電力企業終端信息安全風險分析與管控

董 勇，張 弛，葉水勇，王文林，張 婷，宋浩杰，成秋芬

(國網黃山供電公司，安徽 黃山 245000)

隨著信息化建設的全面推廣，信息系統的安全建設已經從過去的局部優化階段進入了整體完善階段，國網黃山供電公司對信息系統安全防護需求日益增強，在IT信息安全領域面臨比以往更為復雜的局面。這既有來自于企業和組織外部的層出不窮的入侵和攻擊，也有來自于企業和組織內部的違規和泄漏[1-2]。

1 信息網絡主要存在的問題

公司信息網絡主要包括信息外網、信息內網、調度三區網絡三個部分。從地市公司層面來看，信息安全風險主要有以下幾個方面內容。

(1)網絡邊界防護管理漏洞較多，各類邊界防火墻ACL策略存在安全隱患，如無效過期策略、策略交叉、IP范圍過大策略、未指定端口策略，以及135、139、3389、22、21等高危險任意開放等。

(2)信息外網終端用戶，大量使用U盤進行文件傳輸、WIFI熱點的濫用、藍牙設備的應用給企業的敏感信息泄露提供了溫床；終端接入使用私有地址、路由器等，避開VRV桌面管理系統監控不安裝防病毒軟件，用手機或無線網卡實現違規外聯行為。終端補丁未按照策略要求進行分發安裝[3]。

(3)由于OTN網絡改造，市公司網絡架構調整，信息內網從市公司層面直接可以訪問國網公司、各網省公司，因此地市公司可以作為黑客的直接跳板；地市公司安全監測、檢查技術力量較為薄弱，信息內網部分主機、系統可能存在弱口令、賬號權限設置不合理、安全配置未加固等問題；機房、變電站、供電所等物理訪問控制管理不嚴格，非工作人員與外部運維人員可能進行物理攻擊或非法接入內、外網。

(4)終端較多、分布的地理范圍較廣、環境相對復雜，如變電站、供電所、營業廳、電力工區等位置，存在一機多用，多人共用同一密碼現象，終端安全管理較為困難；終端用戶文化水平層次不齊、相對信息安全意識較弱，訪問掛馬網頁、下載未知附件、IM工具傳輸文件等行為帶來一定的安全風險[4]。

針對存在的各類信息安全問題，需開展信息安全全面整治工作，以防范可能出現的各類信息安全事件，進一步提高公司信息安全管理水平。

2 研發過程及主要做法

2.1 安全邊界風險管理

圖1 黃山供電公司安全防護拓撲圖

安全邊界風險管理為明確安全防護范圍，確定安全防護重點，公司組織對信息內外網各安全邊界范圍、防火墻策略及現有安全防護體系進行梳理[5-6]。本次梳理對公司4個信息網絡邊界、158條ACL訪問控制列表進行了逐一核對，關閉16條ACL策略，對49條開放不規范的ACL策略進行了修改，進一步縮小了安全域，減少了安全風險，提高了公司信息網絡的安全性。安全防護拓撲圖如圖1所示。

公司通過梳理所有信息網絡邊界防火墻設置情況對源地址為ALL的策略、目標地址端口不明確、老舊策略、策略開放范圍過大、服務器區域與辦公區域通信等策略進行整改，杜絕安全邊界過大。

(1)利用ScanPort工具，對服務器開放的端口進行排查，檢查本單位端口開放情況。檢查端口開放情況如圖2所示。

圖2 檢查端口開放情況圖

(2)在各桌面域邊界進行高危端口的限制，主要有：TCP 135、139、445、593、1025端口和UDP 135、137、138、445端口，一些流行病毒的后門端口(如TCP 2745、3127、6129端口)，以及遠程服務訪問端口3389。對內外網服務器、網絡設備、安全設備等，均設置IP地址白名單，僅針對有管理需求的終端開放TCP 22、3389、21、1433等端口。

(3)對于檢查發現ACL策略條目有交叉、重復的進行優化處理，根據實際開放需求進行整理，縮小開放的范圍[7]。對檢查發現策略過期的、命中數為0的ACL條目進行清理。

(4)對于策略IP地址開放范圍過大、未指定到端口的策略、源地址和目的地址為ANY的策略，進行逐條分析，刪除后按需開放。聯合省公司層面、推進運維審計平臺的應用，加強對運維操作的審計。

