屏障。

準(zhǔn)入控制 安全防護(hù) 終端加固

1　前言

信息安全防護(hù)管理工作是泰安供電公司的關(guān)鍵工作之一，它影響范圍大，涵蓋范圍廣，運(yùn)維難度高，因此也是公司需要高度重視的工作。信息安全防護(hù)工作包括對(duì)信息系統(tǒng)和網(wǎng)絡(luò)兩大方面的安全防護(hù)，運(yùn)維工作包括對(duì)終端設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等硬件的維護(hù)，以及對(duì)操作系統(tǒng)軟件、業(yè)務(wù)應(yīng)用軟件等軟件的維護(hù)。

基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理是以網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)為基礎(chǔ)進(jìn)行的終端管理，主機(jī)及辦公終端的安全加固，違規(guī)事件檢測以及策略下發(fā)等防護(hù)工作。利用先進(jìn)的技術(shù)手段，使防護(hù)工作更加省時(shí)、準(zhǔn)確、高效，從而達(dá)到縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理的時(shí)間，并杜絕違規(guī)事件的發(fā)生。

2　信息安全防護(hù)系統(tǒng)部署實(shí)施

2.1基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理流程

公司基于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，建立起一套信息安全防護(hù)工作的工作流程，如圖1所示。

圖1　基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理流程

通過這一工作流程，公司可以輕松完成一些防護(hù)工作。例如未安裝防病毒，未注冊(cè)，弱口令，補(bǔ)丁的下發(fā)與安裝等等，運(yùn)維人員可以遠(yuǎn)程進(jìn)行終端問題排查與管理，提高了運(yùn)維效率，減輕了運(yùn)維負(fù)擔(dān)。

2.2策略的制定與下發(fā)

在部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)后，公司根據(jù)省公司要求，并結(jié)合自身需要，設(shè)定辦公終端及主機(jī)入網(wǎng)前的安全檢查策略，并設(shè)定關(guān)鍵項(xiàng)和非關(guān)鍵項(xiàng)，關(guān)鍵項(xiàng)檢測未通過，設(shè)備無法正常入網(wǎng)，非關(guān)鍵項(xiàng)未通過設(shè)備可以接入網(wǎng)絡(luò)，但有一定的整改時(shí)間，整改時(shí)間內(nèi)未修復(fù)，設(shè)備會(huì)斷開網(wǎng)絡(luò)（公司整改時(shí)間一般設(shè)為7天）。

設(shè)定的策略檢查都通過后，設(shè)備可以正常連接網(wǎng)絡(luò)。為了保證主機(jī)及辦公終端的信息安全，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)會(huì)定時(shí)在后臺(tái)運(yùn)行并進(jìn)行安全檢查，一旦發(fā)生安全問題，會(huì)立刻斷開網(wǎng)絡(luò)，并提示用戶修復(fù)。對(duì)出現(xiàn)的問題，用戶可以一鍵修復(fù)，操作簡單明了，這也有效避免了公司員工因在信息技術(shù)接受能力上的不同而造成的信息安全事件。

在策略下發(fā)過程中也會(huì)出現(xiàn)一些問題。

問題一：在公司的實(shí)際使用中，公司的自助售電終端，網(wǎng)絡(luò)打印機(jī)等類似設(shè)備，無法通過安全檢測，對(duì)于這類設(shè)備需要對(duì)IP地址進(jìn)行例外或可信設(shè)置，這樣終端設(shè)備可以繞過安全監(jiān)測，進(jìn)行正常入網(wǎng)，但同樣可以遠(yuǎn)程監(jiān)測及管理。

問題二：對(duì)于一小部分終端，易出現(xiàn)無論怎樣修復(fù)都無法通過安全檢查，例如補(bǔ)丁安裝不上，密碼策略無法修復(fù)等，這類終端多使用的是盜版XP或GHOST系統(tǒng)版本，因此需要對(duì)這部分終端統(tǒng)一更換XP或WIN7正版系統(tǒng)。

問題三：對(duì)于一小部分終端，出現(xiàn)針對(duì)客戶端運(yùn)行狀態(tài)異常并無法修復(fù)的問題，經(jīng)檢查發(fā)現(xiàn)為與北信源桌面兼容性問題，將安全準(zhǔn)入小助手與北信源桌面客戶端卸載后按步驟安裝即可通過安全檢查。