2.2 終端風險管理

終端風險作為信息風險管理的重要組成部分，對地市公司來說更為重要。為提高公司信息網絡安全性，應從源頭做好信息安全管理工作。公司對所屬32個變電站、12個營業廳及市縣公司辦公場所的所有客戶端進行了摸排，具體做法如下。

(1)利用VRV系統配置策略方式實現對各單位各部門客戶端使用WIFI非法接入信息網絡情況進行禁用。同時，在各單位組織對非法使用WIFI、HUB與設置路由器等問題安全大檢查，通過現場檢查終端是否插入WIFIAP、用手機搜索附近的信號來排查是否自建互聯網出口行為[8]。利用VRV策略實現對信息外網終端USB存儲進行禁用，杜絕木馬擺渡方式攻擊。

(2)對于部分微軟已不再提供補丁程序的系統(如XP等)，嚴格按國網公司要求安裝內部XP專用補丁程序。

(3)梳理現有內外網站終端IP地址，檢查是否納入桌面管理系統的監控范圍[9]。梳理所有客戶端是否按要求安裝了安全管理軟件(趨勢防病毒軟件、VRV桌面管控軟件等)，對于未安裝安全管理軟件客戶端將采用斷網整改處理。嚴格執行省公司信息安全相關要求，杜絕“一機多用”現象，對于部分責任歸屬不明確的終端采用斷網處理，確需使用終端必須明確責任到人，保障信息責任制度落實。

(4)通過深信服行為管理設備從地市公司出口設置了外網終端用戶行為安全策略，如即時通信工作傳送文件阻斷、常用WEB郵箱阻斷(含sgcc郵箱)、代理工具、木馬控制工具、P2P下載工具、IM遠程協助功能、FTP協議、遠程登錄軟件、敏感信息關鍵字阻斷等。

(5)通過VRV下發補丁自動更新腳本實現所有內外網客戶連接省公司WSUS服務器的方式進行客戶端安全更新[10]。對信息內外網終端感染病毒情況進行了初步排查，攻擊發現內網感染病毒較多終端34臺，外網感染病毒終端8臺，全部斷網進行操作系統重裝。

(6)執行“信息安全日清日結”制度，對當天安全系統巡檢發現的終端弱口令、防病毒軟件未安裝情況、未注冊等問題，當天必須完成整改。所有終端用戶需在下班時按要求關閉所用內外網信息終端，減少終端被攻擊的可能。

2.3 應用系統風險管理

由于應用系統已經在省公司集中部署，地市公司內網只有少量的級聯監控類系統，主要涉及X86服務器和SQL SERVER數據庫。公司目前約有服務器16臺，通過梳理排查加固主機16臺。

開展內網系統安全加固檢查。利用綠盟漏洞掃描設備開展全公司信息系統弱口令、常見漏洞排查。發現了windows服務器的常見漏洞如MS-08-067、MS-06-040、MS-12-020、MS15-020漏洞、SMB枚舉共享、LINUX openssh、shell shock，SNMP弱口令、主機管理員弱口令、FTP弱口令、匿名賬號，對發現的問題及時進行了整改。為保障應用系統穩定可靠運行，對公司所有應用系統數據庫和應用系統程序制訂相應的備份策略，保證系統受到破壞時，系統能正常恢復，并對備份介質安排專人管理[11]。

2.4 安全監測與審計

開展地市公司層面的安全監測工作，市公司層面監測主要有邊界防火墻、IDS設備、防病毒系統具體監控安排如下。

(1)對于防病毒系統發現的病毒事件進行統計，對于感染病毒較多的終端進行重點整改，確保當天到位后再次入網，未能及時整改終端將不予入網使用。每天安排專人對公司所有安全設備與系統進行安全巡查與分析，確保及時發現攻擊行為。

(2)對于防火墻系統進行及時監控，發現異常命中策略及時與安全運維人員、業務系統相關人員進行聯動，確保盡早發現攻擊行為，阻斷網絡攻擊[12]。細化運維審計系統時間策略，梳理運維審計人員有效性，減少冒名使用情況。重點分析IDS系統日志，及時更新IDS特征庫，確保IDS設備對于最新攻擊行為的感知。

2.5 其他安全措施

(1)強化辦公場所人員進出管理，杜絕非本單位人員進出公司辦公區域。強化機房準入機制，嚴格執行一單兩票制度，杜絕非工作人員混入機房，進而破壞信息系統。加強檢修工作的監管力度，主業人員需全程監護檢修人員開展工作。嚴格控制外來人員私自接入信息內外網。

(2)嚴格執行信息通信系統運行“零報告”制度，由信息調度每日17：00向相關領導、省公司信息調度、報告信息系統監控情況。信息網絡及系統安全突發事件要按照要求實行快報，重大事件1 h內直報相關領導與安全專責。

(3)檢查落實外委人員VRV系統、防病毒系統安裝情況，宣貫安全意識，強化異常情況實時匯報制度，做好調度運行與值班安排。護網保障期間安排人員在崗值班，同時安排好應急值班崗位與三線技術支撐保障。邀請省公司紅隊對信息網絡進行安全檢查，并進行漏洞檢查，協助省公司藍隊進行安全防護，為省公司藍隊提供技術支撐與技術援助。

3 結語

公司通過參與“護網”行動，對公司信息安全邊界安全防護、安全設備配置、終端安全管理及安全審計等方面進行了自查與整改，減少了公司信息網絡中存在的安全風險，為信息系統正常運行、信息數據保密工作、信息安全工作正常開展提供了良好地保障，取得良好地效果。

參考文獻：

[1] 范萍, 李罕偉. 基于ACL的網絡層訪問權限控制技術研究[J]. 華東交通大學學報, 2004,21(4): 89-92.

FAN Ping, LI Hanwei. Research on technique to control access to network layer based on ACL[J]．Journal of East China Jiaotong University，2004，21(4)：89-92．

[2]莫林利. 使用ACL技術的網路安全策略研究及應用[J]. 華東交通大學學報，2009,26(6): 79-82.

MO Linli. Research and application of network security policies with ACL[J]．Journal of East China Jiaotong University，2009，26(6)：79-82．

[3]唐子蛟，李紅蟬. 基于ACL的網絡安全管理的應用研究[J]. 四川理工學院學報(自然科學版), 2009, 22(1): 48-51.

TANG Zijiao, LI Hongchan. Application of network security management based on ACL[J].Journal of Sichuan University of Science & Engineering:Natural Science Editton,2009,22(1): 48-51.

[4]孫翠玲，顧建華. 利用ACL技術對園區網絡實現精細化控制[J]. 電腦知識與技術, 2006(36): 72-73.

SUN Cuiling, GU Jianhua. Drawing upon ACL to realize finely garden area network control[J]．Computer Knowledge and Technology, 2006( 36)：72-73，95．

[5]葉競，葉水勇，陳清萍，等. 應對企業中的第三方應用程序漏洞探討[J]. 電力信息與通信技術, 2016, 14(5): 147-151.

[6]胡海璐，陳曙暉，蘇金樹. 路由器訪問表技術研究[J]. 計算機科學, 2001, 28(4): 94-96.

HU Hailu, CHEN Shuhui, SU Jinshu. On router access control list technology[J]．Computer Science,，2001，28(4)：94-96．

[7]陳琳，朱紹文，陳緒君，等. 新型Access-list技術應用研究[J]. 計算機應用, 2002,22(8): 69-71.

CHEN Lin, ZHU Shaowen, CHEN Xujun. et al. Research on application of new type access-list in network security[J]．Computer Applications，2002，22(8)：69-71．

[8]王芳，韓國棟，李鑫. 路由器訪問控制列表及其實現技術研究[J]. 計算機工程與設計, 2007, 28(23): 5638-5639.

WANG Fang, HAN Guodong, LI Xin. Access control list of router and research of realization[J].Computer Engineering and Design,2007,28(23):5638-5639,F0003.

[9]馮登國，張陽，張玉清. 信息安全風險評估綜述[J]. 通信學報，2004, 25(7): 10-18.

FENG Dengguo, ZHANG Yang, ZHANG Yuqing. Survey of information security risk assessment[J].Journal on Communications,2004,25(7):10-18.

[10]沈健，周興社，張凡，等. 基于網絡處理器的防火墻優化設計與研究[J]. 計算機工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xingshe, ZHANG Fan, et al. Optimized design and research of firewall based on network processor[J].Computer Engineering,2007,33(10):172-174.

[11]于本成，慕東周，陸玉陽. 中小型企業網絡控制方案的分析與設計[J]. 計算機安全, 2011, 31(7): 72-74.

YU Bencheng, MU Dongzhou, LU Yuyang. Small and medium enterprises network control program analysis and design[J].Network & Computer Security,2011(7):72-74.