2.3主機(jī)及辦公終端加固

2.3.1辦公終端加固

基于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的策略檢測，可以對(duì)終端弱口令、屏幕保護(hù)、是否注冊(cè)桌面系統(tǒng)、遠(yuǎn)程桌面、安裝防病毒、賬號(hào)禁用、補(bǔ)丁安裝等問題進(jìn)行修復(fù)。不僅如此，對(duì)定期下載最新系統(tǒng)補(bǔ)丁庫，也可以利用公司網(wǎng)絡(luò)準(zhǔn)入設(shè)備，進(jìn)行補(bǔ)丁的分發(fā)和安裝。

2.3.2主機(jī)加固

主機(jī)加固方法與終端類似，但是對(duì)加固工作要求更高，在準(zhǔn)入系統(tǒng)的基礎(chǔ)上，對(duì)于BVS檢測出來的一些問題需要運(yùn)維人員參照安全配置作業(yè)指導(dǎo)書進(jìn)行手動(dòng)修復(fù)，對(duì)掃描出現(xiàn)的問題不斷進(jìn)行整改，最終將主機(jī)得分提升到滿分。

3　應(yīng)用評(píng)估

3.1遠(yuǎn)程終端故障排查案例

當(dāng)用戶報(bào)修終端故障無法連接網(wǎng)絡(luò)時(shí)，運(yùn)維人員通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對(duì)這一故障進(jìn)行問題排查：

首先，運(yùn)維人員詢問用戶IP地址，然后進(jìn)入網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的管理界面，輸入IP地址進(jìn)行搜索，我們可以得到該用戶的一些信息，在這些信息中包含該用戶終端在最后一次正常入網(wǎng)時(shí)所在交換機(jī)及其端口，根據(jù)這些信息，我們可以進(jìn)入相應(yīng)交換機(jī)排查交換機(jī)是否正常，包括交換機(jī)是否正常工作，交換機(jī)配置或端口配置是否正確，IP與MAC地址是否綁定等。如果這些問題都被一一排除后，則進(jìn)入下一部排查工作。

我們點(diǎn)擊操作以查看用戶詳細(xì)信息，下面有用戶最新認(rèn)證與安檢結(jié)果，如果進(jìn)入后顯示存在安全隱患，則說明因策略檢查未通過而無法聯(lián)網(wǎng)，這時(shí)運(yùn)維人員可以根據(jù)具體情況指導(dǎo)用戶進(jìn)行策略修復(fù)。如果進(jìn)入后顯示“認(rèn)證超時(shí)，設(shè)備可能無法正常上網(wǎng)，這時(shí)在交換機(jī)正常的前提下，則可以斷定為終端網(wǎng)卡故障、網(wǎng)線故障和墻體模塊故障三個(gè)問題，這時(shí)運(yùn)維人員可以有針對(duì)性的進(jìn)行現(xiàn)場故障處理工作。

3.2違規(guī)事件檢測案例

3.2.1對(duì)違規(guī)私接集線器、路由器設(shè)備的檢測

隨著公司人事變動(dòng)，經(jīng)常會(huì)出現(xiàn)辦公場所網(wǎng)絡(luò)接口不夠用的情況，有些人會(huì)采用加集線器、路由器等設(shè)備來拓展網(wǎng)絡(luò)接口。這樣的做法會(huì)對(duì)信息安全會(huì)造成較大的安全隱患，也是公司不允許的行為。

私接集線器、路由器的危害有很多。一方面，如果存在多個(gè)集線器，容易因人為原因?qū)⒓€器連接成環(huán)路，引起廣播風(fēng)暴，此時(shí)幾個(gè)小集線器就會(huì)影響整個(gè)公司的網(wǎng)絡(luò)穩(wěn)定；另一方面，路由器，甚至無線路由器易被不法分子利用，輕松地介入公司內(nèi)網(wǎng)，造成公司秘密泄露。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以檢測到違規(guī)私接的集線器、路由器設(shè)備，這樣可以使信息運(yùn)維人員及時(shí)發(fā)現(xiàn)并對(duì)這些違規(guī)行為進(jìn)行制止，從而消除安全隱患，保障公司信息安全。

3.2.2對(duì)違規(guī)外聯(lián)事件的檢測

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可以檢測到一些試圖連接到外部網(wǎng)絡(luò)的進(jìn)程，而后快速斷開用戶網(wǎng)絡(luò)。但是，違規(guī)外聯(lián)事件具有不預(yù)判性和觸發(fā)原因多樣性的特點(diǎn)，因此網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)并不能完全阻止違規(guī)事件的發(fā)生，需要公司加大信息安全宣傳力度，做好信息安全培訓(xùn)，提高全體員工的信息安全意識(shí)。通過管理與技術(shù)并重的方法，來徹底杜絕違規(guī)外聯(lián)事件的發(fā)生。

4　實(shí)踐效果

基于準(zhǔn)入系統(tǒng)的信息安全防護(hù)管理可以讓運(yùn)維工作更加省時(shí)、高效，并且對(duì)于安全基線加固工作有很大的幫助。此外，準(zhǔn)入系統(tǒng)還帶有違規(guī)事件監(jiān)測功能，對(duì)于一些違規(guī)事件的發(fā)生起到很好的防護(hù)作用，形成了一道堅(jiān)固的安全防護(hù)高墻，保證公司信息安全工作的順利進(jìn)行。

4.1縮短終端及網(wǎng)絡(luò)設(shè)備故障排查與處理時(shí)間

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)使運(yùn)維人員的工作更加規(guī)范化、流程化，也加強(qiáng)了對(duì)終端及網(wǎng)絡(luò)設(shè)備進(jìn)行集中監(jiān)控和維護(hù)的能力，使網(wǎng)絡(luò)運(yùn)行穩(wěn)定性和設(shè)備故障檢修效率大幅提高。

公司在2014年底購買并成功部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，運(yùn)維人員對(duì)比了2013年與2014年的信息設(shè)備故障處理時(shí)間，發(fā)現(xiàn)故障處理時(shí)間有明顯降低，效率得到大幅度提升。

4.2不斷做好主機(jī)及辦公終端的加固工作

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的使用也對(duì)公司開展安全基線加固工作提供了便利，充分利用準(zhǔn)入系統(tǒng)安全策略檢查功能和批處理程序下發(fā)功能，不斷做好泰安公司的主機(jī)及辦公終端的加固工作。

4.3杜絕違規(guī)事件的發(fā)生

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的部署可以很好地避免一些違規(guī)事件的發(fā)生：

①入網(wǎng)前的安全檢查功能，可以避免弱口令、防病毒未安裝、未注冊(cè)等安全事件的發(fā)生；

②定期循環(huán)檢查功能，可以防止用戶在接入網(wǎng)絡(luò)后私自修改安全設(shè)置；

③安全報(bào)警功能，可以監(jiān)測端口私接路由器、集線器等設(shè)備，并且對(duì)違規(guī)進(jìn)程觸發(fā)的違規(guī)外聯(lián)事件具有較好的防范作用。

5　結(jié)論

總體而言，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)使得信息安全防護(hù)工作更加有效、堅(jiān)固，它不僅是一套系統(tǒng)那么簡單，而是可以讓我們形成一套高效、省時(shí)的工作流程，為我們的工作提供了新的思路，在今后，泰安公司的信息安全防護(hù)水平也會(huì)更上一層樓。

［1］ 孫慶恭，基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，現(xiàn)代計(jì)算機(jī)（專業(yè)版），2010（03）

［2］ 馬智勇，基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)［J］，信息技術(shù)，2012（09）

［3］ 陳賽，實(shí)施準(zhǔn)入控制保護(hù)內(nèi)網(wǎng)健康［J］，中國教育網(wǎng)絡(luò)，2009（05）

［4］ 葛春，張強(qiáng)，張洪杰，王虹，基于內(nèi)網(wǎng)的信息安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］，科技創(chuàng)新導(dǎo)報(bào)，2009（33）

個(gè)人簡介

杜慧珺，1990- ，助理工程師，從事公司內(nèi)外網(wǎng)網(wǎng)絡(luò)運(yùn)維工作。